Embed Size (px)
Citation preview
Revista de Contratación Electrónica
Comentario crítico de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica
Ignacio Alamillo Domingo
Director Jurídico de la Agencia Catalana de Certificación (CATCert)
Xavier Urios Aparisi
Abogado de la Generalidad de Cataluña
Tabla de contenido
1. INTRODUCCIÓN ..............................................................................................................................3
2. CRÍTICA GENERAL DE LA LEY .............................................................................................4 2.1 FUNDAMENTO DE LA LEY ...........................................................................................................4
2.1.1 La mezcla de sectores normativos, generales y específicos, en el mismo texto..........4 2.1.2 La (difícil) justificación de ciertos sistemas sectoriales de firma .................................6 2.1.3 La firma de Notarios y Registradores................................................................................7 2.1.4 La firma de la FNMT-RCM .............................................................................................. 12 2.1.5 La firma avanzada de la factura telemática .................................................................. 13
2.2 DESCONOCIMIENTO DEL ÁMBITO DE APLICACIÓN OBJETIVA ..............................................14 2.3 INCOMPLETA DEFINICIÓN DEL ÁMBITO DE APLICACIÓN SUBJETIVA...................................16
3. CRÍTICA AL MODELO DE ROLES DEFINIDO EN LA LEY....................................... 18 3.1 EL ROL DE PRESTADOR DE SERVICIOS: DESCOORDINACIÓN CON LA LSSI-CE ................18 3.2 EL MODELO DE ROLES DE USUARIO.........................................................................................20
3.2.1 Confusión de los roles de suscriptor y firmante............................................................ 21 3.2.2 Confusión de los roles de solicitante y futuro suscriptor............................................ 23
4. CRÍTICA AL MODELO CONCEPTUAL DE LA FIRMA ELECTRÓNICA.............. 25 4.1 LA FIRMA-E ORDINARIA NO ES FIRMA, AUNQUE PUEDE SERVIR COMO TAL ......................25 4.2 LA FIRMA-E “RECONOCIDA” NO PARECE TENER RECONOCIMIENTO REAL........................26 4.3 FOMENTO DE LA FIRMA ELECTRÓNICA NO RECONOCIDA.....................................................30 4.4 LA FIRMA-E DE PERSONAS JURÍDICAS NO ES FIRMA..............................................................32
5. CRÍTICA AL MODELO CONCEPTUAL DE LA CERTIFICACIÓN DIGITAL...... 34 5.1 EL DNI ELECTRÓNICO Y EL FIN DEL MERCADO.....................................................................34 5.2 UN CERTIFICADO “RECONOCIDO” QUE NO ES RECONOCIDO POR NADIE............................35 5.3 UN CERTIFICADO DE PERSONA JURÍDICA QUE ES DE PERSONA FÍSICA................................36
6. CRÍTICA A LOS ASPECTOS PROBATORIOS DE LA FIRMA ELECTRÓNICA.. 38 6.1 EL SOPORTE ELECTRÓNICO COMO MEDIO DE PRUEBA..........................................................38 6.2 PROCEDIMIENTO DE APORTACIÓN AL PROCESO DE DOCUMENTOS ELECTRÓNICOS .........39
6.2.1 Aportación directa al expediente..................................................................................... 41 6.2.2 Otros modos de aportación. Prueba pericial e intervención de Notario.................. 42
6.3 PRUEBA DEL SOPORTE ELECTRÓNICO Y DE SU FIRMA ELECTRÓNICA.................................43
6.3.1 Prueba de la firma electrónica reconocida................................................................... 44 6.3.2 Prueba de las restantes firmas electrónicas.................................................................. 46
6.4 OTROS ASPECTOS DERIVADOS DE LA PRUEBA.......................................................................47
1. Introducción
Recientemente se ha aprobado la Ley 59/2003, de 19 de diciembre, de Firma Electrónica (B.O.E. de 20 de diciembre de 2003), que viene a substituir la anterior regulación, el Real Decreto-Ley 14/1999, de 17 de septiembre, de firma electrónica, y cuya entrada en vigor se producirá a los tres meses de su publicación.
Esta reforma tiene por objeto suplir el indudable déficit normativo asociado al Real Decreto-Ley 14/1999, el cual se sustrajo de la necesaria discusión parlamentaria, y no precisamente por el alegado fin del mandato de las Cámaras en marzo de 2000, como cita la exposición de motivos de la Ley 59/2003, sino más bien por la fórmula empleada, de aprobación urgente, utilizando el mecanismo del Real Decreto-Ley, cuando los presupuestos de extraordinaria y urgente necesidad no justificaban la utilización de esa facultad extraordinaria de dictar normas con rango de ley que tiene atribuida el Gobierno, más aún cuando este Real Decreto-Ley se aprobó con anterioridad a la Directiva comunitaria, directiva que buscaba reforzar el marco jurídico de la firma electrónica y la prestación de servicios de certificación.
Como advertencia previa, decir que una parte de la doctrina ha justificado la imposibilidad de disponer de la firma electrónica avanzada, así como de los certificados reconocidos, en la ausencia del Registro de prestadores de servicios de certificación; opinión que no compartimos en absoluto.
Nada más lejos de la realidad, dado que diversos prestadores disponen ya de certificados reconocidos, cuyas firmas son completamente válidas y efectivas jurídicamente. Una cosa es que el RDL 14/99 no haya sido un prodigio de técnica legislativa y que no haya incorporado ciertas instituciones jurídicas útiles, y otra es negar sus efectos.
Ante estos planteamientos, cabe indicar que la Agencia Catalana de Certificación fue la primera entidad pública en emitir certificados reconocidos y dispositivos seguros, cumpliendo con todas las normas jurídicas y técnicas exigibles, para proveer a los trabajadores públicos de las Administraciones Públicas catalanas de firma de máximo valor jurídico. El IZENPE vasco, por su parte, ha sido la primera entidad pública en emitir certificados reconocidos en dispositivo seguro de creación de firma a los ciudadanos.
En este artículo realizaremos una revisión crítica a la nueva regulación sobre la firma electrónica, así como de las nuevas figuras que introduce, como el certificado de persona jurídica o el DNI electrónico.
2. Crítica general de la Ley
2.1 Fundamento de la ley
2.1.1 La mezcla de sectores normativos, generales y específicos, en el mismo texto
El primer punto que hay que analizar, aunque ya se encontraba presente en el RDL 14/99, de 17 de septiembre, es la justificación constitucional del texto legal. Como puede verse de la Disposición final primera, la norma se dicta al amparo de los siguientes artículos:
- Artículo 149.1.8ª: Competencia exclusiva del Estado en materia de legislación civil, sin perjuicio de la conservación, modificación y desarrollo por las Comunidades Autónomas de los derechos civiles, forales o especiales, allí donde existan. En todo caso, las reglas relativas a la aplicación y eficacia de las normas jurídicas, relaciones jurídico-civiles relativas a las formas de matrimonio, ordenación de los registros e instrumentos públicos, bases de las obligaciones contractuales, normas para resolver los conflictos de leyes y determinación de las fuentes del Derecho, con respecto, en este último caso, a las normas de derecho foral o especial.
- Artículo 149.1.18ª: Competencia exclusiva del Estado en materia de bases del régimen jurídico de las Administraciones públicas y del régimen estatutario de sus funcionarios que, en todo caso, garantizarán a los administrados un tratamiento común ante ellas; el procedimiento administrativo común, sin perjuicio de las especialidades derivadas de la organización propia de las Comunidades Autónomas; legislación sobre expropiación forzosa; legislación básica sobre contratos y concesiones administrativas y el sistema de responsabilidad de todas las Administraciones públicas.
- Artículo 149.1.21ª: Competencia exclusiva del Estado en materia de ferrocarriles y transportes terrestres que transcurran por el territorio de más de una Comunidad Autónoma; régimen general de comunicaciones; tráfico y circulación de vehículos a motor; correos y telecomunicaciones; cables aéreos, submarinos y radiocomunicación.
- Artículo 149.1.29ª: Competencia exclusiva del Estado en materia de seguridad pública, sin perjuicio de la posibilidad de creación de policías por las Comunidades Autónomas en la forma que se establezca en los respectivos Estatutos en el marco de lo que disponga una ley orgánica.
Resulta interesante la inclusión de la regulación general de la firma electrónica en la competencia exclusiva del Estado en materia civil, que atrae a una norma general, como es la Ley 59/2003, el tratamiento horizontal de la firma, incluyendo también la regulación del uso de la firma electrónica por las compañías mercantiles (hubiese debido fundamentarse la norma también en el artículo 149.1.6ª de la Constitución, por tratarse de materia mercantil, como específicamente cita la Exposición de motivos); asimismo, regula la emisión del DNI en formato electrónico, al amparo del artículo 149.1.29ª, extendiendo la eficacia del D.N.I. y de su firma al
ámbito de las obligaciones contractuales. Dentro de estos títulos competenciales, destaca igualmente la consideración de la Ley como “normativa básica de derecho administrativo”, lo que supone la posibilidad de desarrollo de dichas bases por las Administraciones autonómica y local en el marco de sus respectivas competencias, en conexión con la implantación de la Administración electrónica, y al amparo de la Ley 30/92, de 26 de noviembre, de régimen jurídico de las Administraciones públicas y del procedimiento administrativo común.
No parece que el título competencial anteriormente mencionado cubra los regímenes específicos del uso de la firma en el seno de la Administración General del Estado, en especial en el ámbito de Hacienda1, ya que esta regulación no puede considerarse básica, por lo que quizá debería regularse en instrumento jurídico específico.
La competencia exclusiva que se afirma al amparo del artículo 149.1.21ª resulta más difícil de entender: los servicios de certificación son una clase de servicios de la sociedad de la información, y los servicios de la sociedad de la información no son servicios de telecomunicaciones, tal como se desprende del análisis de la normativa española y comunitaria de comercio electrónico.
Después de todo, no se regula el servicio de correos (¿electrónicos?) ni las transmisiones a través de Internet, y aunque de este modo se hiciera, tampoco en este caso se trataría de servicios de telecomunicaciones, sino de la sociedad de la información, con un tratamiento y régimen jurídico absolutamente diferenciado. En nuestra opinión, esta justificación debería retirarse por incongruente, como sucede con la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.
Por otro lado, esta justificación global que se realiza produce un texto legal en el que se tratan de hacer convivir instituciones radicalmente diferenciadas entre sí, entre las que podemos diferenciar las siguientes:
- La firma como forma útil y voluntaria de los contratos telemáticos y otros actos (competencia en legislación civil), incluyendo la firma de las personas jurídicas (que no es tal, sino la firma del factor mercantil o de otra persona física autorizada por la persona jurídica).
- La firma voluntaria por parte de los ciudadanos con cada Administración pública, mediante los mecanismos del artículo 45, 70 y concordantes de la Ley 30/92, que requiere su previa aceptación y consentimiento.
- La firma empleada por la Administración, y los servicios de certificación que empleen, que deberá ajustarse a la normativa básica incluida en el texto y ser desarrollada por la correspondiente normativa autonómica o local.
- La firma, de obligatoria aceptación, del DNI electrónico, cuyo régimen jurídico nada tiene que ver con la firma ni en el sector privado ni en el público, sino con la identificación pura y simple de las personas, y que en determinados aspectos habría de ser regulado por Ley orgánica.
- La firma de entidades sin personalidad jurídica propia expedida por el Ministerio de Hacienda, a los efectos de la Ley General Tributaria, si bien
1 No es este departamento ministerial el único que ha regulado de forma propia el uso
de la firma electrónica, sino que también los Ministerios de Ciencia y Tecnología, Economía e Interior han dictado normas específicas sobre el uso de la firma electrónica.
limitada al ámbito tributario, que debería regularse no en una Ley general sino en la correspondiente normativa tributaria.
Como se puede ver, conviven en esta Ley 59/2003 diferentes modelos normativos, que afectan al orden civil, al administrativo, a la seguridad pública y que presenta “especialidades” de aplicación exclusiva para la Administración General del Estado, sin ni siquiera indicarse qué parte del proyecto es horizontal y básica, y qué partes no lo son.
En definitiva, una confusión inaceptable desde la óptica jurídica, partiendo de la transposición de una Directiva comunitaria de índole privatístico y de protección del consumidor, y llegando a una norma de vocación horizontal, que afecta a todo el ordenamiento jurídico español, civil y administrativo, sin la necesaria reflexión jurídica y que, adicionalmente, refleja los intereses políticos internos de la Administración General del Estado, que se manifiesta en el incipiente DNI electrónico, con una vocación clara de servicio público análogo al DNI en papel (aunque, como veremos, ultrapasando la función actual del mismo) en clara contradicción con la expansión del modelo de negocio de la Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda.
En sede de proyecto, se debería haber realizado un esfuerzo especial para fundamentar correctamente una legislación horizontal de gran ámbito como es la Ley de firma electrónica, y así evitar disfunciones como las ya producidas por el RDL 14/99, que sin duda han de producir problemas futuros.
2.1.2 La (difícil) justificación de ciertos sistemas sectoriales de firma
No acaba con lo dicho anteriormente el desorden normativo en materia de firma que acompaña al proyecto, dado que se ha desaprovechado completamente la oportunidad de reconducir los sistemas sectoriales de firma electrónica que han aparecido ante la inoperatividad del RDL 14/99, y que deberían haberse configurado como sistemas voluntarios de acreditación, en caso de que esta figura hubiese sido correctamente configurada por el RDL 14/992, siguiendo la Directiva 99/93, de 13 de diciembre, de firma electrónica.
Y es que hay que tener presentes otros dos tipos de firma, ya regulados y que conservan una cierta “independencia”, en lugar de adaptarse al marco general:
- La firma de la Fábrica Nacional de Moneda y Timbre3, que por algún motivo que los autores no aciertan a entender, dispone de un régimen privilegiado frente a los restantes prestadores de servicios de certificación, públicos y privados, incluso en presencia del DNI electrónico (de acuerdo con la disposición adicional quinta del Proyecto), que cumple exactamente la misma función.
- La firma de facturas telemáticas4, regulada por Orden HAC/3134/2002, de 5 de diciembre, sobre un nuevo desarrollo del régimen de facturación telemática previsto en el artículo 88 de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido, y en el artículo 9 bis del Real Decreto 2402/1985, de 18 de diciembre, que ha sido desarrollada por Resolución 2/2003, de 14 de febrero, de la Dirección General de la Agencia Estatal de
2 Posibilidad que el Proyecto sí desarrolla de forma respetuosa con la citada Directiva. 3 Disposición adicional cuarta. 4 Disposición adicional séptima.
Administración Tributaria, sobre determinados aspectos relacionados con la facturación telemática y que, en virtud de la Orden HAC/1181/2003, de 12 de mayo, se ha convertido en otro sistema de corte general regulador de la firma de los ciudadanos en el ámbito tributario, paralelo al de la normativa vigente.
Adicionalmente, hay que decir que el Proyecto contemplaba también la exclusión de la firma de Notarios y Registradores, regulada por Ley 24/2001, de 27 de diciembre, como veremos posteriormente.
No existe motivo alguno que ampare la exclusión de estos sistemas sectoriales de firmas electrónicas de la regulación general, dado que la firma de Notarios y registradores se supone que cumple las prescripciones de la ley hasta la fecha vigente5, la firma de la FNMT se supone que también6 y la firma de facturas es una firma reconocida.
Por tanto la Ley 59/2003 no debería contener excepción alguna, sino servir de apoyo normativo a todos los prestadores de servicios de certificación, sin privilegio alguno.
El único motivo que justificaría esta exclusión, bien sea para determinados usos o aplicaciones de firma electrónica, bien para determinados certificados digitales o dispositivos de firma, sería sencillamente para dotar a dichas firmas, certificados y dispositivos, de un marco jurídico diferenciado, al margen de las prescripciones de la Ley.
Pero si dichos sistemas cumplen la Ley de firma electrónica, no precisan tratamiento específico alguno y, si no lo cumplen, y precisan de norma de cobertura, quizá no es esta Ley el lugar apropiado para ello (caso del DNI electrónico, probablemente, o de la firma de entidades sin personalidad jurídica a efectos tributarios).
