Artículo LFE Final

Anuncio
Revista de Contratación
Electrónica
Comentario crítico de la Ley 59/2003, de 19 de
diciembre, de Firma Electrónica
Ignacio Alamillo Domingo
Director Jurídico de la Agencia Catalana de Certificación (CATCert)
Xavier Urios Aparisi
Abogado de la Generalidad de Cataluña
Tabla de contenido
1.
INTRODUCCIÓN ..............................................................................................................................3
2.
CRÍTICA GENERAL DE LA LEY .............................................................................................4
2.1
FUNDAMENTO DE LA LEY ...........................................................................................................4
2.1.1 La mezcla de sectores normativos, generales y específicos, en el mismo texto..........4
2.1.2 La (difícil) justificación de ciertos sistemas sectoriales de firma .................................6
2.1.3 La firma de Notarios y Registradores................................................................................7
2.1.4 La firma de la FNMT-RCM .............................................................................................. 12
2.1.5 La firma avanzada de la factura telemática .................................................................. 13
2.2
DESCONOCIMIENTO DEL ÁMBITO DE APLICACIÓN OBJETIVA ..............................................14
2.3
INCOMPLETA DEFINICIÓN DEL ÁMBITO DE APLICACIÓN SUBJETIVA...................................16
3.
CRÍTICA AL MODELO DE ROLES DEFINIDO EN LA LEY....................................... 18
3.1
EL ROL DE PRESTADOR DE SERVICIOS: DESCOORDINACIÓN CON LA LSSI-CE ................18
3.2
EL MODELO DE ROLES DE USUARIO.........................................................................................20
3.2.1 Confusión de los roles de suscriptor y firmante............................................................ 21
3.2.2 Confusión de los roles de solicitante y futuro suscriptor............................................ 23
4.
CRÍTICA AL MODELO CONCEPTUAL DE LA FIRMA ELECTRÓNICA.............. 25
4.1
4.2
4.3
4.4
5.
CRÍTICA AL MODELO CONCEPTUAL DE LA CERTIFICACIÓN DIGITAL...... 34
5.1
5.2
5.3
6.
LA FIRMA-E ORDINARIA NO ES FIRMA, AUNQUE PUEDE SERVIR COMO TAL ......................25
LA FIRMA-E “RECONOCIDA” NO PARECE TENER RECONOCIMIENTO REAL ........................26
FOMENTO DE LA FIRMA ELECTRÓNICA NO RECONOCIDA.....................................................30
LA FIRMA-E DE PERSONAS JURÍDICAS NO ES FIRMA..............................................................32
EL DNI ELECTRÓNICO Y EL FIN DEL MERCADO.....................................................................34
UN CERTIFICADO “RECONOCIDO” QUE NO ES RECONOCIDO POR NADIE............................35
UN CERTIFICADO DE PERSONA JURÍDICA QUE ES DE PERSONA FÍSICA................................36
CRÍTICA A LOS ASPECTOS PROBATORIOS DE LA FIRMA ELECTRÓNICA.. 38
6.1
EL SOPORTE ELECTRÓNICO COMO MEDIO DE PRUEBA..........................................................38
6.2
PROCEDIMIENTO DE APORTACIÓN AL PROCESO DE DOCUMENTOS ELECTRÓNICOS .........39
6.2.1 Aportación directa al expediente..................................................................................... 41
6.2.2 Otros modos de aportación. Prueba pericial e intervención de Notario.................. 42
6.3
PRUEBA DEL SOPORTE ELECTRÓNICO Y DE SU FIRMA ELECTRÓNICA.................................43
6.3.1 Prueba de la firma electrónica reconocida................................................................... 44
6.3.2 Prueba de las restantes firmas electrónicas.................................................................. 46
6.4
OTROS ASPECTOS DERIVADOS DE LA PRUEBA.......................................................................47
1. Introducción
Recientemente se ha aprobado la Ley 59/2003, de 19 de diciembre, de Firma
Electrónica (B.O.E. de 20 de diciembre de 2003), que viene a substituir la anterior
regulación, el Real Decreto-Ley 14/1999, de 17 de septiembre, de firma electrónica, y
cuya entrada en vigor se producirá a los tres meses de su publicación.
Esta reforma tiene por objeto suplir el indudable déficit normativo asociado al
Real Decreto-Ley 14/1999, el cual se sustrajo de la necesaria discusión parlamentaria,
y no precisamente por el alegado fin del mandato de las Cámaras en marzo de 2000,
como cita la exposición de motivos de la Ley 59/2003, sino más bien por la fórmula
empleada, de aprobación urgente, utilizando el mecanismo del Real Decreto-Ley,
cuando los presupuestos de extraordinaria y urgente necesidad no justificaban la
utilización de esa facultad extraordinaria de dictar normas con rango de ley que tiene
atribuida el Gobierno, más aún cuando este Real Decreto-Ley se aprobó con
anterioridad a la Directiva comunitaria, directiva que buscaba reforzar el marco jurídico
de la firma electrónica y la prestación de servicios de certificación.
Como advertencia previa, decir que una parte de la doctrina ha justificado la
imposibilidad de disponer de la firma electrónica avanzada, así como de los
certificados reconocidos, en la ausencia del Registro de prestadores de servicios de
certificación; opinión que no compartimos en absoluto.
Nada más lejos de la realidad, dado que diversos prestadores disponen ya de
certificados reconocidos, cuyas firmas son completamente válidas y efectivas
jurídicamente. Una cosa es que el RDL 14/99 no haya sido un prodigio de técnica
legislativa y que no haya incorporado ciertas instituciones jurídicas útiles, y otra es
negar sus efectos.
Ante estos planteamientos, cabe indicar que la Agencia Catalana de
Certificación fue la primera entidad pública en emitir certificados reconocidos y
dispositivos seguros, cumpliendo con todas las normas jurídicas y técnicas exigibles,
para proveer a los trabajadores públicos de las Administraciones Públicas catalanas
de firma de máximo valor jurídico. El IZENPE vasco, por su parte, ha sido la primera
entidad pública en emitir certificados reconocidos en dispositivo seguro de creación de
firma a los ciudadanos.
En este artículo realizaremos una revisión crítica a la nueva regulación sobre la
firma electrónica, así como de las nuevas figuras que introduce, como el certificado de
persona jurídica o el DNI electrónico.
2. Crítica general de la Ley
2.1 Fundamento de la ley
2.1.1 La mezcla de sectores normativos, generales y específicos, en el
mismo texto
El primer punto que hay que analizar, aunque ya se encontraba presente en el
RDL 14/99, de 17 de septiembre, es la justificación constitucional del texto legal. Como
puede verse de la Disposición final primera, la norma se dicta al amparo de los
siguientes artículos:
-
Artículo 149.1.8ª: Competencia exclusiva del Estado en materia de
legislación civil, sin perjuicio de la conservación, modificación y desarrollo
por las Comunidades Autónomas de los derechos civiles, forales o
especiales, allí donde existan. En todo caso, las reglas relativas a la
aplicación y eficacia de las normas jurídicas, relaciones jurídico-civiles
relativas a las formas de matrimonio, ordenación de los registros e
instrumentos públicos, bases de las obligaciones contractuales, normas
para resolver los conflictos de leyes y determinación de las fuentes del
Derecho, con respecto, en este último caso, a las normas de derecho foral
o especial.
-
Artículo 149.1.18ª: Competencia exclusiva del Estado en materia de bases
del régimen jurídico de las Administraciones públicas y del régimen
estatutario de sus funcionarios que, en todo caso, garantizarán a los
administrados un tratamiento común ante ellas; el procedimiento
administrativo común, sin perjuicio de las especialidades derivadas de la
organización propia de las Comunidades Autónomas; legislación sobre
expropiación forzosa; legislación básica sobre contratos y concesiones
administrativas y el sistema de responsabilidad de todas las
Administraciones públicas.
-
Artículo 149.1.21ª: Competencia exclusiva del Estado en materia de
ferrocarriles y transportes terrestres que transcurran por el territorio de más
de una Comunidad Autónoma; régimen general de comunicaciones; tráfico
y circulación de vehículos a motor; correos y telecomunicaciones; cables
aéreos, submarinos y radiocomunicación.
-
Artículo 149.1.29ª: Competencia exclusiva del Estado en materia de
seguridad pública, sin perjuicio de la posibilidad de creación de policías por
las Comunidades Autónomas en la forma que se establezca en los
respectivos Estatutos en el marco de lo que disponga una ley orgánica.
Resulta interesante la inclusión de la regulación general de la firma electrónica
en la competencia exclusiva del Estado en materia civil, que atrae a una norma
general, como es la Ley 59/2003, el tratamiento horizontal de la firma, incluyendo
también la regulación del uso de la firma electrónica por las compañías mercantiles
(hubiese debido fundamentarse la norma también en el artículo 149.1.6ª de la
Constitución, por tratarse de materia mercantil, como específicamente cita la
Exposición de motivos); asimismo, regula la emisión del DNI en formato electrónico,
al amparo del artículo 149.1.29ª, extendiendo la eficacia del D.N.I. y de su firma al
ámbito de las obligaciones contractuales. Dentro de estos títulos competenciales,
destaca igualmente la consideración de la Ley como “normativa básica de derecho
administrativo”, lo que supone la posibilidad de desarrollo de dichas bases por las
Administraciones autonómica y local en el marco de sus respectivas competencias, en
conexión con la implantación de la Administración electrónica, y al amparo de la Ley
30/92, de 26 de noviembre, de régimen jurídico de las Administraciones públicas y del
procedimiento administrativo común.
No parece que el título competencial anteriormente mencionado cubra los
regímenes específicos del uso de la firma en el seno de la Administración General del
Estado, en especial en el ámbito de Hacienda 1, ya que esta regulación no puede
considerarse básica, por lo que quizá debería regularse en instrumento jurídico
específico.
La competencia exclusiva que se afirma al amparo del artículo 149.1.21ª
resulta más difícil de entender: los servicios de certificación son una clase de servicios
de la sociedad de la información, y los servicios de la sociedad de la información no
son servicios de telecomunicaciones, tal como se desprende del análisis de la
normativa española y comunitaria de comercio electrónico.
Después de todo, no se regula el servicio de correos (¿electrónicos?) ni las
transmisiones a través de Internet, y aunque de este modo se hiciera, tampoco en este
caso se trataría de servicios de telecomunicaciones, sino de la sociedad de la
información, con un tratamiento y régimen jurídico absolutamente diferenciado. En
nuestra opinión, esta justificación debería retirarse por incongruente, como sucede con
la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del
comercio electrónico.
Por otro lado, esta justificación global que se realiza produce un texto legal en
el que se tratan de hacer convivir instituciones radicalmente diferenciadas entre sí,
entre las que podemos diferenciar las siguientes:
-
La firma como forma útil y voluntaria de los contratos telemáticos y otros
actos (competencia en legislación civil), incluyendo la firma de las personas
jurídicas (que no es tal, sino la firma del factor mercantil o de otra persona
física autorizada por la persona jurídica).
-
La firma voluntaria por parte de los ciudadanos con cada Administración
pública, mediante los mecanismos del artículo 45, 70 y concordantes de la
Ley 30/92, que requiere su previa aceptación y consentimiento.
-
La firma empleada por la Administración, y los servicios de certificación que
empleen, que deberá ajustarse a la normativa básica incluida en el texto y
ser desarrollada por la correspondiente normativa autonómica o local.
-
La firma, de obligatoria aceptación, del DNI electrónico, cuyo régimen
jurídico nada tiene que ver con la firma ni en el sector privado ni en el
público, sino con la identificación pura y simple de las personas, y que en
determinados aspectos habría de ser regulado por Ley orgánica.
-
La firma de entidades sin personalidad jurídica propia expedida por el
Ministerio de Hacienda, a los efectos de la Ley General Tributaria, si bien
1
No es este departamento ministerial el único que ha regulado de forma propia el uso
de la firma electrónica, sino que también los Ministerios de Ciencia y Tecnología, Economía e
Interior han dictado normas específicas sobre el uso de la firma electrónica.
limitada al ámbito tributario, que debería regularse no en una Ley general
sino en la correspondiente normativa tributaria.
Como se puede ver, conviven en esta Ley 59/2003 diferentes modelos
normativos, que afectan al orden civil, al administrativo, a la seguridad pública y que
presenta “especialidades” de aplicación exclusiva para la Administración General del
Estado, sin ni siquiera indicarse qué parte del proyecto es horizontal y básica, y qué
partes no lo son.
En definitiva, una confusión inaceptable desde la óptica jurídica, partiendo de la
transposición de una Directiva comunitaria de índole privatístico y de protección del
consumidor, y llegando a una norma de vocación horizontal, que afecta a todo el
ordenamiento jurídico español, civil y administrativo, sin la necesaria reflexión jurídica
y que, adicionalmente, refleja los intereses políticos internos de la Administración
General del Estado, que se manifiesta en el incipiente DNI electrónico, con una
vocación clara de servicio público análogo al DNI en papel (aunque, como veremos,
ultrapasando la función actual del mismo) en clara contradicción con la expansión del
modelo de negocio de la Fábrica Nacional de Moneda y Timbre – Real Casa de la
Moneda.
En sede de proyecto, se debería haber realizado un esfuerzo especial para
fundamentar correctamente una legislación horizontal de gran ámbito como es la Ley
de firma electrónica, y así evitar disfunciones como las ya producidas por el RDL
14/99, que sin duda han de producir problemas futuros.
2.1.2 La (difícil) justificación de ciertos sistemas sectoriales de firma
No acaba con lo dicho anteriormente el desorden normativo en materia de firma
que acompaña al proyecto, dado que se ha desaprovechado completamente la
oportunidad de reconducir los sistemas sectoriales de firma electrónica que han
aparecido ante la inoperatividad del RDL 14/99, y que deberían haberse configurado
como sistemas voluntarios de acreditación, en caso de que esta figura hubiese sido
correctamente configurada por el RDL 14/992, siguiendo la Directiva 99/93, de 13 de
diciembre, de firma electrónica.
Y es que hay que tener presentes otros dos tipos de firma, ya regulados y que
conservan una cierta “independencia”, en lugar de adaptarse al marco general:
-
La firma de la Fábrica Nacional de Moneda y Timbre3, que por algún motivo
que los autores no aciertan a entender, dispone de un régimen privilegiado
frente a los restantes prestadores de servicios de certificación, públicos y
privados, incluso en presencia del DNI electrónico (de acuerdo con la
disposición adicional quinta del Proyecto), que cumple exactamente la
misma función.
-
La firma de facturas telemáticas 4, regulada por Orden HAC/3134/2002, de 5
de diciembre, sobre un nuevo desarrollo del régimen de facturación
telemática previsto en el artículo 88 de la Ley 37/1992, de 28 de diciembre,
del Impuesto sobre el Valor Añadido, y en el artículo 9 bis del Real Decreto
2402/1985, de 18 de diciembre, que ha sido desarrollada por Resolución
2/2003, de 14 de febrero, de la Dirección General de la Agencia Estatal de
2
Posibilidad que el Proyecto sí desarrolla de forma respetuosa con la citada Directiva.
3
Disposición adicional cuarta.
4
Disposición adicional séptima.
Administración Tributaria, sobre determinados aspectos relacionados con la
facturación telemática y que, en virtud de la Orden HAC/1181/2003, de 12
de mayo, se ha convertido en otro sistema de corte general regulador de la
firma de los ciudadanos en el ámbito tributario, paralelo al de la normativa
vigente.
Adicionalmente, hay que decir que el Proyecto contemplaba también la
exclusión de la firma de Notarios y Registradores, regulada por Ley 24/2001, de 27 de
diciembre, como veremos posteriormente.
No existe motivo alguno que ampare la exclusión de estos sistemas sectoriales
de firmas electrónicas de la regulación general, dado que la firma de Notarios y
registradores se supone que cumple las prescripciones de la ley hasta la fecha
vigente 5, la firma de la FNMT se supone que también6 y la firma de facturas es una
firma reconocida.
Por tanto la Ley 59/2003 no debería contener excepción alguna, sino servir de
apoyo normativo a todos los prestadores de servicios de certificación, sin privilegio
alguno.
El único motivo que justificaría esta exclusión, bien sea para determinados
usos o aplicaciones de firma electrónica, bien para determinados certificados digitales
o dispositivos de firma, sería sencillamente para dotar a dichas firmas, certificados y
dispositivos, de un marco jurídico diferenciado, al margen de las prescripciones de la
Ley.
Pero si dichos sistemas cumplen la Ley de firma electrónica, no precisan
tratamiento específico alguno y, si no lo cumplen, y precisan de norma de cobertura,
quizá no es esta Ley el lugar apropiado para ello (caso del DNI electrónico,
probablemente, o de la firma de entidades sin personalidad jurídica a efectos
tributarios).
Por ello, en este segundo caso, no es congruente que la Ley indique que la
regulación que contiene – que es de general aplicación – se entenderá sin perjuicio de
dichas normas – especiales – de cobertura.
