UNIVERSIDAD CENTROAMERICANA FACULTAD DE CIENCIAS JURIDICAS MONOGRAFÍA PARA OPTAR AL TITULO DE LICENCIADO EN DERECHO “REGIMEN JURIDICO DE LA FIRMA DIGITAL EN LA CONTRATACIÓN INFORMATICA” Autor: RAFAEL ANTONIO HERNANDEZ GARCIA Tutor: Dr. FRANCISCO SOMARRIBA Managua, veintisiete de mayo del dos mil tres. DEDICATORIA A Dios, y A mi madre, Martha Lorena por su amor, esmero y sacrificio. AGRADECIMIENTOS A mi padre celestial, por darme la oportunidad de culminar mis estudios, A mi madre, por su apoyo incondicional,A América Blandón, Al Dr. Manuel Aráuz, por su apoyo en la realización de este estudio y A mi Tutor, Dr. Francisco Somarriba. A todas aquellas personas que de alguna manera contribuyeran en la realización de este estudio. INDICE Introducción Antecedentes Justificación Objetivos Capítulo I. Contratos Informáticos 1.- Introducción 2.- Conceptos de Contratos Informáticos 3.- Breve Reseña Histórica 4.- Naturaleza 5.- Elementos 6.- Características 7.- Fases de la Contratación 8.- Cumplimiento del Contrato 9.- Interpretación de los Contratos Informáticos 10.- Tipos de Contratos Capítulo II. Firma Digital en la Doctrina 1.- Introducción 2.- Firma Electrónica y Firma Digital 3.- Recopilación de Antecedentes sobre la Firma Digital 4.- Concepto y Características de la Firma Digital 5.- Firma Manuscrita y Firma Digital 6.- Modalidades de Firma Digital 7.- Firma Digital basada en un Certificado Reconocido 8.- Observaciones en torno al uso de la Firma Digital 9.- Certificados y Autoridades de Certificación 10.- Eficacia Probatoria Capítulo III. Régimen jurídico de la Firma Digital en el Derecho Comparado 1.- Introducción 2.- Mecanismo de la Firma Digital 3.- Ley del Estado de Utah sobre Firma Digital 4.- Proyecto de Ley de Costa Rica sobre Firma Digital y Certificados Digitales 5.- Proyecto de Ley para la Promoción del Comercio Electrónico y Protección de la Firma Digital de Guatemala 6.- Análisis comparativo Capítulo IV. Ley Modelo de la CNUDMI para las Firmas Electrónicas 1.- Introducción 2.- Finalidad de la Ley Modelo 3.- Antecedentes de la Ley Modelo 4.- La Ley Modelo como Instrumento de Armonización de leyes 5.- Características de la Ley Modelo 6.- Observaciones en torno a la Firma Digital Conclusiones Recomendaciones Bibliografía Anexos INTRODUCCION En la actualidad, la evolución de la informática, entendida como la ciencia del tratamiento automático de la información, y su utilización popular en los últimos años, son algunos fenómenos que más han influido en nuestra sociedad. Esto se evidencia en las llamadas nuevas tecnologías de la información que de forma progresiva van introduciéndose en nuestro tejido social y modificando en gran manera nuestro comportamiento y forma de vivir; de forma tal, que el Derecho como regulador de la conducta social del individuo no puede estar ajeno a esta realidad. De aquí se desprende que cuanto mayor es el avance tecnológico que vamos alcanzando, mayor es la ineficacia o insuficiencia de nuestra normativa jurídica para solventar los problemas sociales que van apareciendo. Por tanto, es conveniente que el Derecho informático, como parte del Derecho (como ciencia) que aborda todos los problemas jurídicos que se suscitan como consecuencia de la Informática, se estudie con la independencia y profundidad que exigen las actuales circunstancias. Cabe señalar que el Derecho Informático se manifiesta esencialmente en el comercio electrónico, que es el pilar fundamental de nuestra nueva economía, a través de un sin número de transacciones que se celebran día a día on line. No obstante, este uso masivo de la Internet trae consigo gran incertidumbre para todos los usuarios, esencialmente para aquellos que comercializan a través de la misma. Los riesgos que se corren son muchos, peores aún las consecuencias para las empresas, o los países que todavía no tienen incorporado en su legislación interna una normativa que regule este tipo de transacción. En Nicaragua, así como en esos países que han descuidado la regulación de estas transacciones, urge de una normativa adecuada en lo que a comercio electrónico se refiere, y más aún en cuanto a firma digital, ya que es ésta la que da mayor seguridad a las partes en una transacción electrónica. Esto evitaría cualquier situación desagradable (delitos informáticos) y por ende, perjuicios económicos a nuestras empresas. En el primer capítulo de este trabajo monográfico se estudian los contratos informáticos de una manera general; es decir, precisión terminológica, conceptualización, características, naturaleza, clasificación, y a lo que contratos informáticos se refiere. Asimismo, se incluyen aspectos doctrinales a fin de comprender y profundizar en el tema estudiado. En el segundo capítulo se aborda lo relacionado a la firma digital de una manera más profunda, al contrario del capítulo anterior; y esto se debe a que este tema es el objeto - estudio de este trabajo. Se habla primeramente de sus conceptos, características, naturaleza, modalidades, eficacia probatoria, así como de los certificados y de las autoridades de certificación, que juegan un papel importante en la seguridad y eficacia de la firma digital. También se abordan algunos conceptos y problemas doctrinales referidos a este tema, con el objeto de lograr un mejor análisis del mismo. En el tercer capítulo se realiza un estudio comparativo de las diferentes normas reguladoras de la firma digital en el Derecho comparado, en las que se estudia la ley del Estado de Utah, el proyecto de ley de Costa Rica y el proyecto de ley de Guatemala, a fin de determinar las semejanzas y divergencias que puedan tener entre sí. Finalmente, en un cuarto capítulo, se analiza la Ley Modelo de la CNUDMI sobre firmas electrónicas y su incorporación al Derecho interno de los países, a fin de conocer la normativa general dada por la Comisión de la Naciones Unidas en materia de firma digital, conocer su naturaleza y alcances jurídicos, de forma que podamos incorporarla a nuestro Derecho interno. ANTECEDENTES El concepto histórico de firma, y a la vez el más amplio y genérico, ha sido hecho con la intención de expresar el consentimiento y la manifestación de voluntad plasmado en un documento. Ahora bien, desde el punto de vista del Derecho, se le ha otorgado valor jurídico a las distintas representaciones de esa autenticación o confirmación de la identidad de la persona de acuerdo con las sociedades y con los diversos momentos históricos.1 La firma es la forma habitual con que una persona escribe su nombre y apellido, a fin de asumir las responsabilidades inherentes al documento que suscribe, en donde el carácter de habitual es esencial para considerar un rasgo como la firma de una persona.2 Una firma digital no es nada diferente a lo mencionado, sin embargo la diferencia radica en que se aparta un poco más de sus representaciones habituales, ya que es el resultado de un proceso matemático realizado con un soporte tecnológico específico. Este tipo de representación de firma surge por una inminente necesidad de otorgarles seguridad a todas aquellas personas que realizan transacciones comerciales on line. La firma digital desde su creación, ha tenido una serie de cambios en cuanto a su forma de encriptación y sus claves, sin embargo, esto constituye un medio idóneo para asegurar las transacciones a través de Internet. 1 2 Sarra Andrea, Viviana. Comercio Electrónico y Derecho. Primera edición, Madrid, 2000. Pág. 69 http://www.legalia.es JUSTIFICACIÓN La contratación de bienes y servicios a través de las redes informáticas y telemáticas ofrece nuevas fuentes de negocio para las empresas y pone a disposición de los consumidores toda una amplia gama de productos y servicios. Nicaragua, siendo parte de esta integración comercial internacional, no cuenta con los mecanismos jurídicos necesarios que le permitan realizar sus transacciones comerciales con seguridad y eficacia, de forma tal que se ve desactualizada en este ámbito por la carencia de estudios e investigaciones necesarias para el desarrollo y el provecho de tan importante ciencia: el Derecho Informático. Con la elaboración de este trabajo monográfico se pretende dar a conocer otra rama del Derecho, no menos importante que las ya conocidas, a fin de que el estudiante y el profesional del Derecho incursionen en otras ramas de las cuales en nuestro país ni se conocen. Se pretende despertar un interés investigativo de la ciencia del Derecho, que no se limite a estudios convencionales, de forma que podamos contar en nuestro país con una diversidad de estudios escritos por especialistas nicaragüenses. Otra motivación de este pequeño estudio es incentivar a las facultades de Derecho, así como a las facultades de administración de empresas y demás facultades relacionadas al Derecho informático, a incorporar en su pénsum académico dicha materia, a fin de que el estudiante se mantenga actualizado en las nuevas formas del Derecho y el comercio. OBJETIVOS General: Realizar un estudio de las disposiciones legales que rigen el uso de la Firma Digital, para determinar si ésta brinda certeza y seguridad jurídica en la Contratación Informática. Específicos: Conocer los aspectos esenciales de los Contratos Informáticos y la Firma Digital en la Doctrina. Analizar el Régimen Jurídico de la Firma Digital en el Derecho Comparado, para determinar sus fortalezas y debilidades. Exponer los principales postulados de la Ley Modelo de la CNUDMI para las Firmas Electrónicas, y señalar los aspectos más importantes que permitan su incorporación al Derecho interno. CAPITULO I. CONTRATOS INFORMÁTICOS 1.- Introducción La contratación informática de productos y servicios a través de dos o más ordenadores conectados a través de una línea de comunicación dentro del entorno de red abierta (Internet), constituye un fenómeno en plena expansión, con cuotas de crecimiento extraordinarias en número de conexiones, de clientes y de operaciones, y que es determinado por los avances tecnológicos. Es notable como ciertos contratos han caído en desuso en la actualidad, debido a los avances técnicos que favorecen, aceleran y en ocasiones, complican la realidad jurídica del hombre, y más concretamente sus relaciones contractuales. La finalidad de este capítulo es el estudio de la contratación informática, con énfasis en la incidencia que los avances técnicos tienen en el comercio. Así, además del pago, facilitado en la actualidad por instrumentos como las tarjetas de crédito y de débito, se ve cómo la utilización de ciertos medios electrónicos tiene una incidencia real y directa sobre la contratación y sus consecuencias. De esta forma, la telemática como ciencia de las comunicaciones y la informática, ha minimizado la importancia de la distancia física en la contratación entre personas, sin olvidarse del valor jurídico que como resultado de las transacciones efectuadas puedan tener los documentos electrónicos. 2.- Concepto de Contratos Informáticos Precisión terminológica Antes de conceptuar los contratos informáticos propiamente dichos, es indispensable conocer los términos que conlleva la frase “contratos informáticos”. 2.1 Contratos en general Para algunos juristas como Marcel Planiol y Georges Ripert3, el contrato se define como: “… una especie particular de convención, cuyo carácter propio consiste en ser productor de obligaciones.” El diccionario jurídico Espasa4 dice que el contrato es un “negocio jurídico por el que una o más partes crean, modifican o extinguen una relación jurídica patrimonial.” En nuestra legislación el contrato “es un acuerdo de dos o más personas para constituir, regular o aclarar un vínculo jurídico.”5 2.2 Informática Según el jurista Bendaña Guerrero, el vocablo informática se deriva de la combinación de las palabras information y automatique (información y 3 Derecho Civil. Volumen VIII, primera edición. Oxford University. México, 1999. Pág. 115 Diccionario Jurídico ESPASA. Editorial Espasa Calpe. España, 1999. Pág. 239 5 Código Civil de la República de Nicaragua. Arto. 2435. Nica-ediciones, septiembre 1999. Pág.125 4 automática) y se encarga del proceso y almacenamiento de la información mediante soportes automatizados.6 Por otro lado, entendemos la informática como: “la ciencia que estudia el tratamiento automático y racional de la información.”7 2.3 Contratos Informáticos Según el profesor Julio Téllez Valdés8, por contrato informático se entiende “todo acuerdo de partes en virtud del cual se crean, conservan, modifican, o extinguen obligaciones relativas a los sistemas, subsistemas o elementos destinados al tratamiento sistematizado de la información.” Barriuso Ruiz9 explica que los contratos informáticos pueden referirse a la formación de contratos a través de bienes informáticos, es decir las transacciones que se realizan en el mercado informático de adquisición de valores o en la transferencia electrónica de fondos para pagos de obligaciones (compraventa, arrendamiento, etc.). Los contratos informáticos, son aquellos cuyas prestaciones, o al menos una de ellas son de naturaleza informática; es decir que su objeto lo constituye un producto o servicio informático.10 6 Bendaña Guerrero, Guy. Estudio de los Contratos. Editorial U.A.M., primera edición. Nicaragua, 2001 Pág. 606 7 Manual de Introducción a la Informática. Universidad Centroamericana. Pág. 1 8 Téllez Valdés, Julio. Contratos Informáticos. Universidad Nacional Autónoma de México. Instituto de Investigaciones Científicas, México, 1998, Pág. 17 9 Barriuso Ruiz, Carlos. La Contratación Electrónica, Editorial Dyckinson, Madrid, 1998. Pág. 90 10 Davara Rodríguez, Miguel. Derecho Informático, Editorial Aranzadi, Pamplona, 1997. Pág. 191 Alejandro Ribas11 define estos contratos como aquellos que, con independencia de cual sea su objeto, que puede también ser la informática, se realizan a través o con ayuda de medios electrónicos que no tienen por qué ser siempre ordenadores.12 El profesor Davara Rodríguez13 los define como “aquellos cuyo objeto sea un bien o un servicio informático- o ambos- o que una de las prestaciones de las partes tenga por objeto ese bien o servicio informático”. La mayoría de los estudiosos de esta materia se han inclinado a tomar la postura del profesor Davara Rodríguez, la cual en la actualidad es la más aceptada. Así, se entenderá por contratación informática aquella cuyo objeto sea un bien, servicio informático, o ambos, o que una de las prestaciones de las partes tenga únicamente por objeto ese bien o servicio informático. 3.- Breve Reseña Histórica Las primeras formas contractuales relativas a la informática surgen en la década de los cincuenta. Pero es en las dos décadas siguientes en que la difusión de productos informáticos para fines comerciales, estratégicos y científicos cobra auge. En este momento histórico surgen dos instituciones 11 Ribas, Alejandro. Informática y Responsabilidad Civil. Ed. Aranzadi, No. 12, 1994. Pág. 4 http://www.delitosinformaticos.com/ecommerce/contratos.shtml 13 http://www.onnet.es 12 esenciales: por el lado de los proveedores, la empresa IBM14 y, por el lado de los usuarios, la General Service Administration. En un principio la IBM ofrecía sus productos bajo la figura del arrendamiento, pero consecuente de la política antimonopolista del gobierno norteamericano, en 1956 se ve obligada a ofrecer también sus equipos en venta. Sin embargo, la situación práctica del usuario seguía siendo de franca dependencia respecto del proveedor, de tal forma que era difícil que el cliente descontento pudiese acudir a otro proveedor. Estas ofertas de equipos iban acompañadas de atractivas prestaciones para los usuarios, consistentes en garantías y facilidades a costo razonable. Una década más tarde, la propia empresa decide facturar separadamente los distintos bienes y servicios que con anterioridad ofrecía como objeto de un único contrato15. Por tanto, se diversifican las prestaciones, surgen nuevas formas contractuales, se especializan y multiplican los proveedores; es decir, se reestructura el mercado y la contratación informática. Por parte de los usuarios, la General Service Administration del gobierno de los Estados Unidos fue el mayor adquirente en el sector público. Esta oficina se encargaba de la informatización de las distintas entidades gubernamentales, de tal forma que era ella quien elaboraba de forma estandarizada los contratos para su posterior sometimiento a los proveedores.16 14 International Business Corporation, IBM, fabricante estadounidense de ordenadores o computadoras, con sede en Armonk, Nueva York. Gómez Perals, Miguel. La Cesión de uso de los Programas de Ordenador. Editorial Colex, España. 1999. Pág. 59 15 A partir de 1965 se produce un fenómeno de unbundling. Gómez Perals, Miguel, obra ya citada. 16 La elaboración estandarizada de los contratos consistía en formularios- tipo prácticamente impuestos por la administración norteamericana, de difícil o imposible discusión puntual por los proveedores. Gómez Perals, Miguel, obra ya citada. Hoy en día el panorama de la contratación se ha invertido en cuanto a la situación de desequilibrio de las partes, por lo menos en lo que se refiere al ámbito privado, en donde son los proveedores los que detentan la posición prevalente en la relación negocial. 4.- Naturaleza Para hablar sobre la existencia o no de los contratos informáticos como una categoría autónoma, se deben apreciar dos situaciones. Primeramente, si las especialidades que el objeto informático contiene justifican sólo matizaciones en los contratos típicos o son de tal grado que merecen regulación propia, tratándose entonces de contratos atípicos informáticos. Esta situación refiere a la necesidad de los contratos informáticos de acoplarse a los tipos legales ya existentes, o bien, acudir al concepto más genérico de atipicidad. Los contratos atípicos surgen como respuestas a las cambiantes necesidades económicas que evolucionan con mayor rapidez que nuestras leyes, y así, lógicamente, habrán de regirse por los acuerdos de las partes, por las normas dispositivas de figuras afines, por las reglas generales de la contratación, por la costumbre y por los principios generales del Derecho. Y en una segunda situación, habrá que determinar si dichas especialidades son suficientes o no para constituir una rama con autonomía científica suficiente, un Derecho de la contratación informática, que fomente la atomización o especialización del Derecho Civil. De forma tal que es la calificación del carácter civil, mercantil o administrativo de los llamados contratos informáticos, la que determinará el régimen aplicable y la jurisdicción competente para resolver los litigios que de ellos susciten. Miguel Gómez17 expresa que aquí no se puede sentar más que criterios básicos y remitirse a la legislación, jurisprudencia y doctrina de cada sector del ordenamiento jurídico. Para Carrascosa López18, en la contratación informática la forma normal de presentarse un contrato es la mixta, es decir “aquellos en que las partes dan vida a un contrato no regulado especialmente en la ley, como figura autónoma, pero lo hacen combinando obligaciones y elementos tomados de distintos contratos típicos.” Realmente se trata de una materia en la que predominan los llamados contratos de “atipicidad típica”19, o en palabras de Roselló20 “atipicidad estandarizada”, que goza así de una tipicidad social individualizada por los usos negociales, doctrina, y en cierto modo, jurisprudencia. El mayor o menor grado de atipicidad de los contratos informáticos no puede nunca llevar a una configuración abusiva del contrato, ya que provocaría la nulidad de determinadas cláusulas, o incluso de la totalidad del contrato. Esto se fundamenta en el principio base en la contratación informática que es la autonomía de la voluntad, y será sobre esta base, sobre la que los contratantes comiencen y determinen el perfil de sus negocios. 17 Gómez Perals, Miguel. Obra ya citada, pág. 22 Albaladejo, Manuel. Derecho Civil II. Editorial Bosh, Barcelona. Pág. 156 19 Es decir aquellos contratos atípicos que con la frecuencia del uso y la costumbre en el ámbito que se desarrollan, se vuelven típicos de facto. 