la firma electrónica: análisis del nuevo régimen

Anuncio
Leopoldo González-Echenique
Castellanos de Ubao*
LA FIRMA ELECTRÓNICA: ANÁLISIS
DEL NUEVO RÉGIMEN JURÍDICO
CONTENIDO EN LA LEY 597/2003,
DE 19 DE DICIEMBRE
En el presente artículo se analizan los principales puntos del régimen jurídico aplicable
a la firma electrónica desde un enfoque marcadamente orientado hacia sus
implicaciones comerciales y económicas. Para ello, se describe su funcionamiento, se
indican cuáles son las disposiciones generales que afectan a esta figura y se ofrece un
ejemplo de aplicación práctica.
Palabras clave: tecnología de la información, comunicaciones, comercio, prestación de servicios, Internet.
Clasificación JEL: L81, L86, K12
1.
Introducción
En el presente artículo se van a tratar de exponer las
líneas maestras del régimen jurídico aplicable a la firma
electrónica, si bien desde un enfoque marcadamente
orientado hacia sus implicaciones comerciales y económicas. Para ello, es preciso partir de una serie de ideas
generales descriptivas de este instrumento de identificación en las comunicaciones telemáticas.
La firma electrónica responde a una realidad no perceptible sensorialmente en las mismas condiciones que
la firma manuscrita. La firma electrónica no es más que
un conjunto de datos que forman parte de un circuito
electrónico o, como se dice modernamente, telemático.
No hay necesariamente una plasmación física de la fir-
* Abogado del Estado.
ma en cuanto a tal pues dichos datos, o bien permanecen en los archivos de un ordenador, o bien son grabados en soportes magnéticos, o bien son transmitidos
desde un terminal de ordenador a otro a través de redes
telemáticas.
Es importante insistir en que la firma electrónica, a diferencia de la firma manuscrita, que no puede concebirse sin un papel en el que plasmarse, no es más que un
conjunto de datos.
Otra característica de la firma electrónica es que no
se representa mediante una grafía personalísima y reconocible que sólo puede imputarse a una persona determinada. La modalidad más extendida de firma electrónica —la firma digital— no es más que la asociación
entre dos claves, una pública y una privada, de modo
que, formando parte de un código matemático complejo
y aleatorio, sirven para desencriptar un conjunto de datos. En realidad, la firma electrónica permite hacer legi-
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
153
LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO
ble un conjunto de datos tratados mediante equipos informáticos y remitidos telematicamente. La seguridad
del sistema descansa en que el conocimiento de las claves es limitado, de ahí que sólo quien tienen acceso al
mismo puede hace funcionar el sistema.
La Ley define la firma electrónica como un conjunto
de datos en forma electrónica, consignados junto con
otros o asociados con ellos, que pueden ser utilizados
como medio de identificación. Como es de ver, la Ley
utiliza dos circunstancias para caracterizar la firma electrónica:
a) Se trata de un conjunto de datos consignados
electrónicamente, es decir, susceptibles de ser tratados,
almacenados y remitidos a través de terminales de ordenadores.
b) Dichos datos se emplean para identificar a quien
los consigna, emite, trata o custodia.
Esta definición, deudora de la consignada en la Directiva, responde al llamado principio de neutralidad tecnológica, con el que se persigue no enclaustrar la tecnología que envuelve a la firma electrónica, sin duda por el
riesgo de que si se restringe en mayor medida el concepto y se asocia a una tecnología determinada, aquellos otros instrumentos similares empleados para identificar a los autores de mensajes electrónicos quedarán
fuera de la regulación.
2.
Breve descripción del funcionamiento
de la firma digital
En la firma digital, el esquema es el siguiente: cuando
se completa una declaración de voluntad, juicio o conocimiento por un emisor, se aplica un programa informático que consiste en encriptar todo o parte de dicha declaración. La encriptación se logra introduciendo dos claves, una pública y otra privada; ambas claves se
incorporan a un complejo procedimiento matemático a
través del cual se transforman los elementos del mensaje original en mensajes codificados ininteligibles por el
hombre. La única manera de desencriptar dicho conjunto de datos pasa por introducir una clave pública, es de-
154
ICE
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
cir, conocida por el destinatario, de modo que el algoritmo de encriptación, utilizando dicha clave, transforma
nuevamente los datos encriptados en otros entendibles
en nuestro lenguaje.
Si alguien pretende alterar el contenido del mensaje,
romperá la simetría de la conversión algorítmica, de
modo que dicha modificación resulta detectable.
El sistema exige dos claves, la pública y la privada.
Se llama clave pública a aquella que es conocida tanto
por el emisor como por el receptor. La clave privada es
conocida exclusivamente por el emisor. Los sistemas de
firma digital que utilizan ambas claves se llaman asimétricos.
Los llamados sistemas simétricos sólo utilizan una
clave, la pública, es decir, conocida por ambas partes en
la comunicación.
El llamado sistema de clave asimétrica ofrece innegables ventajas en la medida en que la clave privada, al
ser conocida exclusivamente por el emisor, confiere las
características de integridad y autenticidad del contenido del mensaje e identidad de su autor, pues sólo él ha
podido emitir una declaración cuya encriptación depende exclusivamente de la aplicación de una clave que él
sólo conoce.
Por el contrario, si en la comunicación sólo interviene
una clave, la pública —conocida por emisor y receptor—, no hay garantía de que el receptor mantenga inalterado el contenido del mensaje ya que, al conocer la
única clave que confiere las características antes comentadas a la comunicación, puede modificar dicho
contenido.
Cuando nos referimos a las «claves» pública y privada, lo hacemos a una combinación de letras y números
(alfanumérica) o sólo de letras o sólo de números. Así,
la clave pública puede ser, por ejemplo, el nombre de
una persona junto a datos que sean fácilmente identificables; por ello, se denomina así, puesto que debe ser
fácilmente cognoscible y almacenable por las partes en
la comunicación. Por el contrario, la clave privada debe
reunir una compleja combinación de símbolos gráficos
que, precisamente por su longitud y por la dificultad de
LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ...
ser recordada por su titular, en los sistemas que actualmente se aplican, suele estar transcrita en un soporte al
que sólo acceda el titular.
En la actualidad, los sistemas más generalizados de
firma digital1 incorporan una clave privada que representa un conjunto de datos equivalentes a 1.024 bits de
información; dicha información se suele incorporar a un
chip electrónico o a una banda magnética adherida a
una tarjeta de plástico (con un tamaño y aspecto externo igual al de las tarjetas de crédito convencionales)
siendo necesario «pasar» la tarjeta por el oportuno lector para «firmar electronicamente» un documento. Otra
modalidad de dispositivo de firma electrónica, también
muy extendida, se basa en la descarga de la clave privada en el disco duro de un ordenador personal a través
de Internet de modo que, para firmar documentos, se
emplea la correspondiente aplicación informática.
A todo ello, algunos sistemas actuales añaden otra ulterior clave, llamada Número de Identificación Personal
(igual que los «PIN» o personal identification number).
Esta clave, depositada en la memoria de su titular y, por
tanto, de fácil recordatorio (por ejemplo, cuatro números
—igual que en las tarjetas de crédito y débito—) se añade a la clave privada para que pueda tener lugar todo el
proceso de conversión criptográfica. Es decir, el programa de creación de firma electrónica no «funciona» si no
se introduce correctamente el PIN. Se añade así otro
instrumento para garantizar la autenticidad e integridad
del mensaje e identidad del emisor. La razón de añadir
este último resorte de seguridad se basa en que la clave
privada, en la mayor parte de los casos, estará transcrita en una banda magnética incorporada a una tarjeta de
plástico de modo que quien posea dicha tarjeta posee la
clave; para evitar que pueda ser utilizada fraudulentamente la firma electrónica por un tercero distinto del titular en contra de su voluntad, se exige la introducción de
un segundo código, breve y de fácil recuerdo, que, al es-
1
En concreto, el certificado definido por la UIT como clase 2CA
V-507.
tar en la memoria del titular, garantiza la autenticidad del
mensaje.
No obstante, no podemos dejar de hacer mención a
otros sistemas de firma electrónica que se han propuesto en los últimos años. De entre todos ellos, destaca el
que se basa en la identificación de rasgos físicos del titular de la firma (por ejemplo, leyendo la huella digital o
la configuración de la córnea); son los sistemas de identificación biométrica o, simplemente, biométricos. Este
sistema, que garantizaría la absoluta identidad del emisor, se encuentra con el innegable problema de la dificultad que conlleva instalar aparatos de identificación
de dichos signos personalísimos con una implantación
suficiente como para que la generalidad de las personas
puedan utilizarlo, todo ello con independencia del mayor
coste del que representa el sistema de claves, ya sean
simétricas o asimétricas.
