Boletín de RedIRIS n. 57

El Real Decreto-Ley 14/1999, sobre firma electrónica

Royal Decree 14/1999, on Electronic Signature

A. Martínez Nadal y J. L. Ferrer

Resumen

La firma electrónica es un elemento imprescindible para dar confianza en el mundo del comercio electrónico (entendido este en sentido amplio). Desde el punto de vista técnico el problema está solucionado desde hace tiempo, pero para dar confianza a los usuarios es necesaria la correspondiente cobertura jurídica. Por otra parte, la infraestructura de clave pública precisa de la intervención de las denominadas, en el ámbito técnico, autoridades de certificación. Estas entidades demandan, para su operación comercial, un marco jurídico que limite su responsabilidad. Pues bien, las distintas iniciativas legislativas, y en particular el Real Decreto-Ley 14/1999 que es analizado en esta ponencia, abordan este tema.

Palabras clave: Real Decreto-Ley, firma electrónica, firma digital, criptografía asimétrica, certificado de clave pública, autoridad de certificación, infraestructura de clave pública.

Summary

The electronic signature is an essential element to give trust in the electronic commerce world. From the technical point of view the problem was solved some time ago, but in order to give trust to users it is necessary the corresponding legal cover. On the other hand, the public key infrastructure requires the intervention of the so called, in the technical environment, Certification Authorities. These entities demand, for their commercial activity, a legal framework that set limits to their responsibility. This subject is analyzed in this article through the various legal initiatives and in particular the Royal Decree 14/1999.

Keywords: Royal decree, electronic signature, digital signature, asymmetric cryptography, public key certificate, certification authority, public key infrastructure.

I.- INTRODUCCIÓN

Las primeras iniciativas legislativas en materia de firma electrónica, surgen en EE.UU. donde se aprueba la primera ley de firma digital (la Utah Digital Signature Act de 1995). En Europa, algunos estados tienen normativa aprobada (caso, p.ej., de Italia o Alemania, en 1997; Portugal en 1999, y, más recientemente, en 2001, Francia) y otros tienen proyectos en fase más o menos avanzada de tramitación. Precisamente por los problemas que esta dispersión normativa puede suponer para el mercado único, la Unión Europea se planteó, ya en 1997, la necesidad de una normativa armonizadora a nivel comunitario, a fin de evitar posibles obstáculos para el desarrollo del comercio electrónico derivados de la existencia de legislaciones nacionales divergentes. Y, a estos efectos, el 13 de diciembre de 1999 se aprobó la Directiva 1999/93/CE del Parlamento Europeo y del Consejo por la que se establece un marco comunitario para la firma electrónica, directiva que establece unos criterios armonizadores comunes que habrán de cumplir las futuras legislaciones de los estados miembros; y a las que habrán de adaptarse, en su caso, los estados miembros con normativas ya aprobadas, caso de Alemania (que ha aprobado, recientemente, en mayo de 2001, una nueva ley de firma electrónica, que deroga la anterior de 1997), Italia, Portugal, y, también, España.

Pues, efectivamente, en este ambiente de intensa actividad legislativa en materia de firma electrónica, el legislador español (o, mejor, el gobierno, dado el instrumento legislativo utilizado, que lo ha sustraído de todo debate parlamentario) nos sorprendió con el Real Decreto-ley (en adelante RDL) 14/1999, como norma legal que, con un ámbito de aplicación general, regula la firma electrónica, los certificados y los prestadores de servicios de certificación. Y nos sorprendía por el tiempo (por cuanto, estando a punto de aprobarse de forma definitiva la directiva europea por la que se establece un marco comunitario para la firma electrónica, lo lógico hubiera sido estar a la espera de la misma) y por la forma (por cuanto la utilización del instrumento del Decreto-Ley exige, como señala el art. 86 de nuestra Constitución, razones de urgencia que es, cuanto menos discutible, que se den en este supuesto).

Dedicamos los apartados siguientes al estudio del RDL 14/1999, como norma general reguladora de la firma electrónica en el derecho español (coincidente básicamente con la directiva comunitaria, sin perjuicio de algunas diferencias que remarcaremos en su momento). Su finalidad, conforme a su art. 1.1, es efectivamente la regulación del "uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación". Todo ello con el objetivo de fomentar su uso y otorgar seguridad y confianza a estas nuevas técnicas a través del establecimiento de un marco jurídico adecuado. Esta regulación será de aplicación, conforme al inciso final del art. 1 "a los prestadores de servicios establecidos en España".

II.- NOCIONES BÁSICAS

1.- Firma electrónica


1.1.- Concepto y clase; especial referencia a la firma electrónica avanzada

Como es sabido, en el comercio electrónico el clásico documento de papel es sustituido por el más novedoso documento electrónico. Correlativamente, desaparecen las tradicionales firmas manuscritas, que pueden ser remplazadas usando una variedad de métodos que son incluidos en el concepto amplio de firma electrónica, dentro del que tiene cabida, como categoría particular, el de firma digital.

