INTRODUCCIÓN. DEL DECRETO-LEY DE 1999 SOBRE FIRMA ELECTRÓNICA A LA PROPUESTA DE EIDAS2
MANUEL GONZÁLEZ-MENESES Notario
Director de la Cátedra ICADE-Notariado sobre seguridad jurídica en la sociedad digital
Internet es el proyecto de ingeniería más grandioso, sofisticado y posiblemente de mayor impacto social de toda la historia de la humanidad -al menos, hasta el momento presente-. La idea de conectar en red una serie de ordenadores o computadoras fue concebida en la década de los setenta del pasado siglo en los Estados Unidos de América como resultado de la combinación, por un lado, de las preocupaciones del Departamento de Defensa en el marco de la Guerra Fría por conseguir un sistema de información que fuera más resiliente a un ataque nuclear que los tradicionales sistemas centralizados, y por otro lado, de la necesidad de compartir los muy escasos y costosos servicios de computación entonces disponibles en las instituciones universitarias norteamericanas. La red -o mejor, red de redes- que entonces se empezó a tejer, financiada con dinero público y limitada a fines militares y académicos, fue poco a poco extendiéndose por todo el planeta hasta convertirse en una red global, que superaba todas las fronteras estatales, y que no limitaba su objeto a un propósito específico. También comenzó a suscitar un interés creciente por parte de las empresas privadas, que pronto intuyeron las grandes expectativas de negocio que iba a traer consigo.
La transformación de los equipos informáticos en bienes de consumo masivo, gracias a la reducción de su tamaño y coste, al incremento exponencial de su potencia, velocidad y capacidad y al desarrollo de sistemas operativos, programas e interfaces fácilmente usables -en particular, los navegadores a través de la world wide web-, junto con la generalización de conexiones y canales de transmisión de banda ancha y alta velocidad y la aparición de dispositivos móviles conectables sin hilos a la red (teléfonos inteligentes, tabletas), todo ello ha convertido Internet en el sistema de comunicación por excelencia de nuestro tiempo. Se trata de un sistema que prácticamente elimina todas las limitaciones de tiempo, espacio y contenido, y que además es bidireccional, o mejor, multidireccional, permite una total interacción comunicativa: todos podemos recibir y también generar y transmitir información de cualquier clase y formato (texto, sonido, imágenes fijas o en movimiento) de forma casi instantánea y cualquiera que sea el lugar en que nos encontremos.
La multidireccionalidad, la instantaneidad y la ubicuidad son rasgos propios, en cierta medida, de algún otro sistema de comunicación preexistente, como la telefonía, pero internet los ha llevado a otra dimensión. La fragmentación de los mensajes en paquetes etiquetados que se enrutan hacia el equipo de destino por las conexiones de la red más convenientes en cada momento supera la necesidad de contar con un canal específico dedicado a una concreta transmisión, como sucede con las líneas telefónicas. Pero, sobre todo, fue la creación de la world wide web a principios de los años noventa, mediante el lenguaje html, la hipertextualidad, los navegadores, la proliferación de páginas web y los buscadores, lo que transformó radicalmente el fenómeno de la información y también nuestro entorno social, dando lugar al nacimiento de lo que hoy conocemos como “sociedad de la información”. Para entablar una comunicación telefónica hay que conocer ese identificador que es el número de la línea de teléfono de una determinada persona u organización y conseguir acceder a esa línea en un momento en que no esté ocupada por otra comunicación en curso. Pero el número en cuestión es un signo muy poco expresivo, no nos dice apenas nada -salvo el indicador de país- sobre la persona u organización en cuestión y nada en absoluto sobre sus cualidades y actividades y en particular sobre los bienes y servicios que, en su caso, ofrece en el mercado. La información sobre estos datos hay que encontrarla en alguna otra fuente y en un momento distinto (no nos la da el propio medio telefónico, salvo en esas invasivas e irritantes llamadas publicitarias que recibimos de alguna empresa operadora). La navegación a través de la triple w, la telaraña mundial, es una experiencia que viene a cambiar completamente las cosas. La información -toda la información concebible- sale directamente a nuestro encuentro cuando tecleamos una sola palabra -o incluso sus primeras letras- en un buscador; y una vez que accedemos a una página de una web, nuevos enlaces nos invitan a abrir nuevas páginas con nuevas propuestas informativas relacionadas con aquello que inicialmente había suscitado nuestro interés, donde a su vez encontraremos nuevas sugerencias y así hasta el infinito. Muchas de estas páginas nos ofrecen además la posibilidad de interactuar, de mandar un mensaje, de informar nosotros de algo, o de pedir o solicitar algo. Y en el mismo espacio donde se hace posible esa interacción comunicativa encontramos información sobre bienes y servicios disponibles.
