Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
[email protected]
Resumen
Estos tres Reglamentos de Ejecución fueron adoptados por la Comisión Europea el 6 de mayo de 2025 para desarrollar y aplicar los aspectos técnicos y operativos del Reglamento (UE) n.º 910/2014 (eIDAS), centrado en las carteras de identidad digitales europeas.
Reglamento de Ejecución (UE) 2025/847. Sus disposiciones son válidas para la gestión y el cumplimiento de las violaciones de seguridad en las tarjetas de identidad digitales europeas. Obliga a los Estados miembros a garantizar que no proporcionen, utilicen ni activen entidades de cartera que no cumplan con los requisitos de seguridad establecidos. Define los procedimientos de notificación y respuesta rápida en caso de incidentes de seguridad relacionados con las carteras de identidad digitales.
Reglamento de Ejecución (UE) 2025/848. Regula el registro y supervisión de los usuarios (entidades públicas y privadas) que utilizan carteras de identidad digitales europeas. Detalla los requisitos técnicos y administrativos para la interoperabilidad y el uso transfronterizo de carteras de identidad digitales en la UE. Incluye procedimientos para verificar la identidad y proteger los datos personales al utilizar estas tarjetas.
Reglamento de Ejecución (UE) 2025/849. Sus normas adicionales son de aplicación al Reglamento (UE) n.º 910/2014, especialmente en relación con la implementación técnica de las carteras de identidad digital. Establece obligaciones precisas para los proveedores de servicios y las autoridades nacionales respecto a la integración y el funcionamiento seguro de las carteras digitales. Establece mecanismos de control y auditoría para garantizar la confianza y la seguridad en el ecosistema de identidad digital europeo.
En conjunto, estas regulaciones garantizan la seguridad, interoperabilidad y confianza en los documentos de identidad digitales europeos, garantizando su correcta implementación y uso en toda la Unión Europea.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: [email protected]
_________________________________________________________________
| Diario Oficial
de la Unión Europea | ES Serie L |
REGLAMENTO DE EJECUCIÓN (UE) 2025/847 DE LA COMISIÓN
de 6 de mayo de 2025
por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las reacciones a las violaciones de la seguridad de las carteras europeas de identidad digital
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 5 sexies, apartado 5,
Considerando lo siguiente:
| 1) | El marco europeo de identidad digital (en lo sucesivo, «el marco») establecido en el Reglamento (UE) n.o 910/2014 es un componente crucial para la creación de un ecosistema de identidad digital seguro e interoperable en toda la Unión. El objetivo de este marco, con las carteras europeas de identidad digital (en lo sucesivo, «carteras») como piedra angular, es facilitar el acceso a los servicios en todos los Estados miembros, garantizando al mismo tiempo la protección de los datos personales y de la privacidad. |
| 2) | Los Reglamentos (UE) 2016/679 (2) y (UE) 2018/1725 (3) del Parlamento Europeo y del Consejo y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (4) se aplican a las actividades de tratamiento de datos personales en virtud del presente Reglamento. Las normas sobre la evaluación y la facilitación de información establecidas en virtud del presente Reglamento se entienden sin perjuicio de la obligación de notificar las violaciones de la seguridad de los datos personales a la autoridad de control competente, cuando proceda, en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, y de la obligación de comunicar las violaciones de la seguridad de los datos personales a los interesados, cuando proceda, en virtud de estos Reglamentos. |
| 3) | La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. Con el fin de garantizar el máximo nivel de armonización entre los Estados miembros para el desarrollo y la certificación de las carteras, las especificaciones técnicas establecidas en el presente Reglamento se basan en el trabajo realizado en virtud de la Recomendación (UE) 2021/946 de la Comisión (5), y en particular la arquitectura y el marco de referencia que forman parte de él. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (6), la Comisión debe revisar y, en caso necesario, actualizar el presente Reglamento, para mantenerlo en consonancia con la evolución mundial, la arquitectura y el marco de referencia, y seguir las mejores prácticas en el mercado interior. |
| 4) | En caso de violación o puesta en peligro de la seguridad de las soluciones de cartera o de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, del Reglamento (UE) n.o 910/2014, o del sistema de identificación electrónica en virtud del cual se proporcionan las soluciones de cartera, es preciso que las reacciones a dichas violaciones y puestas en peligro de la seguridad se produzcan de manera rápida, coordinada y segura en todos los Estados miembros para proteger a los usuarios y mantener la confianza en el ecosistema de identidad digital. Esto se entiende sin perjuicio de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (7) y los Reglamentos (UE) 2019/881 (8) y (UE) 2024/2847 (9) del Parlamento Europeo y del Consejo, en particular por lo que respecta a la gestión de las incidencias o las vulnerabilidades y a su consideración como violaciones de la seguridad. Por consiguiente, los Estados miembros deben garantizar que se suspendan oportunamente la provisión y el uso de las carteras cuya seguridad haya sido violada o puesta en peligro o, cuando proceda, que se retiren. |
| 5) | A fin de asegurar que las reacciones a una violación o una puesta en peligro de la seguridad sean adecuadas, los Estados miembros deben evaluar si una violación o una puesta en peligro de la seguridad de una solución de cartera, de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, del Reglamento (UE) n.o 910/2014, o del sistema de identificación electrónica en virtud del cual se proporciona una solución de cartera afecta a la fiabilidad de dicha solución de cartera o de otras soluciones de cartera. Esa evaluación debe basarse en criterios uniformes, como el número y la categoría de usuarios de una cartera, de personas físicas y de partes usuarias de la cartera afectadas, la naturaleza de los datos afectados, la duración de la puesta en peligro o la violación de la seguridad, la limitación de la disponibilidad de un servicio y las pérdidas financieras, y si se han visto comprometidos datos personales. Con arreglo a estos criterios los Estados miembros deben disponer de flexibilidad y discrecionalidad para determinar de manera proporcionada si la fiabilidad de una solución de cartera está afectada y si procede suspender la solución de cartera o, cuando la gravedad de la violación o la puesta en peligro lo justifique, retirarla. Estos criterios no deben desencadenar la retirada automática de una solución de cartera ni la suspensión automática de su provisión y su uso, sino que los Estados miembros deben tenerlos debidamente en cuenta a la hora de decidir si es necesario retirar una solución de cartera o suspender su provisión y su uso. |
| 6) | Debido a la repercusión y las molestias que conlleva la suspensión del uso de las soluciones de cartera, los Estados miembros deberán evaluar si la revocación de declaraciones de unidad de cartera u otras medidas adicionales son necesarias para reaccionar adecuadamente ante la violación o la puesta en peligro de la seguridad. |
| 7) | Para mantener informados a los usuarios de una cartera sobre el estado de sus carteras, se les deberá facilitar información adecuada sobre las violaciones o las puestas en peligro de la seguridad que afecten a estas. Dado que las partes usuarias de las carteras registradas en la Unión pueden verse asimismo afectadas por las violaciones y las puestas en peligro de la seguridad, se les debe transmitir también la información pertinente al respecto. |
| 8) | A fin de mejorar la transparencia y generar confianza en el ecosistema de identidad digital, conviene que la información sobre las violaciones o las puestas en peligro de la seguridad y sobre sus consecuencias comprenda, como mínimo, la información exigida en virtud del presente Reglamento. No obstante, la información relativa a violaciones o puestas en peligro de la seguridad transmitida a los usuarios de una cartera y a las partes usuarias de la cartera debe evaluarse cuidadosamente para prevenir y minimizar el riesgo de su explotación por atacantes. |
| 9) | Para que los usuarios puedan acceder de nuevo a sus unidades de cartera después de que se haya subsanado una violación o una puesta en peligro de la seguridad, el Estado miembro que haya proporcionado las soluciones de cartera deberá restablecer sin demora indebida la provisión y el uso de dichas soluciones. Esto podrá hacerse restableciendo las unidades de cartera, emitiendo unidades de cartera al amparo de una nueva versión de las soluciones de cartera o reemitiendo nuevas declaraciones de unidad de cartera válidas. Los usuarios de una cartera afectados, las partes usuarias de las carteras, los puntos de contacto únicos designados de conformidad con el artículo 46 quater, apartado 1, del Reglamento (UE) n.o 910/2014 y la Comisión deben ser informados en consecuencia. |
| 10) | A fin de garantizar la retirada de las carteras si la violación o la puesta en peligro de su seguridad no se han subsanado en un plazo de tres meses a partir de la suspensión, o cuando esté justificado por la gravedad de la violación o la puesta en peligro de la seguridad, el Estado miembro debe asegurar que las declaraciones de unidad de cartera pertinentes se revoquen y no puedan restituirse a un estado de validez ni expedirse o proporcionarse a unidades de cartera existentes. Además, no deben proporcionarse nuevas unidades de cartera en el marco de la solución de cartera afectada. Con fines de transparencia, los usuarios, las partes usuarias, los puntos de contacto únicos designados de conformidad con el artículo 46 quater, apartado 1, del Reglamento (UE) n.o 910/2014 y la Comisión deben ser informados de la retirada. Esta información incluirá una descripción de las posibles repercusiones para los usuarios de una cartera, en particular en lo que respecta a la gestión de las declaraciones expedidas, o para las partes usuarias de la cartera. |
| 11) | El período de tres meses a partir de la suspensión de la provisión y el uso de una solución de cartera, durante el cual debe subsanarse la violación o la puesta en peligro de la seguridad que haya dado lugar a dicha suspensión, debe constituir un plazo después del cual la solución de cartera deberá retirarse a menos que se haya aplicado una medida correctora adecuada. No obstante, los Estados miembros tienen libertad para exigir que la violación o la puesta en peligro de la seguridad se subsane en un plazo inferior a tres meses, teniendo en cuenta, en particular y cuando proceda, el alcance, la duración y las consecuencias de dicha violación o puesta en peligro. Cuando la violación o la puesta en peligro de la seguridad no se subsane o no se pueda subsanar en el plazo fijado por el Estado miembro, este podrá exigir que la solución de cartera se retire antes de que expire el período de tres meses. Los Estados miembros deben utilizar este período durante el cual ha de subsanarse una violación o una puesta en peligro de la seguridad que haya ocasionado la suspensión de la provisión y el uso de una solución de cartera para preparar la posible retirada de dicha solución de cartera y las comunicaciones conexas. |
| 12) | A fin de reducir la carga administrativa que puede suponer para ellos la transmisión de la información, de conformidad con el presente Reglamento, a la Comisión y a otros Estados miembros, los Estados miembros deben utilizar las herramientas de notificación existentes, como el sistema de notificación y análisis de incidentes cibernéticos (CIRAS), gestionado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Por lo que respecta a la utilización de canales o medios alternativos para informar a los usuarios de una cartera afectados por una violación o una puesta en peligro de la seguridad y a las partes usuarias de la cartera, los Estados miembros deben asegurarse de que la información pertinente se facilite de manera clara, completa y fácilmente accesible. Los canales para facilitar dicha información a los usuarios de una cartera afectados y a las partes usuarias de la cartera deben incluir soluciones adecuadas para la retransmisión a través de sitios web, el seguimiento en tiempo real de las actualizaciones de los sitios web y la agregación de noticias. |
| 13) | El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitió su dictamen el 31 de enero de 2025. |
| 14) | Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014, |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Objeto
El presente Reglamento establece normas sobre las reacciones a las violaciones de la seguridad de las carteras, de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, del Reglamento (UE) n.o 910/2014 y del sistema de identificación electrónica en virtud del cual se proporcionan las carteras.
