Consumidores y Firma. El DNI Electrónico.

CONSUMIDORES Y FIRMA. EL DNI ELECTRÓNICO 1 Prof. Dr. Juan Francisco Ortega Díaz [email protected] 1. INTRODUCCIÓN. 2. FIRMA DIGITAL, FIRMA ELECTRÓNICA. TIPOS Y EFICACIA JURÍDICA. 3. LA FIRMA ELECTRÓNICA AVANZADA O RECONOCIDA COMO FIRMA BASADA EN CRIPTOGRAFÍA ASIMÉTRICA. 4. MERCADO Y CONSUMIDORES. LA NECESIDAD DEL DNI ELECTRÓNICO. 4.1 El mercado y el derecho de la libre competencia. ¿Un problema para el DNI electrónico? 4.2 El DNI electrónico. Emisión y contenido. 4.3 La cuestión de la validez de los certificados. 4.4 Obligaciones jurídicas del titular del DNI electrónico: A) Conservación y custodia de los datos de creación de firma vinculados al certificado de firma contenido en el DNI. B) Falta de revocación o suspensión del certificado.

1.

INTRODUCCIÓN Es casi una obviedad señalar que la conjunción entre informática, tecnología

digital y redes de telecomunicación, ha creado una interconexión individual a escala planetaria que permite la libre circulación de información. Esta interconexión global –lo que McLuhan preconizó y bautizó con éxito como Aldea Global- ha permitido que los diferentes operadores económicos encuentren un especio virtual, conocido como ciberespacio, en el que poder realizar un libre intercambio de bienes y servicios. En la actualidad, nadie pone en duda su importancia como especio idóneo para la comercialización de diferentes tipos de bienes inmateriales o servicios haciendo posible, en su caso, la celebración de todo el proceso contractual en línea, desde la perfección del contrato hasta la ejecución a través del pago y la entrega (Sirva de ejemplo paradigmático la obtención de una licencia de software que es descargado de la red.) (Comercio electrónico directo). Igualmente, y debido al fuerte desarrollo que el sector logístico ha experimentado en las últimas décadas, este espacio se ha revelado idóneo

1

Publicado en: Consumidores y firma. El DNI electrónico. Estudios sobre consumo. SANCHEZ BARRIOS, MARIA INMACULADA (Directora). Ed. Tirant Le Blach. Valencia. 2012.

para entablar relaciones contractuales –especialmente contratos de compraventa- cuyo objeto tenga un carácter material, alcanzándose la perfección contractual entre las partes y realizándose el pago del deudor en el ámbito virtual pero procediendo a la entrega del bien material a través de estos operadores logísticos. (Comercio electrónico indirecto). Este espacio, que se articula más allá de las tradicionales fronteras jurisdiccionales, ha sido un entorno de búsqueda de oportunidades para los operadores económicos así como escenario de puesta en práctica de nuevos modelos de negocio. No obstante, también ha sido un foco crucial de preocupación para los juristas del siglo pasado y de este que estamos comenzando. El ciberespacio es un espacio de intercambio cuya propia esencia, la virtualidad, es posible gracias a la propia infraestructura tecnológica que lo hace posible (Routing, Proxy Caching, Hosting). Consecuencia de todo ello, los juristas de nuestro tiempo han debido enfrentarse a dos grandes preocupaciones en este ámbito: A) Determinar qué tipo de régimen de responsabilidad deben asumir estos intermediarios que se configuran como elementos esenciales para el funcionamiento del ciberespacio y sin cuya actuación el comercio electrónico deviene imposible2. B) Los problemas relativos al propio fenómeno de la contratación en red y, en especial, en la contratación con consumidores. Tanto

el

legislador

comunitario

como

el

nacional

han

intervenido

normativamente para establecer un marco jurídico claro que diera respuesta a estos interrogantes3, intervención que ha cumplido su cometido con diferente grado de éxito 4.