Esta peculiaridad de permitir la interacción instantánea y ubicua convierte internet en un instrumento idóneo para el comercio, en el gran bazar donde todos los bienes y servicios que es capaz de concebir el ingenio humano se ofrecen a la venta y donde cada uno puede encontrar y adquirir -o al menos encargar- todo aquello que desee.
Pero para que esto sea posible es condición necesaria la superación de un grave problema de seguridad, que es inherente a la propia idea de una red de comunicación abierta y a un soporte tan etéreo como el electrónico: cómo te-
Manuel González-Meneses 10
ner certeza de quién es la persona o empresa con la que me estoy comunicando, cómo acreditar el contenido y tiempo de una concreta interacción comunicativa, cómo conseguir que la contraparte quede vinculada por lo prometido. La respuesta a esta demanda de seguridad -propiamente, seguridad jurídica- ha sido aportada por la propia tecnología informática en combinación con la criptografía matemática, en particular, lo que se conoce como criptografía asimétrica, de doble clave o de clave pública: unos peculiares algoritmos inventados a finales de la década de los setenta del siglo pasado permiten generar un par de claves enlazadas matemáticamente de manera que lo que se cifra o encripta con una sólo se puede descifrar o desencriptar con la otra y sin que el conocimiento de una de las claves permita averiguar la otra.
Las operaciones o algoritmos matemáticos que permiten generar este tipo de claves se idearon -como se acaba de indicar- en los años setenta y no fue nada fácil llegar a ellos. La motivación que llevó a este ingenioso descubrimiento no tenía inicialmente mucho que ver con el tema que aquí nos ocupa: la contratación segura en la red, la imputación segura de las declaraciones de voluntad negociales en el ciberespacio. Lo que puso en marcha todo esto de lo que se va a tratar en esta obra fue una preocupación diferente: la pretensión de preservar la confidencialidad de la información y las comunicaciones, que podía resultar amenazada, primero, por la simple informatización o digitalización (porque cualquier información digitalizada es susceptible de ser copiada fácilmente y sin dejar huella, sin necesidad de sustraer el original), y segundo, por la aparición de ese nuevo medio o canal tan abierto y vulnerable como iba a ser esa red de interconexión de equipos informáticos que por entonces se estaba empezando a concebir. El problema era cómo hacer uso de la criptografía como instrumento para preservar la confidencialidad de la información y de las comunicaciones entre personas a distancia frente a la curiosidad de los gobiernos o de las grandes corporaciones sin tener que transmitir las claves de cifrado y descifrado por un medio inseguro como es una red abierta. La solución fue la aludida criptografía de doble clave, que permite dar a conocer una de las claves por medios inseguros o incluso de acceso general, manteniendo la otra clave completamente reservada. De esta manera, si conozco la clave pública de una persona, puedo transmitirle una información cifrada que sólo esa persona puede abrir o poner en claro aplicando al mensaje la correlativa clave privada que sólo él conoce, y ello sin que compartir o comunicar las claves públicas por un medio inseguro ponga en riesgo el secreto de nuestras comunicaciones (como sí sucede en los sistemas de criptografía simétrica, en los que es una misma clave la que se emplea para cifrar y para descifrar).
Pero el caso es que Whitfield DIFFIE, el matemático hippie y un tanto conspiranoico al que se le ocurrió esta idea de la criptografía de doble clave, concibió también, en un momento de iluminación, la no menos genial idea de que a este protocolo criptográfico se le podía dar la vuelta y con ello dar respuesta
INTRODUCCIÓN.