El RDL 14/1999, establece, en su art. 2, apartado a) un concepto general de firma electrónica (coincidente con el establecido en el art. 2.1 de la directiva) que es el siguiente: "Es el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge". En este concepto amplio y tecnológicamente indefinido de firma, tendrían cabida técnicas tan simples como un nombre u otro elemento identificativo (p.ej., la firma manual digitalizada) incluido al final de un mensaje electrónico, y de tan escasa seguridad que plantean la cuestión de su valor probatorio a efectos de autenticación, aparte de su nula aportación respecto de la integridad del mensaje.

Por ello, esta definición general va seguida, en el art. 2, apartado b) del RDL (coincidente con el art. 2.2 de la directiva), de un nuevo concepto, el de firma electrónica avanzada, definido como "la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de estos". Se trata, por tanto, de una firma que debe cumplir una serie de requisitos que se considera que añaden calidad a la firma electrónica, que es así una firma más segura. Obsérvese que con las tres primeras exigencias (identificación del signatario, creación por medios bajo su exclusivo control y vinculación única al mismo) lo que se pretende es garantizar la autenticación y evitar el rechazo en origen de los mensajes electrónicos; y que con el último requisito (vinculación a los datos que permite detectar cualquier alteración ulterior) se pretende salvaguardar la integridad de los documentos electrónicos.

Una clase particular de firma electrónica que podría ofrecer seguridad, por cuanto, como es sabido, puede cumplir en principio los requisitos de autoría e integridad establecidos en el art. 2 apartado b) del RDL para las firmas avanzadas, es la de las firmas digitales. Estas firmas son tecnológicamente específicas, pues se crean usando un sistema de criptografía asimétrica o de clave pública (frente a las firmas electrónicas tecnológicamente indefinidas como hemos dicho, por cuanto incluyen cualquier método, incluido, pero no limitado, al de los sistemas de clave pública). No obstante, pese a la seguridad ofrecida por la firma digital, el RDL 14/1999, siguiendo en este punto a la directiva, regula, como hemos visto, la firma electrónica en general, y no sólo la firma digital en particular, en un intento de abarcar otras firmas electrónicas, basadas en técnicas distintas de la criptografía asimétrica (técnicas disponibles o en desarrollo que permitan cumplir algunas o todas las funciones características de las firmas manuscritas en un medio electrónico). Pero con el efecto ya mencionado de abarcar técnicas de escasa o incluso nula utilidad.

En definitiva, con el establecimiento de estos dos conceptos de firma electrónica, se establece la diferencia entre firmas de mayor o menor de calidad, distinción nada irrelevante, a efectos, como veremos, de reconocimiento legal de efectos. Pues el art. 3, dedicado a los efectos jurídicos de la firma electrónica equipara, como veremos, a la firma manuscrita únicamente la firma avanzada (y siempre que cumpla determinados requisitos).

1.2.- Nociones relacionadas: datos y dispositivos de firma electrónica

a) Datos de creación y de verificación de firma. Entre los elementos que permiten la creación de una firma electrónica, el art. 2, apartado d) define los "Datos de creación de firma" que son "los datos únicos, como códigos o claves criptográficas privadas, que el signatario utiliza para crear la firma electrónica". Y el apartado g) del mismo art. 2 define los "datos de verificación de firma" como "los datos, como códigos o claves criptográficas publicas, que se utilizan para verificar la firma electrónica". Por tanto, desde la perspectiva de la criptografía asimétrica, se está haciendo referencia al par de claves, pública y privada.

Un tema de especial importancia es el relativo a la calidad de este par de claves. Lo que nos sitúa ante el delicado tema de la generación no ya de la firma sino de las claves de firma. Sea cual sea el sistema de generación (central, por la propia entidad certificadora; o local, por el propio usuario), es esencial que las claves sean únicas y estén a prueba de manipulaciones. En otro caso, la firma digital no podría utilizarse de forma segura en las relaciones comerciales y jurídicas. Por ello, respecto de estos productos comerciales de generación de claves sería necesario un control o auditoría que verificara su fiabilidad, además de someter a un riguroso régimen de responsabilidad a los creadores de los instrumentos de generación de claves.

Y, en este sentido, de forma más genérica o más específica, las distintas legislaciones en materia de firma contienen previsiones al respecto; y así ocurre, de forma bastante específica, en el RDL español, aun cuando con una cierta confusión de conceptos al establecer tales exigencias no respecto de los dispositivos de creación de datos de firma (las claves), a los que nos hemos estado refiriendo hasta ahora en este apartado, sino en relación con los dispositivos de creación de firma, que se trata de un concepto distinto, como veremos a continuación.

b) Dispositivos de creación y de verificación de firma. El RDL 14/1999 establece los conceptos de dispositivo de creación y verificación de firma, definidos, de forma respectiva como "un programa o un aparato informático que sirve para aplicar los datos de creación de firma" (art. 2, apartado e); y "un programa o un aparato informático que sirve para aplicar los datos de verificación de firma" (art. 2, h). Por tanto, se trataría, respectivamente, de aquellos elementos informáticos que permiten la aplicación de la clave privada sobre un mensaje electrónico por parte de su autor y remitente para la creación de una firma electrónica, y la aplicación de la clave pública por parte del destinatario para la verificación de ese mensaje firmado.