18 Lo realmente fundamental es conseguir que el enfoque jurídico y el tratamiento negocial sean acorde con las necesidades de los contratantes y las características del producto informático. 5.- Elementos Los elementos de la contratación informática (y de todo contrato) se encuentran contenidos en los contratos civiles; estos son: causa, objeto y consentimiento.21 La causa señala el motivo, tanto abstracto y genérico como concreto y específico de la voluntad contractual, la cual se perfecciona en la fase precontractual. Las partes, antes de manifestar su consentimiento, han de tener muy clara la finalidad que se va a obtener con ese pacto y la que ellos individualmente persiguen. Por lo que se refiere al segundo elemento, el objeto, es precisamente la peculiaridad del objeto (la prestación que recae sobre bienes y servicios informáticos) lo que va a calificar la propia naturaleza contractual. Sin embargo en la negociación informática, la determinación del objeto puede alcanzar dificultades mayores que en la contratación ordinaria. La multiplicidad y diversidad de las prestaciones objeto del contrato llegan a calificar los propios pactos contractuales como negocios de suma complejidad, cuya dificultad se verá agravada por los distintos tipos de derechos y obligaciones. 20 Roselló, C. Contratación Informática. Editorial Alpa, Giuffré, Milán, 1984. Pág. 58 Respecto al consentimiento, como último elemento del contrato, una vez determinado por las partes el objeto cierto del contrato, tendrán que alcanzar la coordinación de sus voluntades. De esta forma, y partiendo de posiciones contrapuestas, llegará un momento en que tanto la oferta como la aceptación coincidan puntualmente, momento éste en que se entenderá perfeccionado el contrato. De manera general, las partes involucradas en un contrato informático son: el proveedor o el suministrador, que será el encargado de realizar la prestación que sobre los bienes y servicios informáticos se esté pactando; y la persona natural o jurídica, llamado usuario, que reciba la antedicha prestación. La manera más habitual de perfeccionarse un contrato es por escrito. Y si esta afirmación se puede hacer en cualquier tipo de contratación, con mayor fuerza debe hacerse en la contratación informática, por razones de la complicación técnica, diversidad de conocimientos y rápida evolución de la materia, que hace que nada se pueda dejar al azar. La falsedad en la negociación, mala fe u ocultación de ciertas características por parte del demandante u oferente, provocan la inexistencia o nulidad del contrato, por la aparición de vicios en el consentimiento o la ausencia total de éste último. En este acuerdo, por tanto, debe primar la libertad y la autonomía de la voluntad de los contratantes. 21 Carrascosa López. La Contratación Informática en el Nuevo Horizonte Contractual. Editorial Comares. Tercera edición. España. Pág. 84 6.- Características En las características de los contratos informáticos concurren elementos subjetivos y objetivos que distinguen a estos tipos de contratos22: a) Los usuarios son dos empresarios que intercambian mensajes electrónicos portadores de cualquiera de las declaraciones de voluntad que se producen en la conclusión y ejecución de un contrato. b) Los empresarios usuarios emplean a un intermediario llamado Centro de Compensación o intermediario electrónico para gestionar el tráfico informático y ofrecer otros servicios (servicios de notaría electrónica, almacenamiento temporal de los mensajes para cubrir riesgos de error o pérdida de los mismos, mantenimiento de buzones electrónicos, etc.). c) Un hardware a disposición de cada usuario, consistente en un ordenador y una conexión a la red. d) Un software o aplicación informática que adapte los datos de los empresarios para ser emitidos o recibidos vía electrónica. e) Una red de transmisión, sea red telefónica o red específica para datos. f) Unos acuerdos de intercambio convenidos entre las partes donde se establecen las reglas jurídicas y técnicas que regulan la comunicación entre las partes. Los acuerdos de intercambio pueden ser bilaterales o plurilaterales (entre un grupo de empresarios). La participación del intermediario electrónico puede regularse en el acuerdo de intercambio o en un contrato independiente. Son particularidades de estos tipos de contratos la ausencia de papel y firma manuscrita, la simplificación y normalización de los mensajes portadores de las declaraciones contractuales, el riesgo tecnológico y la indeterminación del lugar y tiempo en que los mensajes se emiten y reciben. 7.- Fases de la Contratación Una vez que las partes deciden contratar por medios informáticos, éstas deberán dar inicio a diversas fases, a fin de materializar el contrato informático al que finalmente deseen llegar. Estas fases son23: la fase precontractual; la fase de formación del contrato y la fase contractual. 7.1 Fase Pre-Contractual En esta fase se sitúan los llamados contratos preliminares, los cuales constituyen una técnica negociadora de determinación de contenido tanto en la demanda como en la oferta precontractual24. En este período contractual, el proveedor deberá estudiar las necesidades contractuales que el usuario ha puesto de manifiesto. El proveedor tiene la obligación de asesorar al usuario, pero es conveniente que éste a su vez se asesore por técnicos ajenos a su proveedor. 22 23 Davara Rodríguez, Miguel Ángel. Obra ya citada, pág. 35 Carrascosa López, V. Obra ya citada, pág. 39 Esta fase precontractual adquiere una importante significación en estos contratos, debido a que en ocasiones el llamado usuario se presenta a la misma sin tener clara sus verdaderas necesidades y sin poder determinar de forma clara y precisa qué soluciones pretende para esas necesidades. 7.2 Formación del Contrato Una vez finalizada la fase precontractual, las partes convienen y redactan el contrato25. Es importante que en esta fase de la contratación se determine de forma clara y precisa qué se va a ser, dónde se va a ser, cuándo se va a ser, cómo se va a ser y quién lo va a ser. Como se dijo anteriormente, nunca se debe dejar al arbitrio de uno de los contratantes la realización del acuerdo contractual, de forma tal que en la redacción del contrato quede perfectamente detallada la forma de actuar de cada una de las partes, fijando a su vez las consecuencias de un incorrecto proceder. No obstante, y dadas las particulares características de la informática, no siempre se puede asegurar un determinado resultado. 7.3 Fase Contractual Esta fase inicia con la manifestación recíproca de las condiciones de oferta y demanda, y la consiguiente exteriorización del consentimiento. Esto significa 24 25 Gómez Perals, Miguel. Obra ya citada, pág. 28 Gómez Perals, Miguel. Obra ya citada, pág. 3 que el consentimiento se manifiesta por el concurso de la oferta y la demanda sobre el objeto y la causa que ha de constituir el contrato.26 En esta fase de la contratación existe un mecanismo adecuado respecto del consentimiento del adquirente, el cual es el llamado test de aceptación, que consiste en el conjunto de pruebas a las que el usuario somete el bien adquirido para comprobar su adecuado funcionamiento tras la instalación y puesta en marcha por el proveedor. Este test debe practicarse en presencia de ambas partes (aquí inicia el período de prueba). En el supuesto de inconformidad se deberá proceder a las oportunas devoluciones y recambios. Cabe señalar que en la práctica este mecanismo se usa sólo si las partes lo estipulan en la formación del contrato (fase segunda), debido a que se utiliza la figura de la garantía.27 En la contratación informática son importantes determinados aspectos presentes en la negociación común u ordinaria, los cuales son: para el proveedor, el plazo, lugar y condiciones para la entrega del material adquirido, la explicación e instrucción de su funcionamiento, y el período de prueba y comprobación de compatibilidad. En relación al usuario, es importante la fecha y lugar de aceptación (condicional y definitiva) y circunstancias relativas al pago, y en su caso, períodos y formas de pago. 26 Gómez Perals, Miguel. Obra ya citada, pág. 35 La garantía es un derecho que tiene el usuario y funciona como tal al momento de adquirir el bien objeto del contrato. Esta garantía puede consistir en la devolución, cambio o restitución del bien adquirido, o la rescisión del contrato, según lo pactado. El proveedor debe procurar al usuario la posesión útil del bien. Por lo que responde de los defectos ocultos que hagan impropia la cosa para el servicio destinado, o que disminuyan considerablemente su utilidad. 27 El uso de “la firma digital”28 en estos contratos es imprescindible, ya que en el comercio electrónico los contratos en papel son sustituidos por el documento electrónico, y la firma manuscrita por la firma digital. De modo que una vez aclarados todos los puntos las partes suscriben el contrato utilizando la firma digital como un mecanismo que otorga certeza y validez a lo pactado y de esta forma manifiestan el consentimiento del contenido del contrato. Miguel Ángel Davara Rodríguez manifiesta que la firma digital, en su equiparación con una firma manuscrita, es el elemento que relaciona a las partes con el contenido del contrato y tiene la misma trascendencia jurídica que una firma tradicional (manuscrita) en un contrato tradicional (en papel).29 8.- Cumplimiento del Contrato Suscrito el contrato por ambas partes inicia la ejecución o cumplimiento del contrato, mediante la cual los contratantes deberán cumplir con todo lo acordado y estipulado en el contrato.30 En esta fase se harán las entregas, se prestarán los servicios y todo aquello que se encuentre estipulado de forma detallada en el contrato, respetándose los plazos de entrega y de asistencia, el pago del precio, etc. 28 29 Es el principal objeto de este estudio, y por tanto se profundizará en los capítulos posteriores. Davara Rodríguez, Miguel Ángel. Obra ya citada, pág. 267 9.- Interpretación de los Contratos Informáticos Existe un gran problema en la correcta interpretación de los contratos informáticos, y se debe a que generalmente las partes contratantes no gozan de una misma preparación y conocimientos científicos, por lo que parte de ese deber de información y asesoramiento que preside este tipo de negocios inicia con la determinación del perfil que ciertos conceptos de uso restringido se contemplan en referido pacto. No obstante, no se puede considerar que la parte menos preparada goce de una privilegiada arbitrariedad en la interpretación y ejecución de las cláusulas contractuales31. Es cierto que una de las partes tiene ese deber de información, asesoramiento e incluso consejo, pero con el único propósito de mantener el equilibrio de igualdad; la otra parte por tanto debe colaborar de forma activa en la redacción del contrato. En caso de que algunas cláusulas o conceptos no queden perfectamente claros, esta parte más débil tiene la obligación de exigir las explicaciones que se requieran o acudir a un asesoramiento externo respecto al propio acuerdo contractual. De esto se desprende que al momento de surgir un problema de interpretación el primer criterio para resolverlo es la literalidad de los términos (cláusulas), sin embargo no podemos obviar la abundancia de contratos tipo o contratos de adhesión en los que los términos del acuerdo vienen prefijados por una de las partes contratantes. 30 31 Carrascosa López. Obra ya citada, pág. 136 Carrascosa López. Obra ya citada. pág. 136 En estos supuestos, a pesar de la claridad de los términos, no siempre está despejada toda duda sobre la intención de los contratantes, por lo que este criterio de literalidad de términos aquí es insuficiente. Por otro lado, la apelación a la buena fe y a la eficacia, relacionan contractualmente más allá de la mera letra del contrato, porque cualquier elemento oscuro no puede nunca perjudicar al adherente. Esto se vincula con la oferta, promoción y publicidad de los productos, actividades o servicios, los cuales se tienen que ajustar a su propia naturaleza, característica, condiciones, utilidad o finalidad, ya que éstas pueden ser exigidas por los usuarios aún cuando no figuren expresamente en el contrato celebrado, porque la publicidad y su literalidad se consideran parte del contrato y elementos imprescindibles a tener en cuenta para descubrir la intención de las partes. Al interpretar pues los contratos informáticos, la objetividad primará cuando el equilibrio de las partes sea cierto32. Si la preparación de una de ellas es netamente inferior, aunque en estas concurran las condiciones de comerciantes, y los bienes y/o servicios informáticos contratados formen parte de su proceso de producción, la interpretación de los contratos deberá tener un carácter subjetivo y someterse de esta forma a la normativa civil, inclinándose a favor del adherente (usuario). 10.- Tipos de Contratos Como una primera aproximación a la tipología de los contratos informáticos tenemos aquellos que recaen sobre bienes informáticos y los que recaen sobre servicios informáticos; esto partiendo de su precisión terminológica. Derivado de los bienes informáticos destaca lo que son bienes informáticos materiales (hardware) y bienes informáticos inmateriales (software). Producto de esto se concluye que la clasificación más básica que pueda haber es la de contratos sobre bienes informáticos (materiales e inmateriales) y servicios informáticos. Miguel Gómez Perals33 afirma que los contratos derivados de los bienes informáticos deben clasificarse como la compraventa, el arrendamiento (leasing informático), el préstamo y el depósito. Esta afirmación consiste en que independientemente del objeto (sea hardware, software o un servicio), siempre se utilizan las figuras contractuales comunes tales como las ya mencionadas. Emilio del Peso Navarro34 afirma que esta clasificación (planteada por Gómez Perals) no responde a la realidad actual, y propone una clasificación de contratos informáticos más específica que se deriva de la primera aproximación a la tipología de los contratos informáticos; esto en virtud de que los contratos informáticos se suelen dividir en tres grandes grupos: contratos de hardware (bien informático material), contratos de software (bien 32 Carrascosa López. Obra ya citada. pág. 139 Gómez Perals, Miguel. Obra ya citada, pág. 40 34 Del Peso Navarro, Emilio. La Contratación Informática, (actualidad informática). Aranzadi, No.14, enero, 1995 33 informático inmaterial) y contratos de servicios. Esta clasificación consiste en: “contratos de hardware”, “contratos de software”, “contratos de datos”, “contratos de servicios” y “contratos complejos”. En la actualidad esta clasificación es la más acertada en las relaciones negociales que recaen sobre la informática, y por tanto se estudiará a continuación. 10.1 Contratos de Hardware Los contratos de hardware se conocen como los pioneros en la contratación informática, debido a que en un principio se celebraban teniendo por objeto: el “hardware” y el “software” en conjunto, a veces el servicio de mantenimiento. En la actualidad, los contratos de hardware, software y servicios se realizan por separado. Estos contratos se refieren a todo aquello que físicamente forme parte del equipo, considerando como tal, a los equipos de comunicaciones u otros elementos auxiliares necesarios para el funcionamiento del sistema que se va a implementar.35 Guy Bendaña Guerrero también comparte este concepto, al afirmar que: “Los contratos relativos al hardware, son aquellos que tienen por objeto proporcionar componentes mecánicos del procesador electrónico,…y de una o más unidades periféricas que conjuntamente con la unidad central forman la parte material del ordenador.”36 35 36 Davara Rodríguez, Miguel Ángel. Obra ya citada, pág. 248 Bendaña Guerrero, Guy. Obra ya citada, pág. 607 Cabe señalar que a veces el “hardware” incorpora en sus circuitos una serie de programas que se vienen conociendo como “Firmware” y que son parte del mismo. 10.2 Contratos de Software Estos contratos vienen condicionados por las características del bien que se contrata. Entre las categorías de los bienes, el software presenta peculiaridades que le diferencian de los bienes con una entidad material y susceptible por tanto de una aprehensión física. Así por ejemplo, la transmisión del uso del software no debe entenderse que se realiza mediante la figura contractual de la compraventa37, sino que se hace a través de un contrato de licencia de uso, el cual va enlazado con el de compraventa de equipo o alguna otra figura contractual que no será la compraventa. Esto se debe a que el software se determina como un bien inmaterial, debido a que se trata de una creación de la mente plasmado en un soporte para ser perceptible al mundo exterior. La compra del software se refiere sólo al ejemplar del soporte o a la totalidad o parte de los derechos de explotación de dicha obra. No obstante, la diversidad de tipos de sofware plantea la necesidad de distinguir una variedad 37 Debido a que uno de los elementos de la compraventa es el traslado de dominio, al servir para la transmisión de la propiedad. Y es precisamente esta cualidad de la compraventa la que justifica la negativa en considerar la posibilidad de compraventa del software. de formas contractuales, a fin de realizar una adecuada transmisión de los derechos de explotación sobre este objeto, que es el programa de ordenador. Como se desprende de todo lo anterior, los contratos que tienen al software por objeto tienen una especificidad propia que deben abordarse con sumo cuidado. Los contratos más corrientes en este tipo son38: a) Desarrollo de software.- se trata del caso en que una persona física, un colectivo o una empresa crean un software específico a medida de otro. b) Licencia de uso.- anteriormente mencionado, es un contrato en virtud del cual el titular de los derechos de explotación de un programa de ordenador autoriza a otro a utilizar el programa conservando el cedente la propiedad del mismo. c) Adaptación de un software producto.- se trata de la contratación de una licencia de uso de un producto estándar que habrá que adaptar a las necesidades del usuario. d) Garantía de acceso al código fuente (scrow).- son aquellos que tienen por objeto garantizar al usuario el acceso a un programa fuente en el caso de que desaparezca la empresa titular de los derechos de propiedad intelectual. 38 De la Fuente, Martha. Modelos de los Contratos Internacionales. Editorial Fundación Confemetal. Tercera edición. España, 1999. Pág. 153 10.3 Contratos de Datos La comercialización de las bases de datos actualmente es muy importante, y la apertura de esas autopistas de la información, de las que tanto se escribe, hará crecer exponencialmente ese mercado. La protección jurídica de los derechos de los autores de las bases de datos era necesaria, así como la protección de la intimidad de los titulares de la información de las bases de datos nominativos. En esta clasificación los principales contratos son39: a) Distribución de la información.- consiste en la comercialización de la base de datos durante un cierto período de tiempo a cambio de un precio, lo que origina la obligación del titular de la base de aportar los datos que deben hacerse accesibles a los futuros usuarios. b) Suministro de Información.- Mediante este contrato el usuario puede acceder, siempre que lo autorice, a las bases de datos del distribuidor. c) Compra de información.- el amplio mercado existente, principalmente de bases de datos nominativos, permite esta clase de contrato por el cual el titular propietario de una base de datos vende a otro una copia de ésta con la posibilidad de que el adquirente, a su vez, pueda no sólo usarla sino mezclarla con otras propias para después comerciar con ellas. 39 Páez Maña, Julio. Los Contratos de Datos en el Derecho Informático. Editorial Madrid. España, 2000. Pág. 45 d) Compra de etiquetas.