11
DEL DECRETO-LEY DE 1999 SOBRE FIRMA ELECTRÓNICA...
a un problema completamente diferente: si en vez de cifrar el mensaje con la clave pública del destinatario, para que solo este lo pueda abrir, se cifra con la clave secreta o privada del emisor, entonces, cualquiera que conozca la clave pública de ese emisor puede tener certeza acerca de la procedencia o autoría del mensaje. Si el mensaje se descifra aplicando la clave pública correspondiente a un determinado sujeto, entonces el mensaje necesariamente procede de él, porque sólo quien conoce la clave privada correlativa a esa clave pública ha podido cifrar de esta manera ese mensaje. O dicho de otra forma, la criptografía asimétrica puede emplearse para incorporar una marca o señal personal a un determinado mensaje, es decir, para “firmarlo”, de manera que el destinatario tenga certeza sobre su autoría. De esta forma, la preocupación de los criptoanarquistas por conseguir un instrumento para proteger la privacidad de su información y de sus comunicaciones frente a la mirada del gran hermano estatal o empresarial dio lugar a la herramienta que podía permitir la identificación segura de los remitentes de mensajes y por tanto la contratación segura en la red, y con ello el desarrollo del comercio y los negocios en internet.
Ahora bien, para que la acción de descifrar un mensaje (o una parte o resumen de éste) mediante la aplicación de una determinada clave pública sirva para obtener certeza acerca de la identidad del autor o remisor del mensaje en cuestión es necesario que concurran dos circunstancias completamente ajenas tanto a las matemáticas como a la tecnología: primero, que la persona que dispone de ese par de claves de criptografía asimétrica mantenga efectivamente secreta una de las claves; y segundo, que o bien el destinatario del mensaje conozca por sí mismo la clave pública del pretendido autor (porque las dos partes de la comunicación se conocen y se han informado previamente de sus respectivas claves públicas en un contacto presencial o por un medio de comunicación seguro), o bien que un tercero confiable nos informe de que esa clave pública es la que corresponde precisamente a esa concreta persona.
En relación con este tercero, se han conocido, a su vez dos sistemas: un modelo descentralizado y reticular, peer-to-peer, en el cual unos usuarios confirman las firmas de otros, generándose una red de reconocimientos (incluso con reuniones ad hoc para compartir claves públicas propias y de conocidos); y un modelo más formal y centralizado, que se suele conocer con las siglas PKI (de public key infrastructure), en el cual un determinado sujeto u organización desarrolla profesionalmente la actividad de certificar claves públicas de criptografía asimétrica. Surge así la figura del tercero que asume la función de certificar frente al público en general la pertenencia de las claves públicas que permiten verificar la procedencia de los mensajes en las redes abiertas.
Por supuesto, esta tecnología de la criptografía asimétrica con el complemento de una PKI no es la única forma de obtener certeza acerca de la identidad de la persona con la que nos comunicamos electrónicamente, y para poder imputarle, en su caso, una determinada declaración de voluntad negocial y
Manuel González-Meneses 12
evitar su repudio (también se pueden emplear para ello marcas biométricas como una firma trazada a mano sobre una tableta electrónica, o el tecleado de un código remitido por SMS al teléfono móvil de una determinada persona si tenemos certeza de la titularidad de la línea telefónica en cuestión). Pero sí fue el sistema que patrocinó la Ley modelo de UNCITRAL sobre las firmas electrónicas del año 2001 y también la Directiva 1999/93 del Parlamento Europeo y el Consejo de 13 de diciembre del año 1999, por la que se estableció un marco comunitario para la firma electrónica (en adelante, DFE). A esta Directiva europea se anticipó nuestro Real Decreto-ley de 17 de septiembre de 1999, sobre firma electrónica, y luego fue traspuesta por la Ley 59/2003, de 19 de diciembre, de firma electrónica (en adelante LFE). Pese a su pretendida neutralidad tecnológica, el modelo de firma electrónica que contemplaban todas estas normas era precisamente el basado en criptografía de clave pública, por considerarlo como el sistema que justificaba más plenamente la equivalencia funcional jurídica de la firma electrónica a la firma manuscrita en papel, y para él se reservó el calificativo de “firma electrónica reconocida”. Y ello porque no sólo proporciona certeza sobre la procedencia de un mensaje, sino además garantiza la integridad de su contenido, por cuanto el cifrado del mensaje o de su función resumen mediante la clave del remitente identifica el propio contenido, porque se imbrica lógicamente con todo él.