Por ello, en este segundo caso, no es congruente que la Ley indique que la regulación que contiene – que es de general aplicación – se entenderá sin perjuicio de dichas normas – especiales – de cobertura.
En definitiva, una Ley que regula la prestación de los servicios de certificación, a efectos de fomentar el uso general de la firma electrónica (¿por los ciudadanos?) no debería contener regímenes especiales de exclusión que no se justifican atendiendo a la índole de sus funciones.
2.1.3 La firma de Notarios y Registradores
Como ha quedado indicado, una de las exclusiones de la regulación general de la Ley de firma electrónica que se había propuesto en el Proyecto era la firma de Notarios y Registradores (Disposición Adicional 1ª del proyecto), mediante una referencia a su legislación específica, que finalmente se ha retirado del texto,
5 De este modo se establece en el artículo 108 de la Ley 24/2001, de 27 de diciembre,
dentro de la Sección 8ª, artículos 106 y siguientes: “Incorporación de técnicas electrónicas, informáticas y telemáticas a la seguridad jurídica preventiva”.
6 Al menos eso es lo que declara la normativa del proyecto CERES de la Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, contenida en el artículo 81 de la Ley 66/97, de medidas fiscales, administrativas y de orden social para 1998, y desarrollada por el Real Decreto 1317/2001, de 30 de noviembre.
correctamente en nuestra opinión, a tenor de los argumentos que – sobre el Proyecto – realizamos a continuación7.
En el caso de la firma de Notarios y Registradores, el artículo 108 de la Ley 24/2001, de 27 de diciembre, que es la normativa a la que hay que atender a partir de la referencia contenida en la disposición adicional primera del Proyecto, establece el principio general de adecuación de la firma electrónica de Notarios y Registradores a la legislación de firma electrónica, en los siguientes términos:
“La prestación de servicios de certificación se hará de conformidad con lo dispuesto en el Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica, a efectos de expedir certificados electrónicos mediante los que se vinculen unos datos de verificación de firma a la identidad, cualidad profesional, situación administrativa de los notarios y registradores de la propiedad, mercantiles y de bienes muebles en activo así como la plaza de destino asignada. Reglamentariamente se desarrollarán los requisitos a que hayan de someterse los dispositivos técnicos de creación y verificación de firma electrónica, la forma en que deban ser generados y entregados a sus titulares, las menciones que deban contener los certificados, el procedimiento y publicidad de su vigencia, suspensión o revocación, en el marco del citado Real Decreto-ley y del principio de libre acceso a la actividad de prestación de servicios de certificación”.
Asimismo, el artículo 109 abunda en las características de lo que denomina “régimen especial de la firma electrónica de Notarios y Registradores de la Propiedad Mercantiles y de Bienes Muebles”, debiendo ser firma electrónica avanzada “amparada por un certificado reconocido emitido por un prestador de servicios de certificación acreditado, de conformidad con lo dispuesto en el Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica, y en la presente disposición”.
A la vista de los citados artículos, parece claro que existe una remisión, desde la normativa notarial, hacia la legislación general de la firma electrónica.
Por su parte, el Proyecto devolvía dicha referencia, mediante una remisión y, al mismo tiempo, exclusión en bloque, a la Ley 24/2001, estableciendo un reenvío circular que dificulta la aplicación.
En efecto, en caso de conflicto entre el desarrollo reglamentario de conceptos como “certificado reconocido” o “dispositivo seguro”, por ejemplo, debemos preguntarnos qué normativa se habría de aplicar con preferencia. En nuestra opinión, este potencial conflicto se ha de solventar atendiendo al juego de la norma especial y la norma general. De este modo, la Ley de firma electrónica ha de constituir una base común, de obligado cumplimiento para todos los prestadores, mientras que la Ley 24/2001 permite elevar el nivel de seguridad y calidad, atendiendo a las particularidades de la prestación en el entorno notarial y registral.
En ningún caso se podría justificar que la Ley 24/2001 permitiese a los prestadores de servicios de certificación que regula no cumplir los requisitos generales de la Ley de firma electrónica.
7 Comentarios remitidos por los autores a todos los Grupos parlamentarios, dentro del
documento de “Propuesta de enmiendas al Proyecto de Ley de Firma Electrónica, realizada por la Agència Catalana de Certificació”, de 22 de julio de 2003.
Veamos el desarrollo de estas afirmaciones:
1) La primera parte del texto proyectado se podría haber integrado en el artículo 1.3 del Proyecto, quedando el texto siguiente: "3. Lo dispuesto en esta Ley se entiende sin perjuicio de lo establecido en la legislación reguladora de la incorporación de las técnicas electrónicas, informáticas y telemáticas a la seguridad jurídica preventiva. Asimismo, no sustituye ni modifica las normas que regulan las funciones que a los Notarios corresponden para dar fe en documentos o para su autorización, intervención o elevación a públicos y las funciones de calificación de los Registradores de la Propiedad, Mercantiles y de Bienes muebles."
El objeto de integrar el texto en el artículo primero no era otro que indicar que el uso de la firma electrónica por los Notarios y Registradores viene regulado en la legislación correspondiente, que en este caso es la Ley 24/2001 (y las modificaciones que ha operado en la restante normativa reguladora de la actuación notarial y registral).
Esta referencia expresa no sería necesaria en puridad, dado que tratándose de un sistema de firma electrónica propio, con necesidades específicas y tratamiento adicional al general previsto en la Ley, es lógico que las mismas se recojan en la correspondiente normativa específica, que no excluye la aplicación de la norma general, sino en el caso de que fueran contradictorias8.
No se trata de un caso único el de la regulación de la firma electrónica de Notarios y Registradores, sino que lo mismo sucede en otros escenarios de firma electrónica "pública", entendida en sentido amplio como el uso de la firma electrónica por las Administraciones públicas, con independencia de que el ejercicio de la actividad se delegue a personas privadas.
La segunda parte del primer párrafo del artículo se debía conservar como "advertencia" a los que pudieren pensar que un prestador de servicios de certificación puede otorgar un instrumento sustitutivo de la fe pública, apartado que - por evidente - no precisa explicación.
En nuestra opinión, el tratamiento del uso de la firma electrónica por Notarios y Registradores debería haberse realizado mediante el expediente - previsto en el RDL 14/99 y en el Proyecto - de las "condiciones adicionales del uso de la firma electrónica", puesto que el análisis de la Ley 24/2001 muestra de forma meridianamente clara que eso es lo que se pretende, a la luz de lo establecido en el artículo 108, que proclama en su título la necesaria "adecuación a los principios rectores de la firma electrónica", para indicar en el cuerpo del artículo que "La prestación de servicios de certificación se hará de conformidad con lo dispuesto en el Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica, a efectos de expedir certificados electrónicos mediante los que se vinculen unos datos de verificación de firma a la identidad, cualidad profesional, situación administrativa de los notarios y registradores de la propiedad, mercantiles y de bienes muebles en activo así como la plaza de destino asignada".
A continuación, la segunda parte del artículo 108 y el artículo 109 regulan las condiciones adicionales en el uso de la firma electrónica dentro del ámbito notarial y registral (es decir, en relación con la denominada seguridad jurídica preventiva),
8 Finalmente, el texto de la Ley ha eliminado la referencia a que la Ley se entiende sin
perjuicio de lo establecido por la Ley 24/2001, de forma correcta, en opinión de los autores.
condiciones que se concretan en la determinación reglamentaria de los procedimientos del ciclo de vida del certificado (cualificación especial del suscriptor del certificado, inclusión de un atributo específico del firmante, certificado reconocido expedido por prestador acreditado, límite de uso de la firma electrónica, etc).
En concreto, hay que resaltar el hecho de que el prestador de servicios de certificación puede ser – de acuerdo con el texto legal vigente – cualquier entidad, dado que se proclama el principio de libre acceso a la actividad de prestador de servicios de certificación, en línea con el RDL 14/99; es decir, cualquier entidad que disponga del necesario convenio con los Colegios correspondientes, al objeto de poder obtener la información referida a la condición de Notario o Registrador, de acuerdo con el artículo 109.4.
Teniendo todo lo anterior en cuenta, lo mejor hubiera sido crear un sistema voluntario de acreditación que, de acuerdo con la Directiva europea, permitiera a la entidad supervisora del mismo (que puede ser una entidad pública o privada) exigir a los prestadores que deseen operar dentro del ámbito regulado por el sistema voluntario de acreditación una licencia previa, junto al cumplimiento de determinadas condiciones. Esta posibilidad no se ha fomentado, sin embargo, en la normativa española, dado que en el vigente RDL sólo el actual Ministerio de Ciencia y Tecnología podía acreditar a través de un único sistema, lo que ha causado dudas acerca de su voluntariedad.
Sería deseable recuperar los sistemas (múltiples, públicos o privados) voluntarios de acreditación, para poder establecer sistemas propios de firma electrónica (limitados al entorno regulado), como el notarial y registral, para poder autorregular, dentro de las normas básicas contenidas en la legislación de firma electrónica, condiciones adicionales para un entorno dado de servicio (en este caso, la seguridad jurídica preventiva).
Con esto, debería quedar claro que nuestra opinión es que el certificado del Notario o del Registrador no es independiente y aislado de la Ley de firma electrónica, sino que debe cumplir las normas básicas para, después, exigir las condiciones adicionales que se consideren apropiadas y que principalmente son dos:
a) La condición profesional
b) La limitación de uso de la firma electrónica al entorno profesional
Ello dado que se trata de un "certificado corporativo" y, como tal, limitado a los usos regulados profesionalmente y al código deontológico de actuación profesional.
Por tanto, estimamos que los conceptos generales como "certificado reconocido", "dispositivo seguro de creación de firma electrónica", etc, deben entenderse de acuerdo con la Ley de firma electrónica, y que no es función de la Ley 24/2001 (ni opinamos que lo haya pretendido nunca) crear un sistema propio de certificados para Notarios y Registradores, al margen del régimen general.
2) En segundo lugar, en su día propusimos la desaparición del texto "ni las normas que regulan la actuación del Consejo General del Notariado y del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles, en su función de prestadores de servicios de certificación para los exclusivos fines de atribución de firma electrónica a dichos funcionarios."
Este texto nos parecía inapropiado, por diversos motivos:
a) En primer lugar, en la Ley 24/2001, como hemos comentado anteriormente, se habla de "los prestadores de servicios de certificación", que deben cumplir ciertas condiciones adicionales, pero no del Consejo General del Notariado y del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles. Aunque es de suponer que estas entidades vayan a ser los prestadores del servicio, existe la posibilidad de que otros prestadores – con el correspondiente convenio, como dijimos – cumplan esta función. Y si no es ésta la intención, entonces no se entiende la proclama del principio de "libre acceso a la actividad de prestador de servicios de certificación" que realiza el artículo 108 in fine de la Ley 24/2001.
b) En segundo lugar, cualquier prestador que expida certificados corporativos a Notarios y Registradores (bien el propio Colegio, bien una tercera entidad habilitada para ello mediante convenio) deberá limitar el uso de dichos certificados para el uso profesional, como impone de forma meridianamente clara el artículo 109.c) de la Ley 24/2001. Se trata ésta, como también hemos indicado antes, de una de las condiciones adicionales fundamentales del sistema, que debería formar parte esencial del sistema voluntario de acreditación que se pudiere arbitrar, a los efectos de "acreditar" a los prestadores de servicios de certificación que expidan certificados corporativos a Notarios y Registradores.
c) En tercer lugar, dado que el prestador de servicios de certificación debe cumplir la ley de firma electrónica y las condiciones adicionales establecidas por la Ley 24/2001, como hemos visto que sucede, cabe preguntarse si la existencia de este texto supone la exoneración del Consejo General del Notariado y del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles respecto al cumplimiento de la Ley de firma electrónica, cosa que no sería posible en ningún caso, porque las normas que regulan la actuación de dichas entidades (esto es, los artículos 108 y 109 de la Ley 24/2001 y su normativa reglamentaria de desarrollo) no lo permiten.
Por otra parte, admitir que el Consejo General del Notariado y el Colegio de Registradores puedan recibir un tratamiento diferente al exigible a los "prestadores de servicios de certificación" indicados en la Ley 24/2001, que como también hemos visto, pueden - al menos en la teoría - ser diferentes a dichas entidades, resultaría contrario al proclamado principio de libre acceso a la actividad y, por tanto, discutible.
Así, el tratamiento general como prestador de servicios de certificación ha de ser el mismo para el Consejo General del Notariado y para cualquier otro prestador, porque de este modo lo ha querido la Ley 24/2001, que en su artículo 108 establece una remisión indiscutible y directa a la ley de firma electrónica, tal como hemos ido repitiendo.
La conclusión ha de ser que las normas que regulan la actuación del Consejo General del Notariado y del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles van a ser afectadas por la ley de firma electrónica y, en concreto, por la normativa de desarrollo y ejecución de los aspectos generales de la certificación y la firma electrónica, pues de otro modo el Consejo General del Notariado y el Colegio de Registradores estarían viviendo en un mundo paralegal, desconectado de la normativa de firma electrónica.
Ello no afectaría a la regulación de las condiciones generales, en especial el uso de la firma electrónica en el ámbito de la seguridad jurídica preventiva, dada la referencia contenida al inicio del propuesto artículo 1.3 ("Lo dispuesto en esta Ley se entiende sin perjuicio de lo establecido en la legislación reguladora de la incorporación de las técnicas electrónicas, informáticas y telemáticas a la seguridad jurídica preventiva").
De nuevo, por tanto, estimamos que la interpretación correcta es que la Ley 24/2001 – ley especial – regula las condiciones adicionales (para todo prestador, Consejo General del Notariado, Colegio de Registradores o tercero habilitado), y merece pleno respeto, mientras que la Ley de firma electrónica – ley general – también resulta aplicable en su integridad.
d) Finalmente, respecto al hecho de que la eliminación del texto "ni las normas que regulan la actuación del Consejo General del Notariado y del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes muebles, en su función de prestadores de servicios de certificación para los exclusivos fines de atribución de firma electrónica a dichos funcionarios" permita a dichas entidades entrar en el mercado a proveer certificados a particulares, entendíamos que, dado que se trata de una referencia genérica, es en la Ley 24/2001 donde debía resolverse esta cuestión y, a tenor de la misma, no parece existir una habilitación para prestar este servicio con las garantías de la fe pública.
Esto es así exista o no este texto, y con independencia de quién sea el prestador del servicio de certificación, y tampoco impide emplear otros mecanismos tradicionales para que ante Notario se pueda legitimar la firma de una solicitud de servicio de certificación, como de hecho prevé expresamente el proyecto de ley de firma electrónica. Por tanto, de nuevo el texto era innecesario en opinión de los autores.
La Disposición Adicional 1ª de la Ley 59/2003 no recoge, finalmente, el texto controvertido, de forma correcta según nuestra opinión , de modo que cabe afirmar sin reservas que los prestadores que otorguen la firma electrónica a Notarios y Registradores debe cumplir todas y cada una de las prescripciones de la Ley de firma electrónica.
Por otra parte, nada impide formalmente la posibilidad de que Notarios y Registradores actúen en el libre mercado, como prestadores de servicios de certificación para personas físicas y jurídicas, siendo en el campo de los certificados de apoderados y de personas jurídicas donde pueden tener un mejor posicionamiento inicial.
2.1.4 La firma de la FNMT-RCM
En el caso del DNI y el certificado emitido por la FNMT-RCM (CERES), resulta inadmisible, desde la perspectiva de la eficiencia y eficacia públicas, que en la Administración General del Estado existan dos certificados, el certificado absolutamente obligatorio (DNI) y otro certificado, que también tiene vocación de uso general (CERES).
La función certificadora de ciudadano que cumple, en régimen de libre concurrencia9, la FNMT-RCM debería desaparecer con la llegada del DNI electrónico o reconvertirse en un servicio absolutamente sujeto a la Ley 59/2003, como si de un prestador más se tratase.
Por tanto, cuando se introduzca el DNI electrónico, lo procedente sería la derogación del artículo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativa y del Orden Social, y la reconversión del proyecto CERES, si se desea, a un modelo de mercado, con respeto a la concurrencia y a las reglas de la
9 Como establece, de forma reiterativa, la normativa reguladora del proyecto CERES.
competencia efectiva, cumpliendo todas las obligaciones de los prestadores de servicios de certificación.
