Leopoldo González-Echenique Castellanos de Ubao* LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO CONTENIDO EN LA LEY 597/2003, DE 19 DE DICIEMBRE En el presente artículo se analizan los principales puntos del régimen jurídico aplicable a la firma electrónica desde un enfoque marcadamente orientado hacia sus implicaciones comerciales y económicas. Para ello, se describe su funcionamiento, se indican cuáles son las disposiciones generales que afectan a esta figura y se ofrece un ejemplo de aplicación práctica. Palabras clave: tecnología de la información, comunicaciones, comercio, prestación de servicios, Internet. Clasificación JEL: L81, L86, K12 1. Introducción En el presente artículo se van a tratar de exponer las líneas maestras del régimen jurídico aplicable a la firma electrónica, si bien desde un enfoque marcadamente orientado hacia sus implicaciones comerciales y económicas. Para ello, es preciso partir de una serie de ideas generales descriptivas de este instrumento de identificación en las comunicaciones telemáticas. La firma electrónica responde a una realidad no perceptible sensorialmente en las mismas condiciones que la firma manuscrita. La firma electrónica no es más que un conjunto de datos que forman parte de un circuito electrónico o, como se dice modernamente, telemático. No hay necesariamente una plasmación física de la fir- * Abogado del Estado. ma en cuanto a tal pues dichos datos, o bien permanecen en los archivos de un ordenador, o bien son grabados en soportes magnéticos, o bien son transmitidos desde un terminal de ordenador a otro a través de redes telemáticas. Es importante insistir en que la firma electrónica, a diferencia de la firma manuscrita, que no puede concebirse sin un papel en el que plasmarse, no es más que un conjunto de datos. Otra característica de la firma electrónica es que no se representa mediante una grafía personalísima y reconocible que sólo puede imputarse a una persona determinada. La modalidad más extendida de firma electrónica —la firma digital— no es más que la asociación entre dos claves, una pública y una privada, de modo que, formando parte de un código matemático complejo y aleatorio, sirven para desencriptar un conjunto de datos. En realidad, la firma electrónica permite hacer legi- EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 153 LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO ble un conjunto de datos tratados mediante equipos informáticos y remitidos telematicamente. La seguridad del sistema descansa en que el conocimiento de las claves es limitado, de ahí que sólo quien tienen acceso al mismo puede hace funcionar el sistema. La Ley define la firma electrónica como un conjunto de datos en forma electrónica, consignados junto con otros o asociados con ellos, que pueden ser utilizados como medio de identificación. Como es de ver, la Ley utiliza dos circunstancias para caracterizar la firma electrónica: a) Se trata de un conjunto de datos consignados electrónicamente, es decir, susceptibles de ser tratados, almacenados y remitidos a través de terminales de ordenadores. b) Dichos datos se emplean para identificar a quien los consigna, emite, trata o custodia. Esta definición, deudora de la consignada en la Directiva, responde al llamado principio de neutralidad tecnológica, con el que se persigue no enclaustrar la tecnología que envuelve a la firma electrónica, sin duda por el riesgo de que si se restringe en mayor medida el concepto y se asocia a una tecnología determinada, aquellos otros instrumentos similares empleados para identificar a los autores de mensajes electrónicos quedarán fuera de la regulación. 2. Breve descripción del funcionamiento de la firma digital En la firma digital, el esquema es el siguiente: cuando se completa una declaración de voluntad, juicio o conocimiento por un emisor, se aplica un programa informático que consiste en encriptar todo o parte de dicha declaración. La encriptación se logra introduciendo dos claves, una pública y otra privada; ambas claves se incorporan a un complejo procedimiento matemático a través del cual se transforman los elementos del mensaje original en mensajes codificados ininteligibles por el hombre. La única manera de desencriptar dicho conjunto de datos pasa por introducir una clave pública, es de- 154 ICE EL COMERCIO EN LA SI Febrero 2004. N.º 813 cir, conocida por el destinatario, de modo que el algoritmo de encriptación, utilizando dicha clave, transforma nuevamente los datos encriptados en otros entendibles en nuestro lenguaje. Si alguien pretende alterar el contenido del mensaje, romperá la simetría de la conversión algorítmica, de modo que dicha modificación resulta detectable. El sistema exige dos claves, la pública y la privada. Se llama clave pública a aquella que es conocida tanto por el emisor como por el receptor. La clave privada es conocida exclusivamente por el emisor. Los sistemas de firma digital que utilizan ambas claves se llaman asimétricos. Los llamados sistemas simétricos sólo utilizan una clave, la pública, es decir, conocida por ambas partes en la comunicación. El llamado sistema de clave asimétrica ofrece innegables ventajas en la medida en que la clave privada, al ser conocida exclusivamente por el emisor, confiere las características de integridad y autenticidad del contenido del mensaje e identidad de su autor, pues sólo él ha podido emitir una declaración cuya encriptación depende exclusivamente de la aplicación de una clave que él sólo conoce. Por el contrario, si en la comunicación sólo interviene una clave, la pública —conocida por emisor y receptor—, no hay garantía de que el receptor mantenga inalterado el contenido del mensaje ya que, al conocer la única clave que confiere las características antes comentadas a la comunicación, puede modificar dicho contenido. Cuando nos referimos a las «claves» pública y privada, lo hacemos a una combinación de letras y números (alfanumérica) o sólo de letras o sólo de números. Así, la clave pública puede ser, por ejemplo, el nombre de una persona junto a datos que sean fácilmente identificables; por ello, se denomina así, puesto que debe ser fácilmente cognoscible y almacenable por las partes en la comunicación. Por el contrario, la clave privada debe reunir una compleja combinación de símbolos gráficos que, precisamente por su longitud y por la dificultad de LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ... ser recordada por su titular, en los sistemas que actualmente se aplican, suele estar transcrita en un soporte al que sólo acceda el titular. En la actualidad, los sistemas más generalizados de firma digital1 incorporan una clave privada que representa un conjunto de datos equivalentes a 1.024 bits de información; dicha información se suele incorporar a un chip electrónico o a una banda magnética adherida a una tarjeta de plástico (con un tamaño y aspecto externo igual al de las tarjetas de crédito convencionales) siendo necesario «pasar» la tarjeta por el oportuno lector para «firmar electronicamente» un documento. Otra modalidad de dispositivo de firma electrónica, también muy extendida, se basa en la descarga de la clave privada en el disco duro de un ordenador personal a través de Internet de modo que, para firmar documentos, se emplea la correspondiente aplicación informática. A todo ello, algunos sistemas actuales añaden otra ulterior clave, llamada Número de Identificación Personal (igual que los «PIN» o personal identification number). Esta clave, depositada en la memoria de su titular y, por tanto, de fácil recordatorio (por ejemplo, cuatro números —igual que en las tarjetas de crédito y débito—) se añade a la clave privada para que pueda tener lugar todo el proceso de conversión criptográfica. Es decir, el programa de creación de firma electrónica no «funciona» si no se introduce correctamente el PIN. Se añade así otro instrumento para garantizar la autenticidad e integridad del mensaje e identidad del emisor. La razón de añadir este último resorte de seguridad se basa en que la clave privada, en la mayor parte de los casos, estará transcrita en una banda magnética incorporada a una tarjeta de plástico de modo que quien posea dicha tarjeta posee la clave; para evitar que pueda ser utilizada fraudulentamente la firma electrónica por un tercero distinto del titular en contra de su voluntad, se exige la introducción de un segundo código, breve y de fácil recuerdo, que, al es- 1 En concreto, el certificado definido por la UIT como clase 2CA V-507. tar en la memoria del titular, garantiza la autenticidad del mensaje. No obstante, no podemos dejar de hacer mención a otros sistemas de firma electrónica que se han propuesto en los últimos años. De entre todos ellos, destaca el que se basa en la identificación de rasgos físicos del titular de la firma (por ejemplo, leyendo la huella digital o la configuración de la córnea); son los sistemas de identificación biométrica o, simplemente, biométricos. Este sistema, que garantizaría la absoluta identidad del emisor, se encuentra con el innegable problema de la dificultad que conlleva instalar aparatos de identificación de dichos signos personalísimos con una implantación suficiente como para que la generalidad de las personas puedan utilizarlo, todo ello con independencia del mayor coste del que representa el sistema de claves, ya sean simétricas o asimétricas. Otra modalidad de firma electrónica fue desarrollada hace algunos años en Estados Unidos en donde se