Establecido así el concepto general, el art. 2, apartado f) define el "Dispositivo seguro de creación de firma" que es aquel que cumple una serie de requisitos que permiten considerarlo como seguro. Estas exigencias (establecidas en el artículo 19 basado en el Anexo III de la directiva) no se predican en realidad todas ellas de los dispositivos seguros de creación de firma sino que hacen referencia a elementos distintos como los dispositivos de generación de claves (que son distintos de los de creación de firma, como hemos señalado anteriormente) (caso de los requisitos del apartado primero y segundo de unicidad o inderivabilidad de las claves) o a cuestiones diferentes como la relativa a la custodia de la clave privada (caso del requisito del apartado tercero). De modo que el enunciado del precepto no se corresponde realmente con su contenido.

En cualquier caso, una vez establecidas de forma genérica y en abstracto estas exigencias en el art. 19, se trata de ver cuándo un determinado producto cumple las mismas en la práctica, a efectos de poder ser considerado un dispositivo seguro. Pues bien, a estos efectos, los art. 20 y 21 del RDL establecen un procedimiento de evaluación y certificación (equivalente al de los apartados 4 y 5 del art. 3 de la directiva) de la seguridad de los dispositivos de firma (procedimiento que ha sido objeto de desarrollo inicial a través de la Orden Ministerial de 21 de febrero de 2000, aun cuando no es todavía posible la obtención de la certificación). Esta calificación es absolutamente transcendente, como se desprende del mismo art. 3, relativo a los efectos jurídicos de la firma electrónica, precepto que otorga a la firma electrónica el mismo valor jurídico que la misma manuscrita, siempre que cumpla una serie de exigencias, entre ellas la de haber sido producida por un dispositivo seguro de creación de firma. Y se presume que el dispositivo es seguro si está certificado, presunción con que la que se evitan difíciles y costosas pruebas periciales para demostrar su seguridad ante un juez.

2.- Certificados

Como es sabido, en comunidades amplias, entre partes desconocidas y geográficamente distantes, la utilización de firmas electrónicas, basadas en la utilización de un par de claves o datos de firma, puede plantear problemas de identificación de las partes. Es necesaria, por tanto, una forma de distribución segura de las claves públicas. La solución técnica, que ha sido acogida legalmente en diversos ordenamientos, y que contempla también el RDL 14/1999, siguiendo la normativa comunitaria, es el sistema de certificados emitidos por terceras partes de confianza (denominadas, por el RDL, prestadores de servicios de certificación, art. 2.k).

El RDL, en clave tecnológicamente neutral, define el certificado, de forma general, como aquella certificación electrónica que vincula unos datos de verificación de firma (una clave pública) a un signatario y confirma su identidad (art. 2.5, similar al art. 2.9 de la directiva). Se señala así la función básica de los certificados, y el elemento clave de tal función: la comprobación de la identidad del firmante, que plantea la cuestión de la responsabilidad del prestador en caso de emisión de certificados inexactos; pero no se exige la personación física como forma de comprobación (por lo que en muchos casos podrá dudarse de su fiabilidad). Junto a este concepto general de certificado, en el que pueden tener cabida declaraciones electrónicas que no son verdaderos certificados ni cumplen su función esencial, el RDL, en su art. 2, j) establece un concepto específico de certificado que es el "certificado reconocido" que ha de cumplir una serie de requisitos que se presume le darán un mayor valor. Tales requisitos son de una doble naturaleza (art. 2, j del RDL): requisitos de contenido del certificado, establecidos en el art. 8 del RDL; y requisitos relativos al prestador de servicios de certificados, establecidos en el art. 12.

De esta forma, se establecen, siguiendo las directrices comunitarias, dos categorías de certificados: un certificado ordinario y un certificado reconocido que cumple unos requisitos superiores (tal como hemos visto que ocurría con el concepto de firma), y al que también (igual que a la firma electrónica avanzada) se reconoce un valor y eficacia superior (pues, para equiparar jurídicamente una firma electrónica avanzada a una firma manuscrita, el art. 3.1 exige, entre otros requisitos, que se trate de una firma electrónica avanzada basada en un certificado reconocido).