En concreto, la FNMT-RCM debería, como los restantes prestadores de servicios de la sociedad de la información, disponer de certificados reconocidos, emplear dispositivos seguros de creación de firma y abonar el seguro de responsabilidad civil o de caución, entre otras obligaciones. Por supuesto, y quizá se trata de la obligación más importante a cumplir por la FNMT-RCM, la información de revocación de los certificados debe encontrarse inmediatamente disponible para los verificadores de los certificados.
Adicionalmente, se habría de replantear la cuestión del modelo de negocio, dado que actualmente el sistema CERES es un sistema supuestamente cerrado, que no suministra acceso gratuito a la información de revocación, punto en el que infringe completamente la normativa de firma electrónica vigente, que establece esta obligación para todos los prestadores de servicios de certificación (artículo 11.e RDL 14/99), al igual que contempla la Ley analizada.
En este estado de cosas, resulta injustificable la actuación de la FNMT-RCM, condicionando el suministro de información de las listas de revocación de certificados, al previo pago de una cuota global asociada al número de ciudadanos tutelados por una Administración Pública que desee utilizar los certificados emitidos a ciudadanos por la FNMT-RCM. Y tan o más grave es el hecho de que la FNMT-RCM pueda cobrar a empresas privadas un canon económico, sin sujeción a normativa alguna sobre tasas o precios públicos, por el derecho a verificar la vigencia de los certificados.
En este estado de cosas, nos encontraríamos ante una situación de monopolio de facto, en el cual servicios de inferior calidad y seguridad – certificados ordinarios en lugar de reconocidos, con ausencia del dispositivo seguro de creación de firma, inferiores garantías económicas en caso de fraude, etc. – reciben un efecto equivalente o incluso superior en determinados ámbitos – como el tributario-, debido al efecto prescriptivo de su aceptación ante Hacienda, Departamentos Ministeriales, sus Organismos públicos y ante diversas Comunidades Autónomas.
Además, la Ley recoge en su Disposición adicional quinta una modificación del artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, por el que se autorizó a la FNMT-RCM a prestar los servicios, en virtud de la cual “en el ejercicio de las funciones que le atribuye el presente artículo, la Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda estará exenta de la constitución de la garantía a la que se refiere el apartado 2 del artículo 20 de la Ley 59/2003, de Firma Electrónica”.
2.1.5 La firma avanzada de la factura telemática
En el caso de la firma avanzada que se empleará en la facturación telemática, no es necesario que la Ley de firma electrónica se refiera a que la regulación que contiene se entiende sin perjuicio de la normativa que regula el uso de la firma electrónica avanzada en la factura telemática, dado que son cuestiones diferentes.
El Ministerio de Hacienda, como cualquier órgano administrativo con competencias en una determinada materia, tiene capacidad normativa – dentro del respeto al principio de legalidad – para regular dicha función.
El artículo 4 de la Ley 59/2003 recoge explícitamente la posibilidad que tienen las Administraciones Públicas para establecer condiciones adicionales en relación con el uso de la firma electrónica en el procedimiento, texto que no innova el ordenamiento jurídico, dado que el artículo 45 y los concordantes de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común ya permitía esta posibilidad, perfectamente razonable, por otra parte.
Así, cuando la Administración tributaria regula las condiciones de producción de un documento como la factura, lo hace dentro de sus competencias legalmente establecidas, en concreto en materia de supervisión y control, y por tanto puede – dentro del principio de legalidad – regular las condiciones de producción de las facturas, estableciendo requisitos adicionales.
La posibilidad de producir facturas telemáticas sencillamente empleando una firma electrónica avanzada proviene de la Directiva 2001/115 del Consejo, de 20 de diciembre de 2001, que modifica la Directiva 77/388/CEE con objeto de simplificar, modernizar y armonizar las condiciones impuestas a la facturación en relación con el impuesto sobre el valor añadido, facultando a los Estados miembro a exigir, como condiciones adicionales, al menos un certificado reconocido y un dispositivo seguro de creación de firma; es decir, que los Estados miembros tienen la posibilidad de exigir la firma electrónica avanzada de la factura o la firma electrónica reconocida10 de la factura.
De esta forma ha sucedido en España, donde la normativa vigente exige el empleo de un certificado reconocido y de un dispositivo seguro de creación de firma, aclarando específicamente que por dispositivo seguro de creación de firma se puede entender un módulo criptográfico normalizado de un sistema operativo como el de Microsoft.
2.2 Desconocimiento del ámbito de aplicación objetiva
Un análisis somero del contenido de la Ley 59/2003 muestra que el objeto de la misma se encuentra definido de forma defectuosa, lo que afecta de forma muy importante a la seguridad jurídica, que empieza por la posibilidad de entender la norma y determinar su ámbito de aplicación.
En primer lugar, entendemos que esta Ley regula la eficacia general de la firma, frente a la eficacia concreta que puede tener un contrato de firma electrónica entre dos particulares, que pueden someterse a esta ley, o no.
De hecho, no parece necesaria una Ley de firma electrónica para que los particulares puedan proceder a definir y emplear un sistema de firma electrónica, con todos los efectos jurídicos que sean necesarios, al amparo de la libertad contractual consagrada en el artículo 1.255 del Código Civil español.
Esta posibilidad, que en otro lugar11 hemos denominado “firma electrónica convencional”, es independiente del reconocimiento jurídico de la firma electrónica, y el único beneficio que recibe de la existencia de una institución típica de firma electrónica (que es la firma electrónica avanzada basada en certificado reconocido y producida mediante dispositivo seguro de creación de firma, también denominada por la doctrina12 y ahora, por fin también, por la Ley 59/2003 como “firma electrónica
10 Recuérdese que la doctrina ha venido hablando de la firma reconocida como un tipo
especial de firma electrónica avanzada de calidad, basada en certificado reconocido y producida mediante dispositivo seguro de creación de firma, término que el Proyecto por fin recoge. Vid, por todos, Alamillo Domingo, Ignacio. “Tipología de la firma electrónica”. Revista de Contratación Electrónica número 23. Enero 2002.
11 Alamillo Domingo, Ignacio y Rubio Velázquez, Raúl. “Firma electrónica y certificación digital”, Internet: Claves legales para la empresa. Civitas. 2002.
12 Vid nota 8.
reconocida”) es la posibilidad que tienen las partes de adherirse a dicha institución típica en lugar de negociar los aspectos jurídicos y técnicos de la firma electrónica que vayan a emplear.
Por supuesto, esta libertad contractual de las partes se encuentra sujeta a los límites generales y específicos de los contratos y, en especial, es necesario valorar que en contratos con condiciones generales o con consumidores la cláusula de firma electrónica convencional cumpla los requisitos de legalidad que permitirán calificar la citada cláusula como incorporable al contrato y no abusiva.
Dicho beneficio también se pone de manifiesto con el análisis del riesgo –elevadísimo – que supone la utilización de la firma electrónica convencional frente a los costes de adquisición y uso de una firma electrónica reconocida. Sin embargo, un análisis del mercado muestra que no existe actualmente ninguna aplicación en el sector privado donde se haya aplicado este criterio, de modo que la firma electrónica convencional se emplea, irónicamente, como mecanismo de huida legal de la institución típica de la firma, que jamás se emplea13.
En la línea que se ha comentado, el artículo 3.10 de la Ley 59/2003 establece que “a los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas”.
Por el contrario, el uso de la firma electrónica en aquellos ámbitos donde las leyes españolas (o las leyes de otros Estados seleccionadas por las normas españolas de Derecho internacional privado que hagan referencia al requisito de la firma escrita) exijan la firma escrita de forma imperativa, es decir, realmente obligatoria, sólo puede llevarse a cabo mediante la institución típica de la firma electrónica, que es la única firma que sustituye la firma manuscrita. Se trata de la aplicación de la firma electrónica reconocida, la única que justifica realmente la existencia de una regulación como la Ley 59/2003.
Abundando en la autorregulación del uso de la firma electrónica, entendemos que existe la necesidad de regular, mediante un instrumento jurídico apropiado, el uso de la firma electrónica que no tiene la consideración de reconocida, como veremos posteriormente.
En segundo lugar, la Ley 59/2003 no sólo es aplicable en el ámbito del Derecho Privado, sino que establece bases administrativas, afectando incluso a la Ley 30/1992. Con tal pretensión de norma básica , la Ley 59/2003 debería indicar los preceptos de su articulado que tienen el carácter de básicos, al objeto de su posterior desarrollo por las Comunidades Autónomas o las entidades que integran la Administración local.
A entender de los autores, los artículos básicos del proyecto de norma son los siguientes:
- Los artículos del Título I, excepto el artículo 4.3 y 4.4
13 En lugar de la firma digital SHA-1withRSA (como expresión firma electrónica
avanzada) basada en certificado X. 509v3 (con cumplimiento de los requisitos para que pueda calificarse como certificado reconocido) y producida mediante tarjeta criptográfica CEN CWA 14169 (dispositivo seguro de creación de firma electrónica), se emplea una contraseña o PIN de 4 dígitos en la banca electrónica. Cuando la transacción lo requiere, se “eleva” la seguridad mediante… ¡un segundo PIN de 4 dígitos!.
- Los artículos del Título II, excepto el párrafo segundo del artículo 13 y el contenido del capítulo III
- Los artículos del Título III, excepto el contenido del capítulo II
En tercer lugar, entendemos que la Ley 59/2003 simplemente “aprueba” el DNI electrónico pues la regulación del DNI electrónico que realiza es inexistente, remitiéndose a “su normativa específica”.
Por todos estos motivos, entendemos que el texto del artículo 1 de la Ley debería haber tenido la siguiente redacción: “1. Esta Ley regula la firma electrónica, su eficacia jurídica general, las bases del empleo de la firma electrónica por las Administraciones Públicas, la prestación de servicios de certificación, y aprueba el Documento Nacional de Identidad electrónico”, en lugar de la actual (“Esta Ley regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación”).
2.3 Incompleta definición del ámbito de aplicación subjetiva
La Ley, por el objeto que regula, que es el uso y los efectos de la firma electrónica, se dirige a todos los españoles, y en cuanto a los certificados digitales, se aplica a los prestadores de servicios de certificación. El artículo 2, sin embargo, únicamente concreta ciertos criterios para determinar qué prestadores en concreto quedan sujetos al Proyecto.
Por ello, estimamos que el título del artículo 2 debería haber sido el de “Ámbito subjetivo de aplicación” en lugar del actual de “Prestadores de servicios de certificación sujetos a la ley”, por los siguientes motivos:
1) En primer lugar, resulta más correcto hablar de ámbito de aplicación subjetivo que de prestadores de servicios de certificación, pues la ley se dirige, más que a los prestadores de servicios de certificación, a todas las personas, de acuerdo con el objeto de la regulación proyectada, que efectivamente es la prestación de los servicios, pero también el uso de la firma electrónica (se entiende que por personas diferentes a los prestadores de servicios de certificación).
En caso contrario, nos encontraríamos ante el absurdo de que la única firma cuyo uso regula la ley es la que estampa el prestador del servicio dentro del certificado que expide.
2) Uno de los elementos más importantes – y poco tratado – de la regulación es la determinación del sujeto que usa la firma (bien porque la genera o porque la verifica), determinación que requiere el esfuerzo de determinar en qué casos va a ser aplicable la ley española.
Por supuesto, las normas de Derecho internacional privado nos ofrecen cumplida respuesta , determinando que la firma, como requisito de forma que es, viene regida principalmente por la ley del lugar de celebración (lex loci celebracionis). Por ejemplo, en caso de consumidor residente en España, la firma de sus contratos de consumo va a ser regulada por el derecho español, aún cuando el certificado haya sido expedido por prestador extranjero y el propio consumidor sea extranjero.
Existen otros puntos de conexión para determinar la ley aplicable a la firma, e incluso la conexión subsidiaria que permite aplicar la lex contractus; es decir, la ley
elegida por las partes para el contrato. Evidentemente, sólo en el caso de que la ley española sea aplicable, se valora la existencia y efectos de dicha firma conforme a nuestra legislación.
La regulación y “reconocimiento” del certificado se realizan al margen de la ley aplicable al negocio jurídico, acto o contrato en que se utilice la firma, pues aquellos se rigen por la ley del prestador del servicio y el reconocimiento mutuo que sostiene la libre circulación de los certificados dentro del mercado interior.
La propia Directiva europea establece con meridiana claridad, en su considerando 17, que “la presente Directiva no pretende armonizar las legislaciones nacionales sobre contratos, en particular por lo que respecta al perfeccionamiento y eficacia de los mismos, ni tampoco otras formalidades de naturaleza no contractual relativas a la firma; por dicho motivo, las disposiciones sobre los efectos legales de la firma electrónica deberán entenderse sin perjuicio de los requisitos de forma establecidos por las legislaciones nacionales en materia de celebración de contratos, ni para las normas que determinan el lugar en que se considera celebrado un contrato”.
Como ejemplo, podemos poner el del ciudadano alemán residente habitual en España que adquiere, a título de consumidor, un producto mediante la aceptación de unas condiciones generales de un comercio francés usando su firma electrónica avanzada basada en certificado reconocido expedido en Italia y producida mediante dispositivo seguro de creación de firma (ambos válidos de acuerdo con la legislación italiana): la ley aplicable al negocio es la española, porque es la ley de la forma del contrato, pero para determinar si el certificado es reconocido y si el dispositivo es seguro debemos acudir a la legislación italiana; en caso afirmativo, la ley española da efectos a la firma, efectos que son válidos en todos los países del mundo.
Del mismo modo, por más que un nacional español tenga DNI, la función de firma del mismo quedará regulada por la ley del lugar de celebración, de modo que el español residente en Reino Unido sólo podrá firmar si el DNI es certificado reconocido en dicho país.
Esto no afecta a la función de identificación, donde no hay dudas acerca de la aceptación sin discusión del DNI, al menos dentro de Europa.
Por este motivo, entendemos que debería haberse añadido un nuevo párrafo primero al artículo 2 de la Ley, durante su tramitación parlamentaria, con el siguiente texto: “1. La presente Ley se aplicará a las personas físicas o jurídicas que generen o verifiquen firmas electrónicas, cuando a dichas firmas resulte aplicable la legislación española, determinada conforme a las normas españolas de Derecho Internacional Privado.”
3. Crítica al modelo de roles definido en la Ley
3.1 El rol de prestador de servicios: Descoordinación con la LSSI-CE
Uno de los puntos más criticables de la Ley de firma electrónica, desde una perspectiva jurídica, es la profunda descoordinación de la misma con la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.
La Ley se aplica, además de a todas las personas que generen y verifiquen firmas, a los prestadores de servicios de certificación digital, dado que su importante papel de intermediarios de la confianza en las relaciones públicas y privadas por medios electrónicos, informáticos y telemáticos exige la regulación de su estatuto de funcionamiento, derechos y obligaciones.
La Ley debe aplicarse a los prestadores que operen en España, dentro del ámbito normativo coordinado definido por la Directiva 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), así como por la Ley 34/2002, de 11 de julio, de servicios de la sociedad e la información y del comercio electrónico (LSSI-CE).
Los servicios de certificación son servicios de la sociedad de la información, de acuerdo con la definición de los mismos que realiza la Directiva 98/48/CE del Parlamento Europeo y del Consejo, de 20 de julio de 1998, incorporada al Derecho español por el RD 1337/1999, de 31 de julio, por el que se regula la remisión de información en materia de normas y reglamentaciones técnicas y reglamentos relativos a los servicios de la sociedad de la información, hoy contenida y actualizada por la LSSI-CE.
Por este motivo, debe aplicarse a este tipo de prestación de servicios las mismas reglas, y no otras, que las contenidas en los artículos 2, 3 y 4 de la citada LSSI-CE (establecimiento en España, obligaciones de contratos con consumidores y stream-of-commerce o dirección de operaciones comerciales al mercado español).
Asimismo, cabe considerar que, tratándose la Ley 59/2003 de una norma que contiene prescripciones protectoras de los consumidores (en especial el régimen de responsabilidad de los prestadores que expiden al público) la ley aplicable es la ley del país de destino; es decir, del mercado en el que opera el prestador del servicio.