ideó un programa informático que permite firmar con un lápiz óptico de modo que la firma manuscrita se incorpora al texto de un documento; se trata de un sistema que equipara la firma electrónica a la firma manuscrita si bien utilizando para ello, en vez de un papel, una superficie que permite recoger la totalidad de los trazos de la firma e incorporarla al final de los documentos que se escriban utilizando procesadores de texto. Esta tecnología, a día de hoy, todavía no permite hacer un análisis jurídico detallado sobre sus consecuencias. Una modalidad de este programa, todavía más reciente, consiste en permitir que con un lápiz óptico puedan firmarse documentos impresos a través de procesadores de textos sobre la propia pantalla de un ordenador; la utilidad de este programa consiste precisamente en permitir la firma individualizada de documentos una vez están escritos mediante el empleo de procesadores de texto al uso de la firma tradicional de un documento impreso en papel físico. No obstante, estamos ante soluciones tecnológicamente posibles que todavía no están en condiciones de ofrecerse masivamente en el mercado, y ello por razones vinculadas al alto coste que conllevan. EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 155 LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO 3. El comercio y las transacciones electrónicas en España. Situación actual e importancia del mercado de la certificación electrónica El desarrollo de la sociedad de la información en España es moderado en comparación con su potencial. La realidad con la que nos encontramos a comienzos del año 2004 es que en España la sociedad de la información no ha alcanzado una cota de desarrollo paralela a los nieves de desarrollo y convergencia macroeconómica. Si en este último aspecto España está situada en casi un 87 por 100 respecto del grado de convergencia real con la media de los países comunitarios y lucha por su reconocimiento como octava o novena potencia económica mundial, no podemos decir lo mismo en cuanto al grado de desarrollo de la sociedad de la información. Es difícil encontrar ratios e índices homogéneos en el tiempo y en el espacio en lo que al grado de desarrollo de la sociedad de la información atañe. Algunos estudios —limitados en cuanto a su fundamento científico— sitúan a España por debajo del puesto 25. Otros la sitúan a la cola de los países comunitarios, incluso detrás de Portugal y en un nivel parejo con Grecia. Nadie duda hoy en día del grado de interrelación que existe entre el crecimiento económico sostenible y el nivel de desarrollo de la sociedad de la información de una economía. El desarrollo de la sociedad de la información implica innovación tecnológica, eficiencia en los procesos productivos y elevada productividad en el empleo de recursos de todo orden, especialmente en lo que a los recursos humanos se refiere. Los estudios sobre el nivel de desarrollo de la sociedad de la información en España desvelan que en nuestro país todavía hay mucho recelo a la hora de confiar en la seguridad y confidencialidad de las redes telemáticas como instrumento para realizar transacciones, en particular, respecto de la Red de redes: Internet. Hay múltiples factores que pueden llegar a explicar el porqué de este retraso: se habla de factores sociológicos —vinculados a nuestro clima mediterráneo—, económicos —geografía accidentada, escaso desarrollo de las re- 156 ICE EL COMERCIO EN LA SI Febrero 2004. N.º 813 des fijas de telecomunicaciones— y de todo orden. Pues bien, entre ellos, debe destacarse la falta de confianza en Internet para relacionarse comercialmente. Por esta razón es tan imprescindible el desarrollo de un instrumento centrado exclusivamente en dotar de seguridad a las comunicaciones telemáticas como es la firma electrónica. La expansión del mercado de la certificación electrónica está llamada a incrementar el número de transacciones por Internet y con ello a superar la tradicional barrera psicológica que todavía nos detrae de comprar y vender bienes y servicios a niveles paralelos a los de los países anglosajones y nórdicos. Según las últimas estadísticas, la cifra del importe global de las transacciones del comercio electrónico en España se ha incrementado en más de un 200 por 100 entre los meses de marzo de los años 2001 y 2002, llegando a alcanzar un montante total de 1.160,90 millones de euros (AECE-FECEMED 2003). Si se comparan las cifras con el año 2000, el incremento es superior al 500 por 100. El número de internautas, según la fuente citada, se ha incrementado en un 50 por 100 comparando los años 2001 y 2003 (hasta casi un 38 por 100 de la población). El número de compradores respecto de los internautas ha registrado un incremento similar (hasta un 19,4 por 100). Las compras de bienes y servicios relacionados con la lectura (libros y periódicos), los viajes, la música, el software en general y el ocio representan casi el 82 por 100 del total. Las transacciones hechas a través de internet han sido satisfechas mayoritariamente a través de tarjetas de crédito (62,8 por 100). El pago contrarreembolso representó un 26,5 por 100 respecto del total y la domiciliación y transferencia bancaria el 15,5 por 100. Ello implica que el 78 por 100 del total son susceptibles de realizarse íntegramente por Internet (la transacción y el pago). Estos datos muestran el extraordinario potencial que todavía tiene el comercio electrónico en España y, por tanto, el mercado tendente a conferir seguridad a las transacciones, esto es el mercado de la certificación electrónica. LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ... 4. La regulación de la firma electrónica En el presente apartado trataremos de enunciar muy brevemente el panorama legislativo regulador de la firma electrónica. Como no puede ser de otra manera, debemos comenzar por el artículo 18 de la Constitución en donde se reconoce el derecho al honor, a la intimidad personal y familiar y a la propia imagen. Su párrafo cuarto permite que la Ley limite el uso de la informática para garantizar estos derechos y su pleno ejercicio. Las normas específicas que regulan la firma electrónica, tal y como la hemos definido anteriormente, parten del texto de la Directiva 1999/93/CE del Parlamento y del Consejo, de 13 de diciembre, por la que se establece un marco comunitario para la firma electrónica (Directiva sobre Firma Electrónica). Se trata de una norma de mínimos que pretende armonizar el uso de la firma electrónica dentro del marco comunitario. El objetivo básico de la Directiva es evitar que las diversas regulaciones puedan llegar a suponer un obstáculo en aras a lograr lo que inicialmente se denominó Mercado Común y que hoy ha pasado a ser concebido como el Mercado Interior. Sobre la base de la Posición Común adoptada por el Parlamento y por el Consejo y sin haberse aprobado la Directiva, se redactó el texto de lo que luego se promulgó como el Real Decreto-Ley 14/1999, de 17 de septiembre, sobre Firma Electrónica. Este texto, inicialmente tramitado como anteproyecto de Ley para su remisión ordinaria a las Cortes Generales, fue objeto de una aceleradísima tramitación después del verano de 1999 de modo que vio la luz como disposición del Gobierno con rango de Ley. Posteriormente obtuvo la convalidación del Congreso de los Diputados de ahí que sus efectos permanezcan en el tiempo. Aparte de otras críticas relacionadas con la técnica legislativa, la sistemática del Decreto-Ley y la redacción de muchos de sus preceptos, eran insistentes las críticas que denunciaban el excesivo literalismo en la reproducción de gran parte del texto de la Directiva. Este De- creto-Ley ha sido recientemente derogado por la nueva Ley de Firma Electrónica a la que posteriormente nos referiremos. El Decreto-Ley fue objeto de desarrollo parcial a través de la Orden de 21 de febrero de 2000, por la que se aprueba el Reglamento de Acreditación de Prestadores de Servicios de Certificación y de Certificación de Determinados Productos de Firma Electrónica. El rango reglamentario de la Orden es acorde con la habilitación concedida por el Real Decreto-Ley 16/1999, de 15 de octubre, que rebajó la jerarquía reglamentaria para desarrollar las previsiones contenidas en el Decreto-Ley sobre Firma Electrónica. A pesar de la derogación del Decreto-Ley 14/1999, todavía deben entenderse en vigor aquellos preceptos de la Orden Ministerial en lo que no resulten contradictorios con la nueva Ley de Firma Electrónica. También se ha de citar el artículo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas y de Orden Social, que atribuyó a la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM) el carácter de proveedor de servicios de certificación de comunicaciones electrónicas de las Administraciones Públicas entre sí y de éstas con particulares. El precepto en cuestión ha recibido un aluvión de apartados nuevos por leyes posteriores. El desarrollo reglamentario de esta norma se ha producido por el Real Decreto 1.317/2001, de 30 de noviembre, que ha venido a derogar el Real Decreto 1.290/1999, de 23 de julio. En dicho precepto se desarrolla el régimen a través del cual la FNMT-RCM presta sus servicios de certificación tanto en el seno de las relaciones en las que uno de los intervinientes es una Administración Pública como en el de aquéllas que tienen lugar entre particulares. La Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, estableció un conjunto de novedades importantes en un capítulo específico de su