Otra modalidad de firma electrónica fue desarrollada
hace algunos años en Estados Unidos en donde se ideó
un programa informático que permite firmar con un lápiz
óptico de modo que la firma manuscrita se incorpora al
texto de un documento; se trata de un sistema que equipara la firma electrónica a la firma manuscrita si bien utilizando para ello, en vez de un papel, una superficie que
permite recoger la totalidad de los trazos de la firma e incorporarla al final de los documentos que se escriban
utilizando procesadores de texto. Esta tecnología, a día
de hoy, todavía no permite hacer un análisis jurídico detallado sobre sus consecuencias. Una modalidad de
este programa, todavía más reciente, consiste en permitir que con un lápiz óptico puedan firmarse documentos
impresos a través de procesadores de textos sobre la
propia pantalla de un ordenador; la utilidad de este programa consiste precisamente en permitir la firma individualizada de documentos una vez están escritos mediante el empleo de procesadores de texto al uso de la
firma tradicional de un documento impreso en papel físico. No obstante, estamos ante soluciones tecnológicamente posibles que todavía no están en condiciones de
ofrecerse masivamente en el mercado, y ello por razones vinculadas al alto coste que conllevan.
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
155
LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO
3.
El comercio y las transacciones electrónicas en
España. Situación actual e importancia del
mercado de la certificación electrónica
El desarrollo de la sociedad de la información en
España es moderado en comparación con su potencial.
La realidad con la que nos encontramos a comienzos
del año 2004 es que en España la sociedad de la información no ha alcanzado una cota de desarrollo paralela
a los nieves de desarrollo y convergencia macroeconómica. Si en este último aspecto España está situada en
casi un 87 por 100 respecto del grado de convergencia
real con la media de los países comunitarios y lucha por
su reconocimiento como octava o novena potencia económica mundial, no podemos decir lo mismo en cuanto
al grado de desarrollo de la sociedad de la información.
Es difícil encontrar ratios e índices homogéneos en el
tiempo y en el espacio en lo que al grado de desarrollo
de la sociedad de la información atañe. Algunos estudios —limitados en cuanto a su fundamento científico—
sitúan a España por debajo del puesto 25. Otros la sitúan a la cola de los países comunitarios, incluso detrás
de Portugal y en un nivel parejo con Grecia.
Nadie duda hoy en día del grado de interrelación que
existe entre el crecimiento económico sostenible y el nivel de desarrollo de la sociedad de la información de
una economía. El desarrollo de la sociedad de la información implica innovación tecnológica, eficiencia en los
procesos productivos y elevada productividad en el empleo de recursos de todo orden, especialmente en lo
que a los recursos humanos se refiere.
Los estudios sobre el nivel de desarrollo de la sociedad de la información en España desvelan que en nuestro país todavía hay mucho recelo a la hora de confiar
en la seguridad y confidencialidad de las redes telemáticas como instrumento para realizar transacciones, en
particular, respecto de la Red de redes: Internet. Hay
múltiples factores que pueden llegar a explicar el porqué
de este retraso: se habla de factores sociológicos —vinculados a nuestro clima mediterráneo—, económicos
—geografía accidentada, escaso desarrollo de las re-
156
ICE
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
des fijas de telecomunicaciones— y de todo orden.
Pues bien, entre ellos, debe destacarse la falta de confianza en Internet para relacionarse comercialmente.
Por esta razón es tan imprescindible el desarrollo de
un instrumento centrado exclusivamente en dotar de seguridad a las comunicaciones telemáticas como es la firma electrónica. La expansión del mercado de la certificación electrónica está llamada a incrementar el número de transacciones por Internet y con ello a superar la
tradicional barrera psicológica que todavía nos detrae
de comprar y vender bienes y servicios a niveles paralelos a los de los países anglosajones y nórdicos.
Según las últimas estadísticas, la cifra del importe
global de las transacciones del comercio electrónico en
España se ha incrementado en más de un 200 por 100
entre los meses de marzo de los años 2001 y 2002, llegando a alcanzar un montante total de 1.160,90 millones de euros (AECE-FECEMED 2003). Si se comparan
las cifras con el año 2000, el incremento es superior al
500 por 100. El número de internautas, según la fuente
citada, se ha incrementado en un 50 por 100 comparando los años 2001 y 2003 (hasta casi un 38 por 100 de la
población). El número de compradores respecto de los
internautas ha registrado un incremento similar (hasta
un 19,4 por 100).
Las compras de bienes y servicios relacionados con
la lectura (libros y periódicos), los viajes, la música, el
software en general y el ocio representan casi el 82 por
100 del total.
Las transacciones hechas a través de internet han sido
satisfechas mayoritariamente a través de tarjetas de crédito (62,8 por 100). El pago contrarreembolso representó
un 26,5 por 100 respecto del total y la domiciliación y
transferencia bancaria el 15,5 por 100. Ello implica que el
78 por 100 del total son susceptibles de realizarse íntegramente por Internet (la transacción y el pago).
Estos datos muestran el extraordinario potencial que
todavía tiene el comercio electrónico en España y, por
tanto, el mercado tendente a conferir seguridad a las
transacciones, esto es el mercado de la certificación
electrónica.
LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ...
4.
La regulación de la firma electrónica
En el presente apartado trataremos de enunciar muy
brevemente el panorama legislativo regulador de la firma electrónica.
Como no puede ser de otra manera, debemos comenzar por el artículo 18 de la Constitución en donde se
reconoce el derecho al honor, a la intimidad personal y
familiar y a la propia imagen. Su párrafo cuarto permite
que la Ley limite el uso de la informática para garantizar
estos derechos y su pleno ejercicio.
Las normas específicas que regulan la firma electrónica, tal y como la hemos definido anteriormente, parten
del texto de la Directiva 1999/93/CE del Parlamento y
del Consejo, de 13 de diciembre, por la que se establece un marco comunitario para la firma electrónica (Directiva sobre Firma Electrónica). Se trata de una norma
de mínimos que pretende armonizar el uso de la firma
electrónica dentro del marco comunitario. El objetivo básico de la Directiva es evitar que las diversas regulaciones puedan llegar a suponer un obstáculo en aras a lograr lo que inicialmente se denominó Mercado Común y
que hoy ha pasado a ser concebido como el Mercado
Interior.
Sobre la base de la Posición Común adoptada por el
Parlamento y por el Consejo y sin haberse aprobado la
Directiva, se redactó el texto de lo que luego se promulgó como el Real Decreto-Ley 14/1999, de 17 de septiembre, sobre Firma Electrónica. Este texto, inicialmente tramitado como anteproyecto de Ley para su remisión
ordinaria a las Cortes Generales, fue objeto de una aceleradísima tramitación después del verano de 1999 de
modo que vio la luz como disposición del Gobierno con
rango de Ley. Posteriormente obtuvo la convalidación
del Congreso de los Diputados de ahí que sus efectos
permanezcan en el tiempo.
Aparte de otras críticas relacionadas con la técnica legislativa, la sistemática del Decreto-Ley y la redacción
de muchos de sus preceptos, eran insistentes las críticas que denunciaban el excesivo literalismo en la reproducción de gran parte del texto de la Directiva. Este De-
creto-Ley ha sido recientemente derogado por la nueva
Ley de Firma Electrónica a la que posteriormente nos
referiremos.
El Decreto-Ley fue objeto de desarrollo parcial a través de la Orden de 21 de febrero de 2000, por la que se
aprueba el Reglamento de Acreditación de Prestadores
de Servicios de Certificación y de Certificación de Determinados Productos de Firma Electrónica. El rango reglamentario de la Orden es acorde con la habilitación
concedida por el Real Decreto-Ley 16/1999, de 15 de
octubre, que rebajó la jerarquía reglamentaria para desarrollar las previsiones contenidas en el Decreto-Ley
sobre Firma Electrónica. A pesar de la derogación del
Decreto-Ley 14/1999, todavía deben entenderse en vigor aquellos preceptos de la Orden Ministerial en lo que
no resulten contradictorios con la nueva Ley de Firma
Electrónica.
También se ha de citar el artículo 81 de la Ley
66/1997, de 30 de diciembre, de Medidas Fiscales,
Administrativas y de Orden Social, que atribuyó a la Fábrica Nacional de Moneda y Timbre-Real Casa de la
Moneda (FNMT-RCM) el carácter de proveedor de servicios de certificación de comunicaciones electrónicas
de las Administraciones Públicas entre sí y de éstas con
particulares. El precepto en cuestión ha recibido un aluvión de apartados nuevos por leyes posteriores.
El desarrollo reglamentario de esta norma se ha producido por el Real Decreto 1.317/2001, de 30 de noviembre, que ha venido a derogar el Real Decreto
1.290/1999, de 23 de julio. En dicho precepto se desarrolla el régimen a través del cual la FNMT-RCM presta
sus servicios de certificación tanto en el seno de las relaciones en las que uno de los intervinientes es una
Administración Pública como en el de aquéllas que tienen lugar entre particulares.
La Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, estableció un
conjunto de novedades importantes en un capítulo específico de su Libro IV denominado «Acción administrativa en materia de seguridad jurídica preventiva». La
Sección Octava de dicho capítulo regula la incorpora-
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
157
LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO
ción de técnicas electrónicas informáticas y telemáticas
a la seguridad jurídica preventiva. En líneas posteriores
se describirán las líneas maestras del empleo de la firma electrónica por los protagonistas de la llamada seguridad jurídica preventiva, es decir, los Notarios y los Registradores.
En lo que atañe al empleo de la firma electrónica en el
ámbito de las Administraciones Públicas, debe citarse la
Ley 30/1992, de 26 de noviembre, sobre el régimen jurídico de las Administraciones Públicas y del procedimiento administrativo común. El artículo 45 de la citada
Ley regula en términos generales2 el empleo de lo que
denomina técnicas electrónicas, informáticas y telemáticas (EIT) en las relaciones con las Administraciones Públicas. El precepto se limita a admitir el empleo de dichas técnicas, entre las que se inserta la firma electrónica, limitándose a exigir un marco adecuado de
garantías de seguridad. Este precepto se ha desarrollado reglamentariamente a través del Real Decreto
263/1996, de 16 de febrero. También resultan relevantes otros dos artículos de la Ley 30/1992, ambos redactados por la Ley 24/2001: el 38 —que regula los registros administrativos— y el 59 —dedicado a la forma en
la que tienen que hacerse las notificaciones por las
Administraciones Públicas para que surtan efectos válidos en un procedimiento administrativo—. En líneas
posteriores dedicaremos algunas líneas a comentar el
alcance de esta regulación.
Una manifestación de la plena admisibilidad de la firma electrónica en las relaciones jurídico-públicas se encarna en torno a la nueva Ley 58/2003, de 17 de diciembre, General Tributaria, en la que, con una técnica jurídi-
2
El artículo 45 de la Ley 30/1992 se limita a señalar que los
documentos emitidos, cualquiera que sea su soporte, por medios
electrónicos, informáticos o telemáticos por las Administraciones
públicas, o los que éstas emitan como copias de originales almacenados
por estos mismos medios, gozarán de la validez y eficacia de
documento original siempre que quede garantizada su autenticidad,
integridad y conservación y, en su caso, la recepción por el interesado,
así como el cumplimiento de las garantías y requisitos exigidos por esta
u otras Leyes.
158
ICE
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ca similar a la que utiliza la Ley 30/1992, se reconoce
genéricamente la admisibilidad de la firma electrónica
en los actos de gestión tributaria (en el concepto más
amplio posible). De este modo, se rompe acertadamente con la tendencia legislativa anterior en la que la admisibilidad del empleo de la firma electrónica en las relaciones jurídico tributarias se reconocía en algunas leyes
reguladoras de las distintas figuras impositivas (así, la
Ley 37/1992, de 28 de diciembre, del Impuesto del Valor
Añadido o el Real Decreto 828/1995, de 29 de mayo, de
desarrollo del Texto Refundido de 24 de septiembre de
1993 sobre el Impuesto de Transmisiones Patrimoniales
y Actos Jurídicos Documentados, contienen referencias
explícitas a las comunicaciones electrónicas).
La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico, ha
venido a dar carta de naturaleza al empleo de la firma
electrónica y las comunicaciones telemáticas en la contratación privada. Se trata de una norma llamada a integrar el Derecho Común de la contratación electrónica
que declara la plena validez de los contratos electrónicos, admite el documento electrónico como prueba documental en juicio, establece el momento y el lugar de
celebración de los contratos electrónicos, impone obligaciones previas y posteriores a su celebración y, en definitiva, rellena algunos huecos que la legislación tradicional ofrecía para esta modalidad de contratación. No
obstante, es importante destacar que la Ley 34/2002 reguló los aspectos sustantivos de los negocios que se
celebran mediante técnicas y redes telemáticas; la legislación sobre firma electrónica, por el contrario, regula
el aspecto formal de la seguridad de dichas comunicaciones.
La Ley 44/2002, de 22 de noviembre, de medidas de
reforma del sistema financiero, también dedica preceptos a admitir genéricamente la contratación electrónica
en los mercados financieros, en particular, en los mercados de valores e instrumentos financieros, en el mercado del seguro privado, individual y colectivo, y en el mercado del crédito. A su vez, prevé un potestativo desarrollo reglamentario de los requisitos de esta modalidad de
LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ...
contratación en los mercados financieros si las particularidades de los mercados o de algunas de sus transacciones lo requieren.
Junto con las anteriores normas, también han de citarse otras que guardan relación con la materia que nos
ocupa:
1) En relación con la protección de datos, la norma
básica es la Ley Orgánica 15/1999, de 13 de diciembre,
sobre protección de datos de carácter personal.
2) El artículo 5.3 de la Ley 7/1998, de 13 de abril, de
Condiciones Generales de Contratación, en desarrollo
del cual se dictó el Real Decreto 1.906/1999, de 28 de
diciembre. La Disposición Final Octava de la Ley
34/2002, de 11 de julio, de Servicios de la Sociedad de
la Información y de Comercio Electrónico, prevé que el
Gobierno modifique dicho Reglamento a las peculiaridades de su Título IV relativo a la contratación electrónica.
Hasta la fecha, dicho Real Decreto no ha sido promulgado.
3) En el ámbito de supervisión de la Comisión Nacional del Mercado de Valores, desde marzo de 1998 se
ha implantado el llamado sistema cifradoc/CNMV que
se extiende a la tramitación prevista por la Ley 24/1988,
de 24 de julio, del Mercado de Valores, a la recepción de
las informaciones que periódicamente deben enviar a la
CNMV las entidades supervisadas, a la atención de reclamaciones y consultas y a cualquier otro intercambio
de información por vía telemática que pueda tener lugar.
Finalmente, debe citarse la Ley 59/2003, de 19 de diciembre, de firma electrónica. A pesar de que la regulación contenida en esta Ley va a constituir el núcleo sobre el que va a centrarse el presente artículo, no está de
más hacer unas breves referencias al porqué de su promulgación.
El Real Decreto-Ley 14/1997, como ya se ha dicho,
resultó algo precipitado en su tramitación. Hasta tal punto fue así que vio la luz antes que la propia Directiva comunitaria que transponía. Esta circunstancia, unida a
una sistemática terminología y técnica jurídica algo peculiares, propició un ambiente favorable para su reforma. A ello se añadía que fue una de las primeras nor-
mas en Europa que abordó el novísimo fenómeno de la
firma electrónica sin que el marco regulador que contenía sirviera de verdadero impulso del mercado de la certificación electrónica en España. De hecho, se ha criticado —y no sin razón— que, a día de hoy, el proyecto
CERES (certificación Electrónica Española) gestionado
por la FNMT-RCM, el Ministerio de Economía, la Agencia Tributaria y la Seguridad Social, representan la casi
única iniciativa existente en nuestro país en el mercado
de la certificación electrónica.
Desde estas consideraciones, la Ley 59/2003 representa un esfuerzo del legislador por dotar al sistema
de certificación electrónica de una norma clara y fácilmente comprensible que apuesta por impulsar el mercado privado de la certificación electrónica en España.
5.
Elementos sobre los que gira la firma electrónica
La firma electrónica como tal resulta un concepto abstracto. Existen otros conceptos, procesos y elementos
subjetivos y objetivos que son utilizados por la Ley a la
hora de regular la materia que nos ocupa.
La creación de la firma electrónica
Cuando la Ley utiliza la expresión «creación» de
una firma electrónica lo hace aludiendo al proceso por
el cual se crea un nuevo mensaje dotado de firma
electrónica. Ello implica, de acuerdo con la descripción general expuesta al comienzo de estas líneas
que, una vez redactado el mensaje, se aplica el programa de firma electrónica mediante la introducción
de la clave privada.
La Ley asocia a este proceso los conceptos de datos
de creación de firma electrónica (que son los códigos o
las claves criptográficas privadas que el firmante utiliza
para crear la firma electrónica), dispositivo de creación
de firma (programa o un aparato informático que sirve
para aplicar los datos de creación de firma) y dispositivo
seguro de creación de firma (dispositivo de creación de
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
159
LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO
firma que cumple los requisitos imprescindibles para garantizar la fiabilidad del sistema y que se recogen en el
artículo 24.3)3.
Como luego veremos, para que un dispositivo pueda
ser calificado como «seguro» debe ser certificado por
una entidad de certificación de acuerdo con los criterios
de certificación de la calidad industrial que se contienen
en la Ley de Industria de 1992.
La verificación de la firma electrónica
El proceso de verificación de una firma electrónica se
residencia en el destinatario del mensaje firmado y consiste en aplicar la clave pública para poder leer el mensaje y comprobar su autenticidad e integridad. Asociados a
este proceso se encuentran los conceptos de datos de
verificación de firma (códigos o claves criptográficas públicas que se utilizan para verificar la firma electrónica) y
dispositivo de verificación de firma (programa que sirve
para aplicar los datos de verificación de firma).