- se ha hecho habitual en el mercado la compra de bases de datos nominativas de direcciones ya impresas en etiquetas, no permitiéndose al comprador la reproducción de las mismas y sí su empleo para envíos por correo. 10.4 Contratos de Servicios Estos servicios comprenden todos aquellos que la empresa pueda facilitar al cliente, desde el encargo de la realización de un programa o la configuración e instalación de un equipo informático que se adecúe a sus necesidades, hasta la transmisión de datos. Consisten en la realización de una determinada conducta positiva con un resultado concreto. Estos contratos pueden hacerse como contrato principal (en forma separada) pero directamente con el mismo proveedor, o bien mediante forma accesoria mediante contrato principal40. De esta forma, los contratos de equipos informáticos pueden tener por objeto alguna prestación accesoria, como por ejemplo: la instalación, mantenimiento, actualizaciones, etc. En algunos casos, es normal que la empresa suministradora se obligue de forma gratuita a prestar ciertos servicios por tiempo determinado. La configuración de la base de datos o software como cosa o como servicio es decisiva en los contratos de servicios, los cuales se ajustan a la figura del arrendamiento de obra o de servicio prestado a distancia y simultáneamente a 40 Del Peso Navarro, Emilio. Obra ya citada, pág. 47 favor de una pluralidad de usuarios de un determinado software, instalado en un equipo diferente al del usuario a cambio de un precio. Estos contratos de servicios están formados por un bien inmaterial, (es decir, la información, datos o instrucciones de un programa de ordenador), y por un servicio de transmisión electrónica. Ejemplo a estos tipos de contratos están las páginas Web, la utilización de redes (Internet), etc. Por otro lado están los contratos de facilities management o outsourcing41 y de auditoría informática,42 mediante los cuales la empresa usuaria contrata la gestión de sus sistemas informáticos a cargo de una empresa informática; los escrow agreement o contratos de depósito del código fuente, en los que el titular de los derechos de explotación del programa deposita el código fuente para asegurar el acceso al mismo por parte del cesionario en los casos consignados en el contrato. Otros son: los de financiación, distribución y seguros; incluso, los relativos a la prestación de servicios profesionales a través de estas vías de comunicación. 41 Término que puede traducirse como la externalización de determinadas áreas funcionales. Es un contrato que responde a la estrategia de gestión de las empresas en orden a la optimización de la información a su servicio, y a la concentración de las inversiones en las funciones de producción propias. 42 Este concepto refiere a la revisión y evaluación objetiva por parte de peritos imparciales del entorno informático de una entidad, y al grado de satisfacción de los usuarios finales. Ramos, Miguel A. La Auditoría Informática. Editorial Amanecer, No. 14. Argentina, 1995 10.5 Contratos Complejos Se denomina contratos complejos aquellos que contemplan los sistemas informáticos como un todo incorporado al objeto del mismo, tanto el “hardware” como el “software” y algunos servicios determinados.43 Los más usuales son los siguientes44: a) Contrato parcial y global de servicios informáticos (outsourcing).- es la subcontratación de todo o de parte del trabajo informático mediante un contrato con una empresa externa que se integra en la estrategia de la empresa, y busca diseñar una solución a los problemas existentes. b) Contrato de respaldo (back-up).- su finalidad es asegurar el mantenimiento de la actividad empresarial en el caso de que circunstancias previstas pero inevitables impidan que siga funcionando el sistema informático, poniendo a disposición de la empresa, dentro de los límites del contrato, los medios informáticos para que pueda seguir el proceso. Es más que toda una medida de aseguramiento que se puede considerar como un contrato de seguro. c) Contrato de llave en mano (Turn-key-package).- el proveedor se compromete a entregar el sistema creado donde el cliente le indique y asume la responsabilidad total del diseño, realización, pruebas, integración y adaptación al entorno informático del cliente, tanto lógico como físico. 43 44 Davara Rodríguez, Miguel. Obra ya citada, pág. 221 Gete Alonso y Calera. Contratos Informáticos. Editorial Colex, España. Pág. 24 d) Contrato de suministro de energía informática.- es un contrato mediante el cual el poseedor de una unidad central que permanece en sus locales, pone a disposición del usuario la misma, lo que le permite el acceso al software a cambio de un precio. CAPITULO II. FIRMA DIGITAL EN LA DOCTRINA 1.- Introducción A través de la historia siempre hubo necesidad de securizar la información. En tiempos de Julio César se utilizó el primer sistema de encriptación del que existe conocimiento. El sistema consistía en intercambiar cada letra del alfabeto por aquella que distaba un número fijo de posiciones a izquierda o derecha dentro del mismo.45 Desde los inicios de la era de la computación, los sistemas de seguridad para acceso a la información (todavía en uso) se han basado en el rudimentario método de “usuario” y “password”. Sin embargo, el crecimiento de la Internet como un conjunto de redes y subredes que componen el “World Wide Web” ha aumentado los riesgos de la seguridad y se ha sensibilizado tanto a las organizaciones privadas y gubernamentales hacia la búsqueda de medidas de seguridad electrónicas adicionales. En realidad, son un conjunto de tendencias tecnológicas las que han convergido no sólo para mostrar la necesidad de dotar de mecanismos de seguridad a las comunicaciones electrónicas, sino que están cambiando la forma de los sistemas de información actuales.46 45 http://www.delitosinformaticos.com Me refiero a las tendencias de uso creciente de infraestructuras públicas de bajo costo para comunicaciones de datos; cambio de un sistema centralizado a un sistema distribuido; proliferación de ordenadores personales, portátiles, y usuarios que acceden remotamente; aumento del interés en realizar operaciones de comercio electrónico por Internet; mayor aceptación por parte de los usuarios de realizar transacciones electrónicas. 46 Así, desde el punto de vista de la seguridad, el impacto más importante de estas tendencias ha sido que, los usuarios ya no se encuentran conectados localmente a los sistemas de información, ya que pueden encontrarse en su casa, en la habitación de un hotel o en su coche (de hecho en Internet un usuario no sabe si está conectado a un ordenador al final de la calle o en el extremo opuesto del planeta), el intercambio de información abre sus fronteras más allá de la empresa, sobre todo desde la aparición del correo electrónico; existe un “ether” compuesto de redes de comunicaciones, pudiendo ser estas líneas de teléfono, comunicaciones inhalámbricas o vía satélite por donde fluye la información. En este entorno de evolución permanente, sin las medidas de seguridad apropiadas, la información puede ser tan accesible a extraños como al destinatario de la misma47, lo cual puede traer consigo serias consecuencias a los afectados. La respuesta de la industria para la solución a estos problemas se presenta en productos de diferentes categorías: Fiwalls, Tokens, Sistemas de encriptación software o hardware, y por encima de todos ellos las tecnologías basadas en el uso de la criptografía de claves públicas. Sin embargo, de todos los instrumentos utilizados48 para garantizar la confianza, integridad y no repudio, la firma digital basada en el uso de claves asimétricas o criptografía de clave pública es la que más satisface las exigencias de seguridad y confianza que requieren las comunicaciones electrónicas. 47 Recursos importantes de la empresa como datos de los clientes, de operación y financieros, así como de transacciones con bancos, clientes y proveedores. 48 Entre ellos: las claves de paso secretas, la identificación biométrica mediante el reconocimiento de la voz o de las huellas digitales, la utilización de una misma clave para encriptar y desencriptar un mensaje, etc. En la relación a los documentos electrónicos, es la firma digital la que cumple, con dos principales funciones atribuidas a la firma manuscrita sobre un documento en papel: la autenticación, que permite identificar al autor del escrito, y la integridad, es decir, que permite la constatación de que el mensaje no ha sido alterado después de su firma. En realidad, la firma digital no identifica por sí sola al autor de un escrito49, sino mediante el complemento de un certificado electrónico, que constata que la clave pública del firmante pertenece a quien dice haberlo hecho. Este certificado es emitido por un tercero denominado “entidad de certificación”, en el que descansa en gran medida la fiabilidad del sistema de autenticación mediante firma electrónica al tener la misión de comprobar la identidad del signatario antes de expedir un certificado. 2.- Firma Electrónica y Firma Digital La Firma Electrónica y Digital no son dos términos que designen el mismo sistema, sino que conllevan diferencias esenciales. A este respecto, la falta de homogeneidad desde el punto de vista legislativo en el ámbito internacional, provoca la confusión no sólo de ambos términos sino de las características que los definen.50 49 La firma digital sólo confirma que a la clave privada utilizada para firmar el mensaje, le corresponde la clave pública que permite descifrarlo. 50 Mientras la Directiva Comunitaria se refiere a “Firmas Electrónicas”, Italia, Alemania y Dinamarca adoptan una ley que regula la “Firma Digital”, al igual que países como España, Argentina, Malasia y Colombia, y algunos Estados de Norteamérica (Utah, Arkansas, Florida, Illinois, Kansas, Minnesota, Mississipi, New Hampshire y Washington), entre otros. http:/www.cnudmi.com La firma digital es la utilización de un sistema de encriptación asimétrico en el que existen dos llaves, las cuales consisten en una clave privada y una clave pública. La primera sólo es conocida por el particular, y la segunda es la clave que identifica públicamente a ese particular, de manera que sólo utilizando su clave pública el interesado podrá descencriptar el mensaje enviado, y por tanto este último será legible. El sistema es sencillo. El particular después de redactar el documento lo encriptará con su clave privada, podrá enviarlo a través de Internet a su destinatario final conociendo la dirección del mismo, y este último para poder descifrar el mensaje recibido utilizará la clave pública del remitente. Este sistema nos permitirá verificar la autenticidad del mensaje recibido, o sea, que el mensaje original no ha sido modificado en su trayecto a través de la web, y por último, la integridad del mensaje en cuanto a la certeza y conclusión del mismo. La firma digital no es por tanto algo añadido a un documento, sino la versión encriptada del mismo: no existe si la disociamos de su mensaje, y del mismo modo cambia con cada documento encriptado. Por su parte, la firma electrónica es cualquier símbolo que se utilice como identificador de una persona en un determinado documento, así como que en su transmisión utilice medios electrónicos51. El nombre de una persona escrito al final de un documento, o un símbolo que le identifique, sería una firma electrónica, y la firma digital es, por tanto, un tipo de firma electrónica. 51 Tales como el ordenador, el fax, o cualquier medio electrónico. El nivel de inseguridad de la firma electrónica se evidencia en la sencillez de su falsificación, siendo su eficacia inválida como método de autenticación de documentos. 3.- Recopilación de Antecedentes sobre la Firma Digital52 • La necesidad de un marco seguro de transmisión de la información fue puesta de manifiesto por primera vez en los Estados Unidos de Norteamérica, concretamente en el Estado de Utah, que sancionó en mayo de 1995 la primera Ley de Firma Digital. • Alemania fue el primer país en regular los aspectos de la firma digital como instrumentos probatorios. • En septiembre del año 2000 finalizó la 37va. sesión de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, que dio como resultado la guía sobre las reglas uniformes en las firmas digitales. En dicha reunión se acordó mantener las siguientes reglas y principios básicos: neutralidad tecnológica, fiabilidad, protección de los consumidores, y los requisitos técnicos que debe cumplir la firma digital. 4.- Concepto y Características de la Firma Digital La firma digital se define como “aquella firma electrónica que utiliza una técnica de criptografía53 asimétrica, basada en el uso de un par de claves único asociado, una privada y una pública, relacionadas matemáticamente entre sí, de forma que no sea computacionalmente factible obtener la primara por parte de quien no la posee.”54 Renato Jijena55 y Luis Jiménez56 la definen como un “algoritmo o código creado por un computador, para permitir comprobar la identidad de la persona que emite un documento o que desea demostrar esa identidad ante un tercero”. Esta firma digital es comúnmente llamada Certificado Digital, pues realmente no es una firma como tal, sino más bien una forma de documento encriptado. La firma digital por tanto equivale a la firma de puño y letra en el mundo digital, que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que esté vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que cualquier modificación sea detectable. Se puede observar que la firma digital contiene las siguientes características: a) La firma digital es un conjunto de datos y no un símbolo, sello o grafía electrónica que sirve para identificar al autor de un mensaje y para acreditar la autenticidad e integridad de su contenido. 52 http://www.onnet.es Se define como la ciencia que estudia la ocultación, disimulación o cifrado de la información, así como el diseño de sistemas que realicen dichas funciones, e inversamente, la obtención de la información protegida. Proviene del griego cripto (oculto), y la criptografía se define como el arte de proteger la información, tanto para proteger su privacidad como para proteger su integridad. Diccionario de Datos. Carreter, Fernando Lázaro. Editorial Aranzadi, España, 2000. 54 Del Peso Navarro, Emilio. Obra ya citada, pág. 76 55 Jijena Leiva, Renato Javier. Naturaleza Jurídica y Valor Probatorio del Documento Electrónico. Revista Informática. Centro Regional de Informática, Mérida, 1998. 56 Jiménez, Luis. Criptología. Colegio de Abogados de Madrid. Madrid, octubre, 1996. 53 b) Se trata de una técnica de identificación del autor o autores del documento electrónico que los recoge. c) Los datos de la firma digital pueden formar parte del documento, o ir asociados funcionalmente con ellos. 5.- Firma Manuscrita y Firma Digital En el comercio electrónico, el clásico documento de papel es sustituido por el novedoso documento electrónico57. Desaparecen las tradicionales firmas manuscritas que pueden ser reemplazadas usando una variedad de métodos que son incluidos en el concepto amplio de firma electrónica. Una clase particular de firma electrónica que podría ofrecer una mayor seguridad es la firma digital58. Tecnológicamente estas firmas son específicas, pues como se dijo anteriormente, se crean usando un sistema de criptografía asimétrica o de clave pública. Los criptosistemas de clave pública59 permiten realizar firmas digitales válidas y eficaces en el comercio y el Derecho. También permiten enviar mensajes secretos a través de canales inseguros como Internet, ya que utilizando la clave pública del destinatario, el tenedor de la clave privada puede descifrar el mensaje (confidencialidad) enviado. 57 El documento electrónico es un soporte de información electrónico formado, mediante el intercambio de mensajes con una estructura determinada, utilizando unas normas de intercambio informáticas, conocida como EDI (electronic data interchange). Cabe señalar que este concepto es el más aceptado en la actualidad. 58 Mateu de Ros, Rafael. Derecho de Internet. Editorial Aranzadi. Madrid, 2001. Pág 365 59 Están basados en el uso de un par de claves asociadas: una clave privada, que se mantiene en secreto, y una clave pública, libremente accesible por cualquier persona. Jiménez, Luis, obra ya citada, pág. 38. Por ello, las firmas basadas en la criptografía de clave pública son consideradas seguras, por cuanto permiten satisfacer las exigencias de autoría e integridad necesarias para que el mensaje y su firma electrónica sean vinculantes para el firmante. 5.1 Observaciones sobre su Equiparación La firma, en sí misma considerada, goza de un carácter puramente instrumental, y por ende fungible. Es útil y trascendental al objeto de acreditar la imputación a un concreto sujeto de las declaraciones a las que se adjunta. La firma digital es un mecanismo de identificación que parece ser particularmente fiable, apta para crear una apariencia de identificación y de simbiosis con el contenido del archivo al que se adjunta. Por lo que de su utilización se pueden presumir las consecuencias correlativas a la existencia de una manifestación o declaración de voluntad. De ahí que el efecto jurídico más relevante que legalmente se asigne a la firma digital será precisamente la posibilidad de ser considerada un equivalente de la firma manuscrita. No obstante, serán observables diversas diferencias, determinantes, que tendrán como base las diferencias entre el documento sobre papel y el documento informático. Una de estas diferencias es que todos tenemos firma manuscrita y estamos ligados personalmente a ella, pero no todos contamos con una firma digital. Entre firma digital y signatario no existe una relación unívoca, ya que la primera es separable del segundo, de forma que la suplantación del titular mediante la utilización de la clave de cifrado por un tercero no puede ser detectada por la contraparte. La firma digital adquiere diferentes materializaciones de acuerdo al uso que de ella se haga, puesto que irá vinculada a diversos archivos; a diferencia de la manuscrita que sólo tiene sentido si goza de un cierto grado de uniformidad en cuantas ocasiones se plasme. 6.- Modalidades de Firma Digital De acuerdo a la Doctrina existen dos modalidades diferentes de firma digital a las que, sobre la premisa del cumplimiento de determinados requisitos, se les asigna diversa repercusión jurídica.60 6.1 Firma Digital Común o no avanzada Es un conjunto de datos en forma electrónica utilizados como medio para identificar formalmente al autor o autores del documento que la recoge. No obstante, tal definición aportada puede traducirse en una enorme diversidad de materializaciones, con muy distintos niveles de seguridad y de fiabilidad.61 Se trata de una descripción abierta a múltiples opciones tecnológicas que da cabida a técnicas simples como la utilización de una contraseña, la inserción de un nombre, una marca u otro elemento identificativo. 60 61 Mateu de Ros, Rafael. Obra ya citada, pág. 42. Diccionario de Datos. Carreter, Fernando Lázaro. Editorial Aranzadi. España, 2000. 6.2 Firma Digital Avanzada Es importante destacar que el grupo de trabajo de la CNUDMI sobre Comercio electrónico ya hablaba en su documento62 de los problemas que el concepto de firma digital causaba. Estipula el documento que se expresaron dudas sobre lo apropiado del uso de los términos “avanzada” o “seguro” para describir técnicas de firmas que podía proveer un grado superior de confianza más que las firmas electrónicas en general. El grupo de trabajo determinó que en ausencia de un término apropiado debía utilizarse el término “avanzada”. La firma digital avanzada es una firma que permite la identificación del signatario, y que ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.63 Es una firma que confiere seguridad y certeza en la autenticidad e integridad del mensaje, de la cual podrá derivarse la existencia de un vínculo entre los sujetos y el contenido del documento signado. En realidad, muchos estudiosos del comercio electrónico consideran que la firma avanzada es la apta para el cumplimiento de la finalidad perseguida: la confidencialidad; por ello, la firma digital no avanzada queda como un sistema residual, que tiene virtualidad en las comunicaciones informales, dado 62 Documento A/CN.9/WG. IV/WP. 84, correspondiente a la sesión trigésimo sexta del Grupo de Trabajo de la CNUDMI. 