Y la cuestión es que, junto con este sistema de firma electrónica basado en criptografía asimétrica, que es una tecnología procedente del ámbito anglosajón, las citadas normas de principios de este siglo importaron y trasplantaron también al derecho continental europeo un servicio -la certificación de las claves públicas que se emplean para verificar este tipo de firmas- que, aunque podría calificarse como paranotarial, se concibe como un servicio mercantil, que puede ser prestado por empresas privadas en régimen de libre mercado y competencia (es decir, no se reserva a agentes u organismos integrados dentro de la estructura jurídico-pública de los Estados, como sucede con los notarios y los registradores en nuestro sistema).
No obstante, la trascendencia respecto de terceros que pueden tener las firmas electrónicas y el deseo de contribuir a incrementar la confianza en este instrumento como base del desarrollo del comercio electrónico llevaron al legislador europeo a establecer -junto a la fundamental regla de equivalencia funcional para las firmas electrónicas reconocidas y a la exclusión de posibles reglas que privasen de efectos jurídicos a otras modalidades de firma por el mero hecho de ser electrónicas- una serie de normas que pretendían instaurar un régimen armonizado a nivel europeo de supervisión y homologación por parte de las autoridades públicas de estas herramientas técnicas y de estos servicios de certificación. Con ello, estas herramientas y estos servicios dejan de estar sujetos a un régimen de autorregulación por la propia industria, como una cuestión de simple estandarización o normalización técnica, y quedan sometidos
INTRODUCCIÓN.
13
DEL DECRETO-LEY DE 1999 SOBRE FIRMA ELECTRÓNICA...
a normas jurídicas generales. No se trata con ello de una reserva legal de esta actividad, ni del sometimiento de su ejercicio a autorización administrativa previa, sino de la imposición de una serie de obligaciones legales a las empresas que deciden dedicarse a esta actividad -entre ellas, la contratación de un determinado seguro de responsabilidad civil- y el control de su cumplimiento por parte de la Administración competente, junto con la posibilidad de obtener una homologación, previa comprobación de la satisfacción de determinados requisitos, para aquellas empresas que aspiran a que sus servicios merezcan la calificación de “reconocidos”.
Por otra parte, en otra norma de principios de este siglo, en el artículo 25 de la Ley de servicios de la sociedad de la información y de comercio electrónico de 2002 (en adelante, LSSICE) -hoy derogado por la Ley 6/2020-, vamos a encontrar -también en un régimen de libre prestación de servicios- un personaje denominado con una fórmula tan genérica como “tercero de confianza”. Así, bajo la rúbrica Intervención de terceros de confianza, nos decía esta norma: «Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar». Por tanto, se trataba de la prestación de unos servicios de tercería de archivo documental y time-stamping de origen convencional –«las partes podrán pactar»- y, en consecuencia, parece que de eficacia sólo inter partes. De hecho, por si hacía falta, la norma se cuidaba de precisar que «La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública». Precisamente, el rasgo básico de eficacia de los documentos notariales es que hacen prueba, aun contra tercero, del hecho que motiva su otorgamiento y de su fecha (artículo 1218 CC).
En cualquier caso, toda la regulación legal de esta figura de los terceros de confianza en relación con contratos y comunicaciones electrónicas se limitaba a algo tan simple como imponerles una obligación de conservación de sus archivos «por el tiempo estipulado que, en ningún caso, será inferior a cinco años».
Pese a esta parca regulación y a la referida salvedad del segundo inciso del artículo 25.1 LSSICE (que hoy se mantiene en la disposición adicional primera de la Ley 6/2020), la aparición en escena de estos autocalificados terceros de confianza ponía de manifiesto cómo la certificación de las claves públicas no iba a ser el único servicio de confianza alternativo que iba a buscar su mercado en el medio electrónico. Obsérvese que no tiene nada que ver el servicio de certificación de firmas electrónicas, que simplemente acredita quién ha registrado una determinada clave pública que se podrá emplear para verificar la procedencia de unos mensajes que en el futuro se creen, en su caso, por el sujeto en cuestión (en cuya eventual existencia y contenido no tiene intervención alguna el certificador de la clave pública), con un servicio dirigido a acreditar
Manuel González-Meneses 14
el contenido y tiempo de una concreta interacción comunicativa con posible trascendencia jurídica trabada ya efectivamente entre dos sujetos.