En definitiva, una Ley que regula la prestación de los servicios de certificación,
a efectos de fomentar el uso general de la firma electrónica (¿por los ciudadanos?) no
debería contener regímenes especiales de exclusión que no se justifican atendiendo a
la índole de sus funciones.
2.1.3 La firma de Notarios y Registradores
Como ha quedado indicado, una de las exclusiones de la regulación general de
la Ley de firma electrónica que se había propuesto en el Proyecto era la firma de
Notarios y Registradores (Disposición Adicional 1ª del proyecto), mediante una
referencia a su legislación específica, que finalmente se ha retirado del texto,
5
De este modo se establece en el artículo 108 de la Ley 24/2001, de 27 de diciembre,
dentro de la Sección 8ª, artículos 106 y siguientes: “Incorporación de técnicas electrónicas,
informáticas y telemáticas a la seguridad jurídica preventiva”.
6
Al menos eso es lo que declara la normativa del proyecto CERES de la Fábrica
Nacional de Moneda y Timbre – Real Casa de la Moneda, contenida en el artículo 81 de la Ley
66/97, de medidas fiscales, administrativas y de orden social para 1998, y desarrollada por el
Real Decreto 1317/2001, de 30 de noviembre.
correctamente en nuestra opinión, a tenor de los argumentos que – sobre el Proyecto
– realizamos a continuación7.
En el caso de la firma de Notarios y Registradores, el artículo 108 de la Ley
24/2001, de 27 de diciembre, que es la normativa a la que hay que atender a partir de
la referencia contenida en la disposición adicional primera del Proyecto, establece el
principio general de adecuación de la firma electrónica de Notarios y Registradores a
la legislación de firma electrónica, en los siguientes términos:
“La prestación de servicios de certificación se hará de
conformidad con lo dispuesto en el Real Decreto-ley 14/1999, de
17 de septiembre, sobre firma electrónica, a efectos de expedir
certificados electrónicos mediante los que se vinculen unos
datos de verificación de firma a la identidad, cualidad
profesional,
situación
administrativa
de
los
notarios
y
registradores de la propiedad, mercantiles y de bienes muebles
en
activo
así
como
la
plaza
de
destino
asignada.
Reglamentariamente se desarrollarán los requisitos a que hayan
de
someterse
los
dispositivos
técnicos
de
creación
y
verificación de firma electrónica, la forma en que deban ser
generados y entregados a sus titulares, las menciones que deban
contener los certificados, el procedimiento y publicidad de su
vigencia, suspensión o revocación, en el marco del citado Real
Decreto-ley y del principio de libre acceso a la actividad de
prestación de servicios de certificación”.
Asimismo, el artículo 109 abunda en las características de lo que denomina
“régimen especial de la firma electrónica de Notarios y
Registradores de la Propiedad Mercantiles y de Bienes Muebles”,
debiendo ser firma electrónica avanzada “amparada por un certificado
reconocido
emitido
por
un
prestador
de
servicios
de
certificación acreditado, de conformidad con lo dispuesto en el
Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma
electrónica, y en la presente disposición”.
A la vista de los citados artículos, parece claro que existe una remisión, desde
la normativa notarial, hacia la legislación general de la firma electrónica.
Por su parte, el Proyecto devolvía dicha referencia, mediante una remisión y, al
mismo tiempo, exclusión en bloque, a la Ley 24/2001, estableciendo un reenvío
circular que dificulta la aplicación.
En efecto, en caso de conflicto entre el desarrollo reglamentario de conceptos
como “certificado reconocido” o “dispositivo seguro”, por ejemplo, debemos
preguntarnos qué normativa se habría de aplicar con preferencia. En nuestra opinión,
este potencial conflicto se ha de solventar atendiendo al juego de la norma especial y
la norma general. De este modo, la Ley de firma electrónica ha de constituir una base
común, de obligado cumplimiento para todos los prestadores, mientras que la Ley
24/2001 permite elevar el nivel de seguridad y calidad, atendiendo a las
particularidades de la prestación en el entorno notarial y registral.
En ningún caso se podría justificar que la Ley 24/2001 permitiese a los
prestadores de servicios de certificación que regula no cumplir los requisitos generales
de la Ley de firma electrónica.
7
Comentarios remitidos por los autores a todos los Grupos parlamentarios, dentro del
documento de “Propuesta de enmiendas al Proyecto de Ley de Firma Electrónica, realizada por
la Agència Catalana de Certificació”, de 22 de julio de 2003.
Veamos el desarrollo de estas afirmaciones:
1) La primera parte del texto proyectado se podría haber integrado en el
artículo 1.3 del Proyecto, quedando el texto siguiente: "3. Lo dispuesto en esta
Ley se entiende sin perjuicio de lo establecido en la
legislación reguladora de la incorporación de las técnicas
electrónicas, informáticas y telemáticas a la seguridad jurídica
preventiva. Asimismo, no sustituye ni modifica las normas que
regulan las funciones que a los Notarios corresponden para dar
fe en documentos o para su autorización, intervención o
elevación a públicos y las funciones de calificación de los
Registradores de la Propiedad, Mercantiles y de Bienes muebles."
El objeto de integrar el texto en el artículo primero no era otro que indicar que el
uso de la firma electrónica por los Notarios y Registradores viene regulado en la
legislación correspondiente, que en este caso es la Ley 24/2001 (y las modificaciones
que ha operado en la restante normativa reguladora de la actuación notarial y
registral).
Esta referencia expresa no sería necesaria en puridad, dado que tratándose de
un sistema de firma electrónica propio, con necesidades específicas y tratamiento
adicional al general previsto en la Ley, es lógico que las mismas se recojan en la
correspondiente normativa específica, que no excluye la aplicación de la norma
general, sino en el caso de que fueran contradictorias 8.
No se trata de un caso único el de la regulación de la firma electrónica de
Notarios y Registradores, sino que lo mismo sucede en otros escenarios de firma
electrónica "pública", entendida en sentido amplio como el uso de la firma electrónica
por las Administraciones públicas, con independencia de que el ejercicio de la
actividad se delegue a personas privadas.
La segunda parte del primer párrafo del artículo se debía conservar como
"advertencia" a los que pudieren pensar que un prestador de servicios de certificación
puede otorgar un instrumento sustitutivo de la fe pública, apartado que - por evidente no precisa explicación.
En nuestra opinión, el tratamiento del uso de la firma electrónica por Notarios y
Registradores debería haberse realizado mediante el expediente - previsto en el RDL
14/99 y en el Proyecto - de las "condiciones adicionales del uso de la firma
electrónica", puesto que el análisis de la Ley 24/2001 muestra de forma
meridianamente clara que eso es lo que se pretende, a la luz de lo establecido en el
artículo 108, que proclama en su título la necesaria "adecuación a los
principios rectores de la firma electrónica", para indicar en el cuerpo
del artículo que "La prestación de servicios de certificación se hará
de conformidad con lo dispuesto en el Real Decreto-ley 14/1999,
de 17 de septiembre, sobre firma electrónica, a efectos de
expedir certificados electrónicos mediante los que se vinculen
unos datos de verificación de firma a la identidad, cualidad
profesional,
situación
administrativa
de
los
notarios
y
registradores de la propiedad, mercantiles y de bienes muebles
en activo así como la plaza de destino asignada".
A continuación, la segunda parte del artículo 108 y el artículo 109 regulan las
condiciones adicionales en el uso de la firma electrónica dentro del ámbito notarial y
registral (es decir, en relación con la denominada seguridad jurídica preventiva),
8
Finalmente, el texto de la Ley ha eliminado la referencia a que la Ley se entiende sin
perjuicio de lo establecido por la Ley 24/2001, de forma correcta, en opinión de los autores.
condiciones que se concretan en la determinación reglamentaria de los procedimientos
del ciclo de vida del certificado (cualificación especial del suscriptor del certificado,
inclusión de un atributo específico del firmante, certificado reconocido expedido por
prestador acreditado, límite de uso de la firma electrónica, etc).
En concreto, hay que resaltar el hecho de que el prestador de servicios de
certificación puede ser – de acuerdo con el texto legal vigente – cualquier entidad,
dado que se proclama el principio de libre acceso a la actividad de prestador de
servicios de certificación, en línea con el RDL 14/99; es decir, cualquier entidad que
disponga del necesario convenio con los Colegios correspondientes, al objeto de
poder obtener la información referida a la condición de Notario o Registrador, de
acuerdo con el artículo 109.4.
Teniendo todo lo anterior en cuenta, lo mejor hubiera sido crear un sistema
voluntario de acreditación que, de acuerdo con la Directiva europea, permitiera a la
entidad supervisora del mismo (que puede ser una entidad pública o privada) exigir a
los prestadores que deseen operar dentro del ámbito regulado por el sistema
voluntario de acreditación una licencia previa, junto al cumplimiento de determinadas
condiciones. Esta posibilidad no se ha fomentado, sin embargo, en la normativa
española, dado que en el vigente RDL sólo el actual Ministerio de Ciencia y
Tecnología podía acreditar a través de un único sistema, lo que ha causado dudas
acerca de su voluntariedad.
Sería deseable recuperar los sistemas (múltiples, públicos o privados)
voluntarios de acreditación, para poder establecer sistemas propios de firma
electrónica (limitados al entorno regulado), como el notarial y registral, para poder
autorregular, dentro de las normas básicas contenidas en la legislación de firma
electrónica, condiciones adicionales para un entorno dado de servicio (en este caso,
la seguridad jurídica preventiva).
Con esto, debería quedar claro que nuestra opinión es que el certificado del
Notario o del Registrador no es independiente y aislado de la Ley de firma electrónica,
sino que debe cumplir las normas básicas para, después, exigir las condiciones
adicionales que se consideren apropiadas y que principalmente son dos:
a) La condición profesional
b) La limitación de uso de la firma electrónica al entorno profesional
Ello dado que se trata de un "certificado corporativo" y, como tal, limitado a los
usos regulados profesionalmente y al código deontológico de actuación profesional.
Por tanto, estimamos que los conceptos generales como "certificado
reconocido", "dispositivo seguro de creación de firma electrónica", etc, deben
entenderse de acuerdo con la Ley de firma electrónica, y que no es función de la Ley
24/2001 (ni opinamos que lo haya pretendido nunca) crear un sistema propio de
certificados para Notarios y Registradores, al margen del régimen general.
2) En segundo lugar, en su día propusimos la desaparición del texto "ni las
normas que regulan la actuación del Consejo General del
Notariado y del Colegio de Registradores de la Propiedad,
Mercantiles y de Bienes muebles, en su función de prestadores de
servicios de certificación para los exclusivos fines de
atribución de firma electrónica a dichos funcionarios."
Este texto nos parecía inapropiado, por diversos motivos:
a) En primer lugar, en la Ley 24/2001, como hemos comentado anteriormente,
se habla de "los prestadores de servicios de certificación", que deben cumplir ciertas
condiciones adicionales, pero no del Consejo General del Notariado y del Colegio de
Registradores de la Propiedad, Mercantiles y de Bienes muebles. Aunque es de
suponer que estas entidades vayan a ser los prestadores del servicio, existe la
posibilidad de que otros prestadores – con el correspondiente convenio, como dijimos
– cumplan esta función. Y si no es ésta la intención, entonces no se entiende la
proclama del principio de "libre acceso a la actividad de prestador de servicios de
certificación" que realiza el artículo 108 in fine de la Ley 24/2001.
b) En segundo lugar, cualquier prestador que expida certificados corporativos a
Notarios y Registradores (bien el propio Colegio, bien una tercera entidad habilitada
para ello mediante convenio) deberá limitar el uso de dichos certificados para el uso
profesional, como impone de forma meridianamente clara el artículo 109.c) de la Ley
24/2001. Se trata ésta, como también hemos indicado antes, de una de las
condiciones adicionales fundamentales del sistema, que debería formar parte esencial
del sistema voluntario de acreditación que se pudiere arbitrar, a los efectos de
"acreditar" a los prestadores de servicios de certificación que expidan certificados
corporativos a Notarios y Registradores.
c) En tercer lugar, dado que el prestador de servicios de certificación debe
cumplir la ley de firma electrónica y las condiciones adicionales establecidas por la Ley
24/2001, como hemos visto que sucede, cabe preguntarse si la existencia de este
texto supone la exoneración del Consejo General del Notariado y del Colegio de
Registradores de la Propiedad, Mercantiles y de Bienes muebles respecto al
cumplimiento de la Ley de firma electrónica, cosa que no sería posible en ningún caso,
porque las normas que regulan la actuación de dichas entidades (esto es, los artículos
108 y 109 de la Ley 24/2001 y su normativa reglamentaria de desarrollo) no lo
permiten.
Por otra parte, admitir que el Consejo General del Notariado y el Colegio de
Registradores puedan recibir un tratamiento diferente al exigible a los "prestadores de
servicios de certificación" indicados en la Ley 24/2001, que como también hemos visto,
pueden - al menos en la teoría - ser diferentes a dichas entidades, resultaría contrario
al proclamado principio de libre acceso a la actividad y, por tanto, discutible.
Así, el tratamiento general como prestador de servicios de certificación ha de
ser el mismo para el Consejo General del Notariado y para cualquier otro prestador,
porque de este modo lo ha querido la Ley 24/2001, que en su artículo 108 establece
una remisión indiscutible y directa a la ley de firma electrónica, tal como hemos ido
repitiendo.
La conclusión ha de ser que las normas que regulan la actuación del Consejo
General del Notariado y del Colegio de Registradores de la Propiedad, Mercantiles y
de Bienes muebles van a ser afectadas por la ley de firma electrónica y, en concreto,
por la normativa de desarrollo y ejecución de los aspectos generales de la certificación
y la firma electrónica, pues de otro modo el Consejo General del Notariado y el Colegio
de Registradores estarían viviendo en un mundo paralegal, desconectado de la
normativa de firma electrónica.
Ello no afectaría a la regulación de las condiciones generales, en especial el
uso de la firma electrónica en el ámbito de la seguridad jurídica preventiva, dada la
referencia contenida al inicio del propuesto artículo 1.3 ("Lo dispuesto en esta
Ley se entiende sin perjuicio de lo establecido en la
legislación reguladora de la incorporación de las técnicas
electrónicas, informáticas y telemáticas a la seguridad jurídica
preventiva").
De nuevo, por tanto, estimamos que la interpretación correcta es que la Ley
24/2001 – ley especial – regula las condiciones adicionales (para todo prestador,
Consejo General del Notariado, Colegio de Registradores o tercero habilitado), y
merece pleno respeto, mientras que la Ley de firma electrónica – ley general – también
resulta aplicable en su integridad.
d) Finalmente, respecto al hecho de que la eliminación del texto "ni las
normas que regulan la actuación del Consejo General del
Notariado y del Colegio de Registradores de la Propiedad,
Mercantiles y de Bienes muebles, en su función de prestadores de
servicios de certificación para los exclusivos fines de
atribución de firma electrónica a dichos funcionarios" permita a
dichas entidades entrar en el mercado a proveer certificados a particulares,
entendíamos que, dado que se trata de una referencia genérica, es en la Ley 24/2001
donde debía resolverse esta cuestión y, a tenor de la misma, no parece existir una
habilitación para prestar este servicio con las garantías de la fe pública.
Esto es así exista o no este texto, y con independencia de quién sea el
prestador del servicio de certificación, y tampoco impide emplear otros mecanismos
tradicionales para que ante Notario se pueda legitimar la firma de una solicitud de
servicio de certificación, como de hecho prevé expresamente el proyecto de ley de
firma electrónica. Por tanto, de nuevo el texto era innecesario en opinión de los
autores.
La Disposición Adicional 1ª de la Ley 59/2003 no recoge, finalmente, el texto
controvertido, de forma correcta según nuestra opinión , de modo que cabe afirmar sin
reservas que los prestadores que otorguen la firma electrónica a Notarios y
Registradores debe cumplir todas y cada una de las prescripciones de la Ley de firma
electrónica.
Por otra parte, nada impide formalmente la posibilidad de que Notarios y
Registradores actúen en el libre mercado, como prestadores de servicios de
certificación para personas físicas y jurídicas, siendo en el campo de los certificados
de apoderados y de personas jurídicas donde pueden tener un mejor posicionamiento
inicial.
2.1.4 La firma de la FNMT-RCM
En el caso del DNI y el certificado emitido por la FNMT-RCM (CERES), resulta
inadmisible, desde la perspectiva de la eficiencia y eficacia públicas, que en la
Administración General del Estado existan dos certificados, el certificado
absolutamente obligatorio (DNI) y otro certificado, que también tiene vocación de uso
general (CERES).
La función certificadora de ciudadano que cumple, en régimen de libre
concurrencia9, la FNMT-RCM debería desaparecer con la llegada del DNI electrónico o
reconvertirse en un servicio absolutamente sujeto a la Ley 59/2003, como si de un
prestador más se tratase.
Por tanto, cuando se introduzca el DNI electrónico, lo procedente sería la
derogación del artículo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas
Fiscales, Administrativa y del Orden Social, y la reconversión del proyecto CERES, si
se desea, a un modelo de mercado, con respeto a la concurrencia y a las reglas de la
9
Como establece, de forma reiterativa, la normativa reguladora del proyecto CERES.
competencia efectiva, cumpliendo todas las obligaciones de los prestadores de
servicios de certificación.