Artículo 2
Definiciones
A los efectos del presente Reglamento, se entenderá por:
| 1) | «solución de cartera»: combinación de software, hardware, servicios, ajustes y configuraciones, que incluye instancias de cartera, una o más aplicaciones criptográficas seguras de cartera y uno o más dispositivos criptográficos seguros de cartera; |
| 2) | «usuario de una cartera»: usuario que tiene el control sobre la unidad de cartera; |
| 3) | «parte usuaria de la cartera»: parte que tiene la intención de confiar en unidades de cartera para la prestación de servicios públicos o privados mediante interacción digital; |
| 4) | «instancia de cartera»: aplicación instalada y configurada en el dispositivo o el entorno de un usuario de una cartera, que forma parte de una unidad de cartera y que el usuario de la cartera utiliza para interactuar con la unidad de cartera; |
| 5) | «aplicación criptográfica segura de cartera»: aplicación que gestiona activos críticos al estar vinculada a las funciones criptográficas y no criptográficas proporcionadas por el dispositivo criptográfico seguro de cartera y utilizarlas; |
| 6) | «dispositivo criptográfico seguro de cartera»: dispositivo resistente a las manipulaciones fraudulentas que proporciona un entorno vinculado a la aplicación criptográfica segura de cartera y utilizado por esta para proteger activos críticos y proporcionar funciones criptográficas para la ejecución segura de operaciones críticas; |
| 7) | «proveedor de cartera»: persona física o jurídica que proporciona soluciones de cartera; |
| 8) | «unidad de cartera»: configuración única de una solución de cartera que incluye instancias de cartera, aplicaciones criptográficas seguras de cartera y dispositivos criptográficos seguros de cartera proporcionados por un proveedor de carteras a un usuario particular de una cartera; |
| 9) | «activos críticos»: activos contenidos en una unidad de cartera o relacionados con ella, de tan extraordinaria importancia que, si su disponibilidad, confidencialidad o integridad se vieran comprometidas, el efecto sobre la capacidad para utilizar la unidad de cartera sería muy grave y debilitante; |
| 10) | «declaración de unidad de cartera»: objeto de datos que describe los componentes de la unidad de cartera o permite la autenticación y la validación de esos componentes. |
Artículo 3
Determinación de una violación o una puesta en peligro de la seguridad
- Sin perjuicio de lo dispuesto en la Directiva (UE) 2022/2555 y en los Reglamentos (UE) 2019/881 y (UE) 2024/2847, los Estados miembros tendrán debidamente en cuenta los criterios establecidos en el anexo I del presente Reglamento para evaluar si una violación o una puesta en peligro de la seguridad de una solución de cartera, de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, del Reglamento (UE) n.o910/2014 o del sistema de identificación electrónica en virtud del cual se proporciona la solución de cartera afecta a su fiabilidad o a la de otras soluciones de cartera.
- Cuando un Estado miembro determine, sobre la base de la evaluación establecida en el apartado 1, que una violación o una puesta en peligro de la seguridad está afectando a la fiabilidad de una solución de cartera y suspenda su provisión y su uso, adoptará las medidas establecidas en los artículos 4 y 5. Cuando un Estado miembro retire la solución de cartera, adoptará las medidas establecidas en los artículos 8 y 9.
- Cuando un Estado miembro conozca información relativa a una posible violación o puesta en peligro de la seguridad que pueda afectar a la fiabilidad de una o varias soluciones de cartera proporcionadas por otro Estado miembro, ese Estado miembro lo comunicará sin demora indebida a la Comisión y a los puntos de contacto únicos de los Estados miembros afectados designados de conformidad con el artículo 46 quater, apartado 1, del Reglamento (UE) n.o910/2014. Esta comunicación incluirá la información establecida en el artículo 5, apartado 2.
- El Estado miembro que reciba información facilitada de conformidad con el apartado 3 adoptará sin demora indebida las medidas establecidas en los apartados 1 y 2.
Artículo 4
Suspensión de la provisión y el uso de carteras y otras medidas correctoras
- Los Estados miembros se asegurarán de que no se proporcionen, utilicen ni activen unidades de cartera en el marco de la solución de cartera suspendida.
- Los Estados miembros evaluarán si es necesario revocar las declaraciones de unidad de cartera de las unidades de cartera afectadas por la suspensión de una solución de cartera, o adoptar cualquier otra medida correctora, para reaccionar adecuadamente frente a la violación de la seguridad o su puesta en peligro.
- Las medidas establecidas en los apartados 1 y 2 se adoptarán sin demora indebida y, en cualquier caso, a más tardar veinticuatro horas después de que se suspendan la provisión y el uso de la solución de cartera afectada por la violación o la puesta en peligro de la seguridad.
- Las medidas establecidas en los apartados 1 y 2 no impedirán a los usuarios de una cartera afectados ejercer su derecho a la portabilidad de los datos establecido en el artículo 5 bis, apartado 4, letra g), del Reglamento (UE) n.o910/2014. Esta disposición está sujeta a la condición de que los usuarios de la cartera puedan ejercer ese derecho sin menoscabo para la seguridad de los activos esenciales de las unidades de cartera afectadas, en particular teniendo en cuenta los motivos de la suspensión y la necesidad de garantizar la protección efectiva de dichos activos contra su uso indebido.
Artículo 5
Información sobre las suspensiones y las medidas correctoras
- Sin demora indebida, y a más tardar veinticuatro horas después de la suspensión de la provisión y el uso de la solución de cartera, se facilitará información clara, completa y fácilmente accesible sobre dicha suspensión, a:
| a) | los puntos de contacto únicos designados con arreglo al artículo 46 quater, apartado 1, del Reglamento (UE) n.o 910/2014; |
| c) | los usuarios de la cartera afectados; |
| d) | las partes usuarias de la cartera registradas de conformidad con el artículo 5 ter del Reglamento (UE) n.o 910/2014. |
- La información facilitada de conformidad con el apartado 1 incluirá al menos los siguientes elementos:
| a) | el nombre del proveedor de la solución de cartera cuya provisión y uso se hayan suspendido; |
| b) | el nombre y el identificador de referencia de esa solución de cartera, tal y como esté indicado en la lista de carteras certificadas elaborada de conformidad con el artículo 5 quinquies del Reglamento (UE) n.o 910/2014 y, en su caso, las versiones de que se trate; |
| c) | la fecha y la hora en que se detectó la violación o la puesta en peligro de la seguridad; |
| d) | si se conocen, la fecha y la hora en que se hicieron efectivas la violación o la puesta en peligro de la seguridad, sobre la base de registros de redes o sistemas u otras fuentes de datos; |
| e) | la fecha y hora de la suspensión de la solución de cartera; |
| f) | los datos de contacto, indicando al menos una dirección de correo electrónico y un número de teléfono correspondientes al Estado miembro que efectúa la notificación y, cuando sea diferente, al proveedor de cartera a que se refiere la letra (a); |
| g) | una descripción de la violación o la puesta en peligro de la seguridad; |
| h) | una descripción de los datos que se han puesto en peligro, especificando, en su caso, las categorías de datos personales definidas en el artículo 9, apartado 1, y el artículo 10, del Reglamento (UE) 2016/679; |
| i) | cuando sea posible, una estimación del número aproximado de usuarios de una cartera afectados y de otras personas físicas afectadas; |
| j) | una descripción de las posibles repercusiones en las partes usuarias de una cartera o en los usuarios de una cartera y, en el caso de estos, cuando proceda, cualquier indicación de las medidas que puedan adoptar para mitigar esas posibles repercusiones; |
| k) | una descripción de las medidas adoptadas o previstas para subsanar la violación o la puesta en peligro de la seguridad, junto con una planificación y un plazo para dicha subsanación; |
| l) | cuando proceda, una descripción de las medidas adoptadas o previstas para trasladar a los usuarios de una cartera afectados a soluciones o servicios de cartera alternativos. |
Artículo 6
Restablecimiento de la provisión y el uso de las carteras
Cuando sea necesario para garantizar el restablecimiento de la provisión, la activación y el uso de una solución de cartera, los Estados miembros, sin demora indebida:
| 1) | restablecerán la provisión y el uso de las unidades de cartera proporcionadas en el marco de dicha solución de cartera mediante la emisión de una unidad de cartera proporcionada en el marco de una nueva versión de la solución a todos los usuarios afectados; |
| 2) | expedirán nuevas declaraciones de unidad de cartera a unidades de cartera nuevas o, en su caso, a unidades de cartera emitidas con anterioridad, siempre que dichas unidades de cartera cumplan los requisitos de seguridad vigentes una vez subsanada la violación o la puesta en peligro de la seguridad; |
| 3) | derogarán cualquier medida aplicada de conformidad con el artículo 4 del presente Reglamento que obstaculice la provisión de nuevas unidades de cartera en el marco de la solución de cartera afectada, cuando dicha medida estuviera vinculada únicamente a la violación o la puesta en peligro de la seguridad ya subsanada. |
Artículo 7
Información sobre el restablecimiento
Cuando un Estado miembro restablezca una solución de cartera, dicho Estado miembro se asegurará de que:
| 1) | se informe de ello sin demora indebida a todas las partes que hayan recibido información sobre la suspensión de la provisión y el uso de dicha solución de cartera de conformidad con el artículo 5, apartado 1; |
| 2) | la información facilitada de conformidad con el punto 1 incluya al menos los elementos a que se refiere el artículo 5, apartado 2, letras (a), (b) y (f) a (h) y los siguientes:| a) | la fecha y la hora en que se subsanó la violación o la puesta en peligro de la seguridad; |
| b) | la fecha y la hora del restablecimiento de la solución de cartera afectada y, en su caso, de las unidades de cartera afectadas proporcionadas en el marco de dicha solución; |
| c) | una descripción de las medidas adoptadas para subsanar la violación o la puesta en peligro de la seguridad; |
| d) | una descripción de las posibles repercusiones residuales en las partes usuarias de una cartera o en los usuarios de una cartera y, en el caso de estos, cuando proceda, cualquier indicación de las medidas que puedan adoptar para mitigar esas posibles repercusiones residuales. |
|
Artículo 8
Retirada de las carteras
- Si una violación o una puesta en peligro de la seguridad que haya dado lugar a la suspensión de la provisión y el uso de una solución de cartera no se subsana en un plazo de tres meses a partir de la fecha de dicha suspensión, el Estado miembro que haya proporcionado esa solución de cartera se asegurará de que la solución de cartera afectada se retire y de que se revoque su validez, sin demora indebida y, en cualquier caso, en un plazo de setenta y dos horas tras la expiración del período de tres meses.