63 Mateu de Ros, Rafael. Obra ya citada, pág. 457. que, si se quiere autenticidad en cuanto a la vinculación de una declaración con su autor, la única que la confiere es la firma avanzada. No obstante, en la ley modelo de la CNUDMI para las firmas electrónicas64 se eliminó totalmente la noción de firma digital avanzada. La ley fue totalmente modificada para manejar una única definición de firma digital, y no dos (común y avanzada) como se refleja en la doctrina y algunas legislaciones, aclarando de esta forma que, cuando el texto habla de firma digital se refiere a la firma digital avanzada. 7.- Firma Digital Basada en un Certificado Reconocido Para que una firma digital esté basada en un certificado reconocido es necesario que la certificación electrónica que vincula los datos de verificación de firma a un signatario y confirma su identidad, satisfaga las exigencias relativas al propio certificado y a quien lo emitió. Estas exigencias refieren a la identidad del prestador de servicios de certificación, del signatario y del propio certificado, a los medios técnicos utilizados, a la calificación de su personal y a la propia prestación del servicio, que contribuyen a configurar un marco de fiabilidad sobre el desempeño de su cometido. 64 Ley modelo de la UNCITRAL para las firmas electrónicas. Sus siglas en español: CNUDMI. Versión en español para el año dos mil uno. La firma digital debe ser producida mediante un dispositivo seguro de creación de firma electrónica65, de forma que: a) garantice que los datos utilizados para la generación de la firma puedan producirse sólo una vez y de forma secreta. b) exista seguridad razonable de que dichos datos no puedan ser derivados de los de verificación de la firma o de la propia firma, de manera que no se pueda falsificar con la tecnología existente en cada momento. c) los datos de creación de la firma puedan ser protegidos fiablemente por el signatario. d) el dispositivo utilizado no altere los datos. 8.- Observaciones en torno al uso de la Firma Digital La firma digital es producto de una compleja operación matemática, cuyo resultado positivo pondrá de manifiesto la concordancia biunívoca entre un par de claves, pública y privada, lo cual no sería especialmente útil a efectos probatorios, particularmente cuando se trate de actos jurídicos realizados entre partes desconocidas. Ahora bien, teniendo en cuenta la facilidad para la creación y modificación del documento informático, se hace preciso combinar medios técnicos y normas jurídicas a fin de que las partes puedan tener prueba de la operación 65 Arto. 19 del Real Decreto-Ley 14/1999 sobre Firma Electrónica. Madrid, España. electrónicamente realizada con la misma eficacia y alcance que cuando el negocio se plasma en un documento sobre papel. El que dos empresarios, o un empresario y un consumidor, que se relacionan comercialmente a través de un sistema de redes informáticas y telemáticas puedan probar la existencia de la operación que realizan y su contenido, implica que ambos puedan probar en relación con todos y cada uno de los mensajes que se hayan intercambiado: • que el emisor (que se denominará A para efectos de claridad expositiva) emitió el mensaje; • que lo emitió con determinado contenido; • que el receptor (que se denominará B) lo recibió; • que lo recibió en los términos emitidos por A de forma tal que ningún tercero lo ha alterado. Además tanto A como B deben probar estos extremos, ya que la peor situación no es aquella en la cual ni A ni B pueden probar la operación, sino aquella en la que uno solo de los dos tiene tal posibilidad. Para solucionar las aludidas cuestiones se utilizan las denominadas firmas digitales basadas en los criptosistemas con claves asimétricas.66 66 El criptosistema de claves asimétrticas se basa en que cada uno de los operadores tiene dos claves: una privada que sólo él conoce y una pública que conocen o pueden conocer todos los intervenientes en el tráfico. Cuando el operador A quiere enviar un mensaje electrónico aplica al mismo su clave privada, y el mensaje así cifrado se envía a B. Este último, al recibir el mensaje, le aplica la clave pública de A para obtener el mensaje descifrado. Por ello se denomina al criptosistema asimétrico, ya que para cifrar y descifrar los mensajes se utilizan dos claves distintas. Jiménez, Luis. Obra ya citada, pág. 76. Por otro lado, no sólo las cuestiones de autoría e inalterabilidad preocupan a los operadores del comercio electrónico, sino que también puede hasta ser vital para ellos la cuestión de la confidencialidad de los mensajes electrónicos. Uno de los criptosistemas, a través del cual se puede obtener confidencialidad en los mensajes, es en el criptosistema RSA67, cifrando A con la clave pública de B el mensaje que también ha cifrado con su clave privada, de forma tal que sólo B podrá descifrarlo aplicando primero su clave privada que sólo él conoce y luego la pública de A. Pero, si se resume el mensaje, la confidencialidad no es posible. 9.- Certificados y Autoridades de Certificación Cuando una parte desea verificar la firma digital generada por la otra parte, la parte verificadora necesita tener acceso a la clave pública de la parte firmante, con la seguridad de que se corresponde, realmente, con la clave privada de ese firmante; igualmente necesita una clave pública, en este caso la del destinatario, el emisor de un mensaje que desea descifrarlo utilizando tecnología de clave pública. Ambos son usuarios de claves públicas: en el primer caso, para verificar una firma digital, y para emitir un mensaje cifrado en el segundo caso. Pues en efecto, cuando se comunica la clave pública al usuario es esencial que éste pueda estar seguro de que es efectivamente la correcta clave pública correspondiente a la otra parte (el firmante con firma digital o el destinatario 67 Fue formulado en 1978 por Rivest, Shamir y Adleman, y las siglas del criptosistema corresponden a las iniciales de sus autores. Diccionario de Datos. Obra ya citada. del mensaje cifrado). Si un impostor pudiera hacerse pasar por el titular, o un intruso pudiera sustituir las verdaderas claves públicas68, la protección proporcionada por estas tecnologías quedaría gravemente comprometida, puesto que la firma digital podría ser falsificada, y el contenido del mensaje cifrado podría ser revelado a partes no queridas. En suma, un sistema abierto como Internet necesita de un sistema confiable de autenticación de la identidad del titular. Esta necesidad se ve acentuada en la medida que el comercio electrónico aumente las transacciones entre personas extrañas que no tienen relación contractual previa, y que puede que nunca vuelvan a contratar la una con la otra. Para la solución de este problema de distribución de claves públicas, existen diversas vías de las cuales la más confiable y adecuada es el modelo de autoridad de certificación, que está diseñado para hacer posible la comunicación entre todos los sujetos posibles, independientemente si tienen personas de confianza en común. Las autoridades de certificación y certificados consisten en la intervención de una o más terceras partes de confianza que emiten certificados que, a la vez que sirven para distribuir la clave pública, sirven, de forma fundamental, para asociar de forma segura la identidad de una persona concreta a una clave pública determinada. 68 Cuando A comunica a B su clave pública, ésta es sustituida por C, que ahora podrá firmar, con la clave privada correspondiente, mensajes que B creerá que son de A. La función básica del Certificado es vincular de forma fiable un elemento de verificación de la firma con una persona física determinada. El destinatario de un certificado que desee apoyarse en una firma digital, creada por el suscriptor mencionado en el certificado, puede usar la clave pública incluida en el certificado para verificar que la firma digital fue creada con la correspondiente clave privada. Si tal verificación realizada utilizando un certificado es satisfactoria, se obtiene la seguridad de que la correspondiente clave privada es poseída por el suscriptor mencionado en el certificado, y que la firma digital fue creada por ese suscriptor determinado. En definitiva, una firma digital verificada, utilizando un certificado de una autoridad independiente, puede proporcionar mayores elementos indiciarios y de mayor valor, a efectos de una valoración probatoria, de la misma que permita atribuir un mensaje electrónico a una determinada persona, siendo además esta autoridad de certificación responsable del desarrollo con garantías de esa función. 9.1 Certificados La utilización de certificados, emitidos por terceras partes de confianza y que vinculan de forma segura una persona determinada a un par de claves, es necesaria para dar seguridad y fiabilidad al uso de firmas digitales en comunidades amplias y a gran escala. En el mundo electrónico, de forma genérica y descriptiva, un certificado es un documento electrónico que contiene un conjunto de información a la que se ha fijado una firma digital por alguna entidad que es reconocida, y en la que confía alguna comunidad de usuarios de certificados.69 “Es la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad.”70 El Reglamento italiano71 relativo a la formación, archivo y transmisión de documentos con instrumentos informáticos o telemáticos, define el certificado como el resultado del procedimiento informático aplicado a la clave pública, mediante el cual se garantiza la correspondencia biunívoca entre la clave pública y el sujeto titular a la que ésta pertenece. El grupo de trabajo sobre comercio electrónico de la CNUDMI72 define el certificado como un archivo electrónico, que indica una clave pública junto con el nombre del suscriptor del certificado, así como el sujeto del certificado, y confirma que el firmante potencial identificado en el certificado posee la clave privada en correspondiente. El certificado, pieza clave del sistema, se caracteriza porque: el soporte no es físico sino electrónico; tiene por misión vincular los datos que resultan de la 69 Un certificado de usuario, o simplemente certificado, es definido como las claves públicas de un usuario, junto con alguna otra información, hechas infalsificables por cifrado con la clave secreta de la autoridad de certificación que la emitió. Davara Rodríguez, Miguel Ángel. Obra ya citada, pág. 426 70 Mateu de Ros, Rafael. Derecho de Internet. Contratación Electrónica y Firma Digital. Editorial Aranzadi. Madrid, 2001. 71 http://www.legalia.com 72 Comisión de las Naciones Unidas para el Derecho Mercantil Internacional. Sus siglas en inglés: UNCITRAL. verificación de una firma a su autor o signatario; también confirma la identidad del signatario, es decir, acredita que el mensaje telemático ha sido escrito y enviado por la persona que aparece como signatario y no por otra distinta. 9.1.1 Clases de Certificados La existencia de distintos tipos de certificados con distintos niveles de seguridad, supone, desde el punto de vista jurídico, el reconocimiento de distintos efectos y la existencia de diferentes niveles de responsabilidad en función de la clase de certificado. No obstante, pese a esta acomodación de los efectos jurídicos a las prácticas comerciales, en ningún caso deben considerarse como tales certificados aquellos productos comerciales que no cumplan con la función básica de distribución de las claves públicas. La ley alemana de firma digital73 establece dos clases de certificados: el Certificado de Clave de Firma (Certificado de Firma Digital), definido como la declaración digital relativa a la atribución de una clave pública a una persona natural que lleva añadida una firma digital; y los Certificados de Atributos, que son una declaración digital referida inequívocamente a un Certificado de Clave Pública. Un Certificado de Clave Pública es aquél firmado digitalmente por una tercera parte de confianza, denominada entidad o autoridad de certificación, que ha confirmado la identidad del titular de la correspondiente clave privada. 73 http://www.legalia.com Por ello también se denominan Certificados Identificados, por cuanto vinculan un nombre a una clave pública. Esta clase de certificados es un elemento esencial para la aplicación segura y a gran escala de la tecnología de las firmas digitales en el ámbito del comercio electrónico. Esencialidad debida a que contribuyen a solventar el problema, inherente a las firmas digitales, de una distribución fiable de claves públicas con una adecuada comprobación de la identidad del titular. La aplicación y utilización del sistema de certificados de clave pública toma como base la implicación de tres partes: un signatario titular de un certificado electrónico, un sujeto que confíe en el aportado y, lo relevante en este momento, una persona física o jurídica emisora de certificados que esté a disposición de aportar a través de éstos información relevante sobre la identidad y capacidad de sus respectivos titulares. 9.2 Autoridades de Certificación Una autoridad de certificación, entidad certificadora, proveedor o prestador de servicios de certificación, autoridad emisora o simplemente certificador, es una entidad dedicada a la emisión de certificados que contienen información sobre un hecho o circunstancia del sujeto del certificado.74 La terminología empleada en la doctrina es diversa. Algunos autores hablan de autoridad emisora, otros de autoridad de certificación, y otros de certificador. Por su parte, y a propósito de la expresión autoridades de certificación, el grupo de trabajo sobre comercio electrónico de la CNUDMI75, criticó el uso del término autoridad y propuso utilizar el de entidad, dejando a cada Estado la decisión de someterlas o no a un régimen jurídico de autorización. Con ello se pretendía evitar la posible consecuencia de que las funciones de certificación fueran realizadas necesariamente por autoridades públicas. Efectivamente, la terminología que se utiliza en el mundo electrónico para referirse a las terceras personas de confianza en la emisión de certificados es variada, y probablemente su elección se encuentre relacionada con una determinada opción sobre la naturaleza de estas entidades: desde la expresión “autoridad” que parece darle atributos de carácter público a la expresión “proveedor de servicios”, y con la que también parece querer excluirse cualquier connotación de carácter público y concederle una naturaleza estrictamente comercial. Realmente, a mi parecer, se tratan de “autoridades de certificación”, por una apariencia neutral al respecto y no por que considere que deban tener una naturaleza pública, sino para revestir de una cierta fuerza, seguridad y garantía a la actividad que realizan, como es la emisión de certificados. 74 Diccionario de Datos. Fernando Lázaro Carreter. Editorial Aranzadi. España, 2000. Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, informe del grupo de trabajo sobre comercio electrónico acerca de su labor de su 31.° período de sesiones, New York, 18 - 28 de febrero de 1997, párrafo 90. 75 9.2.1 Naturaleza de las Autoridades de Certificación Una de las cuestiones más debatidas por la doctrina es la relativa a la naturaleza de las Autoridades de Certificación76. En efecto, las Autoridades de Certificación pueden tener una naturaleza diversa: pueden ser entidades privadas o públicas. Estas últimas pueden ser consideradas de mayor confianza, puesto que se presume que una administración o entidad pública actuará en función del interés general. También dichas autoridades de certificación puedan ser personas físicas o jurídicas. Las autoridades de certificación pública pueden desempeñar distintos papeles77: pueden actuar como autoridad de certificación, raíz de la estructura de autoridad de certificación de un país, certificando al resto de autoridades de certificación comerciales; o bien pueden actuar como autoridad de certificación para los ciudadanos, sólo para las relaciones administración administrados. Ahora bien, las autoridades privadas pueden dedicarse a la certificación ofreciendo ese servicio a terceros como parte de su actividad empresarial principal, o bien únicamente de forma complementaria a esa actividad o a efectos internos de carácter organizativos. 76 Sarra, Andrea Viviana. Obra ya citada, pág. 221 Martínez Nadal, Apolonia. Firma Digital y Autoridades de Certificación. Tercera edición. España, 2001. Pág.79 77 De forma que, la determinación de la naturaleza de la responsabilidad de la autoridad de certificación puede consistir, sin llegar al extremo de la responsabilidad objetiva, en establecer una responsabilidad por culpa, pero con inversión de la carga de la prueba, y que para liberarse de la responsabilidad, sea la autoridad la que haya de probar su diligencia. Las entidades certificadoras pueden crearse libremente o constituirse con licencia pública, en cuyos casos deben cumplir ciertos requisitos que le puede dar una credibilidad añadida. La licencia, en efecto, establece un sistema regulador mínimo para proporcionar un nivel básico de confianza en las prácticas de la autoridad de certificación. Asimismo, un esquema de licencias puede añadir uniformidad al uso de firmas digitales. Debe tenerse en cuenta que uno de los principales problemas legales para el desarrollo del comercio electrónico viene dado por la existencia de diversas regulaciones legales divergentes, o la falta de ellas, y en concreto, la falta de exigencias comunes para las autoridades de certificación. Esto puede ocasionar serios obstáculos para la confianza transfronteriza en un comercio desarrollado sin barreras interestatales, como es el comercio electrónico. 9.2.2 Requisitos En cualquier caso, con independencia de las exigencias legales que pueden existir o no para la concesión de una licencia, a fin de poder ser considerada tercera parte de confianza, toda Autoridad de Certificación debe cumplir una serie de requisitos, generadores de confianza y seguridad en sus actividades y organización. Estos requisitos pueden clasificarse de la siguiente forma78: a) Requisitos técnicos, consistentes en la utilización de sistemas seguros y de confianza por parte de la Autoridad de Certificación para el desarrollo de sus actividades. b) Requisitos de personal, que debe ser competente tanto desde el punto de vista de la gestión como de la técnica, y de confianza. c) Requisitos financieros. Obviamente, las autoridades de certificación deben ser solventes: deben tener suficientes recursos financieros para desarrollar sus operaciones y cumplir sus obligaciones en el presente y en el futuro. d) Requisitos de garantía. Deben también ser razonablemente capaces de asumir y afrontar el riesgo de una eventual responsabilidad frente a los suscriptores y usuarios de certificados, así como el derivado de otros servicios que también puedan ofrecer cuando actúan como tercera parte de confianza. Una adecuada capacidad financiera de una Autoridad de Certificación puede ser uno de los factores que induzcan a suscriptores y terceros a solicitar y confiar en sus servicios. 78 http//:www.derecho-informatico.com. Arto. 206, Ley del Estado de Utah sobre Firma Digital, que establece los requisitos exigidos para obtener una licencia. e) Requisito de Auditoría, a fin de demostrar la fiabilidad de la Autoridad de Certificación. f) Documentación de actividades, mediante la cual, la Autoridad de Certificación pueda ser capaz de probar sus propias operaciones y actuaciones en el futuro. g) Planes de contingencias y de recuperación frente a desastres, dadas las graves consecuencias que se podrían derivar de una paralización del funcionamiento de los sistemas de una Autoridad de Certificación. h) Finalización de actividades con los mínimos perjuicios para titulares y usuarios de certificados. Cuando una Autoridad de Certificación finaliza sus actividades, a fin de evitar perjuicios a sus clientes, puede traspasar sus actividades a una Autoridad de Certificación fiable. 