Javier Alvarez Hernando
AC-Abogados
Publicado en La Revista. Editorial Lex Nova. Número 37. Septiembre de 2004.

Con la entrada en vigor de la Ley 59/2003, de 19 de diciembre, de firma electrónica, el legislador hace una apuesta clara por fomentar el comercio electrónico en España.

Pocos podían pensar cuando nació Internet en 1969 en Estados Unidos que apenas 30 años después la Red de redes conseguiría en poco tiempo interconectar a millones de personas, instituciones y empresas en todo el mundo, mayoritariamente en los países más desarrollados, y cuya evolución y espectacular difusión tendría importantes efectos económicos, culturales y sociales.

Así, en el marco de un mundo cada vez más globalizado, Internet se erige como un medio idóneo para que las empresas se den a conocer y realicen transacciones comerciales, para que los ciudadanos se comuniquen y accedan a un torrente de información (para Manuel Castells, en su trilogía “La era de la información”, Internet ha constituido un paradigma de un modelo social de comunicación libre) y para que las instituciones públicas se interrelacionen con ambos agentes para facilitar la realización de trámites burocráticos.
No obstante, el desarrollo definitivo del comercio electrónico encuentra en la seguridad su principal problema. Pero la necesidad de seguridad técnica también exige la existencia de una cierta seguridad jurídica. Para ello, en los últimos tiempos, con más o menos fortuna, tanto el legislador comunitario como el español han creado todo un elenco normativo que pretende generar esa confianza y dotar a los ciudadanos y empresas de mecanismos de protección jurídica.

Con la reciente entrada en vigor de la Ley de firma electrónica se pretende generalizar la confianza de los ciudadanos en las comunicaciones telemáticas, sobre todo Internet y el correo electrónico, dotándolas de seguridad. El medio para alcanzar esta meta es, entre otros, la firma electrónica, la cual es considerada el eje fundamental para el desarrollo de la sociedad de la información y del comercio electrónico.
Qué es la firma electrónica

Desde un punto de vista general, la Ley nos dice que la firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
Si sólo nos quedáramos con este concepto estaríamos hablando simplemente de una firma manuscrita digitalizada, por lo que el legislador nos describe dos tipos más de firma electrónica: La avanzada, que es la firma que va a permitir identificar al firmante y detectar cualquier cambio posterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a los que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control, y la firma electrónica reconocida que es la anterior pero basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. La importancia de esta última reside en que tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

Siguiendo la pauta marcada por la Ley 34/2002 de comercio electrónico (conocida como LSSICE), se incluye dentro de la modalidad de prueba documental el soporte en el que figuran los datos firmados electrónicamente, dando mayor seguridad jurídica al empleo de la firma electrónica al someterla a las reglas de eficacia en juicio de la prueba documental.

Por tanto, ya no es suficiente la firma electrónica avanzada para su equiparación con la firma manuscrita, como se exigía en el RD 14/1999, sino que es preciso que la firma electrónica avanzada esté basada en un certificado reconocido y haya sido creada por un dispositivo seguro de creación de firma.

Características esenciales de la firma electrónica

Cuatro son las características esenciales que envuelven a la firma electrónica: Autenticidad, integridad, confidencialidad y no repudio.

La firma electrónica trata de garantizar, por este medio que una persona determinada sea quien realmente interviene en una transacción o negocio jurídico telemático, y que el documento está íntegro y responde a su contenido. Para ello, existe un método seguro para asociar una clave electrónica a una persona, es decir firma electrónicamente un documento, y correlativamente existe otro método para que el receptor pueda comprobar que realmente esa persona firmó ese documento.
Igualmente, la firma electrónica permite que el documento viaje en un entorno seguro, impidiéndose su interceptación por parte de terceros, aunque esta característica de confidencialidad de la información transmitida no se configura como un elemento básico en la Ley de firma electrónica, sino más bien como un valor añadido.
El último aspecto fundamental de la firma electrónica es el denominado “no repudio”, es decir, una vez aceptado un negocio jurídico concreto éste no puede ser rechazado por las partes que intervinieron en él, debido a que la intervención de una tercera parte de confianza -un prestador de servicios de certificación- impide que una parte pueda “repudiar” posteriormente una relación jurídica aceptada inicialmente.

