Aproximación a la figura del prestador de servicios de certificación
| Autor | María Pérez Pereira |
| Cargo | Profesora de Derecho mercantil en la Universidad Carlos III de Madrid |
| Páginas | 3-66 |
-
Introducción
-
La figura del prestador de servicios de certificación
Un prestador de servicios de certificación (en lo sucesivo, PSC) es la persona física o jurídica que expide certificados, además de poder prestar otros servicios en relación con la firma electrónica1. Se advierte que la definición que proporciona el legislador español es prácticamente la transcripción de la, entonces, Propuesta de Directiva Comunitaria2.
Nos encontramos con una terminología variada: así, el Grupo de Trabajo sobre Comercio Electrónico de UNCITRAL, en relación con estos entes, ha cambiado en numerosas ocasiones la denominación: “entidades de certificación”3, “autoridades certificadoras”, “certificador de información”4, “proveedores de servicios de certificación”5, ...
En el ámbito internacional, el Instituto Europeo de Estándares de Telecomunicaciones está trabajando para lograr una homogeneización en la terminología. Este organismo define de manera un tanto general a las “autoridades de certificación”, cuando dice “authority trusted by one or more users to create and assign certificates”6, además ofrece la posibilidad de que éstas generen las claves de los usuarios siguiendo las Recomendaciones de la Unión Internacional de Telecomunicaciones.
Dentro del ámbito comunitario, se habla de “proveedor de servicios de certificación” y se define en la Directiva 1999/93/CE, sobre firma electrónica, en el artículo 2 apartado 11 como “la entidad o persona física o jurídica que expide certificados o presta otros servicios en relación con la firma electrónica”.
Sin embargo, en los Estados Miembros se observan distintas formas de expresar la misma idea. En Italia el legislador opta por el término “certificatore”7. En la ley luxemburguesa sobre comercio electrónico se prefiere “prestataire de service de certification”. Es curioso ver cómo los legisladores alemán y austríaco dan al PSC nomenclatura diferente; en Alemania es el “Zertifizierungsstelle”8, mientras que en Austria se habla del “Zertifierungsdiensteanbieter”9. En Francia en el proyecto de decreto sobre firmas electrónicas se utiliza la expresión “prestataire de service de certification électronique”. En los países anglosajones se opta por utilizar la expresión de “certification authority”10; sin embargo conviene destacar la ley irlandesa sobre comercio electrónico en la que se adopta una terminología que sigue textualmente a la establecida en la Directiva 1999/93/CE, pues se habla de “certification service provider”.
Tras una rápida visión general, se puede comprobar que los distintos Estados utilizan terminologías diferentes11. No obstante, conviene destacar que en algunos países se hace alusión a pequeñas diferencias de contenido según utilicemos una u otra palabra; así, en Reino Unido el Departamento para el Comercio y la Industria12 diferencia entre:
- Terceras Partes Confiables (Trusted Third Parties), que sería el término genérico para los sujetos que proveen de uno o más servicios criptográficos a sus clientes.
- Autoridades de Certificación (Certification Authorities), para referirse a las personas, tanto físicas como jurídicas, que emiten certificados en relación con las firmas electrónicas.
- Agentes de Recuperación de Claves (Key Recovery Agents), serían los responsables de facilitar la recuperación de los datos cifrados.
Si se procede al análisis del concepto de prestador de servicios de certificación, se observa que se trata de una persona, tanto física como jurídica, tanto de naturaleza pública como privada, que realiza una serie de actividades de entre las que destaca la de expedir certificados. Al generar los certificados digitales, el Real Decreto-Ley español 14/1999 “establece un sistema general de supervisión de su actividad, un conjunto de obligaciones que deben cumplir cuando expidan certificados reconocidos al público y un régimen administrativo sancionador que se aplicará cuando no apliquen la diligencia debida en sus operaciones”13.
A pesar de ello, algún autor ofrece el concepto en un contexto mucho más restringido cuando afirma que la denominación de proveedor de servicios de certificación “se da a las empresas que asumen como obligación propia característica, responsabilidad incluida, la emisión de certificados referidos a la identidad de las personas que envían mensajes electrónicos firmados digitalmente”14. Según esta opinión, se identifica al PSC con una empresa; sin embargo, cuando en las distintas propuestas de Directiva sobre firma electrónica se hablaba de “persona o entidad”15, se estaba dejando abierta la posibilidad de que tanto personas físicas como personas jurídicas de cualquier tipo pudieran establecerse como PSC. Más próximo a la Directiva, se muestran otros autores16 que los consideran como “persona o entidad encargada de certificar que una determinada clave pública corresponde a una concreta persona”.