3.- Prestadores de servicios de certificación

3.1.- Noción y funciones

La terminología utilizada para designar a las entidades certificadoras es diversa (autoridades de certificación, entidades de certificación, proveedores de servicios de certificación). La opción comunitaria (que se inclina por el término "proveedores") pone de manifiesto una voluntad de evitar siquiera la apariencia de atribución de naturaleza pública que sí podrían sugerir otras denominaciones (p.ej., autoridad de certificación), y posibilita así su naturaleza estrictamente comercial. En la misma línea comunitaria se hallan, lógicamente, tanto la denominación como la noción de estas terceras partes de confianza emisoras de certificados en el RDL español. En efecto, nuestro RDL habla de prestadores de servicios de certificación que, siguiendo el art. 2.6 de la directiva, son objeto de la siguiente definición en su art. 2, apartado k): "Es la persona física o jurídica que expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica".

La definición del art. 2, apartado k) del RDL, señala la función básica de todo prestador de servicios de certificación: la emisión de certificados. Y deja abiertas las puertas a otros servicios. Tales servicios pueden ser inherentes al propio certificado y necesarios (revocación y suspensión en caso de pérdida de la clave privada u otro elemento de firma, servicio al que se refiere el art. 11.e), 12.c, además del art. 9), otros más bien discutibles (generación de las claves, permitida al prestador tanto en el ordenamiento comunitario como en el español, y, en particular, copia o almacenamiento de las mismas, actividad esta última respecto de la que, como veremos, existen diferencias entre ambos ordenamientos), así como otros complementarios pero igualmente necesarios para la seguridad del sistema de certificados en particular o del comercio electrónico en general (p.ej., de forma respectiva, servicio de sellado temporal, previsto siquiera de forma parcial en el art. 12.a), o actuación como notario electrónico).

3.2.- Principios generales para la prestación de servicios de certificación

Una de las cuestiones más debatidas respecto de las entidades encargadas de la prestación de servicios de certificación es, junto a la relativa a su naturaleza (pública o privada y comercial), la de su constitución: libre, o condicionada a la obtención previa de una autorización pública, licencia o acreditación.

a) Régimen de libre competencia. La posición del legislador español ante la cuestión del régimen de establecimiento de los prestadores de servicios de certificación se establece en el art. 4 del RDL, que dispone el principio de libre competencia en la prestación de servicios de certificación, sin que el ejercicio de este actividad quede reservado a determinadas entidades y sin necesidad de obtención de licencia o autorización previa. Por lo que, en principio, cualquier persona, física o jurídica, puede desarrollar esta actividad.

b) Sistemas de acreditación de prestadores de servicios de certificación. En especial, la Orden Ministerial de 21 de febrero de 2000. Acogiéndose al art. 3.2 de la directiva (que permite que los Estados miembros establezcan sistemas voluntarios de acreditación destinados a mejorar los niveles de provisión de servicios de certificación), el legislador español establece la existencia de posibles sistemas de acreditación de prestadores de servicios de certificación, que, en tanto que voluntarios, son compatibles con el principio de libre constitución (art. 6 del RDL 14/1999). La acreditación voluntaria, conforme al art. 2, apartado ll) del RDL 14/1999, es un permiso, licencia o autorización que conlleva una serie de derechos y una serie de obligaciones para el prestador que voluntariamente la solicita y la obtiene. En realidad, más que derechos, habría de hablarse de efectos positivos; p.ej., en el caso del RDL, la presunción establecida en el art. 3.1, pfo. segundo (relativo a los efectos jurídicos de la firma electrónica) con la que se ven favorecidas aquellas firmas electrónicas avanzadas basadas en un certificado reconocido expedido, precisamente, por un prestador de servicios de certificación acreditado; en cuanto a las obligaciones, serán aquellos requisitos (a los que se refiere el art. 6.4, inciso final del RDL) que se determinen reglamentariamente para poder ser acreditado. En cualquier caso, su solicitud es totalmente voluntaria, y, en ningún caso, la falta de acreditación impide el ejercicio de la actividad de prestación de servicios de certificación. Unicamente, no se beneficiará de los mencionados efectos positivos que favorecen, como hemos visto, al prestador acreditado.

En cuanto a la obtención de la acreditación, el art. 6.1 del RDL establece que será el Gobierno el que, por Real Decreto, "podrá establecer sistemas voluntarios de acreditación de los prestadores de servicios de certificación de firma electrónica". A estos efectos, y dada su transcendencia, se dicta la Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación. Sin embargo, quedan todavía algunas cuestiones pendientes de concreción y desarrollo, de manera que, actualmente, no puede procederse todavía a la acreditación de prestadores de servicios de certificación, y, por tanto, ningún prestador ya existente o de nueva constitución podrá beneficiarse, de momento, de tal calificación, que, como acabamos de señalar, no es irrelevante dada la presunción del art. 3.1, párrafo segundo.

c) Registro de Prestadores de Servicios de Certificación. En tercer lugar, el RDL 14/1999, de forma novedosa, crea un "Registro de Prestadores de Servicios de Certificación", cuya regulación presente (art. 7) o futura (normativa de desarrollo) debe ser conforme a las directrices del derecho comunitario, y, en concreto, no debe constituir en ningún caso un obstáculo al principio de libre competencia y libre constitución de proveedores. Pues, en efecto, la principal cuestión que plantea la creación de este novedoso Registro es el carácter obligatorio o simplemente facultativo de la inscripción de los prestadores. De la letra del apartado primero del art. 7 del RDL se deduce, en principio, la obligatoriedad de la inscripción registral de todo prestador de servicios de certificación establecido en España. No obstante, el análisis del régimen sancionador demuestra que el incumplimiento de la obligatoriedad de la inscripción general tiene, en determinados supuestos, escasas consecuencias (multa económica de cuantía inferior), y no impide el ejercicio de la actividad de certificación.