En todo caso, incluso tratándose del marco de libre prestación del servicio, las normas de Derecho Internacional Privado español van a determinar la aplicación obligatoria de las normas españolas aplicables a la ley del contrato y a la jurisdicción competente; lo cual es aplicable a la provisión de certificados digitales a consumidores. A este respecto, cabe recordar que la aplicación del artículo 29 de la LSSI-CE va a suponer que el acto de consumo formalizado mediante la adhesión contractual se produce en España cuando se trata de un residente en España, con independencia de la nacionalidad.
La ley rectora de la prestación del servicio debería ser, en este caso, la ley del prestador corregida por la ley del consumidor, que es precisamente lo que viene a decir la LSSI-CE y la normativa vigente de Derecho Internacional Privado.
Los servicios de certificación no se encuentran excluidos, finalmente, ni de la Directiva 2000/31/CE ni de la LSSI-CE.
En conclusión, la aplicación de la ley española al prestador de servicios de certificación ha de darse en los mismos casos que los restantes prestadores de servicios de la sociedad de la información.
Por este motivo, se hubiese debido sustituir el texto “establecidos en España y a los servicios de certificación que los prestadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España” por el más adecuado de “2. La Ley también se aplicará a los prestadores de servicios de certificación, determinados de acuerdo con las prescripciones del capítulo II del Título I de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.”, de modo que se tratan de forma coherente los servicios de certificación, como servicios de la sociedad de la información, que también lo son.
Nótese que esta propuesta era de un apartado 2, pues incluía la renumeración del apartado, dado que se había propuesto un primer apartado que incluyera en el ámbito de aplicación de la norma a las personas que generan y verifican firmas.
En consonancia con lo anterior, se proponía la supresión, por reiterativos, de los apartados siguientes del artículo 2 “3. Se entenderá que un prestador de servicios de certificación está establecido en España cuando su residencia o domicilio social se halle en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios. En otro caso, se atenderá al lugar en que se realice dicha gestión o dirección.
4. Se considerará que un prestador opera mediante un establecimiento permanente situado en territorio español cuando disponga en él de instalaciones o lugares de trabajo en los que realice toda o parte de su actividad de forma continuada o habitual.
5. Se presumirá que un prestador de servicios de certificación está establecido en España cuando dicho prestador o alguna de sus sucursales se haya inscrito en el Registro Mercantil o en otro Registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.
6. La mera utilización de medios tecnológicos situados en España para la prestación o el acceso al servicio no implicará, por sí sola, el establecimiento del prestador en España.”
Huelga decir que las restantes prescripciones de la LSSI-CE resultan igualmente aplicables a los prestadores de servicios de certificación, aunque la Ley de firma electrónica guarde un absoluto silencio al respecto.
En efecto, hay que recordar que el artículo 3.4 de la LSSI-CE determina que “los prestadores de servicios de la sociedad de la información establecidos en España estarán sujetos a las demás disposiciones del ordenamiento jurídico español que les sean de aplicación, en función de la actividad que desarrollen, con independencia de la utilización de medios electrónicos para su realización”.
3.2 El modelo de roles de usuario
La Ley 59/2003 parte de la clásica configuración del firmante como la persona que está en posesión de un dispositivo de creación de firma y que actúa en su propio nombre o en el de la entidad o persona física o jurídica a la que representa (art. 6.2).
Este modelo no responde a la realidad, donde junto al firmante pueden existir otros sujetos que intervienen en el proceso de posesión y generación de la firma. En numerosas ocasiones esos diferentes sujetos y papeles pueden coincidir en una sola persona, pero igualmente cabe la posibilidad de que sean personas distintas las que intervengan en diferentes momentos.
Así, para dotar de mayor seguridad jurídica a las diferentes situaciones que se pueden producir en el tráfico jurídico, seria conveniente que cada una de las posibles situaciones fuera reconocida y regulada al margen de las restantes, clarificando al mismo tiempo la utilización de la firma electrónica.
Por ello, hubiera sido conveniente definir y regular las figuras de solicitante, como la persona que en nombre propio o en representación de otro solicita un certificado; suscriptor, como la persona que dispone del derecho de uso del certificado; y firmante, como la persona que genera la firma.
Aunque estos distintos roles parecen darse al margen de lo que sería la utilización estricta de la firma electrónica y que, aparentemente, se trata de situaciones que pueden escapar del objeto de la Ley, no es menos cierto que tiene una gran utilidad para la comprensión de la firma y el proceso de generación de la misma y, como indicaremos más tarde, por lo que se refiere a los certificados colectivos, sería de gran utilidad.
En ningún caso se vería afectada la seguridad jurídica pues ésta, en su concepto más extendido en nuestra doctrina y jurisprudencia, se caracteriza por las siguientes notas:
a) La certeza jurídica, desglosada en la certeza de la adecuación de la conducta propia y ajena a lo previsto en la norma, y en la certeza de existencia, referida a la posibilidad de conocer la existencia de una norma (objetivo que se consigue mediante la publicación de la norma en el BOE o Diario oficial correspondiente).
La certeza jurídica abarca también la previsibilidad jurídica, que permite conocer de antemano cuáles serán las consecuencias de cumplir (o incumplir la norma) y, desde luego, la firmeza del Derecho, protegida mediante los procesos formales de entrada en vigor y regulación transitoria de la norma.
Ninguna de estas notas se ve afectada negativamente (ni positivamente) por la opción entre la identidad solicitante/suscriptor/firmante o la separación de los roles, siempre y cuando (y esto es igual para cualquiera de las dos opciones) la norma defina correctamente el estatuto de derechos y deberes de cada rol.
b) La eficacia del Derecho, entendida como la garantía de la legítima expectativa de eficacia de la norma, aspecto éste que sí se ha venido violando sistemáticamente en el caso del RDL 14/99 vigente sobre firma electrónica, cuya ausencia de desarrollo ha frustrado las legítimas expectativas de los prestadores de servicios de certificación en cuanto al Registro de Prestadores, que jamás se ha organizado, en cuanto a la acreditación "voluntaria" (y única) por parte del ministerio, que tampoco se ha producido jamás, y en cuanto a la aceptación por todas las AA.PP de los certificados reconocidos.
Tampoco la nota de eficacia del Derecho sobre firma electrónica se ve afectada en sentido ninguno por la elección entre el modelo de rol único (solicitante/suscriptor/firmante) o de roles segregados.
c) Finalmente, la ausencia de arbitrariedad constituye una nota esencial de la seguridad jurídica, al que ayuda la regulación dispar, inconsistente y en muchos casos redundante que en esta materia se está produciendo actualmente incluso dentro de la Administración General del Estado, donde diferentes departamentos ministeriales regulan de forma autónoma e independiente el uso de la firma electrónica.
Tampoco la nota de arbitrariedad se ve afectada en sentido ninguno por la elección entre el modelo de rol único o el de roles segregados.
Por otro lado, la necesidad de segregar los roles de solicitante, suscriptor y firmante tiene diferentes justificaciones:
a) La firma electrónica no puede ser un acto personalísimo, porque no puede ser un acto personal. Se trata de una operación realizada mecánicamente, que dispone de muy elevadas garantías de seguridad, pero que nunca va a ser un acto personal.
b) La obtención de la firma electrónica por una persona física - consumidor o ciudadano - que actúa en su propio nombre se realiza perfectamente mediante el modelo de rol único. Sin embargo, la obtención de una firma electrónica por una persona física que trabaja en una sociedad mercantil no queda cubierta.
El resultado será que una empresa, que necesite dotar a sus trabajadores de firma electrónica, o bien se constituye como prestador de servicios de certificación, o bien ha de enviar a todos sus trabajadores a comprarse certificados al mercado o bien, simple y llanamente, deberá escapar de la Ley – no emitiendo certificados reconocidos - o renunciar a la firma electrónica segura, empleando nombres de usuario y contraseñas para trámites de baja conflictividad y riesgo, y el clásico papel y la más aún clásica escritura como soporte de los restantes trámites.
Ninguno de estos resultados es deseable y ninguno de ellos contribuye a incrementar la seguridad jurídica. Todo lo contrario, en un mundo donde las organizaciones adquieren todos los días instrumentos de identificación y autenticación para sus empleados, y dichos medios son tan válidos como la firma escrita (porque es como sucede en la práctica habitual desde hace años) la no previsión de este rol supone un pobre avance jurídico y una mínima apuesta por la firma electrónica reconocida.
Por ello, nuestra apuesta era a favor de un modelo de roles en el que solicitante, suscriptor y firmante recibieran un tratamiento diferente, apropiado a sus funciones en relación con los procedimientos de firma electrónica, que de momento no ha sido acogido por nuestro legislador.
3.2.1 Confusión de los roles de suscriptor y firmante
1) En consonancia con el punto que se acaba de exponer, resultaba necesario aportar una definición de suscriptor, inexistente en el Proyecto y en la Ley finalmente aprobada:
“Se denomina suscriptor de certificado a la persona física o jurídica identificada en el certificado, que dispone del derecho de uso del certificado para generar firmas basadas en el mismo.”
El suscriptor de certificado es una persona física o también persona jurídica (y de hecho éste segundo caso será el más habitual), que tiene licencia (del prestador de servicios de certificación) para generar firmas. En algunos casos es también la persona identificada en el certificado14.
Esta diferenciación del suscriptor frente al firmante permite la existencia de certificados individuales o colectivos, donde el suscriptor es la empresa y el firmante, la persona física que trabaja o representa a la empresa. El concepto de suscriptor va más ligado a esta cuestión que al hecho de la producción de la firma.
Por otra parte, la definición no afecta a la existencia de un certificado de persona jurídica en el que no se considera que firme ninguna persona física, sino directamente la propia persona jurídica.
Frente a los que opinan que la obtención y uso de la firma electrónica son actos personalísimos, entendemos que no hay que olvidar que la firma electrónica no es un acto personal e inmediato, sino artificial y mediato, dado que no se puede efectuar personalmente15, sino mediante unos medios técnicos de los que se ha de tener un elevado grado de control.
Por otra parte, en nuestra práctica jurídica son frecuentes los casos en que el suscriptor de un título es una entidad, que autoriza a una persona física identificada en dicho título, como legitimada para la realización de los actos cubiertos por el título (tarjetas de crédito corporativas).
Dada la neutralidad negocial de la Ley, limitar esta posibilidad no aporta más seguridad al tráfico, y en cambio proscribe de la Ley a los sistemas corporativos, laborales y administrativos de certificación. No es imaginable que la empresa pida al trabajador que salga al mercado a comprar un certificado para proteger los mensajes de correo de la empresa.
2) Frente a la figura del suscriptor, necesitábamos en la Ley una definición de firmante, para completar el modelo de roles necesario en la firma electrónica de acuerdo con lo expuesto con anterioridad, dado que firmante sería la persona física que controla el proceso de generación de firma, y su actuación determina la imputación de las firmas al suscriptor del certificado.
El texto podría haber sido el que sigue: “Se denomina firmante a la persona física a la que, en nombre propio o en representación de otro, emplee directamente o disponga del control de la utilización de un dispositivo de creación de firmas imputables a un suscriptor de certificado.”
En certificados individuales, esta persona coincide con el suscriptor de certificado, aunque no necesariamente con el solicitante. En certificados colectivos, como los de empresa, no coincide prácticamente nunca, porque suscriptor es la empresa y firmante, el trabajador.
Sin esta definición, se vuelve a reproducir la situación de que la empresa no sea titular del certificado por el que paga, que sin embargo utiliza el trabajador en el ámbito laboral.
14 En este mismo sentido se pronuncias las especificaciones técnicas voluntarias sobre
certificados reconocidos y de clave pública, TS 101456 y TS 102042, del Instituto Europeo de Normas de Telecomunicaciones.
15 Básicamente, porque todavía no podemos abrir una ventana al ciberespacio para introducir mano y bolígrafo y producir una firma.
Por otra parte, dado que existen tipos diferentes de dispositivos seguros de creación de firma, y que precisamente los más seguros no caben en la cartera (porque no son tarjetas), la firma se puede producir directamente o indirectamente, a través de un dispositivo seguro de creación de firmas, siempre que se disponga de un grado de control de dicho dispositivo suficiente para imputar dichas firmas al suscriptor.
Lo importante, pues, no es la producción personal de la firma que, por cierto, es imposible, sino el control efectivo del proceso de generación de la firma. Los sistemas basados en tarjeta tienen la ventaja indudable de la posesión física de la tarjeta por el firmante (que podrá ser el suscriptor del certificado, o no).
Sin embargo, esta mera ventaja no ha de suponer la discriminación de los restantes sistemas de generación de firma, que en muchos casos son más seguros que las propias tarjetas. Así, por ejemplo, los bienes de equipo o hardware certificados conforme a la especificación norteamericana FIPS 140-1/2 nivel 3 o conforme al Acuerdo del Taller de Firma Electrónica (eSign Workshop) del Comité Europeo de Normalización CEN CWA 14169 son dispositivo seguro de generación de firma, y pueden ser operados de forma remota por un firmante.
De este modo se ha conceptuado también en las especificaciones técnicas voluntarias europeas, y en concreto en el Acuerdo del Taller de Firma Electrónica (eSign Workshop) del Comité Europeo de Normalización CEN CWA 14170 y otros documentos relacionados.
En concreto, se cita expresamente la posibilidad de producción de la firma a distancia, en un dispositivo operado por un tercero, siempre y cuando se garanticen determinadas condiciones de seguridad. Este modelo implica que el firmante no dispone físicamente del dispositivo de generación de firma, pero indudablemente es quien controla de forma efectiva el proceso y, por tanto, se le puede imputar la firma.
De la existencia de estas posibilidades derivaba la propuesta que realizamos, acerca de la conceptuación del firmante como la persona (física) que o bien emplea directamente – caso de la tarjeta de firma – o bien dispone del control efectivo del dispositivo de firma – caso que cubre la activación remota de la firma electrónica.
3.2.2 Confusión de los roles de solicitante y futuro suscriptor
Otro de los puntos críticos de la Ley de firma electrónica es la identidad total que se propone entre los roles de solicitante de certificados y futuro suscriptor.
1) El texto precisaba de una definición de la persona que solicita el certificado, que no tiene por qué coincidir en todos los casos con el futuro suscriptor del certificado: por ejemplo, el apoderado ante Notario que acude a obtener un certificado para su representado.
Parte de las deficiencias del texto legal y de los problemas operativos y reales de la práctica tienen que ver con esta limitación, como puede suceder con los certificados de trabajadores de una empresa, que típicamente son solicitados por el representante de la empresa, y no por el trabajador.
Una definición para esta figura podría haber sido la siguiente: “Se denomina solicitante a la persona que, en nombre propio o en representación de otro, solicite un certificado.”
2) Por el contrario, futuro suscriptor, figura que no es necesario definir, es la persona que va a ser identificada en el certificado, o que va a obtener el certificado, o que ha de consentir en la cesión de los datos.
En diversos artículos de la Ley se cita al solicitante, cuando debería hablarse del futuro suscriptor: de este modo, en los artículos 11.1, 12.a), 13 o 18.b).
En todos estos artículos se cita al solicitante, pero debería mencionarse al que ha de devenir suscriptor. De otro modo, volvemos al modelo donde cada persona física ha de solicitar su propio certificado, con independencia de que dicho certificado sea individual (que en ese caso efectivamente sólo él debe poder pedir) o corporativo (que será solicitado por la organización correspondiente).
4. Crítica al modelo conceptual de la firma electrónica
4.1 La firma-e ordinaria no es firma, aunque puede servir como tal
La firma electrónica ordinaria (entendida como la firma que no es avanzada ni reconocida) tiene una enorme cantidad de aplicaciones posibles, de las cuales, la posible equivalencia con la firma escrita de una persona representa una muy pequeña parte.
Por ejemplo, la firma no reconocida se emplea habitualmente para proteger comunicaciones electrónicas entre ordenadores, sin que medie voluntad humana inmediata: los documentos de esta forma producidos se firman digitalmente a efectos de garantizar su inalterabilidad, pero no porque representen un acto humano: la analogía más correcta sería en este caso la de la “máquina plastificadora de documentos”.