- Cuando un Estado miembro retire una solución de cartera, se asegurará de que:
| a) | se revoquen las declaraciones de unidad de cartera de la unidad de cartera de la solución de cartera afectada; |
| b) | las declaraciones de unidad de cartera no puedan revertirse al estado de validez; |
| c) | no pueda expedirse ninguna nueva declaración de unidad de cartera a las unidades de cartera existentes proporcionadas en el marco de la solución de cartera afectada; |
| d) | no pueda proporcionarse ninguna nueva unidad de cartera en el marco de la solución de cartera afectada. |
- Las medidas establecidas en los apartados 1 y 2 no impedirán a los usuarios de una cartera afectados ejercer su derecho a la portabilidad de los datos establecido en el artículo 5 bis, apartado 4, letra g), del Reglamento (UE) n.o910/2014. Esta disposición está sujeta a la condición de que los usuarios de la cartera puedan ejercer ese derecho sin menoscabo para la seguridad de los activos esenciales de las unidades de cartera afectadas, en particular teniendo en cuenta los motivos de la retirada y la necesidad de garantizar la protección efectiva de dichos activos contra su uso indebido.
Artículo 9
Información sobre la retirada
- Sin demora indebida, y a más tardar veinticuatro horas después de la retirada de la solución de cartera, se facilitará información clara, completa y fácilmente accesible sobre dicha retirada, a:
| a) | los puntos de contacto únicos designados con arreglo al artículo 46 quater, apartado 1, del Reglamento (UE) n.o 910/2014; |
| c) | los usuarios de la cartera afectados; |
| d) | las partes usuarias de la cartera registradas de conformidad con el artículo 5 ter del Reglamento (UE) n.o 910/2014. |
- La información facilitada de conformidad con el apartado 1 incluirá al menos los siguientes elementos:
| a) | el nombre del proveedor de la solución de cartera que haya sido retirada; |
| b) | el nombre y el identificador de referencia de esa solución de cartera, tal y como esté indicado en la lista de carteras certificadas elaborada de conformidad con el artículo 5 quinquies del Reglamento (UE) n.o 910/2014 y, en su caso, las versiones de que se trate; |
| c) | la fecha y la hora en que se detectó la violación o la puesta en peligro de la seguridad que dio lugar a la retirada de la solución de cartera afectada debido a su gravedad o a que no se había subsanado en el plazo de tres meses; |
| d) | si se conocen, la fecha y la hora en que se hicieron efectivas la violación o la puesta en peligro de la seguridad, sobre la base de registros de redes o sistemas u otras fuentes de datos; |
| e) | la fecha y hora de la retirada de la solución de cartera y de la revocación efectiva de las declaraciones de unidad de cartera de las unidades de cartera proporcionadas en el marco de la solución de cartera; |
| f) | si la retirada es el resultado de la gravedad de la violación o la puesta en peligro de la seguridad o es consecuencia de que no se haya subsanado la violación o la puesta en peligro de la seguridad; |
| g) | los datos de contacto, indicando al menos una dirección de correo electrónico y un número de teléfono correspondientes al Estado miembro que efectúa la notificación y, cuando sea diferente, al proveedor de cartera a que se refiere la letra (a); |
| h) | una descripción de la violación o la puesta en peligro de la seguridad; |
| i) | una descripción de los datos que se han puesto en peligro, indicando, en su caso, las categorías de datos personales especificadas en el artículo 9, apartado 1, y en el artículo 10, del Reglamento (UE) 2016/679; |
| j) | cuando sea posible, una estimación del número aproximado de usuarios de la cartera afectados y de otras personas físicas afectadas; |
| k) | una descripción de las posibles repercusiones en las partes usuarias de una cartera o en los usuarios de una cartera y, en el caso de estos, cuando proceda, cualquier indicación de las medidas que puedan adoptar para mitigar esas posibles repercusiones; |
| l) | una descripción de las medidas adoptadas o previstas para trasladar a los usuarios de una cartera afectados a soluciones de cartera alternativas o, cuando sea posible y adecuado, a servicios alternativos. |
Artículo 10
Sistema de información
Los Estados miembros enviarán la información establecida en los artículos 3, 5, 7 y 9 a la Comisión y a los puntos de contacto únicos de los Estados miembros designados de conformidad con el artículo 46 quater, apartado 1, del Reglamento (UE) n.o 910/2014, a través del sistema CIRAS gestionado por la ENISA o de un sistema equivalente acordado por los Estados miembros y la Comisión.
Artículo 11
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, con excepción del artículo 10, que será aplicable a partir del 7 de mayo de 2026.
Hecho en Bruselas, el 6 de mayo de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(4) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(5) Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (DO L 210 de 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
(6) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(7) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(8) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj).
(9) Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia) (DO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).
ANEXO
Criterios para la evaluación de una violación o una puesta en peligro de la seguridad
| 1. | Los Estados miembros basarán su evaluación de una violación o una puesta en peligro de la seguridad en los siguientes criterios:| a) | la violación o la puesta en peligro ha causado o puede causar la muerte de una persona física o daños considerables a la salud de una persona física; |
| b) | se ha producido, o puede producirse, un acceso presuntamente malintencionado o no autorizado a la red y los sistemas de información de un proveedor de carteras, del proveedor de mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, del Reglamento (UE) n.o 910/2014, o de un proveedor del sistema de identificación electrónica en virtud del cual se proporciona una solución de cartera («entidades afectadas»), de tal manera que puede causar graves perturbaciones operativas, y esos sistemas son componentes esenciales de la solución de cartera afectada, de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, del Reglamento (UE) n.o 910/2014 afectados o del sistema de identificación electrónica en virtud del cual se proporciona una solución de cartera afectado; |
| c) | una solución de cartera, un mecanismo de validación contemplado en el artículo 5 bis, apartado 8, del Reglamento (UE) n.o 910/2014, o un sistema de identificación electrónica en virtud del cual se proporciona una solución de cartera, o una parte de ellos:| — | está completamente indisponible para los usuarios de una cartera o las partes usuarias de una cartera durante más de doce horas consecutivas, o se prevé que vaya a estarlo; |
| — | está indisponible para los usuarios de una cartera o las partes usuarias de una cartera durante más de dieciséis horas calculadas sobre la base de una semana natural, o se prevé que vaya a estarlo; |
|
| d) | se sospecha que más del 1 % de los usuarios de una cartera o de las partes usuarias de una cartera está afectado o se prevé que vaya a estar afectado por una limitación de la disponibilidad de la solución de cartera o de los servicios prestados por las entidades afectadas en lo que respecta a la solución de cartera; |
| e) | existe la capacidad de poner en peligro, o se ha puesto en peligro, la restricción del acceso físico al personal de confianza de las entidades afectadas, o la protección de dicho acceso físico, a una o varias de las ubicaciones de la red y de los sistemas de información que dan soporte a la solución de cartera, a la provisión de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, del Reglamento (UE) n.o 910/2014 asociados a una solución de cartera, o al sistema de identificación electrónica en virtud del cual se proporciona una solución de cartera; |
| f) | la privacidad, la integridad, la confidencialidad o la autenticidad de los datos almacenados, transmitidos o tratados en la solución de la cartera están en peligro, o pueden estar en peligro, de una o varias de las siguientes maneras:| — | con repercusión en más del 1 % de los usuarios de la cartera de la solución de cartera afectada o en más de 100 000 de dichos usuarios, si este número es menor; |
| — | como resultado de una actividad presuntamente malintencionada que ha logrado su objetivo; |
| — | como resultado de una o varias vulnerabilidades conocidas, incluidas las gestionadas de conformidad con el Reglamento de Ejecución (UE) 2024/2981 de la Comisión (1), o si existe la probabilidad de que se produzca ese resultado; |
| — | existe la probabilidad de que repercuta en los datos personales de manera que pueda suponer un riesgo para los derechos y libertades de las personas físicas afectadas y, en particular, en caso de violación de la seguridad de los datos personales tal como se define en el artículo 9, apartado 1, y en el artículo 10 del Reglamento (UE) 2016/679; |
| — | es probable que afecte a las comunicaciones electrónicas personales; |
| — | es probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas; |
| — | es probable que afecte a personas físicas vulnerables; |
|
| g) | la certificación de la solución de cartera ha sido cancelada o se prevé que sea cancelada; |
| h) | la violación o la puesta en peligro ha causado o puede causar a la entidad afectada pérdidas financieras directas superiores a 500 000 EUR o, cuando proceda, al 5 % de su volumen de negocios total anual en el ejercicio financiero anterior, si esta cifra es inferior. |
|
| 2. | Los Estados miembros no tendrán en cuenta las consecuencias previstas de una operación de mantenimiento realizada por las entidades afectadas o en su nombre, siempre que dicha operación de mantenimiento:| a) | se haya notificado previamente a los usuarios de una cartera, a las partes usuarias de la cartera y a los organismos de supervisión competentes potencialmente afectados; |
| b) | no cumpla ninguno de los criterios establecidos en el punto 1 del presente anexo. |
|
| 3. | Por lo que se refiere al punto 1, letra c), la duración de un incidente que afecte a la disponibilidad se medirá desde el momento en que se interrumpa la prestación adecuada del servicio afectado hasta el momento en que el servicio se restablezca y vuelva a funcionar. Cuando una entidad afectada no pueda determinar el momento en que se produjo la interrupción, la duración del incidente se medirá desde el momento en que este fue detectado o desde el momento en que se dejó constancia de él en el registro de la red o del sistema o en otras fuentes de datos, si esto ocurriera antes. La indisponibilidad total de un servicio se medirá desde el momento en que el servicio quede completamente indisponible para los usuarios hasta el momento en que las actividades u operaciones habituales se hayan restablecido al mismo nivel de servicio que se prestaba antes del incidente. Cuando una entidad afectada no pueda determinar el momento en que se inició la indisponibilidad total de un servicio, esta se medirá a partir del momento en que fue detectada por dicha entidad. |
| 4. | Por lo que se refiere al punto 1, letra d), se considera que la disponibilidad de un servicio es limitada, en particular, cuando el tiempo de respuesta de ese servicio es considerablemente más lento que su tiempo medio de respuesta o cuando no están disponibles todas sus funcionalidades. Cuando sea posible, deberán utilizarse criterios objetivos basados en los tiempos medios de respuesta de los servicios para evaluar los retrasos en el tiempo de respuesta. |
| 5. | Para determinar las pérdidas financieras directas resultantes de una violación o una puesta en peligro de la seguridad a que se refiere el punto 1, letra h), las entidades afectadas tendrán en cuenta todas las pérdidas financieras que hayan sufrido como consecuencia del incidente, como los costes de sustitución o reubicación de software, hardware o infraestructuras, los costes de personal, incluidos los costes asociados a la sustitución o reubicación del personal, la contratación de personal adicional, la remuneración de las horas extraordinarias y la recuperación de las capacidades perdidas o deterioradas, los desembolsos por incumplimiento de las obligaciones contractuales, los costes de reparación y compensación a los clientes, las pérdidas por lucro cesante, los costes asociados a la comunicación interna y externa, y los costes de asesoramiento, incluidos los asociados al asesoramiento jurídico, a los servicios forenses y a los servicios de reparación. Los costes necesarios para el funcionamiento cotidiano de la empresa, como los costes de mantenimiento general de infraestructuras, equipos, hardware y software, las mejoras y las iniciativas de evaluación de riesgos, y las primas de seguros, no se considerarán pérdidas financieras derivadas de un incidente. Las entidades afectadas calcularán los importes de las pérdidas financieras basándose en los datos disponibles y, si no pueden determinarse los importes reales de las pérdidas financieras, harán una estimación de dichos importes. |
(1) Reglamento de Ejecución (UE) 2024/2981 de la Comisión, de 28 de noviembre de 2024, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la certificación de las carteras europeas de identidad digital (DO L, 2024/2981, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2981/oj).