En concreto, la FNMT-RCM debería, como los restantes prestadores de
servicios de la sociedad de la información, disponer de certificados reconocidos,
emplear dispositivos seguros de creación de firma y abonar el seguro de
responsabilidad civil o de caución, entre otras obligaciones. Por supuesto, y quizá se
trata de la obligación más importante a cumplir por la FNMT-RCM, la información de
revocación de los certificados debe encontrarse inmediatamente disponible para los
verificadores de los certificados.
Adicionalmente, se habría de replantear la cuestión del modelo de negocio,
dado que actualmente el sistema CERES es un sistema supuestamente cerrado, que
no suministra acceso gratuito a la información de revocación, punto en el que infringe
completamente la normativa de firma electrónica vigente, que establece esta
obligación para todos los prestadores de servicios de certificación (artículo 11.e RDL
14/99), al igual que contempla la Ley analizada.
En este estado de cosas, resulta injustificable la actuación de la FNMT-RCM,
condicionando el suministro de información de las listas de revocación de certificados,
al previo pago de una cuota global asociada al número de ciudadanos tutelados por
una Administración Pública que desee utilizar los certificados emitidos a ciudadanos
por la FNMT-RCM. Y tan o más grave es el hecho de que la FNMT-RCM pueda cobrar
a empresas privadas un canon económico, sin sujeción a normativa alguna sobre
tasas o precios públicos, por el derecho a verificar la vigencia de los certificados.
En este estado de cosas, nos encontraríamos ante una situación de monopolio
de facto, en el cual servicios de inferior calidad y seguridad – certificados ordinarios en
lugar de reconocidos, con ausencia del dispositivo seguro de creación de firma,
inferiores garantías económicas en caso de fraude, etc. – reciben un efecto
equivalente o incluso superior en determinados ámbitos – como el tributario-, debido al
efecto prescriptivo de su aceptación ante Hacienda, Departamentos Ministeriales, sus
Organismos públicos y ante diversas Comunidades Autónomas.
Además, la Ley recoge en su Disposición adicional quinta una modificación del
artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas
y del orden social, por el que se autorizó a la FNMT-RCM a prestar los servicios, en
virtud de la cual “en el ejercicio de las funciones que le atribuye el
presente artículo, la Fábrica Nacional de Moneda y Timbre – Real
Casa de la Moneda estará exenta de la constitución de la
garantía a la que se refiere el apartado 2 del artículo 20 de la
Ley 59/2003, de Firma Electrónica”.
2.1.5 La firma avanzada de la factura telemática
En el caso de la firma avanzada que se empleará en la facturación telemática,
no es necesario que la Ley de firma electrónica se refiera a que la regulación que
contiene se entiende sin perjuicio de la normativa que regula el uso de la firma
electrónica avanzada en la factura telemática, dado que son cuestiones diferentes.
El Ministerio de Hacienda, como cualquier órgano administrativo con
competencias en una determinada materia, tiene capacidad normativa – dentro del
respeto al principio de legalidad – para regular dicha función.
El artículo 4 de la Ley 59/2003 recoge explícitamente la posibilidad que tienen
las Administraciones Públicas para establecer condiciones adicionales en relación con
el uso de la firma electrónica en el procedimiento, texto que no innova el ordenamiento
jurídico, dado que el artículo 45 y los concordantes de la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común ya permitía esta posibilidad, perfectamente razonable, por otra
parte.
Así, cuando la Administración tributaria regula las condiciones de producción
de un documento como la factura, lo hace dentro de sus competencias legalmente
establecidas, en concreto en materia de supervisión y control, y por tanto puede –
dentro del principio de legalidad – regular las condiciones de producción de las
facturas, estableciendo requisitos adicionales.
La posibilidad de producir facturas telemáticas sencillamente empleando una
firma electrónica avanzada proviene de la Directiva 2001/115 del Consejo, de 20 de
diciembre de 2001, que modifica la Directiva 77/388/CEE con objeto de simplificar,
modernizar y armonizar las condiciones impuestas a la facturación en relación con el
impuesto sobre el valor añadido, facultando a los Estados miembro a exigir, como
condiciones adicionales, al menos un certificado reconocido y un dispositivo seguro de
creación de firma; es decir, que los Estados miembros tienen la posibilidad de exigir la
firma electrónica avanzada de la factura o la firma electrónica reconocida10 de la
factura.
De esta forma ha sucedido en España, donde la normativa vigente exige el
empleo de un certificado reconocido y de un dispositivo seguro de creación de firma,
aclarando específicamente que por dispositivo seguro de creación de firma se puede
entender un módulo criptográfico normalizado de un sistema operativo como el de
Microsoft.
2.2 Desconocimiento del ámbito de aplicación objetiva
Un análisis somero del contenido de la Ley 59/2003 muestra que el objeto de la
misma se encuentra definido de forma defectuosa, lo que afecta de forma muy
importante a la seguridad jurídica, que empieza por la posibilidad de entender la norma
y determinar su ámbito de aplicación.
En primer lugar, entendemos que esta Ley regula la eficacia general de la
firma, frente a la eficacia concreta que puede tener un contrato de firma electrónica
entre dos particulares, que pueden someterse a esta ley, o no.
De hecho, no parece necesaria una Ley de firma electrónica para que los
particulares puedan proceder a definir y emplear un sistema de firma electrónica, con
todos los efectos jurídicos que sean necesarios, al amparo de la libertad contractual
consagrada en el artículo 1.255 del Código Civil español.
Esta posibilidad, que en otro lugar 11 hemos denominado “firma electrónica
convencional”, es independiente del reconocimiento jurídico de la firma electrónica, y
el único beneficio que recibe de la existencia de una institución típica de firma
electrónica (que es la firma electrónica avanzada basada en certificado reconocido y
producida mediante dispositivo seguro de creación de firma, también denominada por
la doctrina12 y ahora, por fin también, por la Ley 59/2003 como “firma electrónica
10
Recuérdese que la doctrina ha venido hablando de la firma reconocida como un tipo
especial de firma electrónica avanzada de calidad, basada en certificado reconocido y
producida mediante dispositivo seguro de creación de firma, término que el Proyecto por fin
recoge. Vid, por todos, Alamillo Domingo, Ignacio. “Tipología de la firma electrónica”. Revista
de Contratación Electrónica número 23. Enero 2002.
11
Alamillo Domingo, Ignacio y Rubio Velázquez, Raúl. “Firma electrónica y certificación
digital”, Internet: Claves legales para la empresa. Civitas. 2002.
12
Vid nota 8.
reconocida”) es la posibilidad que tienen las partes de adherirse a dicha institución
típica en lugar de negociar los aspectos jurídicos y técnicos de la firma electrónica que
vayan a emplear.
Por supuesto, esta libertad contractual de las partes se encuentra sujeta a los
límites generales y específicos de los contratos y, en especial, es necesario valorar
que en contratos con condiciones generales o con consumidores la cláusula de firma
electrónica convencional cumpla los requisitos de legalidad que permitirán calificar la
citada cláusula como incorporable al contrato y no abusiva.
Dicho beneficio también se pone de manifiesto con el análisis del riesgo –
elevadísimo – que supone la utilización de la firma electrónica convencional frente a
los costes de adquisición y uso de una firma electrónica reconocida. Sin embargo, un
análisis del mercado muestra que no existe actualmente ninguna aplicación en el
sector privado donde se haya aplicado este criterio, de modo que la firma electrónica
convencional se emplea, irónicamente, como mecanismo de huida legal de la
institución típica de la firma, que jamás se emplea13.
En la línea que se ha comentado, el artículo 3.10 de la Ley 59/2003 establece
que “a los efectos de lo dispuesto en este artículo, cuando una
firma electrónica se utilice conforme a las condiciones
acordadas por las partes para relacionarse entre sí, se tendrá
en cuenta lo estipulado entre ellas”.
Por el contrario, el uso de la firma electrónica en aquellos ámbitos donde las
leyes españolas (o las leyes de otros Estados seleccionadas por las normas españolas
de Derecho internacional privado que hagan referencia al requisito de la firma escrita)
exijan la firma escrita de forma imperativa, es decir, realmente obligatoria, sólo puede
llevarse a cabo mediante la institución típica de la firma electrónica, que es la única
firma que sustituye la firma manuscrita. Se trata de la aplicación de la firma electrónica
reconocida, la única que justifica realmente la existencia de una regulación como la
Ley 59/2003.
Abundando en la autorregulación del uso de la firma electrónica, entendemos
que existe la necesidad de regular, mediante un instrumento jurídico apropiado, el uso
de la firma electrónica que no tiene la consideración de reconocida, como veremos
posteriormente.
En segundo lugar, la Ley 59/2003 no sólo es aplicable en el ámbito del Derecho
Privado, sino que establece bases administrativas, afectando incluso a la Ley 30/1992.
Con tal pretensión de norma básica , la Ley 59/2003 debería indicar los preceptos de
su articulado que tienen el carácter de básicos, al objeto de su posterior desarrollo por
las Comunidades Autónomas o las entidades que integran la Administración local.
A entender de los autores, los artículos básicos del proyecto de norma son los
siguientes:
- Los artículos del Título I, excepto el artículo 4.3 y 4.4
13
En lugar de la firma digital SHA-1withRSA (como expresión firma electrónica
avanzada) basada en certificado X. 509v3 (con cumplimiento de los requisitos para que pueda
calificarse como certificado reconocido) y producida mediante tarjeta criptográfica CEN CWA
14169 (dispositivo seguro de creación de firma electrónica), se emplea una contraseña o PIN
de 4 dígitos en la banca electrónica. Cuando la transacción lo requiere, se “eleva” la seguridad
mediante… ¡un segundo PIN de 4 dígitos!.
- Los artículos del Título II, excepto el párrafo segundo del artículo 13 y el
contenido del capítulo III
- Los artículos del Título III, excepto el contenido del capítulo II
En tercer lugar, entendemos que la Ley 59/2003 simplemente “aprueba” el DNI
electrónico pues la regulación del DNI electrónico que realiza es inexistente,
remitiéndose a “su normativa específica”.
Por todos estos motivos, entendemos que el texto del artículo 1 de la Ley
debería haber tenido la siguiente redacción: “1. Esta Ley regula la firma
electrónica, su eficacia jurídica general, las bases del empleo
de la firma electrónica por las Administraciones Públicas, la
prestación de servicios de certificación, y aprueba el Documento
Nacional de Identidad electrónico”, en lugar de la actual (“Esta Ley
regula la firma electrónica, su eficacia jurídica y la
prestación de servicios de certificación”).
2.3 Incompleta definición del ámbito de aplicación
subjetiva
La Ley, por el objeto que regula, que es el uso y los efectos de la firma
electrónica, se dirige a todos los españoles, y en cuanto a los certificados digitales, se
aplica a los prestadores de servicios de certificación. El artículo 2, sin embargo,
únicamente concreta ciertos criterios para determinar qué prestadores en concreto
quedan sujetos al Proyecto.
Por ello, estimamos que el título del artículo 2 debería haber sido el de
“Ámbito subjetivo de aplicación” en lugar del actual de “Prestadores de
servicios de certificación sujetos a la ley”, por los siguientes motivos:
1) En primer lugar, resulta más correcto hablar de ámbito de aplicación
subjetivo que de prestadores de servicios de certificación, pues la ley se dirige, más
que a los prestadores de servicios de certificación, a todas las personas, de acuerdo
con el objeto de la regulación proyectada, que efectivamente es la prestación de los
servicios, pero también el uso de la firma electrónica (se entiende que por personas
diferentes a los prestadores de servicios de certificación).
En caso contrario, nos encontraríamos ante el absurdo de que la única firma
cuyo uso regula la ley es la que estampa el prestador del servicio dentro del certificado
que expide.
2) Uno de los elementos más importantes – y poco tratado – de la regulación
es la determinación del sujeto que usa la firma (bien porque la genera o porque la
verifica), determinación que requiere el esfuerzo de determinar en qué casos va a ser
aplicable la ley española.
Por supuesto, las normas de Derecho internacional privado nos ofrecen
cumplida respuesta , determinando que la firma, como requisito de forma que es, viene
regida principalmente por la ley del lugar de celebración (lex loci celebracionis). Por
ejemplo, en caso de consumidor residente en España, la firma de sus contratos de
consumo va a ser regulada por el derecho español, aún cuando el certificado haya
sido expedido por prestador extranjero y el propio consumidor sea extranjero.
Existen otros puntos de conexión para determinar la ley aplicable a la firma, e
incluso la conexión subsidiaria que permite aplicar la lex contractus; es decir, la ley
elegida por las partes para el contrato. Evidentemente, sólo en el caso de que la ley
española sea aplicable, se valora la existencia y efectos de dicha firma conforme a
nuestra legislación.
La regulación y “reconocimiento” del certificado se realizan al margen de la ley
aplicable al negocio jurídico, acto o contrato en que se utilice la firma, pues aquellos se
rigen por la ley del prestador del servicio y el reconocimiento mutuo que sostiene la
libre circulación de los certificados dentro del mercado interior.
La propia Directiva europea establece con meridiana claridad, en su
considerando 17, que “la presente Directiva no pretende armonizar las legislaciones
nacionales sobre contratos, en particular por lo que respecta al perfeccionamiento y
eficacia de los mismos, ni tampoco otras formalidades de naturaleza no contractual
relativas a la firma; por dicho motivo, las disposiciones sobre los efectos legales de la
firma electrónica deberán entenderse sin perjuicio de los requisitos de forma
establecidos por las legislaciones nacionales en materia de celebración de contratos,
ni para las normas que determinan el lugar en que se considera celebrado un
contrato”.
Como ejemplo, podemos poner el del ciudadano alemán residente habitual en
España que adquiere, a título de consumidor, un producto mediante la aceptación de
unas condiciones generales de un comercio francés usando su firma electrónica
avanzada basada en certificado reconocido expedido en Italia y producida mediante
dispositivo seguro de creación de firma (ambos válidos de acuerdo con la legislación
italiana): la ley aplicable al negocio es la española, porque es la ley de la forma del
contrato, pero para determinar si el certificado es reconocido y si el dispositivo es
seguro debemos acudir a la legislación italiana; en caso afirmativo, la ley española da
efectos a la firma, efectos que son válidos en todos los países del mundo.
Del mismo modo, por más que un nacional español tenga DNI, la función de
firma del mismo quedará regulada por la ley del lugar de celebración, de modo que el
español residente en Reino Unido sólo podrá firmar si el DNI es certificado reconocido
en dicho país.
Esto no afecta a la función de identificación, donde no hay dudas acerca de la
aceptación sin discusión del DNI, al menos dentro de Europa.
Por este motivo, entendemos que debería haberse añadido un nuevo párrafo
primero al artículo 2 de la Ley, durante su tramitación parlamentaria, con el siguiente
texto: “1. La presente Ley se aplicará a las personas físicas o
jurídicas que generen o verifiquen firmas electrónicas, cuando a
dichas firmas resulte aplicable la legislación española,
determinada conforme a las normas españolas de Derecho
Internacional Privado.”
3. Crítica al modelo de roles definido en la Ley
3.1 El rol de prestador de servicios: Descoordinación
con la LSSI-CE
Uno de los puntos más criticables de la Ley de firma electrónica, desde una
perspectiva jurídica, es la profunda descoordinación de la misma con la Ley 34/2002,
de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.
La Ley se aplica, además de a todas las personas que generen y verifiquen
firmas, a los prestadores de servicios de certificación digital, dado que su importante
papel de intermediarios de la confianza en las relaciones públicas y privadas por
medios electrónicos, informáticos y telemáticos exige la regulación de su estatuto de
funcionamiento, derechos y obligaciones.
La Ley debe aplicarse a los prestadores que operen en España, dentro del
ámbito normativo coordinado definido por la Directiva 2000/31/CE del Parlamento
Europeo y del Consejo de 8 de junio de 2000, relativa a determinados aspectos
jurídicos de los servicios de la sociedad de la información, en particular el comercio
electrónico en el mercado interior (Directiva sobre el comercio electrónico), así como
por la Ley 34/2002, de 11 de julio, de servicios de la sociedad e la información y del
comercio electrónico (LSSI-CE).
Los servicios de certificación son servicios de la sociedad de la información, de
acuerdo con la definición de los mismos que realiza la Directiva 98/48/CE del
Parlamento Europeo y del Consejo, de 20 de julio de 1998, incorporada al Derecho
español por el RD 1337/1999, de 31 de julio, por el que se regula la remisión de
información en materia de normas y reglamentaciones técnicas y reglamentos relativos
a los servicios de la sociedad de la información, hoy contenida y actualizada por la
LSSI-CE.
Por este motivo, debe aplicarse a este tipo de prestación de servicios las
mismas reglas, y no otras, que las contenidas en los artículos 2, 3 y 4 de la citada
LSSI-CE (establecimiento en España, obligaciones de contratos con consumidores y
stream-of-commerce o dirección de operaciones comerciales al mercado español).
