Ley 6/2020 (España) — resumen aplicado a QTSA + QERDS

Marco regulatorio · ley-6-2020-resumen.md

Ley 6/2020 (España) — resumen aplicado a QTSA + QERDS

Resumen de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza (texto consolidado última modificación 09-05-2023). Extraído del PDF en Referencias normativas/aplicables/Ley 6-2020.pdf.

Esta ley complementa eIDAS sin reproducirlo. Cubre las áreas que el Reglamento europeo deja al criterio de los Estados miembros: certificados, garantía financiera, supervisión, sanciones.

Estructura de la Ley

TítuloArtículosMateriaAplica a QTSA/QERDS
I — Disposiciones generales1-3Objeto, ámbito, efectos jurídicos de documentos electrónicos✅ Marco general.
II — Certificados electrónicos4-7Vigencia, revocación, identidad de titulares, comprobación de identidad❌ No aplica directamente (es para certificados cualificados).
III — Obligaciones y responsabilidad8-13Protección de datos, obligaciones del prestador, responsabilidad, inicio servicios no cualificados, seguridad de la informaciónCRÍTICO.
IV — Supervisión y control14-17Órgano de supervisión, inspección, lista de confianza, información y colaboraciónCRÍTICO.
V — Infracciones y sanciones18-20Tipos de infracciones, importes, potestad sancionadoraCRÍTICO.
Disposiciones adicionales / transitorias / finales➖ Tangenciales.

Obligaciones específicamente aplicables a QTSP de QTSA + QERDS

Art. 9 — Obligaciones de los prestadores de servicios de confianza

Art. 9.1 — Obligaciones generales:

  • 9.1.a) Publicar información veraz y acorde con la Ley y eIDAS.
  • 9.1.b) No almacenar ni copiar datos de creación de firma/sello/autenticación de los clientes, salvo en gestión en nombre del titular.

Art. 9.3 — Obligaciones adicionales para prestadores cualificados (CRÍTICO):

#ObligaciónImplicación práctica
9.3.aConservación de la información del art. 24.2.h eIDAS durante 15 años desde la extinción del certificado o la finalización del servicio.Plan de archivo a largo plazo. Política de retención. Custodia post-cese.
9.3.bConstituir seguro de responsabilidad civil. Cuantía mínima 1.500.000 € + 500.000 € por cada tipo de servicio cualificado adicional.Para QTSA + QERDS = 2.000.000 € mínimos (1.500.000 + 500.000). Puede sustituirse por aval bancario o seguro de caución de cuantía equivalente.
9.3.cComunicar el cese a clientes y al supervisor con al menos 2 meses de antelación.El plan de cese debe incluir transferencia de clientes a otro QTSP (si lo hay) y la conservación post-cese.
9.3.dEnviar el informe de evaluación de la conformidad (CAR) al supervisor en los términos del art. 20.1 eIDAS.Plazo eIDAS: 3 días hábiles desde recepción.

Art. 10 — Responsabilidad

  • El QTSP asume responsabilidad por la actuación de personas o subcontratistas en quienes delegue funciones, incluyendo verificación de identidad previa a expedir certificados cualificados.
  • → Política de subcontratación con cláusulas claras de responsabilidad y derecho de auditoría.

Art. 11 — Limitaciones de responsabilidad

El prestador no responde si:

  • 11.1.a) El cliente no proporcionó información veraz.
  • 11.1.b) El cliente no comunicó cambios relevantes.
  • 11.1.c) Negligencia del cliente en custodia de claves.
  • 11.1.d) No solicitó suspensión/revocación tras conocer riesgo.
  • 11.1.e) Uso de medios tras expiración o suspensión.
  • 11.2) Negligencia del destinatario que confía en el certificado.
  • 11.3) Si los datos se acreditaron mediante documento público u oficial inscrito en registro y resulta inexacto.

Art. 13 — Obligaciones de seguridad de la información

  • 13.1 — Notificar al Ministerio las violaciones de seguridad o pérdidas de integridad del art. 19.2 eIDAS, sin perjuicio de notificar a la AEPD u otros organismos.
  • 13.2 — Tomar medidas necesarias para resolver incidentes.
  • 13.3 — Notificación complementaria al supervisor en el plazo máximo de 1 mes tras la inicial (y tras la resolución del incidente), con la información que indique el Ministerio.

Plazos consolidados de incidentes:

  • Notificación inicial: 24 horas (eIDAS art. 19.2).
  • Notificación complementaria/resolutoria: 1 mes (Ley 6/2020 art. 13.3).