Los certificados electrónicos
Se define en el artículo 6 como el documento firmado
electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma
a un signatario y confirma su identidad.
El certificado, pieza clave del sistema, se caracteriza
por las siguientes notas:
a) El soporte no es físico, sino electrónico.
3
Tales requisitos son los siguientes:
a) Que garantice que los datos utilizados para la generación de firma
puedan producirse sólo una vez y que asegure, razonablemente, su
secreto.
b) Que exista seguridad razonable de que dichos datos no puedan
ser derivados de los de verificación de firma o de la propia firma y de
que la firma no pueda ser falsificada con la tecnología existente en cada
momento.
c) Que los datos de creación de firma puedan ser protegidos
fiablemente por el signatario contra la utilización por otros.
d) Que el dispositivo utilizado no altere los datos o el documento que
deba firmarse ni impida que éste se muestre al signatario antes del
proceso de firma.
160
ICE
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
b) Tiene por misión vincular los datos que resultan
de la verificación de una firma a su autor o signatario.
c) También confirma la identidad del signatario, es
decir, acredita que el mensaje telemático ha sido escrito
y enviado por la persona que aparece como signatario y
no por otra distinta. Esta función es fruto del sistema de
claves públicas y privadas y, en su caso, posteriores códigos, que los intervinientes en el proceso de comunicación deben introducir para que éste tenga lugar.
El certificado reconocido es aquél que ha sido expedido por un prestador de servicios de certificación que
cumpla los requisitos establecidos en la Ley en cuanto a
la comprobación de la identidad y demás circunstancias
de los solicitantes y a la fiabilidad y las garantías de los
servicios de certificación que presten (artículo 11). En los
artículos 11 a 13 se detalla el contenido mínimo de esta
clase de certificados así como las obligaciones previas
que debe cumplir el prestador que expida esta clase de
certificados (relativas a la comprobación de la identidad y
demás circunstancias de los solicitantes, el aseguramiento de que el firmante está en posesión de los datos
de creación de firma y la garantía de que la relación entre
clave privada, clave pública y certificado es unívoca).
Especialmente destacables son las normas relativas
a la extinción y la suspensión de la vigencia de los certificados electrónicos.
1) Vigencia de los certificados. Según el artículo 8
de la Ley, se extinguirán los certificados en los siguientes casos:
a) Expiración del período de validez. Tratándose de
certificados reconocidos, el período no podrá exceder
de cuatro años, contados desde la fecha en que se hayan expedido. La pérdida de vigencia se produce, según
el párrafo segundo, desde el fin del plazo de validez.
b) Revocación.
c) Puesta en peligro del secreto de los datos de
creación de firma o utilización indebida por un tercero.
d) Resolución judicial o administrativa que lo ordene.
e) Fallecimiento o extinción de la personalidad jurídica del firmante o del representado o incapacidad de
cualquiera de ellos
LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ...
f) Cese en su actividad del prestador de servicios de
certificación salvo que, previo consentimiento expreso
del signatario, los certificados expedidos por aquél sean
transferidos a otro prestador de servicios.
g) Alteración de los datos aportados para la obtención del certificado o modificación de las circunstancias
verificadas para la obtención del certificado.
h) Cualquier causa lícita prevista en la declaración
de prácticas de certificación.
Fuera del supuesto previsto en la letra a), la pérdida
de vigencia de un certificado surtirá efectos desde la fecha en que el prestador de servicios lo haga constar en
el servicio de consulta con el que cuente para dar publicidad a la vigencia de los certificados.
2) Suspensión de la vigencia. La suspensión de la vigencia de los certificados está prevista en la nueva Ley
como un estadio previo a la extinción con la finalidad de
evitar que, ante la concurrencia de dudas acerca de la
fiabilidad de un certificado, pueda evitarse cautelarmente
su utilización frente a terceros. La legitimación para instar
la suspensión se atribuye al firmante, a su representante
o a la persona física encargada de la custodia de un certificado expedido a favor de una persona jurídica, a las autoridades administrativas o judiciales competentes y al
propio prestador de servicios de certificación.
3) La llamada «lista de certificados revocados». El
artículo 10 contiene una mención a lo que coloquialmente se ha venido a denominar «lista de revocados» y que
la norma llama «servicio de consulta sobre la vigencia
de los certificados». Se trata de un servicio que debe
ofrecer el prestador de servicios de certificación que tiene una extraordinaria importancia económica. También
se refiere la Ley a esta realidad en el artículo 18 cuyos
apartados c) y d) obligan a todo prestador a mantener
un directorio debidamente actualizado en el que figuren
los certificados por él expedidos cuya vigencia haya
sido suspendida o extinguida así como a garantizar la
disponibilidad de un servicio de consulta acerca de la vigencia de sus certificados.
Efectivamente, la práctica ha demostrado que lo importante de cada certificado es que haya alguien detrás
que certifique su vigencia a quienes se relacionan con
sus titulares telemáticamente. Esta razón ha motivado
que algunos prestadores de servicios de certificación
expidan gratuitamente sus certificados exigiendo la
oportuna contraprestación por este servicio de consulta.
Es decir, no se rentabiliza la actividad por la emisión y
mantenimiento de los certificados electrónicos, sino por
la consulta acerca de su vigencia.
Ello implica a terceras personas distintas de los firmantes; así, si yo soy titular de un certificado y envío un
mensaje firmado a un tercero, el que debe consultar si
mi certificado está vigente o no es el destinatario del
mensaje, pues sólo de este modo estará seguro de que
el mensaje ha sido emitido por mí. De este modo, se
está obligando al prestador de servicios de certificación,
a quien nada tiene que ver con el certificado, a satisfacer una contraprestación.
Éste es uno de los grandes problemas prácticos con
los que se encuentra la prestación de servicios de certificación. Es una cuestión no resuelta y en la que, por razones obvias, la Ley no ha entrado (a pesar de que había alguna propuesta que obligaba a los prestadores a
permitir el acceso gratuito al sistema de consultas de vigencia de los certificados, cosa que hubiera arruinado el
negocio de algunos).
Los prestadores de servicios de certificación
Obviamente, estos prestadores son los que ofrecen
los servicios de certificación en los que descansa la firma electrónica. Hasta la promulgación de la Ley
59/2003, sólo quienes se dedicaban a la expedición de
certificados electrónicos podían adquirir esta condición.
La nueva Ley considera también prestadores de servicios de certificación a quienes, sin expedir certificados
electrónicos, se dedican a actividades accesorias, como
pueden ser, a título de ejemplo, el revestimiento de los
mensajes con fechas electrónicas (time stamping), facilitar accesos a consultas sobre vigencia de certificados
o posibilitar la incorporación a otros certificados preexis-
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
161
LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO
tentes de características personales de los titulares o firmantes («gestión de atributos»).
Con esta mayor amplitud, la nueva Ley ha querido
abrir el mercado de la certificación a otros operadores
que pueden ofrecer un valor añadido a los servicios de
certificación de otros prestadores. Esta circunstancia
puede ser especialmente relevante si tenemos en cuenta que el mercado de la certificación electrónica está llamado a estar dominado oligopolísticamente por pocos
prestadores que expidan certificados. Muchos de los estudiosos del sector consideran que, al igual que pasa en
el mercado de las tarjetas de crédito, es imprescindible
tener una gran masa crítica de clientes para poder competir en términos viables en este mercado. Los costes fijos son enormes mientras que los variables son poco relevantes. Sólo aquéllos que tengan una masa crítica suficiente pueden ofrecer esta actividad en condiciones
económicamente plausibles.
Es por esta razón por la que la Ley ha querido incluir
en el concepto de prestadores de esta clase de servicios a quienes desempeñan actividades accesorias a la
expedición de los certificados. De esta manera se confiere seguridad jurídica a esta actividad y se atrae al
mercado a operadores que pueden ofrecer un valor
añadido a la mera expedición de certificados.
Esta idea es especialmente importante si se tiene en
cuenta que el DNI electrónico está llamado a erigirse en
el certificado básico de los nacionales españoles capaz
de recibir prestaciones adicionales de otros prestadores
que doten de mayor funcionalidad a la ya relevante misión que a buen seguro realizará este certificado.
Certificación voluntaria de prestadores
de servicios de certificación
y de dispositivos de firma electrónica
La Ley de firma electrónica ha venido a dulcificar y
agilizar la obtención de sellos de calidad por parte de
los prestadores de servicios de certificación; es lo que
se denomina certificación de prestadores y de dispositivos.
162
ICE
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
La certificación de la calidad puede tener un doble
ámbito de aplicación: puede referirse a los prestadores
(declaración de una entidad de certificación privada o
pública que implica el reconocimiento de requisitos específicos en la los servicios que ofrece al público) o a los
dispositivos (comprobación de que un dispositivo cumple los requisitos legales para ser considerado dispositivo seguro de creación de firma).