Asimismo, cabe considerar que, tratándose la Ley 59/2003 de una norma que
contiene prescripciones protectoras de los consumidores (en especial el régimen de
responsabilidad de los prestadores que expiden al público) la ley aplicable es la ley del
país de destino; es decir, del mercado en el que opera el prestador del servicio.
En todo caso, incluso tratándose del marco de libre prestación del servicio, las
normas de Derecho Internacional Privado español van a determinar la aplicación
obligatoria de las normas españolas aplicables a la ley del contrato y a la jurisdicción
competente; lo cual es aplicable a la provisión de certificados digitales a
consumidores. A este respecto, cabe recordar que la aplicación del artículo 29 de la
LSSI-CE va a suponer que el acto de consumo formalizado mediante la adhesión
contractual se produce en España cuando se trata de un residente en España, con
independencia de la nacionalidad.
La ley rectora de la prestación del servicio debería ser, en este caso, la ley del
prestador corregida por la ley del consumidor, que es precisamente lo que viene a
decir la LSSI-CE y la normativa vigente de Derecho Internacional Privado.
Los servicios de certificación no se encuentran excluidos, finalmente, ni de la
Directiva 2000/31/CE ni de la LSSI-CE.
En conclusión, la aplicación de la ley española al prestador de servicios de
certificación ha de darse en los mismos casos que los restantes prestadores de
servicios de la sociedad de la información.
Por este motivo, se hubiese debido sustituir el texto “establecidos en
España y a los servicios de certificación que los prestadores
residentes o domiciliados en otro Estado ofrezcan a través de un
establecimiento permanente situado en España” por el más adecuado de
“2. La Ley también se aplicará a los prestadores de servicios de
certificación, determinados de acuerdo con las prescripciones
del capítulo II del Título I de la Ley 34/2002, de 11 de julio,
de servicios de la sociedad de la información y del comercio
electrónico.”, de modo que se tratan de forma coherente los servicios de
certificación, como servicios de la sociedad de la información, que también lo son.
Nótese que esta propuesta era de un apartado 2, pues incluía la renumeración
del apartado, dado que se había propuesto un primer apartado que incluyera en el
ámbito de aplicación de la norma a las personas que generan y verifican firmas.
En consonancia con lo anterior, se proponía la supresión, por reiterativos, de
los apartados siguientes del artículo 2 “3. Se entenderá que un prestador de
servicios de certificación está establecido en España cuando su
residencia o domicilio social se halle en territorio español,
siempre que éstos coincidan con el lugar en que esté
efectivamente centralizada la gestión administrativa y la
dirección de sus negocios. En otro caso, se atenderá al lugar en
que se realice dicha gestión o dirección.
4. Se considerará que un prestador opera mediante un
establecimiento permanente situado en territorio español cuando
disponga en él de instalaciones o lugares de trabajo en los que
realice toda o parte de su actividad de forma continuada o
habitual.
5. Se presumirá que un prestador de servicios de
certificación está establecido en España cuando dicho prestador
o alguna de sus sucursales se haya inscrito en el Registro
Mercantil o en otro Registro público español en el que fuera
necesaria la inscripción para la adquisición de personalidad
jurídica.
6. La mera utilización de medios tecnológicos situados en
España para la prestación o el acceso al servicio no implicará,
por sí sola, el establecimiento del prestador en España.”
Huelga decir que las restantes prescripciones de la LSSI-CE resultan
igualmente aplicables a los prestadores de servicios de certificación, aunque la Ley de
firma electrónica guarde un absoluto silencio al respecto.
En efecto, hay que recordar que el artículo 3.4 de la LSSI-CE determina que
“los prestadores de servicios de la sociedad de la información
establecidos en España estarán sujetos a las demás disposiciones
del ordenamiento jurídico español que les sean de aplicación, en
función de la actividad que desarrollen, con independencia de la
utilización de medios electrónicos para su realización”.
3.2 El modelo de roles de usuario
La Ley 59/2003 parte de la clásica configuración del firmante como la persona
que está en posesión de un dispositivo de creación de firma y que actúa en su propio
nombre o en el de la entidad o persona física o jurídica a la que representa (art. 6.2).
Este modelo no responde a la realidad, donde junto al firmante pueden existir
otros sujetos que intervienen en el proceso de posesión y generación de la firma. En
numerosas ocasiones esos diferentes sujetos y papeles pueden coincidir en una sola
persona, pero igualmente cabe la posibilidad de que sean personas distintas las que
intervengan en diferentes momentos.
Así, para dotar de mayor seguridad jurídica a las diferentes situaciones que se
pueden producir en el tráfico jurídico, seria conveniente que cada una de las posibles
situaciones fuera reconocida y regulada al margen de las restantes, clarificando al
mismo tiempo la utilización de la firma electrónica.
Por ello, hubiera sido conveniente definir y regular las figuras de solicitante,
como la persona que en nombre propio o en representación de otro solicita un
certificado; suscriptor, como la persona que dispone del derecho de uso del certificado;
y firmante, como la persona que genera la firma.
Aunque estos distintos roles parecen darse al margen de lo que sería la
utilización estricta de la firma electrónica y que, aparentemente, se trata de situaciones
que pueden escapar del objeto de la Ley, no es menos cierto que tiene una gran
utilidad para la comprensión de la firma y el proceso de generación de la misma y,
como indicaremos más tarde, por lo que se refiere a los certificados colectivos, sería
de gran utilidad.
En ningún caso se vería afectada la seguridad jurídica pues ésta, en su
concepto más extendido en nuestra doctrina y jurisprudencia, se caracteriza por las
siguientes notas:
a) La certeza jurídica, desglosada en la certeza de la adecuación de la
conducta propia y ajena a lo previsto en la norma, y en la certeza de existencia,
referida a la posibilidad de conocer la existencia de una norma (objetivo que se
consigue mediante la publicación de la norma en el BOE o Diario oficial
correspondiente).
La certeza jurídica abarca también la previsibilidad jurídica, que permite
conocer de antemano cuáles serán las consecuencias de cumplir (o incumplir la
norma) y, desde luego, la firmeza del Derecho, protegida mediante los procesos
formales de entrada en vigor y regulación transitoria de la norma.
Ninguna de estas notas se ve afectada negativamente (ni positivamente) por la
opción entre la identidad solicitante/suscriptor/firmante o la separación de los roles,
siempre y cuando (y esto es igual para cualquiera de las dos opciones) la norma
defina correctamente el estatuto de derechos y deberes de cada rol.
b) La eficacia del Derecho, entendida como la garantía de la legítima
expectativa de eficacia de la norma, aspecto éste que sí se ha venido violando
sistemáticamente en el caso del RDL 14/99 vigente sobre firma electrónica, cuya
ausencia de desarrollo ha frustrado las legítimas expectativas de los prestadores de
servicios de certificación en cuanto al Registro de Prestadores, que jamás se ha
organizado, en cuanto a la acreditación "voluntaria" (y única) por parte del ministerio,
que tampoco se ha producido jamás, y en cuanto a la aceptación por todas las AA.PP
de los certificados reconocidos.
Tampoco la nota de eficacia del Derecho sobre firma electrónica se ve afectada
en sentido ninguno por la elección entre el modelo de rol único
(solicitante/suscriptor/firmante) o de roles segregados.
c) Finalmente, la ausencia de arbitrariedad constituye una nota esencial de la
seguridad jurídica, al que ayuda la regulación dispar, inconsistente y en muchos casos
redundante que en esta materia se está produciendo actualmente incluso dentro de la
Administración General del Estado, donde diferentes departamentos ministeriales
regulan de forma autónoma e independiente el uso de la firma electrónica.
Tampoco la nota de arbitrariedad se ve afectada en sentido ninguno por la
elección entre el modelo de rol único o el de roles segregados.
Por otro lado, la necesidad de segregar los roles de solicitante, suscriptor y
firmante tiene diferentes justificaciones:
a) La firma electrónica no puede ser un acto personalísimo, porque no puede
ser un acto personal. Se trata de una operación realizada mecánicamente, que
dispone de muy elevadas garantías de seguridad, pero que nunca va a ser un acto
personal.
b) La obtención de la firma electrónica por una persona física - consumidor o
ciudadano - que actúa en su propio nombre se realiza perfectamente mediante el
modelo de rol único. Sin embargo, la obtención de una firma electrónica por una
persona física que trabaja en una sociedad mercantil no queda cubierta.
El resultado será que una empresa, que necesite dotar a sus trabajadores de
firma electrónica, o bien se constituye como prestador de servicios de certificación, o
bien ha de enviar a todos sus trabajadores a comprarse certificados al mercado o bien,
simple y llanamente, deberá escapar de la Ley – no emitiendo certificados reconocidos
- o renunciar a la firma electrónica segura, empleando nombres de usuario y
contraseñas para trámites de baja conflictividad y riesgo, y el clásico papel y la más
aún clásica escritura como soporte de los restantes trámites.
Ninguno de estos resultados es deseable y ninguno de ellos contribuye a
incrementar la seguridad jurídica. Todo lo contrario, en un mundo donde las
organizaciones adquieren todos los días instrumentos de identificación y autenticación
para sus empleados, y dichos medios son tan válidos como la firma escrita (porque es
como sucede en la práctica habitual desde hace años) la no previsión de este rol
supone un pobre avance jurídico y una mínima apuesta por la firma electrónica
reconocida.
Por ello, nuestra apuesta era a favor de un modelo de roles en el que
solicitante, suscriptor y firmante recibieran un tratamiento diferente, apropiado a sus
funciones en relación con los procedimientos de firma electrónica, que de momento no
ha sido acogido por nuestro legislador.
3.2.1 Confusión de los roles de suscriptor y firmante
1) En consonancia con el punto que se acaba de exponer, resultaba necesario
aportar una definición de suscriptor, inexistente en el Proyecto y en la Ley finalmente
aprobada:
“Se denomina suscriptor de certificado a la persona física
o jurídica identificada en el certificado, que dispone del
derecho de uso del certificado para generar firmas basadas en el
mismo.”
El suscriptor de certificado es una persona física o también persona jurídica (y
de hecho éste segundo caso será el más habitual), que tiene licencia (del prestador
de servicios de certificación) para generar firmas. En algunos casos es también la
persona identificada en el certificado 14.
Esta diferenciación del suscriptor frente al firmante permite la existencia de
certificados individuales o colectivos, donde el suscriptor es la empresa y el firmante,
la persona física que trabaja o representa a la empresa. El concepto de suscriptor va
más ligado a esta cuestión que al hecho de la producción de la firma.
Por otra parte, la definición no afecta a la existencia de un certificado de
persona jurídica en el que no se considera que firme ninguna persona física, sino
directamente la propia persona jurídica.
Frente a los que opinan que la obtención y uso de la firma electrónica son actos
personalísimos, entendemos que no hay que olvidar que la firma electrónica no es un
acto personal e inmediato, sino artificial y mediato, dado que no se puede efectuar
personalmente15, sino mediante unos medios técnicos de los que se ha de tener un
elevado grado de control.
Por otra parte, en nuestra práctica jurídica son frecuentes los casos en que el
suscriptor de un título es una entidad, que autoriza a una persona física identificada en
dicho título, como legitimada para la realización de los actos cubiertos por el título
(tarjetas de crédito corporativas).
Dada la neutralidad negocial de la Ley, limitar esta posibilidad no aporta más
seguridad al tráfico, y en cambio proscribe de la Ley a los sistemas corporativos,
laborales y administrativos de certificación. No es imaginable que la empresa pida al
trabajador que salga al mercado a comprar un certificado para proteger los mensajes
de correo de la empresa.
2) Frente a la figura del suscriptor, necesitábamos en la Ley una definición de
firmante, para completar el modelo de roles necesario en la firma electrónica de
acuerdo con lo expuesto con anterioridad, dado que firmante sería la persona física
que controla el proceso de generación de firma, y su actuación determina la
imputación de las firmas al suscriptor del certificado.
El texto podría haber sido el que sigue: “Se denomina firmante a la
persona física a la que, en nombre propio o en representación de
otro, emplee directamente o disponga del control de la
utilización de un dispositivo de creación de firmas imputables a
un suscriptor de certificado.”
En certificados individuales, esta persona coincide con el suscriptor de
certificado, aunque no necesariamente con el solicitante. En certificados colectivos,
como los de empresa, no coincide prácticamente nunca, porque suscriptor es la
empresa y firmante, el trabajador.
Sin esta definición, se vuelve a reproducir la situación de que la empresa no
sea titular del certificado por el que paga, que sin embargo utiliza el trabajador en el
ámbito laboral.
14
En este mismo sentido se pronuncias las especificaciones técnicas voluntarias sobre
certificados reconocidos y de clave pública, TS 101456 y TS 102042, del Instituto Europeo de
Normas de Telecomunicaciones.
15
Básicamente, porque todavía no podemos abrir una ventana al ciberespacio para
introducir mano y bolígrafo y producir una firma.
Por otra parte, dado que existen tipos diferentes de dispositivos seguros de
creación de firma, y que precisamente los más seguros no caben en la cartera (porque
no son tarjetas), la firma se puede producir directamente o indirectamente, a través de
un dispositivo seguro de creación de firmas, siempre que se disponga de un grado de
control de dicho dispositivo suficiente para imputar dichas firmas al suscriptor.
Lo importante, pues, no es la producción personal de la firma que, por cierto, es
imposible, sino el control efectivo del proceso de generación de la firma. Los sistemas
basados en tarjeta tienen la ventaja indudable de la posesión física de la tarjeta por el
firmante (que podrá ser el suscriptor del certificado, o no).
Sin embargo, esta mera ventaja no ha de suponer la discriminación de los
restantes sistemas de generación de firma, que en muchos casos son más seguros
que las propias tarjetas. Así, por ejemplo, los bienes de equipo o hardware certificados
conforme a la especificación norteamericana FIPS 140-1/2 nivel 3 o conforme al
Acuerdo del Taller de Firma Electrónica (eSign Workshop) del Comité Europeo de
Normalización CEN CWA 14169 son dispositivo seguro de generación de firma, y
pueden ser operados de forma remota por un firmante.
De este modo se ha conceptuado también en las especificaciones técnicas
voluntarias europeas, y en concreto en el Acuerdo del Taller de Firma Electrónica
(eSign Workshop) del Comité Europeo de Normalización CEN CWA 14170 y otros
documentos relacionados.
En concreto, se cita expresamente la posibilidad de producción de la firma a
distancia, en un dispositivo operado por un tercero, siempre y cuando se garanticen
determinadas condiciones de seguridad. Este modelo implica que el firmante no
dispone físicamente del dispositivo de generación de firma, pero indudablemente es
quien controla de forma efectiva el proceso y, por tanto, se le puede imputar la firma.
De la existencia de estas posibilidades derivaba la propuesta que realizamos,
acerca de la conceptuación del firmante como la persona (física) que o bien emplea
directamente – caso de la tarjeta de firma – o bien dispone del control efectivo del
dispositivo de firma – caso que cubre la activación remota de la firma electrónica.
3.2.2 Confusión de los roles de solicitante y futuro suscriptor
Otro de los puntos críticos de la Ley de firma electrónica es la identidad total
que se propone entre los roles de solicitante de certificados y futuro suscriptor.
1) El texto precisaba de una definición de la persona que solicita el certificado,
que no tiene por qué coincidir en todos los casos con el futuro suscriptor del
certificado: por ejemplo, el apoderado ante Notario que acude a obtener un certificado
para su representado.
Parte de las deficiencias del texto legal y de los problemas operativos y reales
de la práctica tienen que ver con esta limitación, como puede suceder con los
certificados de trabajadores de una empresa, que típicamente son solicitados por el
representante de la empresa, y no por el trabajador.
Una definición para esta figura podría haber sido la siguiente: “Se denomina
solicitante a la persona que, en nombre propio o en
representación de otro, solicite un certificado.”
2) Por el contrario, futuro suscriptor, figura que no es necesario definir, es la
persona que va a ser identificada en el certificado, o que va a obtener el certificado, o
que ha de consentir en la cesión de los datos.
En diversos artículos de la Ley se cita al solicitante, cuando debería hablarse
del futuro suscriptor: de este modo, en los artículos 11.1, 12.a), 13 o 18.b).
En todos estos artículos se cita al solicitante, pero debería mencionarse al que
ha de devenir suscriptor. De otro modo, volvemos al modelo donde cada persona
física ha de solicitar su propio certificado, con independencia de que dicho certificado
sea individual (que en ese caso efectivamente sólo él debe poder pedir) o corporativo
(que será solicitado por la organización correspondiente).
4. Crítica al modelo conceptual de la firma
electrónica
4.1 La firma-e ordinaria no es firma, aunque puede
servir como tal
La firma electrónica ordinaria (entendida como la firma que no es avanzada ni
reconocida) tiene una enorme cantidad de aplicaciones posibles, de las cuales, la
posible equivalencia con la firma escrita de una persona representa una muy pequeña
parte.
Por ejemplo, la firma no reconocida se emplea habitualmente para proteger
comunicaciones electrónicas entre ordenadores, sin que medie voluntad humana
inmediata: los documentos de esta forma producidos se firman digitalmente a efectos
de garantizar su inalterabilidad, pero no porque representen un acto humano: la
analogía más correcta sería en este caso la de la “máquina plastificadora de
documentos”.
