▷ Casos Legales | EDigitalTrust

A continuación, podrás encontrar una serie de casos en los cuales un certificado electrónico emitido por una tercera persona en diferentes organismos como la AEPD, los tribunales españoles y el enfoque que tiene la Unión Europea o la EDPB.

1. Qué está haciendo la AEPD con terceros de confianza

Hay varias resoluciones de archivo donde la AEPD da por acreditado el consentimiento / la contratación gracias, entre otras pruebas, a certificados emitidos por un tercero de confianza (sobre todo LOGALTY):

a) EVOFINANCE – Resolución E/554/2018 (archivo)

Denuncia por inclusión en ficheros de morosos sin base legal (art. 6 LOPD).
La entidad aporta:

Contrato firmado electrónicamente por el cliente.
Copia de su DNI.
“Certificado electrónico de aceptación emitido por tercera empresa ajena LOGALTY”. Agencia Española de Protección de
Datos

La AEPD concluye que:

Hay contrato firmado.
Hay requerimientos de pago correctos.
No hay vulneración del principio de consentimiento ni de
calidad del dato y acuerda el archivo de actuaciones. Agencia Española de Protección de Datos

En la práctica el combo contrato electrónico + certificado del tercero de confianza se acepta como prueba válida de consentimiento y contratación.

b) PEPEMOBILE/PEPEPHONE – Resolución E/03066/2013 (archivo)

Se analiza la contratación electrónica de servicios de telefonía.
La empresa explica que nombra a LOGALTY como tercero de confianza conforme al art. 25 LSSI para:

Archivar las declaraciones de voluntad.
Consignar fecha y hora.
Garantizar integridad y custodia durante el tiempo que sea necesario. Agencia Española de Protección de
Datos

La empresa aporta certificado de LOGALTY sobre el procedimiento de firma electrónica de contratos, donde se detalla:

Que el cliente debe aceptar la designación de Logalty como tercero de confianza.
Que Logalty solo interviene si el proceso se inicia y certifica el resultado (positivo o negativo). Agencia Española de Protección de Datos

La AEPD, con esa prueba, archiva las actuaciones, sin apreciar infracción de protección de datos. Agencia Española de Protección de Datos

En resumen, en este caso, un tercero recibe y custodia declaraciones electrónicas.

c) Deutsche Bank y otros – Requerimientos y notificaciones fehacientes

En varios expedientes sobre inclusión en ficheros de morosos, se discute si hubo o no requerimiento previo de pago e información adecuada. Ahí aparecen terceros de confianza certificando envíos:

E/03645/2013 – Deutsche Bank

DB aporta certificado de LOGALTY indicando que remitió un requerimiento de pago por encargo del banco, con entrega acreditada por SEUR. Agencia Española de Protección de Datos.
AEPD valora esa cadena de prueba (Logalty + SEUR) y archiva al entender cumplidos los requisitos (requerimiento previo). Agencia Española de Protección de Datos.

E/07799/2013 – Otro caso DB

De nuevo, DB aporta certificado de LOGALTY acreditando envío de requerimiento. Agencia Española de Protección de Datos.

E/05464/2018 – Archivo de actuaciones

Consta en el expediente contrato emitido “por la empresa Logalty como tercero de confianza”. Agencia Española de Protección de Datos

En conclusión, AEPD acepta los certificados de un tercero de confianza como prueba fuerte de que:

Se envió una comunicación / requerimiento
O se firmó / aceptó un contrato.

Y cuando esa prueba es consistente, archiva en lugar de sancionar.

d) Casos recientes con “certificado del tercero de confianza” sobre consentimiento

Otras resoluciones más recientes donde se menciona expresamente:

AI-00252-2023 (EXP202305638, Factor Energía): La AEPD indica que el operador aportó “el certificado emitido por el tercero de confianza acreditativo del efectivo consentimiento por parte del cliente”. Agencia Española de Protección de Datos.

AI-00208-2022 (EXP202202292): También se menciona entre la prueba un “certificado emitido por el tercero de confianza”. Agencia Española de Protección de Datos.

2.Tribunales españoles: contratos electrónicos + tercero de confianza

No es solo la AEPD: la jurisdicción civil está muy acostumbrada a ver a Logalty y otros como “terceros de confianza” que dan soporte probatorio.

Un ejemplo de este caso es el de la Audiencia Provincial de Tarragona, Auto 35/2024 en el que:

Contrato de tarjeta suscrito electrónicamente.
El Auto indica que el contrato se firmó mediante firma electrónica avanzada con PIN, verificada notarialmente, y “con el concurso, como tercero de confianza del artículo 25 LSSI, de Logalty Servicios de Tercero de Confianza, S.L.”
La Sala recuerda que:

Los contratos electrónicos producen todos los efectos del ordenamiento cuando hay consentimiento válido (art. 23 LSSI).
La firma electrónica reconocida tiene el mismo valor que la manuscrita.

Como hemos podido observar, el tercero de confianza aparece como pieza clave para acreditar que el contrato fue válidamente aceptado. Podemos encontrar más resoluciones donde se menciona que la perfección contractual se realiza “a través de una empresa tercera» reforzando esta idea.

3. Enfoque de la UE y de la AEPD sobre prueba del consentimiento y servicios de confianza

a) EDPB / antiguo Grupo del Art. 29

Las Directrices 05/2020 sobre el consentimiento del EDPB insisten en que el responsable debe ser capaz de demostrar que obtuvo un consentimiento válido. edpb.europa.eu+1

El antiguo Grupo del Art. 29 ya decía expresamente que el responsable puede:

“Mantener un registro de las declaraciones de consentimiento”
Recurrir a “servicios de verificación de terceros de confianza” como solución para reducir datos y mejorar la prueba (ejemplo: verificación de padres/tutores).

La propia doctrina europea menciona los “trusted third party verification services” como una opción legítima para reforzar la prueba de
consentimiento.

b) AEPD – “Recibo del consentimiento”

En su blog, la AEPD publica un artículo específico: “Recibo del consentimiento: una herramienta de transparencia y responsabilidad proactiva”. Agencia Española de Protección de Datos.

El responsable debe poder demostrar que el interesado consintió el tratamiento.

Plantea el “recibo del consentimiento” como buena práctica de:

Transparencia con el usuario (puede ver qué aceptó).
Rendición de cuentas (accountability) para el responsable. Agencia Española de Protección de Datos.

c) eIDAS + Ley 6/2020: ventaja probatoria de los servicios de
confianza

El Reglamento eIDAS y la Ley 6/2020 sobre servicios electrónicos de confianza establecen que los servicios de confianza cualificados (firma, sello de tiempo, entrega electrónica certificada, etc.) tienen efectos jurídicos y valor probatorio reforzado.

Un documento de la CNMC sobre servicios de confianza subraya que, cuando se utiliza un servicio de confianza cualificado, se simplifica la prueba, porque basta comprobar que el documento está cubierto por ese servicio para disfrutar de la ventaja probatoria.