La comprobación de la calidad de los servicios de los
prestadores o de los dispositivos se hará de acuerdo
con lo dispuesto en la Ley de Industria de 1992.
Se ha de insistir en que la certificación es puramente
voluntaria para quien quiere obtener un marchamo de calidad visible al público a través del Ministerio de Ciencia y
Tecnología, quien, de acuerdo con el artículo 30.2 de la
Ley, debe ofrecer al público en general, gratuitamente y a
través del correspondiente sitio en Internet, la información que están obligados a remitirle todos los prestadores
de servicios de certificación. Este mecanismo de información ha sustituido al anterior registro de prestadores de
servicios de certificación previsto en el Decreto-Ley de
1999 que nunca se puso en funcionamiento y que no terminaba de encajar en el sistema de libre acceso a la actividad previsto en la Directiva comunitaria.
6.
Disposiciones generales relativas
a la firma electrónica
En el presente apartado, vamos a tratar de exponer
las líneas maestras en las que se inspira la vigente regulación de la firma electrónica, prescindiendo del régimen aplicable a los prestadores de servicios de certificación por ser ésta una materia más próxima al Derecho
Público que se aleja de la trascendencia jurídica que tiene la firma electrónica propiamente dicha.
Eficacia jurídica de la firma electrónica.
El documento electrónico
1) La norma regula el uso de la firma electrónica,
sus consecuencias jurídicas y la prestación al público de
LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ...
los servicios de certificación. Al igual que el Decreto-Ley, la mayor parte del contenido de la Ley 59/2003
está dedicada a la prestación de servicios de certificación. La regulación de la firma electrónica propiamente
dicha se esconde en dos artículos: el tercero y el cuarto.
En cuanto al uso de la firma electrónica, los puntos
sobre los que se centra la norma se pueden resumir en
los siguientes: incidencia de la firma electrónica en la
teoría general del negocio jurídico; interferencia de la firma electrónica en la fe pública; eficacia de la firma electrónica reconocida; y eficacia de la firma no reconocida.
A estos aspectos nos referiremos en los puntos que a
continuación se exponen.
2) Incidencia de la firma electrónica en la teoría general del negocio jurídico. Según el párrafo segundo del
artículo primero, las disposiciones contenidas en esta
Ley no alteran las normas relativas a la celebración, formalización, validez y eficacia de los contratos y cualesquiera otros actos jurídicos ni las relativas a los documentos en que unos y otros consten.
El legislador ha querido dejar claro que la regulación
de la firma electrónica no tiene incidencia en el régimen
general previsto en los Códigos Civil y de Comercio. Ello
no puede implicar otra cosa que el que por el hecho de
que las declaraciones negociales se hagan mediante la
firma electrónica, los requisitos para la validez de los negocios jurídicos y, sobre todo, dentro de éstos, de los
contratos, son los mismos que con carácter general establece el Derecho Común, ya sea el comúnmente aplicable a todos los sujetos de derecho, ya sea el específico de los comerciantes.
3) Interferencia de la firma electrónica en la fe pública. El apartado primero de la Disposición Adicional primera proclama la absoluta separación entre la firma
electrónica y sus efectos y la fe pública. La Ley no atribuye fehaciencia pública a ninguna de las categorías de
firmas electrónicas, por muy cualificadas que sean. Una
cosa es la firma electrónica y otra muy distinta la fe pública. Así, por el hecho de emplear la firma electrónica,
aunque sea reconocida, no se predica fehaciencia alguna respecto de su contenido; por otro lado, los notarios y
registradores pueden emplear la firma electrónica para
dar fe pública. De este modo, lo que da fehaciencia no
es el empleo de la firma electrónica, sino la intervención
del notario o registrador.
4) Eficacia de la firma electrónica. Los conceptos de
«Firma Electrónica Avanzada» y «Firma Electrónica Reconocida». Según el apartado segundo del artículo 3, la
firma electrónica avanzada es la firma electrónica que
permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al
firmante de manera única y a los datos a que se refiere y
que ha sido creada por medios que el firmante puede
mantener bajo su exclusivo control.
Es importante destacar que la Ley no prevé ningún
efecto jurídico para la firma electrónica avanzada. Se
trata de un mero concepto que plasma el legislador con
carácter instrumental pues tiene importancia no por sí
mismo, sino por servir de instrumento para luego definir
la firma electrónica reconocida, que es la que se equipara a la firma manuscrita.
Los elementos que caracterizan a la firma electrónica
avanzada son los siguientes:
a) Subjetivo: permite identificar al firmante, es decir,
al autor del mensaje;
b) Objetivo: permite detectar cualquier cambio ulterior en los datos que integran el mensaje a la vez que
permite una vinculación unívoca respecto de los datos a
que se refiere la firma.
c) Mixto: permite al firmante mantener el control del
contenido del mensaje.
La firma electrónica reconocida es la firma electrónica
avanzada que está amparada en un certificado reconocido y ha sido generada mediante un dispositivo seguro
de creación de firma.
Este juego de diferentes modalidades de firma electrónica y su consiguiente eficacia jurídica es exactamente el mismo que el previsto en el Real Decreto-Ley de
1997 y en la Directiva. La única novedad consiste en denominar por vez primera a la firma que se equipara a la
manuscrita «Firma Electrónica Reconocida». Con este
concepto, el legislador ha respondido a una demanda
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
163
LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO
del sector que reclamaba una mayor precisión terminológica para soslayar el tan generalizado error de identificar la firma electrónica avanzada con la firma equiparada a la manuscrita. De este modo, cabe decir que lo que
introduce la nueva Ley es un mero concepto y no una
nueva realidad.
Posteriormente veremos qué es un certificado reconocido y un dispositivo seguro de creación de firma.
5) Eficacia de la firma electrónica no reconocida.
Dice el apartado noveno del artículo 3 que no se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de la firma electrónica reconocida en
relación a los datos a que esté asociada por el mero hecho de presentarse en forma electrónica.
La regla no puede ser más lógica y parece querer implicar que la valoración de la fuerza probatoria de los hechos a los que se refieren los datos transcritos mediante
firma electrónica no reconocida se sujetará a las reglas
de la sana crítica o a la llamada valoración conjunta de
la prueba.
A pesar de lo anterior, creemos que el precepto alude,
en realidad, a la autenticidad de las declaraciones que
se plasmen en la firma electrónica no reconocida. Así
como la Ley establece una presunción iuris et de iure
respecto a la autenticidad e integridad de la firma electrónica reconocida, respecto de la que no lo es, elimina
cualquier consideración al respecto; es más, ni siquiera
establece una presunción iuris tantum.
6) Efectos de la firma electrónica entre las partes. El
último apartado del artículo 3, introducido durante la tramitación parlamentaria, ha venido a conferir un carácter
meramente dispositivo a la Ley. En él se admite que las
partes en una relación negocial puedan establecer otros
efectos distintos para la firma electrónica si se usa de
acuerdo con lo pactado.
7) El documento electrónico. Durante la tramitación
parlamentaria, se han introducido varios apartados al
artículo 3 relativos al documento electrónico.
Así, sólo se concibe como tal el redactado en soporte
electrónico que incorpora datos que han sido firmados
electrónicamente. Ello implica que sólo es documento
164
ICE
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
electrónico el que ha sido firmado electrónicamente. Se
trata de un concepto extraordinariamente restrictivo.
Hasta la promulgación de la Ley, documento electrónico
era cualquiera que se consignara electrónicamente, con
independencia de que esté protegido por la firma electrónica. Con esta nueva regulación un disquete, el disco
duro de un ordenador, un CD-ROM y cualesquiera otros
soportes digitales que recojan datos electrónicos, sólo
serán documentos electrónicos si han sido firmados
electrónicamente. Ello supone dejar fuera del concepto
de documento electrónico a la casi totalidad de los archivos que recogen datos consignados electrónicamente en España.
Esta regulación resulta criticable. Efectivamente, después de la promulgación de la nueva Ley de Enjuiciamiento Civil, el documento electrónico no se equiparaba
plenamente a la prueba documental de modo que este
tipo de documentos no se beneficiaba de la seguridad
jurídica que ofrecían las normas que atribuían determinados efectos a los diferentes documentos bajo el manto regulador de la prueba documental. Este vacío fue en
parte solventado con la Ley 34/2002, de 11 de julio, de
servicios de la sociedad de la información y del comercio electrónico. Así, su artículo 23.2 dice literalmente
que «en todo caso, el soporte electrónico en que conste
un contrato celebrado por vía electrónica será admisible
en juicio como prueba documental». Con este precepto
se permitía dotar de la eficacia de la prueba documental
a los soportes que consignaban de modo duradero datos electrónicos.
No obstante, con la redacción del artículo 3.5 de la
Ley 59/2003 sólo los soportes que consignen datos firmados electrónicamente podrán acogerse a las reglas
de la prueba documental. Los demás —que, insistimos,
son la casi totalidad— vuelven a quedar sujetos a la indefinición propia de una modalidad probatoria carente
de eficacia tasada.