Por otra parte, en cuanto al propio servicio de certificación de firmas electrónicas basadas en criptografía asimétrica que contemplaba la DFE y nuestra LFE, hay que decir que no ha llegado a alcanzar el éxito que algunos habían esperado. En la práctica, el conjunto de nuestra ciudadanía, aun disponiendo de un chip para la aplicación de una clave privada y de un certificado de clave pública incorporados al documento nacional de identidad en su versión eDNI, no ha hecho apenas uso de semejante funcionalidad. Y ello precisamente porque utilizar una tarjeta física para firmar electrónicamente requiere disponer de un software determinado -debidamente actualizado e interoperable con el sistema de destino- y de un dispositivo de lectura de la tarjeta, lo que supone un inconveniente para la “usabilidad” del sistema. Como consecuencia de ello, han sido sólo los profesionales (gestores, asesores fiscales, abogados y también notarios y registradores en su específico ámbito de actuación) los que han hecho un uso sistemático de la firma electrónica reconocida, normalmente en relación con órganos de la propia Administración pública, en la medida en que ésta ha incentivado o impuesto este sistema de firma para actuaciones en línea.
Esto último no quiere decir que la normativa y la práctica administrativa concernientes a las relaciones telemáticas de los ciudadanos con la Administración haya impuesto en exclusiva como mecanismo de autenticación e identificación la firma electrónica reconocida. En el acceso a determinada información o en la tramitación de determinados expedientes se han habilitado variados sistemas de identificación de carácter muy heterogéneo (algunos tan sorprendentes como la introducción de la cifra consignada en una casilla de la declaración del IRPF del año anterior).
Por su parte, en el sector privado la firma electrónica reconocida no ha sido, en absoluto, un instrumento de autenticación empleado habitualmente en las relaciones entre empresarios y menos aún en las relaciones entre las empresas y los consumidores. En particular, en un sector tan delicado y de tanto volumen como los servicios bancarios en línea, la única “firma electrónica” de los usuarios que se ha empleado durante bastante tiempo ha consistido en el tecleado de un pin de cuatro dígitos numéricos, y sólo a partir de la entrada en vigor de la Directiva de servicios de pago de 2015 (DSP2) se ha introducido un mayor rigor para este tipo de comunicaciones electrónicas (no basta con introducir un pin, sino que además se debe teclear un código recibido en el teléfono móvil del usuario).
Estando así las cosas, en el mes de julio del año 2016 comenzó a ser aplicable en España el Reglamento (UE), 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (conocido como Reglamento eIDAS).
15
INTRODUCCIÓN. DEL DECRETO-LEY DE 1999 SOBRE FIRMA ELECTRÓNICA...
Por lo que aquí interesa, las tres grandes novedades que trajo consigo el Reglamento eIDAS fueron las siguientes:
1.- El cambio de instrumento normativo que supone el paso de una directiva dirigida a armonizar las distintas regulaciones nacionales a un reglamento que establece una regulación uniforme de directa aplicación en toda la Unión Europea. Semejante cambio pone de manifiesto la relevancia que el legislador europeo atribuye a esta materia para la efectividad del mercado interior, así como la insuficiencia de la armonización lograda bajo la vigencia de la DFE. Precisamente, una consecuencia de esta novedad fue que nuestra LFE de 2003 devino inaplicable en todo aquello regulado de forma directa por el Reglamento, hasta ser formalmente derogada por la Ley 6/2020, a la que luego haremos referencia.