Otra posibilidad es que se utilice una firma electrónica no reconocida como indicación de los actos externos que generan la apariencia de un acto jurídico válido: por ejemplo, el sello del Registro de salida de una notificación. El ciudadano, en este caso, no puede comprobar que el proceso interno de autorización del acto se ha cumplido, ni tiene el deber de verificar, por ejemplo, la firma del Alcalde ni del Secretario, ni la vigencia de los respectivos cargos – incluso aunque pueda hacerlo – de modo que el sello (externum corporis) deviene el elemento formal de validez y efectividad del acto.
En tercer lugar, la firma no reconocida se suele emplear para cumplir alguna –aunque no todas – de las funciones de la firma escrita, y en especial la función de autenticación de la identidad personal (que es diferente de la autenticación de un documento, del contenido del mismo, de la fecha y lugar de otorgamiento y de la capacidad relativa e información de las partes). Por ejemplo, la firma del correo electrónico garantiza la inalterabilidad del documento, al tiempo que permite determinar el autor. En ningún caso la aplicación de correo electrónico permite, de forma estándar, garantizar la prestación del consentimiento o suponer la aprobación del contenido del mensaje, aunque se puede modificar la aplicación para ello.
El término “autenticación” que se emplea en la versión española de la Directiva 99/93/CE, de firma electrónica (texto auténtico) nos parece más correcto para representar la funcionalidad típica de la firma ordinaria, que se corresponde con una de las funciones de la firma escrita, que es la constatación de la identidad de una persona a la que previamente hemos identificado: esto, y no otra cosa, es lo que significa el término “autenticar” en español, y precisamente es lo que permiten hacer las tecnologías susceptibles de encajar en esta definición, como la contraseña, diferentes técnicas criptográficas y, en especial, la firma digital.
Por ejemplo, cuando una entidad financiera desea relacionarse con su cliente a través de Internet, primero debe identificarle – presencialmente, en muchas ocasiones, requisito que se contiene en las Leyes de blanqueo de capitales, no en las de firma electrónica – y debe entregarle un elemento para reconocerle cuando se conecte: este elemento es la contraseña, y la presentación de la misma a la entidad financiera se denomina “procedimiento de autenticación”.
La prueba definitiva de que la contraseña no identifica, sin embargo, es que el cliente de la entidad financiera no puede usarla para identificarse ante una persona física o jurídica diferente de la propia entidad financiera. Por tanto, si no identifica fuera de ese entorno cerrado, la definición legal como medio de identificación es incorrecta y sólo puede producir confusión.
Si lo que debemos entender es que la expresión “pueden ser identificados como medio de identificación del firmante” ampara las limitaciones de los mecanismos de autenticación, que a veces identifican y a veces no, entonces la definición, además de confusión, genera una inseguridad jurídica que no resulta en absoluto aceptable.
A lo dicho cabe añadir que la “consignación” o “imposición” de una contraseña (firma electrónica ordinaria), con independencia de la autenticación de la persona, puede autenticar el documento; es decir, puede emplearse como mecanismo de autoimputación del documento y aprobación de su contenido, y sólo en ese caso se comporta como una verdadera firma.
Por este motivo, se debería haber eliminado del Proyecto de ley la referencia al firmante, y referir la autenticación tanto a la persona que firma como al documento que aprueba y al que se vincula con la firma, siguiendo también en este punto la Directiva 99/93/CE, de firma electrónica.
De este modo, el texto definitorio de la firma electrónica (ordinaria) hubiera sido el siguiente: “1. La firma electrónica es el conjunto de datos en forma electrónica consignados junto a otros o asociados con ellos, utilizados como medio de autenticación.”
Esta definición nos hubiese permitido considerar potencialmente como firma cualquiera de las variadas tecnologías de autenticación, aunque siempre teniendo en cuenta que se trata de una consideración en potencia, que se encuentra supeditada a que realmente cumpla todas las funciones de la firma escrita.
4.2 La firma-e “reconocida” no parece tener reconocimiento real
Uno de los elementos fundamentales para el desarrollo de los intercambios telemáticos es el necesario reconocimiento de la firma electrónica reconocida por todos los operadores en el tráfico jurídico, ya sean públicos o privados.
Una vez cumplidos los requisitos técnicos que permiten la consideración de una firma electrónica como reconocida, resulta desconcertante que no se ampare a esa firma dotándola no sólo de la equiparación con la firma manuscrita, sino también estableciendo la obligatoria aceptación y reconocimiento de la misma en todos aquellos actos o negocios jurídicos en que intervenga.
Es cierto que el artículo 3 del Real-Decreto Ley 14/1999 establecía ya, al regular los efectos jurídicos de la firma electrónica, la equiparación en cuanto al valor jurídico de la firma electrónica avanzada basada en un certificado reconocido y producida por un dispositivo seguro de creación de firma con la firma manuscrita. Pero esta equiparación se encuentra limitada tanto en el ámbito privado como en el público.
En el ámbito privado, la equiparación quedaría supeditada al juego de la autonomía de la voluntad, en la medida de que las partes consintieran la utilización de la firma electrónica como mecanismo de expresión del consentimiento. Por otro lado, las limitaciones en el ámbito público son todavía mayores, al limitar la utilización a aquellos procedimientos en que se autorice ésta y se respeten las condiciones adicionales que se impongan.
Una regulación moderna ha de intentar que esta problemática quede superada, permitiendo la utilización de los medios telemáticos que gocen del más alto nivel de seguridad en el más amplio círculo posible. Y esto sólo será posible a través de la imposición a los diferentes sujetos que intervienen en el tráfico jurídico, ya sean públicos o privados, de la obligatoria admisión de la firma electrónica (evidentemente habría de ser la reconocida) en las operaciones en que intervienen.
Evidentemente, esta obligatoriedad sólo puede imponerse por una norma con rango de ley y, tratándose del ámbito del Derecho Privado, el Código Civil es la norma más apropiada para recoger esa imposición, junto a una declaración de carácter general de necesaria aceptación de la firma electrónica.
De poco sirve decir que la firma electrónica vale lo mismo que la firma manuscrita, si no se prevé ninguna posibilidad real de uso de dicha firma electrónica.
Con la cobertura existente hasta la fecha, situación que se mantiene atendiendo al contenido de la Ley 59/2003 recientemente aprobada, los destinatarios de la norma deben necesariamente establecer un convenio privado o acogerse a una norma administrativa ad hoc de autorización del uso de la firma electrónica: sin embargo, si debemos hacer contratos o normas específicas, la firma electrónica reconocida ya no cumple la función a la que ha de atender, y el valor de la Ley queda limitado a ahorrar a las partes o a la Administración el trabajo de definir los requisitos del certificado y del dispositivo seguro, cosa que – como se ha visto en los pasados tres años y medio – no ha aportado ningún beneficio.
Por otra parte, en la normativa actual no se contemplan diversos aspectos fundamentales para la operatividad real de la firma electrónica:
a) No se establece el derecho de una persona a emplear su firma electrónica reconocida, mediante la obligatoriedad de la aceptación por los terceros
b) No se establece la necesidad de aceptar la firma electrónica reconocida
c) No se impone a las Administraciones Públicas ninguna obligación de emplear la firma reconocida como técnica general de identificación y autenticación en sus relaciones con los ciudadanos
Para solventar esta problemática, y lograr el verdadero “reconocimiento” de la firma electrónica “reconocida”, se propusieron diversos mecanismos:
1) Añadir al Proyecto el siguiente texto: “La firma electrónica reconocida será aceptada por todas las personas físicas y jurídicas sujetas a esta Ley, siempre que dicha aceptación resulte técnica y operativamente posible y la firma electrónica reconocida haya sido verificada.”
Es necesario garantizar que el nivel máximo de firma será realmente útil y operativo en el futuro, mediante la necesaria aceptación de la misma por todas las personas físicas y jurídicas.
Frente a esto, resulta chocante que la Ley 59/2003 recoja únicamente esta obligatoriedad de aceptación para el DNI electrónico, que precisamente no ha de servir para firmar, sino para identificar.
Es imprescindible no sólo recoger sino afirmar el derecho del ciudadano a adquirir y poder emplear una firma electrónica reconocida, y a que no se le pueda discriminar o imponer condiciones que le impidan de forma efectiva hacer uso de ésta.
Lo contrario significa configurar la firma electrónica como un mecanismo de identificación y autenticación aplicable únicamente en entornos cerrados, es decir,
aquellos entornos que previamente hayan reconocido y admitido la utilización de los medios telemáticos en sus relaciones, pero impide extender esa firma a otros ámbitos en los que no exista esa confianza o certeza en la seguridad de los medios telemáticos.
Una normativa que pretende generalizar el uso de la firma electrónica no puede permitirse esas carencias, ya puestas de manifiesto con la anterior regulación, sino que ha de establecer los mecanismos más adecuados que permitan la extrapolación de la firma electrónica a sectores donde no existe confianza en la utilización de los medios telemáticos, lo que necesariamente pasa por transmitir al usuario de la firma la certeza de que el acto jurídico que está llevando a cabo goza de la más absoluta validez jurídica y producirá los efectos jurídicos previstos legalmente, sin que la parte contraria a aquella que utiliza la firma pueda oponer ninguna excepción que no sea de carácter técnico (y suficientemente acreditada) para no reconocer la actuación manifestada a través del certificado electrónico.
2) Modificar el Código Civil, garantizando que la equivalencia funcional se inserta en el lugar apropiado de nuestro Ordenamiento jurídico, dado que la ley civil es horizontal a todo el sistema.
El artículo propuesto en su día (como artículo 1279 bis) completaría la exigencia del requisito formal de la escritura u otra forma especial, con el siguiente texto:
“1. Cuando la ley española requiera de forma imperativa la firma escrita, toda persona física o jurídica podrá emplear su firma electrónica reconocida para cumplir dicho requisito.
2. Cuando la ley española requiera de forma dispositiva la firma escrita, toda persona física o jurídica podrá emplear cualquier firma electrónica para cumplir dicho requisito.”
De este modo, cuando la ley exija de forma imperativa o verdaderamente obligatoria la presencia de una firma, el requisito se cumple mediante una firma electrónica reconocida. En este caso, no puede emplearse firma convencional, dado que las partes no tienen libertad para modificar o reconfigurar el artículo, ni disponer de él.
Como ejemplos de este requisito imperativo, se pueden citar el artículo 6 de la Ley 7/1995, de crédito al consumo, que establece que los ejemplares del contrato deben estar “debidamente firmados” o la institución del endoso de la Ley Cambiaria y del Cheque, que obliga al uso de la firma escrita, debido al efecto transmisor del acto.
Evidentemente, la utilización de la expresión “podrá” lleva como contrapartida la obligatoria aceptación de la misma por parte del otro sujeto de la relación jurídica, al amparo de la norma citada que, junto a la situación de poder que se reconoce al sujeto generador de la firma, supone el necesario deber del sujeto de la relación en particular, y de toda la colectividad en general, del reconocimiento de la firma.
En ningún caso este derecho de uso de la firma reconocida hay que entenderlo como la posibilidad de imponer a la otra parte el uso de medios electrónicos: lo que quiere decir es que, cuando las partes estén de acuerdo en emplear dichos medios electrónicos, entonces podrán usar su firma reconocida en todo caso.
Sin embargo, cuando el requisito de la firma sea norma dispositiva, como en los contratos privados, en ese caso las partes pueden emplear el nivel de firma que deseen: la firma ordinaria, la avanzada, o la reconocida. Se trata de la figura de la firma electrónica convencional.
3) Finalmente, en el caso especial de las Administraciones Públicas, el fomento de la firma electrónica reconocida, a la vez que la garantía de la competencia efectiva, exige de las citadas Administraciones el “empleo, siempre que sea posible, de la firma electrónica reconocida, con las adaptaciones que, sin afectar a la compatibilidad de los sistemas, sean necesarias en cada Administración Pública.”
En efecto, las Administraciones Públicas, personas jurídicas especialmente sujetas y regidas por el principio de legalidad, precisamente deben ser las primeras que empleen la firma electrónica reconocida.
Resulta más que discutible la conveniencia del uso de sistemas de autenticación basados en usuario y contraseña en el procedimiento administrativo, aunque podamos considerar dichos sistemas como firma electrónica ordinaria o no reconocida.
En este sentido, el artículo 3 de la Orden PRE/1551/2003, de 10 de junio, por la que se desarrolla la Disposición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos, ya establece que “los dispositivos y las aplicaciones de registro y notificación sólo admitirán la firma electrónica avanzada basada en un certificado reconocido que cumpla la recomendación UIT X.509 versión 3 o superiores (ISO/IEC 9594-8 de 1997) de acuerdo con lo previsto en la legislación de firma electrónica.”
Aunque falta en este caso el requisito del dispositivo seguro de creación de firma, podemos entenderlo innecesario, puesto que el artículo 70 de la Ley 30/1992, de 26 de noviembre, no exige realmente la imposición de la firma escrita del ciudadano en la solicitud de iniciación del procedimiento administrativo, sino también cualquier otra forma de acreditación de la autenticidad de la voluntad.
La Ley 59/2003 finalmente aprobada ha desaprovechado la oportunidad de incorporar las anteriores propuestas. En su lugar, aporta una regulación del documento electrónico y de su prueba que resulta de más que discutible valor.
Al respecto, establece el artículo 3.5 de la Ley de firma electrónica que “se considera documento electrónico el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente”, regla que – además de contradecir otras definiciones legales de documento y ser innecesaria en el Derecho español – nada aporta al debate acerca de la posibilidad de emplear una firma electrónica donde la Ley exige una firma escrita.
Aunque efectivamente el legislador determina – de forma innecesaria también – que el documento electrónico podrá ser público, administrativo o privado en el artículo 3.6, establece a continuación en el apartado 7 del mismo artículo que “los documentos a que se refiere el apartado anterior tendrán el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, conforme a su legislación específica”, lo que no aporta ninguna información normativa al intérprete de la Ley.
En nuestra opinión, como ha quedado expuesto anteriormente, hubiese debido el legislador indicar claramente que allí donde se exige el requisito de la escritura y de la firma escrita, se pueden emplear estas técnicas en todo caso, sin que sea necesario esperar a una autorización legal expresa o, peor, de la autoridad competente.
A pesar de esta “brillante” técnica legislativa, hay que seguir objetando que los viejos problemas siguen pendientes de resolución, que la legislación sectorial y la jurisprudencia venía reconociendo de forma pacífica la existencia del documento electrónico (así, en la legislación penal, tributaria, de mercado de valores, bancaria y de seguros, de comercio electrónico, etc.), por lo que poco aporta esta “presunción” y que seguimos necesitando reglas claras de uso de la firma electrónica y, ya que estamos, del documento electrónico, en los casos en que las leyes exigen imperativamente el uso de la forma escrita y el uso de la firma escrita.
4.3 Fomento de la firma electrónica no reconocida
Además de no establecer el valor definitivo y obligatorio de la firma electrónica reconocida, como hemos visto en el apartado anterior, parece que la Ley 59/2003 fomenta el uso de cualquier tipo de firma electrónica, menos la firma reconocida.
Este fomento de la firma no reconocida se hace patente en diversos aspectos:
a) El fomento claro de los sistemas de firma provistos por la Administración General del Estado, que en la mayoría de los casos actuales no tienen la consideración de firma reconocida
b) El fomento del uso de la firma electrónica convencional, a la que no se imponen ni las más mínimas condiciones limitantes, ni siquiera en presencia de una parte débil en el contrato
1) A pesar de que la Ley 59/2003, como el anterior RDL 14/99, contiene una detallada – y estricta regulación – en relación con la firma electrónica reconocida, a la emisión y uso de la cual se establecen estrictas responsabilidades, por otra parte la redacción actual de la Ley 30/1992, de 26 de noviembre permite, como hemos visto supra, que el ciudadano se relacione con las Administraciones mediante sistemas de firma electrónica no reconocida. De nuevo el ejemplo de la FNMT-RCM es paradigmático, dado que emite un certificado que – aunque se supone es reconocido – tiene la consideración de ordinario, y no provee el necesario dispositivo seguro de creación de firma electrónica.
