Comentarios al segundo borrador de anteproyecto de nueva ley de firma electrónica

• Autor: Carlos Galán Pascual
• Cargo: Consultor

I. Introducción

Con fecha 26 de Julio de 2002, el Ministerio de Ciencia y Tecnología ha publicado en su página web un Segundo Borrador de Anteproyecto de Nueva Ley de Firma Electrónica, que sustituye al anterior borrador que el autor ha tenido la oportunidad de comentar con detalle al departamento ministerial.

El Ministerio de Ciencia y Tecnología ha explicado el alcance del Anteproyecto[1]

Durante los siguientes apartados comentaremos lo más destacado de este Anteproyecto, centrándonos en aquello que suponga tanto una diferencia sustancial como una aportación o novedad respecto de la norma todavía vigente.

II. Exposición de Motivos

El Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica fue aprobado con el objetivo de fomentar la rápida incorporación de nuevas tecnologías de seguridad de las comunicaciones electrónicas en la actividad de las empresas y de las Administraciones Públicas, como medio eficaz para potenciar el crecimiento y competitividad de la economía española, promoviendo la confianza en la realización de transacciones electrónicas en redes abiertas. Este Real Decreto-Ley incorpora al Ordenamiento público español la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica.

Tras su ratificación por el Congreso de los Diputados, se acordó la tramitación del Real Decreto-Ley 14/1999 como Proyecto de Ley, con el fin de someterlo al debate parlamentario y perfeccionar su texto. No obstante, esta iniciativa decayó al expirar el mandato de las Cámaras en marzo de 2000.

Esta Ley ha recogido la experiencia adquirida en la aplicación del Real Decreto-Ley 14/1999, enriqueciendo el texto original con las modificaciones que sugiere la evolución de la tecnología y los servicios de certificación, con el objetivo de generar en el ámbito digital las condiciones de seguridad y confianza necesarias para estimular el desarrollo de los servicios de la Sociedad de la Información, en particular, de la Administración y del comercio electrónicos.

La firma electrónica permite comprobar la procedencia de los mensajes intercambiados y su integridad en las comunicaciones que se realizan por redes de telecomunicaciones, así como evitar el repudio de dicha comunicación por el remitente o el destinatario, siempre que, en este último caso, se adopten las medidas oportunas basándose en fechas electrónicas. Los datos necesarios para la creación de firmas electrónicas pueden utilizarse igualmente para proteger el secreto de las comunicaciones, si bien dicha función no se contempla en el ámbito de regulación de esta Ley.

La presente Ley refuerza el marco jurídico general existente para la utilización de firmas electrónicas y de los servicios de certificación asociados a ellas.A este respecto, la Ley establece las prescripciones míni-mas para la realización de actividades esenciales para la prestación de los servicios de certificación, como es la identificación de los solicitantes de certificados, inclinándose por un régimen que garantice la fiabilidad de los servicios ofrecidos y, por ende, la seguridad del tráfico jurídico

De igual manera, la Ley delimita las obligaciones y responsabilidades de los prestadores de servicios de certificación teniendo en cuenta, en lo que respecta a la responsabilidad, los deberes de diligencia que incumben a los firmantes y a los terceros destinatarios de documentos firmados electrónicamente. Por otra parte, se asigna a los órganos de Defensa de la Competencia la potestad de supervisar el funcionamiento del mercado de servicios de certificación para garantizar el mantenimiento de condiciones de competencia efectiva en el mismo y se reestructura el régimen sancionador para acomodarlo a las modificaciones introducidas en la regulación de los servicios de certificación.

Los prestadores de servicios de certificación podrán, con el objetivo de mejorar la confianza en sus servicios y limitar su responsabilidad, establecer mecanismos de coordinación con los Registros públicos, en particular, mediante conexiones telemáticas, a los efectos de verificar los datos que figuran en los certificados en el momento de la expedición de éstos. Dichos mecanismos de coordinación también podrán contemplar la notificación telemática por parte de los Registros a los prestadores de servicios de certificación de las variaciones registrales posteriores.

La Ley centra su atención en los prestadores de servicios que expiden certificados y, en particular, certificados reconocidos. Esto es así dado que, la firma electrónica avanzada, generada con un dispositivo seguro de creación de firma y basada en un certificado reconocido goza del mismo valor jurídico que la firma manuscrita. Ello no es óbice para que la Ley reconozca y dé validez jurídica a las firmas creadas en otras condiciones técnicas o de acuerdo con las condiciones acordadas por las partes para su utilización en las comunicaciones que mantengan entre sí.