Por tanto, la firma electrónica se constituye como un instrumento capaz de permitir una comprobación de la procedencia (autenticidad) y de la integridad de los mensajes intercambiados a través de redes de telecomunicaciones, ofreciendo las bases para evitar el repudio (es decir, el “yo no he sido”), si se adoptan las medidas oportunas basándose en fechas electrónicas.

La firma electrónica y el cifrado de clave pública

El cifrado de datos consiste en someter el mensaje concreto a un tratamiento basado en técnicas de encriptación o cifrado con el objeto de hacer a éste legible únicamente para el destinatario de los datos, el cual conoce la clave.

Existen en la actualidad dos tipos de cifrado: el de clave simétrica y asimétrica. Mientras que en el primero la clave para cifrar y descifrar los datos es la misma, en el segundo, en el cifrado de clave asimétrica, existen un par de claves: una pública y una privada. Una sirve para cifrar (clave pública) y la otra para descifrar (clave privada), pero el conocimiento de una no permite conocer la otra, es decir, para descifrar un mensaje encriptado con una clave pública determinada es necesario aplicar su correspondiente clave privada. La clave privada debe permanecer secreta a diferencia de la pública que se dar a conocer, ya que es condición necesaria para completar el proceso.

Sin lugar a dudas, el sistema más extendido es el de criptografía asimétrica o también llamado de clave pública, que es sobre el que se está diseñando actualmente la firma electrónica.

Prestadores de servicios de certificación (PSC)

Una figura importante que regula la Ley son los llamados prestadores de servicios de certificación (PSC). Estos son personas físicas o jurídicas que expiden certificados electrónicos o prestan servicios relacionados con la firma electrónica.

La Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (www.cert.fnmt.es) se constituye legalmente como el certificador público de firma electrónica, no obstante, el legislador pretende que los PSC privados tengan un mayor protagonismo en los sistemas de certificación. Así por ejemplo, la obligación de constitución de garantía económica por parte de los PSC que emitan certificados reconocidos, pasa de 6 millones de euros, según se establecía en la normativa anterior, a 3 millones. Se flexibilizan además, la combinación de los diferentes instrumentos para constituir dicha garantía. En otro orden de cosas, mencionar que la Ley obliga a los PSC a efectuar una tutela permanente de los certificados que expiden. Los detalles de esta gestión deben recogerse en la llamada Declaración de prácticas de certificación, donde se deben de especificar las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados electrónicos. Puede consultarse la Declaración de prácticas de certificación de la FNMT-RCM en la dirección: www.cert.fnmt.es/convenio/dpc.pdf

Que son los certificados electrónicos

Son documentos electrónicos expedidos por los PSC que relacionan las herramientas de firma electrónica en poder de cada usuario con su identidad personal, dándole así a conocer en el ámbito telemático como firmante.

Físicamente es un archivo de aproximadamente 2 Kb de tamaño que contiene, principalmente, los datos de una persona física o jurídica, su clave pública, y la firma de un prestador de servicios de certificación que cuenta con la capacidad de poder comprobar la identidad de la persona y valida la clave pública asociada al firmante.

