11-8-98 COMISIÓN EUROPEA Dirección General XIII Telecomunicaciones, Mercado de la Información y Valorización de la Investigación COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONOMICO Y SOCIAL Y AL COMITÉ DE LAS REGIONES Propuesta de Directiva del Parlamento Europeo y el Consejo sobre un marco común para las firmas electrónicas La siguiente es la traducción al castellano de los textos francés e inglés de la Propuesta de Directiva del Parlamento Europeo y el Consejo sobre un marco común para las firmas electrónicas, efectuada por la comisión “Ad-hoc” para la redacción del proyecto de ley de firma digital del Ministerio de Justicia de la República Argentina. Algunos de sus artículos y puntos contienen los comentarios que su texto ha merecido al seno de la citada comisión. EXPOSICIÓN DE MOTIVOS I. ANTECEDENTES Las redes abiertas como Internet revisten cada vez mayor importancia para la comunicación mundial. Esas redes permiten una comunicación interactiva entre interlocutores que no han entablado previamente relación. Además, ofrecen nuevas posibilidades empresariales, creando herramientas que mejoran la productividad y reducen los costos, así como nuevos métodos de llegar al cliente. Las redes están siendo utilizadas por empresas que desean aprovechar los nuevos tipos de actividad y nuevas formas de trabajo, como el teletrabajo y los entornos virtuales compartidos. También las administraciones públicas las utilizan en su interacción con empresas y ciudadanos. El comercio electrónico brinda a la Unión Europea una excelente oportunidad para avanzar en su integración económica. Para aprovechar todas estas posibilidades es necesario disponer de un entorno seguro en relación con la autenticación electrónica. Existen diversos métodos para firmar documentos electrónicamente, que van desde algunos muy sencillos (p.ej., insertar la imagen escaneada de una firma manuscrita en un documento creado con un procesador de texto) a otros muy avanzados (p.ej., la firma digital que utiliza la “criptografía de clave pública”). Las firmas electrónicas permiten al receptor de los datos transmitidos electrónicamente verificar el origen de los mismos (autenticación del origen de los datos) y comprobar que son completos y no han sufrido alteración (integridad de los datos). La verificación de la autenticidad y la integridad de los datos no necesariamente prueba la identidad del signatario que ha creado la firma electrónica. ¿Cómo puede saber el destinatario, por ejemplo, si el emisor es en realidad la persona que dice ser? En consecuencia, el receptor puede desear una información más digna de confianza sobre la identidad del signatario. Dicha información puede ser facilitada por el propio signatario, proporcionando al destinatario una prueba satisfactoria. Otra manera consiste en recibir la confirmación de la identidad por un tercero (p.ej., una persona o institución en la que confían las dos partes). En el contexto de la presente Directiva, a dichos terceros se les denomina "proveedores de servicios de certificación". En su comunicación “Iniciativa Europea de Comercio Electrónico”1, presentada el 16 de abril de 1997 al Parlamento Europeo, al Consejo, al Comité Económico y Social y al Comité de las Regiones, la Comisión reconocía que las firmas digitales constituían un mecanismo esencial para proveer seguridad y desarrollar la confianza en las redes abiertas. En la Declaración Ministerial de Bonn 2 las firmas digitales surgen como una cuestión clave para el comercio electrónico. 1 COM(97)157 final,16.04.97 2 Conferencia Ministerial Europea “Las redes mundiales de información: aprovechar su potencial” Bonn 6-8.07.1997 2 En una primera etapa, la Comisión presentó al Parlamento Europeo, al Consejo, al Comité Económico y Social y al Comité de las Regiones la comunicación “El fomento de la Seguridad y la Confianza en la Comunicación Electrónica - Hacia un Marco Europeo para las Firmas Digitales y el Encriptado”3, donde se indica la necesidad de un planteamiento coherente en este ámbito. El 1º de diciembre de 1997, el Consejo acogió favorablemente esta comunicación e invitó a la Comisión a presentar, a la mayor brevedad posible, una propuesta de directiva del Parlamento Europeo y el Consejo sobre firmas digitales. Luego de publicada la citada comunicación y como resultado de las reuniones celebradas con los Estados miembros, con los representantes del sector privado (concretamente de la industria europea de la criptografía) y de la audiencia internacional de expertos de Copenhague4 la Comisión ha receptado las opiniones de las distintas partes interesadas. De la información recogida cabe extraer las siguientes conclusiones: 1. La actividad legislativa creciente que varios Estados miembros desarrollan en este ámbito pone de manifiesto la urgente necesidad de adoptar un marco legal armonizado a nivel europeo a fin de evitar que se vea seriamente obstaculizado el funcionamiento del mercado interno. 2. Si bien las técnicas de firma digital que utilizan la criptografía de clave pública constituyen el centro de discusión y objeto de numerosas actividades, una directiva europea debe ser neutra desde el punto de vista tecnológico y no estar limitada a dicho tipo de firmas. Puesto que cabe prever el desarrollo de una amplia variedad de mecanismos de autenticación, el campo de aplicación de la presente Directiva debe ser suficientemente amplio como para cubrir una gama de “firmas electrónicas”, que comprenderá tanto las firmas digitales basadas en la criptografía de clave pública como otros métodos de autenticación de datos. (Comentario: se señala que en esta parte la exposición de motivos no se ve reflejada en el articulado, particularmente en el artículo 2.1 que define a la “firma electrónica” como una firma bajo forma digital, integrada, ligada o asociada de manera lógica a los datos, creada por medios que el signatario pueda mantener bajo su exclusivo control; asimismo en el artículo 2.3, que define al “dispositivo de creación de firma” como los datos únicos, tales como códigos o claves criptográficas privadas, o un dispositivo físico configurado específicamente, que el signatario utiliza para crear la firma electrónica) 3. A fin de asegurar el funcionamiento del mercado interno y sostener el rápido desarrollo de la actividad del sector en términos de demanda y de innovación tecnológica, debe evitarse todo régimen de autorización previa (N. del T.: obligatoria de proveedores de servicios de certificación). Para ganar la confianza de los consumidores, puede resultar útil contar con regímenes de acreditación voluntaria para los proveedores de servicios de certificación, con el fin de alcanzar un nivel de seguridad más elevado. En cuanto tales medidas sean exigidas por el 3 COM(97)503 final, 08.10.97 4 International Hearing, Copenhague, 23-24-4-1998. 