Informe sobre la aplicación de la Directiva 1999/93/CE por la que se establece un marco comunitario para la firma electrónica

• Páginas: 41-58

Bruselas, 15.3.2006

COM(2006) 120 final

(Texto pertinente a efectos del EEE)

1. Introducción

En el presente informe se examina la aplicación de la Directiva 1999/93/CE por la que se establece un marco comunitario para la firma electrónica¹ (en lo sucesivo denominada «la Directiva») de conformidad con el artículo 12 de la misma. El informe se basa parcialmente en los resultados de un estudio independiente (en lo sucesivo denominado «el estudio») llevado a cabo por consultores externos² y finalizado en 2003, así como en el resultado de las consultas oficiosas con las partes interesadas³.

2. La directiva

2.1. Antecedentes

Tras el primer anuncio de una propuesta legislativa referida a las firmas electrónicas efectuado en una Comunicación sobre «El fomento de la seguridad y la confianza en la comunicación electrónica - Hacia un marco europeo para la firma digital y el cifrado»⁴, en 1998 se publicó la propuesta de Directiva propiamente dicha⁵. Varios Estados miembros habían introducido o propuesto ya legislación nacional sobre la firma electrónica, considerándola un requisito previo para el crecimiento del comercio electrónico y una importante necesidad política para garantizar la confianza en las transacciones electrónicas.

Desde la perspectiva de la UE, el hecho de que la legislación nacional impusiera requisitos diferentes amenazaba con retrasar la creación efectiva del mercado interior, especialmente en las áreas que dependían de productos y servicios relacionados con la firma electrónica. Evitar la perturbación del mercado interior en un ámbito considerado crítico para el futuro de las transacciones electrónicas en la economía europea era el objetivo principal de las medidas de armonización propuestas. Uno de los requisitos básicos era aclarar la situación legal de la firma electrónica con el fin de garantizar su validez jurídica, que a menudo se ponía en tela de juicio.

La Directiva fue adoptada por el Parlamento Europeo y el Consejo en diciembre de 1999.

2.2. Aplicación de la Directiva

Los 25 Estados miembros de la UE han aplicado ya los principios generales de la Directiva. Las observaciones que figuran a continuación se basan en un examen completo de los resultados de la consulta y de las medidas de aplicación adoptadas por los Estados miembros, aunque todavía no haya concluido, en el momento de redactar el presente informe, el análisis formal de la legislación por la que se traspone la Directiva.

2.3. Contenido de la Directiva

2.3. 1 Propósito y ámbito de aplicación

El objetivo principal de la Directiva es crear un marco comunitario para el uso de la firma electrónica que permita la libre circulación de los productos y servicios de firma electrónica a través de las fronteras y garantice un reconocimiento jurídico básico de este tipo de firma.

Debe subrayarse que la Directiva no aborda cuestiones como la celebración de contratos, su validez u otras obligaciones legales prescritas por la legislación nacional o comunitaria en relación con la forma de los contratos. Tampoco afecta a las normas y limitaciones relativas al uso de documentos previstas en el Derecho nacional o comunitario⁶. Por consiguiente, la Directiva no afecta a las disposiciones nacionales que exigen, por ejemplo, el uso del papel para determinados tipos de contrato. Por añadidura, tampoco excluye la posibilidad de que las partes constitutivas de un sistema cerrado (p. ej., una intranet corporativa, o un proveedor de servicios y sus clientes) negocien sus condiciones específicas de uso de la firma electrónica dentro de dicho sistema.

2.3.2. Distintos tipos de firma electrónica previstos en la Directiva

La Directiva contempla tres formas de firma electrónica. La primera es la más simple, la «firma electrónica» entendida en sentido amplio. Sirve para identificar y autenticar datos. Puede ser tan sencilla como firmar un mensaje de correo electrónico con el nombre de una persona o mediante un código PIN. Para constituir una firma, la autenticación debe referirse a los datos y no utilizarse como método o tecnología para autenticación solamente de entidades.

La segunda forma de firma electrónica definida en la Directiva es la «firma electrónica avanzada». Este tipo de firma tiene que cumplir los requisitos definidos en su artículo 2, apartado 2. Aunque la Directiva es neutral con respecto a la tecnología, en la práctica esta definición se refiere principalmente a las firmas electrónicas basadas en una infraestructura de clave pública (PKI). Esta tecnología se sirve del cifrado para firmar los datos, lo que exige una clave pública y otra privada.

Existe, por último, una tercera forma de firma electrónica que se menciona en el artículo 5, apartado 1, sin atribuirle una denominación particular, pero que en el presente informe llamaremos «firma electrónica reconocida». Consiste en una firma electrónica avanzada basada en un certificado reconocido y creada mediante un dispositivo seguro de creación de firmas, que debe ajustarse a los requisitos contenidos en los anexos I, II y III.

Por «firmante» se entiende en la Directiva «la persona que está en posesión de un dispositivo de creación de firma y que actúa en su propio nombre o en el de la entidad o persona física o jurídica a la que representa». Aunque la Directiva no explicite que la firma electrónica debe referirse a una persona física, el firmante de una firma electrónica reconocida (artículo 5, apartado 1, de la Directiva) solo puede ser una persona física, ya que este tipo de firma se considera el equivalente de la firma manuscrita⁷.

2.3.3. Cuestiones relacionadas con el mercado interior

Para fomentar la aparición del mercado interior de productos y servicios de certificación y garantizar que un proveedor de servicios de certificación (PSC) establecido en un Estado miembro pueda prestar sus servicios en otro, el artículo 3 establece que el acceso al mercado no debe condicionarse a una autorización previa. No obstante, a fin de garantizar que los proveedores de servicios de certificación que expidan certificados reconocidos al público respeten los requisitos que figuran en los anexos, los Estados miembros deben establecer unos sistemas de supervisión adecuados. No se impone ningún requisito obligatorio a dichos sistemas de supervisión. Los Estados miembros han implantado distintos modelos que, por lo que se sabe, funcionan principalmente en su país de origen y no parecen haber creado obstáculos. Sin embargo, el incremento de los servicios de certificación transfronterizos podría verse afectado por las divergencias entre los sistemas de los Estados miembros.

En lo que se refiere a la prestación transfronteriza de servicios de certificación en el mercado interior, no es lícito imponer restricción alguna a los servicios prestados desde otro Estado miembro.

2.3. 4 Reconocimiento legal

El artículo 5, apartado 2, establece el principio general del reconocimiento legal de todo tipo de firma electrónica establecida por la Directiva.

Exige que los Estados miembros garanticen la aceptación de que la firma electrónica reconocida (artículo 5, apartado 1) cumple los requisitos legales de la firma manuscrita y es admisible como prueba en los procedimientos judiciales de la misma manera que se admite la firma manuscrita en los documentos tradicionales.

En lo que se refiere al efecto jurídico de la firma electrónica, no existe todavía jurisprudencia representativa que permita evaluar el grado de reconocimiento en la práctica de la...