Libro IV denominado «Acción administrativa en materia de seguridad jurídica preventiva». La Sección Octava de dicho capítulo regula la incorpora- EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 157 LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO ción de técnicas electrónicas informáticas y telemáticas a la seguridad jurídica preventiva. En líneas posteriores se describirán las líneas maestras del empleo de la firma electrónica por los protagonistas de la llamada seguridad jurídica preventiva, es decir, los Notarios y los Registradores. En lo que atañe al empleo de la firma electrónica en el ámbito de las Administraciones Públicas, debe citarse la Ley 30/1992, de 26 de noviembre, sobre el régimen jurídico de las Administraciones Públicas y del procedimiento administrativo común. El artículo 45 de la citada Ley regula en términos generales2 el empleo de lo que denomina técnicas electrónicas, informáticas y telemáticas (EIT) en las relaciones con las Administraciones Públicas. El precepto se limita a admitir el empleo de dichas técnicas, entre las que se inserta la firma electrónica, limitándose a exigir un marco adecuado de garantías de seguridad. Este precepto se ha desarrollado reglamentariamente a través del Real Decreto 263/1996, de 16 de febrero. También resultan relevantes otros dos artículos de la Ley 30/1992, ambos redactados por la Ley 24/2001: el 38 —que regula los registros administrativos— y el 59 —dedicado a la forma en la que tienen que hacerse las notificaciones por las Administraciones Públicas para que surtan efectos válidos en un procedimiento administrativo—. En líneas posteriores dedicaremos algunas líneas a comentar el alcance de esta regulación. Una manifestación de la plena admisibilidad de la firma electrónica en las relaciones jurídico-públicas se encarna en torno a la nueva Ley 58/2003, de 17 de diciembre, General Tributaria, en la que, con una técnica jurídi- 2 El artículo 45 de la Ley 30/1992 se limita a señalar que los documentos emitidos, cualquiera que sea su soporte, por medios electrónicos, informáticos o telemáticos por las Administraciones públicas, o los que éstas emitan como copias de originales almacenados por estos mismos medios, gozarán de la validez y eficacia de documento original siempre que quede garantizada su autenticidad, integridad y conservación y, en su caso, la recepción por el interesado, así como el cumplimiento de las garantías y requisitos exigidos por esta u otras Leyes. 158 ICE EL COMERCIO EN LA SI Febrero 2004. N.º 813 ca similar a la que utiliza la Ley 30/1992, se reconoce genéricamente la admisibilidad de la firma electrónica en los actos de gestión tributaria (en el concepto más amplio posible). De este modo, se rompe acertadamente con la tendencia legislativa anterior en la que la admisibilidad del empleo de la firma electrónica en las relaciones jurídico tributarias se reconocía en algunas leyes reguladoras de las distintas figuras impositivas (así, la Ley 37/1992, de 28 de diciembre, del Impuesto del Valor Añadido o el Real Decreto 828/1995, de 29 de mayo, de desarrollo del Texto Refundido de 24 de septiembre de 1993 sobre el Impuesto de Transmisiones Patrimoniales y Actos Jurídicos Documentados, contienen referencias explícitas a las comunicaciones electrónicas). La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico, ha venido a dar carta de naturaleza al empleo de la firma electrónica y las comunicaciones telemáticas en la contratación privada. Se trata de una norma llamada a integrar el Derecho Común de la contratación electrónica que declara la plena validez de los contratos electrónicos, admite el documento electrónico como prueba documental en juicio, establece el momento y el lugar de celebración de los contratos electrónicos, impone obligaciones previas y posteriores a su celebración y, en definitiva, rellena algunos huecos que la legislación tradicional ofrecía para esta modalidad de contratación. No obstante, es importante destacar que la Ley 34/2002 reguló los aspectos sustantivos de los negocios que se celebran mediante técnicas y redes telemáticas; la legislación sobre firma electrónica, por el contrario, regula el aspecto formal de la seguridad de dichas comunicaciones. La Ley 44/2002, de 22 de noviembre, de medidas de reforma del sistema financiero, también dedica preceptos a admitir genéricamente la contratación electrónica en los mercados financieros, en particular, en los mercados de valores e instrumentos financieros, en el mercado del seguro privado, individual y colectivo, y en el mercado del crédito. A su vez, prevé un potestativo desarrollo reglamentario de los requisitos de esta modalidad de LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ... contratación en los mercados financieros si las particularidades de los mercados o de algunas de sus transacciones lo requieren. Junto con las anteriores normas, también han de citarse otras que guardan relación con la materia que nos ocupa: 1) En relación con la protección de datos, la norma básica es la Ley Orgánica 15/1999, de 13 de diciembre, sobre protección de datos de carácter personal. 2) El artículo 5.3 de la Ley 7/1998, de 13 de abril, de Condiciones Generales de Contratación, en desarrollo del cual se dictó el Real Decreto 1.906/1999, de 28 de diciembre. La Disposición Final Octava de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, prevé que el Gobierno modifique dicho Reglamento a las peculiaridades de su Título IV relativo a la contratación electrónica. Hasta la fecha, dicho Real Decreto no ha sido promulgado. 3) En el ámbito de supervisión de la Comisión Nacional del Mercado de Valores, desde marzo de 1998 se ha implantado el llamado sistema cifradoc/CNMV que se extiende a la tramitación prevista por la Ley 24/1988, de 24 de julio, del Mercado de Valores, a la recepción de las informaciones que periódicamente deben enviar a la CNMV las entidades supervisadas, a la atención de reclamaciones y consultas y a cualquier otro intercambio de información por vía telemática que pueda tener lugar. Finalmente, debe citarse la Ley 59/2003, de 19 de diciembre, de firma electrónica. A pesar de que la regulación contenida en esta Ley va a constituir el núcleo sobre el que va a centrarse el presente artículo, no está de más hacer unas breves referencias al porqué de su promulgación. El Real Decreto-Ley 14/1997, como ya se ha dicho, resultó algo precipitado en su tramitación. Hasta tal punto fue así que vio la luz antes que la propia Directiva comunitaria que transponía. Esta circunstancia, unida a una sistemática terminología y técnica jurídica algo peculiares, propició un ambiente favorable para su reforma. A ello se añadía que fue una de las primeras nor- mas en Europa que abordó el novísimo fenómeno de la firma electrónica sin que el marco regulador que contenía sirviera de verdadero impulso del mercado de la certificación electrónica en España. De hecho, se ha criticado —y no sin razón— que, a día de hoy, el proyecto CERES (certificación Electrónica Española) gestionado por la FNMT-RCM, el Ministerio de Economía, la Agencia Tributaria y la Seguridad Social, representan la casi única iniciativa existente en nuestro país en el mercado de la certificación electrónica. Desde estas consideraciones, la Ley 59/2003 representa un esfuerzo del legislador por dotar al sistema de certificación electrónica de una norma clara y fácilmente comprensible que apuesta por impulsar el mercado privado de la certificación electrónica en España. 5. Elementos sobre los que gira la firma electrónica La firma electrónica como tal resulta un concepto abstracto. Existen otros conceptos, procesos y elementos subjetivos y objetivos que son utilizados por la Ley a la hora de regular la materia que nos ocupa. La creación de la firma electrónica Cuando la Ley utiliza la expresión «creación» de una firma electrónica lo hace aludiendo al proceso por el cual se crea un nuevo mensaje dotado de firma electrónica. Ello implica, de acuerdo con la descripción general expuesta al comienzo de estas líneas que, una vez redactado el mensaje, se aplica el programa de firma electrónica mediante la introducción de la clave privada. La Ley asocia a este proceso los conceptos de datos de creación de firma electrónica (que son los códigos o las claves criptográficas privadas que el firmante utiliza para crear la firma electrónica), dispositivo de creación de firma (programa o un aparato informático que sirve para aplicar los datos de creación de firma) y dispositivo seguro de creación de firma (dispositivo de creación de EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 159 LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO firma que cumple los requisitos imprescindibles para garantizar la fiabilidad del sistema y que se recogen en el artículo 24.3)3. Como luego veremos, para que un dispositivo pueda ser calificado como «seguro» debe ser certificado por una entidad de certificación de acuerdo con los criterios de certificación de la calidad industrial que se contienen en la Ley de Industria de 1992. La verificación de la firma electrónica El proceso de verificación de una firma electrónica se residencia en el destinatario del mensaje firmado y consiste en aplicar la clave pública para poder leer el mensaje y comprobar su autenticidad e integridad. Asociados a este proceso se encuentran los conceptos de datos de verificación de firma (códigos o claves criptográficas públicas que se utilizan para verificar la firma electrónica) y dispositivo de verificación de firma (programa que sirve para aplicar los datos de verificación de firma). Los certificados electrónicos Se define en el artículo 6 como el documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un signatario y confirma su identidad. El certificado, pieza clave del sistema, se caracteriza por las siguientes notas: a) El soporte no es físico, sino electrónico. 