3 mercado, ellas podrían dar un nivel más claro o más predecible de seguridad legal, tanto para el proveedor de servicios de certificados como para el consumidor. 4. Las firmas electrónicas utilizadas en grupos cerrados donde existan relaciones contractuales ya establecidas no deben entrar obligatoriamente dentro del campo de aplicación de la presente Directiva. En este contexto debe prevalecer la libertad contractual. 5. La cuestión más importante es garantizar el reconocimiento jurídico de las firmas digitales y los servicios de certificación, especialmente a nivel internacional. Ello implica precisar las exigencias esenciales a cumplir por los proveedores de servicios de certificación, incluida su responsabilidad. 6. La industria debe tomar la iniciativa, junto con los organismos de normalización, para el desarrollo de normas internacionalmente reconocidas para firmas digitales (N. del T.: francés: numériques; inglés: digital). Tales normas deben orientarse a instaurar un entorno abierto de productos y servicios interoperables. El papel de la Comisión será apoyar este proceso. 7. En el plano internacional tienen lugar actualmente múltiples actividades y debates. La Comisión de las Naciones Unidas para el Derecho Comercial Internacional (UNCITRAL) ha aprobado una Ley-Modelo sobre Comercio Electrónico y ha comenzado a trabajar en la preparación de normas uniformes en materia de firma digital. Por su parte, la Organización de Cooperación y Desarrollo Económico (OCDE) prosigue sus trabajos en este ámbito, a modo de continuación de sus pautas de política criptográfica de 1997. Otras organizaciones internacionales, como la Organización Mundial del Comercio (OMC), comienzan también a interesarse por cuestiones conexas. Esta evolución debe ser tenida en cuenta en la puesta en marcha de un marco jurídico a nivel europeo. II. NECESIDAD DE ARMONIZACIÓN Varios Estados miembros desarrollan ya actividades normativas pormenorizadas en relación con la firma electrónica: Estado Miembro Estado de avance de la actividad legislativa Austria Trabajos preparatorios. Bélgica Ley de telecomunicaciones: régimen voluntario de declaración previa para los proveedores de servicios; Proyecto de ley de servicios de certificación relacionados con la firma digital; Proyecto de ley de modificación del Código civil en materia de prueba electrónica; Proyecto de ley sobre la utilización de la firma digital en los ámbitos de la seguridad social y la salud pública. 4 Dinamarca Proyecto de ley de utilización segura y eficaz de la comunicación digital. Francia Ley de telecomunicaciones (decretos de autorizaciones y exenciones): suministro de productos de firma electrónica sujeto a procedimiento de información; libertad de uso, importación y exportación de productos y servicios de firma electrónica; Normativa sobre utilización de la firma digital en los ámbitos de la seguridad social y la sanidad pública. Finlandia Proyecto de ley de intercambio electrónico de datos en la administración y los procedimientos judiciales administrativos; Proyecto de ley por la que la Oficina del Censo actuará en calidad de proveedor de servicios de certificación. Alemania Ley y decreto promulgados en materia de firma digital: condiciones en que se considera segura la firma digital; acreditación voluntaria de proveedores de servicios; Elaboración de un catálogo de medidas de seguridad adecuadas; Consulta pública en curso sobre los aspectos jurídicos de la firma digital y de los documentos firmados electrónicamente. Italia Ley general de reforma de los servicios públicos y simplificación administrativa promulgada: principio del reconocimiento legal de los documentos electrónicos; Decreto de creación, archivo y transmisión de documentos y contratos electrónicos; Decreto regulador de productos y servicios, en preparación; Decreto sobre las obligaciones fiscales derivadas de los documentos electrónicos, en preparación. Países Bajos Régimen voluntario de acreditación para los proveedores de servicios, en preparación; Normativa fiscal que prevé la presentación electrónica de la declaración de ingresos; Proyecto de ley de modificación del Código civil, en preparación. España Circulares de la dirección de Aduanas sobre utilización de la firma electrónica; Resolución en el ámbito de la seguridad social que regula la utilización de medios electrónicos; Leyes y circulares en materia de hipotecas, fiscalidad, servicios financieros y 5 registro de empresas que autorizan el uso de procedimientos electrónicos; Ley de presupuestos de 1998, por la que la Casa de la Moneda actuará como proveedor de servicios de certificación. Suecia Trabajos preparatorios. Reino Unido Proyectos legislativos en materia de concesión de licencias voluntarias a proveedores de servicios de certificación y reconocimiento legal de la firma electrónica. Esta descripción demuestra que las distintas iniciativas en curso en los Estados miembros están conduciendo a una situación jurídica muy heterogénea. Aunque los Estados miembros parecen concentrarse en las mismas cuestiones, especialmente en lo referente a la reglamentación de productos y proveedores de servicios, los criterios que determinarán el efecto jurídico de las firmas electrónicas y la estructura de los regímenes de acreditación, es evidente que la diversidad normativa -o la inexistencia de normas- constituye una amenaza para el funcionamiento del mercado interno en relación con las firmas electrónicas. Las diferencias normativas en cuanto a los efectos legales de la firma digital resultan perjudiciales para el desarrollo futuro del comercio electrónico y, por consiguiente, para el crecimiento económico y el empleo en la Comunidad. La incertidumbre