Clases de certificados electrónicos de PSC públicos y cómo obtenerlos

El más extendido es el Certificado de Usuario (llamado “Clase 2 CA de la FNMT”). Para obtenerlo hay que acceder al sitio web de la FNMT (www.cert.fnmt.es/clase2/main.htm) y cumplimentar un formulario de datos personales, tras lo cual se mostrará un código alfanumérico. Posteriormente es necesario personarse con el DNI y con el código anterior en una de las oficinas de registro señaladas en la página web de la FNMT. Una vez acreditados en la oficina de registro se deberá firmar el contrato y el funcionario procederá a activar ese código personal. Finalmente hay que descargar en el ordenador el Certificado de Usuario desde la web de la FNMT. Tanto la obtención como el uso del certificado son gratuitos. Completado el proceso de forma correcta podremos acceder a todos los servicios que la Administración Electrónica ofrece a los ciudadanos de una forma sencilla y segura.
Existe, además, un certificado propio de la Seguridad Social llamado SILCON que es necesario para acceder a los servicios del Sistema RED, Mutuas de Accidentes de Trabajo, Centros Públicos de Salud o Instituto Cervantes.
El proceso para obtener este certificado es similar al anterior con la diferencia que en la oficina de acreditación se hace entrega de un disquete que contiene el certificado y un sobre con una contraseña.
El certificado de usuario puede además estar en una tarjeta criptográfica, siendo uno de los elementos clave en el sistema de seguridad ofrecido por la FNMT, ya que se incrementa la seguridad del sistema de certificación debido a que las claves se generan en la propia tarjeta inteligente. Para su uso es necesario un lector de tarjeta.
El precio del kit básico (tarjeta, lector y software) viene a costar unos 43 euros aproximadamente y se comercializa por la empresa C3PO (
www.c3po.es/cryptokit.html), la cual de forma conjunta con la FNMT ha creado el sistema de cifrado e identificación electrónica llamado Cryptokit.

Firma electrónica de las personas jurídicas

Otra de las novedades que se incluyen en la Ley es la posibilidad de que se emitan certificados de personas jurídicas, cuestión que no era posible en el Real Decreto-Ley de 1999 el cual sólo permitía a las personas jurídicas ser titulares de certificados electrónicos en el ámbito de la gestión tributaria.

La firma electrónica de las personas jurídicas establece una figura, distinta a la de la firma electrónica de los representantes de las personas jurídicas, que persigue dar firma a las entidades, no a sus representantes, si bien con el objeto de que así se puedan distribuir entre personas físicas vinculadas a la organización y que no tienen capacidad formal de representación. Es decir, se pretende, por ejemplo, que un empresario pueda repartir firmas electrónicas entre sus empleados para el desempeño de las actividades ordinarias de la empresa, y dentro de unos límites impuestos por la persona jurídica por razón de la cuantía o de la materia. Estas condiciones deberán figurar en el certificado electrónico.

Pero, ¿quién puede solicitar los certificados electrónicos de personas jurídicas? La Ley exige una legitimación especial para que las personas físicas puedan solicitar la expedición de certificados. Se limita esta facultad a los administradores y los representantes legales y voluntarios con poder bastante. Además a los solicitantes se les considera responsables de la custodia de los datos de creación de firma electrónica asociados a dichos certificados, todo ello sin perjuicio de que puedan ser utilizados por otras personas físicas vinculadas a la entidad.

En cuanto a la responsabilidad que se deriva frente a terceros por el uso de una firma por parte de una persona jurídica, se entenderán realizados por ella los actos o contratos en los que su firma se hubiera empleado dentro de los límites y condiciones estipuladas, las cuales figuran en el propio certificado. En el supuesto de que la firma sobrepasara esos límites la persona jurídica quedará vinculada frente a terceros sólo si los asume como propios o se hubiesen celebrado en su propio interés. En caso contrario, los efectos de dichos actos recaerán sobre la persona física responsable custodiar esa firma electrónica, quien podrá dirigirse, en su caso, contra quien la hubiera utilizado.

En este sentido, destacamos que el Consejo General del Poder Judicial en un informe de 8 de mayo de 2003 sobre el anteproyecto de ley de firma electrónica indica que las previsiones que se establecen respecto al régimen de responsabilidad derivado del uso de la firma electrónica de las personas jurídicas puede afectar negativamente a la seguridad jurídica de terceros, alterando el régimen general de la representación de las personas jurídicas, y eso a pesar de que en la ley se establece expresamente que los certificados electrónicos no podrán afectar al régimen de representación orgánica o voluntaria regulado por el derecho civil o mercantil aplicable a cada persona jurídica.