Aunque esta situación no deriva de la propia Ley 59/2003, sino de la actual opción legislativa en materia de procedimiento administrativo común, hay que decir que el carácter excesivamente liberal de la Ley supone perder la oportunidad de reconducir el régimen actual hacia la necesidad de emplear la firma reconocida también en las relaciones entre el ciudadano y las Administraciones.
Esta situación lleva a la aparición de diferentes escenarios de uso de la firma por parte de las Administraciones Públicas, que asocian diferentes niveles de firma electrónica en función del riesgo que aprecian en cada procedimiento.
Sin entrar a preguntarse sobre la conveniencia de este proceder, se aprecian desde luego modelos realmente diversos en la práctica de las Administraciones españolas. De este modo, dentro de la Administración General del Estado se debía emplear la firma electrónica avanzada basada en certificado de la FNMT-RCM para los trámites con la Agencia Estatal de Administración Tributaria, mientras que para relacionarse con el Ministerio de Economía se utilizaba un identificador de usuario y una contraseña (mecanismo que podría considerarse, a lo sumo, como firma electrónica ordinaria), aunque recientemente se ha impuesto la firma electrónica avanzada basada en un certificado reconocido X.509v3, sin dispositivo seguro de creación de firma.
Por otra parte, el IZENPE vasco suministra a los ciudadanos un sistema de firma electrónica reconocida; esto es, firma electrónica avanzada basada en certificado reconocido y producida mediante un dispositivo seguro de creación de firma.
La Agencia Catalana de Certificación (CATCert) ofrece a los ciudadanos catalanes, así como a los nacionales españoles y extranjeros con interés legítimo para realizar trámites administrativos con las Administraciones catalanas y otras Administraciones Públicas que lo admitan, al menos en Cataluña, un certificado reconocido denominado idCAT. Se trata de un sistema de firma electrónica avanzada, sin dispositivo seguro de creación de firma pero basado en certificado reconocido.
Resulta extraño que los tres sistemas que hasta la fecha conviven – firma ordinaria, firma avanzada y firma reconocida – parezcan ofrecer las mismas garantías a diferentes Administraciones, lo que planteará problemas y conflictos en cuanto sea preciso interconectar los procedimientos en que intervienen diferentes Administraciones, motivo por el cual se constata la necesidad de unificar el tratamiento de la firma electrónica en los diferentes procedimientos, probablemente por vía de reforma de la Ley 30/1992, de 26 de noviembre, y su carácter básico, asegurando a los administrados un tratamiento común frente a las Administraciones Públicas, y atendiendo a los principios de cooperación y coordinación a los que ha de atender la actuación de éstas.
2) La Ley 59/2003, de corte liberal en cuanto a la no necesidad de aceptar la firma de nadie – excepto la basada en el DNI electrónico – no ha previsto siquiera la necesidad de regular, mediante un instrumento jurídico apropiado, el uso de la firma electrónica que no tiene la consideración de reconocida; lo que, por otro lado, se ha venido haciendo en el entorno financiero o de seguros, por ejemplo, donde la firma electrónica ordinaria (usuario y contraseña) es la fórmula comúnmente empleada.
En la contratación con consumidores, la definición de las condiciones de la firma del consumidor pueden ser establecidas por el comercio, de modo que es importante que la parte débil conozca, antes de empezar a firmar, todas las condiciones técnicas relevantes y el nivel de confianza que puede tener en la firma electrónica que va a emplear.
Igualmente, en sede de contratación con condiciones generales – aplicable a personas físicas-consumidores, pero también a personas jurídicas adquirentes de productos y servicios (adherentes) – las condiciones de la firma electrónica las va a determinar el predisponente (el comercio electrónico) sin que el adherente tenga posibilidad alguna de negociar.
En este escenario se hace de nuevo evidente la necesidad de que una cuestión tan importante para la contratación sea regulada previamente a su uso, cumpliendo las prescripciones aplicables al instrumento jurídico elegido (contrato negociado, condiciones generales electrónicas, etc.)
Por ello, hubiese resultado oportuno añadir al texto la obligación de regulación del uso de la firma electrónica no reconocida, obligación que se hubiese podido formular en los siguientes términos: “Las personas físicas y jurídicas que empleen la firma electrónica que no reúna los requisitos de la firma electrónica reconocida deberán regular, mediante el instrumento jurídico apropiado, las condiciones jurídicas, técnicas, organizativas y de seguridad aplicables a la generación, verificación y, en su caso, archivo, de la firma electrónica”, adición que no se ha introducido en el texto final de la Ley.
4.4 La firma-e de personas jurídicas no es firma
Otra de las novedades que introduce la Ley es la denominada “firma de personas jurídicas”. Aparentemente pretende ser un gran avance respecto a la regulación anterior, pero el planteamiento que realiza la Ley 59/2003 hace que la firma de persona jurídica no suponga un avance real frente al modelo anterior, ni que la firma de personas jurídicas resulte un instrumento de especial utilidad en la práctica.
1) La Ley configura la firma de persona jurídica como un artificio, al margen de la realidad mercantil y los mecanismos de representación que se utilizan. Así, la Ley no configura formalmente la firma de persona jurídica como la de una persona física que actúa como representante de persona jurídica (como ocurre en el tráfico mercantil) sino como una firma de persona jurídica independiente de las personas que la representan, que en principio serán las que utilizarán el mecanismo de generación de firma, pero la firma que quedará reflejada será una firma distinta de la suya.
La custodia de los datos de creación de firma asociados a un certificado electrónico de persona jurídica son responsabilidad de la persona física solicitante cuya identificación se incluye en el certificado electrónico, que han de ser los administradores, representantes legales o voluntarios con poder bastante a estos efectos y sin que, como indica la Exposición de Motivos, la firma de persona jurídica sustituya los certificados electrónicos que se expiden a personas físicas en los que se reflejen dichas relaciones de representación.
Así, en el tráfico mercantil las personas jurídicas siempre actúan a través de personas físicas, por lo que la introducción de la firma de persona jurídica no tiene la necesaria cobertura en el ámbito del derecho mercantil y, lejos de favorecer el tráfico jurídico, puede introducir confusión e inseguridad jurídica en el mismo. En el tráfico mercantil la representación se acredita a través de la persona física, mostrando que ésta actúa en nombre de la persona jurídica; por el contrario, el proyecto pretende actuar al revés, correspondiendo a la persona jurídica la acreditación de que una determinada persona física actúa en su nombre.
De esta manera, la firma de persona jurídica se convierte en un mero mecanismo de expedición de documentos originales, sin incidencia ni avance significativo en lo que se refiere al tráfico mercantil.
Además, el análisis riguroso del texto muestra que la vigencia del certificado de persona jurídica viene determinada por las circunstancias que acontezcan a la persona física solicitante y custodio del certificado, de modo que, con independencia de cómo se denomine a la institución, la única realidad es que nos encontramos frente a una firma de persona física – muy concreta y particular, es cierto, pero firma de persona física al fin y al cabo – que permite imputar ciertos actos – todos los que no precisen de la representación; esto es, todos los actos que en el mundo “real” no precisarían la “firma” de la persona jurídica – a la persona jurídica.
Ello no significa que la institución propuesta sea en absoluto inútil. La práctica demuestra que los documentos originales, sin firma de apoderado, sino con sellos, marcas gráficas, membretes y otros métodos tradicionales de identificación, tienen también un valor probatorio importante, a pesar de que dicho valor no sea comparable al de la firma escrita de un apoderado.
A estos efectos, resulta interesante la existencia de equivalentes electrónicos a los anteriormente mencionados sistemas, con la reserva que, a nuestro entender, supone que dicho equivalente se denomine “firma de personas jurídicas”, precisamente porque no es posible que una persona jurídica firme, pero sí es posible que se le imputen documentos originales.
La crítica reside, pues, en cómo se denomina a la institución y cómo se configura la misma, no en el objetivo perseguido y los efectos útiles que puede tener. Una configuración correcta de la institución hubiese sido la que hubiese determinado la institución como un medio de producción de documentos originales de persona jurídica, para todos aquellos usos – que son muchos – en los que la práctica no requiere que el documento original esté firmado por el apoderado de la persona jurídica.
Especialmente importante resulta esta posibilidad en las relaciones entre las personas jurídicas y las Administraciones Públicas, que en muchos casos no precisan que los documentos contengan la firma de un apoderado de la persona jurídica.
Para ello, hubiera sido necesario definir correctamente el significado de esta “firma de persona jurídica”, por ejemplo del siguiente modo: “Los certificados de personas jurídicas son certificados de firma electrónica avanzada expedidos a personas jurídicas para la emisión de documentos originales; esto es, íntegros y con garantía de origen, pero nunca para la producción de la firma de la persona jurídica.”
Se trata de una definición de corte finalista, orientada a la producción de documentos originales en cierto grado imputables a la persona jurídica, pero nunca con el valor de firma. En consecuencia, se conceptúa como una firma electrónica avanzada, no reconocida, ya que la firma reconocida es de persona física, como corresponde a una técnica que es equivalente a la firma escrita.
Del mismo modo, estimamos innecesario establecer la necesidad legal de que esta “firma” de producción de documentos sea producida empleando un dispositivo seguro de creación de firma, aspecto que debería quedar a discreción de la persona jurídica.
2) Por otro lado, una verdadera firma de persona jurídica se habría de apoyar en la firma de la persona física que actúa como representante, de acuerdo con la realidad actual y la normativa y jurisprudencia consolidada en torno al negocio jurídico representativo. Considerarlo de otro modo supone una contradictio in terminis.
Simultáneamente, se habría de producir la conexión telemática on line con el Registro Mercantil para comprobar la realidad y vigencia de dicha representación en tiempo real, con lo que el acto o negocio jurídico realizado tendría plena validez jurídica y produciría efectos frente a terceros de acuerdo con la normativa mercantil, sin necesidad de introducir un nuevo elemento como es la firma de persona jurídica.
El artículo 13 de la Ley, al regular la comprobación de la identidad y otras circunstancias personales de los solicitantes de un certificado reconocido, no obliga, cuando se trata de certificados de personas jurídicas, a la consulta en el Registro Público (sólo lo admite como uno de los medios posibles), lo que lleva a establecer una apariencia de representación que puede resultar perniciosa para la seguridad del tráfico y la protección de terceros de buena fe.
Por este motivo, hubiese sido necesario incluir en la Ley 59/2003 una prescripción específica en materia de firma electrónica reconocida de persona jurídica, del tenor siguiente: “La firma electrónica reconocida de la persona jurídica deberá realizarse mediante el certificado reconocido y el dispositivo seguro de creación de firma asignados a la persona física que representa a la persona jurídica, con el correspondiente poder.”
5. Crítica al modelo conceptual de la certificación digital
5.1 El DNI electrónico y el fin del mercado
Una de las grandes novedades de la Ley 59/2003, si no la más relevante, es el reconocimiento y “regulación” del DNI electrónico. Si bien en las primeras versiones del proyecto de ley, se configuraba el DNI electrónico como una firma electrónica reconocida16, la versión definitiva, de una manera consciente, pretende escapar de esa equiparación, pues de lo contrario, como consecuencia de la equiparación anteriormente mencionada de la firma electrónica reconocida con la firma manuscrita, el Ministerio del Interior habría de asumir no sólo unas cuantiosas inversiones técnicas para cumplir con los requerimientos del certificado reconocido, sino que también tendría una responsabilidad mayor caso de que la generación de la firma no se llevara a cabo con arreglo a los requerimientos que ese nivel de generación de firma exige. Así, el artículo 16 de la Ley 59/2003 impone al DNI electrónico las obligaciones de los prestadores de servicios de certificación que expidan certificados reconocidos, entre las que no se encuentra la necesidad de proveer un dispositivo seguro de creación de firma, y tampoco se establece su equiparación automática con la firma manuscrita.
El DNI electrónico es uno de los objetivos del Gobierno manifestados en el Plan Info XXI, a través del cual se pretende dotar a los ciudadanos de una tarjeta de identificación que recoja las menciones básicas del sujeto. Al mismo tiempo, se configura como un mecanismo generador de firmas y, más aún, de obligatoria aceptación por todos los sujetos del tráfico jurídico.
Esto lleva a la necesaria crítica de la regulación que la Ley contiene, al suponer un claro ataque a la libre prestación de servicios de certificación, eliminando de ipso la posibilidad de libre competencia por parte de las empresas prestadoras de servicios de certificación.
Es una falacia pensar que el mercado podrá soportar la existencia de, no uno, sino de dos operadores con una clara posición preeminente. Por un lado, el proyecto CERES de la Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, configurado hasta fechas recientes como el único medio posible de relacionarse con la Agencia Estatal de Administración Tributaria (la Orden HAC/1181/2003, de 12 de mayo, por la que se establecen normas específicas sobre el uso de la firma electrónica en las relaciones tributarias por medios electrónicos, informáticos y telemáticos con la Agencia Estatal de Administración Tributaría ha establecido los requisitos jurídicos y técnicos a cumplir para el reconocimiento de los certificados electrónicos no emitidos por CERES, rompiendo el monopolio de hecho y atendiendo al principio de libre competencia en la actividad de prestación de servicios de certificación, en el ámbito de la Hacienda Pública) y, por otro lado, el DNI electrónico, medio de identificación del ciudadano de obligatoria utilización a partir de los catorce años, y que supondría la aparición directa del Estado como prestador de servicios de certificación, y además sin tener que constituir la garantía del apartado 2 del artículo 20 como indica el artículo 16 de la Ley 59/2003.
16 Es decir, firma electrónica avanzada basada en certificado reconocido y producida
mediante dispositivo seguro de creación de firma, de acuerdo con el artículo 3.3 de la Ley.
Incluso sólo con el DNI electrónico se afecta de forma absoluta al mercado de servicios de certificación, aunque también es cierto que la existencia del DNI “en papel” no ha afectado a la existencia de tarjetas de identidad, públicas o privadas, si bien éstas tienen unas funciones y modelos de negocio diferentes, y no acceden a un mercado tan abierto y rápido como son las relaciones jurídicas a través de los medios telemáticos.
Nos encontramos ahora, sin embargo, ante una clara invasión competencial del mercado por parte del sector público, aprovechando un título competencial incorrecto. La reserva que se realiza al Estado en materia del DNI se encuentra conectada con la identificación de los nacionales españoles, no con su capacidad de firma.
No queda más remedio que indicar que la configuración actual del DNI viola la Constitución española y la libertad de empresa en el marco de una economía de mercado que reconoce, además de toda la normativa comunitaria y estatal de defensa de la competencia, creando un monopolio de hecho absolutamente prohibido.
Al mismo tiempo, el DNI electrónico puede suponer un ataque a la libertad e intimidad personales y a la protección de datos, al existir una única base de datos impuesta legalmente, que supondría la existencia de un identificador único, frente a la situación actual de dispersión de datos del ciudadano entre las distintas Administraciones Públicas.
Finalmente, tras la “aprobación” del DNI electrónico, reenvía la Ley la verdadera regulación del citado DNI electrónico a “su normativa específica”, en virtud de la disposición adicional sexta de la Ley, “sin perjuicio de la aplicación de la normativa vigente en materia del documento nacional de identidad en todo aquello que se adecue a sus características particulares”, texto de una inusitada oscuridad.
Debe quizá el intérprete de la norma entender que dispondremos de dos normas diferentes en materia de DNI, para la versión “no electrónica” y para la versión “electrónica”, y que la segunda se entenderá sin perjuicio de la primera. O debe entender que existirán contradicciones entre una norma y la otra, cuando es presumible que sea el mismo Gobierno quien dicte ambas normas, y el mismo Departamento ministerial el responsable del desarrollo posterior.
5.2 Un certificado “reconocido” que no es reconocido por nadie
Resulta francamente contradictorio que el artículo 15.2 de la Ley 59/2003, en la regulación del DNI electrónico, imponga la obligación de que todas las personas físicas o jurídicas, públicas o privadas, reconozcan la eficacia de este DNI para acreditar la identidad y los demás datos personales del titular que consten en el mismo, y para acreditar la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica en él incluidos y, sin embargo, guarde silencio en torno a la firma electrónica reconocida, no imponiendo ese reconocimiento obligatorio que predica del DNI.