puede igualmente resultar de regímenes diferentes en materia de responsabilidad así como de la incoherencia en la jurisprudencia en la misma materia. Asimismo es probable que varíen entre los Estados miembros los criterios técnicos en virtud de los cuales las firmas electrónicas sean consideradas seguras. Este grado de heterogeneidad podría convertirse en un serio obstáculo a la comunicación y la actividad empresarial por redes abiertas en la Unión Europea, al inhibir el libre uso y prestación de servicios relacionados con la firma electrónica y limitar el desarrollo de nuevas actividades económicas vinculadas con el comercio electrónico. La finalidad de la propuesta de Directiva adjunta es eliminar obstáculos, concretamente las diferencias en el reconocimiento jurídico de las firmas electrónicas y las restricciones a la libre circulación de servicios y productos de certificación entre los Estados miembros. Dados los objetivos que se persiguen, la competencia sobre esta medida incumbe exclusivamente a la Comunidad. La propuesta de directiva intenta facilitar el uso de las firmas electrónicas en un espacio sin fronteras en lo que concierne a las obligaciones esenciales para los servicios de certificación, dejando a discreción de los Estados miembros los detalles de su puesta en marcha. Dicha propuesta resulta acorde con la política legislativa de la Comisión en materia de subsidiariedad, proporcionalidad y simplificación legislativa. En consecuencia, la Comisión propone como fundamento jurídico del presente texto el apartado 2 del artículo 57, y los artículos 66 y 100 A del Tratado. Por razones de proporcionalidad, la Comisión considera que una directiva constituye el instrumento jurídico más apropiado. 6 III. OBJETIVO Y CAMPO DE APLICACIÓN DE LA DIRECTIVA 1. La presente directiva apunta a asegurar el buen funcionamiento del mercado interior en el campo de las firmas electrónicas, instituyendo un marco jurídico homogéneo y adecuado para el uso de estas firmas dentro de la comunidad europea y definiendo un conjunto de criterios que constituyen la base de su reconocimiento jurídico. 2. Las comunicaciones y el comercio electrónico mundial dependen de la adaptación progresiva de las legislaciones nacionales e internacionales a la evolución rápida de la infraestructura tecnológica. Aunque, en muchos casos, proceder por analogía con las reglas existentes puede rendir una solución satisfactoria, posiblemente será necesario adaptar estas legislaciones en función de las nuevas tecnologías a fin de evitar efectos contrarios o indeseables. Si bien, las firmas digitales producidas mediante las técnicas criptográficas se consideran hoy dentro de la firma electrónica de primerísima importancia, el marco reglamentario europeo debe ser suficientemente flexible para tener en cuenta aquellas otras tecnologías susceptibles de ser utilizadas para asegurar el autenticado. 3. La tecnología de firmas electrónicas tiene aplicaciones evidentes en entornos cerrados, como ser la red local de una empresa o un sistema bancario. Los certificados y las firmas electrónicas tienen igualmente una función de autorización, por ejemplo para acceder a una cuenta personal. En el marco de las legislaciones nacionales, el principio de la libertad contractual permite a las partes contrayentes el convenir entre ellas la modalidad de sus transacciones, es decir si ellas aceptan o no las firmas electrónicas. En este caso, no se manifiesta una necesidad evidente de reglamentación. 4. Teniendo en cuenta la gama de servicios en cuestión y de sus posibles aplicaciones, los prestatarios de servicios de certificación deben poder ofrecer sus servicios sin la obligación de obtener autorización previa. De todos modos, los prestatarios de servicios posiblemente desearán beneficiarse de la validez jurídica que le confieren a las firmas electrónicas los regímenes voluntarios de acreditación ligados a exigencias comunes. La acreditación debe considerarse como un servicio público ofrecido a los prestatarios de servicios de certificación que deseen ofrecer un servicio de alto nivel. Esto no debe en ningún caso implicar que un prestatario de un servicio no acreditado sea automáticamente menos seguro. 5. Un prestatario de servicios de certificación puede ofrecer una amplia gama de servicios. La presente directiva se centra particularmente en los servicios de certificación relacionados a las firmas electrónicas. Los certificados pueden utilizarse con fines muy diversos y contener diferentes datos. Puede tratarse de identificadores clásicos, como ser el nombre, la dirección, el número de documento de identidad, el número de seguridad social, el número de contribuyente o de identificación fiscal o de atributos específicos del firmante, por ejemplo, que permiten establecer si está facultado para actuar en nombre de una empresa, si es solvente, si tiene garantes o si es titular de permisos o de licencias 7 particulares. Como consecuencia, se pueden visualizar diversos certificados para toda una serie de usos. Sin embargo, un marco jurídico es necesario sobre todo para los certificados, a fin de permitir el autenticado de la firma electrónica del firmante. Por ello, la presente directiva tiene como objeto el funcionamiento del certificado (llamado "certificado calificado") en relación con la identidad civil o el papel de una persona determinada. 6. En un sistema abierto, pero confiable, de firmas electrónicas, el efecto jurídico atribuido a una firma es un elemento esencial. La aplicación de la presente directiva contribuirá igualmente a implementar un marco jurídico armonizado dentro de la comunidad al garantizar que la fuerza ejecutoria, el efecto o la validez jurídica de una firma electrónica no sean cuestionados por el solo motivo de que la firma se presenta en la forma de datos electrónicos, de que ella no se basa en un certificado calificado o en un certificado emitido por un prestatario de servicios de certificación acreditado, y que las firmas electrónicas sean reconocidas al nivel jurídico de la misma manera que las firmas ológrafas. Adicionalmente, los regímenes nacionales de admisibilidad de pruebas deben extenderse para incluir la utilización de firmas electrónicas. 