ELI: http://data.europa.eu/eli/reg_impl/2025/847/oj
ISSN 1977-0685 (electronic edition)
________________________________________________________________
| Diario Oficial
de la Unión Europea | ES Serie L |
REGLAMENTO DE EJECUCIÓN (UE) 2025/848 DE LA COMISIÓN
de 6 de mayo de 2025
por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo relativo al registro de las partes usuarias de las carteras
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 5 ter, apartado 11,
Considerando lo siguiente:
| (1) | A efectos del registro de las partes usuarias que tengan previsto utilizar carteras europeas de identidad digital (en lo sucesivo, «carteras») para prestar servicios públicos o privados digitales, tal como lo exige el Reglamento (UE) n.o 910/2014, los Estados miembros deben establecer y mantener registros nacionales de las partes usuarias de las carteras establecidas en su territorio. |
| (2) | La Comisión evalúa periódicamente las nuevas tecnologías, prácticas, normas y especificaciones técnicas. Con el fin de garantizar el máximo nivel de armonización entre los Estados miembros para el desarrollo y la certificación de las carteras, las especificaciones técnicas establecidas en el presente Reglamento se basan en el trabajo realizado en virtud de la Recomendación (UE) 2021/946 de la Comisión (2) y en particular la arquitectura y el marco de referencia que forman parte de él. De conformidad con el considerando 75 del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (3), la Comisión debe revisar y, en caso necesario, actualizar el presente Reglamento, para mantenerlo en consonancia con la evolución mundial, la arquitectura y el marco de referencia y seguir las mejores prácticas en el mercado interior. |
| (3) | Para garantizar un amplio acceso a los registros y lograr la interoperabilidad, los Estados miembros deben establecer interfaces legibles tanto por el ser humano como por máquina que cumplan las especificaciones técnicas establecidas en el presente Reglamento. Es preciso que los proveedores de certificados de acceso de parte usuaria de la cartera y de certificados de registro de parte usuaria de la cartera, cuando se disponga de ellos, puedan utilizar también estas interfaces para la expedición de dichos certificados. |
| (4) | Dado que las políticas de registro proporcionan a las partes usuarias de las carteras una orientación clara sobre el proceso de registro, los Estados miembros deben establecer y publicar las políticas de registro aplicables a los registros nacionales establecidos en su territorio. |
| (5) | La finalidad del registro de las partes usuarias de las carteras es generar confianza en el uso de las carteras gracias a una mayor transparencia. Por consiguiente, los Estados miembros deben poner a disposición del público la información pertinente de manera legible tanto por el ser humano como por máquina. A tal fin, las partes usuarias de las carteras deben facilitar la información necesaria, incluida la relativa a su habilitación o habilitaciones, a los registros nacionales. |
| (6) | Además, para mayor transparencia, las partes usuarias de las carteras deben declarar si tienen intención de recurrir a la identificación electrónica de personas físicas. |
| (7) | Para garantizar que el proceso de registro sea eficaz en relación con los costes y proporcionado al riesgo, los registradores deben establecer procesos de registro en línea y, cuando proceda, automatizados que sean fáciles de utilizar para las partes usuarias de las carteras. Es preciso que los registradores verifiquen las solicitudes de registro sin demora indebida. |
| (8) | Los Estados miembros deben garantizar que las carteras puedan autenticar a las partes usuarias de las carteras, con independencia del lugar de la Unión en el que estén establecidas. Para ello, las partes usuarias de las carteras deben utilizar certificados de acceso de parte usuaria de la cartera cuando se identifiquen en unidades de cartera. A fin de garantizar la interoperabilidad de esos certificados entre todas las carteras proporcionadas dentro de la Unión, los certificados de acceso de parte usuaria de la cartera deben ajustarse a unos requisitos comunes establecidos en el anexo. La Comisión debe elaborar políticas de certificación y declaraciones de prácticas de certificación armonizadas que deben aplicar los Estados miembros. La Comisión, en colaboración con los Estados miembros, debe supervisar de cerca la elaboración de normas nuevas o alternativas que puedan servir de base para implementar los certificados de acceso de las partes usuarias. En particular, deben evaluarse los modelos de confianza cuya eficacia y seguridad hayan quedado comprobadas en los Estados miembros. |
| (9) | Tal como se establece en el Reglamento (UE) n.o 910/2014, las partes usuarias de las carteras no deben solicitar a los usuarios que faciliten otros datos que no sean los indicados para el uso previsto de las carteras durante el proceso de registro. Es preciso que los usuarios de una cartera puedan verificar los datos de registro de las partes usuarias de la cartera. Para que los usuarios de una cartera puedan verificar que los atributos solicitados por la parte usuaria de la cartera entran en el ámbito de sus atributos registrados, los Estados miembros pueden exigir que se expidan certificados de registro de parte usuaria de la cartera a las partes usuarias registradas. A fin de garantizar la interoperabilidad de los certificados de registro de parte usuaria de la cartera, los Estados miembros deben garantizar que dichos certificados cumplan los requisitos y las normas establecidos en el anexo. En particular, las partes usuarias de las carteras deben declarar si tienen intención de recurrir a la identificación electrónica de personas físicas para cumplir alguno de los requisitos establecidos en el artículo 6, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) con fines de transparencia. Además, las partes usuarias no deben rechazar el uso de seudónimos, cuando el Derecho de la Unión o nacional no exija la identificación del usuario. |
| (10) | A fin de proteger a los usuarios contra la divulgación excesiva de información a las partes usuarias de las carteras y de advertirles en tales casos, los Estados miembros deben incluir en sus políticas de certificación medidas comunes de acceso que permitan a una solución de cartera informar al usuario de una cartera siempre que una parte usuaria de la cartera solicite más información que aquella para la que se ha registrado o para la que ha sido autorizada a acceder. |
| (11) | Para proteger a los usuarios de una cartera, es preciso que los registradores puedan suspender o cancelar sin previo aviso el registro de cualquier parte usuaria de una cartera cuando tengan motivos para creer que el registro contiene información inexacta, obsoleta o engañosa, que la parte usuaria de la cartera no cumple la política de registro, o que la parte usuaria de la cartera está infringiendo el Derecho de la Unión o nacional o la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital (5) de algún otro modo que guarde relación con su función como parte usuaria de la cartera, por ejemplo, si no ha minimizado debidamente el conjunto de atributos a los que solicita acceso. Para preservar la estabilidad del ecosistema de la cartera europea de identidad digital (el «ecosistema de la cartera»), la decisión de suspender o cancelar un registro debe ser proporcional a la perturbación del servicio causada por la suspensión o la cancelación y a los costes e inconvenientes conexos para el prestador de servicios y el usuario. De conformidad con el artículo 46 bis, apartado 4, letra f), del Reglamento (UE) n.o 910/2014, los organismos de supervisión también deben estar facultados para suspender y cancelar el registro en caso necesario. |
| (12) | A efectos de la supervisión posterior, de las investigaciones llevadas a cabo por las autoridades policiales y judiciales y de la tramitación de litigios, los registradores deben conservar durante diez años registros de toda la información facilitada por las partes usuarias de las carteras establecidas en su registro nacional. |
| (13) | El Reglamento (UE) 2016/679 y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (6) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento. |
| (14) | El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (7), emitió su dictamen el 31 de enero de 2025. |
| (15) | Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Objeto y ámbito de aplicación
El presente Reglamento establece normas para el registro de las partes usuarias de las carteras.
Artículo 2
Definiciones
A los efectos del presente Reglamento, se entenderá por:
| 1) | «parte usuaria de la cartera»: parte que tiene la intención de utilizar unidades de cartera para la prestación de servicios públicos o privados mediante interacción digital; |
| 2) | «unidad de cartera»: configuración única de una solución de cartera que incluye instancias de cartera, aplicaciones criptográficas seguras de cartera y dispositivos criptográficos seguros de cartera proporcionados por un proveedor de carteras a un usuario particular de una cartera; |
| 3) | «solución de cartera»: combinación de software, hardware, servicios, ajustes y configuraciones, que incluye instancias de cartera, una o más aplicaciones criptográficas seguras de cartera y uno o más dispositivos criptográficos seguros de cartera; |
| 4) | «instancia de cartera»: aplicación instalada y configurada en el dispositivo o el entorno de un usuario de una cartera, que forma parte de una unidad de cartera y que el usuario de la cartera utiliza para interactuar con la unidad de cartera; |
| 5) | «aplicación criptográfica segura de cartera»: aplicación que gestiona activos críticos al estar vinculada a las funciones criptográficas y no criptográficas proporcionadas por el dispositivo criptográfico seguro de cartera y utilizarlas; |
| 6) | «dispositivo criptográfico seguro de cartera»: dispositivo resistente a las manipulaciones fraudulentas que proporciona un entorno vinculado a la aplicación criptográfica segura de cartera y utilizado por esta para proteger activos críticos y proporcionar funciones criptográficas para la ejecución segura de operaciones críticas; |
| 7) | «activos críticos»: activos contenidos en una unidad de cartera o relacionados con ella, de tan extraordinaria importancia que, si su disponibilidad, confidencialidad o integridad se vieran comprometidas, el efecto sobre la capacidad para utilizar la unidad de cartera sería muy grave y debilitante; |
| 8) | «proveedor de cartera»: persona física o jurídica que proporciona soluciones de cartera; |
| 9) | «usuario de una cartera»: usuario que tiene el control sobre la unidad de cartera; |
| 10) | «registro nacional de partes usuarias de las carteras»: registro electrónico nacional utilizado por un Estado miembro para poner a disposición del público la información sobre las partes usuarias de las carteras que están registradas en dicho Estado miembro, tal como se establece en el artículo 5 ter, apartado 5, del Reglamento (UE) n.o 910/2014; |
| 11) | «proveedor de certificados de acceso de parte usuaria de la cartera»: persona física o jurídica a la que un Estado miembro ha encomendado expedir certificados de acceso de parte usuaria de la cartera a las partes usuarias de las carteras registradas en ese Estado miembro; |
| 12) | «certificado de acceso de parte usuaria de la cartera»: certificado para sellos o firmas electrónicos, expedido por un proveedor de certificados de acceso de parte usuaria de la cartera, que autentica y valida a la parte usuaria de la cartera; |
| 13) | «proveedor de datos de identificación de la persona»: persona física o jurídica responsable de la expedición y la revocación de los datos de identificación de la persona y de garantizar que los datos de identificación de la persona de un usuario estén vinculados criptográficamente a una unidad de cartera; |
| 14) | «registrador de partes usuarias de las carteras»: el organismo, designado por un Estado miembro, responsable de establecer y mantener la lista de las partes usuarias de las carteras registradas establecidas en su territorio; |
| 15) | «certificado de registro de parte usuaria de la cartera»: objeto de datos que describe el uso previsto de la parte usuaria e indica los atributos que la parte usuaria ha registrado con el propósito de solicitárselos a los usuarios; |
| 16) | «proveedor de certificados de registro de parte usuaria de la cartera»: persona física o jurídica a la que un Estado miembro ha encomendado expedir certificados de registro de parte usuaria de la cartera a las partes usuarias de las carteras registradas en ese Estado miembro. |
Artículo 3
Registros nacionales
- Los Estados miembros constituirán y mantendrán al menos un registro nacional de partes usuarias de las carteras con información relativa a las partes usuarias de las carteras registradas que estén establecidas en ese Estado miembro.
