Firma Electrónica en España en España

Aquí se ofrecen, respecto al derecho español, referencias cruzadas, comentarios y análisis sobre Firma Electrónica. [aioseo_breadcrumbs][rtbs name=»derecho-home»] En relación al funcionamiento electrónico del sector público, en esta enciclopedia jurídica se encuentra información respecto de la sede electrónica (el Art. 38 de la Ley 40/2015, de 1 de octubre) y los requisitos exigidos por la legislación de firma electrónica.

Identificación en servicios públicos y Redes Sociales

La identificación en el uso de un servicio electrónico, en España, ya fue contemplada por la Ley de Acceso de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007). Los medios de los que un ciudadano puede hacer uso para identificarse ante las AAPP vienen resumidos en el artículo 13.2 de la norma aludida:

«Los ciudadanos podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine:

a) En todo caso, los sistemas de firma electrónica incorporados al Documento Nacional de Identidad, para personas físicas.

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.»

Aunque el último apartado es lo suficientemente ambiguo como para dar cabida a soluciones alternativas diversas, y a falta del desarrollo reglamentario, no parece pensada, sin embargo, para dar cabida a sistemas de identificación gestionados por terceros. Y sin embargo, esa fue la necesidad en el futuro que ya se planteó al poco de publicarse la norma, ya que pueden proporcionar un método de firma electrónica no avanzada ni reconocida de extrema sencillez de uso.

En algo tan delicado como la identidad, no sólo la interoperabilidad técnica es importante. También lo es establecer un marco legal adecuado. De acuerdo a la norma legal citada, cómo es concertado ese uso de claves ya dadas antes la proveedor de la red social y en que términos y condiciones un proveedor de identidad no basado en certificados puede establecerse. La garantía de protección de datos personales es sólo una parte.

Validación de certificados digitales

Los Prestadores de Servicios de Certificación (PSCs) deben mantener un servicio de consulta sobre la vigencia de los certificados figura entre las obligaciones que han de cumplir. Así lo dice la Ley de Firma Electrónica (Ley 59/2003, LFE) y la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007, LAESCP). El artículo 18, sobre las obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos, señala, en su apartado d, que hay que garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro. Véase más sobre los certificados digitales en esta enciclopedia.

Confianza de la confianza en las infraestructuras de clave pública

Las Autoridades de Certificación son también denominadas como tercera parte de confianza. Sin embargo, en general, dicha confianza no es nacida de si mismas, sino basadas en un marco legal, como puede ser la Directiva Európea de Firma Electrónica (Directiva 1999/93) o la Ley de Firma Electrónica Española (LFE, Ley 59/2003). Ello implica que la validación de una firma electrónica debería conllevar tres pasos:

• Validar que la firma esta realizada por quien posee la clave privada asociada al certificado presentado que lleva la clave pública
• Validar que el certificado no está revocado acudiendo a la Autoridad de Certificación que lo emitió
• Validar que la Autoridad de Certificación es realmente una tercera parte de confianza.

A diferencia de los tres primeros, el último de los pasos no es un paso que haya sido automatizado de modo generalizado. Aunque existen países en los que de un modo u otro la autoridad reguladora da esta opción, no existe una implementación homogénea de los mecanismos para ello: Certificados raices de las Autoridades de Certificación firmados, listas blancas o negras de Autoridades de Certificación, … Son algunos de los mecanismos en uso.

Esta situación, paradójicamente, no sucede por que no exista una estándar para ello. Existen al menos dos documentos ETSI que recogen una propuesta en esta línea

• ETSI TR 102 030 (2002-03) Provision of harmonized Trust Service Provider status information (Technical Report)
• ETSI TS 102 231 (2003-10) Provision of harmonized Trust Service Provider status information (Technical Specification)

En ella las autoridades reguladoras de acuerdo con un formato concreto emiten las denominadas Trusted Services Status Lists (TSL). Estas listas recogen aquellos proveedores de servicios de confianza (no solo Autoridades de Certificación) que han pasado los requisitos para iniciar su actividad y siguen cumpliéndolos en el momento de emisión de la lista. Apoyándose en este estándar, se propone construir el modelo de confianza entre la AGE y las CCAA en el“Esquema de identificación y firma electrónica de las AAPP” confeccionado por la AGE, ligándolo a una infraestructura de confianza global dentro de la UE basada en el mismo modelo. Básicamente, las autoridades reguladoras de que ámbito de competencia serían interrogadas por las restantes para conocer si una Autoridad de Certificación sigue o no siendo válida.