2.- La introducción de una novedosa regulación específica de una cuestión no contemplada en la DFE: la identificación electrónica, un asunto relacionado con la firma electrónica (en cuanto que una de las funciones de la firma es identificar a una persona) pero claramente diferenciable de ésta. En síntesis, la idea del Reglamento eIDAS sobre esta cuestión es la siguiente: cada uno de los Estados miembros queda obligado a reconocer la posibilidad de que los ciudadanos de otros Estados miembros empleen en sus relaciones transfronterizas en línea con el primer Estado aquellos sistemas de identificación electrónica que su propio Estado reconozca y haya comunicado al efecto a la Comisión Europea. Es importante advertir dos datos: i) la identificación electrónica que contempla esta norma se limita a la identificación precisa para acceder a determinados servicios públicos prestados en línea por un Estado miembro (por ejemplo, el pago telemático de un tributo, el acceso a unos datos catastrales); y ii) la iniciativa para el obligatorio reconocimiento corresponde al Estado de origen del usuario: sólo si un Estado comunica a la Comisión la existencia de un determinado sistema de identificación electrónica reconocido en su propio ámbito y que alcanza un determinado estándar de seguridad que define el Reglamento (por ejemplo, nuestro eDNI), entonces los demás Estados miembros están obligados a reconocer la posibilidad de que los ciudadanos españoles hagamos uso de nuestro eDNI como medio de identificación electrónica para el acceso a determinados servicios prestados en línea por alguno de esos otros Estados. Por tanto, el ámbito de aplicación de esta normativa sobre reconocimiento de sistemas de identificación electrónica se limita al sector público; y el protagonismo en esta materia corresponde a los Estados, es decir, a las autoridades públicas de cada uno de los Estados miembros.
La razón de este protagonismo que se reservan los Estados -y que contrasta claramente con el carácter privado y mercantil de los servicios de confianza de
Manuel González-Meneses 16
que se ocupa la otra parte del Reglamento- se encuentra en la trascendencia jurídico-pública, y en particular de seguridad pública, que los propios Estados atribuyen a la cuestión de la identificación de sus ciudadanos. Podríamos decir que una prerrogativa del Estado-nación moderno es precisamente controlar la identidad de sus nacionales. Y ello mediante la asignación a cada uno de ellos de unos signos de identificación regulados (el nombre propio y los dos apellidos en nuestro caso), así como un identificador numérico unívoco (el número que aparece en nuestro DNI), y también mediante la expedición de una credencial documental de esa identidad controlada por el Estado (nuestra tarjeta del DNI). Aunque también es verdad que en determinadas áreas geográficas está vigente una tradición que se resiste a estas prácticas estatales de identificación por considerarlas invasivas del ámbito de privacidad y autonomía de los ciudadanos.
3.- La tercera gran novedad fue ampliar el ámbito de los servicios de certificación relativos a transacciones electrónicas objeto de regulación, ahora denominados genéricamente “servicios de confianza” y no limitados como en la DFE a los certificados emitidos en relación con firmas electrónicas. Así, nuevos servicios regulados (mediante una normativa uniforme aplicable en todos los Estados) van a ser la certificación de sellos electrónicos de personas jurídicas -una categoría que sustituye a las firmas electrónicas de personas jurídicas que contemplaba nuestra LFE-, la validación de firmas y sellos electrónicos, la conservación de firmas y sellos electrónicos, el sellado electrónico de tiempo, la entrega electrónica certificada y los certificados para la autenticación de sitios web.
Es muy importante la distinción en el régimen del Reglamento de dos grandes categorías de servicios de confianza: los “cualificados” y los no cualificados u ordinarios. Los primeros, que son aquellos en los que se centra su regulación, son los que han recibido una homologación como tales, previa verificación de que cumplen determinados requisitos de seguridad, que los hacen especialmente confiables.