Como hemos indicado antes, el DNI no produce la firma electrónica reconocida, porque no impone el necesario dispositivo seguro de creación de firma de la firma electrónica reconocida y, sin embargo, se le dota de la mayor eficacia jurídica, lo que es ilógico desde la óptica jurídica.
El certificado reconocido debería ser obligatoriamente aceptado por todos; es decir, sin la imposición de “condiciones adicionales” que obliguen a alterar los certificados emitidos o impidan que éstos produzcan efecto, excepto por causas
objetivas, proporcionadas, transparentes y no discriminatorias. Para empezar, porque estas denominadas condiciones adicionales ya no lo son, sino que suponen una regulación encubierta del mercado, ilícita desde la perspectiva del Derecho comunitario y de la propia Ley de firma electrónica.
En cualquier caso, ello no implica que un certificado – por más reconocido que sea – deba aceptarse si no resulta idóneo su uso o si el mismo se encuentra restringido mediante límites de uso por el prestador de servicios de certificación que lo emitió, resultando evidente que un certificado que no contenga la identificación real del suscriptor, sino un seudónimo, no sea aceptado por las Administraciones Públicas para la realización de trámites.
Por contra, no se entiende fácilmente la negativa a aceptar un certificado reconocido sencillamente porque el número de DNI pueda figurar en un campo del certificado y no en otro, cuando ambos certificados son técnicamente compatibles entre sí.
Esto no impediría la posibilidad de establecer condiciones adicionales a la firma (que no al certificado reconocido) que deriven de las particularidades del tráfico jurídico en que se emplee, posibilidad expresamente prevista en la normativa y que es compatible con el respeto al mercado.
De este modo, en nada perjudica a los prestadores de servicios de certificación que se establezca la condición adicional de incorporar la fecha y hora a la firma electrónica (bien sea en la creación o en la verificación de la misma), posibilidad que expresamente se contempla en la Ley, o que se deba incorporar el apoderamiento u otra circunstancia personal a la firma – que no necesariamente al certificado.
5.3 Un certificado de persona jurídica que es de persona física
Tal como hemos indicado anteriormente al hablar del certificado de persona jurídica, éste se expide a favor de la persona que lo solicita, que se convierte en un presunto apoderado de la persona jurídica, pero con un apoderamiento que simplemente puede limitarse a la solicitud del certificado y la utilización del mismo en nombre de la persona jurídica.
La relación representativa de la persona jurídica se encuentra desligada de la firma electrónica, lo que en definitiva es un absurdo, al pretender resolver el problema de los entes societarios y otras entidades a través de la mediación de un tercero que no necesariamente es el representante legal.
Al mismo tiempo, la seguridad del tráfico jurídico no resulta beneficiada, dado que ésta viene garantizada por la publicidad que emana del Registro Mercantil, mientras que tanto el acto de expedición del certificado, como la creación y verificación de firma se pueden producir completamente al margen de la publicidad registral.
De este modo, la conclusión es que el denominado “certificado de persona jurídica” es sencillamente un caso especial de “certificado de persona física”, tratándose de una persona física que tiene poder especial para solicitar y usar el “certificado de persona jurídica”, persona física que se denomina “custodio”, pero que debería denominarse “apoderado especial”.
Esta conclusión es el único aspecto coherente de toda la regulación propuesta. Lo que sucede es que para llegar a este punto no hacía falta introducir novedad alguna, dado que en general ya se podía incorporar un poder en el certificado de
persona física. Tratándose de un poder concreto, sencillamente se podría incorporar dentro de un certificado reconocido, y habríamos acabado.
Y si no se debía incorporar poder alguno al certificado, entonces la libertad contractual de las partes permitía configurar el certificado de la persona jurídica, bien fuera operado por una persona sin poderes o por un dispositivo informático, como un elemento de seguridad que permite la creación y transmisión de documentos originales, aunque no firmados.
Por otra parte, desde la perspectiva del Derecho administrativo, una interpretación correcta del artículo 45 de la Ley 30/1992 permite desde luego que personas sin poderes presenten documentos originales producidos y asegurados electrónicamente por personas jurídicas, empleando certificados digitales u otros mecanismos de seguridad.
Se ha de recordar que dicho artículo exige que se garantice la integridad y la autenticidad de la documentación, para lo que no era necesario acudir a una Ley sobre firma electrónica, Ley que tiene que ver con los actos de las personas físicas, no con los documentos originales de personas jurídicas.
6. Crítica a los aspectos probatorios de la firma electrónica
Finalmente, merece un apartado específico la crítica que cabe realizar al tratamiento probatorio de la firma electrónica.
Al respecto, sin perjuicio de lo dicho anteriormente en relación al valor de la consideración del redactado electrónico en soporte electrónico como documento electrónico, procede comentar el peculiar contenido del apartado 3.8 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.
6.1 El soporte electrónico como medio de prueba
Determina el mismo, en primer lugar, que “el soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio”, dicho lo cual se olvida el legislador de la problemática concreta de la aportación del soporte como documento, situación que ya se había producido en la regulación del artículo 24.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información, que establecía que “en todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental”.
En efecto, la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil no había incluido el documento electrónico de forma específica en su listado de instrumentos que conforman la prueba documental, sino que la referencia se hace sencillamente al documento, de acuerdo con lo establecido en el artículo 265.
La dificultad en el caso del documento electrónico se centra en el método que debe seguirse para la presentación, sobre el que la ley no establece medio, por lo que hay que estar a las reglas generales.
Existe una cierta dificultad inicial para considerar un mensaje de datos o fichero electrónico como documento, especialmente cuando el mensaje o el fichero contienen datos no alfabéticos, como imágenes o datos matemáticos, especialmente porque para algunos documentos que contienen este tipo de datos el medio de prueba idóneo, de acuerdo con la LEC, es el medio establecido en el artículo 384, referido a “los instrumentos que permitan archivar, conocer o reproducir datos relevantes para el proceso”.
Establece el citado artículo, en su apartado primero, que “los instrumentos que permitan archivar, conocer o reproducir palabras, datos, cifras y operaciones matemáticas llevadas a cabo con fines contables o de otra clase, que, por ser relevantes para el proceso, hayan sido admitidos como prueba, serán examinados por el tribunal por los medios que la parte proponente aporte o que el tribunal disponga utilizar y de modo que las demás partes del proceso puedan, con idéntico conocimiento que el tribunal, alegar y proponer lo que a su derecho convenga”.
La interpretación de este artículo debe ser restrictiva frente a la de documento, debiendo entender incluidos en este caso no todos los soportes electrónicos con datos o cifras, sino aquellos asociados a determinados dispositivos técnicos específicos de
grabación o archivo, que producen un registro electrónico de acciones, antes que un verdadero documento expresivo de la voluntad.
Entre otros motivos, esta solución impide la degradación de la valoración de la prueba, que en el caso del documento privado puede ser la prueba plena (art. 326.1 LEC), mientras que en el caso de los citados instrumentos la valoración se hará según las reglas de la sana crítica (art. 382.3 LEC).
Con el artículo 24.2 de la Ley 34/2002, de 11 de julio, este debate se cierra a favor de la consideración de todo soporte electrónico en que conste un contrato celebrado por vía electrónica como prueba documental.
Por otra parte, como estamos analizando, el artículo 3.5 de la Ley 59/2003 ya concede el carácter de documento electrónico a todo soporte electrónico en el que se incorporen datos firmados electrónicamente (contratos u otros documentos).
6.2 Procedimiento de aportación al proceso de documentos electrónicos
Establecido que el soporte electrónico puede acceder como documento electrónico al procedimiento, cabe preguntarse acerca del procedimiento para hacerlo.
Al respecto, el artículo 265 de la LEC establece los documentos que deben aportarse con la demanda o la contestación, en los siguientes términos:
“1. A toda demanda o contestación habrán de acompañarse:
1. Los documentos en que las partes funden su derecho a la tutela judicial que pretenden.
2. Los medios e instrumentos a que se refiere el apartado 2 del artículo 299, si en ellos se fundaran las pretensiones de tutela formuladas por las partes.
3. Las certificaciones y notas sobre cualesquiera asientos registrales o sobre el contenido de libros registro, actuaciones o expedientes de cualquier clase.
4. Los dictámenes periciales en que las partes apoyen sus pretensiones, sin perjuicio de lo dispuesto en los artículos 337 y 339 de esta Ley. En el caso de que alguna de las partes sea titular del derecho de asistencia jurídica gratuita no tendrá que aportar con la demanda o con la contestación el dictamen, sino simplemente anunciarlo de acuerdo con lo que prevé el apartado 1 del artículo 339.
5. Los informes, elaborados por profesionales de la investigación privada legalmente habilitados, sobre hechos relevantes en que aquéllas apoyen sus pretensiones. Sobre estos hechos, si no fueren reconocidos como ciertos, se practicará prueba testifical. 2. Sólo cuando las partes, al presentar su demanda o
contestación, no puedan disponer de los documentos, medios e instrumentos a que se refieren los tres primeros números del apartado anterior, podrán designar el archivo, protocolo o lugar en que se encuentren, o el registro, libro registro, actuaciones o expediente del que se pretenda obtener una certificación.
Si lo que pretenda aportarse al proceso se encontrara en archivo, protocolo, expediente o registro del que se puedan pedir y obtener copias fehacientes, se entenderá que el actor dispone de ello y deberá acompañarlo a la demanda, sin que pueda limitarse a efectuar la designación a que se refiere el párrafo anterior.
3. No obstante lo dispuesto en los apartados anteriores, el actor podrá presentar en la audiencia previa al juicio los documentos, medios, instrumentos, dictámenes e informes, relativos al fondo del asunto, cuyo interés o relevancia sólo se ponga de manifiesto a consecuencia de alegaciones efectuadas por el demandado en la contestación a la demanda.
4. En los juicios verbales, el demandado aportará los documentos, medios, instrumentos, dictámenes e informes a que se refiere el apartado 1 en el acto de la vista”.
De este modo, el soporte electrónico del contrato deberá aportarse con la demanda o la contestación a la demanda, excepto cuando la parte no disponga del documento y éste se encuentre en un archivo, protocolo o registro (y siempre que de dichos lugares no pueda obtenerse copia fehaciente, dado que en otro caso se considera que la parte tiene acceso al documento).
Respecto a la ejecución de la prueba documental privada, el artículo 325 de la LEC establece que “los documentos privados se presentarán del modo establecido en el artículo 268 de esta Ley”.
Dicho artículo 268 determina los siguientes medios de presentación de documentos:
“1. Los documentos privados que hayan de aportarse se presentarán en original o mediante copia autenticada por el fedatario público competente y se unirán a los autos o se dejará testimonio de ellos, con devolución de los originales o copias fehacientes presentadas, si así lo solicitan los interesados.
2. Si la parte sólo posee copia simple del documento privado, podrá presentar ésta, que surtirá los mismos efectos que el original, siempre que la conformidad de aquélla con éste no sea cuestionada por cualquiera de las demás partes.
3. En el caso de que el original del documento privado se encuentre en un expediente, protocolo, archivo o registro público, se presentará copia auténtica o se designará el archivo, protocolo o registro, según lo dispuesto en el apartado 2 del artículo 265”.
La primera duda que se plantea en este caso es la posibilidad de aportar un “original” del soporte electrónico si no es mediante medios telemáticos, dado que la impresión en papel que se aporte al proceso probablemente no cumpla con dicho requisito de originalidad, sino que se deberá considerar como una copia, que además no tiene por qué tener ninguna garantía de correspondencia con el original electrónico.
Una posibilidad para tratar de obtener una copia original de un documento firmado electrónicamente sería traspasar la firma electrónica al soporte en papel, codificándola de modo directamente legible, como por ejemplo empleando un código
de barras, pero esta opción quizá debería pactarse previamente entre las partes y presenta el problema de la posterior aceptación por el Juez y la contraparte.
La Ley 59/2003, no cierra la puerta a que los datos firmados electrónicamente puedan encontrarse en un soporte no electrónico, dado que no distingue. Por tanto, si se puede proceder a comprobar la autenticidad de la firma electrónica, el documento electrónico impreso debería ser aceptado.
Otra posibilidad es indicar, de acuerdo con el artículo 265.2, “el archivo, protocolo o lugar en que se encuentren [los documentos], o el registro, libro registro, actuaciones o expediente del que se pretenda obtener una certificación”, lo que conecta con la regulación del artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, en materia de intervención de terceros de confianza, pero que tiene sus limitaciones, como veremos.
6.2.1 Aportación directa al expediente
La solución adecuada, desde nuestro punto de vista, sería la creación de un procedimiento de aportación de documentos originales electrónicos a los autos, realizado por la representación procesal de la parte a la que interesa aportar el documento, con las debidas garantías de que el cambio de soporte o volcado de la información a papel no ha desvirtuado el contenido.
Esta posibilidad se encuentra prevista en el artículo 135 LEC, que regula la presentación de escritos, a efectos del requisito de tiempo de los actos procesales. El apartado 5 de este artículo establece que “cuando los tribunales y los sujetos intervinientes en un proceso dispongan de medios técnicos que permitan el envío y la normal recepción de escritos y documentos, de forma tal que esté garantizada la autenticidad de la comunicación y quede constancia fehaciente de la remisión y recepción íntegras y de la fecha en que se hicieren, los escritos y documentos podrán enviarse por aquellos medios, acusándose recibo del mismo modo y se tendrán por presentados, a efectos de ejercicio de los derechos y de cumplimiento de deberes en el tiempo establecido conforme a la ley”.
Por tanto, siempre y cuando se disponga de los medios técnicos adecuados, la norma autoriza el uso del canal telemático para la remisión de documentos. Dichos medios técnicos adecuados para garantizar la autenticidad de la comunicación representan un concepto jurídico indeterminado, que para interpretar correctamente debe ser reconducido a la Ley 59/2003.
El uso de una aplicación de correo electrónico con firma electrónica avanzada o, mejor, reconocida, más un servidor de acuse de recibo imperativo permiten ejercitar este derecho que, por supuesto, tiene sus límites: en concreto, el párrafo segundo del apartado 5 del artículo 135 LEC establece que “sin embargo de lo dispuesto en el apartado anterior, a efectos de prueba y del cumplimiento de requisitos legales que exijan disponer de los documentos originales o de copias fehacientes, éstos habrán de hacerse llegar al tribunal dentro de los tres días siguientes al envío efectuado según el párrafo anterior”.
Este punto hay que entenderlo referido a la documentación original que se encuentra en soporte papel, dado que ningún obstáculo existe para que se pueda remitir un original electrónico mediante esta vía. Por ejemplo, en el caso de que dispongamos de un original electrónico firmado por Notario, se debe poder remitir en forma electrónica.
La limitación es perfectamente comprensible: poco valor tendría que un particular digitalizase un documento del que dispone en papel y lo remitiese al Juzgado. Para poder aceptar la versión electrónica es necesario cotejarla con el original en papel, motivo por el que es necesario, como dice la norma, remitir dicho original en papel en el plazo de tres días.
Adicionalmente, hay que recordar que, de acuerdo con el apartado 4 del artículo 135 LEC, “en todo caso, se dará a la parte recibo de los escritos y documentos que presenten con expresión de la fecha y hora de presentación. También podrá hacerse constar la recepción de escritos y documentos en copia simple presentada por la parte”.
Esta prescripción implica el empleo de un servicio de consignación de fecha y hora, a efectos de ofrecer una garantía al presentador del documento, de su recepción por la Secretaría del tribunal o, de existir, por la oficina o servicio de registro central que se haya establecido, antes de las quince horas del día hábil siguiente al del vencimiento del plazo (apartado 1 del artículo 135 LEC), a efectos de preclusión.
Respecto a la forma de aportar el original electrónico al expediente, la posibilidad más simple implica que el Secretario verifique electrónicamente el documento y lo imprima, firmándolo con su firma manuscrita y/o estampando el sello del Juzgado. Esta posibilidad se basa en el artículo 145 LEC, que establece que el Secretario “dará fe, por si o mediante el registro correspondiente, de cuyo funcionamiento será responsable, de la recepción de escritos con los documentos y recibos que les acompañen”.