3 Tales requisitos son los siguientes: a) Que garantice que los datos utilizados para la generación de firma puedan producirse sólo una vez y que asegure, razonablemente, su secreto. b) Que exista seguridad razonable de que dichos datos no puedan ser derivados de los de verificación de firma o de la propia firma y de que la firma no pueda ser falsificada con la tecnología existente en cada momento. c) Que los datos de creación de firma puedan ser protegidos fiablemente por el signatario contra la utilización por otros. d) Que el dispositivo utilizado no altere los datos o el documento que deba firmarse ni impida que éste se muestre al signatario antes del proceso de firma. 160 ICE EL COMERCIO EN LA SI Febrero 2004. N.º 813 b) Tiene por misión vincular los datos que resultan de la verificación de una firma a su autor o signatario. c) También confirma la identidad del signatario, es decir, acredita que el mensaje telemático ha sido escrito y enviado por la persona que aparece como signatario y no por otra distinta. Esta función es fruto del sistema de claves públicas y privadas y, en su caso, posteriores códigos, que los intervinientes en el proceso de comunicación deben introducir para que éste tenga lugar. El certificado reconocido es aquél que ha sido expedido por un prestador de servicios de certificación que cumpla los requisitos establecidos en la Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten (artículo 11). En los artículos 11 a 13 se detalla el contenido mínimo de esta clase de certificados así como las obligaciones previas que debe cumplir el prestador que expida esta clase de certificados (relativas a la comprobación de la identidad y demás circunstancias de los solicitantes, el aseguramiento de que el firmante está en posesión de los datos de creación de firma y la garantía de que la relación entre clave privada, clave pública y certificado es unívoca). Especialmente destacables son las normas relativas a la extinción y la suspensión de la vigencia de los certificados electrónicos. 1) Vigencia de los certificados. Según el artículo 8 de la Ley, se extinguirán los certificados en los siguientes casos: a) Expiración del período de validez. Tratándose de certificados reconocidos, el período no podrá exceder de cuatro años, contados desde la fecha en que se hayan expedido. La pérdida de vigencia se produce, según el párrafo segundo, desde el fin del plazo de validez. b) Revocación. c) Puesta en peligro del secreto de los datos de creación de firma o utilización indebida por un tercero. d) Resolución judicial o administrativa que lo ordene. e) Fallecimiento o extinción de la personalidad jurídica del firmante o del representado o incapacidad de cualquiera de ellos LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ... f) Cese en su actividad del prestador de servicios de certificación salvo que, previo consentimiento expreso del signatario, los certificados expedidos por aquél sean transferidos a otro prestador de servicios. g) Alteración de los datos aportados para la obtención del certificado o modificación de las circunstancias verificadas para la obtención del certificado. h) Cualquier causa lícita prevista en la declaración de prácticas de certificación. Fuera del supuesto previsto en la letra a), la pérdida de vigencia de un certificado surtirá efectos desde la fecha en que el prestador de servicios lo haga constar en el servicio de consulta con el que cuente para dar publicidad a la vigencia de los certificados. 2) Suspensión de la vigencia. La suspensión de la vigencia de los certificados está prevista en la nueva Ley como un estadio previo a la extinción con la finalidad de evitar que, ante la concurrencia de dudas acerca de la fiabilidad de un certificado, pueda evitarse cautelarmente su utilización frente a terceros. La legitimación para instar la suspensión se atribuye al firmante, a su representante o a la persona física encargada de la custodia de un certificado expedido a favor de una persona jurídica, a las autoridades administrativas o judiciales competentes y al propio prestador de servicios de certificación. 3) La llamada «lista de certificados revocados». El artículo 10 contiene una mención a lo que coloquialmente se ha venido a denominar «lista de revocados» y que la norma llama «servicio de consulta sobre la vigencia de los certificados». Se trata de un servicio que debe ofrecer el prestador de servicios de certificación que tiene una extraordinaria importancia económica. También se refiere la Ley a esta realidad en el artículo 18 cuyos apartados c) y d) obligan a todo prestador a mantener un directorio debidamente actualizado en el que figuren los certificados por él expedidos cuya vigencia haya sido suspendida o extinguida así como a garantizar la disponibilidad de un servicio de consulta acerca de la vigencia de sus certificados. Efectivamente, la práctica ha demostrado que lo importante de cada certificado es que haya alguien detrás que certifique su vigencia a quienes se relacionan con sus titulares telemáticamente. Esta razón ha motivado que algunos prestadores de servicios de certificación expidan gratuitamente sus certificados exigiendo la oportuna contraprestación por este servicio de consulta. Es decir, no se rentabiliza la actividad por la emisión y mantenimiento de los certificados electrónicos, sino por la consulta acerca de su vigencia. Ello implica a terceras personas distintas de los firmantes; así, si yo soy titular de un certificado y envío un mensaje firmado a un tercero, el que debe consultar si mi certificado está vigente o no es el destinatario del mensaje, pues sólo de este modo estará seguro de que el mensaje ha sido emitido por mí. De este modo, se está obligando al prestador de servicios de certificación, a quien nada tiene que ver con el certificado, a satisfacer una contraprestación. Éste es uno de los grandes problemas prácticos con los que se encuentra la prestación de servicios de certificación. Es una cuestión no resuelta y en la que, por razones obvias, la Ley no ha entrado (a pesar de que había alguna propuesta que obligaba a los prestadores a permitir el acceso gratuito al sistema de consultas de vigencia de los certificados, cosa que hubiera arruinado el negocio de algunos). Los prestadores de servicios de certificación Obviamente, estos prestadores son los que ofrecen los servicios de certificación en los que descansa la firma electrónica. Hasta la promulgación de la Ley 59/2003, sólo quienes se dedicaban a la expedición de certificados electrónicos podían adquirir esta condición. La nueva Ley considera también prestadores de servicios de certificación a quienes, sin expedir certificados electrónicos, se dedican a actividades accesorias, como pueden ser, a título de ejemplo, el revestimiento de los mensajes con fechas electrónicas (time stamping), facilitar accesos a consultas sobre vigencia de certificados o posibilitar la incorporación a otros certificados preexis- EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 161 LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO tentes de características personales de los titulares o firmantes («gestión de atributos»). Con esta mayor amplitud, la nueva Ley ha querido abrir el mercado de la certificación a otros operadores que pueden ofrecer un valor añadido a los servicios de certificación de otros prestadores. Esta circunstancia puede ser especialmente relevante si tenemos en cuenta que el mercado de la certificación electrónica está llamado a estar dominado oligopolísticamente por pocos prestadores que expidan certificados. Muchos de los estudiosos del sector consideran que, al igual que pasa en el mercado de las tarjetas de crédito, es imprescindible tener una gran masa crítica de clientes para poder competir en términos viables en este mercado. Los costes fijos son enormes mientras que los variables son poco relevantes. Sólo aquéllos que tengan una masa crítica suficiente pueden ofrecer esta actividad en condiciones económicamente plausibles. Es por esta razón por la que la Ley ha querido incluir en el concepto de prestadores de esta clase de servicios a quienes desempeñan actividades accesorias a la expedición de los certificados. De esta manera se confiere seguridad jurídica a esta actividad y se atrae al mercado a operadores que pueden ofrecer un valor añadido a la mera expedición de certificados. Esta idea es especialmente importante si se tiene en cuenta que el DNI electrónico está llamado a erigirse en el certificado básico de los nacionales españoles capaz de recibir prestaciones adicionales de otros prestadores que doten de mayor funcionalidad a la ya relevante misión que a buen seguro realizará este certificado. Certificación voluntaria de prestadores de servicios de certificación y de dispositivos de firma electrónica La Ley de firma electrónica ha venido a dulcificar y agilizar la obtención de sellos de calidad por parte de los prestadores de servicios de certificación; es lo que se denomina certificación de prestadores y de dispositivos. 162 ICE EL COMERCIO EN LA SI Febrero 2004. N.