En cuanto a la eficacia jurídica de estos servicios, el Reglamento (artículo 13) establece la responsabilidad de sus prestadores por los perjuicios causados de forma deliberada o por negligencia en razón del incumplimiento de las obligaciones que les impone el Reglamento. Por tanto, se trata de un régimen de responsabilidad subjetiva o basado en la culpa. Ahora bien, si el prestador es no cualificado, la prueba del dolo o la negligencia corresponde al perjudicado; pero en caso de prestador cualificado, se invierte la carga de la prueba y es éste el que debe probar la inexistencia de intencionalidad o negligencia por su parte. Por lo demás, el considerando 22 del Reglamento dice que «Para contribuir al uso transfronterizo general de los servicios de confianza, debe ser posible utilizarlos como prueba en procedimientos judiciales en todos los Estados
INTRODUCCIÓN. DEL DECRETO-LEY DE 1999 SOBRE FIRMA ELECTRÓNICA... 17
miembros. Corresponde al Derecho nacional definir los efectos jurídicos de los servicios de confianza, salvo disposición contraria del presente Reglamento». No obstante, la norma comunitaria dice algo más -bastante más- sobre los efectos jurídicos de estos servicios. Para cada uno de ellos, sean o no cualificados, exige que no se les niegue eficacia jurídica ni admisibilidad como prueba en procedimientos judiciales por el mero hecho de su formato electrónico o por no ser cualificados. Pero además, para los servicios cualificados tenemos lo siguiente: en cuanto a la firma electrónica cualificada, se establece su equivalencia jurídica a la firma manuscrita (artículo 25); en cuanto al sello electrónico cualificado, una presunción de integridad de los datos y de la corrección del origen de los datos a los que el sello electrónico cualificado esté vinculado (artículo 35); en cuanto a los sellos cualificados de tiempo electrónicos, una presunción de exactitud de la fecha y hora que indican y de la integridad de los datos a los que la fecha y hora estén vinculadas (artículo 41); y en cuanto a la entrega electrónica certificada, una presunción de la integridad de los datos, el envío de dichos datos por el remitente identificado, la recepción por el destinatario identificado y la exactitud de la fecha y hora de envío y recepción de los datos que indica el servicio cualificado de entrega electrónica certificada (artículo 43). ¿Se trata de presunciones legales, en especial estas dos últimas, que se pueden hacer valer frente a terceros, personas no solicitantes de estos servicios o que no han actuado confiando en ellos?, ¿también frente a la Hacienda Pública para hacer valer la prescripción de una obligación tributaria?
También es muy importante, en relación con el régimen de la firma electrónica ahora denominada cualificada, que el Reglamento eIDAS pretende superar las dificultades prácticas a las que antes hicimos referencia, abriendo la posibilidad de soluciones móviles y en la nube (debe ser posible para el firmante confiar a un tercero los dispositivos cualificados de creación de firmas electrónicas, a condición de que se apliquen los procedimientos y mecanismos adecuados para garantizar que el firmante tiene el control exclusivo del uso de sus datos de creación de la firma electrónica). Y también permite que los Estados regulen la posibilidad de emisión de certificados cualificados mediante una identificación del titular no presencial sino en remoto.
Por lo demás, el Reglamento eIDAS admite que los Estados regulen otros servicios de confianza para las transacciones electrónicas y que determinen sus efectos jurídicos, así como que complementen la regulación uniforme europea con normas relativas a aquellos aspectos no fijados en el propio Reglamento (como la vigencia temporal de los certificados, el régimen de infracciones y sanciones o la posibilidad de identificación en remoto del solicitante de un certificado de firma electrónica).
Precisamente, nuestro legislador nacional ha promulgado una Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios elec-
Manuel González-Meneses 18
trónicos de confianza, que completa la regulación europea en determinadas cuestiones que no han sido objeto de armonización.
Especial atención merecen dos cuestiones: i) el artículo 7.2 remite a un desarrollo reglamentario la posibilidad de identificación remota del solicitante de un certificado de firma electrónica cualificada (con carácter transitorio durante la vigencia del estado de alarma por la pandemia y sólo para relaciones con las Administraciones públicas, la Disposición adicional undécima del Real Decreto-ley 11/2020, de 31 de marzo, permitió la identificación por videoconferencia de los solicitantes de certificados, lo que ha sido ya objeto de una regulación de alcance general y no transitoria mediante la Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados); y ii) la disposición final segunda modifica el artículo 326 de la Ley de Enjuiciamiento Civil (que es el dedicado a la fuerza probatoria de los documentos privados).
Esta última norma ha ido sufriendo una serie de modificaciones en diversos momentos en una línea de progresivo incremento del valor procesal de estos servicios de confianza. En la última versión, que debemos a esta Ley 6/2020, se establece para los servicios de confianza cualificados una presunción de que el documento electrónico objeto del servicio reúne la característica de autenticidad, integridad, precisión de fecha y hora u otras características que se puedan acreditar mediante este tipo de servicios y de que el servicio de confianza se ha prestado correctamente si el prestador correspondiente figuraba, en el momento relevante a los efectos de la discrepancia, en la lista de confianza de prestadores y servicios cualificados. Y si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación.