2

Para un estudio minucioso de esta cuestión, véase el excelente trabajo de PEGUERA POCH, M. La exclusión de responsabilidad de los intermediarios en Internet. Granada. Comares. 2007. Igualmente, CLEMENTE MEORO, M.E. “Responsabilidad de los prestadores de servicios de la sociedad de la información”. Autores, consumidores y comercio electrónico. MORO ALMARAZ, Mª. J. (Director). Colex. 2004. Madrid. Págs. 251-274. 3 En el ámbito del derecho comunitario cabe señalar, como texto normativo nuclear aunque no único, la Directiva 2000/31/CE, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de la sociedad de la información, en particular del comercio electrónico en el mercado interior (Directiva de comercio electrónico). Por su parte, en el derecho español, y como consecuencia de la transposición de la mencionada norma comunitaria, el legislador promulgó la norma que regula este ámbito, la LSSICE o Ley de la Sociedad de la Información y Comercio Electrónico. 4 En este sentido, si bien cuestiones tales como los deberes contractuales y postcontractuales de los operadores económicos -prestadores de servicios- o la trascendental cuestión de la perfección contractual en este ámbito han merecido una aprobación generalizada por parte de la doctrina (V. APARICIO VAQUERO, J.P. “Momento y lugar de perfección de los contratos electrónicos”. RdNT. Nº 5. 2004-2. Págs. 101-118; ORTEGA DÍAZ, J.F. "Contratos electrónicos: la cuestión de la perfección y del soporte contractual”. RCE. Nº 86. 2007. Págs. 51-110.) No obstante, no ha ocurrido así con el régimen de responsabilidad de los prestadores de servicios en el que el establecimiento de requisitos extremadamente garantistas han vuelto prácticamente inaplicable la norma. Nos referimos al requisito del conocimiento efectivo establecido en los Arts. 15, 16 y 17 de la LSSICE. (Para una visión detallada de esta cuestión V. CARBAJO CASCÓN, F. "La responsabilidad por hiperenlaces e instrumentos de búsqueda en Internet" RRCS. Nº 20. Octubre. 2004. Págs. 7-29; ORTEGA DÍAZ, J.F. Los enlaces en Internet. Propiedad

En este sentido, no nos detendremos respecto al primer grupo de cuestiones pero sí en el segundo. Y ello se debe a que, del conjunto de la contratación en red, es precisamente la contratación con consumidores la que ha centrado el núcleo de la preocupación. Y es lógico que sea así. No en vano, el llamado comercio B2C (Business to Consumer), es el dominante en la red. No obstante, para que este comercio haya progresado –y aumentado paulatinamente- ha sido imprescindible, no sólo la adaptación de los consumidores al mundo de la sociedad de la información, sino también y de manera fundamental, la creación de confianza. En otras palabras, los consumidores deben sentirse seguros cuando contratan en red. Esa, en gran medida, aunque no de manera exclusiva, ha sido la labor encomendada en España a la LSSICE. Porque, esta ley, no lo olvidemos, es fundamentalmente una ley de protección de los consumidores. Una norma destinada a generar confianza, una confianza que a luz de los datos parece haberse generado de manera paulatina5. No obstante, la LSSICE en España y la normativa ad hoc en EEUU, no hubieran sido capaces de crear todas las condiciones necesarias para esta necesaria generación de confianza en el comercio electrónico con carácter general, y en el B2C, en particular. La razón de todo ello era la cuestión de la identidad de las partes. En las redes, los intervinientes no se conocen. En las relaciones entabladas entre las partes, ninguna de ellas podía conocer fehacientemente la identidad de la otra, generándose así una desconfianza que no incitaba a contratar. Además de todo ello, y como problema añadido y esencial, se sumaba el hecho de que las partes no podían firmar sus contratos, contenidos en documentos digitales, de forma electrónica, cuestión ésta que definitivamente paralizaba el desarrollo del comercio electrónico en redes abiertas6. intelectual e industrial y responsabilidad de prestadores. Thomson-Aranzadi. Pamplona. 2006. Págs. 155171. 5 Para constatar esta realidad basta con observar los datos más recientes. En 2007, el comercio electrónico ha generado una cifra de negocio que supera los 4.700 millones de euros, incrementando en un 71,4% los 2.778 millones de euros que se computaron en 2006 y superando con creces el crecimiento medio de los últimos dos años que acumulaba subidas del 25-30%. La estimación de la cifra de negocio que supone el comercio electrónico en 2007 se obtiene de computar la media de gasto anual por internauta comprador (595€) por el total de los casi 8 millones de internautas que se estima compraron en 2007.La subida de la cifra del gasto medio en compras online es de 13,8%, dato muy positivo respecto a años anteriores. V. Estudio sobre comercio electrónico B2C 2008. URUEÑA, A (Coord.). ONTSI. Red.es. Madrid. 2008. (Disponible en http://www.aecem.org/emailing/2008/docs/B2C08.pdf) 6 Una realidad completamente diferente a la par que marginal, era lo sucedido en la contratación efectuada entre empresarios (B2B) en redes cerradas. Este sistema, conocido como EDI (Electronic Data Interchange) consistía en la creación de redes cerradas a las que únicamente tenían acceso los empresarios que se adherían a la misma con el fin de contratar con los otros usuarios de las mismas. Las ventajas que tenía este sistema eran evidentes. Los contratiempos jurídicos que señalamos, como el reconocimiento de los contratos contenidos en documentos electrónicos o la firma de los mismos, eran cuestiones cuya solución no requería un mayor esfuerzo. Los usuarios de las redes, al adherirse a las mismas, aceptaban