º 813 La certificación de la calidad puede tener un doble ámbito de aplicación: puede referirse a los prestadores (declaración de una entidad de certificación privada o pública que implica el reconocimiento de requisitos específicos en la los servicios que ofrece al público) o a los dispositivos (comprobación de que un dispositivo cumple los requisitos legales para ser considerado dispositivo seguro de creación de firma). La comprobación de la calidad de los servicios de los prestadores o de los dispositivos se hará de acuerdo con lo dispuesto en la Ley de Industria de 1992. Se ha de insistir en que la certificación es puramente voluntaria para quien quiere obtener un marchamo de calidad visible al público a través del Ministerio de Ciencia y Tecnología, quien, de acuerdo con el artículo 30.2 de la Ley, debe ofrecer al público en general, gratuitamente y a través del correspondiente sitio en Internet, la información que están obligados a remitirle todos los prestadores de servicios de certificación. Este mecanismo de información ha sustituido al anterior registro de prestadores de servicios de certificación previsto en el Decreto-Ley de 1999 que nunca se puso en funcionamiento y que no terminaba de encajar en el sistema de libre acceso a la actividad previsto en la Directiva comunitaria. 6. Disposiciones generales relativas a la firma electrónica En el presente apartado, vamos a tratar de exponer las líneas maestras en las que se inspira la vigente regulación de la firma electrónica, prescindiendo del régimen aplicable a los prestadores de servicios de certificación por ser ésta una materia más próxima al Derecho Público que se aleja de la trascendencia jurídica que tiene la firma electrónica propiamente dicha. Eficacia jurídica de la firma electrónica. El documento electrónico 1) La norma regula el uso de la firma electrónica, sus consecuencias jurídicas y la prestación al público de LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ... los servicios de certificación. Al igual que el Decreto-Ley, la mayor parte del contenido de la Ley 59/2003 está dedicada a la prestación de servicios de certificación. La regulación de la firma electrónica propiamente dicha se esconde en dos artículos: el tercero y el cuarto. En cuanto al uso de la firma electrónica, los puntos sobre los que se centra la norma se pueden resumir en los siguientes: incidencia de la firma electrónica en la teoría general del negocio jurídico; interferencia de la firma electrónica en la fe pública; eficacia de la firma electrónica reconocida; y eficacia de la firma no reconocida. A estos aspectos nos referiremos en los puntos que a continuación se exponen. 2) Incidencia de la firma electrónica en la teoría general del negocio jurídico. Según el párrafo segundo del artículo primero, las disposiciones contenidas en esta Ley no alteran las normas relativas a la celebración, formalización, validez y eficacia de los contratos y cualesquiera otros actos jurídicos ni las relativas a los documentos en que unos y otros consten. El legislador ha querido dejar claro que la regulación de la firma electrónica no tiene incidencia en el régimen general previsto en los Códigos Civil y de Comercio. Ello no puede implicar otra cosa que el que por el hecho de que las declaraciones negociales se hagan mediante la firma electrónica, los requisitos para la validez de los negocios jurídicos y, sobre todo, dentro de éstos, de los contratos, son los mismos que con carácter general establece el Derecho Común, ya sea el comúnmente aplicable a todos los sujetos de derecho, ya sea el específico de los comerciantes. 3) Interferencia de la firma electrónica en la fe pública. El apartado primero de la Disposición Adicional primera proclama la absoluta separación entre la firma electrónica y sus efectos y la fe pública. La Ley no atribuye fehaciencia pública a ninguna de las categorías de firmas electrónicas, por muy cualificadas que sean. Una cosa es la firma electrónica y otra muy distinta la fe pública. Así, por el hecho de emplear la firma electrónica, aunque sea reconocida, no se predica fehaciencia alguna respecto de su contenido; por otro lado, los notarios y registradores pueden emplear la firma electrónica para dar fe pública. De este modo, lo que da fehaciencia no es el empleo de la firma electrónica, sino la intervención del notario o registrador. 4) Eficacia de la firma electrónica. Los conceptos de «Firma Electrónica Avanzada» y «Firma Electrónica Reconocida». Según el apartado segundo del artículo 3, la firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. Es importante destacar que la Ley no prevé ningún efecto jurídico para la firma electrónica avanzada. Se trata de un mero concepto que plasma el legislador con carácter instrumental pues tiene importancia no por sí mismo, sino por servir de instrumento para luego definir la firma electrónica reconocida, que es la que se equipara a la firma manuscrita. Los elementos que caracterizan a la firma electrónica avanzada son los siguientes: a) Subjetivo: permite identificar al firmante, es decir, al autor del mensaje; b) Objetivo: permite detectar cualquier cambio ulterior en los datos que integran el mensaje a la vez que permite una vinculación unívoca respecto de los datos a que se refiere la firma. c) Mixto: permite al firmante mantener el control del contenido del mensaje. La firma electrónica reconocida es la firma electrónica avanzada que está amparada en un certificado reconocido y ha sido generada mediante un dispositivo seguro de creación de firma. Este juego de diferentes modalidades de firma electrónica y su consiguiente eficacia jurídica es exactamente el mismo que el previsto en el Real Decreto-Ley de 1997 y en la Directiva. La única novedad consiste en denominar por vez primera a la firma que se equipara a la manuscrita «Firma Electrónica Reconocida». Con este concepto, el legislador ha respondido a una demanda EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 163 LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO del sector que reclamaba una mayor precisión terminológica para soslayar el tan generalizado error de identificar la firma electrónica avanzada con la firma equiparada a la manuscrita. De este modo, cabe decir que lo que introduce la nueva Ley es un mero concepto y no una nueva realidad. Posteriormente veremos qué es un certificado reconocido y un dispositivo seguro de creación de firma. 5) Eficacia de la firma electrónica no reconocida. Dice el apartado noveno del artículo 3 que no se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de la firma electrónica reconocida en relación a los datos a que esté asociada por el mero hecho de presentarse en forma electrónica. La regla no puede ser más lógica y parece querer implicar que la valoración de la fuerza probatoria de los hechos a los que se refieren los datos transcritos mediante firma electrónica no reconocida se sujetará a las reglas de la sana crítica o a la llamada valoración conjunta de la prueba. A pesar de lo anterior, creemos que el precepto alude, en realidad, a la autenticidad de las declaraciones que se plasmen en la firma electrónica no reconocida. Así como la Ley establece una presunción iuris et de iure respecto a la autenticidad e integridad de la firma electrónica reconocida, respecto de la que no lo es, elimina cualquier consideración al respecto; es más, ni siquiera establece una presunción iuris tantum. 6) Efectos de la firma electrónica entre las partes. El último apartado del artículo 3, introducido durante la tramitación parlamentaria, ha venido a conferir un carácter meramente dispositivo a la Ley. En él se admite que las partes en una relación negocial puedan establecer otros efectos distintos para la firma electrónica si se usa de acuerdo con lo pactado. 7) El documento electrónico. Durante la tramitación parlamentaria, se han introducido varios apartados al artículo 3 relativos al documento electrónico. Así, sólo se concibe como tal el redactado en soporte electrónico que incorpora datos que han sido firmados electrónicamente. Ello implica que sólo es documento 164 ICE EL COMERCIO EN LA SI Febrero 2004. N.