I. Disposiciones generales. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Servicios electrónicos. (BOE-A-2021-7966)
Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.
9 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Viernes 14 de mayo de 2021
Sec. I. Pág. 57316
deberá reflejar en el informe, de manera pormenorizada, cómo cumple el prestador los
requisitos definidos en esta orden.
2. El prestador cualificado de servicios de confianza remitirá solicitud para la puesta
en operación de procedimientos de identificación remota por vídeo a la Secretaría de
Estado de Digitalización e Inteligencia Artificial, dependiente del Ministerio de Asuntos
Económicos y Transformación Digital, en cuanto órgano supervisor. Dicha solicitud incluirá
una descripción detallada del sistema y su operación, la declaración de prácticas
actualizada, así como el informe de evaluación de la conformidad, con carácter previo a su
ofrecimiento al público.
3. El órgano supervisor podrá requerir al prestador para que aporte, en el plazo de
diez días hábiles, documentación e información adicionales sobre cualquier aspecto de la
solución de identificación remota por vídeo, con carácter previo o posterior a su
implantación.
4. El prestador podrá comenzar a operar mediante procedimientos de identificación
remota por vídeo a partir de la fecha de notificación de la resolución estimatoria. El plazo
máximo para resolver y notificar será de seis meses, transcurridos los cuales la solicitud
se entenderá desestimada.
5. Para los prestadores que inicien su actividad de prestación de servicios de
confianza cualificados con posterioridad a la entrada en vigor de esta orden, los trámites a
los que se refiere este artículo se podrán integrar en el procedimiento de cualificación
regulado en el artículo 21 del Reglamento (UE) 910/2014 del Parlamento Europeo y del
Consejo, de 23 de julio de 2014.
Artículo 6. Requisitos generales de seguridad.
El prestador cualificado de servicios electrónicos de confianza:
a) Dispondrá de un modelo de gestión continua del riesgo que incluirá un análisis de
riesgos especifico que se revisará con una periodicidad mínima anual y, en todo caso,
siempre que se produzca un cambio en el sistema, en los procedimientos organizativos,
en el estado de la tecnología, o en cualquier otro aspecto que pudiera influir en el perfil de
riesgo del procedimiento de identificación.
Este análisis deberá tener en cuenta la naturaleza, el ámbito, el contexto y los fines del
tratamiento de los datos personales, así como los riesgos de diversa probabilidad y
gravedad para los derechos y libertades de las personas físicas conforme a lo exigido por
la normativa de protección de datos personales.
Asimismo, realizará una evaluación de impacto en la protección de datos personales
cuando del análisis realizado resulte probable que el tratamiento suponga un alto riesgo
para los derechos y libertades de las personas, conforme a lo previsto en la citada
normativa.
b) Adoptará medidas técnicas y organizativas adicionales a las indicadas en esta
orden cuando el resultado del análisis de riesgos efectuado así lo requiera.
En relación con los datos de carácter personal, adoptará las medidas técnicas y
organizativas apropiadas, según lo establecido en el artículo 32 del Reglamento
(UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016.
Estas medidas se actualizarán sin dilación indebida cuando se tenga conocimiento de
vulnerabilidades que puedan dan lugar a brechas de seguridad.
c) Evaluará y documentará las características de seguridad del conjunto del sistema,
incluyendo todos los elementos sustantivos de la plataforma de identificación, los canales
de comunicación, y la generación y conservación de pruebas producidas durante el
proceso de identificación.
d) Empleará un producto de identificación remota por vídeo que cumpla los requisitos
mínimos de seguridad indicados en el anexo F.11 de la Guía de Seguridad de las
TIC CCN-STIC-140, del Centro Criptológico Nacional de categoría alta. El prestador
cualificado deberá seguir las indicaciones de configuración y uso seguro del producto. El
cumplimiento de dicha obligación deberá ser certificado siguiendo metodologías de
cve: BOE-A-2021-7966
Verificable en https://www.boe.es
Núm. 115
Viernes 14 de mayo de 2021
Sec. I. Pág. 57316
deberá reflejar en el informe, de manera pormenorizada, cómo cumple el prestador los
requisitos definidos en esta orden.