7. El reconocimiento jurídico de firmas electrónicas debe reposar sobre criterios objetivos, transparentes, no discriminatorios y proporcionales, que no deben ser condicionados a ninguna autorización o acreditación del prestatario del servicio respectivo. Las exigencias comunes aplicables a los prestatarios de servicios de certificación deben permitir el reconocimiento internacional de firmas y certificados dentro de la comunidad europea. Las exigencias deben aplicarse a los prestatarios de servicios de certificación independientemente del tipo de acreditación en vigor dentro de tal o cual Estado miembro. El progreso tecnológico o la evolución del mercado pueden requerir ciertas adaptaciones, por lo cual puede ser necesario revisar estos requisitos de tanto en tanto. La comisión podrá proponer nuevos requisitos basándose en las recomendaciones que le serán hechas. 8. En materia de responsabilidad, las reglas comunes deben contribuir a suscitar la confianza de los consumidores y de las empresas, que confíen en los certificados y en los prestatarios de servicios y promover así una amplia difusión de las firmas electrónicas. 9. Los mecanismos cooperativos que permitan el reconocimiento de un Estado a otro de las firmas y de certificados con terceros países son esenciales para el desarrollo del comercio electrónico internacional. En particular, permitir a los prestatarios de servicios de certificación, dentro del ámbito de la comunidad europea, avalar los certificados de terceros países de la misma forma que garantizan a sus propios certificados, podría constituir un medio simple pero eficaz de promover los servicios internacionales. 8 Propuesta de Directiva del Parlamento Europeo y del Consejo (COM…) del (fecha) sobre un marco común para las firmas electrónicas EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNION EUROPEA, visto el Tratado que crea a la Comunidad Europea y en particular su artículo 57, párrafo 2 y sus artículos 66 y 100 A, vista la propuesta de la Comisión, vista la opinión del Comité Económico y Social, vista la opinión del Comité de las Regiones, actuando de acuerdo con el procedimiento establecido en el artículo 189 B del Tratado, (1) considerando que, el 16 de abril de 1997, la Comisión presentó al Parlamento Europeo, al Consejo, al Comité Económico y Social y al Comité de las Regiones una iniciativa europea respecto del comercio electrónico; (2) considerando que la Conferencia Ministerial de Bonn, sostenida del 6 al 8 de julio de 1997, acentuaba la necesidad de un marco jurídico y tecnológico para las firmas digitales; (3) considerando que, el 8 de octubre de 1997, la Comisión presentó al Parlamento Europeo, al Consejo, al Comité Económico y Social y al Comité de las Regiones una comunicación titulada "Asegurar la seguridad y la confianza en la comunicación electrónica - Hacia un marco europeo para las firmas digitales y el encriptado"; (4) considerando que, el 1º de diciembre de 1997, el Consejo invitó a la Comisión a someter lo antes posible una propuesta de directiva al Parlamento Europeo sobre las firmas digitales; considerando que las cuestiones jurídicas prioritarias fueron debatidas en la audiencia internacional de expertos de Copenhague del 23 al 24 de abril de 1998; (5) considerando que las comunicaciones y el comercio electrónico requieren "firmas electrónicas" y que los servicios relacionados permiten la autenticación de datos; que toda divergencia en las reglas relativas al reconocimiento jurídico de las firmas electrónicas y a la acreditación de los "prestatarios de servicios de certificación" en los Estados miembros corren el riesgo de constituirse en un obstáculo serio a las comunicaciones electrónicas y al comercio electrónico y por ello trabar el desarrollo del mercado interno; que la diversidad de actividades en los Estados miembros deja en evidencia la necesidad de armonizar al nivel de la Comunidad; 9 (6) considerando que se debe promover la interoperabilidad de los productos de firma electrónica; que, conforme al articulo 7 A del Tratado, el mercado interno conforma un espacio en el cual se asegura la libre circulación de mercaderías; que las exigencias esenciales específicas a los productos de firma electrónica utilizados por los prestatarios de servicios de certificación deben respetarse a fin de asegurar la libre circulación en el mercado interno y de suscitar la confianza en las firmas electrónicas; que, por el momento, no hay una necesidad manifiesta de armonizar los productos destinados a los consumidores; (7) considerando que, con la velocidad del progreso tecnológico y la dimensión mundial del Internet conviene adoptar un enfoque que tenga en cuenta las diversas tecnologías y servicios que permiten autenticar los datos en forma electrónica; que, de todos modos, las "firmas digitales" que se basan en la criptografía de clave pública constituyen actualmente la forma reconocida de firma electrónica; (Comentario: se señala que en esta parte la exposición de motivos no se ve reflejada en el articulado, particularmente en el artículo 2.1 que define a la “firma electrónica” como una firma bajo forma digital, integrada, ligada o asociada de manera lógica a los datos, creada por medios que el signatario pueda mantener bajo su exclusivo control; asimismo en el artículo 2.3, que define al “dispositivo de creación de firma” como los datos únicos, tales como códigos o claves criptográficas privadas, o un dispositivo físico configurado específicamente, que el signatario utiliza para crear la firma electrónica) (8) considerando que el mercado interno permite a los prestatarios del servicio de certificación desarrollar sus actividades internacionales a fin de aumentar su competitividad, y de ofrecer así a los consumidores y a las empresas nuevas posibilidades de intercambiar información y de comerciar electrónicamente con toda la seguridad, independientemente de las fronteras; que los prestatarios del servicio de certificación deben generalmente estar libres para ofrecer sus servicios sin autorización previa, a fin de favorecer la provisión, a escala comunitaria, de los servicios de certificación sobre redes abiertas; que, en lo inmediato, no es necesario asegurar la libre circulación de los servicios de certificación al armonizar las restricciones nacionales a la provisión