3.3.- Condiciones exigibles a los prestadores de servicios de certificación

El art. 11 del RDL 14/1999 establece los requisitos generales que debe cumplir todo prestador de servicios de certificación. Junto a estos requisitos generales, el art. 12 del RDL establece unos requisitos específicos de determinados prestadores: aquellos que expiden certificados reconocidos, requisitos específicos cabe considerar que otorgan una mayor seguridad y fiabilidad a la actividad prestadora. De forma que, como ocurre con la firma (ordinaria o avanzada) y con el certificado (simple o reconocido), el legislador español, siguiendo las directrices comunitarias, establece también dos categorías de prestadores: los que emiten certificados simples y los que emiten certificados reconocidos. El cumplimiento de estas exigencias del art. 12 no es irrelevante pues recuérdese que señalábamos que para que un certificado sea reconocido es necesario no sólo el cumplimiento de los requisitos de contenido del certificado establecidos en el art. 8 sino también el cumplimiento por parte del prestador de los requisitos establecidos en el art. 12. En cualquier caso, el control del cumplimiento de estas exigencias corresponde al Ministerio de Fomento a través de la Secretaría General de Comunicaciones (art. 16) (actualmente, Ministerio de Ciencia y Tecnología), y su incumplimiento constituyen infracciones tipificadas y clasificadas, en función de su mayor o menor gravedad (art. 24 y 25), que dan lugar a la imposición de la correspondiente sanción, establecida en el art. 25, y que, aparte de la multa, que varía en función de la gravedad de la infracción, puede conllevar en determinados supuestos la prohibición de actuación en España por un máximo de dos años.

A.- Obligaciones exigibles a todos los prestadores de servicios de certificación (art. 11)

a) Comprobación de identidad y de otros datos personales. Se trata de un requisito de fundamental importancia dada la función del certificado como instrumento de vinculación segura de un dato de verificación de firma o clave pública a una persona determinada; la no exigencia expresa de personación física puede lugar a la admisión de sedicentes certificados que no vendrían a cumplir tal función.

b)Puesta a disposición de los dispositivos de creación y de verificación de firma.

c) Prohibición de copia o almacenamiento de datos de creación de firma, salvo autorización del titular, pues el conocimiento por terceras personas generaría el peligro de posibles utilizaciones por parte de terceros no autorizados; sin embargo, la prohibición del art. 11 c) no es absoluta, por cuanto se establece que los prestadores de servicios de certificación podrán almacenarlas o copiarlas si así lo solicita expresamente el cliente. Y en este punto existe una divergencia entre el RDL español y la directiva comunitaria, que, aunque inicialmente contemplaba esta excepción, la hace desaparecer en la versión definitivamente aprobada. De ahí que, cuanto menos, pueda dudarse de que la ley española se ajuste a la directiva.

d) Información previa a la emisión del certificado sobre una serie de aspectos (precio, condiciones y límites de uso, garantía patrimonial) y en relación con el solicitante de un certificado (sea o no consumidor). No afecta, en cambio, de forma criticable, al tercero usuario de un certificado que es, sin duda, el más necesitado de información sobre determinados aspectos incluidos en el art. 11.d (especialmente, las limitaciones de uso del certificado, y la garantía de la responsabilidad patrimonial del prestador).

e) Mantenimiento de un registro de certificados (art. 11.e) donde hacer públicamente accesible y disponible determinada información como los certificados, o las listas de certificados revocados, no sólo para los titulares de certificados sino también para terceros usuarios. El momento de publicación puede ser el momento definitorio a efectos de obligaciones o responsabilidades fundamentales de la entidad de certificación y los usuarios de certificados; así, el art. 9.3 del RDL 14/1999 dispone que la extinción de la eficacia de los certificados tendrá efectos desde la fecha en que así se haga constar en el Registro. Y, a partir de ese momento, será oponible a terceros.

f) Comunicación en caso de cese de actividad. En caso de cese de su actividad, el art. 11, f) dispone que los prestadores de servicio deben comunicarlo con una antelación mínima de dos meses (art. 13.1) a los titulares de los certificados por ellos emitidos y, si estuvieran escritos en él, al Registro de Prestadores de Servicios del Ministerio de Justicia.

g) Solicitud de inscripción registral. Remitimos al análisis de esta cuestión realizado en el apartado dedicado al Registro de Prestadores de Servicios de Certificación.

h) Cumplimiento del Real Decreto y normas de desarrollo. Finalmente, de forma residual, el art. 11. h) establece la obligación de cumplir con cualquier otra norma del Real Decreto y con las normas de desarrollo del mismo.