El apartado séptimo califica los documentos electrónicos de públicos o privados según que en ellos haya intervenido o no un notario o funcionario o empleado público con competencia para otorgar esta clase de docu-
LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ...
mentos de acuerdo con las reglas generales o no. Esta
previsión es coherente con lo que antes afirmábamos
respecto de la no interferencia entre la regulación de la
firma electrónica y la fe pública.
Eficacia de la firma electrónica
en las relaciones jurídico-públicas
Para completar el catálogo de disposiciones generales que la Ley contiene, debe hacerse alusión a la eficacia de la firma electrónica en las relaciones jurídico-públicas.
El artículo 4 alude al empleo de la firma electrónica en
el ámbito de las Administraciones Públicas. En términos
generales, la Ley 59/2003 resulta expresamente aplicable al empleo de la firma electrónica en el ámbito jurídico-público si bien permite a las Administraciones Públicas, con la finalidad de salvaguardar las garantías de
cada procedimiento, establecer condiciones adicionales
para el empleo de la firma electrónica en el procedimiento administrativo. En particular, permite la inclusión
preceptiva de la fecha electrónica, pues el ejercicio de
los derechos subjetivos ante las Administraciones Públicas está íntimamente ligado a los plazos, de modo que
la acreditación del momento en que se realiza una comunicación resulta vital para determinar si el derecho de
los interesados sigue o no vivo en el momento en que se
ejercita. En las relaciones entre los particulares, la certificación del momento en que se emiten o reciben los documentos electrónicos no puede encomendarse más
que a un tercero dado que ninguna de las partes del negocio es capaz de asumir una posición imparcial acerca
de tales datos. No ocurre lo mismo en las relaciones de
derecho público en las que la Administración interviniente, dada la finalidad que debe perseguir, es capaz de
conferir fehaciencia al dato de la fecha y hora en que la
declaración se produce. Dado que el ejercicio de los derechos ante las Administraciones Públicas depende del
momento en que el administrado realiza el trámite o presenta el escrito correspondiente (cfr. artículo 48 de la
Ley 30/1992, de 26 de noviembre), lo lógico será que la
fehaciencia se concentre en el momento en que el documento electrónico remitido por el firmante entra en el
terminal de la Administración Pública destinataria.
Las condiciones adicionales deben provenir conjuntamente de los Ministerios de Administraciones Públicas y de Ciencia y Tecnología, previo informe del Consejo Superior de Informática y para la Administración
Electrónica.
Dichas condiciones adicionales, además, deberán
garantizar el cumplimiento de lo previsto en el artículo
45 de la Ley 30/1992, de 26 de noviembre, serán objetivas, razonables y no discriminatorias y no obstaculizarán la prestación de servicios al ciudadano, cuando en
ella intervengan distintas Administraciones Públicas nacionales o del Espacio Económico Europeo.
Como última previsión, señala la Ley que podrá someterse a un régimen específico la utilización de la firma electrónica en las comunicaciones que afecten a la
información clasificada, a la seguridad pública o a la defensa nacional.
Empleo de la firma electrónica
por las personas jurídicas
El Decreto-Ley 14/1999 sólo permitía a las personas
jurídicas ser titulares de certificados electrónicos en el
ámbito de la gestión de los tributos. Pasados ya algunos
años desde su entrada en vigor, se ha hecho necesario
reflexionar acerca de la conveniencia de ir más allá en la
atribución de la condición de firmante a la persona jurídica. Las necesidades del tráfico, en particular, del comercio electrónico, la extraordinaria expansión de nuevas
fórmulas de contratación y, sobre todo, la incorporación
de equipos y aplicaciones que permiten tratar automáticamente la información hasta el punto de suplir la voluntad humana en cada relación negocial concreta, aconsejan replantearse la cuestión.
No cabe duda de que, en la contratación electrónica,
la intervención de la voluntad del hombre puede ser
—de hecho lo es en la práctica— suplida por la intervención de potentes ordenadores que automatizan la con-
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
165
LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO
tratación. Cuando contratamos un depósito a plazo con
una entidad financiera, ordenamos una transferencia
bancaria, hacemos la reserva de un billete de avión o de
otro medio de transporte o «hacemos la compra» en un
supermercado virtual, no estamos emitiendo una declaración de voluntad frente a otra persona física que actúa
por representación de la contraparte. El contrato se celebra entre el cliente y el ordenador del banco, la entidad
financiera, la agencia de viajes o el supermercado.
Es ésta una realidad que no podemos desvirtuar; la
práctica supera con creces los tradicionales planteamientos de la actuación de las personas jurídicas en el
tráfico.
Hija de esta necesidad, la nueva Ley ha reconocido
abiertamente la posibilidad de que las personas jurídicas sean titulares de este tipo de certificados. Es importante destacar que la apuesta que ha hecho la Ley
59/2003 pasa por admitir de plano y con todas sus consecuencias dicha titularidad. La Ley atribuye directamente la titularidad del certificado a la persona jurídica,
si bien se reconoce que los trámites necesarios para su
obtención y uso deben hacerse con la intermediación de
personas físicas.
No obstante, la Ley es prudente y no olvida que no
pueden desaparecer las personas físicas cuando las
personas jurídicas actúan en el tráfico económico que
se realiza a través de técnicas electrónicas, informáticas
y telemáticas. La persona jurídica es una creación artificial del derecho; no existe en el mundo tangible. Olvidar
y hacer desaparecer a la persona física cuando actúa la
persona jurídica puede echar por tierra la seguridad jurídica.
El artículo 7 de la Ley generaliza la condición de firmante de certificados para las personas jurídicas de
acuerdo con las siguientes reglas:
a) Sólo pueden solicitar la expedición de dichos certificados los administradores y los representantes legales y voluntarios con poder bastante a estos efectos.
b) La custodia de los datos de creación de firma
debe corresponder a una sola persona física que deberá ser el solicitante del certificado y su identidad deberá
166
ICE
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
constar en el propio certificado. Ello implica que la persona jurídica debe confiar la responsabilidad de custodia del certificado a una sola persona; no obstante, ello
no debe ser óbice para que ésta autorice a otras personas físicas vinculadas a la persona jurídica para usar dichos datos, es decir, para crear firmas electrónicas.
Este modelo responde a lo que en el derecho comparado se conoce con el nombre de «custodio»; es decir,
una sola persona física responde frente a terceros por el
uso que hagan las personas a quienes se autorice el
uso de los datos de creación de firma electrónica.
c) No obstante, la Ley permite que otras personas físicas utilicen los datos de creación de firma.
d) Los datos de creación de firma sólo vinculan a la
persona jurídica cuando son empleados en las relaciones
con las Administraciones Públicas o en la contratación de
bienes o servicios que sean propios o concernientes al
giro o tráfico ordinario de la persona jurídica. En caso
contrario, sólo vincularán a las declaraciones realizadas
empleando el certificado de la persona jurídica si ésta las
asume o los contratos celebrados de esta manera se han
hecho en su interés (concepto éste indeterminado donde
los haya). Si se emplea el certificado en términos que no
vinculen a la persona jurídica, la responsabilidad recaerá
en el «custodio» sin perjuicio de la posibilidad de repetir
contra quien haya empleado el certificado.
e) En cualquier caso, se prevé la posibilidad de incorporar limitaciones cuantitativas o cualitativas respecto del uso de los certificados, limitaciones que, para que
surtan efectos contra tercero, deberán constar en el propio certificado.
No podemos dejar de aludir a la previsión contenida
en la Disposición Adicional tercera en la que se va más
allá al admitir la posibilidad de que las entidades sin personalidad que, de acuerdo con la legislación tributaria
pueden erigirse en sujetos pasivos de algunos tributos
(comunidades de bienes, herencias yacentes, etcétera)
sean titulares de certificados. En cualquier caso, la
puesta en práctica de esta previsión requiere el correspondiente desarrollo reglamentario dimanante del Ministro de Hacienda.
LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ...
Empleo de la firma electrónica por representantes
de otras personas físicas o jurídicas
Fiel a la realidad que día a día se manifiesta en el tráfico mercantil, la Ley ha querido incluir la firma electrónica en las declaraciones de voluntad en las que interviene el instituto de la representación.
El Decreto Ley anterior, si bien no lo prohibía, tampoco daba soluciones explícitas para el empleo de la firma
electrónica en las relaciones de representación. Es decir, no se rechazaba el empleo de la firma electrónica
por parte de los representantes imputando los efectos
jurídicos de las comunicaciones así enviadas a sus representados, si bien no se contenía ninguna norma dedicada a dar seguridad jurídica a esta realidad. Con la
nueva regulación se ha querido —una vez más— acompasar el uso de la firma electrónica a la realidad cotidiana para así generalizar su uso. Se viene a distinguir de
este modo entre el firmante —el representante— y el titular del certificado —el representado o principal.