10.- Eficacia Probatoria La prueba documental debe entenderse en su sentido más amplio posible, que bien pudiera ser la definición de “documento” aportada por Carnelutti: “todo objeto capaz de representar un hecho o un acto jurídico”. Afirma este autor que la autenticidad de un documento supondrá una concordancia entre el autor aparente y el autor real. La imposibilidad de distinguir entre la firma original y la copia generan dudas en cuanto a la eficacia probatoria del documento electrónico, en virtud de la dificultad en la determinación del autor del documento electrónico y la falta de garantía sobre la posible manipulación del documento. No obstante, dichos problemas se han logrado superar debido a la confianza depositada en la legislación y la jurisprudencia a tales documentos; siempre que reúnan los requisitos de fiabilidad y de autenticidad. Asimismo la tecnología (elemento fundamental), que ha dotado de garantías al documento y permite en muchos casos equipararlo a cualquier documento escrito convencional. De tal forma que es imprescindible resaltar la relevancia de la firma digital como dispositivo más eficaz, hasta el momento, para determinar tanto la autoría de un documento como su inalteración en el proceso de envío del mismo. De esta manera se puede afirmar que la eficacia probatoria de la firma digital radica en que ésta tiene la misma trascendencia legal que una firma plasmada en un documento escrito del modo tradicional (firma manuscrita). No obstante, es importante señalar que esta eficacia probatoria que tiene la firma digital depende de cómo se establezca en su normativa, ya que si la ley no contempla una equiparación, es decir, una validez jurídica idéntica a la firma manuscrita, no podría gozar de dicha eficacia probatoria. CAPITULO III. RÉGIMEN JURÍDICO DE LA FIRMA DIGITAL EN EL DERECHO COMPARADO 1.- Introducción En la actualidad, la firma digital gana gradualmente el mismo peso legal que la firma manuscrita tiene en muchas legislaciones. La firma digital es una manera segura de firmar un documento electrónico: cartas, contratos, etc. Brinda la garantía de que el mensaje procede en realidad del remitente, que no ha sido intervenido y que aquél es quien dice ser. La parte visible de la rúbrica es el nombre del firmante, aunque también puede incluir el nombre de una compañía y su cargo. En este capítulo se estudia la Ley de Firma Digital del Estado de Utah79, que, por la relevancia de su contenido, ha sido un gran aporte para otras legislaciones. Es, quizás, el más importante reconocimiento a los efectos legales de las medidas de seguridad informática. Prevé que cualquier documento firmado digitalmente satisfaga los requisitos de escritura legal y los requerimientos de firmas. Se puede decir que la seguridad informática 79 La primera ley sobre firma digital se aprobó en 1995, en el Estado de Utah, Estados Unidos. Regula la firma electrónica en base al sistema de criptografía; establece una autoridad licenciante de los certificadores (el Departamento de Comercio de Utah) y reconoce las consecuencias jurídicas de las firmas electrónicas, siendo equiparadas a las firmas manuscritas. Posteriormente surgieron proyectos legislativos en Georgia, California, Washington y otros Estados norteamericanos. Estas leyes, por su uniformidad, han sido consideradas muy eficaces para promover el comercio electrónico y la nueva economía, ya que si el contenido de las leyes difiere en cada estado, sería difícil su aplicación a un entorno global como Internet. Por ello, se ha realizado también un esfuerzo por conseguir un modelo supraestatal que pueda ser seguido por las leyes nacionales, tarea que ha sido desarrollada por organismos internacionales como la UNCITRAL. http//:www.revistasdederecho.com. surgida de esta ley es altamente confiable y efectiva para el cumplimiento de los requisitos legales y comerciales de las comunicaciones electrónicas. Posteriormente se estudia el Proyecto de Ley de Costa Rica80 y Guatemala sobre Firma Digital, considerándose que, como países del istmo centroamericano, pueden ser de mucha utilidad para Nicaragua en virtud de la experiencia que de estos países vecinos pueda derivarse la aprobación de los proyectos, lo cual serviría como referencia para nuestra normativa jurídica. 2.- Mecanismo de la Firma Digital La firma digital es un algoritmo o código creado por un computador, para permitir comprobar la identidad de la persona que emite un documento o que desea demostrar esa identidad ante un tercero; es comúnmente llamada certificado digital, pues realmente no es una firma como tal, sino mas bien una forma de documento encriptado. La misión fundamental de los certificados es permitir la comprobación de que la clave pública de un usuario, cuyo conocimiento es imprescindible para autenticar su firma electrónica, pertenece realmente a ese usuario, ya que así lo hace constar en el certificado una autoridad que da fe de ello. Representan además una forma conveniente de hacer llegar la clave pública a otros usuarios que deseen verificar sus firmas. Normalmente, cuando se envía un documento firmado digitalmente, éste siempre se acompaña del certificado del 80 En el año 2001 Costa Rica es el primer país de Centroamérica en elaborar un ante proyecto de ley sobre firma digital. http://www.onu.com signatario, con el fin de que el destinatario pueda verificar la firma electrónica adjunta. Estos certificados permitirán a sus titulares realizar una gran cantidad de acciones a través de Internet: acceder por medio de su navegador a sitios web restringidos, a los cuales les deberá presentar previamente el certificado, cuyos datos serán verificados y en función de los mismos se le permitirá o denegará el acceso; enviar y recibir correo electrónico cifrado y firmado; entrar en intranets corporativas, e incluso a los edificios o instalaciones de la empresa, donde se le pedirá que presente su certificado, posiblemente almacenado en una tarjeta inteligente; firmar software para su uso en Internet, como “Applets” de Java o controles “Active X” de Microsoft, de manera que puedan realizar acciones en el navegador del usuario, que de otro modo le serían negadas; firmar cualquier tipo de documento digital, para uso privado o público; obtener confidencialidad en procesos administrativos o consultas de información sensible en servidores de la administración; realizar transacciones comerciales seguras con identificación de las partes. Cómo funciona: 3.- Ley del Estado de Utah sobre Firma Digital 3.1 Introducción El Código de Comercio de Utah se divide en capítulos, títulos y artículos, de los cuales el Título 46 del Capítulo 3 refiere exclusivamente al uso de la Firma Digital.81 81 Que a partir de ahora llamaremos la Ley de Utah. En su arto. 101 establece: Podrá citarse el presente capítulo llamándosele Ley de Firma Digital de Utah. http://www.revistasdederecho.com. Cabe señalar que se trata de una ley bastante completa; dentro de sus artículos comprende una sección de interpretación y definiciones, a fin de que ante cualquier duda sobre su aplicación, prime el espíritu de la ley. 82 Los fines de creación de la ley se basan en facilitar las transacciones mediante mensajes electrónicos confiables, a fin de que se reduzca al mínimo el fraude en las transacciones electrónicas, y establecer, en coordinación con diversos Estados, normas uniformes relativas a la autenticación y confiabilidad de los mensajes electrónicos.83 3.2 Firma Electrónica y Firma Digital La Ley de Firma Digital del Estado de Utah define el concepto de Firma Digital84, no así el concepto de Firma Electrónica. Evidentemente, y como su nombre lo indica, se trata de una norma reguladora de la Firma Digital que de forma específica estudia elementos y características de este tipo de Firma Electrónica (la firma digital). 82 A fin de aclarar conceptos usados en su articulado, la ley desglosa diversas definiciones que sirven como glosario de los términos usados en la ley. 83 Ley de Utah, arto. 102: Se interpretará este capítulo en coherencia con lo que se considere razonable en ciertas circunstancias, para lograr los siguientes fines: 1. Facilitar las transacciones mediante mensajes electrónicos confiables; 2. Reducir al mínimo la posibilidad de fraguar digitales y el fraude en las transacciones electrónicas; 3. Instrumentar jurídicamente la incorporación de normas pertinentes…; 4. Establecer, en coordinación con otros Estados, normas uniformes relativas a la autenticación y confiabilidad de los mensajes electrónicos. http://www.revistasdederecho.com. 84 En la Ley de Utah la Firma Digital se define como la transformación de un mensaje enviando un criptosistema asimétrico, de forma que una persona que posea el mensaje inicial y la clave pública del firmante pueda determinar con certeza: 1. Si la transformación se creó usando la clave privada que corresponde a la clave pública del firmante; y 2. Si el mensaje ha sido modificado desde que se efectúo la transformación. Dispone que, cuando el régimen jurídico requiere una firma, o prevé ciertas consecuencias de la falta de firma, dicho sistema de derecho queda cumplido con una firma digital en los siguientes casos: 1. Si la firma digital se verifica por referencia a la clave pública mencionada en un certificado válido emitido por una autoridad certificante acreditada; 2. Si la firma digital fue suscrita por el firmante con la intención de firmar el mensaje; y 3. Si el destinatario no tiene conocimiento de que el firmante: a). haya infringido un deber en su calidad de suscriptor; o bien b) no posea legalmente la clave privada usada para suscribir la firma digital. Sin embargo, las disposiciones establecidas en esta ley no limitan ni desvalorizan la aplicación de las definiciones de firma, fuera de la misma, a símbolos o marcas que aparezcan en mensajes, que no sean firmas digitales, los cuales pueden ser tratados como firma si son adoptados por una persona con la intención de autenticar un escrito.85 3.3 Certificados y Autoridades de Certificación El organismo administrativo del Estado de Utah, encargado de procesar los registros o archivos relativos a las empresas, sociedades, compañías, y otros, es la División86, quien funciona como la autoridad certificante y está facultada para emitir, suspender y revocar certificados en la forma prescrita para las autoridades certificantes acreditadas.87 Para la acreditación y reglamentación de las autoridades certificantes, es la División quien se encuentra facultada en acreditar y regular a las autoridades certificantes, a fin de garantizar un nivel básico de calidad de sus servicios, que son de vital importancia para la confiabilidad de las firmas digitales. 85 Así se dispone en el Código de Comercio de Utah. Arto. 103 num. 11 define el término División, utilizado en la Ley. La División deberá tener una base de datos de los registros de publicidad de la autoridad certificante, a la cual pueda acceder el público en general; así como facultades para establecer las reglas para: regir a las autoridades certificantes acreditadas…; determinar el monto de la garantía; supervisar los soportes lógicos a usarse en la creación de la firma digital…; determinar los requisitos de un certificado emitido por una autoridad certificante acreditada…; determinar los requisitos que deben cumplir las autoridades certificantes al llevar sus registros…; y para cualquier otro acto tendiente a dar validez e implementar la presente ley de Firma Digital (arto. 104: Papel que le cabe a la División). 87 También procesa los registros de “financing statements”, que es la declaración presentada por un acreedor ante la autoridad competente. En la mayoría de los demás Estados de Norte América, las funciones de la División las lleva la oficina del Secretario de Estado. 86 La acreditación requiere un mínimo sistema regulatorio88, de modo que pueda brindar un nivel básico de confiabilidad en el ejercicio profesional de la autoridad certificante. Las partes de una transacción pueden beneficiarse con esta confiabilidad básica, especificando que sus firmas digitales deben ser verificables por referencia a certificados emitidos por autoridades certificantes acreditadas. Sin embargo, al estipular los requisitos mínimos para la acreditación, la presente ley no impide que una autoridad certificante pueda fijar para sí misma requisitos más estrictos. La acreditación ayuda a garantizar un nivel mínimo de confiabilidad dentro del ejercicio general de la profesión, pero una firma digital de todos modos puede ser confiable y legalmente válida si está autenticada por un certificado emitido por autoridad certificante no acreditada, o sin que medie autenticación alguna por certificado. Los requisitos que tanto el suscriptor de un certificado como la autoridad certificante debe cumplir en la emisión, suspensión, publicación de un certificado o creación de una clave privada, son irrenunciables, y evocan el uso único de un sistema confiable.89 88 La ley establece reglas que rigen la práctica de las autoridades certificantes acreditadas, específicamente reglas para la emisión, suspensión y revocación de certificados. 89 Entre los requisitos de la autoridad certificante está el utilizar únicamente un sistema confiable: Para emitir, suspender o revocar un certificado; Para publicar o notificar la emisión, suspensión o revocación de un certificado; o Para crear una clave privada. Y sólo podrá emitir un certificado a un suscriptor si previamente se cumplen las condiciones siguientes: La autoridad certificante ha recibido un requerimiento de emisión firmado por quien será el suscriptor; La autoridad certificante ha confirmado que: el eventual suscriptor es la persona cuyo nombre figurará en el certificado a emitirse; Ø si el eventual suscriptor actúa a través de representantes, que los haya autorizado debidamente para obtener la custodia de su clave privada, y a requerir la emisión de un certificado donde aparezca mencionada la correspondiente clave pública; Si el suscriptor acepta el certificado emitido, la autoridad certificante publicará una copia firmada del mismo en un repositorio reconocido, salvo que las partes estipulen lo contrario. Si el suscriptor no acepta el certificado, la autoridad certificante acreditada no lo publicará, o cancelará su publicación si ya hubiese sido publicado. Referente a las autoridades certificantes no acreditadas, la ley expresa que puede considerarse eficaz, exigible y válida aunque esté verificada sólo por un certificado emanado de autoridad certificadora no acreditada.90 Esto es debido a que el objeto de la presente ley es aumentar la confiabilidad de las firmas digitales, y no minar la confiabilidad de firma alguna invalidándola por falta de una licencia regulatoria. 3.3.1 Suspensión o Revocación de un Certificado Si el certificado no hubiese sido emitido de acuerdo a los términos antes señalados, o su emisión es deficiente, la autoridad certificante puede revocarlo de inmediato, o suspenderlo durante un período de 48 horas, para que, mediante una investigación, se confirme que existen fundamentos para revocarlo. Si lo revoca o lo suspende, debe inmediatamente notificar al suscriptor. Ø Ø la información que aparece en el certificado es fidedigna; el eventual suscriptor posee legalmente la clave privada, correspondiente a la clave pública mencionada en el certificado; Ø el eventual suscriptor posee una clave privada capaz de crear una firma digital; y Ø la clave pública a mencionarse en el certificado pueda utilizarse para verificar una firma digital generada por la clave privada que tiene el eventual suscriptor. 90 Al respecto, la presente ley no impide la aplicación de otras leyes para determinar qué es lo que constituye una firma. 3.3.2 Vencimiento del Certificado El certificado siempre debe indicar la fecha de vencimiento. Generalmente esta vigencia es de tres años posteriores a su emisión, salvo que en el certificado se especifique un período de vigencia mayor. Cuando vence un certificado, las partes (suscriptor y autoridad de certificación) quedan libres de obligación en relación con el certificado que ha expirado. 3.3.3 Límites de Confianza y de Responsabilidad Al especificar en un certificado el límite de confianza, la autoridad que lo emitió y el suscriptor que lo acepta recomiendan que las personas confíen en él, en tanto y en cuanto el monto en juego no exceda el límite de confianza recomendado. Los límites de responsabilidad para las autoridades de certificación certificadas son91: 1. Que no será responsable por pérdidas causadas por haberse confiado en una firma falsa de un suscriptor si, con respecto a dicha firma, la autoridad hubiera cumplido todos los requisitos pertinentes de ley. 2. Que no será responsable por un monto mayor al que se menciona en el certificado como límite recomendado de confianza en caso de: 91 Arto. 309 de la Ley de Utah. http://www.revistasdederecho.com. Ø Una pérdida causada por haber confiado en un dato falso contenido en el certificado que a la autoridad certificante se le requiera confirmar, o Ø Incumplimiento del artículo 30292 en la emisión del certificado; Ø Será responsable sólo por daños directos emergentes de una acción promovida por resarcimiento de daños debido a haber confiado en el certificado. Estos daños directos compensatorios no incluyen: ü Daños ejemplares o punitivos; ü Daños por lucro cesante, ahorros u oportunidad, ni ü Daños físicos y morales. Es importante señalar que este artículo93aclara la responsabilidad y el riesgo que recae sobre la autoridad certificante y por tanto ésta debe ser capaz de evaluar y manejar su riesgo frente a una posible responsabilidad. También es evidente que este artículo (309) no rige para los casos en que la autoridad certificante viole un contrato u obligación fiduciaria respecto del suscriptor o de cualquier otra persona. 3.4 Eficacia Probatoria de la Firma Digital Firma Manuscrita y Firma Digital Las principales dudas que han surgido en relación con la eficacia probatoria del documento electrónico se generan por la imposibilidad de distinguir entre 92 Este artículo establece los requisitos previos a la emisión de los certificados, entre los cuales están, el que la la autoridad certificante reciba un requerimiento de emisión firmado por quien será el suscriptor y cuyo nombre figurará en el certificado; además, la información que de el suscriptor a la autoridad certificante ha de ser fidedigna. la firma original y la copia, dificultad en la determinación del autor del documento electrónico y la falta de garantía sobre la posible manipulación del documento. El documento que lleva una firma digital se considera, de acuerdo a la ley de Utah,94 documento escrito. De forma que un mensaje tiene la misma validez y puede ser exigido judicialmente si porta en su totalidad una firma digital que sea verificada mediante la clave pública. Sin embargo, la ley de Utah no impide que un mensaje, documento o registro, sea considerado escrito bajo alguna otra ley aplicable. La razón por la cual se considera a un documento firmado digitalmente como un documento escrito se funda en la necesidad de tener pruebas confiables de ciertos documentos importantes y la necesidad de una de las partes de garantizar un grado mínimo de prudencia a una transacción. Al respecto, la ley de Utah equipara los efectos legales que produce la firma digital con los de la firma manuscrita sobre papel, y expresa que una copia de un mensaje firmado digitalmente tiene la misma validez legal que el original del mensaje, salvo que sea evidente que el firmante designó una instancia del mensaje firmado digitalmente para que sea original único, caso en el cual sólo dicha instancia constituye el mensaje válido, efectivo y ejecutable. 