eIDAS — resumen ejecutivo aplicado a QTSA + QERDS
Resumen del Reglamento (UE) 910/2014 (eIDAS) consolidado con el Reglamento (UE) 2024/1183 (eIDAS 2). Extraído de los PDFs en Referencias normativas/aplicables/eIDAs.pdf y eIDAS2.pdf.
Para obligaciones literales por artículo, ver
obligaciones-qtsp.md. Este documento da la vista panorámica del Reglamento.
1. Estructura del Reglamento
| Capítulo | Sección | Artículos | Materia | Aplica a QTSA/QERDS |
|---|---|---|---|---|
| I | — | 1-3 | Disposiciones generales (objeto, ámbito, definiciones) | ✅ Definiciones críticas: art. 3 puntos 16-17 (servicios de confianza), 33-34 (sello cualificado de tiempo), 36-37 (entrega electrónica certificada y cualificada). |
| II | — | 6-12 | Identificación electrónica | ❌ No aplica directamente (es para sistemas eID notificados, no para servicios de confianza). |
| III | 1 | 13-16 | Disposiciones generales sobre servicios de confianza | ✅ Art. 13 (responsabilidad), 14 (mercado interior), 15 (accesibilidad), 16 (sanciones). |
| III | 2 | 17-18 | Supervisión | ✅ Art. 17 (organismo supervisor), 18 (asistencia mutua). |
| III | 3 | 19-21 | Servicios cualificados — generales | ✅ Art. 19 (seguridad), 20 (auditorías), 21 (inicio del servicio cualificado). |
| III | 3 | 22-24 | Listas de confianza, etiqueta UE, requisitos | ✅ Art. 22 (TSL), 23 (etiqueta UE), 24 (requisitos QTSP — el más extenso). |
| III | 4 | 25-34 | Firma electrónica | ❌ Fuera de alcance (firma cualificada de persona física). |
| III | 5 | 35-40 | Sello electrónico | ❌ Fuera de alcance (sello cualificado de persona jurídica). Pero el QTSP usa internamente sellos cualificados para firmar evidencias QERDS y TSTs. |
| III | 6 | 41-42 | Sello de tiempo electrónico | ✅ CORE QTSA. Art. 41 (efecto jurídico), 42 (requisitos del TST cualificado). |
| III | 7 | 43-44 | Servicio de entrega electrónica certificada | ✅ CORE QERDS. Art. 43 (efecto jurídico), 44 (requisitos del QERDS). |
| III | 8 | 45 | Autenticación de sitios web (QWAC) | ❌ Fuera de alcance. |
| IV | — | 46 | Documentos electrónicos | ➖ Tangencial. |
| V | — | 47-48 | Delegación de poderes y comité | ➖ Procedimental. |
| VI | — | 49-52 | Disposiciones finales | ➖ Procedimental. |
| Anexos | I-IV | — | Requisitos de certificados cualificados | ❌ Fuera de alcance. |
2. Definiciones críticas (art. 3) — para QTSA/QERDS
| Punto | Término | Definición resumida |
|---|---|---|
| 3.16 | Servicio de confianza | Servicio electrónico prestado normalmente a cambio de remuneración, consistente en (entre otros): creación/verificación/validación de firmas o sellos electrónicos; sellos de tiempo; servicios de entrega electrónica certificada. |
| 3.17 | Servicio cualificado de confianza | El que cumple los requisitos del Reglamento. |
| 3.19 | Prestador de servicios de confianza (TSP) | Persona física o jurídica que presta uno o más servicios de confianza. |
| 3.20 | Prestador cualificado de servicios de confianza (QTSP) | TSP al que el supervisor le ha concedido la cualificación. |
| 3.33 | Sello de tiempo electrónico | Datos en formato electrónico que vinculan otros datos electrónicos a un instante temporal concreto, aportando prueba de que existían en ese instante. |
| 3.34 | Sello cualificado de tiempo electrónico | Sello de tiempo que cumple los requisitos del art. 42. |
| 3.36 | Servicio de entrega electrónica certificada (ERDS) | Servicio que permite transmitir datos entre partes terceras por medios electrónicos y aporta pruebas relacionadas con la gestión: prueba de envío y recepción, protección frente a pérdida, robo, deterioro o alteración no autorizada. |
| 3.37 | Servicio cualificado de entrega electrónica certificada (QERDS) | ERDS que cumple los requisitos del art. 44. |
3. Lo que cambia con eIDAS 2 (Reg. 2024/1183) — relevante para QTSA/QERDS
Lectura recomendada del PDF
Referencias normativas/aplicables/eIDAS2.pdf.