Otra posibilidad es que se utilice una firma electrónica no reconocida como
indicación de los actos externos que generan la apariencia de un acto jurídico válido:
por ejemplo, el sello del Registro de salida de una notificación. El ciudadano, en este
caso, no puede comprobar que el proceso interno de autorización del acto se ha
cumplido, ni tiene el deber de verificar, por ejemplo, la firma del Alcalde ni del
Secretario, ni la vigencia de los respectivos cargos – incluso aunque pueda hacerlo –
de modo que el sello (externum corporis) deviene el elemento formal de validez y
efectividad del acto.
En tercer lugar, la firma no reconocida se suele emplear para cumplir alguna –
aunque no todas – de las funciones de la firma escrita, y en especial la función de
autenticación de la identidad personal (que es diferente de la autenticación de un
documento, del contenido del mismo, de la fecha y lugar de otorgamiento y de la
capacidad relativa e información de las partes). Por ejemplo, la firma del correo
electrónico garantiza la inalterabilidad del documento, al tiempo que permite
determinar el autor. En ningún caso la aplicación de correo electrónico permite, de
forma estándar, garantizar la prestación del consentimiento o suponer la aprobación
del contenido del mensaje, aunque se puede modificar la aplicación para ello.
El término “autenticación” que se emplea en la versión española de la Directiva
99/93/CE, de firma electrónica (texto auténtico) nos parece más correcto para
representar la funcionalidad típica de la firma ordinaria, que se corresponde con una
de las funciones de la firma escrita, que es la constatación de la identidad de una
persona a la que previamente hemos identificado: esto, y no otra cosa, es lo que
significa el término “autenticar” en español, y precisamente es lo que permiten hacer
las tecnologías susceptibles de encajar en esta definición, como la contraseña,
diferentes técnicas criptográficas y, en especial, la firma digital.
Por ejemplo, cuando una entidad financiera desea relacionarse con su cliente a
través de Internet, primero debe identificarle – presencialmente, en muchas ocasiones,
requisito que se contiene en las Leyes de blanqueo de capitales, no en las de firma
electrónica – y debe entregarle un elemento para reconocerle cuando se conecte: este
elemento es la contraseña, y la presentación de la misma a la entidad financiera se
denomina “procedimiento de autenticación”.
La prueba definitiva de que la contraseña no identifica, sin embargo, es que el
cliente de la entidad financiera no puede usarla para identificarse ante una persona
física o jurídica diferente de la propia entidad financiera. Por tanto, si no identifica fuera
de ese entorno cerrado, la definición legal como medio de identificación es incorrecta y
sólo puede producir confusión.
Si lo que debemos entender es que la expresión “pueden ser identificados
como medio de identificación del firmante” ampara las limitaciones de los mecanismos
de autenticación, que a veces identifican y a veces no, entonces la definición, además
de confusión, genera una inseguridad jurídica que no resulta en absoluto aceptable.
A lo dicho cabe añadir que la “consignación” o “imposición” de una contraseña
(firma electrónica ordinaria), con independencia de la autenticación de la persona,
puede autenticar el documento; es decir, puede emplearse como mecanismo de
autoimputación del documento y aprobación de su contenido, y sólo en ese caso se
comporta como una verdadera firma.
Por este motivo, se debería haber eliminado del Proyecto de ley la referencia al
firmante, y referir la autenticación tanto a la persona que firma como al documento que
aprueba y al que se vincula con la firma, siguiendo también en este punto la Directiva
99/93/CE, de firma electrónica.
De este modo, el texto definitorio de la firma electrónica (ordinaria) hubiera sido
el siguiente: “1. La firma electrónica es el conjunto de datos en
forma electrónica consignados junto a otros o asociados con
ellos, utilizados como medio de autenticación.”
Esta definición nos hubiese permitido considerar potencialmente como firma
cualquiera de las variadas tecnologías de autenticación, aunque siempre teniendo en
cuenta que se trata de una consideración en potencia, que se encuentra supeditada a
que realmente cumpla todas las funciones de la firma escrita.
4.2 La firma-e “reconocida” no parece tener
reconocimiento real
Uno de los elementos fundamentales para el desarrollo de los intercambios
telemáticos es el necesario reconocimiento de la firma electrónica reconocida por
todos los operadores en el tráfico jurídico, ya sean públicos o privados.
Una vez cumplidos los requisitos técnicos que permiten la consideración de
una firma electrónica como reconocida, resulta desconcertante que no se ampare a
esa firma dotándola no sólo de la equiparación con la firma manuscrita, sino también
estableciendo la obligatoria aceptación y reconocimiento de la misma en todos
aquellos actos o negocios jurídicos en que intervenga.
Es cierto que el artículo 3 del Real-Decreto Ley 14/1999 establecía ya, al
regular los efectos jurídicos de la firma electrónica, la equiparación en cuanto al valor
jurídico de la firma electrónica avanzada basada en un certificado reconocido y
producida por un dispositivo seguro de creación de firma con la firma manuscrita. Pero
esta equiparación se encuentra limitada tanto en el ámbito privado como en el público.
En el ámbito privado, la equiparación quedaría supeditada al juego de la
autonomía de la voluntad, en la medida de que las partes consintieran la utilización de
la firma electrónica como mecanismo de expresión del consentimiento. Por otro lado,
las limitaciones en el ámbito público son todavía mayores, al limitar la utilización a
aquellos procedimientos en que se autorice ésta y se respeten las condiciones
adicionales que se impongan.
Una regulación moderna ha de intentar que esta problemática quede superada,
permitiendo la utilización de los medios telemáticos que gocen del más alto nivel de
seguridad en el más amplio círculo posible. Y esto sólo será posible a través de la
imposición a los diferentes sujetos que intervienen en el tráfico jurídico, ya sean
públicos o privados, de la obligatoria admisión de la firma electrónica (evidentemente
habría de ser la reconocida) en las operaciones en que intervienen.
Evidentemente, esta obligatoriedad sólo puede imponerse por una norma con
rango de ley y, tratándose del ámbito del Derecho Privado, el Código Civil es la norma
más apropiada para recoger esa imposición, junto a una declaración de carácter
general de necesaria aceptación de la firma electrónica.
De poco sirve decir que la firma electrónica vale lo mismo que la firma
manuscrita, si no se prevé ninguna posibilidad real de uso de dicha firma electrónica.
Con la cobertura existente hasta la fecha, situación que se mantiene
atendiendo al contenido de la Ley 59/2003 recientemente aprobada, los destinatarios
de la norma deben necesariamente establecer un convenio privado o acogerse a una
norma administrativa ad hoc de autorización del uso de la firma electrónica: sin
embargo, si debemos hacer contratos o normas específicas, la firma electrónica
reconocida ya no cumple la función a la que ha de atender, y el valor de la Ley queda
limitado a ahorrar a las partes o a la Administración el trabajo de definir los requisitos
del certificado y del dispositivo seguro, cosa que – como se ha visto en los pasados
tres años y medio – no ha aportado ningún beneficio.
Por otra parte, en la normativa actual no se contemplan diversos aspectos
fundamentales para la operatividad real de la firma electrónica:
a) No se establece el derecho de una persona a emplear su firma electrónica
reconocida, mediante la obligatoriedad de la aceptación por los terceros
b) No se establece la necesidad de aceptar la firma electrónica reconocida
c) No se impone a las Administraciones Públicas ninguna obligación de
emplear la firma reconocida como técnica general de identificación y
autenticación en sus relaciones con los ciudadanos
Para solventar esta problemática, y lograr el verdadero “reconocimiento” de la
firma electrónica “reconocida”, se propusieron diversos mecanismos:
1) Añadir al Proyecto el siguiente texto: “La firma electrónica
reconocida será aceptada por todas las personas físicas y
jurídicas sujetas a esta Ley, siempre que dicha aceptación
resulte técnica y operativamente posible y la firma electrónica
reconocida haya sido verificada.”
Es necesario garantizar que el nivel máximo de firma será realmente útil y
operativo en el futuro, mediante la necesaria aceptación de la misma por todas las
personas físicas y jurídicas.
Frente a esto, resulta chocante que la Ley 59/2003 recoja únicamente esta
obligatoriedad de aceptación para el DNI electrónico, que precisamente no ha de servir
para firmar, sino para identificar.
Es imprescindible no sólo recoger sino afirmar el derecho del ciudadano a
adquirir y poder emplear una firma electrónica reconocida, y a que no se le pueda
discriminar o imponer condiciones que le impidan de forma efectiva hacer uso de ésta.
Lo contrario significa configurar la firma electrónica como un mec anismo de
identificación y autenticación aplicable únicamente en entornos cerrados, es decir,
aquellos entornos que previamente hayan reconocido y admitido la utilización de los
medios telemáticos en sus relaciones, pero impide extender esa firma a otros ámbitos
en los que no exista esa confianza o certeza en la seguridad de los medios
telemáticos.
Una normativa que pretende generalizar el uso de la firma electrónica no puede
permitirse esas carencias, ya puestas de manifiesto con la anterior regulación, sino
que ha de establecer los mecanismos más adecuados que permitan la extrapolación
de la firma electrónica a sectores donde no existe confianza en la utilización de los
medios telemáticos, lo que necesariamente pasa por transmitir al usuario de la firma la
certeza de que el acto jurídico que está llevando a cabo goza de la más absoluta
validez jurídica y producirá los efectos jurídicos previstos legalmente, sin que la parte
contraria a aquella que utiliza la firma pueda oponer ninguna excepción que no sea de
carácter técnico (y suficientemente acreditada) para no reconocer la actuación
manifestada a través del certificado electrónico.
2) Modificar el Código Civil, garantizando que la equivalencia funcional se
inserta en el lugar apropiado de nuestro Ordenamiento jurídico, dado que la ley civil es
horizontal a todo el sistema.
El artículo propuesto en su día (como artículo 1279 bis) completaría la
exigencia del requisito formal de la escritura u otra forma especial, con el siguiente
texto:
“1. Cuando la ley española requiera de forma imperativa la
firma escrita, toda persona física o jurídica podrá emplear su
firma electrónica reconocida para cumplir dicho requisito.
2. Cuando la ley española requiera de forma dispositiva la
firma escrita, toda persona física o jurídica podrá emplear
cualquier firma electrónica para cumplir dicho requisito.”
De este modo, cuando la ley exija de forma imperativa o verdaderamente
obligatoria la presencia de una firma, el requisito se cumple mediante una firma
electrónica reconocida. En este caso, no puede emplearse firma convencional, dado
que las partes no tienen libertad para modificar o reconfigurar el artículo, ni disponer
de él.
Como ejemplos de este requisito imperativo, se pueden citar el artículo 6 de la
Ley 7/1995, de crédito al consumo, que establece que los ejemplares del contrato
deben estar “debidamente firmados” o la institución del endoso de la Ley Cambiaria y
del Cheque, que obliga al uso de la firma escrita, debido al efecto transmisor del acto.
Evidentemente, la utilización de la expresión “podrá” lleva como contrapartida
la obligatoria aceptación de la misma por parte del otro sujeto de la relación jurídica, al
amparo de la norma citada que, junto a la situación de poder que se reconoce al sujeto
generador de la firma, supone el necesario deber del sujeto de la relación en
particular, y de toda la colectividad en general, del reconocimiento de la firma.
En ningún caso este derecho de uso de la firma reconocida hay que entenderlo
como la posibilidad de imponer a la otra parte el uso de medios electrónicos: lo que
quiere decir es que, cuando las partes estén de acuerdo en emplear dichos medios
electrónicos, entonces podrán usar su firma reconocida en todo caso.
Sin embargo, cuando el requisito de la firma sea norma dispositiva, como en
los contratos privados, en ese caso las partes pueden emplear el nivel de firma que
deseen: la firma ordinaria, la avanzada, o la reconocida. Se trata de la figura de la
firma electrónica convencional.
3) Finalmente, en el caso especial de las Administraciones Públicas, el fomento
de la firma electrónica reconocida, a la vez que la garantía de la competencia efectiva,
exige de las citadas Administraciones el “empleo, siempre que sea posible,
de la firma electrónica reconocida, con las adaptaciones que,
sin afectar a la compatibilidad de los sistemas, sean necesarias
en cada Administración Pública.”
En efecto, las Administraciones Públicas, personas jurídicas especialmente
sujetas y regidas por el principio de legalidad, precisamente deben ser las primeras
que empleen la firma electrónica reconocida.
Resulta más que discutible la conveniencia del uso de sistemas de
autenticación basados en usuario y contraseña en el procedimiento administrativo,
aunque podamos considerar dichos sistemas como firma electrónica ordinaria o no
reconocida.
En este sentido, el artículo 3 de la Orden PRE/1551/2003, de 10 de junio, por la
que se desarrolla la Disposición final primera del Real Decreto 209/2003, de 21 de
febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la
utilización de medios telemáticos para la sustitución de la aportación de certificados
por los ciudadanos, ya establece que “los dispositivos y las aplicaciones
de registro y notificación sólo admitirán la firma electrónica
avanzada basada en un certificado reconocido que cumpla la
recomendación UIT X.509 versión 3 o superiores (ISO/IEC 9594-8
de 1997) de acuerdo con lo previsto en la legislación de firma
electrónica.”
Aunque falta en este caso el requisito del dispositivo seguro de creación de
firma, podemos entenderlo innecesario, puesto que el artículo 70 de la Ley 30/1992,
de 26 de noviembre, no exige realmente la imposición de la firma escrita del ciudadano
en la solicitud de iniciación del procedimiento administrativo, sino también cualquier
otra forma de acreditación de la autenticidad de la voluntad.
La Ley 59/2003 finalmente aprobada ha desaprovechado la oportunidad de
incorporar las anteriores propuestas. En su lugar, aporta una regulación del
documento electrónico y de su prueba que resulta de más que discutible valor.
Al respecto, establece el artículo 3.5 de la Ley de firma electrónica que “se
considera
documento
electrónico
el
redactado
en
soporte
electrónico
que
incorpore
datos
que
estén
firmados
electrónicamente”, regla que – además de contradecir otras definiciones legales
de documento y ser innecesaria en el Derecho español – nada aporta al debate acerca
de la posibilidad de emplear una firma electrónica donde la Ley exige una firma escrita.
Aunque efectivamente el legislador determina – de forma innecesaria también –
que el documento electrónico podrá ser público, administrativo o privado en el artículo
3.6, establece a continuación en el apartado 7 del mismo artículo que “los
documentos a que se refiere el apartado anterior tendrán el
valor y la eficacia jurídica que corresponda a su respectiva
naturaleza, conforme a su legislación específica”, lo que no aporta
ninguna información normativa al intérprete de la Ley.
En nuestra opinión, como ha quedado expuesto anteriormente, hubiese debido
el legislador indicar claramente que allí donde se exige el requisito de la escritura y de
la firma escrita, se pueden emplear estas técnicas en todo caso, sin que sea necesario
esperar a una autorización legal expresa o, peor, de la autoridad competente.
A pesar de esta “brillante” técnica legislativa, hay que seguir objetando que los
viejos problemas siguen pendientes de resolución, que la legislación sectorial y la
jurisprudencia venía reconociendo de forma pacífica la existencia del documento
electrónico (así, en la legislación penal, tributaria, de mercado de valores, bancaria y
de seguros, de comercio electrónico, etc.), por lo que poco aporta esta “presunción” y
que seguimos necesitando reglas claras de uso de la firma electrónica y, ya que
estamos, del documento electrónico, en los casos en que las leyes exigen
imperativamente el uso de la forma escrita y el uso de la firma escrita.
4.3 Fomento de la firma electrónica no reconocida
Además de no establecer el valor definitivo y obligatorio de la firma electrónica
reconocida, como hemos visto en el apartado anterior, parece que la Ley 59/2003
fomenta el uso de cualquier tipo de firma electrónica, menos la firma reconocida.
Este fomento de la firma no reconocida se hace patente en diversos aspectos:
a) El fomento claro de los sistemas de firma provistos por la Administración
General del Estado, que en la mayoría de los casos actuales no tienen la
consideración de firma reconocida
b) El fomento del uso de la firma electrónica convencional, a la que no se
imponen ni las más mínimas condiciones limitantes, ni siquiera en presencia de una
parte débil en el contrato
1) A pesar de que la Ley 59/2003, como el anterior RDL 14/99, contiene una
detallada – y estricta regulación – en relación con la firma electrónica reconocida, a la
emisión y uso de la cual se establecen estrictas responsabilidades, por otra parte la
redacción actual de la Ley 30/1992, de 26 de noviembre permite, como hemos visto
supra, que el ciudadano se relacione con las Administraciones mediante sistemas de
firma electrónica no reconocida. De nuevo el ejemplo de la FNMT-RCM es
paradigmático, dado que emite un certificado que – aunque se supone es reconocido –
tiene la consideración de ordinario, y no provee el necesario dispositivo seguro de
creación de firma electrónica.