- El registro incluirá al menos la información que figura en el anexo I.
- Los Estados miembros designarán al menos a un registrador para que administre y gestione al menos un registro nacional de partes usuarias de las carteras.
- Los Estados miembros publicarán en línea, tanto en un formato legible por el ser humano como en un formato adecuado para el tratamiento automatizado, la información que se indica en el anexo I sobre las partes usuarias de las carteras registradas.
- La información a la que se refiere el apartado 2 estará disponible a través de una única interfaz de programación de aplicaciones («API») común y de un sitio web nacional. Estará firmada o sellada electrónicamente por el registrador o en su nombre, de conformidad con los requisitos comunes para una API única establecidos en la sección 1 del anexo II.
- Los Estados miembros se asegurarán de que la API a la que se refiere el apartado5 cumpla los requisitos comunes establecidos en la sección 2 del anexo II.
- Los Estados miembros se asegurarán de que los registros cumplan las políticas de registro comunes pertinentes establecidas en el artículo 4.
Artículo 4
Políticas de registro
- Los Estados miembros instaurarán y publicarán una o varias políticas nacionales de registro aplicables a los registros nacionales establecidos en su territorio.
- Los Estados miembros podrán incluir o reutilizar políticas de registro sectoriales o nacionales existentes.
- La política nacional de registro incluirá, como mínimo, información sobre:
| a) | los procedimientos de identificación y autenticación aplicables a las partes usuarias de las carteras durante el proceso de registro; |
| b) | la documentación justificativa requerida, relativa a la identidad, el registro mercantil, la habilitación o las habilitaciones aplicables y otra información pertinente sobre la parte usuaria de la cartera; |
| c) | las fuentes auténticas u otros registros electrónicos oficiales y en qué casos se puede recurrir a dichas fuentes o registros para obtener datos exactos; |
| d) | cualquier otra información o prueba necesaria como parte del proceso de registro; |
| e) | cuando proceda, los medios automatizados disponibles para que las partes usuarias de las carteras puedan registrarse o para actualizar un registro existente; |
| f) | el mecanismo de recurso de que disponen las partes usuarias de las carteras en virtud de la legislación y los procedimientos del Estado miembro en el que esté establecido el registro nacional; |
| g) | las normas y los procedimientos para la verificación de la identidad de las partes usuarias de las carteras registradas y de cualquier otra información pertinente facilitada por dichas partes. |
- Los procedimientos y la documentación a que se refiere el apartado 3, letras (a) y (b), permitirán a las partes usuarias de las carteras indicar la habilitación o las habilitaciones específicas en virtud de las cuales están actuando, tal como se establece en el anexo I.
- Cuando proceda, los requisitos establecidos en la política nacional de registro no impedirán un proceso de registro automatizado.
Artículo 5
Información que debe facilitarse a los registros nacionales
- Las partes usuarias de las carteras facilitarán al menos la información indicada en el anexo I a los registros nacionales.
- Las partes usuarias de las carteras se asegurarán de que la información facilitada sea exacta en el momento del registro.
- Las partes usuarias de las carteras actualizarán sin demora indebida cualquier información previamente inscrita en el registro nacional de partes usuarias de las carteras.
Artículo 6
Proceso de registro
- Los registradores establecerán procesos de registro electrónicos y, cuando sea posible, automatizados fáciles de utilizar para las partes usuarias de las carteras.
- Los registradores tramitarán las solicitudes de registro sin demora indebida y darán respuesta a la solicitud de registro del solicitante en el plazo definido en la política de registro aplicable, utilizando los medios adecuados y de conformidad con la legislación y los procedimientos del Estado miembro en el que esté establecido el registro nacional.
- Siempre que sea posible, los registradores verificarán de manera automatizada:
| a) | la exactitud, la validez, la autenticidad y la integridad de la información exigida en virtud del artículo 5; |
| b) | cuando proceda, el poder de representación de los representantes de las partes usuarias de las carteras redactado y presentado de conformidad con la legislación y los procedimientos del Estado miembro en el que esté establecido el registro nacional; |
| c) | el tipo de habilitación o habilitaciones de las partes usuarias de las carteras, tal como se establece en el anexo I; |
| d) | la ausencia de inscripción en otro registro nacional. |
- Los registradores cotejarán la información indicada en el apartado 3 con la documentación justificativa proporcionada por las partes usuarias de las carteras o con las fuentes auténticas adecuadas u otros registros electrónicos oficiales del Estado miembro en el que esté establecido el registro nacional y a los que tengan acceso los registradores de conformidad con la legislación y los procedimientos nacionales aplicables.
- La verificación de las habilitaciones de las partes usuarias de las carteras a que se refiere el apartado 3, letra (c) se llevará a cabo de conformidad con el anexo III.
- Cuando el registrador no pueda verificar la información de conformidad con lo dispuesto en los apartados 3 a 5, rechazará el registro.
- Cuando una parte usuaria de cartera ya no tenga la intención de confiar en unidades de cartera para la prestación de servicios públicos o privados en el marco de un registro específico, lo notificará sin demora indebida al registrador pertinente y solicitará la cancelación de ese registro.
Artículo 7
Certificados de acceso de parte usuaria de la cartera
- Los Estados miembros autorizarán al menos a una autoridad de certificación para que expida certificados de acceso de parte usuaria de la cartera.
- Los Estados miembros se asegurarán de que los proveedores de certificados de acceso de parte usuaria de la cartera expidan estos certificados de acceso exclusivamente a las partes usuarias de las carteras registradas.
- Los Estados miembros aplicarán de manera sintáctica y semánticamente armonizada las políticas de certificación y las declaraciones de prácticas de certificación para los certificados de acceso de parte usuaria de la cartera, de conformidad con los requisitos establecidos en el anexo IV.
Artículo 8
Certificados de registro de parte usuaria de la cartera
- Los Estados miembros podrán autorizar al menos a una autoridad de certificación para que expida certificados de registro de parte usuaria de la cartera.
- Cuando un Estado miembro haya autorizado la expedición de un certificado de registro de una parte usuaria de la cartera, dicho Estado miembro:
| a) | exigirá a los proveedores de certificados de registro de parte usuaria de la cartera que expidan estos certificados de registro exclusivamente a las partes usuarias de las carteras registradas; |
| b) | se asegurará que cada uso previsto esté explicitado en los certificados de registro de parte usuaria de la cartera; |
| c) | se asegurará de que los certificados de registro de parte usuaria de la cartera incluyan una política general de acceso, armonizada sintáctica y semánticamente en toda la Unión, que informe a los usuarios de que la parte usuaria de la cartera solo está autorizada a solicitar los datos especificados en los certificados de registro para el uso previsto registrado en ellos; |
| d) | se asegurará de que los proveedores de soluciones de cartera establecidos en ese Estado miembro cumplan la política general de acceso informando a los usuarios cuando una parte usuaria de cartera solicite datos que no estén especificados en los certificados de registro; |
| e) | implementará los certificados de registro de parte usuaria de la cartera de manera armonizada sintáctica y semánticamente y en consonancia con los requisitos establecidos en el anexo V; |
| f) | aplicará políticas de certificación y declaraciones de prácticas de certificación específicas para los certificados de registro de parte usuaria de la cartera, de conformidad con los requisitos establecidos en el anexo V; |
| g) | se asegurará de que las partes usuarias de las carteras proporcionen una URL a la política de privacidad en relación con el uso previsto. |
- La política a la que se refiere la letra (g) se reflejará en el certificado de registro de la parte usuaria de la cartera.
Artículo 9
Suspensión y cancelación del registro
- Los registradores suspenderán o cancelarán el registro de una parte usuaria de cartera cuando un organismo de supervisión solicite dicha suspensión o cancelación de conformidad con el artículo 46 bis, apartado 4, letra f), del Reglamento (UE) n.o910/2014.
- Los registradores podrán suspender o cancelar el registro de una parte usuaria de cartera cuando tengan motivos para creer que se da alguna de las siguientes circunstancias:
| a) | el registro contiene información inexacta, obsoleta o engañosa; |
| b) | la parte usuaria de la cartera no cumple la política de registro; |
| c) | la parte usuaria de la cartera solicita más atributos de los que ha registrado de conformidad con el artículo 5 y el artículo 6; |
| d) | la parte usuaria de la cartera está infringiendo el Derecho de la Unión o nacional de algún otro modo que guarde relación con su función como parte usuaria de la cartera. |
- Los registradores suspenderán o cancelarán el registro de una parte usuaria de la cartera cuando la propia parte usuaria de la cartera solicite la cancelación o la suspensión.
- Al considerar la suspensión o la cancelación de conformidad con el apartado 2, el registrador llevará a cabo una evaluación de la proporcionalidad, teniendo en cuenta la repercusión en los derechos fundamentales, la seguridad y la confidencialidad de los usuarios en el ecosistema, así como la gravedad de la perturbación que se prevé que cause la suspensión o la cancelación y los costes asociados, tanto para la parte usuaria de la cartera como para el usuario. Sobre la base del resultado de esta evaluación, el registrador podrá suspender o cancelar el registro con o sin previo aviso a la parte usuaria de la cartera afectada.
- Cuando el registro de una parte usuaria de la cartera se suspenda o se cancele, el registrador informará de ello, sin demora indebida y a más tardar veinticuatro horas después de la suspensión o la cancelación, al proveedor de los certificados de acceso de parte usuaria de la cartera pertinentes, al proveedor de los certificados de registro de parte usuaria de la cartera pertinentes y a la parte usuaria de la cartera afectada. Esta notificación incluirá información sobre los motivos de la suspensión o cancelación y sobre las vías de recurso disponibles.
- El proveedor de certificados de acceso de parte usuaria de la cartera y el proveedor de certificados de registro de parte usuaria de la cartera revocarán sin demora indebida, cuando proceda, los certificados de acceso de parte usuaria de la cartera y los certificados de registro de parte usuaria de la cartera, respectivamente, de la parte usuaria de la cartera cuyo registro se haya suspendido o cancelado.
Artículo 10
Conservación de los registros
Los registradores conservarán durante diez años los registros de la información facilitada por las partes usuarias de las carteras y registrada de conformidad con el anexo I para el registro de una parte usuaria de la cartera y la expedición de los certificados de acceso de parte usuaria de la cartera y los certificados de registro de parte usuaria de la cartera, así como de cualquier modificación posterior de esta información.
Artículo 11
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 24 de diciembre de 2026.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 6 de mayo de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (DO L 210 de 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
(3) Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/ 679/oj).
(5) DO C 23 de 23.1.2023, p. 1.
(6) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(7) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39. ELI: http://data. europa.eu/eli/reg/2018/1725/oj).