º 813 electrónico el que ha sido firmado electrónicamente. Se trata de un concepto extraordinariamente restrictivo. Hasta la promulgación de la Ley, documento electrónico era cualquiera que se consignara electrónicamente, con independencia de que esté protegido por la firma electrónica. Con esta nueva regulación un disquete, el disco duro de un ordenador, un CD-ROM y cualesquiera otros soportes digitales que recojan datos electrónicos, sólo serán documentos electrónicos si han sido firmados electrónicamente. Ello supone dejar fuera del concepto de documento electrónico a la casi totalidad de los archivos que recogen datos consignados electrónicamente en España. Esta regulación resulta criticable. Efectivamente, después de la promulgación de la nueva Ley de Enjuiciamiento Civil, el documento electrónico no se equiparaba plenamente a la prueba documental de modo que este tipo de documentos no se beneficiaba de la seguridad jurídica que ofrecían las normas que atribuían determinados efectos a los diferentes documentos bajo el manto regulador de la prueba documental. Este vacío fue en parte solventado con la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico. Así, su artículo 23.2 dice literalmente que «en todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental». Con este precepto se permitía dotar de la eficacia de la prueba documental a los soportes que consignaban de modo duradero datos electrónicos. No obstante, con la redacción del artículo 3.5 de la Ley 59/2003 sólo los soportes que consignen datos firmados electrónicamente podrán acogerse a las reglas de la prueba documental. Los demás —que, insistimos, son la casi totalidad— vuelven a quedar sujetos a la indefinición propia de una modalidad probatoria carente de eficacia tasada. El apartado séptimo califica los documentos electrónicos de públicos o privados según que en ellos haya intervenido o no un notario o funcionario o empleado público con competencia para otorgar esta clase de docu- LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ... mentos de acuerdo con las reglas generales o no. Esta previsión es coherente con lo que antes afirmábamos respecto de la no interferencia entre la regulación de la firma electrónica y la fe pública. Eficacia de la firma electrónica en las relaciones jurídico-públicas Para completar el catálogo de disposiciones generales que la Ley contiene, debe hacerse alusión a la eficacia de la firma electrónica en las relaciones jurídico-públicas. El artículo 4 alude al empleo de la firma electrónica en el ámbito de las Administraciones Públicas. En términos generales, la Ley 59/2003 resulta expresamente aplicable al empleo de la firma electrónica en el ámbito jurídico-público si bien permite a las Administraciones Públicas, con la finalidad de salvaguardar las garantías de cada procedimiento, establecer condiciones adicionales para el empleo de la firma electrónica en el procedimiento administrativo. En particular, permite la inclusión preceptiva de la fecha electrónica, pues el ejercicio de los derechos subjetivos ante las Administraciones Públicas está íntimamente ligado a los plazos, de modo que la acreditación del momento en que se realiza una comunicación resulta vital para determinar si el derecho de los interesados sigue o no vivo en el momento en que se ejercita. En las relaciones entre los particulares, la certificación del momento en que se emiten o reciben los documentos electrónicos no puede encomendarse más que a un tercero dado que ninguna de las partes del negocio es capaz de asumir una posición imparcial acerca de tales datos. No ocurre lo mismo en las relaciones de derecho público en las que la Administración interviniente, dada la finalidad que debe perseguir, es capaz de conferir fehaciencia al dato de la fecha y hora en que la declaración se produce. Dado que el ejercicio de los derechos ante las Administraciones Públicas depende del momento en que el administrado realiza el trámite o presenta el escrito correspondiente (cfr. artículo 48 de la Ley 30/1992, de 26 de noviembre), lo lógico será que la fehaciencia se concentre en el momento en que el documento electrónico remitido por el firmante entra en el terminal de la Administración Pública destinataria. Las condiciones adicionales deben provenir conjuntamente de los Ministerios de Administraciones Públicas y de Ciencia y Tecnología, previo informe del Consejo Superior de Informática y para la Administración Electrónica. Dichas condiciones adicionales, además, deberán garantizar el cumplimiento de lo previsto en el artículo 45 de la Ley 30/1992, de 26 de noviembre, serán objetivas, razonables y no discriminatorias y no obstaculizarán la prestación de servicios al ciudadano, cuando en ella intervengan distintas Administraciones Públicas nacionales o del Espacio Económico Europeo. Como última previsión, señala la Ley que podrá someterse a un régimen específico la utilización de la firma electrónica en las comunicaciones que afecten a la información clasificada, a la seguridad pública o a la defensa nacional. Empleo de la firma electrónica por las personas jurídicas El Decreto-Ley 14/1999 sólo permitía a las personas jurídicas ser titulares de certificados electrónicos en el ámbito de la gestión de los tributos. Pasados ya algunos años desde su entrada en vigor, se ha hecho necesario reflexionar acerca de la conveniencia de ir más allá en la atribución de la condición de firmante a la persona jurídica. Las necesidades del tráfico, en particular, del comercio electrónico, la extraordinaria expansión de nuevas fórmulas de contratación y, sobre todo, la incorporación de equipos y aplicaciones que permiten tratar automáticamente la información hasta el punto de suplir la voluntad humana en cada relación negocial concreta, aconsejan replantearse la cuestión. No cabe duda de que, en la contratación electrónica, la intervención de la voluntad del hombre puede ser —de hecho lo es en la práctica— suplida por la intervención de potentes ordenadores que automatizan la con- EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 165 LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO tratación. Cuando contratamos un depósito a plazo con una entidad financiera, ordenamos una transferencia bancaria, hacemos la reserva de un billete de avión o de otro medio de transporte o «hacemos la compra» en un supermercado virtual, no estamos emitiendo una declaración de voluntad frente a otra persona física que actúa por representación de la contraparte. El contrato se celebra entre el cliente y el ordenador del banco, la entidad financiera, la agencia de viajes o el supermercado. Es ésta una realidad que no podemos desvirtuar; la práctica supera con creces los tradicionales planteamientos de la actuación de las personas jurídicas en el tráfico. Hija de esta necesidad, la nueva Ley ha reconocido abiertamente la posibilidad de que las personas jurídicas sean titulares de este tipo de certificados. Es importante destacar que la apuesta que ha hecho la Ley 59/2003 pasa por admitir de plano y con todas sus consecuencias dicha titularidad. La Ley atribuye directamente la titularidad del certificado a la persona jurídica, si bien se reconoce que los trámites necesarios para su obtención y uso deben hacerse con la intermediación de personas físicas. No obstante, la Ley es prudente y no olvida que no pueden desaparecer las personas físicas cuando las personas jurídicas actúan en el tráfico económico que se realiza a través de técnicas electrónicas, informáticas y telemáticas. La persona jurídica es una creación artificial del derecho; no existe en el mundo tangible. Olvidar y hacer desaparecer a la persona física cuando actúa la persona jurídica puede echar por tierra la seguridad jurídica. El artículo 7 de la Ley generaliza la condición de firmante de certificados para las personas jurídicas de acuerdo con las siguientes reglas: a) Sólo pueden solicitar la expedición de dichos certificados los administradores y los representantes legales y voluntarios con poder bastante a estos efectos. b) La custodia de los datos de creación de firma debe corresponder a una sola persona física que deberá ser el solicitante del certificado y su identidad deberá 166 ICE EL COMERCIO EN LA SI Febrero 2004. N.º 813 constar en el propio certificado. Ello implica que la persona jurídica debe confiar la responsabilidad de custodia del certificado a una sola persona; no obstante, ello no debe ser óbice para que ésta autorice a otras personas físicas vinculadas a la persona jurídica para usar dichos datos, es decir, para crear firmas electrónicas. Este modelo responde a lo que en el derecho comparado se conoce con el nombre de «custodio»; es decir, una sola persona física responde frente a terceros por el uso que hagan las personas a quienes se autorice el uso de los datos de creación de firma electrónica. c) No obstante, la Ley permite que otras personas físicas utilicen los datos de creación de firma. d) Los datos de creación de firma sólo vinculan a la persona jurídica cuando son empleados en las relaciones con las Administraciones Públicas o en la contratación de bienes o servicios que sean propios o concernientes al giro o tráfico ordinario de la persona jurídica. En caso contrario, sólo vincularán a las declaraciones realizadas empleando el certificado de la persona jurídica si ésta las asume o los contratos celebrados de esta manera se han hecho en su interés (concepto éste indeterminado donde los haya). Si se emplea el certificado en términos que no vinculen a la persona jurídica, la responsabilidad recaerá en el «custodio» sin perjuicio de la posibilidad de repetir contra quien haya empleado el certificado. e) En cualquier caso, se prevé la posibilidad de incorporar limitaciones cuantitativas o cualitativas respecto del uso de los certificados, limitaciones que, para que surtan efectos contra tercero, deberán constar en el propio certificado. No podemos dejar de aludir a la previsión contenida en la Disposición Adicional tercera en la que se va más allá al admitir la posibilidad de que las entidades sin personalidad que, de acuerdo con la legislación tributaria pueden erigirse en sujetos pasivos de algunos tributos (comunidades de bienes, herencias yacentes, etcétera) sean titulares de certificados. En cualquier caso, la puesta en práctica de esta previsión requiere el correspondiente desarrollo reglamentario dimanante del Ministro de Hacienda. LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ... Empleo de la firma electrónica por representantes de otras personas físicas o jurídicas Fiel a la realidad que día a día se manifiesta en el tráfico mercantil, la Ley ha querido incluir la firma electrónica en las declaraciones de voluntad en las que interviene el instituto de la representación. El Decreto Ley