de estos servicios que sean justas y proporcionadas; (9) considerando que los regímenes voluntarios de acreditación que apuntan a elevar el nivel del servicio prestado pueden ofrecer a los prestatarios de servicios de certificación el marco adecuado para el perfeccionamiento de sus servicios en función del nivel de confianza, de seguridad y de la calidad impuesta por la evolución del mercado; que tales regímenes deben incitar a la puesta a punto de las reglas de buena conducta entre los prestatarios de servicios de certificación; que los prestatarios de servicios de certificación deben quedar libres de suscribir a estos regímenes de acreditación y de beneficiarse de ello; que los Estados miembros no deben prohibir a los prestatarios de servicios de certificación operar en el marco de sus regímenes de acreditación; que se debe velar por que los regímenes de acreditación no limiten la competencia en el sector de los servicios de certificación; que es importante encontrar un equilibrio entre las necesidades de los particulares y las de las empresas; 10 (10) considerando que la presente Directiva apunta a promover la utilización y el reconocimiento jurídico de las firmas electrónicas en la Comunidad Europea; que un marco reglamentario no es necesario para las firmas electrónicas utilizadas exclusivamente en el ámbito de sistemas cerrados; que la libertad de las partes de convenir entre ellas las condiciones dentro de las cuales ellas aceptan los datos firmados electrónicamente debe salvaguardarse dentro de los limites autorizados para la legislación nacional; que la presente directiva no apunta a armonizar las reglas nacionales concernientes al derecho contractual, en particular la celebración y ejecución de contratos, o de otras formalidades no contractuales que precisan de firma; que, por esta razón, las disposiciones concernientes a los efectos jurídicos de las firmas electrónicas no prejuzgan obligaciones de firma requeridas por la ley para la celebración de contratos ni reglas determinantes del lugar en el cual se celebra un contrato; (11) considerando que, a fin de contribuir a la aceptación general de las firmas electrónicas, la validez jurídica de una firma electrónica no puede cuestionarse por el solo motivo de que la firma se presente en la forma de datos electrónicos, que ella no se base en un certificado calificado o en un certificado emitido por un prestatario de servicios de certificación acreditado o que el prestatario de servicio que ha emitido el certificado en cuestión es originario de otro Estado miembro; que las firmas electrónicas, ligadas a un prestatario de servicios de certificación confiable que satisface las exigencias esenciales, deben tener el mismo efecto jurídico que las firmas ológrafas; que se debe velar para que las firmas electrónicas puedan tener fuerza probatoria en la justicia en todos los Estados miembros de la Comunidad; que el reconocimiento jurídico de las firmas electrónicas debe basarse en criterios objetivos y no condicionarse a la autorización del prestatario del servicio respectivo; que las reglas armonizadas respecto del efecto jurídico de las firmas electrónicas serán la garantía de un marco jurídico coherente en la Comunidad; (12) considerando que los prestatarios de servicios de certificación que ofrecen servicios de certificación al público están sometidos a la legislación nacional en materia de responsabilidad; que las diferencias en el campo de aplicación y el contenido de estas reglamentaciones arriesgan suscitar incertidumbres jurídicas, notablemente en lo que concierne a los terceros que utilizan los servicios de estos prestatarios; que tales incertidumbres pueden perjudicar el desarrollo del comercio internacional e impedir el funcionamiento del mercado interno; que la armonización de las reglas en materia de responsabilidad ofrece seguridad y previsibilidad jurídica a los prestatarios de servicios de certificación y a los consumidores; que tales reglas deben contribuir a la aceptación general y al reconocimiento jurídico de las firmas electrónicas en la Comunidad europea y, en consecuencia, tienen un efecto benéfico sobre el funcionamiento del mercado interno; (13) considerando que los mecanismos internacionales respecto de terceros países son indispensables para el desarrollo del comercio electrónico internacional; que estos mecanismos deben estar puestos a punto al nivel de las empresas; que los acuerdos multilaterales con los terceros países respecto del 11 reconocimiento mutuo de los servicios de certificación podrían contribuir a asegurar la interoperabilidad a nivel mundial; (14) considerando que, para favorecer las comunicaciones y el comercio electrónico asegurando la confianza de sus usuarios, los Estados miembros deben obligar a los prestatarios de servicios de certificación a respetar la legislación de la protección de datos y la privacidad individual y estar en condiciones de proveer igualmente los servicios de certificación para seudónimos a pedido del firmante; que la ley nacional debería precisar si, y en que condiciones, los datos que revelan la identidad de la persona deberán transferirse para investigaciones criminales; que los prestatarios de servicios de certificación deben informar en forma anticipada a los usuarios de sus condiciones, notablemente en lo que concierne a la utilización específica de sus certificados y los límites de su responsabilidad por escrito, en un lenguaje fácilmente comprensible y utilizando un medio de comunicación perdurable; (15) considerando que es deseable instituir un Comité Consultivo para asistir a la Comisión a aplicar, de manera armonizada y proporcional, las disposiciones que responden a las necesidades del mercado y del público en general; (16) considerando que, conforme a los principios de subsidiariedad y de proporcionalidad referidos en el articulo 3 B del Tratado, el objetivo que consiste en instituir un marco jurídico armonizado para la provisión de firmas electrónicas y de servicios relacionados, no puede realizarse de manera suficiente por los Estados miembros y sería realizado mejor a nivel comunitario; que la presente directiva se limita a las exigencias mínimas necesarias para lograr este objetivo, HAN ADOPTADO LA PRESENTE DIRECTIVA 12 Ámbito