En el apartado correspondiente de esta obra se analizará con detenimiento esta norma. Ahora simplemente anticipo que esta presunción y esta inversión de la carga de la prueba no se diferencian mucho del valor probatorio que nuestra ley procesal reconoce a los documentos públicos.
El siguiente hito de este proceso legislativo lo constituye la Propuesta para un Reglamento del Parlamento Europeo y del Consejo reformando el Reglamento (EU) n.º 910/2014 en lo concerniente al establecimiento de un marco para una Identidad Digital Europea, hecha pública por la Comisión el 3 de junio de 2021, y que es lo que se conoce como Propuesta de eIDAS 2.
La novedad fundamental afecta al tema de la identificación electrónica, donde se puede hablar de un verdadero cambio de paradigma: de un modelo de reconocimiento mutuo de los sistemas nacionales de identificación electrónica para el acceso transfronterizo a los servicios públicos en línea se pretende pasar a un modelo en que los ciudadanos europeos deben ser provistos por sus respectivos Estados de una identidad digital europea, reconocida e interopera-
INTRODUCCIÓN.
1999 SOBRE
ELECTRÓNICA... 19
DEL DECRETO-LEY DE
FIRMA
ble en todo el ámbito de la UE, empleable no sólo para sus relaciones en línea con el sector público sino también en el ámbito del sector privado, y que además han de poder acreditar y gestionar mediante una cartera (wallet) de identidad digital. Esta cartera es un instrumento que ha de permitir al ciudadano no sólo la acreditación de su identidad legal (como nuestro actual eDNI), sino también una serie de atributos personales que puede interesar hacer valer ante determinadas instancias (una titulación académica o profesional, una licencia que permite conducir un determinado tipo de vehículo, haber recibido una determinada vacunación), pero ello de una forma modularizada y controlada por el propio sujeto, de manera que para acceder a una determinada web, plataforma o servicio no sea preciso mostrar más información que la estrictamente necesaria (por ejemplo, que se es mayor de edad, sin tener por qué dar acceso a más datos personales). Esto es lo que se viene conociendo como “identidad digital autosoberana” (o SSI, de self sovereign identity), un concepto que pretende devolver a los ciudadanos el control perdido sobre sus datos personales y su actividad en la red, y que pone en juego una gran variedad de intereses tanto individuales, como empresariales y de los propios Estados, por la razón antes aludida: la pretensión de los gobiernos de controlar la identidad de sus ciudadanos, lo que puede chocar con aquellos planteamientos que aspiran a una privatización completa de esta tema de la identidad en la red. De hecho, aunque la idea de una SSI se genera en el mismo caldo de cultivo que blockchain y la criptoeconomía, la Propuesta de eIDAS 2 mantiene el protagonismo de los Estados en relación con este nuevo instrumento de identificación. Son precisamente los Estados los que han de emitir estas carteras de identidad digital para sus ciudadanos sobre la base de las identidades legales reconocidas por aquellos.
La segunda gran novedad de la Propuesta de eIDAS 2 es la ampliación del elenco de servicios de confianza objeto de regulación uniforme y susceptibles de merecer la consideración de cualificados y la correspondiente etiqueta UE. En concreto, se introducen estos tres nuevos servicios: el archivo electrónico, los ledgers o libros mayores electrónicos, y la gestión de dispositivos de creación remota de firmas y sellos electrónicos.
El servicio de archivo electrónico era una de las funciones que nuestra LSSICE consideraba propias de los terceros de confianza de su artículo 25. La gestión de dispositivos para la firma o sello en remoto se relaciona con el tema de la firma en la nube al que ya hemos aludido. En cuanto a los electronic ledgers, que es el servicio más novedoso, se trata precisamente de dar cabida en el marco eIDAS a la tecnología blockchain o de registro distribuido como una forma alternativa de aportar confianza y seguridad. En el informe de justificación de la Propuesta se nos dice que «Los electronic ledgers proporcionan a los usuarios prueba y una traza de control inmutable para la secuenciación de transacciones y el registro de datos, salvaguardando la integridad de los
Manuel González-Meneses 20