B.- Obligaciones exigibles a los prestadores de servicios de certificación que expidan certificados reconocidos (art. 12)

a) Requisito temporal. El RDL 14/1999, en su art. 12.1, establece la obligación de los emisores de certificados reconocidos de "Indicar la fecha y la hora en las que se expidió o se dejó sin efecto un certificado". En el proyecto de Directiva se incorpora, a solicitud del Estado español, esta misma exigencia temporal. De esta forma, tanto el legislador español como el comunitario, han detectado el problema temporal del sistema de certificados, absolutamente ignorado en la primera versión de la propuesta de directiva, y puesto de manifiesto ya por entonces en nuestros trabajos en la materia, en los que denunciamos reiteradamente la grave laguna existente en esta materia, y el peligro que ello suponía para el funcionamiento del sistema de certificados. En cualquier caso, es relevante el conocimiento del tiempo no sólo de la emisión del certificado o de su revocación sino del momento en que se firma electrónicamente el mensaje que se quiere verificar, y respecto de este último sigue sin existir previsión legislativa alguna. Con lo que pueden existir problemas a la hora de valorar la validez y eficacia de un mensaje firmado electrónicamente.

b) Requisitos técnicos y de personal. Son básicamente los siguientes. De entrada, se establece la exigencia genérica de fiabilidad de los servicios (art. 12.b). Junto a ella, se establece una exigencia de rapidez y seguridad en la prestación del servicio; y, en concreto, en casos de extinción de la eficacia de los certificados, se exige seguridad e inmediatez lo que, interpretado literalmente supondría la imposibilidad de utilización por parte de prestadores emisores de certificados reconocidos de sistemas de publicación de la revocación no inmediatos, como los sistemas de listas periódicas de revocación (art. 12.c). A continuación se exige la utilización de personal cualificado (art. 12.d). Asimismo, se exige la utilización de sistemas y productos fiables que garanticen la seguridad técnica de los procesos de certificación (art. 12.e); en concreto, se exige tomar medidas contra la falsificación de certificados, y, en caso de que el prestador genere datos de creación de firma, garantizar su confidencialidad durante el proceso de generación (art. 12.f), previsión que es criticable por cuanto afecta únicamente a los prestadores emisores de certificados reconocidos, cuando debiera extenderse a todo prestador que genera datos de creación de firma, emita o no certificados. Finalmente se exige la utilización de sistemas fiables de almacenamiento de certificados (art. 12, i). En cualquier caso, se trata de exigencias genéricas que es de esperar sean objeto de concreción a través de reglamentación técnica de desarrollo.

c) Requisitos económicos (art. 12, g). En virtud de esta exigencia, los prestadores de servicios de certificación que emitan certificados reconocidos deben mantener recursos financieros suficientes para actuar de conformidad con lo dispuesto en el RDL. En particular, dada la potencial amplitud de la responsabilidad de la entidad de certificación, a fin de proteger a los terceros que se relacionen con la misma, el RDL establece, en el mismo art. 12, g), la obligación del prestador emisor de certificados reconocidos de garantizarla por dos sistemas: a través de la constitución de una fianza mercantil prestada por una entidad de crédito o contratando un seguro adecuado. En cuanto a la cuantía de la garantía, de forma general, y, en caso de que no se incluyan límites cuantitativos en los certificados,"... cubrirá, al menos, su responsabilidad por un importe de 1.000.000.000 de pesetas (6.010.121,04 euros). El Gobierno, por Real Decreto, podrá modificar el referido importe". Obsérvese que esta obligación de garantía no se establece para todo prestador sino únicamente para los prestadores emisores de certificados reconocidos, que, por ello, ofrecen de entrada, una mayor solvencia patrimonial.

d) Requisitos informativos y de documentación. El art. 12, en su apartado i), tiene una exigencia de información que cubre las lagunas que hemos criticado respecto de la obligación de información del art. 11, d) (p.ej., por lo que se refiere a los terceros usuarios del certificado, a los que expresamente alude el art. 12, i). Finalmente, el art. 12, h) exige el registro de toda la información y documentación relativa a un certificado reconocido durante un periodo de tiempo adecuado (15 años). La finalidad de esta previsión se establece, en particular, a efectos de utilización como medio de prueba de la certificación en el ámbito de una reclamación o procedimiento judicial (en los que la cuestión de la prueba puede resultar de especial importancia).

III.- EFECTOS LEGALES DE LA FIRMA ELECTRÓNICA

Analizamos, en este último apartado, la forma en que el RDL 14/1999 pretende dar cumplimiento al que se configura como su principal objetivo: establecer una regulación clara del uso de la firma electrónica, atribuyéndole eficacia jurídica. Y lo hacemos en último lugar porque, como veremos a continuación, el reconocimiento de esa eficacia jurídica depende en buena parte de conceptos previos, como el de firma electrónica, dispositivo de creación de firma, certificado, y prestador.