Autor: Andres Nin Pérez

El DNI 3.0

La distribución del DNI electrónico comenzó en 2006 con la intención de adaptarse a las nuevas tecnologías y facilitar los trámites a los ciudadanos. Sin embargo la aceptación de este dispositivo ha sido escasa y poco útil especialmente por las evidentes limitaciones que presentaba dicho documento. El nuevo DNI 3.0 incorpora un chip certificado de seguridad con mayor capacidad y mucho más rápido. Este chip certificado actuará como un dispositivo seguro de creación de firma electrónica reconocida, que dota a la firma electrónica de la misma validez jurídica que la rúbrica manuscrita y podrá ser usado como documento de viaje electrónico, gracias a sus nuevas capacidades técnicas. Permitirá firmar electrónicamente autorizaciones.

El proceso de implantación de la firma electrónica en las CCAA

Tras la creación del “Esquema de Identificación y Firma de las AAPP” por la AGE, puede deducirse que el proceso de implantación de la firma electrónica en las AAPP queda totalmente clarificado. A partir del mismo, los siguientes pasos parecen reducidos a la mera expedición de certificados a los empleados públicos, la implantación en las sedes electrónicas y el uso del sello de órgano por las aplicaciones que permiten el ejercicio automatizado de las potestades. Si bien, y con matices, esto puede ser cierto dentro de los órganos y organismos del ámbito de la AGE, no lo es desde luego dentro del ámbito de las Administraciones Autonómicas, que pueden realizar a partir del marco básico su propio desarrollo legislativo.

Los pasos que habría de seguir cualquier CCAA son fácilmente identificables a partir del Esquema de la AGE. En primer lugar, habría de definir su propia “Política de Certificación”, identificando la tipología y perfiles de certificados de cada uno de los tres tipos definidos en la LAECSP (empleado, sede y sello) y el ciclo de vida de los mismos. Ni lo uno ni lo otro es un tema baladí o directamente extrapolable de la política definida para la AGE. De un lado, tiene peso la visión de la firma electrónica como herramienta que cada Administración tenga, la población de sus empleados a los que quiera que esta llegue y con que uso. De otro lado, la distribución de los certificados va intimamente ligado a las estructuras de RRHH y los procesos asociados a su gestión, que tienen, aún dentro de un mismo marco, aspectos diferenciales.

A partir de la “Política de Certificación”, es posible ya definir la operativa de gestión de los certificados, denominada “Declaración de Prácticas de Certificación” (DPC) y que ha de cumplir los requisitos descritos en la política. No esta labor necesariamente de la AAPP, al no ser que se dote a si misma y de forma interna de las herramientas de firma electrónica, sino del Prestador de Servicios de Certificación (PSC), que habrá, adicionalmente, que cumplir con el resto de la legislación de firma electrónica. Bajo dicha DPC, ya podrían ser emitidos los certificados requeridos por la AAPP. Aunque por razones de economía de escala lo lógico es que un mismo PSC emita todos los tipos de certificados requeridos por una misma AAPP, nada impediría que no fuera así, si bien entonces, además, habría de solventar los problemas de interoperabilidad interna derivados de esa opción.

Existen sin embargo, al menos, otros dos aspectos que una AAPP habría de considerar. El primero de ellos sería el rol del DNIe como medio de identificación del empleado público, definido como posible herramienta de firma de este en el artículo 19.3 de la LAECSP. Dado que el DNIe, como es obvio, no contiene “identificación de forma conjunta del titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios” que recomienda el artículo 19.2 que han de incluir los sistemas de firma electrónica facilitados a los empleados públicos, su uso implica la necesidad de obtener esta información de los Registros Centrales de Personal de la AAPP, y contemplar en las aplicaciones como combinar con la firma electrónica generada.