La regulación del empleo de la firma electrónica por
los representantes de terceras personas no está recogida en un precepto diferenciado. Por el contrario, son varios los artículos que contienen normas al respecto.
Así, la Ley establece las siguientes premisas:
a) De acuerdo con el artículo 13, si un certificado
electrónico refleja una relación de representación, es
decir, admite explícitamente que el firmante actúa como
representante del titular del certificado, el prestador de
servicios de certificación debe comprobar la realidad de
la relación de representación así como la suficiencia de
las facultades del representante.
b) Si dichas facultades de representación deben figurar preceptivamente inscritas en un registro jurídico
(por ejemplo, el Registro Mercantil respecto de los poderes generales de los comerciantes), la comprobación
de tales circunstancias se hará mediante la consulta en
el correspondiente registro; si dicha relación de representación no tiene por qué figurar preceptivamente inscrita en dichos registros, la comprobación se hará mediante los documentos públicos en los que conste tal re-
lación (por ejemplo, respecto de los poderes especiales
de los comerciantes inscritos en el Registro Mercantil,
cuya inscripción es facultativa).
c) Según el artículo 23.5, la comprobación de los
datos relativos a la relación de representación debe hacerse en el momento inmediato anterior a la expedición
del certificado. En caso contrario, será responsable el
prestador de los daños y perjuicios causados al firmante
o a terceros de buena fe por la inexactitud de los datos
que obren en el certificado electrónico.
d) El artículo 19 enumera, entre las obligaciones
que facultativamente puede asumir el prestador de servicios de certificación en su Declaración de Prácticas de
Certificación la de poner en funcionamiento procedimientos de coordinación con los Registros Públicos correspondientes que permitan el intercambio de información de manera inmediata sobre la vigencia de los poderes indicados en los certificados y que deban figurar
preceptivamente inscritos en dichos registros.
Protección de los datos de carácter personal
Los datos incorporados a la firma electrónica que tengan carácter personal están sujetos, como regla general, al régimen de protección impuesto desde la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal.
Dispone el artículo 17 de la Ley 59/2003 que el tratamiento de los datos personales que precisen los prestadores de servicios de certificación para el desarrollo de
su actividad se sujetará a lo dispuesto en la Ley Orgánica 15/1999 y en las disposiciones dictadas en su desarrollo.
El mismo régimen será de aplicación a los datos personales que se conozcan en el órgano que, en el ejercicio de sus funciones, supervisa la actuación de los prestadores de servicios de certificación.
Además, se impone el principio general del consentimiento para la incorporación y manejo de esta clase de
datos por los prestadores de servicios de certificación
de modo que la obtención de cualquier dato que sea re-
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
167
LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO
cabado de un tercero distinto de los titulares de los certificados sin su consentimiento puede ser sancionada. En
todo caso, los datos requeridos serán, exclusivamente,
los necesarios para la expedición y el mantenimiento del
certificado.
Dichos prestadores de servicios estarán obligados a
revelar la identidad de los titulares de certificados cuando lo soliciten los órganos judiciales en el ejercicio de
las funciones que tienen atribuidas y en los supuestos
recogidos en el artículo 11.2 de la Ley Orgánica
15/1999, de 13 de diciembre4.
El Documento Nacional de Identidad Electrónico
Dentro de las políticas del Gobierno condensadas en
el Plan INFO XXI resalta especialmente la apuesta por
el DNI electrónico. Todavía con mayor insistencia se
pronunció en esta cuestión la llamada «Comisión Soto»
en su informe sobre el desarrollo de la sociedad de la información en España de marzo de 2003. También el
programa ESPAÑA.ES aprobado por el Consejo de Ministros en julio del mismo año dedica una atención especial al DNI electrónico. Se trata de generalizar certificados electrónicos para toda la población, de manera
4
Tales supuestos son los siguientes:
a) Cuando la cesión de los datos está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al
público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de
una relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente concesión de dicho tratamiento con ficheros de
terceros. En este caso la comunicación sólo será legítima en cuanto se
limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por
destinatario al Defensor del Pueblo, al Ministerio Fiscal o a los Jueces o
Tribunales o al Tribunal de Cuentas, en el ejercicio de las funciones que
tienen atribuidas. Tampoco será preciso el consentimiento cuando la
comunicación tenga como destinatario a instituciones autonómicas con
funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y
tenga por objeto el tratamiento posterior de los datos con fines
históricos, estadísticos y científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud
sea necesaria para solucionar una urgencia que requiera acceder a un
fichero o para realizar los estudios epidemiológicos en los términos
establecidos en la legislación sobre sanidad estatal o autonómica.
168
ICE
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
obligatoria a partir de cierta edad, capaces de generalizar la confianza en su uso.
De todos los medios de acreditación de la identidad
personal que hay hoy en día, el más generalizado, el
que acapara la confianza de todos, es el Documento
Nacional de Identidad; por ello, si dicho DNI incorpora la
clave privada de un certificado electrónico, expedido por
las autoridades policiales conforme a la tecnología más
moderna y segura, no cabe duda de que estaremos
ante un instrumento capaz de dinamizar el tráfico electrónico y de acaparar mayores dosis de seguridad jurídica.
La Ley contiene una regulación muy abstracta del DNI
electrónico. Casi podríamos decir que se limita a reconocer su existencia, a declarar explícitamente su idoneidad para acreditar la identidad de las personas físicas y
para firmar electrónicamente documentos y a hacer obligatoria para las Administraciones Públicas la asunción
de dicha acreditación.
Desde el punto de vista técnico, el DNI electrónico deberá incorporar las características propias de los dispositivos seguros de creación de firma electrónica y los requisitos necesarios para que un certificado adquiera el
carácter de reconocido. Es decir, debe cumplir con las
mayores cotas de fiabilidad que nuestra norma prevé
para los productos de certificación electrónica.
No cabe duda de que la Dirección General de la Policía deberá tener el necesario protagonismo a la hora de
determinar las especificaciones técnicas y, en su caso,
el proveedor de productos de certificación que servirán
de base al DNI electrónico. Ello incidirá en el mercado
de la prestación de servicios de certificación electrónica
en la medida en que quien adquiera la condición de
PSC en relación con el DNI tendrá un peso extraordinario, lo cual incluso podría limitar cualquier iniciativa de
otros prestadores.
No cabe duda de que el DNI electrónico es necesario,
en particular, en las relaciones telemáticas jurídico-públicas. Según el artículo 4 de la Ley 59/2003, reproduciendo el artículo 3.7 de la Directiva 1999/93, cabe cualificar las exigencias de los certificados y productos que
LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ...
amparen relaciones entre los administrados y las Administraciones Públicas. De este modo, no atenta contra
los principios impuestos por la Directiva limitar el acceso
a la prestación de servicios de certificación relacionados
con el DNI. A nadie se le escapa, no obstante, que el
DNI electrónico puede imponer una barrera de entrada
al mercado de la prestación de servicios de certificación
de difícil superación.
7.
El empleo de la firma electrónica por notarios
y registradores de la propiedad,
mercantiles y de bienes muebles
Tal y como se ha anticipado, la Ley 24/2001 regula la
atribución y uso de la firma electrónica por parte de notarios y registradores de la propiedad, mercantiles y de
bienes muebles en el ejercicio de sus funciones públicas. Las líneas maestras sobre las que se articula la incorporación de estas técnicas a la seguridad jurídica
preventiva son las siguientes:
— Los notarios y los registradores de la propiedad,
mercantiles y de bienes muebles deben disponer obligatoriamente de sistemas telemáticos para la emisión,
transmisión, comunicación y recepción de información.
— Las características que deben reunir los referidos
sistemas deben ser aprobadas por la Dirección General
de los Registros y del Notariado.
— Sin perjuicio de las especialidades que la propia
Ley 24/2001 prevé, la prestación de servicios de certificación se hará de conformidad con lo dispuesto en la legislación general sobre firma electrónica.
— Se reconoce explícitamente el Documento Público
Electrónico. A tal efecto, se modifica la vieja Ley del Notariado, de 28 de mayo de 1862.