93 Arto. 309 de la Ley de Utah. http://www.revistasdederecho.com. También en la Doctrina se habla de la equiparación entre firma manuscrita y firma digital. Ver Cap. II, num. 4. Las nuevas formas y técnicas de autenticación pueden ser tan aceptables como la tradicional firma manuscrita. 94 4.- Proyecto de Ley de Costa Rica sobre Firma Digital y Certificados Digitales 4.1 Introducción Costa Rica, en su afán de maximizar los beneficios que ofrece el comercio electrónico y lograr una posición de vanguardia en la transferencia de tecnología e información, ha elaborado un proyecto de ley para regular la contratación electrónica,95 de manera que pueda proveerse de la adecuada seguridad en la incursión de transacciones jurídicas en la red. No obstante, dicho proyecto, de acuerdo a las críticas de varios estudiosos costarricenses96, adolece de muchas deficiencias, no sólo por que sus conceptos no se adecuan al mercado informático, sino porque su contenido no está acorde a las leyes modelos presentadas por las Naciones Unidas.97 Sobre la estructura del proyecto, ésta se compone por veinte artículos, separados por títulos y capítulos, que a nuestro parecer es un tanto redundante, especialmente por ser una normativa tan pequeña. Debiera utilizarse una simple numeración, rotulando cada numeral de acuerdo al contenido de cada artículo; esa estructura utilizada está más acorde a los Códigos. 95 Presentado en febrero del año 2001. Entre ellos se han destacado por sus críticas: Guillermo Pérez Cano y Alfredo Vargas Merayo, ambos profesores de Derecho Informático en la “Universidad de Costa Rica” en San José, Costa Rica (UCR). 97 A pesar de que uno de sus principales objetivos fue el de adecuar el proyecto al Derecho Internacional en temas de Comercio Electrónico, con el propósito de obtener la adecuada seguridad y certidumbre en las transacciones electrónicas basadas en la red de redes. 96 Otro problema que se genera en este proyecto es que en todo su contexto no se hace referencia de manera explícita o implícita a la protección del consumidor, ni estipula excepción alguna en la protección o uso de recursos ante una norma superior o de igual rango que proteja los intereses de los consumidores. No obstante, y ante la intención de Costa Rica por regular las operaciones que de forma electrónica se realizan, un proyecto de ley sobre Firma Digital, mejor aún una ley, es una necesidad para todos los países interesados en su economía. Esto se explica en el nuevo mundo de la red, que es ahora el mercado espacio con sus vitrinas comerciales y su dinero electrónico que habilita el micro-pago, y en donde el dinero físico no tiene cabida. 4.2 Firma Electrónica y Firma Digital No es mucho lo que dice el proyecto en cuanto a la definición de estos conceptos. No obstante, hace una clara distinción entre el término digital y el término electrónico, y expresa que el primero deberá entenderse como cualquier información codificada en dígitos, siendo más preciso que el segundo término, que de acuerdo al proyecto se refiere al medio físico de procesamiento, almacenamiento o transmisión, el cual es uno de los medios para generar, transmitir y almacenar información digital.98 Una definición muy precisa del concepto de Firma Digital en el proyecto se establece en el artículo segundo, definiéndola como un conjunto de datos, anexos a otros datos o datos asociados funcionalmente, utilizados como medio para identificar al autor o a los autores del documento que la recoge99. Sin embargo, este concepto no recoge una característica esencial del concepto de firma digital generalmente aceptado, que es, el criptosistema o técnica de criptografía asimétrica, que es el sistema de seguridad de la firma digital y lo que le otorga seguridad al momento de su aplicación. En el proyecto se usa el término “Firma Digital Avanzada”, que intenta establecer la infraestructura de seguridad jurídica transaccional en la noción de Firma Digital Avanzada y una arquitectura de dos tipos de firmas: común y avanzada.100 Sin embargo, el grupo de trabajo de la CNUDMI101 excluyó la noción de Firma Digital Avanzada debido a los problemas que este concepto ya presentaba al no ser aclarada en relación a la otra categoría de firma digital (común), particularmente lo concerniente a los efectos legales de ambos tipos de firmas. Siete meses después de publicada esta decisión del grupo de trabajo, el proyecto de ley fue presentado en Costa Rica, y a pesar de haberse excluido el término de firma digital avanzada de la ley modelo, el proyecto de ley costarricense lo acogió. El problema, causado por la confusión en los redactores, se produce al fundamentar la estructura de firma digital en el concepto de firma digital avanzada, y diferenciarla de la firma común. 98 De acuerdo a lo establecido en el arto. 3 del proyecto de ley de Costa Rica. Arto. 2 del proyecto de ley de Costa Rica. 100 En la sesión trigésimo séptima de junio y julio en el año dos mil, la CNUDMI excluyó la noción de Firma Digital Avanzada. Así, en el 2001, la Ley Modelo de la Comisión Naciones Unidas para el Derecho mercantil fue totalmente modificada para manejar una única definición de firma digital y no dos (común y avanzada). 101 Comisión de las Naciones Unidas para el Derecho mercantil Internacional- UNCITRAL. 99 Hoy día se sabe que sólo existe un tipo de firma digital, y que la infraestructura de clave pública es la única que cumple con los requisitos de autenticidad, integridad, no repudio o el no rechazo al documento recibido o emitido. 4.3 Uso de la Firma Digital Existe en el proyecto una confusión en cuanto al uso de la firma digital, ya que en su articulado no se expresa claramente si sólo el Estado podrá utilizarla o los ciudadanos también. El arto. 7 del proyecto102 refleja la intención del legislador en crear un régimen de firma digital para uso exclusivo por parte del Estado (lo que se confirma al final del artículo primero103). Sin embargo, el arto. 19104 parece ser una aclaración al expresar que no se trata de prohibir el uso de la firma a los particulares, sino de que éstos puedan estipular una firma digital distinta a la de uso del Estado. 102 Artículo 7: Se autoriza a los Poderes Legislativo, Ejecutivo y Judicial, al Tribunal Supremo de Elecciones, Contraloría General de la República, Defensoría de los Habitantes, así como a todas las Instituciones Públicas descentralizadas, y entes públicos no estatales para la utilización de la firma digital avanzada y los documentos electrónicos firmados digitalmente en sus relaciones internas, entre ellos y con los particulares, de conformidad con las previsiones de esta ley y su reglamento. 103 Artículo 1: “regular el uso y el reconocimiento jurídico de la firma digital … a la cual le otorga la misma validez y eficacia que el uso de una firma manuscrita…así como autorizar al Estado para su utilización…” 104 Artículo 19: Las disposiciones de esta ley no deberán entenderse en el sentido de prohibir la existencia de sistemas de firma digital basados en convenios expresos entre las partes, las que podrán a través de un contrato fijar sus derechos y obligaciones, y las condiciones técnicas y de cualquier otra clase, bajo las cuales reconocerán su autoría sobre un documento digital o mensajes de datos que envíen, o la recepción de un mensaje de datos de su contraparte. A este punto, es necesario que el legislador aclare cuál es la ventaja de excluir a los particulares de uso de la firma digital, si es que hay alguna; o si es que se ha entendido incorrectamente el espíritu de la ley. Cabe señalar que son pocos los países que han tomado el camino restrictivo del uso de la firma digital, ya que la mayoría se ha inclinado por una reglamentación erga homes respecto al uso de esta firma. 4.4 Certificados y Autoridades de Certificación El órgano rector de los servicios de certificación es el Ministerio de Ciencia y Tecnología, toda interpretación estará bajo su criterio. La autoridad de acreditación, coordinada con el órgano rector, será un ente con participación activa y equilibrada de los sectores involucrados. Para la acreditación y reglamentación de las empresas certificadoras105, la autoridad de acreditación, mediante la función de acreditación, debe reconocer formalmente que una organización es competente para llevar a cabo tareas específicas de acuerdo a los requisitos de las normas nacionales e internacionales. De forma que permitan lograr un adecuado grado de seguridad y confianza que proteja debidamente los derechos de los usuarios. Estas empresas certificadoras deberán someterse al proceso de acreditación que se defina al respecto, a fin de que estén debidamente acreditadas. No obstante, este proceso de acreditación del que hace mención el proyecto, no se encuentra definido en su articulado, y deja su regulación al reglamento que de la ley (hoy en proyecto) se haga y a la norma internacional. Las funciones de las empresas certificadoras serán, entre otras, las de emitir o cancelar certificados digitales, así como brindar otros servicios inherentes al propio certificado, las cuales serán supervisadas por la autoridad de acreditación que ejercerá la facultad de inspección sobre los prestadores acreditados y podrá, a tal efecto, requerir información, ordenar evaluaciones anunciadas o no anunciadas a sus instalaciones, así como solicitar las modificaciones necesarias para que se mantenga actualizado el sistema y el servicio. Sobre los certificados no emitidos en Costa Rica, el proyecto permite darle la misma validez que los otorgados por prestadores establecidos en el país sólo cuando hayan sido homologados por estos últimos bajo su responsabilidad, y reconocidos por la autoridad de acreditación competente, de acuerdo a la ley, su reglamento y las normas internacionales. 4.4.1 Cancelación y Revocación de los Certificados Las empresas certificadoras podrán cancelar o revocar certificados digitales cuando sea por solicitud o muerte del titular de la firma, por expiración del plazo o cese de operaciones de la entidad certificadora, o por incumplimiento contractual. 105 Aunque en la doctrina se utiliza indistintamente los términos de autoridad de certificación, autoridad emisora certificación, la CNUDMI ha criticado ambos términos y propuso utilizar el de entidad, dejando a Las demás posibilidades en se pueda revocar o cancelar un certificado, el proyecto lo deja a disposición del reglamento que vaya a establecerse. 4.4.2 Límites de Confianza y de Responsabilidad Respecto a la conducta de las partes que intermedian en la firma digital, el proyecto no establece con claridad las conductas exigidas, específicamente la del firmante, la del proveedor de servicios de certificación, y la de la persona que confía en el sistema. La ley Modelo para las Firmas Electrónicas y la Ley Modelo del Estado de Utah, proporcionan un código de conducta mínimo para regular la actuación de estas partes: para el firmante, actuar con una diligencia razonable a fin de evitar la utilización no autorizada del dispositivo de firma digital; para el que confía, verificar la fiabilidad de la firma digital para poder exigir responsabilidad. De forma que todas estas lagunas presentadas en el proyecto pueden subsanarse con la adecuación del proyecto a la Ley Modelo sobre Firma Digital. 4.5 Eficacia Probatoria de la Firma Digital Firma Manuscrita y Firma Digital La Firma Digital106, siempre que esté basada en un certificado digital reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá respecto de los datos consignados en forma digital, el mismo cada Estado la decisión de someterlas o no a un régimen jurídico de autorización. 106 O Firma Digital Avanzada como erróneamente la define el proyecto de Costa Rica. valor jurídico que la firma manuscrita en relación con los consignados en papel.107 Sin embargo, el proyecto es omiso en cuanto a la confidencialidad y credibilidad que el sistema de la firma digital otorga a los usuarios, pieza esencial sin la cual el nuevo sistema de seguridad no tendría credibilidad ni confiabilidad entre el Gobierno, los empresarios, particulares y usuarios en general. El tema de la credibilidad refiere a los procedimientos, la seguridad de los recursos humanos y financieros utilizados en los servicios de certificación, y en general a la validez jurídica de los documentos, sin que constituya sólo un factor técnico. Es necesario que las partes crean firmemente en el uso de los certificados y las firmas digitales, y que los acuerdos firmados digitalmente sean reconocidos como válidos para el uso propuesto. En general, se trata de que los ciudadanos puedan determinar hasta qué punto la firma digital o el certificado son jurídicamente válidos. Otro aspecto importante, omitido en el proyecto, es la prelación para una posible interpretación de la ley, necesaria en algún momento para jueces, tribunales y otras autoridades nacionales. La Ley Modelo sobre Firma Digital recomienda que se regule en la ley nacional la interpretación del texto uniforme, haciendo 107 La doctrina ha dado el mismo valor a la Firma Digital, en virtud de la confiabilidad que permite ésta en su uso. Ver capítulo segundo. hincapié a su origen internacional, a fin de promocionar la uniformidad en su aplicación y la observancia de la buena fe.108 5.- Proyecto de Ley para la Promoción del Comercio Electrónico y Protección de la Firma Digital de Guatemala 5.1 Introducción Este es el segundo país de la región centroamericana en elaborar un proyecto de ley para regular la utilización de los medios modernos de comunicación, tales como el correo electrónico, el intercambio electrónico de datos y la Firma Digital.109 La finalidad de la ley propuesta es la de ofrecer un conjunto de reglas generales que sean aceptables en el ámbito regional y que permitan un desarrollo más seguro de las vías electrónicas de negociación, designadas por el nombre de comercio electrónico. El proyecto de ley consta de cincuenta y dos artículos, separados por capítulos, cuyo capítulo quinto corresponde específicamente a la Firma Digital. Particularmente, la ley no contiene normas sobre protección de los derechos de autor, delitos informáticos, problemas de ley y jurisdicción aplicable. 108 Arto. 4 de la LMFD de la UNCITRAL. También recomienda introducir en la ley nacional de firma digital “…aquellas cuestiones concernientes a la ley modelo que no estén expresamente discernidas en ella, deberán ser resueltas de conformidad a los principios generales en que se fundamentan estas reglas…” 109 Presentado al Congreso de la República de Guatemala a finales del año 2001. En cuanto a la protección del consumidor y el usuario, la propuesta de ley es muy clara en establecer que las normas que las regulan son de índole superior. De acuerdo a los objetivos del proyecto se pretende: facilitar el empleo del comercio electrónico; y conceder igualdad de trato a los usuarios de mensajes consignados sobre un soporte informático que a los usuarios de la documentación consignada sobre papel, con la cual se puede promover la economía y la eficiencia del comercio internacional. 5.2 Firma Electrónica y Firma Digital Entre firma electrónica y firma digital, el proyecto regula esencialmente lo concerniente a Firma Digital, y define este último concepto como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje, permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación. 5.3 Uso de la Firma Digital Al igual que Utah, Guatemala se inclina por una reglamentación erga homes respecto al uso de la firma digital. Su uso establece ciertas disposiciones mínimas que habrán de cumplirse, entre ellas que la firma sea única a la persona que la usa, susceptible de ser verificada, controlada exclusivamente por la persona que la usa, y sea acorde a la información o mensaje. 5.4 Certificados y Autoridades de Certificación Las sociedades de certificación en Guatemala, de acuerdo al proyecto, son personas naturales o jurídicas, cuyas funciones radican en emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. Las sociedades de certificación serán autorizadas por la Dirección de Comercio Electrónico, la cual velará por el funcionamiento y la eficiente prestación del servicio por parte de las sociedades de certificación. 5.4.1 Revocación y Terminación de un Certificado Tanto el suscriptor como la sociedad de certificación podrán terminar o revocar un certificado de acuerdo a ciertas condiciones. La sociedad de certificación podrá dar por terminado el acuerdo de vinculación con el suscriptor dando un preaviso no menor de noventa días. Vencido este término, la sociedad de certificación revocará los certificados que se encuentren pendientes de expiración. Asimismo, el suscriptor podrá dar por terminado el acuerdo de vinculación con la sociedad de certificación dando un preaviso no inferior a treinta días. También podrá el suscriptor de una firma digital certificada solicitar, a la sociedad de certificación que expidió un certificado, la revocación del mismo por pérdida de la clave privada o cuando ésta haya sido expuesta o corre el riesgo de que se le de un uso indebido. Cuando se presenten las anteriores situaciones y el suscriptor no solicita la revocación del certificado, será responsable por las pérdidas o perjuicios en los cuales incurran terceros de buena fe. La sociedad de certificación podrá revocarlo a petición del suscriptor o por muerte de éste, por liquidación del suscriptor (en el caso de las personas jurídicas), por la confirmación de que alguna información o hecho contenido en el certificado es falso, por estar la confiabilidad del certificado afectada, por orden judicial, o por cese de actividades de la sociedad de certificación. 5.4.2 Límites de Confianza y de Responsabilidad A diferencia del proyecto presentado por Costa Rica, el proyecto de Guatemala hace un intento por regular la conducta de las partes que intermedian en la firma digital. El proyecto, en su capítulo seis y ocho establece las conductas exigidas, específicamente la del firmante y la del proveedor de servicios de certificación. Entre las obligaciones de las sociedades de certificación están las de garantizar al suscriptor un sistema de seguridad confiable, que garantice la emisión y creación de firmas digitales, así como la confidencialidad y debido uso de la información suministrada por el suscriptor. Por su parte, los suscriptores serán responsables de falsedad, error u omisión cuando no suministren, de forma fidedigna, la información que requiera la sociedad de certificación, o no mantengan el control de la firma. 5.5 Eficacia probatoria Firma Manuscrita y Firma Digital A la firma digital se le ha dado igual validez que la firma manuscrita, tanto en la Doctrina como en las normas estudiadas anteriormente de Utah y Costa Rica. Ya en su exposición de motivos el proyecto establecía que debe dársele a los mensajes electrónicos, a los documentos digitales y a la firma digital los mismos términos de protección penal que a la firma manuscrita y a los documentos asentados en soporte papel. De acuerdo al capitulo quinto del proyecto, siempre que la firma esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto a los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y será admisible como prueba en juicio, valorándose ésta, según los criterios de apreciación establecidos en las normas procesales.110 6.- Análisis Comparativo Sin duda, existen en las legislaciones diversos criterios relativos a la firma digital. No obstante, la Doctrina es bastante amplia en materia de Derecho Informático, e impone conceptos generales que aunque no se adopten en la legislación interna de cada país de forma exacta, sí contienen los mismos elementos de estructuración de tal concepto. Existe una ley marco, que es la Ley Modelo para las Firmas Electrónicas, cuya finalidad es uniformar todos los criterios existentes en todas las legislaciones del mundo, y que aunque no contiene definiciones específicas, sí contempla los parámetros a seguir en la redacción de una ley en materia de Firma Digital. 