ANEXO I
Información relativa a las partes usuarias de las carteras
| 1. | Cuando proceda, el nombre de la parte usuaria de la cartera, como figure en un registro oficial, junto con los datos de identificación de dicho registro oficial.| a) | si no es aplicable, se seguirá lo dispuesto en el apartado 2. |
|
| 2. | Cuando proceda, un nombre fácil de usar de la parte usuaria de la cartera, que puede ser un nombre comercial o un nombre de servicio reconocible para el usuario. |
| 3. | Cuando proceda, uno o varios identificadores de la parte usuaria de la cartera, tal y como figuren en un registro oficial, junto con los datos de identificación de dicho registro oficial, expresados como:| a) | un número de registro e identificación de agente económico (EORI) como el mencionado en el Reglamento de Ejecución (UE) n.o 1352/2013 de la Comisión (1); |
| b) | un número de registro tal y como esté inscrito en un registro mercantil nacional; |
| c) | un identificador de entidad jurídica (LEI) como el mencionado en el Reglamento de Ejecución (UE) n.o 2022/1860 de la Comisión (2); |
| d) | un número de identificación a efectos del impuesto sobre el valor añadido («IVA»); |
| e) | un número de impuestos especiales como el mencionado en el artículo 2, punto 12, del Reglamento (UE) n.o 389/2012 del Consejo (3); |
| f) | un número de identificación fiscal; |
| g) | un identificador único europeo (EUID) como el mencionado en el Reglamento de Ejecución (UE) n.o 2021/1042 de la Comisión (4); |
| h) | otro identificador nacional u otros identificadores nacionales. |
|
| 4. | La dirección física en la que está establecida la parte usuaria de la cartera. |
| 5. | Cuando proceda, un localizador uniforme de recursos («URL») perteneciente a la parte usuaria de la cartera. |
| 6. | Cuando el identificador se exprese de conformidad con el punto 3, letras (a), (d), (f) o (h), el indicador de país del Estado miembro en el que la parte usuaria de la cartera esté establecida estará fijado previamente utilizando los códigos de país alfa-2 especificados en la norma ISO 3166-1, con excepción del indicador de país para Grecia, que será «EL». |
| 7. | Información de contacto de la parte usuaria de la cartera, indicando al menos uno de los siguientes datos:| a) | un sitio web en el que se pueda contactar con la parte usuaria de la cartera para cuestiones relativas a la prestación de asistencia y apoyo; |
| b) | un número de teléfono en el que se pueda contactar con la parte usuaria de la cartera para cuestiones relacionadas con su registro y el uso previsto de las unidades de cartera; |
| c) | una dirección de correo electrónico en la que se pueda contactar con la parte usuaria de cartera para cuestiones relacionadas con su registro y el uso previsto de la unidad de cartera. |
|
| 8. | Una descripción del tipo de servicios prestados por la parte usuaria de la cartera. |
| 9. | Para cada uso previsto, una lista de los datos, incluidas las declaraciones y los atributos, que la parte usuaria tiene intención de solicitar, un nombre fácil de usar y un nombre técnico, el tipo de declaración y cualquier otra sintaxis en la que se agrupen los datos, en un formato legible por máquina para el tratamiento automatizado. |
| 10. | Para cada uso previsto, una descripción del uso previsto de los datos que la parte usuaria de la cartera tiene intención de solicitar a las unidades de cartera. |
| 11. | Una indicación de si la parte usuaria de la cartera es un organismo del sector público. |
| 12. | La habilitación o las habilitaciones de la parte usuaria de la cartera, expresadas de la siguiente manera:| a) | «Service_Provider» para expresar la habilitación de la parte usuaria de la cartera como prestador de servicios; |
| b) | «QEAA_Provider» para expresar la habilitación de la parte usuaria de la cartera como prestador cualificado de servicios de confianza que expide declaraciones electrónicas cualificadas de atributos; |
| c) | «Non_Q_EAA_Provider» para expresar la habilitación de la parte usuaria de la cartera como prestador de servicios de confianza que expide declaraciones electrónicas no cualificadas de atributos; |
| d) | «PUB_EAA_Provider» para expresar la habilitación de la parte usuaria de la cartera como proveedora de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica o en nombre de este; |
| e) | «PID_Provider» para expresar la habilitación de la parte usuaria de la cartera como proveedor de datos de identificación de la persona; |
| f) | «QCert_for_ESeal_Provider» para expresar la habilitación de la parte usuaria de la cartera como prestador cualificado de servicios de confianza que expide certificados cualificados para sellos electrónicos; |
| g) | «QCert_for_ESig_Provider» para expresar la habilitación de la parte usuaria de la cartera como prestador cualificado de servicios de confianza que expide certificados cualificados para firmas electrónicas; |
| h) | «rQSigCDson Provider» para expresar la habilitación de la parte usuaria de la cartera como prestador cualificado de servicios de confianza que presta un servicio de confianza cualificado para la gestión de un dispositivo cualificado de creación de firma electrónica a distancia; |
| i) | «rQSealCDS Provider» para expresar la habilitación de la parte usuaria de la cartera como prestador cualificado de servicios de confianza que presta servicios de confianza cualificados para la gestión de un dispositivo cualificado de creación de sello electrónico a distancia; |
| j) | «ESig_ESeal_Creation_Provider» para expresar la habilitación de la parte usuaria de la cartera como prestador no cualificado de servicios de confianza que presta un servicio de confianza no cualificado para la creación de firmas electrónicas o sellos electrónicos a distancia. |
|
| 13. | Por lo que respecta al punto 12, letra (c), los Estados miembros podrán conceder otras subcategorías de habilitaciones para exponer qué declaraciones expedirá determinado emisor no cualificado de declaraciones electrónicas de atributos. |
| 14. | Cuando proceda, una indicación de que la parte usuaria de la cartera confía en un intermediario que actúa en nombre de la parte usuaria que tiene intención de utilizar la cartera. |
| 15. | Cuando proceda, un enlace de asociación con el intermediario en el que confía la parte usuaria de la cartera que actúa en nombre de la parte usuaria que tiene intención de utilizar la cartera. |
(1) Reglamento de Ejecución (UE) n.o 1352/2013 de la Comisión, de 4 de diciembre de 2013, por el que se establecen los formularios previstos en el Reglamento (UE) n.o 608/2013 del Parlamento Europeo y del Consejo, relativo a la vigilancia por parte de las autoridades aduaneras del respeto de los derechos de propiedad intelectual (DO L 341 de 18.12.2013, p. 10, ELI: http://data.europa.eu/eli/reg_impl/2013/1352/oj).
(2) Reglamento de Ejecución (UE) 2022/1860 de la Comisión, de 10 de junio de 2022, por el que se establecen normas técnicas de ejecución para la aplicación del Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo por lo que respecta a los estándares, los formatos, la frecuencia y los métodos y mecanismos de notificación (DO L 262 de 7.10.2022, p. 68, ELI: http://data.europa.eu/eli/reg_impl/2022/1860/oj).
(3) Reglamento (UE) n.o 389/2012 del Consejo, de 2 de mayo de 2012, sobre cooperación administrativa en el ámbito de los impuestos especiales y por el que se deroga el Reglamento (CE) n.o 2073/2004 (DO L 121 de 8.5.2012, p. 1, ELI: http://data.europa.eu/eli/reg/2012/389/oj).
(4) Reglamento de Ejecución (UE) 2021/1042 de la Comisión, de 18 de junio de 2021, por el que se establecen disposiciones de aplicación de la Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo en lo que respecta a las especificaciones y los procedimientos técnicos necesarios para el sistema de interconexión de registros, y por el que se deroga el Reglamento de Ejecución (UE) 2020/2244 de la Comisión (DO L 225 de 25.6.2021, p. 7, ELI: http://data.europa.eu/eli/reg_impl/2021/1042/oj).
ANEXO II
1. REQUISITOS PARA LAS FIRMAS ELECTRÓNICAS O LOS SELLOS ELECTRÓNICOS APLICADOS A LA INFORMACIÓN FACILITADA SOBRE LAS PARTES USUARIAS DE LAS CARTERAS REGISTRADAS A QUE SE REFIERE EL ARTÍCULO 3
| — | JavaScript Object Notation («JSON»); |
| — | 7515 IETF para firmas web JSON. |
2. REQUISITOS RELATIVOS A LA API COMÚN ÚNICA A QUE SE REFIERE EL ARTÍCULO 3
| 1) | La API común única:| a) | será una API REST que proporcione soporte a JSON como formato y firmada de conformidad con los requisitos pertinentes especificados en la sección 1; |
| b) | permitirá que cualquier solicitante, sin autenticación previa, realice búsquedas en el registro y solicitudes de listas completas al registro, para obtener información sobre las partes usuarias de las carteras registradas, permitiendo correspondencias parciales basadas en parámetros definidos, que incluirán, cuando proceda, el número de registro mercantil u oficial de la parte usuaria de la cartera, el nombre de la parte usuaria de la cartera o la información a que se refieren el artículo 8, apartado 2, letra g), y el anexo I, puntos 12, 13, 14 y 15; |
| c) | garantizará que las respuestas a las solicitudes a que se refiere la letra (b) que correspondan al menos a una parte usuaria de la cartera incluyan una o más menciones de información sobre las partes usuarias de las carteras registradas e información con arreglo al anexo I, los certificados de acceso de parte usuaria de la cartera y los certificados de registro de parte usuaria de la cartera actuales e históricos, pero excluyan la información de contacto que se indica en el anexo I, punto 4; |
| d) | se publicará como OpenAPI versión 3, junto con la documentación y las especificaciones técnicas adecuadas que garanticen la interoperabilidad en toda la Unión; |
| e) | proporcionará funciones de seguridad, incluida la seguridad por defecto y desde el diseño, para garantizar la disponibilidad e integridad de la API y la disponibilidad de información a través de ella. |
|
| 2) | Las menciones a que se refiere la letra (c) se expresarán en forma de archivos JSON firmados o sellados electrónicamente, cuyo formato y estructura se ajusten a los requisitos sobre firmas o sellos electrónicos establecidos en la sección 1. |
ANEXO III
Fuente de pruebas documentales para la verificación de las habilitaciones de las partes usuarias de las carteras a que se refiere el artículo 6
| 1. | La verificación de que una parte usuaria de la cartera es un proveedor de declaraciones electrónicas cualificadas de atributos, un proveedor de certificados cualificados para firmas electrónicas o sellos electrónicos, o un prestador de un servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de firma o sello electrónicos a distancia se basará en las listas de confianza nacionales publicadas de conformidad con el artículo 22 del Reglamento (UE) n.o 910/2014. |
| 2. | La verificación de que una parte usuaria de la cartera es un proveedor de declaraciones electrónicas no cualificadas de atributos o un proveedor de creación a distancia de firmas electrónicas o sellos electrónicos como servicio de confianza no cualificado se basará, cuando proceda, en las listas de confianza nacionales publicadas de conformidad con el artículo 22 del Reglamento (UE) n.o 910/2014, o, en el caso de los prestadores de servicios de confianza no cualificados que no estén registrados en las listas de confianza nacionales, en los procedimientos de verificación que los Estados miembros hayan establecido en sus políticas de registro conforme a lo dispuesto en el artículo 4. |
| 3. | La verificación de que una parte usuaria de la cartera es un proveedor de datos de identificación de la persona se basará en la lista de proveedores de datos de identificación de la persona publicada por la Comisión de conformidad con el artículo 5 bis, apartado 18, del Reglamento (UE) n.o 910/2014. |
| 4. | La verificación de que una parte usuaria de la cartera es un proveedor de declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica o en nombre de este se basará en la lista publicada por la Comisión de conformidad con el artículo 45 septies, apartado 3, del Reglamento (UE) n.o 910/2014. |
ANEXO IV
Requisitos aplicables a los certificados de acceso de parte usuaria de la cartera a que se refiere el artículo 7
| 1. | La política de certificación del acceso de parte usuaria de la cartera aplicable al suministro de certificados de acceso de parte usuaria de la cartera describirá los requisitos de seguridad aplicables a un certificado de acceso de parte usuaria de la cartera y las normas de aplicabilidad de dicho certificado, de modo que se puedan expedir estos certificados a las partes usuarias de las carteras y estas puedan utilizarlos en sus interacciones con soluciones de cartera. |