Aunque esta situación no deriva de la propia Ley 59/2003, sino de la actual
opción legislativa en materia de procedimiento administrativo común, hay que decir
que el carácter excesivamente liberal de la Ley supone perder la oportunidad de
reconducir el régimen actual hacia la necesidad de emplear la firma reconocida
también en las relaciones entre el ciudadano y las Administraciones.
Esta situación lleva a la aparición de diferentes escenarios de uso de la firma
por parte de las Administraciones Públicas, que asocian diferentes niveles de firma
electrónica en función del riesgo que aprecian en cada procedimiento.
Sin entrar a preguntarse sobre la conveniencia de este proceder, se aprecian
desde luego modelos realmente diversos en la práctica de las Administraciones
españolas. De este modo, dentro de la Administración General del Estado se debía
emplear la firma electrónica avanzada basada en certificado de la FNMT-RCM para los
trámites con la Agencia Estatal de Administración Tributaria, mientras que para
relacionarse con el Ministerio de Economía se utilizaba un identificador de usuario y
una contraseña (mecanismo que podría considerarse, a lo sumo, como firma
electrónica ordinaria), aunque recientemente se ha impuesto la firma electrónica
avanzada basada en un certificado reconocido X.509v3, sin dispositivo seguro de
creación de firma.
Por otra parte, el IZENPE vasco suministra a los ciudadanos un sistema de
firma electrónica reconocida; esto es, firma electrónica avanzada basada en certificado
reconocido y producida mediante un dispositivo seguro de creación de firma.
La Agencia Catalana de Certificación (CATCert) ofrece a los ciudadanos
catalanes, así como a los nacionales españoles y extranjeros con interés legítimo para
realizar trámites administrativos con las Administraciones catalanas y otras
Administraciones Públicas que lo admitan, al menos en Cataluña, un certificado
reconocido denominado idCAT. Se trata de un sistema de firma electrónica avanzada,
sin dispositivo seguro de creación de firma pero basado en certificado reconocido.
Resulta extraño que los tres sistemas que hasta la fecha conviven – firma
ordinaria, firma avanzada y firma reconocida – parezcan ofrecer las mismas garantías
a diferentes Administraciones, lo que planteará problemas y conflictos en cuanto sea
preciso interconectar los procedimientos en que intervienen diferentes
Administraciones, motivo por el cual se constata la necesidad de unificar el tratamiento
de la firma electrónica en los diferentes procedimientos, probablemente por vía de
reforma de la Ley 30/1992, de 26 de noviembre, y su carácter básico, asegurando a
los administrados un tratamiento común frente a las Administraciones Públicas, y
atendiendo a los principios de cooperación y coordinación a los que ha de atender la
actuación de éstas.
2) La Ley 59/2003, de corte liberal en cuanto a la no necesidad de aceptar la
firma de nadie – excepto la basada en el DNI electrónico – no ha previsto siquiera la
necesidad de regular, mediante un instrumento jurídico apropiado, el uso de la firma
electrónica que no tiene la consideración de reconocida; lo que, por otro lado, se ha
venido haciendo en el entorno financiero o de seguros, por ejemplo, donde la firma
electrónica ordinaria (usuario y contraseña) es la fórmula comúnmente empleada.
En la contratación con consumidores, la definición de las condiciones de la
firma del consumidor pueden ser establecidas por el comercio, de modo que es
importante que la parte débil conozca, antes de empezar a firmar, todas las
condiciones técnicas relevantes y el nivel de confianza que puede tener en la firma
electrónica que va a emplear.
Igualmente, en sede de contratación con condiciones generales – aplicable a
personas físicas-consumidores, pero también a personas jurídicas adquirentes de
productos y servicios (adherentes) – las condiciones de la firma electrónica las va a
determinar el predisponente (el comercio electrónico) sin que el adherente tenga
posibilidad alguna de negociar.
En este escenario se hace de nuevo evidente la necesidad de que una cuestión
tan importante para la contratación sea regulada previamente a su uso, cumpliendo las
prescripciones aplicables al instrumento jurídico elegido (contrato negociado,
condiciones generales electrónicas, etc.)
Por ello, hubiese resultado oportuno añadir al texto la obligación de regulación
del uso de la firma electrónica no reconocida, obligación que se hubiese podido
formular en los siguientes términos: “Las personas físicas y jurídicas que
empleen la firma electrónica que no reúna los requisitos de la
firma electrónica reconocida deberán regular, mediante el
instrumento jurídico apropiado, las condiciones jurídicas,
técnicas, organizativas y de seguridad aplicables a la
generación, verificación y, en su caso, archivo, de la firma
electrónica”, adición que no se ha introducido en el texto final de la Ley.
4.4 La firma-e de personas jurídicas no es firma
Otra de las novedades que introduce la Ley es la denominada “firma de
personas jurídicas”. Aparentemente pretende ser un gran avance respecto a la
regulación anterior, pero el planteamiento que realiza la Ley 59/2003 hace que la firma
de persona jurídica no suponga un avance real frente al modelo anterior, ni que la
firma de personas jurídicas resulte un instrumento de especial utilidad en la práctica.
1) La Ley configura la firma de persona jurídica como un artificio, al margen de
la realidad mercantil y los mecanismos de representación que se utilizan. Así, la Ley
no configura formalmente la firma de persona jurídica como la de una persona física
que actúa como representante de persona jurídica (como ocurre en el tráfico mercantil)
sino como una firma de persona jurídica independiente de las personas que la
representan, que en principio serán las que utilizarán el mecanismo de generación de
firma, pero la firma que quedará reflejada será una firma distinta de la suya.
La custodia de los datos de creación de firma asociados a un certificado
electrónico de persona jurídica son responsabilidad de la persona física solicitante
cuya identificación se incluye en el certificado electrónico, que han de ser los
administradores, representantes legales o voluntarios con poder bastante a estos
efectos y sin que, como indica la Exposición de Motivos, la firma de persona jurídica
sustituya los certificados electrónicos que se expiden a personas físicas en los que se
reflejen dichas relaciones de representación.
Así, en el tráfico mercantil las personas jurídicas siempre actúan a través de
personas físicas, por lo que la introducción de la firma de persona jurídica no tiene la
necesaria cobertura en el ámbito del derecho mercantil y, lejos de favorecer el tráfico
jurídico, puede introducir confusión e inseguridad jurídica en el mismo. En el tráfico
mercantil la representación se acredita a través de la persona física, mostrando que
ésta actúa en nombre de la persona jurídica; por el contrario, el proyecto pretende
actuar al revés, correspondiendo a la persona jurídica la acreditación de que una
determinada persona física actúa en su nombre.
De esta manera, la firma de persona jurídica se convierte en un mero
mecanismo de expedición de documentos originales, sin incidencia ni avance
significativo en lo que se refiere al tráfico mercantil.
Además, el análisis riguroso del texto muestra que la vigencia del certificado de
persona jurídica viene determinada por las circunstancias que acontezcan a la persona
física solicitante y custodio del certificado, de modo que, con independencia de cómo
se denomine a la institución, la única realidad es que nos encontramos frente a una
firma de persona física – muy concreta y particular, es cierto, pero firma de persona
física al fin y al cabo – que permite imputar ciertos actos – todos los que no precisen
de la representación; esto es, todos los actos que en el mundo “real” no precisarían la
“firma” de la persona jurídica – a la persona jurídica.
Ello no significa que la institución propuesta sea en absoluto inútil. La práctica
demuestra que los documentos originales, sin firma de apoderado, sino con sellos,
marcas gráficas, membretes y otros métodos tradicionales de identificación, tienen
también un valor probatorio importante, a pesar de que dicho valor no sea comparable
al de la firma escrita de un apoderado.
A estos efectos, resulta interesante la existencia de equivalentes electrónicos a
los anteriormente mencionados sistemas, con la reserva que, a nuestro entender,
supone que dicho equivalente se denomine “firma de personas jurídicas”,
precisamente porque no es posible que una persona jurídica firme, pero sí es posible
que se le imputen documentos originales.
La crítica reside, pues, en cómo se denomina a la institución y cómo se
configura la misma, no en el objetivo perseguido y los efectos útiles que puede tener.
Una configuración correcta de la institución hubiese sido la que hubiese determinado
la institución como un medio de producción de documentos originales de persona
jurídica, para todos aquellos usos – que son muchos – en los que la práctica no
requiere que el documento original esté firmado por el apoderado de la persona
jurídica.
Especialmente importante resulta esta posibilidad en las relaciones entre las
personas jurídicas y las Administraciones Públicas, que en muchos casos no precisan
que los documentos contengan la firma de un apoderado de la persona jurídica.
Para ello, hubiera sido necesario definir correctamente el significado de esta
“firma de persona jurídica”, por ejemplo del siguiente modo: “Los certificados de
personas jurídicas son certificados de firma electrónica
avanzada expedidos a personas jurídicas para la emisión de
documentos originales; esto es, íntegros y con garantía de
origen, pero nunca para la producción de la firma de la persona
jurídica.”
Se trata de una definición de corte finalista, orientada a la producción de
documentos originales en cierto grado imputables a la persona jurídica, pero nunca
con el valor de firma. En consecuencia, se conceptúa como una firma electrónica
avanzada, no reconocida, ya que la firma reconocida es de persona física, como
corresponde a una técnica que es equivalente a la firma escrita.
Del mismo modo, estimamos innecesario establecer la necesidad legal de que
esta “firma” de producción de documentos sea producida empleando un dispositivo
seguro de creación de firma, aspecto que debería quedar a discreción de la persona
jurídica.
2) Por otro lado, una verdadera firma de persona jurídica se habría de apoyar
en la firma de la persona física que actúa como representante, de acuerdo con la
realidad actual y la normativa y jurisprudencia consolidada en torno al negocio jurídico
representativo. Considerarlo de otro modo supone una contradictio in terminis.
Simultáneamente, se habría de producir la conexión telemática on line con el
Registro Mercantil para comprobar la realidad y vigencia de dicha representación en
tiempo real, con lo que el acto o negocio jurídico realizado tendría plena validez
jurídica y produciría efectos frente a terceros de acuerdo con la normativa mercantil,
sin necesidad de introducir un nuevo elemento como es la firma de persona jurídica.
El artículo 13 de la Ley, al regular la comprobación de la identidad y otras
circunstancias personales de los solicitantes de un certificado reconocido, no obliga,
cuando se trata de certificados de personas jurídicas, a la consulta en el Registro
Público (sólo lo admite como uno de los medios posibles), lo que lleva a establecer
una apariencia de representación que puede resultar perniciosa para la seguridad del
tráfico y la protección de terceros de buena fe.
Por este motivo, hubiese sido necesario incluir en la Ley 59/2003 una
prescripción específica en materia de firma electrónica reconocida de persona jurídica,
del tenor siguiente: “La firma electrónica reconocida de la persona
jurídica deberá realizarse mediante el certificado reconocido y
el dispositivo seguro de creación de firma asignados a la
persona física que representa a la persona jurídica, con el
correspondiente poder.”
5. Crítica al modelo conceptual de la certificación
digital
5.1 El DNI electrónico y el fin del mercado
Una de las grandes novedades de la Ley 59/2003, si no la más relevante, es el
reconocimiento y “regulación” del DNI electrónico. Si bien en las primeras versiones
del proyecto de ley, se configuraba el DNI electrónico como una firma electrónica
reconocida16, la versión definitiva, de una manera consciente, pretende escapar de esa
equiparación, pues de lo contrario, como consecuencia de la equiparación
anteriormente mencionada de la firma electrónica reconocida con la firma manuscrita,
el Ministerio del Interior habría de asumir no sólo unas cuantiosas inversiones técnicas
para cumplir con los requerimientos del certificado reconocido, sino que también
tendría una responsabilidad mayor caso de que la generación de la firma no se llevara
a cabo con arreglo a los requerimientos que ese nivel de generación de firma exige.
Así, el artículo 16 de la Ley 59/2003 impone al DNI electrónico las obligaciones de los
prestadores de servicios de certificación que expidan certificados reconocidos, entre
las que no se encuentra la necesidad de proveer un dispositivo seguro de creación de
firma, y tampoco se establece su equiparación automática con la firma manuscrita.
El DNI electrónico es uno de los objetivos del Gobierno manifestados en el Plan
Info XXI, a través del cual se pretende dotar a los ciudadanos de una tarjeta de
identificación que recoja las menciones básicas del sujeto. Al mismo tiempo, se
configura como un mecanismo generador de firmas y, más aún, de obligatoria
aceptación por todos los sujetos del tráfico jurídico.
Esto lleva a la necesaria crítica de la regulación que la Ley contiene, al
suponer un claro ataque a la libre prestación de servicios de certificación, eliminando
de ipso la posibilidad de libre competencia por parte de las empresas prestadoras de
servicios de certificación.
Es una falacia pensar que el mercado podrá soportar la existencia de, no uno,
sino de dos operadores con una clara posición preeminente. Por un lado, el proyecto
CERES de la Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda,
configurado hasta fechas recientes como el único medio posible de relacionarse con la
Agencia Estatal de Administración Tributaria (la Orden HAC/1181/2003, de 12 de
mayo, por la que se establecen normas específicas sobre el uso de la firma electrónica
en las relaciones tributarias por medios electrónicos, informáticos y telemáticos con la
Agencia Estatal de Administración Tributaría ha establecido los requisitos jurídicos y
técnicos a cumplir para el reconocimiento de los certificados electrónicos no emitidos
por CERES, rompiendo el monopolio de hecho y atendiendo al principio de libre
competencia en la actividad de prestación de servicios de certificación, en el ámbito de
la Hacienda Pública) y, por otro lado, el DNI electrónico, medio de identificación del
ciudadano de obligatoria utilización a partir de los catorce años, y que supondría la
aparición directa del Estado como prestador de servicios de certificación, y además sin
tener que constituir la garantía del apartado 2 del artículo 20 como indica el artículo 16
de la Ley 59/2003.
16
Es decir, firma electrónica avanzada basada en certificado reconocido y producida
mediante dispositivo seguro de creación de firma, de acuerdo con el artículo 3.3 de la Ley.
Incluso sólo con el DNI electrónico se afecta de forma absoluta al mercado de
servicios de certificación, aunque también es cierto que la existencia del DNI “en
papel” no ha afectado a la existencia de tarjetas de identidad, públicas o privadas, si
bien éstas tienen unas funciones y modelos de negocio diferentes, y no acceden a un
mercado tan abierto y rápido como son las relaciones jurídicas a través de los medios
telemáticos.
Nos encontramos ahora, sin embargo, ante una clara invasión competencial del
mercado por parte del sector público, aprovechando un título competencial incorrecto.
La reserva que se realiza al Estado en materia del DNI se encuentra conectada con la
identificación de los nacionales españoles, no con su capacidad de firma.
No queda más remedio que indicar que la configuración actual del DNI viola la
Constitución española y la libertad de empresa en el marco de una economía de
mercado que reconoce, además de toda la normativa comunitaria y estatal de defensa
de la competencia, creando un monopolio de hecho absolutamente prohibido.
Al mismo tiempo, el DNI electrónico puede suponer un ataque a la libertad e
intimidad personales y a la protección de datos, al existir una única base de datos
impuesta legalmente, que supondría la existencia de un identificador único, frente a la
situación actual de dispersión de datos del ciudadano entre las distintas
Administraciones Públicas.
Finalmente, tras la “aprobación” del DNI electrónico, reenvía la Ley la
verdadera regulación del citado DNI electrónico a “su normativa específica”, en
virtud de la disposición adicional sexta de la Ley, “sin perjuicio de la
aplicación de la normativa vigente en materia del documento
nacional de identidad en todo aquello que se adecue a sus
características particulares”, texto de una inusitada oscuridad.
Debe quizá el intérprete de la norma entender que dispondremos de dos
normas diferentes en materia de DNI, para la versión “no electrónica” y para la versión
“electrónica”, y que la segunda se entenderá sin perjuicio de la primera. O debe
entender que existirán contradicciones entre una norma y la otra, cuando es
presumible que sea el mismo Gobierno quien dicte ambas normas, y el mismo
Departamento ministerial el responsable del desarrollo posterior.
5.2 Un certificado “reconocido” que no es reconocido
por nadie
Resulta francamente contradictorio que el artículo 15.2 de la Ley 59/2003, en la
regulación del DNI electrónico, imponga la obligación de que todas las personas
físicas o jurídicas, públicas o privadas, reconozcan la eficacia de este DNI para
acreditar la identidad y los demás datos personales del titular que consten en el
mismo, y para acreditar la identidad del firmante y la integridad de los documentos
firmados con los dispositivos de firma electrónica en él incluidos y, sin embargo,
guarde silencio en torno a la firma electrónica reconocida, no imponiendo ese
reconocimiento obligatorio que predica del DNI.
Como hemos indicado antes, el DNI no produce la firma electrónica reconocida,
porque no impone el necesario dispositivo seguro de creación de firma de la firma
electrónica reconocida y, sin embargo, se le dota de la mayor eficacia jurídica, lo que
es ilógico desde la óptica jurídica.