Supervisión (Título IV)

Art. 14 — Órgano de supervisión

  • Ministerio de Asuntos Económicos y Transformación Digital (actualmente con competencia en SETELECO/SEDIA).
  • Puede emitir directrices, guías y recomendaciones en colaboración con CCN, AEPD y ENISA.

Art. 15 — Inspección

  • Funcionarios con consideración de autoridad pública.
  • Puede recurrir a entidades técnicas externas.
  • Puede pedir pruebas en laboratorios → el coste lo paga el prestador.

Art. 16 — Lista de confianza

  • El plazo máximo del Ministerio para resolver el procedimiento de cualificación es de 6 meses (silencio negativo: si no resuelve, se entiende denegada).
  • La retirada de la cualificación es independiente del régimen sancionador (puede ir por ambas vías).

Art. 17 — Información y colaboración

  • Informe anual de actividad del prestador al Ministerio, antes del 1 de febrero de cada año (datos del año anterior).
  • Obligación de permitir acceso a instalaciones y documentación al inspector.

Régimen sancionador (Título V)

Art. 18 — Tipos de infracción

Muy graves (selección relevante para QTSA/QERDS):

  • 18.2.a) Reincidencia en grave dentro de 2 años.
  • 18.2.b) Expedir certificados cualificados sin comprobaciones de identidad (afectando mayoría de cert. del año).

Graves (selección relevante):

  • 18.3.a) Resistencia/obstrucción a inspección.
  • 18.3.b) Actuar como cualificado u ofrecer servicios como cualificados sin tener la cualificación.
  • 18.3.f) Incumplir notificación de incidentes del art. 19.2 eIDAS / art. 13 Ley.
  • 18.3.g) Incumplir obligaciones del art. 24.2 letras b/c/d/e/f/g/h/k, 24.3 y 24.4 eIDAS. ← cubre la mayor parte de obligaciones operativas.
  • 18.3.i) Falta de medidas tras incidentes en plazo de 10 días.
  • 18.3.j) Incumplir requerimientos del Ministerio.
  • 18.3.m) Incumplir obligación de adoptar medidas técnicas y organizativas (art. 19.1 eIDAS).
  • 18.3.o) Prestar servicios cualificados sin garantía financiera obligatoria (art. 9.3.b).

Leves:

  • 18.4.a) Información no veraz.
  • 18.4.c) Incumplir obligaciones art. 24.2.a o 24.2.i eIDAS (comunicación de cambios y plan de cese).
  • 18.4.d) No remitir informe anual antes del 1 de febrero.
  • 18.4.e) Incumplir art. 9.3.c (comunicación de cese).

Art. 19 — Sanciones

GravedadMulta
Muy grave150.001 € – 300.000 €
Grave50.001 € – 150.000 €
Levehasta 50.000 €

Criterios de graduación: culpabilidad, persistencia, perjuicios causados, reincidencia, volumen de facturación, número de afectados, gravedad del riesgo, acciones paliativas.

Resoluciones por infracciones muy graves se publican en la web del Ministerio.

Art. 19 bis — Apercibimiento

  • Para infracciones leves o graves, el órgano sancionador puede optar por apercibir en lugar de sancionar, dando un plazo para corregir.
  • Si no se corrige → se abre el procedimiento sancionador.

Art. 20 — Potestad sancionadora

  • Muy graves: titular del Ministerio.
  • Graves y leves: titular de la Secretaría de Estado de Digitalización e IA.
  • Procedimiento: hasta 9 meses (3 si es simplificado).

"Imprescindibles innegociables" Ley 6/2020

Si el cliente quiere ser QTSA + QERDS:

  1. Seguro RC ≥ 2.000.000 € (1.500.000 + 500.000 por servicio adicional).
  2. Conservación 15 años de información de los servicios prestados.
  3. Comunicación de cese 2 meses antes + transferencia ordenada a otro QTSP.
  4. Envío anual del informe de actividad antes del 1 de febrero.
  5. Procedimiento de notificación dual (24h inicial eIDAS + 1 mes complementaria Ley 6/2020).
  6. Cooperación con inspección: registros accesibles, instalaciones disponibles, acompañamiento.

El supervisor (SETELECO/SEDIA) resuelve la cualificación en 6 meses. Hay que dimensionar el cronograma con esa holgura, no con los 3 meses del art. 21.2 eIDAS.