Autor: Andres Nin Pérez

Interoperabilidad de los sistemas de firma electrónica de las Administraciones Públicas

La interoperabilidad de los sistemas de firma electrónica utilizados y reconocidos por las distintas AAPP con las que se relacionan los ciudadanos, es una piedra angular de la Administración Electrónica. Esta importancia queda resaltada dentro de la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007) incluyéndola como uno de los principios a los que ha de ajustarse el uso de las tecnologías de la información dentro de las Administraciones Públicas:

El Artículo 4 (relativo a los Principios generales), apartado e, dispone que la «utilización de las tecnologías de la información tendrá las limitaciones establecidas por la Constitución y el resto del ordenamiento jurídico, respetando el pleno ejercicio por los ciudadanos de los derechos que tienen reconocidos, y ajustándose a los siguientes principios:.. Principio de cooperación en la utilización de medios electrónicos por las Administraciones Públicas al objeto de garantizar tanto la interoperabilidad de los sistemas y soluciones adoptados por cada una de ellas como, en su caso, la prestación conjunta de servicios a los ciudadanos. En particular, se garantizará el reconocimiento mutuo de los documentos electrónicos y de los medios de identificación y autenticación que se ajusten a lo dispuesto en la presente Ley.»

La necesidad de esta interoperabilidad se deriva de la potestad de autoorganización de las AAPP. Esta potestad, llevada al campo de la identidad electrónica, implica la definición autónoma por cada Administración de las credenciales digitales usadas por los empleados públicos que tiene adscritos y los sistemas de la información en que se apoyan los servicios públicos que prestan, así como de las que reconocen como medio de identificación de los ciudadanos en las relaciones por medios electrónicos. Dado el entorno de competencias fragmentadas, dónde Administraciones de ámbito supranacional, estatal, regional y local han de colaborar en la prestación de servicios electrónicos, la interoperabilidad se convierte en una obligación.

Haciendo referencia a los distintos medios de identificación manejados por la LAECSP, la interoperabilidad de los sistemas de firma electrónica ha de centrarse fundamentalmente en tres campos:

• Reconocimiento de un conjunto común de credenciales digitales que pueden utilizar los ciudadanos.
• Certificados electrónicos de empleados públicos con un mínimo de información común.
• Sellos electrónicos para la actuación automatizada de cada Administración que puedan ser verificados por las restantes y permitan el intercambio de documentos administrativos en formato electrónico.

El primero de los campos de interoperabilidad de la identidad digital, está garantizado por la Ley de Firma Electrónica (LFE, Ley 59/2003) en el ámbito nacional, regional y local y por la Directiva 1999/93/CE en el ámbito supranacional. Si bien el estándar X509v3 da flexibilidad en cuanto los campos de los certificados digitales y el orden de los mismos, el marco legal referido establece cuál ha de ser la información mínima a contener y los requisitos legales que los prestadores, si bien bajo régimen de libre establecimiento, han de cumplir.

En el caso de los certificados electrónicos de los empleados públicos, hemos de acudir a la LAECSP para encontrar el conjunto mínimo de atributos de los mismos:

«Artículo 19. Firma electrónica del personal al servicio de las Administraciones Públicas.

1. Sin perjuicio de lo previsto en los artículos 17 y 18, la identificación y autenticación del ejercicio de la competencia de la Administración Pública, órgano o entidad actuante, cuando utilice medios electrónicos, se realizará mediante firma electrónica del personal a su servicio, de acuerdo con lo dispuesto en los siguientes apartados.

2. Cada Administración Pública podrá proveer a su personal de sistemas de firma electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios.