El certificado reconocido debería ser obligatoriamente aceptado por todos; es
decir, sin la imposición de “condiciones adicionales” que obliguen a alterar los
certificados emitidos o impidan que éstos produzcan efecto, excepto por causas
objetivas, proporcionadas, transparentes y no discriminatorias. Para empezar, porque
estas denominadas condiciones adicionales ya no lo son, sino que suponen una
regulación encubierta del mercado, ilícita desde la perspectiva del Derecho
comunitario y de la propia Ley de firma electrónica.
En cualquier caso, ello no implica que un certificado – por más reconocido que
sea – deba aceptarse si no resulta idóneo su uso o si el mismo se encuentra
restringido mediante límites de uso por el prestador de servicios de certificación que lo
emitió, resultando evidente que un certificado que no contenga la identificación real del
suscriptor, sino un seudónimo, no sea aceptado por las Administraciones Públicas
para la realización de trámites.
Por contra, no se entiende fácilmente la negativa a aceptar un certificado
reconocido sencillamente porque el número de DNI pueda figurar en un campo del
certificado y no en otro, cuando ambos certificados son técnicamente compatibles
entre sí.
Esto no impediría la posibilidad de establecer condiciones adicionales a la firma
(que no al certificado reconocido) que deriven de las particularidades del tráfico
jurídico en que se emplee, posibilidad expresamente prevista en la normativa y que es
compatible con el respeto al mercado.
De este modo, en nada perjudica a los prestadores de servicios de certificación
que se establezca la condición adicional de incorporar la fecha y hora a la firma
electrónica (bien sea en la creación o en la verificación de la misma), posibilidad que
expresamente se contempla en la Ley, o que se deba incorporar el apoderamiento u
otra circunstancia personal a la firma – que no necesariamente al certificado.
5.3 Un certificado de persona jurídica que es de
persona física
Tal como hemos indicado anteriormente al hablar del certificado de persona
jurídica, éste se expide a favor de la persona que lo solicita, que se convierte en un
presunto apoderado de la persona jurídica, pero con un apoderamiento que
simplemente puede limitarse a la solicitud del certificado y la utilización del mismo en
nombre de la persona jurídica.
La relación representativa de la persona jurídica se encuentra desligada de la
firma electrónica, lo que en definitiva es un absurdo, al pretender resolver el problema
de los entes societarios y otras entidades a través de la mediación de un tercero que
no necesariamente es el representante legal.
Al mismo tiempo, la seguridad del tráfico jurídico no resulta beneficiada, dado
que ésta viene garantizada por la publicidad que emana del Registro Mercantil,
mientras que tanto el acto de expedición del certificado, como la creación y verificación
de firma se pueden producir completamente al margen de la publicidad registral.
De este modo, la conclusión es que el denominado “certificado de persona
jurídica” es sencillamente un caso especial de “certificado de persona física”,
tratándose de una persona física que tiene poder especial para solicitar y usar el
“certificado de persona jurídica”, persona física que se denomina “custodio”, pero que
debería denominarse “apoderado especial”.
Esta conclusión es el único aspecto coherente de toda la regulación propuesta.
Lo que sucede es que para llegar a este punto no hacía falta introducir novedad
alguna, dado que en general ya se podía incorporar un poder en el certificado de
persona física. Tratándose de un poder concreto, sencillamente se podría incorporar
dentro de un certificado reconocido, y habríamos acabado.
Y si no se debía incorporar poder alguno al certificado, entonces la libertad
contractual de las partes permitía configurar el certificado de la persona jurídica, bien
fuera operado por una persona sin poderes o por un dispositivo informático, como un
elemento de seguridad que permite la creación y transmisión de documentos
originales, aunque no firmados.
Por otra parte, desde la perspectiva del Derecho administrativo, una
interpretación correcta del artículo 45 de la Ley 30/1992 permite desde luego que
personas sin poderes presenten documentos originales producidos y asegurados
electrónicamente por personas jurídicas, empleando certificados digitales u otros
mecanismos de seguridad.
Se ha de recordar que dicho artículo exige que se garantice la integridad y la
autenticidad de la documentación, para lo que no era necesario acudir a una Ley sobre
firma electrónica, Ley que tiene que ver con los actos de las personas físicas, no con
los documentos originales de personas jurídicas.
6. Crítica a los aspectos probatorios de la firma
electrónica
Finalmente, merece un apartado específico la crítica que cabe realizar al
tratamiento probatorio de la firma electrónica.
Al respecto, sin perjuicio de lo dicho anteriormente en relación al valor de la
consideración del redactado electrónico en soporte electrónico como documento
electrónico, procede comentar el peculiar contenido del apartado 3.8 de la Ley
59/2003, de 19 de diciembre, de firma electrónica.
6.1 El soporte electrónico como medio de prueba
Determina el mismo, en primer lugar, que “el soporte en que se hallen
los datos firmados electrónicamente será admisible como prueba
documental en juicio”, dicho lo cual se olvida el legislador de la problemática
concreta de la aportación del soporte como documento, situación que ya se había
producido en la regulación del artículo 24.2 de la Ley 34/2002, de 11 de julio, de
servicios de la sociedad de la información, que establecía que “en todo caso, el
soporte electrónico en que conste un contrato celebrado por vía
electrónica será admisible en juicio como prueba documental”.
En efecto, la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil no había
incluido el documento electrónico de forma específica en su listado de instrumentos
que conforman la prueba documental, sino que la referencia se hace sencillamente al
documento, de acuerdo con lo establecido en el artículo 265.
La dificultad en el caso del documento electrónico se centra en el método que
debe seguirse para la presentación, sobre el que la ley no establece medio, por lo que
hay que estar a las reglas generales.
Existe una cierta dificultad inicial para considerar un mensaje de datos o fichero
electrónico como documento, especialmente cuando el mensaje o el fichero contienen
datos no alfabéticos, como imágenes o datos matemáticos, especialmente porque
para algunos documentos que contienen este tipo de datos el medio de prueba idóneo,
de acuerdo con la LEC, es el medio establecido en el artículo 384, referido a “los
instrumentos que permitan archivar, conocer o reproducir datos
relevantes para el proceso”.
Establece el citado artículo, en su apartado primero, que “los instrumentos
que permitan archivar, conocer o reproducir palabras, datos,
cifras y operaciones matemáticas llevadas a cabo con fines
contables o de otra clase, que, por ser relevantes para el
proceso, hayan sido admitidos como prueba, serán examinados por
el tribunal por los medios que la parte proponente aporte o que
el tribunal disponga utilizar y de modo que las demás partes del
proceso puedan, con idéntico conocimiento que el tribunal,
alegar y proponer lo que a su derecho convenga”.
La interpretación de este artículo debe ser restrictiva frente a la de documento,
debiendo entender incluidos en este caso no todos los soportes electrónicos con datos
o cifras, sino aquellos asociados a determinados dispositivos técnicos específicos de
grabación o archivo, que producen un registro electrónico de acciones, antes que un
verdadero documento expresivo de la voluntad.
Entre otros motivos, esta solución impide la degradación de la valoración de la
prueba, que en el caso del documento privado puede ser la prueba plena (art. 326.1
LEC), mientras que en el caso de los citados instrumentos la valoración se hará según
las reglas de la sana crítica (art. 382.3 LEC).
Con el artículo 24.2 de la Ley 34/2002, de 11 de julio, este debate se cierra a
favor de la consideración de todo soporte electrónico en que conste un contrato
celebrado por vía electrónica como prueba documental.
Por otra parte, como estamos analizando, el artículo 3.5 de la Ley 59/2003 ya
concede el carácter de documento electrónico a todo soporte electrónico en el que se
incorporen datos firmados electrónicamente (contratos u otros documentos).
6.2 Procedimiento de aportación al proceso de
documentos electrónicos
Establecido que el soporte electrónico puede acceder como documento
electrónico al procedimiento, cabe preguntarse acerca del procedimiento para hacerlo.
Al respecto, el artículo 265 de la LEC establece los documentos que deben
aportarse con la demanda o la contestación, en los siguientes términos:
“1. A toda demanda o contestación habrán de acompañarse:
1. Los documentos en que las partes funden su derecho
a la tutela judicial que pretenden.
2. Los medios e instrumentos a que se refiere el
apartado 2 del artículo 299, si en ellos se fundaran las
pretensiones de tutela formuladas por las partes.
3. Las certificaciones y notas sobre cualesquiera
asientos registrales o sobre el contenido de libros
registro, actuaciones o expedientes de cualquier clase.
4. Los dictámenes periciales en que las partes apoyen
sus pretensiones, sin perjuicio de lo dispuesto en los
artículos 337 y 339 de esta Ley. En el caso de que alguna
de las partes sea titular del derecho de asistencia
jurídica gratuita no tendrá que aportar con la demanda o
con
la
contestación
el
dictamen,
sino
simplemente
anunciarlo de acuerdo con lo que prevé el apartado 1 del
artículo 339.
5. Los informes, elaborados por profesionales de la
investigación privada legalmente habilitados, sobre hechos
relevantes en que aquéllas apoyen sus pretensiones. Sobre
estos hechos, si no fueren reconocidos como ciertos, se
practicará prueba testifical.
2. Sólo cuando las partes, al presentar su demanda o
contestación, no puedan disponer de los documentos, medios e
instrumentos a que se refieren los tres primeros números del
apartado anterior, podrán designar el archivo, protocolo o lugar
en que se encuentren, o el registro, libro registro, actuaciones
o expediente del que se pretenda obtener una certificación.
Si lo que pretenda aportarse al proceso se encontrara en
archivo, protocolo, expediente o registro del que se puedan
pedir y obtener copias fehacientes, se entenderá que el actor
dispone de ello y deberá acompañarlo a la demanda, sin que pueda
limitarse a efectuar la designación a que se refiere el párrafo
anterior.
3. No obstante lo dispuesto en los apartados anteriores, el
actor podrá presentar en la audiencia previa al juicio los
documentos,
medios,
instrumentos,
dictámenes
e
informes,
relativos al fondo del asunto, cuyo interés o relevancia sólo se
ponga de manifiesto a consecuencia de alegaciones efectuadas por
el demandado en la contestación a la demanda.
4. En los juicios verbales, el demandado aportará los
documentos, medios, instrumentos, dictámenes e informes a que se
refiere el apartado 1 en el acto de la vista”.
De este modo, el soporte electrónico del contrato deberá aportarse con la
demanda o la contestación a la demanda, excepto cuando la parte no disponga del
documento y éste se encuentre en un archivo, protocolo o registro (y siempre que de
dichos lugares no pueda obtenerse copia fehaciente, dado que en otro caso se
considera que la parte tiene acceso al documento).
Respecto a la ejecución de la prueba documental privada, el artículo 325 de la
LEC establece que “los documentos privados se presentarán del modo
establecido en el artículo 268 de esta Ley”.
Dicho artículo 268 determina los siguientes medios de presentación de
documentos:
“1. Los documentos privados que hayan de aportarse se
presentarán en original o mediante copia autenticada por el
fedatario público competente y se unirán a los autos o se dejará
testimonio de ellos, con devolución de los originales o copias
fehacientes presentadas, si así lo solicitan los interesados.
2. Si la parte sólo posee copia simple del documento
privado, podrá presentar ésta, que surtirá los mismos efectos
que el original, siempre que la conformidad de aquélla con éste
no sea cuestionada por cualquiera de las demás partes.
3. En el caso de que el original del documento privado se
encuentre en un expediente, protocolo, archivo o registro
público, se presentará copia auténtica o se designará el
archivo, protocolo o registro, según lo dispuesto en el apartado
2 del artículo 265”.
La primera duda que se plantea en este caso es la posibilidad de aportar un
“original” del soporte electrónico si no es mediante medios telemáticos, dado que la
impresión en papel que se aporte al proceso probablemente no cumpla con dicho
requisito de originalidad, sino que se deberá considerar como una copia, que además
no tiene por qué tener ninguna garantía de correspondencia con el original electrónico.
Una posibilidad para tratar de obtener una copia original de un documento
firmado electrónicamente sería traspasar la firma electrónica al soporte en papel,
codificándola de modo directamente legible, como por ejemplo empleando un código
de barras, pero esta opción quizá debería pactarse previamente entre las partes y
presenta el problema de la posterior aceptación por el Juez y la contraparte.
La Ley 59/2003, no cierra la puerta a que los datos firmados electrónicamente
puedan encontrarse en un soporte no electrónico, dado que no distingue. Por tanto, si
se puede proceder a comprobar la autenticidad de la firma electrónica, el documento
electrónico impreso debería ser aceptado.
Otra posibilidad es indicar, de acuerdo con el artículo 265.2, “el archivo,
protocolo o lugar en que se encuentren [los documentos], o el
registro, libro registro, actuaciones o expediente del que se
pretenda obtener una certificación”, lo que conecta con la regulación del
artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la
información y de comercio electrónico, en materia de intervención de terceros de
confianza, pero que tiene sus limitaciones, como veremos.
6.2.1 Aportación directa al expediente
La solución adecuada, desde nuestro punto de vista, sería la creación de un
procedimiento de aportación de documentos originales electrónicos a los autos,
realizado por la representación procesal de la parte a la que interesa aportar el
documento, con las debidas garantías de que el cambio de soporte o volcado de la
información a papel no ha desvirtuado el contenido.
Esta posibilidad se encuentra prevista en el artículo 135 LEC, que regula la
presentación de escritos, a efectos del requisito de tiempo de los actos procesales. El
apartado 5 de este artículo establece que “cuando los tribunales y los
sujetos intervinientes en un proceso dispongan de medios
técnicos que permitan el envío y la normal recepción de escritos
y documentos, de forma tal que esté garantizada la autenticidad
de la comunicación y quede constancia fehaciente de la remisión
y recepción íntegras y de la fecha en que se hicieren, los
escritos y documentos podrán enviarse por aquellos medios,
acusándose recibo del mismo modo y se tendrán por presentados, a
efectos de ejercicio de los derechos y de cumplimiento de
deberes en el tiempo establecido conforme a la ley”.
Por tanto, siempre y cuando se disponga de los medios técnicos adecuados, la
norma autoriza el uso del canal telemático para la remisión de documentos. Dichos
medios técnicos adecuados para garantizar la autenticidad de la comunicación
representan un concepto jurídico indeterminado, que para interpretar correctamente
debe ser reconducido a la Ley 59/2003.
El uso de una aplicación de correo electrónico con firma electrónica avanzada
o, mejor, reconocida, más un servidor de acuse de recibo imperativo permiten ejercitar
este derecho que, por supuesto, tiene sus límites: en concreto, el párrafo segundo del
apartado 5 del artículo 135 LEC establece que “sin embargo de lo dispuesto
en el apartado anterior, a efectos de prueba y del cumplimiento
de requisitos legales que exijan disponer de los documentos
originales o de copias fehacientes, éstos habrán de hacerse
llegar al tribunal dentro de los tres días siguientes al envío
efectuado según el párrafo anterior”.
Este punto hay que entenderlo referido a la documentación original que se
encuentra en soporte papel, dado que ningún obstáculo existe para que se pueda
remitir un original electrónico mediante esta vía. Por ejemplo, en el caso de que
dispongamos de un original electrónico firmado por Notario, se debe poder remitir en
forma electrónica.
La limitación es perfectamente comprensible: poco valor tendría que un
particular digitalizase un documento del que dispone en papel y lo remitiese al
Juzgado. Para poder aceptar la versión electrónica es necesario cotejarla con el
original en papel, motivo por el que es necesario, como dice la norma, remitir dicho
original en papel en el plazo de tres días.
Adicionalmente, hay que recordar que, de acuerdo con el apartado 4 del
artículo 135 LEC, “en todo caso, se dará a la parte recibo de los
escritos y documentos que presenten con expresión de la fecha y
hora de presentación. También podrá hacerse constar la recepción
de escritos y documentos en copia simple presentada por la
parte”.
Esta prescripción implica el empleo de un servicio de consignación de fecha y
hora, a efectos de ofrecer una garantía al presentador del documento, de su recepción
por la Secretaría del tribunal o, de existir, por la oficina o servicio de registro central
que se haya establecido, antes de las quince horas del día hábil siguiente al del
vencimiento del plazo (apartado 1 del artículo 135 LEC), a efectos de preclusión.
Respecto a la forma de aportar el original electrónico al expediente, la
posibilidad más simple implica que el Secretario verifique electrónicamente el
documento y lo imprima, firmándolo con su firma manuscrita y/o estampando el sello
del Juzgado. Esta posibilidad se basa en el artículo 145 LEC, que establece que el
Secretario “dará fe, por si o mediante el registro correspondiente,
de cuyo funcionamiento será responsable, de la recepción de
escritos con los documentos y recibos que les acompañen”.
Finalmente, respecto a la tramitación electrónica del expediente, así como al
archivo del original electrónico, hay que recordar que el artículo 146.3 establece que
“los tribunales podrán emplear medios técnicos de documentación
y archivo de sus actuaciones y de los escritos y documentos que
recibieren, con las garantías a que se refiere el apartado 5 del
artículo 135 de esta Ley. También podrán emplear medios técnicos
de seguimiento del estado de los procesos y de estadística
relativa a éstos”.