anterior, si bien no lo prohibía, tampoco daba soluciones explícitas para el empleo de la firma electrónica en las relaciones de representación. Es decir, no se rechazaba el empleo de la firma electrónica por parte de los representantes imputando los efectos jurídicos de las comunicaciones así enviadas a sus representados, si bien no se contenía ninguna norma dedicada a dar seguridad jurídica a esta realidad. Con la nueva regulación se ha querido —una vez más— acompasar el uso de la firma electrónica a la realidad cotidiana para así generalizar su uso. Se viene a distinguir de este modo entre el firmante —el representante— y el titular del certificado —el representado o principal. La regulación del empleo de la firma electrónica por los representantes de terceras personas no está recogida en un precepto diferenciado. Por el contrario, son varios los artículos que contienen normas al respecto. Así, la Ley establece las siguientes premisas: a) De acuerdo con el artículo 13, si un certificado electrónico refleja una relación de representación, es decir, admite explícitamente que el firmante actúa como representante del titular del certificado, el prestador de servicios de certificación debe comprobar la realidad de la relación de representación así como la suficiencia de las facultades del representante. b) Si dichas facultades de representación deben figurar preceptivamente inscritas en un registro jurídico (por ejemplo, el Registro Mercantil respecto de los poderes generales de los comerciantes), la comprobación de tales circunstancias se hará mediante la consulta en el correspondiente registro; si dicha relación de representación no tiene por qué figurar preceptivamente inscrita en dichos registros, la comprobación se hará mediante los documentos públicos en los que conste tal re- lación (por ejemplo, respecto de los poderes especiales de los comerciantes inscritos en el Registro Mercantil, cuya inscripción es facultativa). c) Según el artículo 23.5, la comprobación de los datos relativos a la relación de representación debe hacerse en el momento inmediato anterior a la expedición del certificado. En caso contrario, será responsable el prestador de los daños y perjuicios causados al firmante o a terceros de buena fe por la inexactitud de los datos que obren en el certificado electrónico. d) El artículo 19 enumera, entre las obligaciones que facultativamente puede asumir el prestador de servicios de certificación en su Declaración de Prácticas de Certificación la de poner en funcionamiento procedimientos de coordinación con los Registros Públicos correspondientes que permitan el intercambio de información de manera inmediata sobre la vigencia de los poderes indicados en los certificados y que deban figurar preceptivamente inscritos en dichos registros. Protección de los datos de carácter personal Los datos incorporados a la firma electrónica que tengan carácter personal están sujetos, como regla general, al régimen de protección impuesto desde la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Dispone el artículo 17 de la Ley 59/2003 que el tratamiento de los datos personales que precisen los prestadores de servicios de certificación para el desarrollo de su actividad se sujetará a lo dispuesto en la Ley Orgánica 15/1999 y en las disposiciones dictadas en su desarrollo. El mismo régimen será de aplicación a los datos personales que se conozcan en el órgano que, en el ejercicio de sus funciones, supervisa la actuación de los prestadores de servicios de certificación. Además, se impone el principio general del consentimiento para la incorporación y manejo de esta clase de datos por los prestadores de servicios de certificación de modo que la obtención de cualquier dato que sea re- EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 167 LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO cabado de un tercero distinto de los titulares de los certificados sin su consentimiento puede ser sancionada. En todo caso, los datos requeridos serán, exclusivamente, los necesarios para la expedición y el mantenimiento del certificado. Dichos prestadores de servicios estarán obligados a revelar la identidad de los titulares de certificados cuando lo soliciten los órganos judiciales en el ejercicio de las funciones que tienen atribuidas y en los supuestos recogidos en el artículo 11.2 de la Ley Orgánica 15/1999, de 13 de diciembre4. El Documento Nacional de Identidad Electrónico Dentro de las políticas del Gobierno condensadas en el Plan INFO XXI resalta especialmente la apuesta por el DNI electrónico. Todavía con mayor insistencia se pronunció en esta cuestión la llamada «Comisión Soto» en su informe sobre el desarrollo de la sociedad de la información en España de marzo de 2003. También el programa ESPAÑA.ES aprobado por el Consejo de Ministros en julio del mismo año dedica una atención especial al DNI electrónico. Se trata de generalizar certificados electrónicos para toda la población, de manera 4 Tales supuestos son los siguientes: a) Cuando la cesión de los datos está autorizada en una Ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente concesión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, al Ministerio Fiscal o a los Jueces o Tribunales o al Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. 168 ICE EL COMERCIO EN LA SI Febrero 2004. N.º 813 obligatoria a partir de cierta edad, capaces de generalizar la confianza en su uso. De todos los medios de acreditación de la identidad personal que hay hoy en día, el más generalizado, el que acapara la confianza de todos, es el Documento Nacional de Identidad; por ello, si dicho DNI incorpora la clave privada de un certificado electrónico, expedido por las autoridades policiales conforme a la tecnología más moderna y segura, no cabe duda de que estaremos ante un instrumento capaz de dinamizar el tráfico electrónico y de acaparar mayores dosis de seguridad jurídica. La Ley contiene una regulación muy abstracta del DNI electrónico. Casi podríamos decir que se limita a reconocer su existencia, a declarar explícitamente su idoneidad para acreditar la identidad de las personas físicas y para firmar electrónicamente documentos y a hacer obligatoria para las Administraciones Públicas la asunción de dicha acreditación. Desde el punto de vista técnico, el DNI electrónico deberá incorporar las características propias de los dispositivos seguros de creación de firma electrónica y los requisitos necesarios para que un certificado adquiera el carácter de reconocido. Es decir, debe cumplir con las mayores cotas de fiabilidad que nuestra norma prevé para los productos de certificación electrónica. No cabe duda de que la Dirección General de la Policía deberá tener el necesario protagonismo a la hora de determinar las especificaciones técnicas y, en su caso, el proveedor de productos de certificación que servirán de base al DNI electrónico. Ello incidirá en el mercado de la prestación de servicios de certificación electrónica en la medida en que quien adquiera la condición de PSC en relación con el DNI tendrá un peso extraordinario, lo cual incluso podría limitar cualquier iniciativa de otros prestadores. No cabe duda de que el DNI electrónico es necesario, en particular, en las relaciones telemáticas jurídico-públicas. Según el artículo 4 de la Ley 59/2003, reproduciendo el artículo 3.7 de la Directiva 1999/93, cabe cualificar las exigencias de los certificados y productos que LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ... amparen relaciones entre los administrados y las Administraciones Públicas. De este modo, no atenta contra los principios impuestos por la Directiva limitar el acceso a la prestación de servicios de certificación relacionados con el DNI. A nadie se le escapa, no obstante, que el DNI electrónico puede imponer una barrera de entrada al mercado de la prestación de servicios de certificación de difícil superación. 7. El empleo de la firma electrónica por notarios y registradores de la propiedad, mercantiles y de bienes muebles Tal y como se ha anticipado, la Ley 24/2001 regula la atribución y uso de la firma electrónica por parte de notarios y registradores de la propiedad, mercantiles y de bienes muebles en el ejercicio de sus funciones públicas. Las líneas maestras sobre las que se articula la incorporación de estas técnicas a la seguridad jurídica preventiva son las siguientes: — Los notarios y los registradores de la propiedad, mercantiles y de bienes muebles deben disponer obligatoriamente de sistemas telemáticos para la emisión, transmisión, comunicación y recepción de información. — Las características que deben reunir los referidos sistemas deben ser aprobadas por la Dirección General de los Registros y del Notariado. — Sin perjuicio de las especialidades que la propia Ley 24/2001 prevé, la prestación de servicios de certificación se hará de conformidad con lo dispuesto en la legislación general sobre firma electrónica. — Se reconoce explícitamente el Documento Público Electrónico. A tal efecto, se modifica la vieja Ley del Notariado, de 28 de mayo de 1862. — El empleo de la firma electrónica por notarios y registradores permite las siguientes aplicaciones prácticas: a) Se podrán remitir documentos públicos notariales, comunicaciones, partes, declaraciones y autoliquidaciones tributarias, solicitudes, o certificaciones por vía electrónica por parte de un notario o registrador de la propiedad, mercantil o de bienes muebles dirigidas a otro notario o