eIDAS 2 introduce sobre todo:
- EUDI Wallet (cartera europea de identidad digital) — afecta más a la identificación electrónica que a QTSA/QERDS, pero tiene impacto colateral en cómo se identifica al remitente/destinatario QERDS.
- Refuerzo de obligaciones de notificación de incidentes.
- Endurecimiento de requisitos de identificación remota — empuja a usar ETSI EN 319 461.
- Ampliación del catálogo de servicios cualificados (electronic ledgers, electronic archiving, electronic attestations of attributes, etc.) — fuera del alcance actual del cliente, pero útil saber que existen para futuras ampliaciones.
- Notificación obligatoria a autoridades competentes ante incidentes que afecten a sistemas críticos.
- Refuerzo de la supervisión transfronteriza entre supervisores nacionales.
Cuando una obligación literal proviene de eIDAS 2 (no del texto original 910/2014), el archivo
obligaciones-qtsp.mdlo indica explícitamente.
4. Régimen de responsabilidad — Art. 13
Aplica responsabilidad civil objetiva agravada:
- El QTSP responde de los daños causados intencionada o negligentemente a personas físicas o jurídicas por incumplir obligaciones del Reglamento.
- Carga de la prueba: corresponde al QTSP demostrar que actuó sin intención ni negligencia (presunción de culpa).
- Para TSPs no cualificados, la carga la tiene la víctima (régimen estándar).
→ Esto es lo que impone la garantía financiera del art. 24.2.c y la Ley 6/2020 (importes mínimos en España).
5. Régimen sancionador
eIDAS no fija sanciones (art. 16 lo deja a los Estados miembros). En España, la Ley 6/2020 establece infracciones leves, graves y muy graves con multas escalonadas. Ver ley-6-2020-resumen.md.
6. Hitos temporales aplicables al cliente
| Hito | Cuándo |
|---|---|
| Notificación previa al supervisor + entrega del CAR | Antes de empezar a operar como cualificado. |
| Plazo del supervisor para conceder cualificación | 3 meses desde la notificación con CAR positivo (art. 21.2). |
| Auditoría periódica del CAB | Cada 24 meses como máximo (art. 20.1). |
| Notificación de incidentes | 24 horas desde el conocimiento (art. 19.2). |
| Revocación de certificados (si aplica CA interna) | 24 horas desde la solicitud (art. 24.3). |
7. Relación con otras normativas EU/ES
| Norma | Relación |
|---|---|
| RGPD (Reg. 2016/679) | El QTSP trata datos personales de remitentes/destinatarios y debe cumplir en paralelo. Art. 5 eIDAS remite al RGPD. |
| NIS 2 (Dir. 2022/2555) | Los QTSPs son operadores de servicios esenciales de facto. Aplican obligaciones de ciberseguridad y notificación de incidentes adicionales. |
| DORA (Reg. 2022/2554) | No aplica a QTSPs salvo que también sean entidades financieras. |
| Ley 6/2020 (España) | Especialidades nacionales — ver ley-6-2020-resumen.md. |
| LOPDGDD | Adaptación nacional del RGPD. |
| Ley 11/2022 (General de Telecomunicaciones) | Aplica si se opera infraestructura de comunicaciones. |