| 2. | La declaración de prácticas de certificación del acceso de parte usuaria de la cartera aplicable al suministro de certificados de acceso de parte usuaria de la cartera describirá las prácticas que emplea un proveedor de certificados de acceso de parte usuaria de la cartera para la expedición, la gestión, la revocación y el cambio de claves de los certificados de acceso de parte usuaria de la cartera. |
| 3. | La política de certificación y la declaración de prácticas de certificación aplicables al suministro de certificados de acceso de parte usuaria de la cartera estarán sintáctica y semánticamente armonizadas en toda la Unión y, cuando proceda, cumplirán al menos los requisitos de la política de certificación normalizada («NCP») especificados en la norma ETSI EN 319411-1, versión 1.4.1 (2023-10), e incluirán:| a) | una descripción clara de la jerarquía de infraestructura de clave pública y los itinerarios de certificación, desde los certificados de acceso de parte usuaria de la cartera de la entidad final hasta la parte superior de la jerarquía utilizada para expedirlos, indicando el ancla o las anclas de confianza previstas en dicha jerarquía y los itinerarios que deben basarse en el marco de confianza establecido de conformidad con el artículo 5 bis, apartado 18, del Reglamento (UE) n.o 910/2014; |
| b) | una descripción exhaustiva de los procedimientos para la expedición de certificados de acceso de parte usuaria de la cartera, y en concreto para la verificación de la identidad y cualquier otro atributo de la parte usuaria de la cartera a la que se vaya a expedir un certificado de parte usuaria de la cartera; |
| c) | la obligación de que los proveedores de certificados de acceso de parte usuaria de la cartera, cuando expidan un certificado de acceso de parte usuaria de la cartera, verifiquen que:| — | la parte usuaria de la cartera está incluida, con un estado de registro válido, en un registro nacional de partes usuarias de las carteras del Estado miembro en el que está establecida dicha parte; |
| — | toda información contenida en el certificado de acceso de parte usuaria de la cartera es exacta y coherente con la información de inscripción en el registro disponible en dicho registro; |
|
| d) | una descripción exhaustiva de los procedimientos para la revocación de los certificados de acceso de parte usuaria de la cartera; |
| e) | la obligación de que los proveedores de certificados de acceso de parte usuaria de la cartera apliquen medidas y procesos para:| — | hacer un seguimiento continuo de cualquier cambio en el registro nacional de partes usuarias de la cartera en el que estén registradas las partes usuarias de la cartera a las que hayan expedido certificados de acceso de parte usuaria de la cartera; |
| — | revocar, cuando los cambios así lo requieran, cualquier certificado de parte usuaria de la cartera que el proveedor haya expedido a la parte usuaria correspondiente, en particular cuando el contenido del certificado ya no sea exacto ni coherente con la información registrada, o cuando se suspenda o cancele el registro de dicha parte; |
|
| f) | una descripción exhaustiva de los procedimientos y los mecanismos para la validación armonizada de los certificados de acceso de parte usuaria de la cartera en toda la Unión; |
| g) | la obligación de que los proveedores de certificados de acceso de parte usuaria de la cartera permitan a las partes interesadas pertinentes, en concreto a las partes usuarias de la cartera en lo que respecta a sus propios certificados, a los organismos de supervisión y a las autoridades de protección de datos competentes, solicitar la revocación de los certificados de acceso de parte usuaria de la cartera; |
| h) | la obligación de que los proveedores de certificados de acceso de parte usuaria de la cartera registren todas esas revocaciones en su base de datos de certificados y publiquen el estado de revocación del certificado a su debido tiempo, y en cualquier caso en un plazo de veinticuatro horas a partir de la recepción de la solicitud de revocación; |
| i) | la obligación de que los proveedores de certificados de acceso de parte usuaria de la cartera faciliten información sobre el estado de validez o revocación de los certificados de parte usuaria de la cartera que hayan expedido; |
| j) | una descripción, cuando proceda, del modo en que un proveedor de certificados de acceso de parte usuaria de la cartera archiva todos los certificados de acceso de parte usuaria de la cartera que ha expedido, de conformidad con el estándar de solicitud de comentarios («RFC») 9162 de transparencia de la certificación, versión 2.0, del Grupo de Trabajo de Ingeniería de Internet («IETF»); |
| k) | la obligación de que los certificados de acceso de parte usuaria de la cartera incluyan:| — | la ubicación en la que está disponible el certificado que da soporte a la firma electrónica avanzada o el sello electrónico avanzado en dicho certificado, para todo el itinerario de certificación que debe construirse hasta el ancla de confianza prevista en la jerarquía de infraestructura de clave pública utilizada por el proveedor; |
| — | una referencia procesable por máquina a la política de certificación y la declaración de prácticas de certificación aplicables; |
| — | la información a que se refiere el anexo I, puntos 1, 2, 3, 5, 6 y punto 7, letras (a), (b) y (c). |
|
|
| 4. | La revocación mencionada en el punto 3, letra (g), será efectiva inmediatamente después de su publicación. |
| 5. | La información mencionada en el punto 3, letra (h), deberá proporcionarse al menos por cada certificado en cualquier momento, y al menos con posterioridad al período de validez del certificado, en un formato automatizado que sea fiable, gratuito y efectivo de conformidad con la política de certificación. |
ANEXO V
Requisitos aplicables a los certificados de registro de parte usuaria de la cartera a que se refiere el artículo 8
| 1. | La política de certificación del registro de parte usuaria de la cartera aplicable al suministro de certificados de registro de parte usuaria de la cartera describirá los requisitos de seguridad aplicables a un certificado de registro de parte usuaria de la cartera y las normas de aplicabilidad de dicho certificado, para su expedición a las partes usuarias de la cartera y su uso por estas en sus interacciones con soluciones de cartera. La política de certificación del registro de parte usuaria de la cartera se publicará en un formato legible por el ser humano. |
| 2. | La declaración de prácticas de certificación del registro de parte usuaria de la cartera aplicable al suministro de certificados de registro de parte usuaria de la cartera describirá las prácticas que emplea un proveedor de certificados de registro de parte usuaria de la cartera para la expedición, la gestión, la revocación y el cambio de claves de los certificados de registro de parte usuaria de la cartera y, cuando proceda, cómo se relacionan con los certificados de acceso de parte usuaria de la cartera expedidos a partes usuarias de la cartera. La declaración de prácticas de certificación del registro de parte usuaria de la cartera se publicará en un formato legible por el ser humano. |
| 3. | La política de certificación y la declaración de prácticas de certificación del registro de parte usuaria de la cartera aplicables al suministro de certificados de registro de parte usuaria de la cartera estarán sintáctica y semánticamente armonizadas en toda la Unión y cumplirán al menos los requisitos de la política de certificación normalizada («NCP») aplicables especificados en la norma ETSI EN 319411-1, versión 1.4.1 (2023-10), e incluirán:| a) | una descripción clara de la jerarquía de infraestructura de clave pública y los itinerarios de certificación, desde los certificados de registro de parte usuaria de la cartera de la entidad final hasta la parte superior de la jerarquía utilizada para expedirlos, indicando al mismo tiempo el ancla o las anclas de confianza previstas en dicha jerarquía y dichos itinerarios; |
| b) | una descripción exhaustiva de los procedimientos para la expedición de certificados de registro de parte usuaria de la cartera, y en concreto para la verificación de la identidad y de cualquier atributo de la parte usuaria de la cartera a la que se vaya a expedir un certificado de parte usuaria de la cartera; |
| c) | la obligación de que el proveedor de certificados de registro de parte usuaria de la cartera, cuando expida un certificado de registro de parte usuaria de la cartera, verifique que:| — | la parte usuaria de la cartera está incluida, con un estado de registro válido, en un registro nacional para partes usuarias de las carteras del Estado miembro en el que está establecida dicha parte; |
| — | la información contenida en el certificado de registro de parte usuaria de la cartera es exacta y coherente con la información de inscripción en el registro disponible en dicho registro; |
| — | el certificado de acceso de parte usuaria de la cartera es válido; |
| — | la descripción de los procedimientos para la revocación de los certificados de registro de parte usuaria de la cartera es exhaustiva; |
|
| d) | la obligación de que el proveedor de certificados de registro de parte usuaria de la cartera aplique medidas y procesos relativos a:| — | el seguimiento automatizado continuo de cualquier cambio en el registro nacional de partes usuarias de la cartera en el que estén registradas las partes usuarias de la cartera a las que haya expedido certificados de registro de parte usuaria de la cartera; |
| — | la reexpedición del certificado de registro de parte usuaria de la cartera; |
| — | la revocación de cualquier certificado de registro de parte usuaria de la cartera que haya expedido a la parte usuaria de la cartera correspondiente, cuando esos cambios así lo exijan, en particular cuando el contenido del certificado ya no sea exacto ni coherente con la información registrada, o cuando se modifique, suspenda o cancele el registro de dicha parte usuaria; |
|
| e) | una descripción exhaustiva de los procedimientos y los mecanismos para la validación armonizada de los certificados de registro de parte usuaria de la cartera; |
| f) | la obligación de que el proveedor de certificados de registro de parte usuaria de la cartera permita a las partes interesadas pertinentes, en concreto a las partes usuarias de la cartera en lo que respecta a sus propios certificados, a los organismos de supervisión y a las autoridades de protección de datos competentes, solicitar la revocación de los certificados de registro de parte usuaria de la cartera; |
| g) | la obligación de que el proveedor de certificados de registro de parte usuaria de la cartera registre todas esas revocaciones en su base de datos de certificados y publique el estado de revocación del certificado a su debido tiempo, y en cualquier caso en un plazo de veinticuatro horas a partir de la recepción de la solicitud de revocación; |
| h) | la obligación de que los proveedores de certificados de registro de parte usuaria de la cartera faciliten información sobre el estado de validez o revocación de los certificados de registro de parte usuaria de la cartera que hayan expedido; |
| i) | una descripción, cuando proceda, del modo en que un proveedor de certificados de registro de parte usuaria de la cartera archiva todos los certificados de registro de parte usuaria de la cartera que ha expedido; |
| j) | la obligación de que los certificados de registro de parte usuaria de la cartera incluyan:| — | la ubicación en la que estén disponibles los datos de validación de la firma electrónica avanzada o del sello electrónico avanzado del certificado utilizado para firmar o sellar el certificado de registro, para toda la cadena de confianza que debe construirse hasta el ancla de confianza prevista; |
| — | una referencia legible por máquina a la política de certificación y la declaración de prácticas de certificación aplicables; |
| — | la información a que se refiere el anexo I, puntos 1, 2, 3, 5, 6 y 8, 9, 10, 11, 12, 13, 14 y 15; |
| — | la URL a la política de privacidad a que se refiere el artículo 8, apartado 2, letra g); |
| — | la política general de acceso a que se refiere el artículo 8, apartado 3. |
|
|