Protección de datos y prestadores de servicios de certificación (PSC)

El legislador, consciente de las cuestiones que pueden surgir en materia de protección de datos con el uso de la firma electrónica, se ocupa de este tema de una forma detallada en la Ley, ampliando y matizando lo regulado en el Real Decreto-Ley 14/1999.
De forma expresa se establece que los tratamientos de los datos personales (no olvidemos que la simple posesión de los datos ya se considera tratamiento, según la normativa de protección de datos) que precisen tanto los PSC para el desarrollo de su actividad como los órganos administrativos para el ejercicio sus funciones, se sujetarán a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en su normativa de desarrollo.
Respecto a los certificados electrónicos los PSC sólo podrán recabar datos personales directamente de los firmantes o con su previo y expreso consentimiento. Además los datos requeridos serán exclusivamente los necesarios para la expedición y el mantenimiento del certificado y la prestación de otros servicios relacionados con la firma electrónica, no pudiendo tratarse con fines distintos sin el consentimiento expreso del firmante.
Los certificados reconocidos deberán incluir necesariamente unos datos de carácter personal como la identificación del firmante, en el supuesto de personas físicas su nombre y apellidos, número de DNI o seudónimo y, en el supuesto de personas jurídicas, su denominación o razón social y su código de identificación fiscal, añadiéndose que los certificados reconocidos podrán contener además cualquier otra circunstancia o característica del firmante atendiendo al fin propio del certificado y siempre que lo haya solicitado el propio firmante del certificado.
Existen, sin embargo, una serie de datos de carácter personal que los PSC no pueden incluir en los certificados que expidan. Son los denominados “Datos especialmente protegidos” y son aquellos que revelen la ideología, afiliación sindical, religión y creencias. A ellos se refiere expresamente la Ley de protección de datos.
Finalmente, en cuanto a la “Declaración de prácticas de certificación” que los PSC están obligados a mantener, la Ley equipara esta declaración con el documento de seguridad a los efectos previstos en la legislación en materia de protección de datos de carácter personal, por lo que deberá contener todos los requisitos que se exigen para dicho documento en dicha normativa específica (es decir, en el
Real Decreto 994/1999 y en la Ley Orgánica 15/1999).

DNI electrónico

La ley establece el marco normativo básico del nuevo DNI electrónico apuntando que éste sirve para acreditar la identidad de su titular en cualquier procedimiento administrativo y además permite la firma electrónica de documentos, remitiéndose a la normativa específica en cuanto a las particularidades de su régimen jurídico.

Las bases para su implantación se establecieron en Consejo de Ministros el 13 de febrero de 2004 dentro del ‘Plan de Actuaciones para el desarrollo de la Sociedad de Información’.

Servicio de notificaciones telemáticas

El correo electrónico se ha convertido en una herramienta fundamental en las comunicaciones, sin embargo no existen garantías de seguridad cuando enviamos un e-mail que nos aseguren que el destinatario recibió el mensaje, que tanto el emisor como el receptor son quien dicen ser, que el mensaje no ha sufrido cambios en el tránsito o que el mensaje se envió en un día y hora determinada.

El Ministerio de Administraciones Públicas y Correos han desarrollado un servicio de notificaciones telemáticas seguras que proporciona a cada ciudadano o empresa una dirección electrónica personal y única en la que puede recibir todas las notificaciones de la Administración con pleno valor jurídico, y con las mismas garantías y valor probatorio que le correo certificado o el burofax.
Cualquier persona física o jurídica puede darse de alta en el servicio, siendo la suscripción gratuita. Tan sólo es necesario, para acceder al buzón electrónico, un certificado digital, emitido por la FNMT u otros prestadores autorizados.