La naturaleza de los PSC no es cuestión banal, puesto que la repercusión que ello puede tener es importante, sobre todo a efectos de los usuarios de los certificados que dichos PSC emitan.
En el caso de que nos encontremos ante un PSC de naturaleza jurídico-pública17, los certificados serán válidos para “autentificar y garantizar la confidencialidad de las comunicaciones entre ciudadanos, empresas u otras instituciones y administraciones públicas a través de las redes abiertas de comunicación”18. De este modo las personas podrán disponer de un certificado válido para relacionarse con los organismos públicos por vía telemática (principalmente, Internet). Una de las ventajas principales con que cuenta este tipo de PSC de naturaleza jurídico-pública es la credibilidad que ofrecen frente a terceros (especialmente terceros extracomunitarios), al poder inspirar a los usuarios una mayor confianza en el certificado emitido porque “se presume que una administración pública actuará en función del interés público, además de ser más estable que las privadas”19.
Hay organismos de carácter semipúblico que también prestan servicios de certificación20, en los que están presentes tanto organismos de carácter público como privado, al igual que organismos “sui generis”, entre los que se encuentra Camerfirma, donde el PSC se identifica con el Consejo Superior de Cámaras Oficiales de Comercio, Industria y Navegación de España. Este PSC carece de personalidad jurídica, puesto que es una unidad dentro del Consejo Superior de Cámaras Oficiales de Comercio, Industria y Navegación, aunque está previsto que antes de final de año, pase a tener personalidad jurídica propia por la vía de su conversión en una sociedad anónima.
Existen también personas jurídicas privadas que actúan como certificadores. En España destacan dos principalmente, IPS (Internet Publishing Services) y ACE (Agencia de Certificación Electrónica, S.A.).
En el caso italiano, los prestadores de servicios de certificación que sean sujetos privados deberán tener la forma jurídica de sociedad anónima y su capital social no podrá ser inferior al requerido a fin de obtener la autorización necesaria para realizar actividades bancarias21.
Se demuestra, pues, que el legislador nacional puede establecer o no una naturaleza jurídica determinada para poder acceder a desempeñar la actividad de certificador. En el caso español, el legislador deja abierto un amplio abanico de posibilidades que, a la larga pueden desembocar:
- bien en uno o dos PSC principales que autoricen a los demás
- bien en gran variedad de PSC que se certifiquen mutuamente, es decir, que deberán a su vez estar certificados por un certificador de rango superior y único para todos22.
-
Actividades que desarrolla
Los prestadores de servicios de certificación “suelen ofrecer múltiples servicios, desde la expedición de certificados hasta la validación de firmas electrónicas, pasando por la operación de directorios y entrega de dispositivos de firma electrónica”23.
Las posturas sobre las actividades que realizan son variadas. Algún autor simplifica las tareas que llevan a cabo los prestadores de servicios de certificación, al considerar que la única función que realizan es la de verificar la identidad de los usuarios finales de los certificados24, visión que puede resultar demasiado esquemática y que pudiera inducir a error respecto a las actividades que desarrollan los sujetos objeto de estudio.
De manera algo más expositiva se muestra algún jurista italiano25, cuando resume las actividades que realiza un PSC al decir que efectúa labores de certificación, emisión de certificados de la clave pública, poniéndolos disponibles a terceros, publicación y actualización de las listas de certificados suspensos y revocados.
Otros autores consideran que se está ante actividades que desarrollan “entidades que
certifiquen y publiciten las firmas digitales que se usen o, dicho de otro modo, que autentifican la identidad de los emisores y receptores que envían o reciben los mensajes firmados”26.
Con estas definiciones, unas más breves que otras, se ofrece una visión clara sobre las actividades que, en la práctica se están realizando. Pese a ello, conviene tener presente la descripción que establece el Dictamen del Comité Económico y Social sobre la Comunicación de la Comisión - Iniciativa europea de comercio electrónico27, donde se diferenciaban dos tipos de actividades que pueden ser desarrolladas, unas de apoyo (“a) autoridades responsables del registro de los datos; b) datos legales de los usuarios; c) nomenclatura (directorios); d)archivo y registro; e) servicios de testificación y registro”28) y otras actividades de tipo notarial, entre las que destacan el sellado temporal, los datos jurídicos de los usuarios, de acceso, servicio de archivo y registro y servicio de testificación y certificación.
Es de destacar que la actividad principal que desarrollan los PSC es la generación de certificados electrónicos29. A pesar de ello, no conviene olvidar lo establecido en el Considerando noveno de la Directiva sobre firma electrónica, en el que se...
-
Para continuar leyendo
Solicita tu prueba