de aplicación y definiciones Artículo 1 Ámbito de aplicación y finalidad La presente Directiva tiene por finalidad facilitar el uso de la firma electrónica y establecer su reconocimiento legal. Esta Directiva no cubre otros aspectos en relación con la conclusión o validez de los contratos u otras formalidades no contractuales que precisen firma. La Directiva crea un marco legal para determinados servicios de certificación accesibles al público, con el fin de asegurar el correcto funcionamiento del mercado interno en relación con la firma electrónica. Artículo 2 Definiciones A los efectos de la presente Directiva, se entiende por: 1. “firma electrónica”, una firma bajo forma digital, integrada, ligada o asociada de manera lógica a los datos, utilizada por un signatario para indicar su aceptación del contenido de esos datos y que cumple con los siguientes requisitos: (a) estar vinculada únicamente al signatario; (b) permitir identificar al signatario; (c) haber sido creada por medios que el signatario pueda mantener bajo su exclusivo control; y (d) estar vinculada a los datos a los que se relaciona de modo tal que se detecte cualquier modificación ulterior de esos datos. 2. “signatario”, la persona que crea una firma electrónica. 3. “dispositivo de creación de firma”, los datos únicos, tales como códigos o claves criptográficas privadas, o un dispositivo físico configurado específicamente, que el signatario utiliza para crear la firma electrónica. 4. “dispositivo de verificación de firma”, los datos únicos, tales como códigos o claves criptográficas públicas, o un dispositivo físico configurado a tal efecto específicamente, utilizado para verificar la firma electrónica. 5. “certificado reconocido”, una atestación digital que vincula un dispositivo de verificación de firma con una persona, confirma su identidad y cumple los requisitos establecidos en el Anexo I. 6. “proveedor de servicios de certificación”, la persona física o jurídica que emite certificados al público o presta otros servicios en relación con firmas electrónicas. 13 7. “producto de firma electrónica”, todo hardware o software, o sus componentes específicos, destinados a ser utilizados por el proveedor de servicios de certificación para la prestación de servicios de firma electrónica. Artículo 3 Principios de acceso al mercado 1. Los Estados miembros no condicionarán la prestación de servicios de certificación a la obtención de autorización previa. 2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán introducir o mantener regímenes voluntarios de acreditación para mejorar el nivel de los servicios de certificación. Todos los criterios relativos a tales regímenes deberán ser objetivos, transparentes, proporcionados y no discriminatorios. Los Estados miembros no podrán limitar el número de proveedores de servicios de certificación amparándose en la presente Directiva. 3. Conforme al procedimiento previsto en el artículo 9, la Comisión podrá establecer y publicar en el Diario Oficial de las Comunidades Europeas los números de referencia de normas generalmente aceptadas para productos de firma electrónica. Los Estados miembros presumirán que los productos de firma electrónica que se ajusten a dichas normas cumplen con lo establecido en el punto d) del Anexo II de la presente Directiva. 4. Los Estados miembros podrán supeditar el uso de la firma electrónica en el sector público a requisitos adicionales. Estos requisitos serán objetivos, transparentes, proporcionados y no discriminatorios, y sólo harán referencia a las características específicas de la aplicación de que se trate. Artículo 4 Principios del mercado interno 1. Cada Estado miembro aplicará las disposiciones nacionales que adopte en cumplimiento de la presente Directiva a los proveedores de servicios de certificación establecidos en su territorio y a los servicios prestados por ellos. Los Estados miembros no podrán restringir la prestación de servicios de certificación regulados por la presente Directiva que procedan de otro Estado miembro. 2. Los Estados miembros velarán por que los productos de firma electrónica que se ajusten a lo dispuesto en la presente Directiva puedan circular libremente en el mercado interno. 14 Efectos legales, responsabilidad Artículo 5 Efectos jurídicos 1. Los Estados miembros velarán por que la fuerza ejecutoria, el efecto o la validez jurídica de una firma electrónica no sea negada por el solo motivo de que ésta se presente en forma electrónica, o no se base en un certificado reconocido o en un certificado expedido por un proveedor de servicios de certificación acreditado. (Comentario: Cuando la firma electrónica no se base en un certificado reconocido o en un certificado expedido por un proveedor de servicios de certificación acreditado, su validez debería estar sujeta a las reglas sobre pruebas de otros marcos normativos) 2. Los Estados miembros velarán por que las firmas electrónicas basadas en un certificado reconocido emitido por un proveedor de servicios de certificación que cumple lo establecido en el Anexo II: (a) posean idéntico valor legal que la firma manuscrita; (b) sean admisibles como prueba a efectos procesales de la misma forma que la firma manuscrita. Artículo 6 Responsabilidad 1. Los Estados miembros velarán porque el proveedor de servicios de certificación que emita un certificado reconocido sea responsable ante cualquier persona que de buena fe confíe en el certificado, respecto de: (a) la exactitud de toda la información contenida en el certificado reconocido en la fecha de su emisión, salvo indicación contraria del proveedor de servicios de certificación que figure en el certificado; (b) la conformidad con todos los requisitos de la presente Directiva en la emisión del certificado reconocido; (c) la garantía de que, en el momento de la expedición del certificado reconocido, obra en poder del titular identificado en el mismo el dispositivo de creación de firma correspondiente al dispositivo de verificación dado o identificado en el certificado; (d) en caso de que el proveedor de servicios de certificación genere los dispositivos de creación y de verificación de firma, la garantía de que ambos funcionen conjunta y complementariamente. (Comentario: este inciso es cuestionable, ya que contradice el artículo 2. 