3. La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.»

Deja por tanto un amplio margen de autonomía para que cada Administración ejerza su potestad de autoorganización, por lo que parece conveniente que acuerden entre ellas un perfil común. Dicho perfil común es, en principio, el recogido en el “Esquema de Identificación y Firma Electrónica de las AAPP”, si bien a día de hoy aún no es marco legal oficial. El carácter básico de la LAECSP no impediría sin embargo que, manteniendo la existencia de la información recogida en el Artículo 19.2, cada AAPP tuviera su propio perfil de certificados. Dicha situación no sería tampoco mayor problema, tan sólo sería necesario tratar cada uno de ellos como el de los certificados emitidos por los restantes Prestadores de Servicios de Certificación en las Plataformas de Validación existentes en cada Administración (@firma en el caso de la AGE). El caso del uso de los certificados del DNIe como herramienta de firma electrónica por los empleados públicos, merece, sin embargo, capítulo aparte y no profundizaremos en el, ya que claramente no cumple lo indicado en el artículo 19.2 y tiene otras implicaciones de carácter organizativo.

La interoperabilidad de los sellos electrónicos, por último, no presentan mayor complejidad más allá del nivel organizativo de la interoperabilidad, ya que han de establecerse los mecanismos de comunicación adecuados entre las Administraciones para comunicarse los sellos que cada una usa. Una vez resuelto el primer nivel de interoperabilidad, el nivel semántico quedaría resuelto con el “Esquema de Identificación y Firma electrónica” que define los perfiles de los mismos y el nivel técnico es resuelto por @firma o una plataforma similar.

Autor: Andres Nin Pérez

Legislación de Derecho Civil y Ley de firma electrónica

Legislación de Derecho Civil sobre Forma de los actos jurídicos

Entrada Principal: Forma de los actos jurídicos. La legislación básica española en derecho civil sobre esta materia es la siguiente:

• Ley del Notariado (1862)
• Reglamento de la organización y régimen del Notariado (1944)

Recursos

Véase también

• Derecho Civil
• Legislación de Derecho Civil
• Derecho Civil I
• Parte General del Derecho Civil

Bibliografía

• Código Derecho de la Información y Publicitario, Eugenio Llamas Pombo y Agustín Macías Castillo
• La firma electrónica. Marco legal y aplicaciones prácticas, Francisco de Quinto Zumárraga
• Aspectos prácticos de la protección de datos de las personas físicas, Antonio María Rubio Navarro
• Formación y perfección del contrato en Internet, Ángela Guisado Moreno
• La firma electrónica reconocida, Diego Cruz Rivero
• Código derecho de la información y publicitario, Eugenio Llamas Pombo y Agustín Macías Castillo
• Administración electrónica, Carlos Barriuso Ruiz
• Legislación Notarial, Antonio Pau Pedrón
• La firma de las personas jurídicas.Comentario al art. 7 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, Francisco Javier García Mas
• Algunos comentarios a la Ley 59/2003, de 19 de diciembre, de firma electónica, Francisco Javier García Mas
• Homenaje al Profesor LLuis Puig i Ferriol, Juan Manuel Abril Campoy y María Eulalia Amat Llari
• La prueba de documentos electrónicos en los tribunales de justicia, Julio José Elías Baturones
• Comentarios a la Ley 59/2003 de firma electrónica, Martínez Nadal, Apolonia
• Servicios de Certificación de Firma Electrónica y Libre Competencia, Roberto Couto Calviño
• Derecho y nuevas tecnologías, Miquel Peguera Poch y otros
• Los certificados electrónicos en la Ley 59/2003, de 19 de diciembre. En especial, los certificados de personas jurídicas (I), Ana Isabel Berrocal Lanzarot
• Empresa y prueba informática, Federico Benítez Alahija Sánchez
• Normas Básicas de Derecho de la Información, Audiovisual y Publicitario, Agustín Macías Castillo
• Legislación general de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, Varios Autores
• Administración Electrónica, Varios Autores
• Comentarios a la ley de Régimen Jurídico de las Adminitraciones Públicas y el Procedimiento Adminitrativo Común (Ley 30/1992), Jesús González Pérez , Francisco González Navarro
• Legislación general de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, Varios autores
• Sociedad de la Información y Empresa, José Ignacio Vidal Portabales
• El reflejo de las nuevas tecnologías en el derecho penal y otros destellos, Serrano Ferrer, Mª Pilar