6.2.2 Otros modos de aportación. Prueba pericial e intervención de
Notario
Cuando no es posible aportar el original en soporte electrónico, o cuando ello
presenta obstáculos difíciles de superar en la práctica actual, debemos acudir a la
opción prevista en el apartado segundo del artículo 268 LEC, relativa a la presentación
de copia simple del documento privado, que surtirá los efectos del original sólo en
caso de conformidad de la contraparte. En caso de disconformidad, se puede solicitar
la realización de otros tipos de prueba, como la pericial informática o el reconocimiento
judicial (aunque la viabilidad del reconocimiento es, en términos prácticos, más que
discutible), o cualquier otro medio de prueba que resulte útil y pertinente al efecto
(artículo 326.2 LEC).
La prueba pericial consistiría en el cotejo entre el documento electrónico
original y la copia aportada, esencialmente, aunque cabe pensar también en el análisis
por el perito del soporte electrónico original y la presentación de los resultados en su
informe.
Diferente es el caso de la presentación mediante copia autenticada por Notario,
posibilidad que, en relación con documentación electrónica, ha previsto el artículo
114.1 de la Ley 24/2001, de 27 de diciembre, de medidas fiscales, administrativas y
del orden social, que establece que “por el procedimiento que
reglamentariamente se disponga, cuando un notario sea requerido
para dejar constancia de cualquier hecho relacionado con un
archivo informático, no será necesaria la transcripción de su
contenido en el documento en soporte papel, bastando con que en
éste se indique el nombre del archivo y una función alfanumérica
que lo identifique de manera inequívoca, obtenida del mismo con
arreglo a las normas técnicas dictadas al efecto por el Ministro
de Justicia. El archivo informático así referenciado deberá
quedar almacenado en la forma prevista en el artículo 79 bis
dieciocho. Las copias que se expidan del documento confeccionado
podrán reproducir únicamente la parte escrita de la matriz,
adjuntando una copia en soporte informático adecuado del archivo
relacionado, amparada por la firma electrónica avanzada del
notario”.
El texto del artículo permite que el Notario pueda dejar constancia de hechos
relacionados con cualquier archivo informático; esto es, archivos de las partes o de
terceros que almacenan datos y documentos en soporte electrónico. Esta posibilidad
permite disponer de una copia autenticada referente al documento original en soporte
electrónico, solventando las dificultades anteriormente comentadas, por lo que hay que
valorar de forma muy positiva la introducción de este nuevo servicio, si bien es cierto
que habrá que esperar a que el Ministerio de Justicia dicte las correspondientes
normas técnicas relativas a las funciones identificativas del archivo informático.
El documento tendrá la consideración de documento privado, dado que el
procedimiento para los documentos públicos, archivados en protocolo notarial o en el
registro público correspondiente, es la aportación mediante la aportación de copia
auténtica o expedición de certificación.
Es muy interesante también la posibilidad, ciertamente abierta, de remitir copia
de este documento, junto a la copia en soporte informático adecuado del archivo
relacionado, a cualquier persona, y no únicamente al Juzgado. Dicho archivo deberá
estar protegido por la firma electrónica del Notario. Posteriormente analizamos, en el
capítulo séptimo de la segunda parte, el funcionamiento de la firma electrónica en este
mecanismo de seguridad jurídica.
6.3 Prueba del soporte electrónico y de su firma
electrónica
Superada la problemática de la aportación de copia original del soporte
electrónico al procedimiento, cabe preguntarse el valor probatorio de dicho soporte
electrónico, que será el mismo que se daría al documento privado correspondiente, así
como las reglas que se han previsto para la prueba de la firma electrónica.
Como hemos visto, de este modo se establece en el artículo 24.2 Ley 34/2002,
en los siguientes términos: “En todo caso, el soporte electrónico en que
conste un contrato celebrado por vía electrónica será admisible
en juicio como prueba documental”, mientras que el artículo 3.8 de la Ley
59/2003 determina que “el soporte en que se hallen los datos firmados
electrónicamente será admisible como prueba documental en
juicio”.
Los documentos privados hacen prueba plena en el proceso, siempre y cuando
su autenticidad no sea impugnada por la parte a la que perjudiquen (artículo 326.1
LEC), respecto “del hecho, acto o estado de cosas que documenten, de
la fecha en que se produce esa documentación y de la identidad
de los fedatarios y demás personas que, en su caso, intervengan
en ella” (artículo 319 LEC).
Sin embargo, de acuerdo con el artículo 326.2 LEC, “cuando se impugnare
la autenticidad de un documento privado, el que lo haya
presentado podrá pedir el cotejo pericial de letras o proponer
cualquier otro medio de prueba que resulte útil y pertinente al
efecto.
Si del cotejo o de otro medio de prueba se desprendiere la
autenticidad del documento, se procederá conforme a lo previsto
en el apartado tercero del artículo 320. Cuando no se pudiere
deducir su autenticidad o no se hubiere propuesto prueba alguna,
el tribunal lo valorará conforme a las reglas de la sana
crítica”.
Esto significa que en casos donde el contrato se encuentra en soporte
electrónico, pero no ha sido firmado electrónicamente o protegido de algún otro modo,
la parte a la que el documento va a perjudicar puede impugnar la autenticidad del
documento, al efecto de reducir su valor probatorio.
Siguiendo la LEC, existe la posibilidad entonces de proponer una prueba
alternativa, para el caso de impugnación, que entendemos deberá ser una prueba
pericial informática, el objeto de la cual sería el análisis forense de las medidas de
seguridad asociadas al documento.
La Ley 59/2003 ha añadido un nuevo apartado 3 al artículo 326 analizado, en el
que se establece que “cuando la parte a quien interese la eficacia de
un documento electrónico lo pida o se impugne su autenticidad,
se procederá conforme a lo establecido en el artículo 3 de la
Ley de Firma Electrónica”.
Si el documento se encuentra firmado electrónicamente, la complejidad de la
prueba dependerá del tipo de firma electrónica del documento, como determina la Ley
de firma electrónica en su artículo 3.8.
6.3.1 Prueba de la firma electrónica reconocida
Determina el artículo 3.8 de la Ley 59/2003 que “…Si se impugnare la
autenticidad de la firma electrónica reconocida, con la que se
hayan firmado los datos incorporados al documento electrónico,
se procederá a comprobar que por el prestador de servicios de
certificación, que expide los certificados electrónicos, se
cumplen todos los requisitos establecidos en la Ley en cuanto a
la garantía de los servicios que presta en la comprobación de la
eficacia de la firma electrónica, y en especial, las
obligaciones de garantizar la confidencialidad del proceso así
como
la
autenticidad,
conservación
e
integridad
de
la
información generada y la identidad de los firmantes”.
Plantea este apartado múltiples problemas de aplicación en la práctica, además
de un desconocimiento del medio de prueba a emplear.
En primer lugar, la norma se centra en establecer las comprobaciones a
efectuar en caso de que alguien impugne la autenticidad de una firma electrónica
reconocida, que no en los demás casos, en que, como veremos, se remite al caso
general del apartado 326.2 LEC.
Centrándonos en la prueba de la firma electrónica reconocida, se establece la
necesidad de comprobar que el prestador de servicios de certificación cumple los
requisitos de la Ley en cuanto a la garantía de los servicios que presta en la
comprobación de la eficacia de la firma electrónica.
Resulta sumamente criticable lo que dispone la Ley 59/2003 en este punto,
dado que la función de un prestador de servicios de certificación no es en absoluto
garantizar la eficacia de la firma electrónica – por cierto que dicha obligación o
requisito no se establece en ningún artículo de la Ley – sino en suministrar todos o
algunos de los elementos necesarios para que se puedan producir firmas electrónicas.
Para empezar, el prestador no se encuentra obligado 17 a generar los datos de
creación de firma y, por tanto, no puede responsabilizarse de que la firma electrónica
sea avanzada, dado que ello es una consecuencia directa de la calidad criptográfica
del par de claves. Sólo debe asegurarse el prestador de que el firmante dispone de la
clave privada correspondiente a la clave pública que será objeto de la certificación, y
tampoco de esta obligación se deriva necesariamente la responsabilidad del prestador
por la calidad de las claves, dado que el firmante será quien elija el algoritmo
criptográfico y, lo más importante, quien aporte los medios para la generación del par
de claves, que es el puntal en esta materia.
Para continuar, tampoco se obliga al prestador a suministrar el dispositivo
seguro de creación de firma, motivo por el que no será necesariamente responsable
del hecho de que el mismo sea seguro.
Este texto, que se incorporó en forma de enmienda en el Senado, se encuentra
descoordinado completamente con el resto de la Ley 59/2003. Resulta necesario
interpretar la expresión “servicios que presta en la comprobación de la
eficacia de la firma electrónica” como sinónimo de los servicios de
certificación que prestan, pero sin que ello sea suficiente para realmente garantizar la
eficacia de la firma electrónica.
Además de lo anterior, habrá de comprobarse el cumplimiento de “las
obligaciones de garantizar la confidencialidad del proceso así
como
la
autenticidad,
conservación
e
integridad
de
la
información generada y la identidad de los firmantes”.
Sin que se planteen dudas acerca de la necesidad de garantizar la
confidencialidad del proceso, debemos preguntarnos a qué se refiere la garantía de
autenticidad, conservación e integridad de la información generada. Es de suponer
que no se refiera a la información firmada por los usuarios finales, sino a la
información generada por el prestador de servicios de certificación que, como no
puede ser de otra forma, son los certificados digitales. De no ser así, resultaría que
sería necesario que el prestador de servicios de certificación dispusiese de copia de
todos los documentos electrónicos firmados por los usuarios, lo que no es obligación
ni de los prestadores ni de los usuarios.
Pues bien, si nadie está obligado a almacenar los documentos firmados, ¿qué
sentido tendría determinar que el prestador aportase esta prueba? Por otra parte, si se
trata de la garantía de autenticidad, conservación e integridad de los certificados, ¿no
entra esta obligación de garantía – especialmente importante – en la general referida a
los certificados?
Otro tanto sucede con la referencia que se realiza a “la identidad de los
firmantes”, que de nuevo hay que reconducir a la información certificada. De hecho,
no es posible realmente que el prestador garantice la identidad de los firmantes, dado
que éstos no generan las firmas en presencia del prestador – como si de un fedatario
17
Como determina el artículo 12.d) de la Ley, resulta optativo para el prestador ofrecer
este servicio.
público se tratase – por lo que sólo se puede garantizar que el firmante es el suscriptor
del certificado, correctamente identificado en el certificado, y que no ha dejado sus
datos y dispositivo de creación de firma a un tercero, junto con la clave que permite
activar la generación de la firma.
Tampoco en la Ley 59/2003 se ha planteado en absoluto este hecho como un
problema, creándose la presunción legal de que, cuando se emplea firma reconocida,
realmente firma el suscriptor, que puede proteger fiablemente sus datos de creación
de firma contra el uso no autorizado.
Para finalizar, tras todo lo visto, cabe preguntarse cómo se prueban estos
extremos, y en este punto guarda la Ley 59/2003 un absoluto silencio, por lo que
deberíamos acudir a la solución de la prueba pericial informática, que podrá ser
complementada en gran medida por la presentación, por el prestador de servicios de
certificación, de los certificados de calidad previstos en los artículos 26 a 28 de la Ley.
El texto hubiese podido, por lo tanto, recibir un tratamiento más sencillo y claro,
refiriéndose al cumplimiento de los requisitos legales por los prestadores, sin más
referencia, pero también por los usuarios y, en especial, por el firmante.
6.3.2 Prueba de las restantes firmas electrónicas
Las restantes firmas electrónicas reciben un tratamiento aparentemente
diferente, que acaba en el mismo medio de prueba, que, como veremos, es la pericial
informática.
En efecto, se establece en el artículo 3.8 in fine de la Ley 59/2003 que “si se
impugna la autenticidad de la firma electrónica avanzada, con la
que se hayan firmado los datos incorporados al documento
electrónico, se estará a lo establecido en el apartado 2 del
artículo 326 de la Ley de Enjuiciamiento Civil”, no estableciéndose
ninguna regla para el caso de impugnación de la firma electrónica ordinaria.
Como hemos visto anteriormente, el apartado 2 del artículo 326 LEC permite
“proponer cualquier otro medio de prueba que resulte útil y
pertinente al efecto” para demostrar la autenticidad del documento privado,
siendo la prueba pericial informática dicha prueba útil y pertinente.
De este modo, por dos caminos aparentemente diferentes llegamos al mismo
resultado, la pericial informática, y con un contenido muy parecido, si no idéntico,
debido a que, diga lo que diga la dicción del artículo 3.8 para cada caso, lo cierto es
que la prueba técnica va a tener el mismo contenido: cumplimiento por el prestador o
por el cliente de los requisitos que para cada tipo de firma se exigen en la Ley
59/2003.
El único resultado diferencial que va a ofrecer la prueba es determinar si la
firma que se alega como reconocida realmente lo es, lo que refuerza la tesis de que se
necesita una prueba prácticamente idéntica en ambos casos, pero con un grado de
requisitos a cumplir diferente.
Y lo mismo sucede con la firma electrónica ordinaria. No puede entenderse que
el olvido del legislador conlleve que no hay prueba a realizar en caso de impugnación
de una firma electrónica ordinaria, que por cierto es la que más impugnaciones
potenciales puede tener, dado que es la menos fiable.
También en este caso, cuando la firma electrónica ordinaria se incorpore a
documento privado vamos a acudir al artículo 326.2 LEC y a la pericial informática.
6.4 Otros aspectos derivados de la prueba
Finalmente, cabe recordar la previsión que contiene el artículo 326.2 LEC, que
determina que en caso de que la prueba demuestre la autenticidad del documento
electrónico, bien mediante cotejo o mediante la ejecución de otro medio de prueba – y,
en concreto, de la pericial informática – se aplicará lo establecido en el apartado 3 del
artículo 320 LEC, que determina que “cuando de un cotejo o comprobación
resulte la autenticidad o exactitud de la copia o testimonio
impugnados, las costas, gastos y derechos que origine el cotejo
o comprobación serán exclusivamente de cargo de quien hubiese
formulado la impugnación. Si, a juicio del tribunal, la
impugnación hubiese sido temeraria, podrá imponerle, además, una
multa de 20.000 a 100.000 pesetas”.
De este modo, podemos determinar que el coste del perito será asumido por la
parte que impugne la autenticidad del documento, y que además dicha parte puede
ser sancionada por temeridad, lo que, sin duda, disuadirá la impugnación en muchos
casos.
La duda que cabe plantearse en este caso es si esta regla se aplicará
únicamente a la pericial informática de la firma electrónica avanzada – como parece –
o si se deberá aplicar también a la pericial informática de la firma electrónica
reconocida – para cuyo caso no se ha previsto, puesto que se procede conforme al
artículo 3.8 ab initio, y no conforme al apartado 2 del artículo 326 LEC.
Si se admitiera esta interpretación, podría darse el caso de que el coste de la
prueba de la firma electrónica reconocida debiera soportarlo la parte que no realizó la
impugnación, a diferencia de la prueba de la firma electrónica meramente avanzada, lo
que supondría un tratamiento claramente discriminatorio y desfavorable a la firma
electrónica reconocida.
7. Conclusión
Como indica el enunciado de este artículo, hemos realizado un comentario
crítico de la Ley 59/2003, refiriéndonos a aquellos aspectos que, a nuestro entender,
podrían haber sido objeto de una mejor regulación. Ello no obstante, no se puede
desconocer que la Ley 59/2003 definitivamente aprobada contiene otros aspectos que,
globalmente considerados, suponen una mejora respecto a la regulación a la que
sustituye, la cual en sus tres años no ha servido para fomentar de una manera efectiva
la utilización de la firma electrónica.
También es cierto que la Ley 59/2003 realiza una clara apuesta por la firma
electrónica reconocida (pese a la contradicción de no imponer su obligatoria
aceptación), si bien deja sin regular otros tipos de firma lo que supone, quizás sin que
sea ésta la voluntad del legislador, que otros tipos de firma electrónica puedan resultar
favorecidos. Esto, unido a la futura aparición del DNI electrónico y al modelo de
negocio de la FNMT, y el régimen que prevé la Ley 59/2003, no puede sino plantear
ciertas dudas respecto a la situación que deberán afrontar otros prestadores de
servicios de certificación, públicos y privados.
Por otro lado, otras carencias de la Ley 59/2003, como la falta de adecuación
de ésta a la realidad en que se ha de aplicar, caso de la firma de persona jurídica o los
roles que existen en el proceso de generación de una firma, no suponen otro problema
sino el hecho de que la Ley 59/2003 haya sido una ocasión perdida para regularlos
pero, evidentemente, será la práctica de la vida real la que se impondrá, pues la
interpretación de la norma se ha de adaptar a la realidad social, y no ésta la que se ha
de interpretar literalmente conforme a los postulados de la norma, atendiendo en todo
caso a la finalidad a la que ha de atender esta regulación, que es el fomento de la
utilización de la firma electrónica en un marco de seguridad jurídica y confianza de los
que la emplean.
Descargar