Firma electrónica, certificados y entidades de certificación.

• Autor: Apol. lònia Martínez Nadal
• Cargo: Profesora Titular de Derecho Mercantil Universitat de les Illes Balears
• Páginas: 44-59

En pleno desarrollo de la sociedad de la información, con aplicación de las nuevas tecnologías para el desarrollo de verdaderas transacciones comerciales, la firma electrónica, junto con los certificados y las entidades de certificación se ofrecen, desde el punto de vista técnico, como elementos para conseguir un comercio electrónico seguro a gran escala, en cuanto permiten solucionar los problemas de autenticidad, integridad, no rechazo en origen, e, incluso, en algunos casos, confidencialidad, inherentes a las comunicaciones electrónicas. Desde el punto de vista jurídico, estas soluciones técnicas plantea algunas dudas e incertidumbres para cuya resolución existen distintas iniciativas legislativas, surgidas en diversos campos y con diferente ámbito de aplicación, que son el objeto de la presente sección. Entre ellas, cabe mencionar, en primer lugar, leyes de origen estatal; así, diversos países europeos han aprobado o están estudiando la aprobación, de leyes en materia de firma electrónica, igual que diversos estados americanos y asiáticos. En segundo lugar, junto a la regulación de carácter estatal propia de cada estado, dado el carácter transfronterizo del comercio electrónico, resulta conveniente plantear la existencia de instrumentos armonizadores generales (convenios y reglas uniformes, que aborden, p. ej. , el tema del reconocimiento de certificados) o de determinadas áreas político-económicas (p. ej. , una directiva armonizadora, en el ámbito de la Unión Europea) ; de ahí que hagamos referencia a iniciativas surgidas desde organismos o comunidades internacionales como UNCITRAL o la Unión Europea.

Asimismo, están surgiendo también, desde diversos grupos y asociaciones, documentos orientativos que pretenden establecer líneas básicas en materia de firma electrónica, que inspiren posibles legislaciones en la materia. Y, finalmente, ha de mencionarse, la existencia de las denominadas declaraciones de prácticas de certificación, compendio del régimen aplicable y aplicado por una autoridad de certificación en el sistema de certificados, que constituyen una importante fuente no legal pero si fruto de la autonomía de la voluntad, que pueden, en principio, servir de criterio orientativo en esta fase de temprano desarrollo del comercio electrónico, e incluso puede servir de base para la generación de usos y costumbres vinculantes en la materia. Todas estas iniciativas son objeto de exposición a continuación, siguiendo la siguiente sistemática, en la que se presta especial atención al derecho español.

I) EE. UU.

Aun cuando actualmente países de todos los continentes han aprobado leyes reguladoras de la firma electrónica, no puede negarse que la primera de las actuaciones legislativas en la materia tuvo lugar en los EE. UU. , donde aún hoy día existe gran actividad en materia de legislación sobre firma electrónica. En efecto, mientras a nivel federal, el Congreso está considerando diversas iniciativas legislativas, casi todos los estados han empezado a trabajar o tienen ya legislación sobre firmas electrónicas. El primer estado en adoptar una ley en la materia fue el de Utah: es la Utah Digital Signature Act, Utah Code Annotated Title 46, Chapter 3, 1996. Aprobada en 1995 y modificada en marzo de 1996, es un importante paso legal hacia el reconocimiento de las firmas digitales. Esta ley establece el sistema de licencia concedida por el Departamento de comercio de Utah; detalla los derechos y responsabilidades de las partes de una transacción en la que se utiliza criptografía de clave pública y una autoridad de certificación con licencia1.

Mientras algunos estados, a la hora de abordar la regulación de esta materia, consideran como modelo la ley de Utah, otros estados se mueven hacia sistemas menos reguladores, y no tan específicos tecnológicamente. Así, p. ej. , California y Arizona han aprobado legislaciones que permiten el uso de firmas digitales para transacciones con las entidades públicas de cada estado, autorizando al secretario de estado a dictar normas para alcanzar la finalidad de la ley; otros estados tienen leyes que permiten el uso de firmas electrónicas con finalidades específicas, médicas (Connecticut) o financieras (Delaware) . Y hoy día se está desarrollando una nueva tendencia, como la del estado de Massachusets, que da efecto legal a las firmas y documentos electrónicos, no sólo las firmas digitales, teniendo en cuenta la naturaleza dinámica e impredecible de la evolución tecnológica.

En este sentido, la Florida Electronic Signature Act de 1996, que tiene como objetivo el desarrollo del comercio electrónico en el sector público y privado, a diferencia de la ley de Utah, California y Washington, que sólo se refieren a la firma digital, da a las firmas electrónicas la misma fuerza y efectos que las firmas manuales, de forma que todos los tipos de firmas electrónicas existentes y futuras, incluidas las firmas digitales son ahora iguales legalmente a las firmas manuscritas.