6.1 Firma Electrónica y Firma Digital Fue difícil detectar en las legislaciones estudiadas diferencia entre ambos conceptos, ya que sólo se conceptúa en ellas el término de firma digital. Si embargo, los tres países -Guatemala, Utah y Costa Rica-, separan el uso de la firma electrónica con el de firma digital, y, aunque no muestran un concepto preciso de firma electrónica, sí queda claro que se está hablando de términos distintos: firma digital y firma electrónica. Los títulos en los que se enmarcan las tres legislaciones estudiadas refieren al nombre de Firma Digital, y quizás por eso hacen más énfasis en los elementos de la firma digital, no aclarando que ésta es un tipo de firma electrónica. 110 Arto. 28 del Proyecto de ley para la Promoción del Comercio Electrónico y Protección de la Firma Digital. La Ley Modelo para las Firmas Electrónicas establece definiciones en general de ciertos tipos de firma electrónica, incluyendo la Firma Digital, y explica características y elementos de cada una de ellas. A pesar que esta ley contempla diversos tipos de firmas electrónicas, muchos países prefieren normar la Firma Digital, debido a que su uso es más eficaz y válido en cualquier contrato informático111. A pesar que muchos países regulan únicamente el uso de la Firma Digital, algunos de ellos dejan a salvo la posibilidad de uso de cualquier otro tipo de firma electrónica. A mi parecer, los proyectos presentados por Guatemala y Costa Rica necesitan más desarrollo en su contenido, adecuándose cada uno de ellos a sus necesidades, sin obviar la guía presentada por la CNUDMI para su incorporación a la legislación nacional. 6.2 Uso de la Firma Digital Normalmente, las legislaciones regulan el uso de la firma digital con efectos erga homes. Guatemala y Utah son dos de esos países que disponen el uso de la Firma Digital para toda persona natural o jurídica. Sin embargo, Costa Rica no es clara al establecer el uso de la firma digital, puesto que en su articulado se confunde la intención del legislador en disponer si sólo es para uso de entidades del Estado o también para los particulares en general. En este punto, el proyecto de Costa Rica requiere más precisión y exactitud en cuanto a definiciones se refiera, ya que no logra manifestarse en el lector el 111 Como expresa Rafael Mateu de Ros en su libro Derecho de Internet: “La Firma Digital es una clase particular de firma electrónica que podría ofrecer una mayor seguridad.” verdadero espíritu de la Ley, y puede, en el momento de aplicación de la norma, comprometerse a ambigüedades. 6.3 Certificados y Autoridades de Certificación Los términos empleados en el Derecho comparado para definir a las autoridades de certificación son diversos. Ya se vio en la legislación de Utah que ésta refiere a autoridades certificantes; no obstante Costa Rica hace mención al término de empresas certificadoras, y finalmente Guatemala las llama Sociedades de Certificación. Sobre la revocación y terminación de un certificado, las tres legislaciones emitieron sus condiciones y términos de forma clara para el actuar de las personas involucradas en estos casos. En cuanto a los límites de confianza y responsabilidad, en las legislaciones de Utah y Guatemala se contempla una normativa bastante acertada a la ley modelo, principalmente en la primera, sobre el comportamiento mínimo para las diversas partes, ya que determinan, de acuerdo a los parámetros de la ley modelo, el grado de responsabilidad de las partes involucradas en el uso de la firma. El caso de Costa Rica es diferente. El proyecto omite la regulación de los límites de confianza y responsabilidad de las partes. Pareciera ser que en la redacción de este proyecto, Costa Rica aún no estaba preparada o no conocía la ley modelo que presentaba la CNUDMI; incluso, la ley modelo contiene una Guía para su adecuación en la legislación de otros países, de forma que facilita la redacción del texto. 6.3 Eficacia Probatoria de la Firma Digital Firma Manuscrita y Firma Digital En la legislación de los tres países estudiados se establece como equivalente el valor que tiene la firma digital respecto al valor de la firma manuscrita. Esto se fundamenta en que ambas firmas reconocen cierto grado de seguridad y confiabilidad en su uso. Por tanto la eficacia probatoria de la misma radica en que se equipara a la firma manuscrita con todos los derechos y obligaciones que esta última presenta. No obstante, esta eficacia probatoria no puede ser posible si no se cuenta con la tecnología necesaria para hacer efectiva la demostración de un ilícito al momento de un litigio entre las partes. Por lo que se hace indispensable contar con las herramientas tecnológicas adecuadas para que se pueda aplicar con eficacia el derecho pertinente. CAPITULO IV. LEY MODELO DE LA CNUDMI PARA LAS FIRMAS ELECTRONICAS 1.- Introducción La Ley Modelo supone un nuevo paso en una serie de instrumentos internacionales aprobado por la CNUDMI112, que se centran especialmente en las necesidades del comercio electrónico, y preparados de acuerdo a las necesidades de los medios de comunicación modernos. Se vio que las nuevas tecnologías se habían desarrollado con rapidez y seguirían desarrollándose a medida que continuara difundiéndose el acceso a soportes técnicos, como las autopistas de la información y la Internet. Sin embargo, la comunicación de datos de cierta trascendencia jurídica en forma de mensaje sin soporte de papel podría verse obstaculizada por ciertos impedimentos legales al empleo de mensajes electrónicos, o por la incertidumbre que pudiera haber sobre la validez o eficacia jurídica de esos mensajes. La CNUDMI preparó la Ley Modelo sobre Comercio Electrónico para facilitar el creciente empleo de los medios de comunicación modernos, con la finalidad de ofrecer al legislador nacional un conjunto de reglas aceptables en 112 Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI). Dentro de la primera categoría, la de instrumentos concretos adaptados al comercio electrónico, se encuentra la Guía jurídica de la CNUDMI sobre transferencias electrónicas de fondos (1987), la Ley Modelo de la CNUDMI sobre Transferencias Internacionales de Crédito (1992), la Ley Modelo de la CNUDMI sobre Comercio Electrónico (1996 y 1998), y la Ley Modelo para las Firmas Electrónicas (2001). En la segunda categoría figuran todas las convenciones y convenios internacionales, y demás instrumentos legislativos aprobados por la CNUDMI desde 1978, en todos los cuales se promueve un menor formalismo y se recogen definiciones de “escrito” cuya finalidad es abarcar las comunicaciones inmateriales. el ámbito internacional que le permitan eliminar alguno de esos obstáculos jurídicos con miras a crear un marco jurídico que permita un desarrollo más seguro en las vías electrónicas de negociación, designadas por el nombre de “comercio electrónico”. Sin embargo, esta ley sólo regulaba con carácter general, y sin entrar a regular de forma específica, el concreto uso de las firmas digitales, es decir, el equivalente funcional de firma, estableciendo los requisitos de admisibilidad de una firma producida por medios electrónicos. En concreto establece que las funciones tradicionales de una firma son: identificar a una persona, proporcionar certidumbre en cuanto a su participación personal en el acto de una firma, y vincular a esa persona con el contenido del documento. Cabe señalar que algunos países estiman que las cuestiones jurídicas relacionadas con la utilización de la firma digital han quedado resueltas con la Ley Modelo sobre Comercio Electrónico, y no tienen previsto adoptar ninguna otra normativa sobre la firma digital hasta que las prácticas del mercado en esta nueva esfera estén mejor asentadas. No obstante, la Ley Modelo para las Firmas Electrónicas trae más beneficios en cuanto al uso de las Firmas electrónicas, ya que ofrece la orientación de un instrumento internacional, y prevé la interacción de tres funciones distintas que pueden intervenir en cualquier tipo de firma electrónica: crear, certificar y confiar en una firma electrónica. La decisión de la CNUDMI de regular un régimen legal modelo para el comercio electrónico se debió a que el régimen aplicable en ciertos países a la comunicación y archivo de la información era inadecuada, o se había quedado anticuado u obsoleto, al no haberse previsto en ese régimen las modalidades propias del comercio electrónico. En algunos casos, la legislación vigente impone o supone restricciones al empleo de los medios de comunicación modernos, por ejemplo, al prescribir el empleo de documentos “escritos”, “firmados” u “originales”. Al respecto, tanto la ley modelo sobre comercio electrónico como la de firma electrónica, adoptaron un enfoque basado en la equivalencia funcional. 2.- Finalidad de la Ley Modelo La finalidad con la que se preparó esta ley fue la de ofrecer a las distintas legislaciones del mundo un marco legislativo moderno, equitativo y armonizado, para que de esa forma sea más seguro y eficaz todo lo relativo a las firmas electrónicas, y se pueda tener un régimen jurídico mundial uniforme en relación a las firmas electrónicas. Así pues, esta ley modelo tiene como finalidad brindar una mejor comprensión sobre las firmas electrónicas a los países que pretenden adoptar esta ley como una guía para incorporar la misma a su derecho interno, a fin de superar una serie de obstáculos legales y de crear un ambiente legal más seguro para el comercio electrónico. Otra finalidad importante de esta ley, es la de facilitar el empleo de firmas electrónicas y de conceder un trato en igualdad de condiciones a los usuarios de documentación consignada sobre papel, y a los de información consignada en soporte informático, las cuales son fundamentales para promover la economía y la eficacia del comercio internacional. 3.- Antecedentes de la Ley Modelo Las Naciones Unidas, a través de la CNUDMI, han adoptado desde 1978 diversos documentos, a fin de promover principalmente la reducción del formalismo de los sistemas jurídicos mundiales. El más específico, y quizás más conocido y exitoso de los instrumentos de la CNUDMI en el campo del comercio electrónico, es la Ley Modelo sobre Comercio Electrónico113, a partir de la cual la CNUDMI elaboró la Ley Modelo para las firmas Electrónicas.114 La coherencia que existe entre ambas leyes modelos no es casualidad. El grupo de trabajo de la CNUDMI, al abordar la posible regulación de las firmas digitales, puso de manifiesto la existencia de conceptos amplios como firma electrónica, y otros más restringidos como firma digital; y se debatió si debía ocuparse exclusivamente de éstas, o si debía ocuparse también de otras firmas electrónicas basadas en técnicas distintas. La CNUDMI examinó el informe presentado por el grupo de trabajo, y opinó que, si bien el grupo de trabajo podría concentrar su atención en las cuestiones de la firma digital, el régimen uniforme que se preparara debería atenerse al criterio de neutralidad adoptado 113 Desde que se inició su preparación a inicios del 90, ha tenido como resultado el incremento del uso de los medios modernos de comunicación, tales como el correo electrónico y la transferencia electrónica de datos en la operación de las transacciones de la compraventa internacional. La decisión de la CNUDMI de formular esta legislación modelo sobre comercio electrónico, fue en respuesta al hecho de que en un gran número de países la legislación existente que regulaba las comunicaciones y las formas de guardar la información, en su mayoría estaban anticuadas o eran inadecuadas. 114 Elaborada en el año 2001, a partir del arto. 7 de la Ley Modelo de la CNUDMI sobre Comercio Electrónico. Sin embargo, se considera un instrumento jurídico independiente, pero con plena coherencia con la Ley Modelo sobre Comercio electrónico. En adelante se le llamará “Ley Modelo”. por la Ley Modelo de la CNUDMI sobre Comercio Electrónico en lo relativo a los diversos medios técnicos disponibles. Esto evitó que el régimen uniforme no desalentara el recurso a otras técnicas de autenticación. 4.- La Ley Modelo como Instrumento de Armonización de Leyes Como se ha explicado anteriormente, la ley modelo es el resultado de una necesidad social, y por ende jurídica, de regular el uso de las firmas electrónicas, que no sólo se limita a un ámbito nacional sino que también internacional. Al preparar y aprobar esta Ley Modelo, la CNUDMI tuvo en cuenta una Guía informativa acerca de los antecedentes y contenido de la ley, a fin de que facilitara a los órganos ejecutivos y legislativos de los Estados la debida información. Esto a su vez ayudaría a dar una interpretación precisa y uniforme del articulado contenido en la Ley Modelo. Asimismo, y como sus objetivos lo expresan, es finalidad de la Ley armonizar, de forma equitativa, los criterios legislativos adoptados por diversas legislaciones, para así lograr establecer normas básicas de lo que constituye en esencia un fenómeno internacional. La Ley Modelo no es un convenio, y por tanto no es preciso que el Estado promulgante lo notifique a las Naciones Unidas o a otros Estados, ni tampoco que lo adopte en su totalidad, ya que puede, la Ley Modelo, ser incorporada al derecho interno con modificaciones o exclusiones de algunas disposiciones del texto uniforme. No así en un convenio, en donde la posibilidad de que las partes hagan modificaciones al texto está mucho más limitada. La flexibilidad que presenta la Ley Modelo, sobre posibles modificaciones, obedece al sistema procesal y judicial nacional que tenga cada país para que el texto uniforme sea adecuado a su legislación sin problema alguno. No obstante, ello supone que el grado de armonización y certeza que se logra mediante la legislación modelo es quizás inferior al de un convenio. Y es por ello que la Ley Modelo recomienda a los Estados que hagan el menor número posible de modificaciones al incorporar la ley Modelo a su derecho interno, y así lograr un grado satisfactorio de armonización y certeza para sus usuarios nacionales y extranjeros. 5.- Características de la Ley Modelo Las características que la Ley Modelo presenta están de acuerdo a la forma y al fondo que el texto de la Ley Modelo contiene. Así, de acuerdo a su forma, presenta características que determinan la finalidad de la Ley como Ley Marco para muchas legislaciones; en tanto las características que obedecen al fondo, se derivan de su relación con la Ley Modelo de la CNUDMI sobre Comercio Electrónico. Una primera característica es su naturaleza legislativa. La Ley Modelo fue preparada partiendo del supuesto de que debería derivarse del artículo siete de la Ley Modelo de la CNUDMI sobre Comercio Electrónico y considerarse como una manera de proporcionar información detallada sobre el concepto del “método fiable para identificar” a una persona y “para indicar que esa persona aprueba” la información que figura en el mensaje de datos. La independencia que presenta la Ley Modelo respecto de la Ley Modelo sobre Comercio Electrónico. En un principio la Ley Modelo sería una versión ampliada de la Ley Modelo sobre Comercio Electrónico, como una tercera parte de esta última; pero finalmente el grupo de trabajo de la CNUDMI decidió que la Ley Modelo fuera un instrumento jurídico independiente; ya que en ese momento la Ley Modelo sobre Comercio Electrónico se estaba aplicando de una manera satisfactoria en una serie de países y otros estaban estudiando su aprobación. Por lo tanto, el agregarla a la Ley Modelo sobre Comercio Electrónico, hubiese puesto en peligro el éxito de la versión original, porque podría haber dado lugar a confusiones en los países que ya la habían aprobado. La plena coherencia entre la Ley modelo y la Ley Modelo de la CNUDMI sobre Comercio Electrónico. Al redactar esta ley se aseguró la coherencia con el contenido y la terminología de la Ley Modelo de la CUNDMI sobre Comercio Electrónico. Tal es el caso, que en esta ley se reprodujeron los artículos No. 1 (ámbito de aplicación), 2 inciso a), c) y e), (referidos a las definiciones de “mensajes de datos”, “iniciador” y “destinatario”), 3 (interpretación), 4 (modificación mediante acuerdo) y 7, (firma) de las disposiciones generales de la Ley Modelo de la CNUDMI sobre Comercio Electrónico. Esta característica contiene un principio de neutralidad respecto de los medios técnicos utilizados y un criterio de no discriminación de todo equivalente funcional de los conceptos y practicas que tradicionalmente funcionan sobre soporte de papel, y una amplia confianza en la autonomía de la voluntad contractual de las partes. La Ley Modelo ha sido concebida para ser utilizada como un marco normativo mínimo en un entorno abierto, un entorno en el que las partes puedan negociar por vía electrónica sin acuerdo previo; y como disposiciones contractuales modelo o reglas de derecho supletorio en un entorno cerrado, es decir en un entorno en el que las partes estén obligadas por reglas contractuales y procedimientos previamente estipulados que deberán ser respetados al negociar por vía electrónica. La Ley Modelo como régimen marco. Esta ley tiene como finalidad ofrecer principios fundamentales que facilitan el empleo de las firmas electrónicas y no abarca todos los aspectos del empleo de firmas electrónicas. Por ello, los estados que incorporen esta ley a su derecho interno, tienen que emitir reglamentaciones que cubran los detalles procedimentales relativos a los procedimientos autorizados por esta ley (Ley Modelo). También es importante que los estados, al promulgar dicha reglamentación, mantengan la flexibilidad del funcionamiento de los sistemas de creación de firmas electrónicas por parte de los usuarios de éstas. La Ley Modelo como mayor seguridad en las consecuencias jurídicas de las firmas electrónicas. Una de las características principales de esta ley es la de aumentar la seguridad del funcionamiento de los criterios de flexibilidad que se establece en el artículo siete de la ley Modelo de la CNUDMI sobre Comercio Electrónico sobre la equiparación (equivalencia) de una firma electrónica a una firma manuscrita. De tal forma que mediante la firma electrónica se pueda identificar a una persona; dar certeza sobre la participación personal de esa persona en el acto de firmar; y asociar a esa persona con el contenido de un documento. La ley Modelo como normas de conductas básicas para las partes interesadas. En esta ley no se aborda en detalles las cuestiones de la responsabilidad que pueda corresponder a cada una de las partes, ya que estas cuestiones quedan al margen de esta ley y se dejan al derecho aplicable, debido a que como se dejó claro anteriormente, esta ley no regula todos los aspectos para el empleo de las firmas electrónicas. La Ley Modelo como marco de neutralidad de los medios técnicos utilizables. Aquí se establece el reconocimiento jurídico de las firmas electrónicas, independientemente de la tecnología utilizada (a saber, firmas electrónicas basadas en criptografía asimétrica (firma digital); la biometría; la utilización de números de identificación personal (NIP); versiones digitalizadas de firmas manuscritas, y otros métodos como la selección de un signo afirmativo en la pantalla electrónica mediante el ratón del computador). Esto se debe a la gran evolución en las innovaciones tecnológicas que son las principales herramientas del comercio electrónico. 6.