Adicionalmente, la Ley introduce algunas novedades dirigidas a impulsar el uso generalizado de la firma electrónica en todos los ámbitos de la actividad económica y social. Así, se prevé la incorporación de capacidades de identificación y firma electrónicas al Documento Nacional de Identidad, para que éste pueda utilizarse también en el ámbito digital por los ciudadanos.

Asimismo, la Ley impulsa la autorregulación de la industria, de manera que sea ésta quien diseñe y gestione, de acuerdo con sus propias necesidades, sistemas voluntarios de acreditación, destinados a mejorar los niveles técnicos y de calidad en la prestación de los servicios de certificación, impulsando de esta manera, la introducción de nuevos servicios

Por otra parte, la Ley contempla la expedición de certificados a personas jurídicas y las considera, en consecuencia, como firmantes, dando así respuesta a una demanda existente en el sector de los servicios de certificación.

No obstante, ello no elimina la conveniencia de identificar a una persona física responsable de la custodia de los instrumentos de firma de la persona jurídica y de determinar, en cada caso, los sujetos responsables por la utilización incorrecta de la misma.

La presente disposición ha sido sometida al procedimiento de información en materia de normas y reglamentaciones técnicas previsto en la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 22 de junio de 1998, modificada por la Directiva 98/48/CE, del Parlamento Europeo y del Consejo, de 20 de julio de 1998, y en el Real Decreto 1337/1999, de 31 de julio.

Respecto de esta Exposición de Motivos puede comentarse lo siguiente:

Se reconoce implícitamente, en los primeros párrafos, la precipitación del gobierno en su día por disponer de una norma legal que, aunque básicamente fundamentada en la Directiva 1999/93/CE, de 13 de Diciembre, del Parlamento Europeo y del Consejo, por la que se establece un marco comunitario para la firma electrónica, y atendiendo seguramente a laudables propósitos de colocar a nuestro país en el marco de las sociedades tecnológicas más evolucionadas, dejó sin regular aspectos importantes que vendrían a limitar notablemente el positivo alcance que se esperaba de ella.

Hace bien la Exposición de Motivos, al final de su cuarto párrafo, en excluir taxativamente la criptografía del ámbito del Anteproyecto. Sobre este punto la tecnología avanza de manera tan rápida que cualquier indicación sobre ello, por liviana que fuera, tendería a estar probablemente obsoleta en un muy corto espacio temporal. Sin embargo, la locución proteger el secreto de las comunicaciones al que se alude, es un concepto en sí mismo ambiguo, que podría interpretarse como una dejación de los poderes públicos por asegurar tal derecho constitucional más que por lo que es realmente: que el texto del Anteproyecto no entra a considerar si la información puede ir o no cifrada y con tal o cual algoritmo. Pensamos que una mención expresa a que la criptografía del mensaje transmitido queda fuera del ámbito de la ley despejaría las posibles confusiones expuestas.

En el párrafo sexto –más adelante se detalla este extremo- se alude a los órganos de Defensa de la Competencia como garantes de las condiciones de competencia efectiva en el mercado de los servicios de certificación. Entendemos que, quizás, existen otros órganos, más específicos y cualificados por razón de su especialización, que podrían realizar estas funciones con rigor. Estamos pensando en la Comisión del Mercado de las Telecomunicaciones. En su momento incidiremos sobre el particular.

Se introduce, en este mismo párrafo sexto, el deber de los terceros que confían en los certificados por verificar la validez y vigencia de la firma electrónica con la que, por ejemplo, se ha recibido un determinado mensaje. Creemos muy acertada la mención, ya desde esta Exposición de Motivos, tal deber de verificación haciendo reposar, por consiguiente, la seguridad del tráfico en los tres elementos de la cadena de confianza: emisor - Prestador de Servicios de Certificación - receptor.

Esta exposición de motivos contempla, en su párrafo séptimo, la presencia de unos mecanismos de coordinación de los Prestadores de Servicios de Certificación con los Registros Públicos, a los efectos de verificar en tiempo real los datos que han de figurar en los certificados digitales en el momento de su expedición. Se evitan, de esta manera, los errores en la exactitud de los datos que pudieran producirse como consecuencia del desfase temporal respecto del momento en que se solicita un certificado y se expide.

Ya desde esta exposición de motivos, en su párrafo octavo, el Borrador de Anteproyecto deja clara constancia de la equivalencia jurídica de la firma electrónica avanzada (que ha de cumplir unos determinados requisitos) con la firma manuscrita, auténtico leitmotiv de la existencia de la norma.

Acertadísima, a nuestro juicio, la presencia...