1.- Regla del equivalente funcional. Requisitos. Problema de la prueba de la existencia de tales requisitos. Como se ha visto, la firma electrónica, y, en concreto, la firma digital consigue iguales, si no superiores efectos, que los de la firma manuscrita pues puede proporcionar integridad, autenticidad, y, en definitiva, no rechazo de origen. Por ello, el RDL 14/1999, siguiendo la directiva comunitaria, y al igual que algunas de las iniciativas legislativas existentes sobre firma digital, realizan un reconocimiento de sus efectos equiparándola, con más o menos exigencias, a la firma manuscrita. En concreto, el art. 3.1, pfo. primero, basado en el art. 5 de la directiva, establece que "La firma electrónica ... tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y será admisible como prueba en juicio, valorándose esta según los criterios de apreciación establecidos en las normas procesales". Es, en suma, la regla del equivalente funcional entre firma electrónica y manuscrita.

Para que se produzca esta equiparación es necesario el cumplimiento de una serie de requisitos: a) debe tratarse de una firma electrónica avanzada, es decir, aquella que cumple los requisitos establecidos en el art. 2, b, relativos, básicamente, a la autenticidad e integridad del mensaje y que nos sitúan ante la firma digital; b) dicha firma electrónica avanzada ha de estar basado en un certificado reconocido, es decir, aquel que cumple los requisitos de contenido del art. 8 y ha sido expedido por un prestador que cumple los requisitos del art. 12; c) dicha firma electrónica avanzada, además, ha de haber sido producida por un dispositivo seguro de creación de firma, que es aquel que cumple los requisitos del art. 19. El problema es, entonces, la acreditación o demostración de la existencia de estos requisitos establecidos en el art. 3.1 pfo. primero. Piénsese que en caso de presentar un mensaje firmado electrónicamente como prueba en juicio, habrán de ser necesarios complejos y dificultosos informes técnicos para demostrar ante el juez la existencia de tales requisitos, y aun así puede resultar prácticamente imposible su prueba.

2.- Presunción de cumplimiento de los requisitos. Para evitar estas dificultades de acreditación del cumplimiento de esos requisitos, el art. 3.1, pfo. segundo dispone que "Se presumirá que la firma electrónica avanzada reúne las condiciones necesarias para producir los efectos indicados en este apartado, cuando el certificado reconocido en que se base haya sido expedido por un prestador de servicios de certificación acreditado y el dispositivo seguro de creación de firma con el que esta se produzca se encuentre certificado, con arreglo a lo establecido en el artículo 21". De esta forma, se evitan los problemas de prueba, pues se establece una presunción de cumplimiento de los requisitos ligada a la satisfacción de otras exigencias superiores: certificado reconocido emitido por un prestador acreditado y dispositivo seguro de creación de firma certificado.

No obstante, obsérvese que, de momento, ninguna firma electrónica avanzada se puede beneficiar de tal presunción, pues no es posible el cumplimiento de uno ni de otro requisito, dependiendo, el primero de ellos, del Real Decreto de desarrollo de los sistemas de acreditación a que remite el art. 6 (la mencionada Orden Ministerial de 21 de febrero, de la que quedan todavía algunos aspectos pendientes de concreción); y el segundo, básicamente, de la publicación en el DOCE de las normas técnicas a las que como hemos visto se refiere el art. 21 del RDL. En este sentido téngase en cuenta que en el Diario Oficial de las Comunidades Europeas de 16 de noviembre de 2000 se ha publicado la Decisión de la Comisión de 6 de noviembre de 2000 relativa a los criterios mínimos que deben tener en cuenta los Estados miembros para designar organismos de conformidad con el apartado 4 del artículo 3 de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo por la que se establece un marco comunitario para la firma electrónica; en concreto, dicho apartado y precepto se refieren, precisamente, a los dispositivos seguros de creación de firma.

En cualquier caso, una vez acreditado el cumplimiento de los requisitos del art. 3.1, pfo. primero, sea por prueba directa (de especial dificultad) o por el juego de la presunción del párrafo segundo, estaremos ante un mensaje electrónico admitido, inicialmente, como prueba en juicio, pero cuya valoración, conforme el inciso final del art. 3.1. pfo. primero, se realizará "según los criterios de apreciación establecidos en las normas procesales". De manera que el juez, a la vista de las circunstancias del caso alegadas podrá dar plena eficacia jurídica a la firma o negársela, porque, p.ej., el mensaje fue firmado utilizando una clave privada que habiendo sido extraviada fue utilizada por un tercero en los momentos previos a la revocación; o bien porque el mensaje fue firmado con posterioridad la extinción del certificado, supuesto especialmente problemático puesto que el RDL sólo exige prueba del tiempo respecto de la emisión y revocación del certificado, pero no respecto del momento que se firma electrónicamente un mensaje, circunstancia que podría utilizarse tanto por el emisor como por el receptor si uno u otro tuviera interés en negar validez al mensaje; de ahí la conveniencia de sellar temporalmente aquellos mensajes especialmente relevantes si se quieren evitar problemas en caso de litigio.