Curiosidades:

– España fue el cuarto país de la UE (por detrás de Alemania, Italia y Portugal) en aprobar una norma (RD-L 14/1999) que otorga validez jurídica a la firma electrónica.
La primera norma reguladora de la firma electrónica, el RDL 14/1999 resultó ser inútil ya que nunca fue desarrollado ni fue posible su implantación efectiva.
– El sistema criptográfico más antiguo conocido es el llamado “Método de Julio Cesar” y se empleaba en la época del Imperio Romano en los correos para comunicarse sin que sus enemigos consiguieran adivinar el contenido de los mensajes. El sistema consistía en reemplazar cada letra por la situada tres posiciones por delante en el alfabeto.
– En enero de 2004 la autoridad de certificación de la Generalitat Valenciana fue la primera, además de la FNMT, cuyos certificados de firma electrónica fueron aceptados en las relaciones entre la Agencia Tributaria y los contribuyentes.
– El voto electrónico se probó por primera vez en marzo de 2003 en Hoyo de Pinares (Ávila) donde se simuló una votación. En las elecciones generales del 14 de marzo de 2004 hubo más de 1.000 ciudadanos que tuvieron la opción de votar a través de Internet o el teléfono móvil, de forma no vinculante. Fueron vecinos de Zamora, Toro, Pol (Lugo) y Jun (Granada).
– El uso de la firma electrónica en las facturas electrónicas ha supuesto un ahorro de millones de euros al año al eliminarse las facturas en papel y permitir el uso de la firma electrónica en ellas.
– El Centro Penitenciario de Tarragona ha sido el primero en España donde se aplica una experiencia piloto que consiste en el uso de la firma electrónica para que los abogados del Colegio de Reus puedan solicitar pases de acceso a dicha prisión para realizar su cometido profesional. Este nuevo sistema está previsto que se extienda en septiembre de 2004 a toda Cataluña, excepto Barcelona.Según un estudio realizado por Nielsen//Netratings entre enero y marzo de 2004 un 42,46 por ciento de los internautas visitó alguna página web de la Administración, siendo el sitio web del Ministerio de Educación, Cultura y Deporte el que accedieron un mayor número de personas, seguido del de Hacienda.

Administración electrónica

Con un certificado electrónico se puede acceder a numerosos servicios telemáticos de la E-Administración. Así, a través del portal de la Seguridad Social (www.seg-social.es) se puede, desde acceder al informe de vida laboral y bases de cotización, hasta solicitar un duplicado del documento de afiliación a la Seguridad Social. Otros servicios destacados son el acceso al Sistema RED, o el servicio de Mutuas de Accidentes de Trabajo y Centros Públicos de Salud, entre otros.

La Agencia Tributaria (www.aeat.es) tampoco se queda atrás en sus servicios on line y permite la presentación electrónica de declaraciones y su consulta, la obtención de certificaciones tributarias electrónicas, la tramitación de recursos y reclamaciones, la facturación telemática, etc.
En definitiva, poco a poco la Administración electrónica está evolucionando progresivamente, permitiéndose la realización de trámites on line, mediante certificado digital, en prácticamente todos los ministerios y órganos administrativos, así por ejemplo citar, los sitios web del Ministerio de Industria, Turismo y Comercio (
http://www.min.es), Ministerio de Economía: http://www.mineco.es, Comisión Nacional del Mercado de Valores (http://www.cnmv.es), Comisión Nacional de la Energía (http://www.cne.es), Ministerio del Interior (http://www.mir.es), o Ministerio de las Administraciones Públicas: (http://www.map.es), por mencionar los más destacados.

LEGISLACIÓN MÁS DESTACADA SOBRE FIRMA ELECTRÓNICA

Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior.

Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica.

Ley 59/2003, de 19 de diciembre, de firma electrónica.

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

LA FIRMA ELECTRÓNICA EN LA JURISPRUDENCIA

Sentencias del Tribunal Supremo de 2 de julio de 2001.

El TS viene a confirmar que la FNMT se configura como un prestador de servicios de certificación en régimen de competencia que expide certificados de firma electrónica pudiendo desempeñar funciones relacionadas, no pudiendo extenderse a lo que es propio de la seguridad jurídica contractual, es decir, no sustituye ni modifica las funciones que corresponde realizar a las personas facultadas para dar fe de la firma en documentos o para intervenir en su elevación a públicos.

Sentencia del Tribunal Supremo, de 3 de noviembre de 1997.