Precisamente debido a la fragmentación, dispersión y heterogeneidad que generan las diferentes iniciativas de la práctica generalidad de los estados, se está planteando la conveniencia de la existencia de una única ley federal sobre firma electrónica.

II) EUROPA

1. LEGISLACION ESTATAL En Europa, algunos estados tienen normativa aprobada (caso de Italia, Alemania, y, más recientemente, Portugal y España) y otros tienen proyectos en fase más o menos avanzada de tramitación (Reino Unido, Bélgica, Francia) .

   1. ITALIA La primera regulación de un país europeo en materia de firma digital surge en Italia. Tiene su origen en el art. 15 de la Legge 15 marzo 1997, n. 59, de delega al governo il conferimento de funzioni e compiti alle Regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la simplificazione amministrativa, norma de principio que declara la validez de los actos, documentos y contratos administrativos por medios electrónicos, y remite a una normativa posterior los aspectos técnicos y legales concretos. Normativa surgida con la aprobación del Regolamento contenente modalitá di applicazione dell’articolo 15, comma 2, della legge 15 marzo 1997, n. 59, in formazione, archivazione e trasmissione di documenti con strumenti informatici e telematici.

      El artículo 1. º de este Reglamento establece los conceptos de firma digital, par de claves asimétricas, clave privada, y certificado, entre otros; el art. 2. º establece la validez y eficacia del documento electrónico; el art. 3. º remite a un decreto la indicación de las reglas técnicas que deben respetarse para la válida formación y transmisión de documentos electrónicos; estas reglas técnicas se ajustarán a la evolución técnica al menos cada dos años; el art. 7. º regula la responsabilidad por mal uso de la clave de firma; el art. 10 regula el uso de certificados expirados, revocados o suspendidos, estableciéndose que la revocación tendrá efecto desde su publicación; el art. 11 establece que los contratos concluidos con medios informáticos y transmitidos con instrumentos telemáticos son válidos y efectivos si están firmados usando firma digital; y el art. 16 establece un sistema de firma digital autenticada. Este reglamento no entra, en cambio, a regular de forma completa las terceras partes de confianza, simplemente definidas como sujetos públicos o privados que certifican y guardan las claves públicas de firma por diez o más años.

   2. ALEMANIA En Alemania existe, desde 1997, una Ley Federal, aprobada por el Bundestag el 13 de junio, que establece las condiciones generales para los servicios de comunicación e información (Informations- und Kommunikationsdienste-Gesetz - IuKDG) . Esta Ley, formada por 11 artículos (cada uno de los cuales contiene a su vez una nueva ley, o bien enmiendas a leyes anteriores) , pretende regular los distintos cuestiones jurídicas planteadas por la nueva sociedad de la información. Así, los artículos 1. º, 2. º y 3. º contienen, respectivamente, la Ley sobre utilización de teleservicios, la Ley sobre protección de datos personales utilizados en los teleservicios, o la Ley sobre firma digital, mientras el resto de artículos contienen modificaciones a normativa diversa (sobre derecho de autor, indicación de precios, normas penales, etc. ). En particular, la Ley firma digital, reguladora de la firma digital y las entidades de certificación, tiene como finalidad proporcionar las condiciones para una infraestructura segura para el uso de firma digitales en Alemania; muchas cuestiones de detalle están contenidas en el Reglamento de desarrollo y en catálogos de seguridad para componentes técnicos.

   3. PORTUGAL El Decreto-ley núm. 290-D/99 de 2 de agosto de 1999 regula la firma digital en el derecho portugués. Formado por 41 artículos, tiene como finalidad, de acuerdo con su artículo 1. º, la regulación de la validez, eficacia y valor probatorio de los documentos electrónicos y, curiosamente en estos tiempos de neutralidad tecnológica del legislador comunitario, de la firma digital, sin perjuicio de su extensión a otras formas de firma electrónica que satisfagan exigencias de seguridad idénticas a las de la firma digital. Tras establecer las definiciones básicas (art. 2. º) y regular la forma y la fuerza probatoria de los documentos electrónicos y la firma digital (art. 3. º) , el decreto portugués establece el régimen jurídicos de las firmas digitales (arts. 7. º y 8. º) , y regula, de forma extensa, la actividad de certificación, tanto en su vertiente subjetiva (entidades certificadoras, arts. 10 a 28, y 33 a 37) como objetiva (certificados, arts. 29 a 33) . Concluye el Decreto-ley núm. 290 con diversas disposiciones finales, dedicadas, entre otras cuestiones, al reconocimiento de certificados de otros países.

      B) LEGISLACION COMUNITARIA A la vista de las distintas iniciativas estatales de los estados miembros, y precisamente por los problemas que esta dispersión normativa puede suponer para el mercado único, la Unión Europea se...