2. El prestador cualificado de servicios de confianza remitirá solicitud para la puesta
en operación de procedimientos de identificación remota por vídeo a la Secretaría de
Estado de Digitalización e Inteligencia Artificial, dependiente del Ministerio de Asuntos
Económicos y Transformación Digital, en cuanto órgano supervisor. Dicha solicitud incluirá
una descripción detallada del sistema y su operación, la declaración de prácticas
actualizada, así como el informe de evaluación de la conformidad, con carácter previo a su
ofrecimiento al público.
3. El órgano supervisor podrá requerir al prestador para que aporte, en el plazo de
diez días hábiles, documentación e información adicionales sobre cualquier aspecto de la
solución de identificación remota por vídeo, con carácter previo o posterior a su
implantación.
4. El prestador podrá comenzar a operar mediante procedimientos de identificación
remota por vídeo a partir de la fecha de notificación de la resolución estimatoria. El plazo
máximo para resolver y notificar será de seis meses, transcurridos los cuales la solicitud
se entenderá desestimada.
5. Para los prestadores que inicien su actividad de prestación de servicios de
confianza cualificados con posterioridad a la entrada en vigor de esta orden, los trámites a
los que se refiere este artículo se podrán integrar en el procedimiento de cualificación
regulado en el artículo 21 del Reglamento (UE) 910/2014 del Parlamento Europeo y del
Consejo, de 23 de julio de 2014.
Artículo 6. Requisitos generales de seguridad.
El prestador cualificado de servicios electrónicos de confianza:
a) Dispondrá de un modelo de gestión continua del riesgo que incluirá un análisis de
riesgos especifico que se revisará con una periodicidad mínima anual y, en todo caso,
siempre que se produzca un cambio en el sistema, en los procedimientos organizativos,
en el estado de la tecnología, o en cualquier otro aspecto que pudiera influir en el perfil de
riesgo del procedimiento de identificación.
Este análisis deberá tener en cuenta la naturaleza, el ámbito, el contexto y los fines del
tratamiento de los datos personales, así como los riesgos de diversa probabilidad y
gravedad para los derechos y libertades de las personas físicas conforme a lo exigido por
la normativa de protección de datos personales.
Asimismo, realizará una evaluación de impacto en la protección de datos personales
cuando del análisis realizado resulte probable que el tratamiento suponga un alto riesgo
para los derechos y libertades de las personas, conforme a lo previsto en la citada
normativa.
b) Adoptará medidas técnicas y organizativas adicionales a las indicadas en esta
orden cuando el resultado del análisis de riesgos efectuado así lo requiera.
En relación con los datos de carácter personal, adoptará las medidas técnicas y
organizativas apropiadas, según lo establecido en el artículo 32 del Reglamento
(UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016.
Estas medidas se actualizarán sin dilación indebida cuando se tenga conocimiento de
vulnerabilidades que puedan dan lugar a brechas de seguridad.
c) Evaluará y documentará las características de seguridad del conjunto del sistema,
incluyendo todos los elementos sustantivos de la plataforma de identificación, los canales
de comunicación, y la generación y conservación de pruebas producidas durante el
proceso de identificación.
d) Empleará un producto de identificación remota por vídeo que cumpla los requisitos
mínimos de seguridad indicados en el anexo F.11 de la Guía de Seguridad de las
TIC CCN-STIC-140, del Centro Criptológico Nacional de categoría alta. El prestador
cualificado deberá seguir las indicaciones de configuración y uso seguro del producto. El
cumplimiento de dicha obligación deberá ser certificado siguiendo metodologías de
cve: BOE-A-2021-7966
Verificable en https://www.boe.es
Núm. 115