registrador, a las Administraciones Públicas o a cualquier órgano jurisdiccional, siempre en el ámbito de su respectiva competencia y por razón de su oficio. b) Se podrán remitir copias simples electrónicas a las entidades y personas interesadas cuando su identidad e interés legítimo le consten al notario; de la misma forma podrán remitirse por los registradores de la propiedad y mercantiles notas simples informativas. El receptor podrá, por el mismo medio, enviar al remitente acuse de recibo y, en su caso, dejar constancia del cumplimiento de las obligaciones administrativas o tributarias. c) La firma electrónica avanzada también podrá ser empleada por notarios y registradores para el envío de documentos e informaciones a los particulares con el valor, efectos y requisitos que reglamentariamente se determinen. Esta previsión está orientada sin duda alguna a la intermediación del notario en la notificaciones fehacientes entre particulares. d) Por conducto electrónico podrán dos o más notarios remitirse, bajo su respectiva firma electrónica avanzada, el contenido de los documentos públicos autorizados por cada uno de ellos que incorporen las declaraciones de voluntad dirigidas a conformar un único negocio jurídico. e) Tal y como se ha dicho en líneas anteriores, los documentos susceptibles de calificación e inscripción en los Registros de la Propiedad, Mercantiles o de Bienes Muebles podrán ser presentados en éstos por vía telemática y con firma electrónica avanzada del notario autorizante o responsable del protocolo, siempre que cumplan los requisitos expresados en esta norma, dejando constancia de ello en la matriz, o en su caso, en el libro indicador. f) Los notarios podrán testimoniar en soporte papel, bajo su fe, las comunicaciones o notificaciones electrónicas recibidas o efectuadas, conforme a la legislación notarial. Asimismo los registradores de la propiedad, mercantiles y de bienes muebles podrán expedir certificaciones de las comunicaciones electrónicas que a su vez remitan o reciban, conforme a la legislación hipotecaria. EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 169 LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO g) Se abre la puerta al protocolo notarial informático en la medida en que se prevé el almacenamiento en soporte informático adecuado de las comunicaciones electrónicas, debidamente firmadas, efectuadas o recibidas de otros notarios, de otros registradores de la propiedad y mercantiles y de otros órganos de la administración estatal, autonómica, local o judicial. h) Por último, se prevé el acceso telemático on line a los libros de los Registros de la Propiedad y Mercantiles; se da entrada con ello a una concepción de los Registros como oficinas virtuales, lo cual, sin duda, desplazará en el futuro la concepción tradicional de los Registros como oficinas físicas. 8. Una aplicación práctica de la firma electrónica: la creación de sociedades mercantiles on line La firma electrónica ha dejado de ser una realidad electrónica puramente abstracta, accesible sólo a los más avezados en el empleo de la moderna tecnología. Existen en España muchas manifestaciones prácticas del empleo de la firma electrónica que avalan su utilidad práctica y las ventajas de su empleo, ventajas que se traducen en mayor celeridad y seguridad en las comunicaciones y, por ende, mayor eficiencia en el empleo de los recursos. Quizás el ejemplo más representativo de estas ventajas está vinculado a la iniciativa Nueva Empresa. Con ella es posible crear sociedades limitadas de modo que, en un plazo máximo de cuarenta y ocho horas, la sociedad esté inscrita en el Registro Mercantil con sus correspondientes códigos identificativos ante la Seguridad Social (CCC) y Hacienda (CIF). Con esta iniciativa se han conseguido entrelazar trámites vinculados a la mera constitución mercantil de las sociedades con la tramitación administrativa preceptiva de toda nueva empresa ante las Administraciones laboral y fiscal. El proyecto ha visto la luz como una modificación de la Ley 2/1995, de 23 de marzo, de sociedades de responsabilidad limitada, operada por la Ley 7/2003, de 1 de abril, proyecto que se dirige a las empresas más pe- 170 ICE EL COMERCIO EN LA SI Febrero 2004. N.º 813 queñas (microempresas) porque constituyen la columna vertebral de la economía española y son claves en la creación de puestos de trabajo. El proyecto ofrece innegables ventajas. De un lado, para el emprendedor, pues le permite recibir asesoramiento personalizado antes de constituir su empresa, conocer la información relativa al estado de sus trámites y evitar desplazamientos innecesarios reduciendo costes. De otro, para la propia Administración, pues crea una estructura virtual de intercomunicación entre los agentes implicados: Notarios, Registradores, Agencia Estatal de la Administración Tributaria, Tesorería General de la Seguridad Social, Instituto Social de la Marina, Registro Mercantil Central, Registros Mercantiles Provinciales, Comunidades Autónomas, Dirección General de Marina Mercante, Secretaría General de Pesca, y cuantas otras Administraciones, Organismos y entidades quieran implicarse en la iniciativa. Para hacer realidad la Nueva Empresa ha sido necesario potenciar los servicios de información, asesoramiento y tramitación telemática específicamente dirigidos a los emprendedores por medio del Centro de Información y Red de Creación de Empresas (CIRCE) que consta de los siguientes elementos: · El Portal PYME, constituido por un conjunto de contenidos multimedia para proporcionar servicios de información y asesoramiento a los emprendedores a través de Internet ubicados en la web de la Dirección General de Política de la Pequeña y Mediana Empresa (www.ipyme.org) y en el Portal CIRCE (www.circe.es) Servicios de Información vía Internet. · La Red de Creación de Empresas, constituida por los Puntos de Asesoramiento y Tramitación (PAIT), orientada al asesoramiento y a la prestación de servicios presenciales a los emprendedores, tanto en la gestación, tramitación telemática y puesta en marcha de sus iniciativas empresariales como durante sus primeros años de actividad (Servicios de Asesoramiento Presencial). · El Sistema de Tramitación Telemática (STT), concebido como un sistema informático de tramitación de LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ... expedientes electrónicos de creación de empresas basado en el Documento Único Electrónico —DUE— (Servicios de Tramitación). El CIRCE proporciona servicios de Administración Electrónica de comunicación e interacción tanto a través de su web específica www.circe.es como del Portal PYME www.ipyme.org. Estos dos sitios web proporcionan tanto información de utilidad en todo lo relacionado con la Creación de Empresas (formas jurídicas, financiación, fiscalidad, I + D + i, trámites administrativos de constitución y puesta en marcha, ayudas públicas, etcétera) como una serie de herramientas interactivas que permiten al emprendedor la maduración de su proyecto empresarial: herramienta de elaboración del Plan de Empresa, Autodiagnóstico de Actitudes Emprendedoras, Autodiagnóstico para el acceso a nuevos mercados o los Simuladores Sectoriales de Modelos de Negocio (disponibles desde enero de 2004). En cuanto a los servicios de transacción, el trámite de creación de una Nueva Empresa por medios informáticos y telemáticos es un claro ejemplo de Administración Electrónica multitrámite y multiadministración en el que intervienen todos los organismos competentes en la creación y puesta en marcha de una sociedad mercantil. Con el procedimiento telemático, el emprendedor sólo tiene que acceder presencialmente a un Punto de Asesoramiento e Inicio de Tramitación (PAIT) y al notario que elija para el otorgamiento de la escritura pública de la sociedad. Se evitan desplazamientos para realizar el resto de los trámites y el uso de formularios en papel ya que el sistema de tramitación telemática del CIRCE rea- lizará la tramitación ante los organismos competentes en base a los datos introducidos en el Documento Único Electrónico (DUE). El DUE es un formulario de naturaleza telemática que recoge todos los datos referentes a la Sociedad Nueva Empresa que, de acuerdo con la legislación aplicable, deben remitirse a los Registros Jurídicos y las Administraciones Públicas competentes para la constitución de la sociedad y para el cumplimiento de las obligaciones en materia tributaria y de Seguridad Social inherentes al inicio de su actividad. Si bien la tramitación telemática supone una reducción sustancial de los plazos para la creación y puesta en marcha de una empresa, el proyecto Nueva Empresa va mucho más allá y, como se ha indicado anteriormente, tiene un primer objetivo muy claro: simplificar y mejorar la constitución de empresas. A fin de lograr su consecución, el elemento clave es el Centro de Información y Red de Creación de Empresas (CIRCE) y su sistema de tramitación telemática (STT-CIRCE). A pesar de las muchas críticas recibidas —algunas incluso llegaban a negar la viabilidad del sistema—, la Sociedad Limitada Nueva Empresa es una innegable realidad, habiéndose constituido, hasta el día 9 de enero de 2004, 114 nuevas compañías por el procedimiento telemático. A dicha fecha, se han emitido por el procedimiento presencial 1.747 certificaciones de reserva de denominación social, inscribiéndose 946 sociedades en los Registros Mercantiles Provinciales correspondientes. EL COMERCIO EN LA SI Febrero 2004. N.º 813 ICE 171