Se cuestiona la validez de los documentos electrónicos en un asunto relativo a su consideración como mercantiles, a efectos de la aplicación del Impuesto de Transmisiones Patrimoniales y Actos Jurídicos Documentados.
Si se dan todas las circunstancias necesarias para acreditar la autenticidad de los ficheros electrónicos y se garantiza, con las pruebas periciales en su caso necesarias, la veracidad de lo documentado y la autoría de la firma electrónica utilizada, el documento mercantil en soporte informático, con función de giro, debe gozar de plena virtualidad jurídica operativa.

Sentencia del Tribunal Superior de Justicia de Canarias de las Palmas de Gran Canaria, de 23 de julio de 2002.

El Tribunal reitera la validez de los documentos electrónicos, al poner de manifiesto –respecto al Sistema RED- que la firma electrónica permite comprobar por parte de la Administración gestora si el documento ha sido generado de manera remota en el ordenador a partir de los datos que obran en la base de datos pública. Por tanto, el documento así generado, surte efectos ante terceros, ya que es una certificación emitida por la TGSS.

Sentencia de la Audiencia Nacional de 15 de noviembre de 2002.

Respecto a las formas que acreditan la celebración de un contrato, la AN menciona en esta sentencia la existencia de formas de formalización que ofrecen garantías similares a la forma escrita, refiriéndose a la firma electrónica avanzada (según el concepto del Real Decreto- Ley 14/1999).

Otras sentencias relacionadas con la firma o el documento electrónico:

– Sentencia de la Audiencia Provincial de Asturias, de 3 de marzo de 2003.
– Sentencia del Tribunal Supremo de 12 de febrero de 2002.
– Auto del Tribunal Supremo (Sala de lo Contencioso-Administrativo, Sección 3ª), de 11 abril 2000.
– Sentencia del Tribunal Supremo, de 30 de noviembre de 1992.
– Sentencia de la Audiencia Provincial de Las Palmas núm. 121/1998, de 19 de octubre de 1998.
– Sentencia del Tribunal Supremo, de 30 noviembre 1981.

———
PARA SABER MÁS SOBRE LA FIRMA ELECTRÓNICA:

– Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. http://www.setsi.mcyt.es
– Instituto Notarial para las Tecnologías de la Información.
http://inti.ancert.com/
– Agencia de Certificación Electrónica (ACE).
http://www.ace.es/
– Camerfirma. http://www.camerfirma.es/
– Firmaprofesional (PSC dirigido exclusivamente a colegios profesionales)
http://www.firmaprofesional.com
– Autoritat de Certificació de la Comunitat Valenciana.
http://www.pki.gva.es
– Autoridad de Certificación de la Abogacía (ACA) del Consejo General de la Abogacía Española.
http://www.acabogacia.org
– Colegio de Ingenieros de Caminos, Canales y Puertos.
http://pki.ciccp.es/
– Agencia Notarial de Certificación.
http://www.ancert.com/
– Banesto.
http://ca.banesto.es/
– Izanpe (Sociedad creada por instituciones públicas vascas)
http://www.izenpe.com
– Internet Publishing Services, S.L.
http://www.ips.es/
– Fundación para el Estudio de la Seguridad de las Telecomunicaciones.
http://www.feste.com
– Portal que describe los procesos de estandarización correspondientes al Plan eEurope de la Comisión Europea.
http://www.eeurope-standards.org
– Iniciativa de estandarización de la firma electrónica europea (EESSI)
http://www.ictsb.org/
– Comité Europeo de Normalización.
http://www.cenorm.be

Valóranos en Google
Si esta información le ha sido útil le agradecemos mucho que nos valore con 5 estrellas en GOOGLE haciendo click en el siguiente botón.
Otros lectores ya lo han hecho y esto es lo que opinan...

Recibe presupuesto sin compromiso

¿En qué podemos ayudarle?

Rellene el formulario o llámenos al +34 983 377 435. Estaremos encantados de atenderle.

Nombre*
Protección de Datos*