Finalmente, respecto a la tramitación electrónica del expediente, así como al archivo del original electrónico, hay que recordar que el artículo 146.3 establece que “los tribunales podrán emplear medios técnicos de documentación y archivo de sus actuaciones y de los escritos y documentos que recibieren, con las garantías a que se refiere el apartado 5 del artículo 135 de esta Ley. También podrán emplear medios técnicos de seguimiento del estado de los procesos y de estadística relativa a éstos”.
6.2.2 Otros modos de aportación. Prueba pericial e intervención de Notario
Cuando no es posible aportar el original en soporte electrónico, o cuando ello presenta obstáculos difíciles de superar en la práctica actual, debemos acudir a la opción prevista en el apartado segundo del artículo 268 LEC, relativa a la presentación de copia simple del documento privado, que surtirá los efectos del original sólo en caso de conformidad de la contraparte. En caso de disconformidad, se puede solicitar la realización de otros tipos de prueba, como la pericial informática o el reconocimiento judicial (aunque la viabilidad del reconocimiento es, en términos prácticos, más que discutible), o cualquier otro medio de prueba que resulte útil y pertinente al efecto (artículo 326.2 LEC).
La prueba pericial consistiría en el cotejo entre el documento electrónico original y la copia aportada, esencialmente, aunque cabe pensar también en el análisis por el perito del soporte electrónico original y la presentación de los resultados en su informe.
Diferente es el caso de la presentación mediante copia autenticada por Notario, posibilidad que, en relación con documentación electrónica, ha previsto el artículo 114.1 de la Ley 24/2001, de 27 de diciembre, de medidas fiscales, administrativas y del orden social, que establece que “por el procedimiento que
reglamentariamente se disponga, cuando un notario sea requerido para dejar constancia de cualquier hecho relacionado con un archivo informático, no será necesaria la transcripción de su contenido en el documento en soporte papel, bastando con que en éste se indique el nombre del archivo y una función alfanumérica que lo identifique de manera inequívoca, obtenida del mismo con arreglo a las normas técnicas dictadas al efecto por el Ministro de Justicia. El archivo informático así referenciado deberá quedar almacenado en la forma prevista en el artículo 79 bis dieciocho. Las copias que se expidan del documento confeccionado podrán reproducir únicamente la parte escrita de la matriz, adjuntando una copia en soporte informático adecuado del archivo relacionado, amparada por la firma electrónica avanzada del notario”.
El texto del artículo permite que el Notario pueda dejar constancia de hechos relacionados con cualquier archivo informático; esto es, archivos de las partes o de terceros que almacenan datos y documentos en soporte electrónico. Esta posibilidad permite disponer de una copia autenticada referente al documento original en soporte electrónico, solventando las dificultades anteriormente comentadas, por lo que hay que valorar de forma muy positiva la introducción de este nuevo servicio, si bien es cierto que habrá que esperar a que el Ministerio de Justicia dicte las correspondientes normas técnicas relativas a las funciones identificativas del archivo informático.
El documento tendrá la consideración de documento privado, dado que el procedimiento para los documentos públicos, archivados en protocolo notarial o en el registro público correspondiente, es la aportación mediante la aportación de copia auténtica o expedición de certificación.
Es muy interesante también la posibilidad, ciertamente abierta, de remitir copia de este documento, junto a la copia en soporte informático adecuado del archivo relacionado, a cualquier persona, y no únicamente al Juzgado. Dicho archivo deberá estar protegido por la firma electrónica del Notario. Posteriormente analizamos, en el capítulo séptimo de la segunda parte, el funcionamiento de la firma electrónica en este mecanismo de seguridad jurídica.
6.3 Prueba del soporte electrónico y de su firma electrónica
Superada la problemática de la aportación de copia original del soporte electrónico al procedimiento, cabe preguntarse el valor probatorio de dicho soporte electrónico, que será el mismo que se daría al documento privado correspondiente, así como las reglas que se han previsto para la prueba de la firma electrónica.
Como hemos visto, de este modo se establece en el artículo 24.2 Ley 34/2002, en los siguientes términos: “En todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental”, mientras que el artículo 3.8 de la Ley 59/2003 determina que “el soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio”.
Los documentos privados hacen prueba plena en el proceso, siempre y cuando su autenticidad no sea impugnada por la parte a la que perjudiquen (artículo 326.1 LEC), respecto “del hecho, acto o estado de cosas que documenten, de la fecha en que se produce esa documentación y de la identidad
de los fedatarios y demás personas que, en su caso, intervengan en ella” (artículo 319 LEC).
Sin embargo, de acuerdo con el artículo 326.2 LEC, “cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado podrá pedir el cotejo pericial de letras o proponer cualquier otro medio de prueba que resulte útil y pertinente al efecto.
Si del cotejo o de otro medio de prueba se desprendiere la autenticidad del documento, se procederá conforme a lo previsto en el apartado tercero del artículo 320. Cuando no se pudiere deducir su autenticidad o no se hubiere propuesto prueba alguna, el tribunal lo valorará conforme a las reglas de la sana crítica”.
Esto significa que en casos donde el contrato se encuentra en soporte electrónico, pero no ha sido firmado electrónicamente o protegido de algún otro modo, la parte a la que el documento va a perjudicar puede impugnar la autenticidad del documento, al efecto de reducir su valor probatorio.
Siguiendo la LEC, existe la posibilidad entonces de proponer una prueba alternativa, para el caso de impugnación, que entendemos deberá ser una prueba pericial informática, el objeto de la cual sería el análisis forense de las medidas de seguridad asociadas al documento.
La Ley 59/2003 ha añadido un nuevo apartado 3 al artículo 326 analizado, en el que se establece que “cuando la parte a quien interese la eficacia de un documento electrónico lo pida o se impugne su autenticidad, se procederá conforme a lo establecido en el artículo 3 de la Ley de Firma Electrónica”.
Si el documento se encuentra firmado electrónicamente, la complejidad de la prueba dependerá del tipo de firma electrónica del documento, como determina la Ley de firma electrónica en su artículo 3.8.
6.3.1 Prueba de la firma electrónica reconocida
Determina el artículo 3.8 de la Ley 59/2003 que “…Si se impugnare la autenticidad de la firma electrónica reconocida, con la que se hayan firmado los datos incorporados al documento electrónico, se procederá a comprobar que por el prestador de servicios de certificación, que expide los certificados electrónicos, se cumplen todos los requisitos establecidos en la Ley en cuanto a la garantía de los servicios que presta en la comprobación de la eficacia de la firma electrónica, y en especial, las obligaciones de garantizar la confidencialidad del proceso así como la autenticidad, conservación e integridad de la información generada y la identidad de los firmantes”.
Plantea este apartado múltiples problemas de aplicación en la práctica, además de un desconocimiento del medio de prueba a emplear.
En primer lugar, la norma se centra en establecer las comprobaciones a efectuar en caso de que alguien impugne la autenticidad de una firma electrónica reconocida, que no en los demás casos, en que, como veremos, se remite al caso general del apartado 326.2 LEC.
Centrándonos en la prueba de la firma electrónica reconocida, se establece la necesidad de comprobar que el prestador de servicios de certificación cumple los
requisitos de la Ley en cuanto a la garantía de los servicios que presta en la comprobación de la eficacia de la firma electrónica.
Resulta sumamente criticable lo que dispone la Ley 59/2003 en este punto, dado que la función de un prestador de servicios de certificación no es en absoluto garantizar la eficacia de la firma electrónica – por cierto que dicha obligación o requisito no se establece en ningún artículo de la Ley – sino en suministrar todos o algunos de los elementos necesarios para que se puedan producir firmas electrónicas.
Para empezar, el prestador no se encuentra obligado17 a generar los datos de creación de firma y, por tanto, no puede responsabilizarse de que la firma electrónica sea avanzada, dado que ello es una consecuencia directa de la calidad criptográfica del par de claves. Sólo debe asegurarse el prestador de que el firmante dispone de la clave privada correspondiente a la clave pública que será objeto de la certificación, y tampoco de esta obligación se deriva necesariamente la responsabilidad del prestador por la calidad de las claves, dado que el firmante será quien elija el algoritmo criptográfico y, lo más importante, quien aporte los medios para la generación del par de claves, que es el puntal en esta materia.
Para continuar, tampoco se obliga al prestador a suministrar el dispositivo seguro de creación de firma, motivo por el que no será necesariamente responsable del hecho de que el mismo sea seguro.
Este texto, que se incorporó en forma de enmienda en el Senado, se encuentra descoordinado completamente con el resto de la Ley 59/2003. Resulta necesario interpretar la expresión “servicios que presta en la comprobación de la eficacia de la firma electrónica” como sinónimo de los servicios de certificación que prestan, pero sin que ello sea suficiente para realmente garantizar la eficacia de la firma electrónica.
Además de lo anterior, habrá de comprobarse el cumplimiento de “las obligaciones de garantizar la confidencialidad del proceso así como la autenticidad, conservación e integridad de la información generada y la identidad de los firmantes”.
Sin que se planteen dudas acerca de la necesidad de garantizar la confidencialidad del proceso, debemos preguntarnos a qué se refiere la garantía de autenticidad, conservación e integridad de la información generada. Es de suponer que no se refiera a la información firmada por los usuarios finales, sino a la información generada por el prestador de servicios de certificación que, como no puede ser de otra forma, son los certificados digitales. De no ser así, resultaría que sería necesario que el prestador de servicios de certificación dispusiese de copia de todos los documentos electrónicos firmados por los usuarios, lo que no es obligación ni de los prestadores ni de los usuarios.
Pues bien, si nadie está obligado a almacenar los documentos firmados, ¿qué sentido tendría determinar que el prestador aportase esta prueba? Por otra parte, si se trata de la garantía de autenticidad, conservación e integridad de los certificados, ¿no entra esta obligación de garantía – especialmente importante – en la general referida a los certificados?
Otro tanto sucede con la referencia que se realiza a “la identidad de los firmantes”, que de nuevo hay que reconducir a la información certificada. De hecho, no es posible realmente que el prestador garantice la identidad de los firmantes, dado que éstos no generan las firmas en presencia del prestador – como si de un fedatario
17 Como determina el artículo 12.d) de la Ley, resulta optativo para el prestador ofrecer
este servicio.
público se tratase – por lo que sólo se puede garantizar que el firmante es el suscriptor del certificado, correctamente identificado en el certificado, y que no ha dejado sus datos y dispositivo de creación de firma a un tercero, junto con la clave que permite activar la generación de la firma.
Tampoco en la Ley 59/2003 se ha planteado en absoluto este hecho como un problema, creándose la presunción legal de que, cuando se emplea firma reconocida, realmente firma el suscriptor, que puede proteger fiablemente sus datos de creación de firma contra el uso no autorizado.
Para finalizar, tras todo lo visto, cabe preguntarse cómo se prueban estos extremos, y en este punto guarda la Ley 59/2003 un absoluto silencio, por lo que deberíamos acudir a la solución de la prueba pericial informática, que podrá ser complementada en gran medida por la presentación, por el prestador de servicios de certificación, de los certificados de calidad previstos en los artículos 26 a 28 de la Ley.
El texto hubiese podido, por lo tanto, recibir un tratamiento más sencillo y claro, refiriéndose al cumplimiento de los requisitos legales por los prestadores, sin más referencia, pero también por los usuarios y, en especial, por el firmante.
6.3.2 Prueba de las restantes firmas electrónicas
Las restantes firmas electrónicas reciben un tratamiento aparentemente diferente, que acaba en el mismo medio de prueba, que, como veremos, es la pericial informática.
En efecto, se establece en el artículo 3.8 in fine de la Ley 59/2003 que “si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil”, no estableciéndose ninguna regla para el caso de impugnación de la firma electrónica ordinaria.
Como hemos visto anteriormente, el apartado 2 del artículo 326 LEC permite “proponer cualquier otro medio de prueba que resulte útil y pertinente al efecto” para demostrar la autenticidad del documento privado, siendo la prueba pericial informática dicha prueba útil y pertinente.
De este modo, por dos caminos aparentemente diferentes llegamos al mismo resultado, la pericial informática, y con un contenido muy parecido, si no idéntico, debido a que, diga lo que diga la dicción del artículo 3.8 para cada caso, lo cierto es que la prueba técnica va a tener el mismo contenido: cumplimiento por el prestador o por el cliente de los requisitos que para cada tipo de firma se exigen en la Ley 59/2003.
El único resultado diferencial que va a ofrecer la prueba es determinar si la firma que se alega como reconocida realmente lo es, lo que refuerza la tesis de que se necesita una prueba prácticamente idéntica en ambos casos, pero con un grado de requisitos a cumplir diferente.
Y lo mismo sucede con la firma electrónica ordinaria. No puede entenderse que el olvido del legislador conlleve que no hay prueba a realizar en caso de impugnación de una firma electrónica ordinaria, que por cierto es la que más impugnaciones potenciales puede tener, dado que es la menos fiable.
También en este caso, cuando la firma electrónica ordinaria se incorpore a documento privado vamos a acudir al artículo 326.2 LEC y a la pericial informática.
6.4 Otros aspectos derivados de la prueba
Finalmente, cabe recordar la previsión que contiene el artículo 326.2 LEC, que determina que en caso de que la prueba demuestre la autenticidad del documento electrónico, bien mediante cotejo o mediante la ejecución de otro medio de prueba – y, en concreto, de la pericial informática – se aplicará lo establecido en el apartado 3 del artículo 320 LEC, que determina que “cuando de un cotejo o comprobación resulte la autenticidad o exactitud de la copia o testimonio impugnados, las costas, gastos y derechos que origine el cotejo o comprobación serán exclusivamente de cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 20.000 a 100.000 pesetas”.
De este modo, podemos determinar que el coste del perito será asumido por la parte que impugne la autenticidad del documento, y que además dicha parte puede ser sancionada por temeridad, lo que, sin duda, disuadirá la impugnación en muchos casos.
La duda que cabe plantearse en este caso es si esta regla se aplicará únicamente a la pericial informática de la firma electrónica avanzada – como parece – o si se deberá aplicar también a la pericial informática de la firma electrónica reconocida – para cuyo caso no se ha previsto, puesto que se procede conforme al artículo 3.8 ab initio, y no conforme al apartado 2 del artículo 326 LEC.
Si se admitiera esta interpretación, podría darse el caso de que el coste de la prueba de la firma electrónica reconocida debiera soportarlo la parte que no realizó la impugnación, a diferencia de la prueba de la firma electrónica meramente avanzada, lo que supondría un tratamiento claramente discriminatorio y desfavorable a la firma electrónica reconocida.
7. Conclusión
Como indica el enunciado de este artículo, hemos realizado un comentario crítico de la Ley 59/2003, refiriéndonos a aquellos aspectos que, a nuestro entender, podrían haber sido objeto de una mejor regulación. Ello no obstante, no se puede desconocer que la Ley 59/2003 definitivamente aprobada contiene otros aspectos que, globalmente considerados, suponen una mejora respecto a la regulación a la que sustituye, la cual en sus tres años no ha servido para fomentar de una manera efectiva la utilización de la firma electrónica.
También es cierto que la Ley 59/2003 realiza una clara apuesta por la firma electrónica reconocida (pese a la contradicción de no imponer su obligatoria aceptación), si bien deja sin regular otros tipos de firma lo que supone, quizás sin que sea ésta la voluntad del legislador, que otros tipos de firma electrónica puedan resultar favorecidos. Esto, unido a la futura aparición del DNI electrónico y al modelo de negocio de la FNMT, y el régimen que prevé la Ley 59/2003, no puede sino plantear ciertas dudas respecto a la situación que deberán afrontar otros prestadores de servicios de certificación, públicos y privados.
Por otro lado, otras carencias de la Ley 59/2003, como la falta de adecuación de ésta a la realidad en que se ha de aplicar, caso de la firma de persona jurídica o los roles que existen en el proceso de generación de una firma, no suponen otro problema sino el hecho de que la Ley 59/2003 haya sido una ocasión perdida para regularlos pero, evidentemente, será la práctica de la vida real la que se impondrá, pues la interpretación de la norma se ha de adaptar a la realidad social, y no ésta la que se ha de interpretar literalmente conforme a los postulados de la norma, atendiendo en todo caso a la finalidad a la que ha de atender esta regulación, que es el fomento de la utilización de la firma electrónica en un marco de seguridad jurídica y confianza de los que la emplean.