3.- El problema de la firma electrónica que no reúna los requisitos de equiparación. La declaración legal expresa de admisibilidad de la firma electrónica como medio de prueba puede tener sentido en determinadas legislaciones, restrictivas respecto de los medios probatorios; no es el caso, sin embargo, del derecho español, donde parece admisible, y así se considera doctrinalmente, de acuerdo con la Ley de Enjuiciamiento Civil, la presentación de un documento electrónico, firmado digitalmente, como medio de prueba de la celebración de un contrato o de la existencia de una declaración por medios electrónicos. Y téngase en cuenta, que, como señalamos a continuación, esta declaración legal no sólo no abre puertas en ordenamientos como el español sino que, por sí sola, y en los términos en que se ha establecido, puede incluso cerrarlas. En efecto, recuérdese que este reconocimiento legal de efectos del art. 5.1 (tanto su equiparación a la firma manuscrita como su admisibilidad como medio de prueba) se establece sólo respecto de firmas electrónicas que cumplan determinadas exigencias. Y resulta así que tales exigencias podrían venir a disminuir, si no negar, la eficacia legal de firmas electrónicas en las que faltara, p.ej., el requisito del certificado; de forma que una firma digital en la que las partes, conocidas y de confianza, se han intercambiado manualmente de forma segura sus claves, y han acordado que las firmas digitales creadas con las mismas serían vinculantes para las partes, no se consideraría equivalente a una firma manuscrita, ni podría ser aportadas como medio de prueba (cosa actualmente posible en el derecho español de no existir tal previsión).

Para evitar este posible resultado, restrictivo y excluyente, se establece un apartado 2 en el mismo art. 3 (equivalente al art. 5.2 de la directiva) que dispone que "A la firma electrónica que no reúna todos los requisitos previstos en el apartado anterior, no se le negarán efectos jurídicos ni será excluida como prueba en juicio, por el mero hecho de presentarse en forma electrónica". Qué significado y alcance tiene esta cláusula de salvaguarda de estas firmas electrónicas que no cumplen los requisitos establecidos para las firmas reconocidas? Porque si no se les puede negar eficacia, ¿acaso significa que tienen la misma eficacia que las que cumplen tales requisitos?, Si no pueden ser excluidas como prueba en juicio, por el mero hecho de presentarse en forma electrónica ¿acaso significa que son admisibles? ¿Cuál es, entonces, y, en definitiva, la diferencia, a estos efectos, entre una firma que cumple los requisitos del apartado primero y una firma que no cumple tales requisitos?

IV.- CONCLUSIONES

A la vista de lo expuesto, puede concluirse que, pasados prácticamente dos años desde su urgente aprobación, el Real Decreto-Ley no cumple todavía su objetivo de regular y dar seguridad al tema de la validez de los efectos jurídicos de la firma electrónica. Pues, para que sea admitida como medio de prueba, se exigen una serie de requisitos que requerirán de numerosas y difíciles pruebas periciales. Y, aun cuando es cierto que, de forma adecuada, la normativa español establece en el art. 3.1, pfo. segundo una presunción que elimina buena parte de esas dificultades probatorias, no es menos cierto tampoco que tal presunción no se puede aplicar, de momento, pues los elementos en que se basa están pendientes de regulación y desarrollo no sólo por las autoridades nacionales sino incluso también por las comunitarias. Y esta necesidad de desarrollo ulterior afecta, como hemos visto, a otros muchas cuestiones contempladas en el Real Decreto.

En cualquier caso, con base a esta urgencia alegada por el gobierno, cabe demandarle una más rápida actuación en el desarrollo y concreción los aspectos pendientes del Real Decreto-ley que permita una efectiva aplicación del mismo. Demanda ya tenida en cuenta con la aprobación de la ya mencionada Orden Ministerial de 20 de febrero de 2000 que regula la acreditación de los prestadores y la certificación de los dispositivos seguros de firma, conceptos de los que depende en buena medida el juego de la presunción del art. 3.1 pfo. segundo. Quedan, sin embargo, todavía aspectos pendientes de concreción, relativos, p.ej., a los procedimientos de acreditación y certificación mencionados; o relativos a la normativa reguladora del Registro de Prestadores de Servicios de Certificación del Ministerio de Justicia, que parece ser ha de aprobarse en los próximos meses.

Apol·lònia Martínez Nadal
(dirección de correo dpramn [at] clust [dot] uib.es)
Profesora de Derecho Mercantil.
Departamento de Derecho Privado
José Luis Ferrer Gomila
(dirección de correo dijjfg [at] clust [dot] uib.es)
Profesor de Ingeniería Telemática
Departamento de Ciencias Matemáticas e Informática
Universitat de les Illes Balears