| 4. | El formato de intercambio de datos para el certificado de registro de parte usuaria se firmará con JSON Web Tokens (IETF RFC 7519) y CBOR Web Tokens (IETF RFC 8392). |
| 5. | La revocación mencionada en el punto 3, letra (g), será efectiva inmediatamente después de su publicación. |
| 6. | La información mencionada en el punto 3, letra (h), deberá proporcionarse al menos por cada certificado en cualquier momento, y al menos con posterioridad al período de validez del certificado, en un formato automatizado que sea fiable, gratuito y efectivo de conformidad con la política de certificación. |
ELI: http://data.europa.eu/eli/reg_impl/2025/848/oj
ISSN 1977-0685 (electronic edition)
______________________________________________________________
| Diario Oficial
de la Unión Europea | ES Serie L |
REGLAMENTO DE EJECUCIÓN (UE) 2025/849 DE LA COMISIÓN
de 6 de mayo de 2025
por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la presentación de información a la Comisión y al Grupo de Cooperación para la lista de carteras europeas de identidad digital certificadas
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 5 quinquies, apartado 7,
Considerando lo siguiente:
| (1) | El marco europeo de identidad digital (en lo sucesivo, «marco») establecido en el Reglamento (UE) n.o 910/2014 es un componente crucial para la creación de un ecosistema de identidad digital seguro e interoperable en toda la Unión. El objetivo de este marco, con las carteras europeas de identidad digital (en lo sucesivo, «carteras») como piedra angular, es facilitar el acceso a los servicios en línea en todos los Estados miembros, para los ciudadanos, los residentes y las empresas, garantizando al mismo tiempo la protección de los datos personales y de la privacidad. |
| (2) | El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (2) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (3) son aplicables a las actividades de tratamiento de datos personales en virtud del presente Reglamento. |
| (3) | Para que la Comisión establezca, publique en el Diario Oficial de la Unión Europea y mantenga en un formato legible por máquina una lista con la información presentada por los Estados miembros sobre las carteras certificadas, es preciso que establezca los formatos y procedimientos que los Estados miembros deberán utilizar para presentar y actualizar la información exigida a la Comisión y al Grupo de Cooperación sobre la Identidad Digital Europea creado en virtud del artículo 46 sexies, apartado 1, del Reglamento (UE) n.o 910/2014 (en lo sucesivo, el «Grupo de Cooperación»). Teniendo en cuenta que la información presentada está destinada a ser utilizada por la Comisión, el Grupo de Cooperación y el público en general, conviene que los Estados miembros presenten dicha información al menos en inglés, ya que esto facilita su accesibilidad general, su evaluación y su comprensión, al mismo tiempo que mejora la cooperación. |
| (4) | La información sobre las carteras certificadas que los Estados miembros deben presentar es esencial para garantizar la confianza, la transparencia y la armonización en todo el ecosistema de carteras, al fomentar la confianza entre los usuarios de una cartera, los proveedores de carteras y las autoridades reguladoras. Por consiguiente, debe incluir una descripción de una solución de cartera y del sistema de identificación electrónica en el marco del cual se proporciona. Esa descripción debe contener datos sobre la autoridad o las autoridades responsables de la solución de cartera y el sistema de identificación electrónica, el régimen de supervisión aplicable, el régimen de responsabilidades en lo que respecta a la parte que proporciona la solución de cartera, las disposiciones relativas a la suspensión o la revocación del sistema de identificación electrónica, de la solución de cartera proporcionada en el marco de este sistema o de cualesquiera partes afectadas de ella, así como sobre el certificado y el informe de evaluación de la certificación de la provisión y la gestión de las soluciones de cartera y de los sistemas de identificación electrónica en el marco de los cuales se proporcionan. La información debe ser suficiente para que la Comisión pueda establecer, publicar en el Diario Oficial de la Unión Europea y mantener en un formato legible por máquina una lista de carteras certificadas. El canal electrónico seguro utilizado para presentar información relativa a las carteras certificadas debe evitar que los Estados miembros presenten la misma información por duplicado. |
| (5) | El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4), emitió su dictamen el 31 de enero de 2025. |
| (6) | Las medidas previstas en el presente Reglamento se ajustan al dictamen del comité establecido por el artículo 48 del Reglamento (UE) n.o 910/2014. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Objeto
El presente Reglamento establece los formatos y los procedimientos relativos a la presentación de información por los Estados miembros a la Comisión y al Grupo de Cooperación para la lista de carteras certificadas, con arreglo al artículo 5 quinquies del Reglamento (UE) n.o 910/2014, que debe actualizarse periódicamente para que esté siempre adaptada a la evolución de la tecnología y de las normas y al trabajo realizado sobre la base de la Recomendación (UE) 2021/946 de la Comisión (5), y en particular la arquitectura y el marco de referencia.
Artículo 2
Definiciones
A los efectos del presente Reglamento, se entenderá por:
| 1) | «solución de cartera»: combinación de software, hardware, servicios, ajustes y configuraciones, que incluye instancias de cartera, una o más aplicaciones criptográficas seguras de cartera y uno o más dispositivos criptográficos seguros de cartera; |
| 2) | «instancia de cartera»: aplicación instalada y configurada en el dispositivo o el entorno de un usuario de una cartera, que forma parte de una unidad de cartera y que el usuario de la cartera utiliza para interactuar con la unidad de cartera; |
| 3) | «unidad de cartera»: configuración única de una solución de cartera que incluye instancias de cartera, aplicaciones criptográficas seguras de cartera y dispositivos criptográficos seguros de cartera proporcionados por un proveedor de carteras a un usuario particular de una cartera; |
| 4) | «proveedor de cartera»: persona física o jurídica que proporciona soluciones de cartera; |
| 5) | «usuario de una cartera»: usuario que tiene el control sobre la unidad de cartera; |
| 6) | «aplicación criptográfica segura de cartera»: aplicación que gestiona activos críticos al estar vinculada a las funciones criptográficas y no criptográficas proporcionadas por el dispositivo criptográfico seguro de cartera y utilizarlas; |
| 7) | «dispositivo criptográfico seguro de cartera»: dispositivo resistente a las manipulaciones fraudulentas que proporciona un entorno vinculado a la aplicación criptográfica segura de cartera y utilizado por esta para proteger activos críticos y proporcionar funciones criptográficas para la ejecución segura de operaciones críticas; |
| 8) | «activos críticos»: activos contenidos en una unidad de cartera o relacionados con ella, de tan extraordinaria importancia que, si su disponibilidad, confidencialidad o integridad se vieran comprometidas, el efecto sobre la capacidad para utilizar la unidad de cartera sería muy grave y debilitante; |
| 9) | «proveedor de datos de identificación de la persona»: persona física o jurídica responsable de la expedición y la revocación de los datos de identificación de la persona y de garantizar que los datos de identificación de la persona de un usuario estén vinculados criptográficamente a una unidad de cartera. |
Artículo 3
Formato y procedimiento de presentación de información de los Estados miembros a la Comisión e información que deben presentar
- Los Estados miembros presentarán la información que figura en el anexo a la Comisión y al Grupo de Cooperación a través de un canal electrónico seguro facilitado por la Comisión.
- Los Estados miembros presentarán la información requerida en el apartado 1 al menos en inglés.
- Cuando se produzcan cambios en la información presentada, y en concreto cambios en el estado de certificación de las carteras, los Estados miembros presentarán la información actualizada a través del canal a que se refiere el apartado 1.
Artículo 4
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 6 de mayo de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 257 de 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(4) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (DO L 210 de 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj).
ANEXO
Información que deben presentar los Estados miembros
| 1. | Indicación del objeto de la presentación de información, entre los siguientes:| a) | cartera proporcionada y certificada; |
| b) | introducción de un cambio en cualquier información presentada anteriormente relativa a una cartera; |
| c) | solicitud de retirada de una cartera de la lista de carteras proporcionadas y certificadas. |
|
| 2. | Información que debe presentarse sobre una cartera proporcionada y certificada:| a) | una descripción de la solución de cartera, que incluya:| — | el nombre de la solución de cartera, |
| — | un identificador único de referencia de la solución de cartera, |
| — | el nombre, el nombre comercial cuando proceda, la dirección y, en su caso, información adicional sobre el proveedor de la cartera, |
| — | una descripción de la gestión de la solución de cartera, que incluya:| — | características y diseño, |
| — | expedición, entrega y activación, |
| — | suspensión, revocación y reactivación, |
| — | recuperación y copia de seguridad, cuando proceda, |
| — | renovación y sustitución, |
| — | prácticas de gestión de los registros de transacciones de la cartera; |
|
|
| b) | una descripción del sistema de identificación electrónica en el marco del cual se proporciona y se certifica la solución de cartera, que incluya:| — | la denominación del sistema de identificación electrónica, |
| — | un identificador único para el sistema de identificación electrónica, |
| — | el nombre de la autoridad responsable o los nombres de las autoridades responsables del sistema de identificación electrónica, |
| — | una descripción de la gestión y la organización del sistema de identificación electrónica, |
| — | el nombre, el nombre comercial cuando proceda, la dirección y, en su caso, información adicional sobre el proveedor o los proveedores de datos de identificación de la persona, |
| — | para cada proveedor de datos de identificación de la persona:| — | el conjunto o los conjuntos de datos de identificación de la persona proporcionados a personas físicas y jurídicas en el marco del sistema de identificación electrónica, |
| — | una descripción del conjunto o los conjuntos de datos de identificación de la persona respecto de los cuales el Estado miembro garantiza su unicidad, |
|
| — | una descripción del régimen de supervisión de conformidad con el artículo 46 bis del Reglamento (UE) n.o 910/2014 por lo que respecta a:| — | los proveedores de datos de identificación de la persona, incluida la identificación del organismo de supervisión, |
| — | el proveedor de la cartera, incluida la identificación del organismo de supervisión, |
|
| — | una descripción del régimen de responsabilidades de conformidad con el artículo 5 bis, apartado 19, del Reglamento (UE) n.o 910/2014 por lo que respecta a:| — | el proveedor o los proveedores de datos de identificación de la persona, |
| — | el proveedor de la cartera, |
|
| — | una descripción del proceso de inscripción, incluidas descripciones de:| — | la solicitud de unidades de cartera y datos de identificación de la persona, |
| — | el registro de usuarios de una cartera, |
| — | cuando proceda, la acreditación y verificación de la identidad de las personas físicas, |
| — | cuando proceda, la acreditación y verificación de la identidad de las personas jurídicas, |
|
| — | cualquier política aplicable a la autoridad o las autoridades responsables del sistema de identificación electrónica, incluidas las disposiciones para la suspensión o la revocación de:| — | los sistemas de identificación electrónica, |
| — | las declaraciones de unidad de cartera expedidas por el proveedor de la cartera, |
| — | cualquier otra parte afectada de las carteras; |
|
|
| c) | el certificado y el informe de evaluación de la certificación, de conformidad con el artículo 5 quater del Reglamento (UE) n.o 910/2014. |
|
ELI: http://data.europa.eu/eli/reg_impl/2025/849/oj
ISSN 1977-0685 (electronic edition)