— El empleo de la firma electrónica por notarios y registradores permite las siguientes aplicaciones prácticas:
a) Se podrán remitir documentos públicos notariales, comunicaciones, partes, declaraciones y autoliquidaciones tributarias, solicitudes, o certificaciones por vía
electrónica por parte de un notario o registrador de la
propiedad, mercantil o de bienes muebles dirigidas a
otro notario o registrador, a las Administraciones Públicas o a cualquier órgano jurisdiccional, siempre en el
ámbito de su respectiva competencia y por razón de su
oficio.
b) Se podrán remitir copias simples electrónicas a las
entidades y personas interesadas cuando su identidad e
interés legítimo le consten al notario; de la misma forma
podrán remitirse por los registradores de la propiedad y
mercantiles notas simples informativas. El receptor podrá, por el mismo medio, enviar al remitente acuse de recibo y, en su caso, dejar constancia del cumplimiento de
las obligaciones administrativas o tributarias.
c) La firma electrónica avanzada también podrá ser
empleada por notarios y registradores para el envío de
documentos e informaciones a los particulares con el
valor, efectos y requisitos que reglamentariamente se
determinen. Esta previsión está orientada sin duda alguna a la intermediación del notario en la notificaciones
fehacientes entre particulares.
d) Por conducto electrónico podrán dos o más notarios remitirse, bajo su respectiva firma electrónica
avanzada, el contenido de los documentos públicos
autorizados por cada uno de ellos que incorporen las
declaraciones de voluntad dirigidas a conformar un único negocio jurídico.
e) Tal y como se ha dicho en líneas anteriores, los documentos susceptibles de calificación e inscripción en los
Registros de la Propiedad, Mercantiles o de Bienes Muebles podrán ser presentados en éstos por vía telemática y
con firma electrónica avanzada del notario autorizante o
responsable del protocolo, siempre que cumplan los requisitos expresados en esta norma, dejando constancia de
ello en la matriz, o en su caso, en el libro indicador.
f) Los notarios podrán testimoniar en soporte papel,
bajo su fe, las comunicaciones o notificaciones electrónicas recibidas o efectuadas, conforme a la legislación
notarial. Asimismo los registradores de la propiedad,
mercantiles y de bienes muebles podrán expedir certificaciones de las comunicaciones electrónicas que a su
vez remitan o reciban, conforme a la legislación hipotecaria.
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
169
LEOPOLDO GONZÁLEZ-ECHENIQUE CASTELLANOS DE UBAO
g) Se abre la puerta al protocolo notarial informático
en la medida en que se prevé el almacenamiento en soporte informático adecuado de las comunicaciones electrónicas, debidamente firmadas, efectuadas o recibidas
de otros notarios, de otros registradores de la propiedad
y mercantiles y de otros órganos de la administración
estatal, autonómica, local o judicial.
h) Por último, se prevé el acceso telemático on line
a los libros de los Registros de la Propiedad y Mercantiles; se da entrada con ello a una concepción de los Registros como oficinas virtuales, lo cual, sin duda, desplazará en el futuro la concepción tradicional de los Registros como oficinas físicas.
8.
Una aplicación práctica de la firma electrónica:
la creación de sociedades mercantiles on line
La firma electrónica ha dejado de ser una realidad
electrónica puramente abstracta, accesible sólo a los
más avezados en el empleo de la moderna tecnología.
Existen en España muchas manifestaciones prácticas
del empleo de la firma electrónica que avalan su utilidad
práctica y las ventajas de su empleo, ventajas que se
traducen en mayor celeridad y seguridad en las comunicaciones y, por ende, mayor eficiencia en el empleo de
los recursos.
Quizás el ejemplo más representativo de estas ventajas está vinculado a la iniciativa Nueva Empresa. Con
ella es posible crear sociedades limitadas de modo que,
en un plazo máximo de cuarenta y ocho horas, la sociedad esté inscrita en el Registro Mercantil con sus correspondientes códigos identificativos ante la Seguridad
Social (CCC) y Hacienda (CIF). Con esta iniciativa se
han conseguido entrelazar trámites vinculados a la
mera constitución mercantil de las sociedades con la
tramitación administrativa preceptiva de toda nueva empresa ante las Administraciones laboral y fiscal.
El proyecto ha visto la luz como una modificación de
la Ley 2/1995, de 23 de marzo, de sociedades de responsabilidad limitada, operada por la Ley 7/2003, de 1
de abril, proyecto que se dirige a las empresas más pe-
170
ICE
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
queñas (microempresas) porque constituyen la columna
vertebral de la economía española y son claves en la
creación de puestos de trabajo.
El proyecto ofrece innegables ventajas. De un lado,
para el emprendedor, pues le permite recibir asesoramiento personalizado antes de constituir su empresa,
conocer la información relativa al estado de sus trámites
y evitar desplazamientos innecesarios reduciendo costes. De otro, para la propia Administración, pues crea
una estructura virtual de intercomunicación entre los
agentes implicados: Notarios, Registradores, Agencia
Estatal de la Administración Tributaria, Tesorería General de la Seguridad Social, Instituto Social de la Marina,
Registro Mercantil Central, Registros Mercantiles Provinciales, Comunidades Autónomas, Dirección General
de Marina Mercante, Secretaría General de Pesca, y
cuantas otras Administraciones, Organismos y entidades quieran implicarse en la iniciativa.
Para hacer realidad la Nueva Empresa ha sido necesario potenciar los servicios de información, asesoramiento y tramitación telemática específicamente dirigidos a los emprendedores por medio del Centro de Información y Red de Creación de Empresas (CIRCE) que
consta de los siguientes elementos:
· El Portal PYME, constituido por un conjunto de contenidos multimedia para proporcionar servicios de información y asesoramiento a los emprendedores a través
de Internet ubicados en la web de la Dirección General
de Política de la Pequeña y Mediana Empresa
(www.ipyme.org) y en el Portal CIRCE (www.circe.es)
Servicios de Información vía Internet.
· La Red de Creación de Empresas, constituida por
los Puntos de Asesoramiento y Tramitación (PAIT),
orientada al asesoramiento y a la prestación de servicios presenciales a los emprendedores, tanto en la gestación, tramitación telemática y puesta en marcha de
sus iniciativas empresariales como durante sus primeros años de actividad (Servicios de Asesoramiento Presencial).
· El Sistema de Tramitación Telemática (STT), concebido como un sistema informático de tramitación de
LA FIRMA ELECTRÓNICA: ANÁLISIS DEL NUEVO RÉGIMEN JURÍDICO ...
expedientes electrónicos de creación de empresas basado en el Documento Único Electrónico —DUE— (Servicios de Tramitación).
El CIRCE proporciona servicios de Administración
Electrónica de comunicación e interacción tanto a través
de su web específica www.circe.es como del Portal
PYME www.ipyme.org. Estos dos sitios web proporcionan tanto información de utilidad en todo lo relacionado
con la Creación de Empresas (formas jurídicas, financiación, fiscalidad, I + D + i, trámites administrativos de
constitución y puesta en marcha, ayudas públicas, etcétera) como una serie de herramientas interactivas que
permiten al emprendedor la maduración de su proyecto
empresarial: herramienta de elaboración del Plan de
Empresa, Autodiagnóstico de Actitudes Emprendedoras, Autodiagnóstico para el acceso a nuevos mercados
o los Simuladores Sectoriales de Modelos de Negocio
(disponibles desde enero de 2004).
En cuanto a los servicios de transacción, el trámite de
creación de una Nueva Empresa por medios informáticos y telemáticos es un claro ejemplo de Administración
Electrónica multitrámite y multiadministración en el que
intervienen todos los organismos competentes en la
creación y puesta en marcha de una sociedad mercantil.
Con el procedimiento telemático, el emprendedor sólo
tiene que acceder presencialmente a un Punto de Asesoramiento e Inicio de Tramitación (PAIT) y al notario
que elija para el otorgamiento de la escritura pública de
la sociedad. Se evitan desplazamientos para realizar el
resto de los trámites y el uso de formularios en papel ya
que el sistema de tramitación telemática del CIRCE rea-
lizará la tramitación ante los organismos competentes
en base a los datos introducidos en el Documento Único
Electrónico (DUE).
El DUE es un formulario de naturaleza telemática que
recoge todos los datos referentes a la Sociedad Nueva
Empresa que, de acuerdo con la legislación aplicable,
deben remitirse a los Registros Jurídicos y las Administraciones Públicas competentes para la constitución de
la sociedad y para el cumplimiento de las obligaciones
en materia tributaria y de Seguridad Social inherentes al
inicio de su actividad.
Si bien la tramitación telemática supone una reducción sustancial de los plazos para la creación y puesta
en marcha de una empresa, el proyecto Nueva
Empresa va mucho más allá y, como se ha indicado
anteriormente, tiene un primer objetivo muy claro:
simplificar y mejorar la constitución de empresas. A fin
de lograr su consecución, el elemento clave es el
Centro de Información y Red de Creación de Empresas (CIRCE) y su sistema de tramitación telemática
(STT-CIRCE).
A pesar de las muchas críticas recibidas —algunas
incluso llegaban a negar la viabilidad del sistema—, la
Sociedad Limitada Nueva Empresa es una innegable
realidad, habiéndose constituido, hasta el día 9 de enero de 2004, 114 nuevas compañías por el procedimiento telemático. A dicha fecha, se han emitido por el procedimiento presencial 1.747 certificaciones de reserva
de denominación social, inscribiéndose 946 sociedades en los Registros Mercantiles Provinciales correspondientes.
EL COMERCIO EN LA SI
Febrero 2004. N.º 813
ICE
171
Descargar