- Observaciones en torno a la Firma Digital 6.1 Firma Electrónica y Firma Digital El segundo artículo del texto de la Ley Modelo contempla únicamente la definición de firma electrónica, y no se preocupa en definir la firma digital, puesto que, como su titulo lo indica se trata de una normativa general que regula de forma abierta el uso de las firmas electrónicas en general. Y expresa que por firma electrónica se entenderá los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, y que puedan ser utilizados para identificar al firmante en relación al mensaje de datos e indicar que el titular de la firma aprueba la información contenida en el mensaje de datos.115 No obstante, existe un apartado sobre las firmas digitales116, que explica su uso y cierta terminología técnica, cuya finalidad es presentar una guía de contenido para aquellos países que prefieren por optar a un marco regulatorio más específico, como lo es la firma digital. El objetivo de la Ley Modelo no es regular totalmente lo referido a las firmas electrónicas, no obstante, establece la normativa básica a partir de la cual los países interesados puedan desarrollas su propio marco jurídico, reglamentándolo de forma específica 6.2 Certificados y Autoridades de Certificación Sobre los certificados la Ley Modelo contempla un concepto que poco difiere de su significado general (de documento mediante el cual una persona confirma ciertos hechos). En el artículo dos inciso “b”, se entiende por certificado todo mensaje de datos u otro registro que confirme el vínculo entre un firmante y los datos de creación de la firma. 115 Arto. 2 inco. a) de la Ley Modelo de la CNUDMI para las Firmas Electrónicas. En cuanto a las autoridades de certificación, la Ley Modelo se refiere a estas entidades con el nombre de “Prestador de servicios de certificación”117, sin embargo, su definición no difiere de los conceptos establecidos en las legislaciones ya estudiadas118. 6.2.1 Límites de Confianza y de Responsabilidad Como era de esperarse, los artículos de la Ley Modelo se han redactado de modo que representen un código de conducta que las partes interesadas, en este caso el firmante y el eventual prestador de servicios de certificación, deben cumplir.119 Las consecuencias del incumplimiento de ese código de conducta se dejan en manos del derecho aplicable al margen de la Ley Modelo. Es necesario señalar que de las legislaciones estudiadas, únicamente el estado de Utah regula de forma específica la conducta entre las relaciones del firmante y el prestador de servicios de certificación. Guatemala regula este punto de una forma no tan concreta pero lo establece en su normativa, pero Costa Rica no establece con claridad las conductas exigidas, específicamente la del firmante, la del proveedor de servicios de certificación, y la de la persona que confía en el sistema. 116 Guía para la incorporación al derecho interno de la Ley Modelo de la CNUDMI para las Firmas Electrónicas. 117 Arto. 2 inco. e) de la Ley Modelo de la CNUDMI para las Firmas Electrónicas. 118 Utah, Costa Rica y Guatemala. 119 Del proceder del firmante el texto uniforme establece que éste deberá actuar con diligencia razonable para evitar la utilización no autorizada de un dispositivo de firma. Esta constituye una obligación básica que suele figurar, por ejemplo en los acuerdos relativos a la utilización de tarjetas de crédito. En cuanto al proceder del prestador de servicios de certificación se enuncia la regla fundamental de que éste debe atenerse a las declaraciones que haya hecho y a los compromisos que haya contraído. 6.3 Eficacia Probatoria de la Firma Digital Firma Manuscrita y Firma Digital (dentro de la Firma Electrónica) La noción de firma electrónica que se establece en el texto, aspira a abarcar todos los usos tradicionales de una firma manuscrita con consecuencias jurídicas, siendo la identificación del firmante y la intención de firmar sólo el mínimo común denominador de los diversos criterios relativos a la “firma” que se hallan en los diversos ordenamientos jurídicos. Asimismo, la definición de firma electrónica se limita a ilustrar que la Ley Modelo se centra en el uso de firmas electrónicas como equivalentes funcionales de la firma manuscrita. Debe entenderse que la eficacia probatoria que conlleve la firma manuscrita también será propia de la firma digital, con los mismos efectos y características, tal como se refleja en la doctrina y en muchas legislaciones que ya han adoptado un sistema normativo de las firmas digitales. CONCLUSIONES 1.- La Firma Digital, en virtud de los avances tecnológicos que día a día son parte del comercio electrónico, es un instrumento confiable en la contratación informática, que está favoreciendo el desarrollo de la economía y la seguridad en las transacciones comerciales. 2.- La firma digital puede ser utilizada en diferentes puntos del mundo, de forma simultánea y sin necesidad de testigos. El proceso de firma y de verificación son programas que pueden estar almacenados en cualquier procesador contenido en un Smart Card, en un PDA, en una Note Book, en una PC, etc. 3.- El uso de la Firma Digital no sólo trata la regulación interna, sino que conlleva a una uniformidad a nivel internacional, de manera que no afecte las transacciones entre las partes. 4.- A través de la experiencia jurídica de muchos países, se ha demostrado que el uso de la firma digital trae consigo ventajas determinantes en la vida social, jurídica y económica de cada país. 5.- La CNUDMI, a través de la Ley Modelo para las Firmas Electrónicas, da las bases jurídicas para su incorporación al Derecho interno de cada país, respetando la uniformidad en los aspectos más importantes sobre Comercio electrónico. 6.- En Nicaragua, aunque ya se celebran Contratos informáticos, no existe en la actualidad un marco regulatorio sobre los mismos. Por lo tanto, la seguridad jurídica que los contratos presentan a las partes es discutible. 7.- En Nicaragua la creación de una Ley de Firma Digital, por sí sola no sería eficaz, ya que antes se necesita crear una normativa jurídica en torno al comercio electrónico, como por ejemplo, una Ley de Comercio Electrónico, Ley de Servicio de la Sociedad de la Información, Ley de Protección de Datos, etc. Es decir, regular la parte general de la materia, hasta llegar a su parte específica, que en este caso es la Firma Digital. 8.- En nuestro país, la incorporación de un marco regulatorio sobre Comercio Electrónico traería grandes beneficios, tales como: mayor inversión en el país; actualización y fortalecimiento del Derecho Interno frente a los grandes avances tecnológicos; y seguridad jurídica a las partes al momento de contratar. 9.- En Nicaragua, la especialidad del Derecho Informático no existe, debido a que su estudio no existe en el pénsum académico de las universidades, lo cual reduce las probabilidades de investigación en la materia. RECOMENDACIONES 1.- Nicaragua, como país integrante del istmo centroamericano y en aras del desarrollo de su economía, urge de una actualización de las leyes básicas del Comercio, específicamente del Código de Comercio, adecuando aspectos del nuevo sistema del Comercio Electrónico, y tomando en cuenta las leyes, que como soporte a las legislaciones internas ha creado la CNUDMI para el Comercio Electrónico y las Firmas Electrónicas; y así procurar un desarrollo pleno de la contratación informática y una seguridad jurídica para los contratantes. 2.- Una vez ordenada la normativa jurídica para el Comercio Electrónico, recomiendo impulsar el uso de la firma digital en la contratación informática, para garantizar la certeza y eficacia entre las partes. 3.- Crear las Instituciones correspondientes para hacer efectiva la aplicación de dicha normativa, entre las cuales figuran: el Órgano Rector de los servicios de certificación, los Prestadores de servicios de certificación, las Autoridades de Certificación, etc. 4.- Exhorto a las universidades de Nicaragua, en sus Facultades de Comercio, Administración, Economía, Informática y Sistemas, pero en especial a las Facultades de Derecho, incluir en el pénsum académico la materia de Derecho Informático, de manera que los estudiantes incursionen en esta área del Derecho. BIBLIOGRAFÍA 1. Albaladejo, Manuel. Derecho Civil II. Editorial Bosh, Barcelona. 2. Barriuso Ruiz, Carlos. La Contratación Electrónica. Editorial Dyckinson. Madrid, 1998. 3. Bendaña Guerrero, Guy. Estudio de los Contratos. Editorial UAM, primera edición, Nicaragua, 2001. 4. Carrascosa López, V. La contratación Informática en el Nuevo Horizonte Contractual. Editorial Comares. Tercera edición, España. 5. Carreter, Fernando Lázaro. Diccionario de Datos. Editorial Aranzadi, España, 2000. 6. Código Civil de la República de Nicaragua. Nica - ediciones, septiembre, 1999. 7. Davara Rodríguez, Miguel Ángel. Derecho Informático. Editorial Aranzadi. Pamplona, 1997. 8. De la Fuente, Marta. Modelos de los Contratos Informáticos. Editorial Fundación Confemetal. Tercera edición. España, 1999. 9. Del Peso Navarro, Emilio. La Contratación Informática, actualidad informática. Aranzadi, No. 14, enero 1995. 10. Derecho Civil. Volumen VIII, primera edición, Oxford University. México, 1999. 11. Diccionario Jurídico Espasa. Editorial Espasa Calpe. España, 1999. 12. Gete Alonso y Calera. Contratos Informáticos. Editorial Colex, España, 2000. 13. Gómez Perals, Miguel. La Cesión de Uso de los Programas de Ordenador. Editorial Colex, España, 1999. 14. http:/www.cnudmi.com 15. http:/www.delitosinformaticos.com/ecommerce/contratos.shtml 16. http:/www.derechoinformatico.com 17. http:/www.legalia.es 18. http:/www.onnet.es 19. http:/www.revistasdederecho.com 20. http:www.uncitral.com 21. Jijena Leiva, Renato Javier. Naturaleza Jurídica y Valor Probatorio del Documento Electrónico. Revista Informática. Centro Regional de Informática, Mérida, 1998. 22. Jiménez, Luis. Criptología. Colegio de Abogados de Madrid. Octubre, 1996. 23. Manual de Introducción a la Informática. Universidad Centroamericana. 24. Martínez Nadal, Apolonia. Firma Digital y Autoridades de certificación. Tercera edición, España, 2001. 25. Mateu de Ros, Rafael. Derecho de Internet. Editorial Aranzadi, Madrid, 2001. 26. Páez Maña, Julio. Los Contratos de Datos en el Derecho Informático. Editorial Madrid, España, 2000. 27. Ramos, Miguel A. La Auditoria Informática. Editorial Amanecer, No. 14. Argentina, 1995. 28. Ribas, Alejandro. Informática y Responsabilidad Civil. Editorial Aranzadi, No. 12, 1994. 29. Roselló, C. Contratación Informática. Editorial Alpa, Giuffré, Milán, 1984. 30. Sarra Andrea, Viviana. Comercio Electrónico y Derecho. Primera edición, Madrid, 2000. 31. Téllez Valdés, Julio. Contratos Informáticos. Universidad Nacional Autónoma de México. Instituto de Investigaciones Científicas, México, 1998. ANEXOS Glosario de Términos A Administrador de bases de datos: Individuo responsable del mantenimiento físico y lógico de una base de datos. ADSL: Asymmetric Digital Subscriber Line. Tecnología para transmitir información digital a elevados anchos de banda. A diferencia del servicio dial up, ADSL provee una conexión permanente y de gran velocidad. Esta tecnología utiliza la mayor parte del canal para enviar información al usuario, y sólo una pequeña parte para recibir información del usuario. AI: Artificial Intelligence: Inteligencia Artificial. Algoritmo: conjunto de reglas bien definidas para la resolución de un problema. Un programa de software es la transcripción, en lenguaje de programación, de un algoritmo. Almacenamiento de información: Una instalación de almacenamiento central basado en la computadora para toda la información de diseño de sistemas (se conoce también como diccionario o enciclopedia). Análisis de sistemas: El análisis, el diseño, el desarrollo y la puesta en marcha de sistemas de información con base en la computación. Antivirus: programa que busca y eventualmente elimina los virus informáticos que pueden haber infectado un disco rígido o disquete. AOL: America Online: proveedor de servicios de Internet de los Estados Unidos. Apache: servidor web de distribución libre. Fue desarrollado en 1995 y ha llegado a ser el más usado de Internet. Applet: miniprograma en lenguaje de programación Java integrado en una página web. Archivo (File): un área denominada en un dispositivo de almacenamiento secundario que contiene un programa, datos o material textual. Archivo de respaldo: Duplica de un archivo existente. Archivo de transacción: Un archivo que contiene registros de actividad de datos; se usa para actualizar el archivo maestro. Archivo maestro: Fuente de datos permanente que será actualizada cada vez que los archivos referentes se modifiquen. ARPA: Advanced Research Proyects Agency: Agencia del Departamento de Defensa de los Estados Unidos que creó ARPAnet, la red que dio origen a Internet. ARPANet: Advanced Research Proyects Agency Network: Red de comunicación desarrollada por ARPA a fines de la década de los 60. Se la considera el origen de la actual Internet. @: arroba (en inglés significa "at" [en]). En las direcciones de e-mail, es el símbolo que separa el nombre del usuario del nombre de su proveedor de correo electrónico. Por ejemplo: [email protected]. ASCII: American Standard Code of Information Interchange: Código normalizado estadounidense para el intercambio de la información. Código que permite definir caracteres alfanuméricos; se lo usa para lograr compatibilidad entre diversos procesadores de texto. Se pronuncia "aski". Aseguramiento de la calidad: un área de especialidad que se encarga de la supervisión de la calidad de todos los aspectos del diseño y la operación de sistemas de información. Automatización de bases de datos: Captura de datos directamente en un sistema de computación desde la fuente sin la necesidad de transcripción vía teclado. Autoridad certificante: persona natural o jurídica que emite un certificado. B Backbone: columna vertebral. Infraestructura de la transmisión de datos en Internet. Back-end processor: procesador que se utiliza para determinada función muy especializada, como por ejemplo, administrar una base de datos. Backup: copia de seguridad. Se hace para prevenir una posible pérdida de información. Base de datos: conjunto de datos organizados de modo tal que resulte fácil acceder a ellos, gestionarlos y actualizarlos. BASIC: Beginner's All-Purpose Symbolic Instruction Code: Código de Instrucción Simbólica Multipropósito para Principiantes. Lenguaje de programación, creado en 1963, sencillo y muy difundido. C Certificado: registro basado en la computadora que identifica a la autoridad certificante que lo emite, nombra o identifica a quien lo suscribe, contiene la clave pública de quien lo suscribe, y está firmado digitalmente por la autoridad certificante que lo emite. Certificado Válido: certificado que ha sido emitido por una autoridad certificante, aceptado por el suscriptor allí mencionado y que no ha sido revocado ni suspendido. Certificar: con referencia a un certificado, declarar que refleja todos los hechos relevantes. Clave privada: de dos claves, una de ellas que se usa para crear una firma digital. Clave pública: de dos claves, una de ellas que se usa para verificar una firma digital. Criptosistema asimétrico: algoritmo o serie de algoritmos que brindan un par de claves confiables. D Data: datos, información. Database: base de datos. E Emitir un Certificado: actos que realiza la autoridad certificante para crear un certificado y notificar al suscriptor mencionado en el certificado sobre el contenido de dicho certificado. Encriptar: proteger archivos expresando su contenido en un lenguaje cifrado. Los lenguajes cifrados simples consisten, por ejemplo, en la sustitución de letras por números. F Falsificar una firma digital: crear una firma digital sin autorización del tenedor legítimo de la clave privada, o bien, crear una firma digital verificable mediante un certificado donde aparezca incluida una persona inexistente o que no posea la clave privada correspondiente a la clave pública mencionada en él. Firewall: mecanismo de seguridad que impide el acceso a una red. Firma Digital: Transformación de un mensaje empleando un criptosistema asimétrico tal, que una persona que posea el mensaje inicial y la clave pública del firmante pueda determinar con certeza si la transformación se creó usando la clave privada que corresponde a la clave pública del firmante, y si el mensaje ha sido modificado desde que se efectuó la transformación . G GPS: Global Positioning System. Sistema de localización global compuesto por 24 satélites. Se usa, por ejemplo, en automóviles, para indicarle al conductor dónde se encuentra y sugerirle rutas posibles. H Hardware: todos los componentes físicos de la computadora y sus periféricos. Help desk: mesa de ayuda. Soporte técnico brindado a los usuarios telefónicamente por un proveedor de servicios de Internet. I IEEE: Institute of Electrical and Electronics Engineers: importante asociación de técnicos y profesionales, con sede en los Estados Unidos. Fue fundada en 1884 y en 1998 tenía aproximadamente 320.000 miembros en 147 países. Favorece la investigación en campos diversos, como la tecnología aeroespacial, la computación, las comunicaciones y la tecnología biomédica. Promueve la estandarización de normas. Internet: red de redes. Sistema mundial de redes de computadoras interconectadas. Fue concebida a fines de la década de 1960 por el Departamento de Defensa de los Estados Unidos; más precisamente, por la ARPA. Se la llamó primero ARPAnet y fue pensada para cumplir funciones de investigación. Su uso se popularizó a partir de la creación de la World Wide Web. Actualmente es un espacio público utilizado por millones de personas en todo el mundo como herramienta de comunicación e información. L LISP: LISt Processing. Lenguaje específico de la inteligencia artificial. La versión original, Lisp 1, fue inventada por John McCarthy en el MIT a fines de los años 50. M Macintosh: computadora que Apple empezó a fabricar en 1984. Fue la primera computadora personal que incorporó una interfase gráfica, con el propósito de facilitar un uso más intuitivo de la máquina. Tiene su propio sistema operativo, llamado Mac OS. El uso de la Macintosh está muy difundido entre diseñadores gráficos, artistas visuales y músicos. P Par de claves: clave privada y su correspondiente clave pública en un criptosistema asimétrico; claves que tienen la propiedad de que la clave pública puede verificar una firma digital que crea la clave privada. Poseer una clave privada: tener la posibilidad de utilizar una clave privada. Poseer legalmente una clave privada: estar habilitado para utilizar una clave privada, sin que se hubiese obtenido mediante robo, engaño, intercepción u otro medio ilegal. R Revocar un certificado: volverlo ineficaz en forma permanente a partir de cierta fecha especificada. La revocación se efectúa mediante anotación o inclusión dentro de un conjunto de certificados revocados, y no implica que haya que destruir ni volver ilegible dicho certificado. S Sistema confiable: equipos y programas de computación que sean razonablemente confiables contra la posibilidad de uso indebido, que brinden un razonable grado de disponibilidad, confiabilidad y correcto funcionamiento, y que se adapten debidamente al desempeño de sus funciones específicas. Suscriptor: persona cuyo nombre figura en un certificado, acepta el certificado, y tiene una clave privada que corresponde a la clave pública mencionada en dicho certificado. Suspender un certificado: volverlo temporalmente ineficaz a partir de determinada fecha. T TCP/IP: Transfer Control Protocol / Internet Protocol. Es el protocolo que se utiliza en Internet. Telemática: combinación de las palabras "telecomunicaciones" e "informática". Disciplina que asocia las telecomunicaciones con los recursos de la informática. V Verificar una firma digital: en relación con una firma digital, mensaje o clave pública, es determinar fehacientemente que la firma digital fue creada por la clave privada correspondiente a la clave pública, y que el mensaje no ha sufrido modificaciones con posterioridad a la creación de la firma digital. W World Wide Web: red mundial; telaraña mundial. Es la parte multimedia de Internet. Es decir, los recursos creados en HTML y sus derivados. Sistema de información global desarrollado en 1990 por Robert Cailliau y Tim BernersLee en el CERN (Consejo Europeo para la Investigación Nuclear). Con la incorporación de recursos gráficos e hipertextos, fue la base para la explosiva popularización de Internet a partir de 1993. WWW: World Wide Web.