1. (c) y viola el principio de privacidad de los dispositivos de creación de firmas electrónicas definidos en el art. 2.3.) 15 2. Los Estados miembros velarán por que el proveedor de servicios de certificación no sea responsabilizado por eventuales inexactitudes en el certificado reconocido que resulten de la información facilitada por la persona a que se expidió el mismo, a condición de que dicho proveedor de servicios pueda demostrar que ha tomado todas las medidas razonablemente practicables para verificar tal información. 3. Los Estados miembros velarán por que el proveedor de servicios de certificación pueda consignar, en un certificado reconocido en particular, los límites establecidos para su utilización. El proveedor de servicios de certificación no deberá ser responsabilizado por los daños que resulten del uso contraindicado de un certificado reconocido en el que consten los límites de su utilización. 4. Los Estados miembros velarán por que el proveedor de servicios de certificación pueda consignar en el certificado reconocido un valor límite de las transacciones válidas que puedan realizarse mediante el mismo. El proveedor de servicios de certificación no será responsable de los eventuales daños y perjuicios que excedan de dicho valor límite. 5. Las disposiciones precedentes se aplicarán sin perjuicio de la Directiva 93/13/CE. Aspectos internacionales, protección de datos Artículo 7 Aspectos internacionales 1. Los Estados miembros velarán por que los certificados expedidos por un proveedor de servicios de certificación establecido en un tercer país sean reconocidos como jurídicamente equivalentes a los emitidos por un proveedor de servicios de certificación establecido en la Comunidad Europea: (a) si el proveedor de servicios de certificación cumple con los requisitos enumerados en la presente Directiva y ha sido acreditado en el marco de un sistema voluntario de acreditación establecido por un Estado miembro de la Comunidad Europea; o (b) si un proveedor de servicios de certificación establecido en la Comunidad Europea que cumple las prescripciones del Anexo II, avala el certificado en la misma medida que los propios; o (c) si el certificado o el proveedor de servicios de certificación están reconocidos en virtud de un acuerdo bilateral o multilateral entre la Comunidad Europea y terceros países u organizaciones internacionales. 2. La Comisión podrá tomar medidas para facilitar tanto la prestación de servicios de certificación a través de las fronteras con terceros países como el reconocimiento legal de las firmas electrónicas originarias de estos últimos. A tal 16 fin, la Comisión podrá presentar propuestas para la aplicación de normas y acuerdos internacionales relacionados con los servicios de certificación y, llegado el caso, solicitar al Consejo un mandato de negociación de acuerdos bilaterales y multilaterales con terceros países y organizaciones internacionales. El Consejo se pronunciará por mayoría cualificada. Artículo 8 Protección de datos 1. Los Estados miembros velarán por que los proveedores de servicios de certificación y los organismos nacionales competentes en materia de acreditación y supervisión cumplan lo establecido en las disposiciones nacionales de incorporación al derecho interno de las directivas 95/46/CE y 97/66/CE. 2. Los Estados miembros velarán por que los proveedores de servicios de certificación únicamente puedan recabar datos personales directamente del titular de los mismos, y sólo en la medida necesaria a efectos de la expedición del certificado. Los datos no podrán obtenerse o tratarse con fines distintos sin el consentimiento de su titular. 3. Los Estados miembros velarán por que, de solicitarlo así el signatario, el proveedor de servicios de certificación consigne en el certificado un seudónimo de esa persona, en lugar de su verdadero nombre. 4. En relación con los usuarios de seudónimo, los Estados miembros velarán por que el proveedor de servicios de certificación transmita los datos relativos a la identidad de los mismos, contando con su consentimiento previo, a las autoridades públicas que los soliciten. Si el ordenamiento jurídico nacional obliga a entregar datos que revelan la identidad de su titular con fines de investigación penal en caso de utilización de firma electrónica bajo seudónimo, se consignará que se ha procedido a tal entrega, y el titular de los datos será informado de la misma lo antes posible una vez finalizada la investigación. Comité consultivo Artículo 9 Composición y procedimientos 1. La Comisión estará asistida por un comité (“Comité de Firma Electrónica”, en lo sucesivo denominado “el Comité”) de carácter consultivo, compuesto por representantes de los Estados miembros y presidido por un representante de la Comisión. 2. El Comité será consultado, si procede, sobre los requisitos establecidos en el Anexo II en relación con los proveedores de servicios de certificación y sobre las 17 normas generalmente aceptadas para los productos de firma electrónica con arreglo al apartado 3 del artículo 3. 3. El representante de la Comisión someterá al Comité un proyecto de las medidas que deban adoptarse. El Comité emitirá su dictamen sobre dicho proyecto en un plazo que el presidente podrá fijar en función de la urgencia del asunto, procediendo, en su caso, a una votación. El dictamen se incluirá en el acta; además, cada Estado miembro tendrá derecho a solicitar que su posición conste en acta. La Comisión tendrá en cuenta, en la mayor medida posible, el dictamen emitido por el Comité. Informará al Comité de la manera en que ha tenido en cuenta dicho dictamen y adoptará una decisión en el plazo de un mes desde que se haya emitido el mismo. 4. La Comisión consultará periódicamente con la industria, los usuarios y las asociaciones de consumidores y mantendrá al Comité regularmente informado de los resultados de dichas consultas. Disposiciones generales y finales Artículo 10 Notificación 1. Los Estados miembros suministrarán a la Comisión la información siguiente: (a) información sobre los regímenes voluntarios de acreditación, incluidos cualesquiera requisitos adicionales con arreglo al apartado 4 del artículo 3; (b) el nombre y dirección de los organismos nacionales competentes en materia de acreditación y supervisión; y (c) el nombre y dirección de los proveedores de servicios de certificación nacionales acreditados. 2. Toda información suministrada según el apartado 1 y los cambios respecto de esta información serán notificados por los Estados miembros en el plazo de un mes. Artículo 11 Procedimiento de examen 1. La Comisión examinará por primera vez los resultados de la aplicación de la presente Directiva y presentará el oportuno informe al Parlamento Europeo y al Consejo antes del 1 de enero de 2003. 2. Dicho examen permitirá, entre otras cosas, establecer si conviene modificar el ámbito de aplicación de la Directiva en vista de los avances tecnológicos y cambios legales que se hayan podido producir. El informe valorará, en particular, 18 los aspectos de armonización sobre la base de la experiencia adquirida. El informe irá acompañado de propuestas legislativas complementarias, si procede. Artículo 12 Aplicación 1. Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo dispuesto en la presente Directiva antes del 1 de enero de 2001. Informarán inmediatamente de ello a la Comisión. Cuando los Estados miembros adopten tales disposiciones, éstas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia. 2. Los Estados miembros comunicarán a la Comisión todas las demás disposiciones de su Derecho interno que adopten en el ámbito regulado por la presente Directiva. Artículo 13 La presente Directiva entrará en vigor al vigésimo día de su publicación en el Diario Oficial de las Comunidades Europeas. Artículo 14 Destinatarios Los destinatarios de la presente Directiva son los Estados miembros. 19 Anexo I Requisitos de los certificados reconocidos Los certificados reconocidos habrán de contener: (a) la identificación del proveedor de servicios de certificación que emite el certificado; (b) el nombre inconfundible del titular o un seudónimo inequívoco que deberá ser señalado como tal; (c) un atributo específico del titular, como su dirección, su capacidad de actuar en nombre de una empresa, su solvencia, su número de impuesto al valor agregado u otro código de identificación fiscal, o la existencia de garantías de pago o de licencias y permisos específicos; (d) un dispositivo de verificación de firma que corresponda a un dispositivo de creación de firma bajo control del titular (Comentario: control que debería ser exclusivo); (e) el comienzo y fin del período de validez del certificado; (f) el código único de identificación del certificado; (g) la firma electrónica del proveedor de servicios de certificación que emite el certificado; (h) las limitaciones en el alcance de utilización del certificado, si corresponden; y (i) los límites de la responsabilidad del proveedor de servicios de certificación y del valor de las transacciones para las que tiene validez el certificado, si corresponden. 20 Anexo II Requisitos de los proveedores de servicios de certificación Los proveedores de servicios de certificación deberán: (a) demostrar la confiabilidad necesaria para prestar servicios de certificación, en particular; (b) proveer un servicio de revocación rápido y seguro (Comentario: de certificados); (c) comprobar, por medios apropiados, la identidad y capacidad de obrar de la persona a quien se le expide un certificado reconocido; (d) emplear personal que tenga los conocimientos específicos, la experiencia y las calificaciones necesarias para proveer los servicios ofrecidos y, en particular, competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma electrónica y experiencia adecuada en los procedimientos de seguridad pertinentes; deben poner asimismo en práctica los procedimientos y métodos administrativos y de gestión adecuados y conformes a normas generalmente aceptadas; (e) utilizar sistemas confiables y productos de firma electrónica que aseguren la protección contra toda alteración de dichos productos, de manera que éstos no puedan ser utilizados para llevar a cabo funciones distintas de aquellas para las que fueron diseñados; también deberán utilizar productos de firma electrónica que aseguren la seguridad técnica y criptográfica de los procesos de certificación sustentados por los productos; (Comentario: a pesar de la redundancia – “aseguren la seguridad”- se traduce literalmente en virtud de los textos coincidentes de las versiones inglesa y francesa en este particular) (f) tomar medidas contra la falsificación de certificados y, en caso de que el proveedor de servicios de certificación genere claves privadas de firma criptográfica, garantizar la confidencialidad durante el proceso de generación de dichas claves (Comentario: la posibilidad de que el proveedor de servicios de certificación genere claves privadas de firma criptográfica es cuestionable ya que contradice el artículo 2. 1. (c) y viola el principio de privacidad de los dispositivos de creación de firmas electrónicas definidos en el art. 2.3.); (g) disponer de recursos económicos suficientes para operar de conformidad con lo dispuesto en la presente Directiva, en particular, para afrontar el riesgo de responsabilidad por daños, por ejemplo, contratando un seguro apropiado; (h) registrar toda la información pertinente relativa a un certificado reconocido por un período de tiempo adecuado, en particular, para aportar pruebas de certificación a efectos procesales; esta actividad de registro podrá realizarse por medios electrónicos; (i) no almacenar ni copiar las claves privadas de firma criptográfica de la persona a la que el proveedor de servicios de certificación ha prestado servicio de gestión 21 de claves, a menos que dicha persona lo solicite expresamente (Comentario: este inciso es cuestionable ya que contradice el artículo 2. 1. (c) y viola el principio de privacidad de los dispositivos de creación de firmas electrónicas definidos en el art. 2.3.); e (j) informar por escrito a los consumidores antes de entablar relaciones contractuales, en un lenguaje fácilmente comprensible y utilizando un medio de comunicación no perecedero, de las condiciones precisas de utilización del certificado, incluyendo los posibles límites de su responsabilidad, la existencia de un sistema voluntario de acreditación y los procedimientos de reclamación y solución de litigios. --------------------------- 22