La solución, ante esta realidad aterradora, conocida y advertida con mucha antelación por las autoridades comunitarias competentes7, se encontró en la llamada firma digital o electrónica, un instrumento técnico que eliminaba estos obstáculos de forma satisfactoria. Por ello no es de extrañar que la firma electrónica ocupara la atención de la primera norma de envergadura que, en el ámbito comunitario, regulara la sociedad de la información8. El obstáculo era difícil pero el anhelo por conseguir un comercio electrónico sólido que mejorara la prosperidad de todos era más poderoso. De forma impecable lo expresó la Comisión Europea al examinar la cuestión: Vivimos un momento crucial y una oportunidad única en la Unión Europea. Es un esfuerzo conjunto, la sociedad de la información puede ser modelada con arreglo a nuestros valores, principios y cualidades. Una ocasión semejante no se presenta todos los días y no podemos dejar que se nos escape9. No obstante, el reto no dejaba de ser complejo. No sólo era preciso crear una infraestructura que hiciera posible funcionar con un altísimo grado de seguridad un sistema de firma digital o electrónica (PKI) sino que, además, era imprescindible que el ciudadano medio –el consumidor medio- tuviera acceso a dicho instrumento técnico y pudiera identificarse con él y asumir obligaciones en este nuevo espacio virtual. Con la Ley de Firma Electrónica, y la decidida apuesta por este instrumento y su infraestructura, se comenzó a construir el camino para que este reto se hiciera posible. Con la emisión del llamado DNI electrónico –que, como veremos, no es otra cosa que la entrega de una firma electrónica a cada ciudadano- esta realidad adquiere ya visos de una realidad inmediata.

un contrato de uso conocido como «Acuerdo de Intercambio», que solventaba todos estos problemas. Con todo, este sistema no estaba libre de inconvenientes, tales como unos altos costes de mantenimiento unido al propio carácter cerrado de la red, lo que imposibilitaba comerciar con carácter global, circunscribiendo la actividad únicamente a las empresas suscritas. V. POULLET, Y. & JULIÀ-BARCELÓ, R. "Health Telematics Networks: Reflections on Legislative and Contractual Models Providing Security Solutions" ELR. Nº 4. 1997. Págs. 177-203; JULIÀ BARCELÓ, R. Comercio electrónico entre empresarios. Tirant Lo Blanch. Valencia. 2000; "EDI-Electronic Contracting: Contract Formation Evidentiary Issues under Spanish Law". ELR. Nº 6 Págs. 1999. Págs. 155-172. 7 V. Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones. “El fomento de la seguridad y la confianza en la comunicación electrónica. Hacia un marco europeo par la firma digital y el cifrado”. Com(97) 503 final. 8 Nos referimos a la Directiva 1999/93/CE por la que se establece un marco comunitario para la Firma Electrónica. JULIÀ BARCELÓ, R; VINJE, T. “Hacia un marco europeo sobre firmas digitales y criptografía. La Comisión Europea da un paso adelante en pro de la confidencialidad y seguridad en las comunicaciones electrónicas”. RDM. Nº 228. 1998. Págs. 695-714. 9 V. “Una sociedad de la información para todos”. V. Comunicación de la iniciativa de la Comisión para el Consejo Europeo extraordinario de Lisboa, celebrado el 23 y 24 de marzo de 2000.

2. FIRMA DIGITAL, FIRMA ELECTRÓNICA. TIPOS Y EFICACIA JURÍDICA. Al aproximarse al análisis de la figura de la firma, la cuestión terminológica no tarde en aparecer. En este sentido, no es extraño observar cómo los términos digital o electrónico se utilizan de manera indistinta para hacer referencia a idénticos sistemas de firma. Esto podía ser comprensible cuando, este instrumento y su regulación legal era oscura y defectuosa, como ocurría con el derogado RD 14/1999, pero no lo es ya en la actualidad. Como señala, al respecto, MARTÍNEZ NADAL: «Una firma electrónica sería simplemente cualquier método o símbolo basado en medios electrónicos utilizados o adoptados por una parte con la intención actual de vincularse o autenticar un documento, cumpliendo todas o algunas de las funciones características de una firma manuscrita». En otros términos, la firma electrónica es el género y la digital, la especie; de modo que la firma electrónica incluye la firma digital, la cual está realizada mediante algoritmos de clave asimétrica10. De esta forma, dentro del concepto de firma electrónica podrían tener cabida signos de identificación muy variados tales como medios biométricos, passwords o sistemas de firma basados en algoritmos simétricos o de clave secreta. Esta es la terminología doctrinal, científica que, como veremos, dista de la terminología legal al uso. Fruto de la propia evolución de los sistemas de firma, tanto la Directiva Comunitaria como la legislación sectorial en esta materia, ha empleado, y emplea, una terminología diferente. Así, tanto la Directiva Comunitaria como el derogado RD 14/1999 de 17 de septiembre, sobre firma electrónica, conservaban el término de firma electrónica para la firma en sentido amplio 11, denominando firma electrónica avanzada a la firma digital. Con la promulgación de la LFE, se produce un aparente cambio radical. Y ello es así porque, por primera vez, se establece un artículo único que va recoger los diferentes conceptos de firma en función de la importancia y efectos de la misma en el tráfico jurídico. La LFE establece tres modalidades de firma cuya claridad conceptual – pues no en vano será la terminología que usaremos a lo largo de este trabajo- debe quedar clara en este momento:

10

ABA DIGITAL SIGNATURES GUIDELINES. American Bar Association. October, 5. 1996, Pág. 30. VATTIER FUENZALIDA, C. “El régimen legal de la firma electrónica”. AC. Nº1. 2000. Págs. 411419 11

 Firma Electrónica: La firma electrónica viene definida ex Art. 3.1 como «[…]el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante»12. Por ello, todo dato en forma electrónica

que

cumpla

una

función

identificativa 13,

independientemente de su nivel de seguridad, puede ser considerada como una firma electrónica14. De esta manera, dentro del concepto de firma electrónica tienen cabida sistemas de firma tan seguros como la firma electrónica basada en criptografía asimétrica hasta meros sistemas de identificación tales como simples contraseñas.  Firma electrónica avanzada: El Art. 3.2 LFE lo define como «[…]la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control»15. Vemos, como de esta manera, se añaden 12

Significativo es a este respecto la descripción que del concepto de firma electrónica contenía la Exposición de Motivos del BALFE: “La firma electrónica es un mecanismo de autenticación de las comunicaciones que se realizan por redes de telecomunicaciones, que permite comprobar la procedencia de los mensajes intercambiados y su integridad, así como evitar el repudio de dicha comunicación por el remitente o el destinatario, siempre que, en este último caso, se haga uso de un sello de tiempo. Los datos necesarios para la creación de firmas electrónicas pueden utilizarse igualmente para proteger el secreto de las comunicaciones, si bien dicha función queda al margen del ámbito de regulación de esta Ley. “.(Primera Versión del BALFE. 27 de diciembre de 2001) “La firma electrónica es un mecanismo de autenticación de las comunicaciones que se realizan por redes de telecomunicaciones, que permite comprobar la procedencia de los mensajes intercambiados y su integridad, así como evitar el repudio de dicha comunicación por el remitente o el destinatario, siempre que, en este último caso, se adopten las medidas oportunas basándose en fechas electrónicas. Los datos necesarios para la creación de firmas electrónicas pueden utilizarse igualmente para proteger el secreto de las comunicaciones, si bien dicha función no se contempla en el ámbito de regulación de esta Ley.” (Segunda Versión del BALFE. 22 de mayo de 2002). 13 MADRID PARRA, A. "La identificación en el comercio electrónico" RCE. Nº 15. 2001. 14 Este amplísimo concepto de firma electrónica ha sido definido como «[…]cualquier método o símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención de vincularse o autenticar un documento, cumpliendo todas o algunas de las funciones características de la firma manuscrita» 15 El concepto de firma electrónica avanzada, y el establecimiento de un sistema dual de firma, «firma electrónica» versus «firma electrónica avanzada», es el resultado del desarrollo que la figura de la firma electrónica sufrió en el ámbito comunitario. No en vano, la DFE establece una definición muy parecida a la que finalmente se incorporó en nuestro derecho. El Art. 2.2 de dicha norma comunitaria define a la firma electrónica avanzada como aquella «[…]que cumple los requisitos siguientes: a) estar vinculada al firmante de manera única; b) permitir la identificación del firmante; c) haber sido creada utilizando medios que el firmante puede mantener bajo su exclusivo control; d) estar vinculada a los datos a que se

requisitos al concepto de firma que incrementan la fiabilidad de la misma. De esta manera, observemos como con tres de los requisitos –identificación del signatario, creación por medios bajo su exclusivo control y vinculación a estos medios del firmante- lo que se busca es determinar la autoría de la firma (autenticación) y evitar que el firmante pueda negar la autoría de la misma (rechazo en origen) mientras que con el cuarto –vinculación a los datos que permite detectar cualquier alteración posterior- se persigue garantizar la integridad de los documentos electrónicos objeto de firma. Como vemos, este sistema dual de firmas electrónicas y firmas reconocidas ha sido la línea que ha seguido tanto el legislador comunitario como el español en el RD 14/1999. Este sistema dual, con grados de exigencia muy diferentes –tan diferentes que, en ocasiones, existen firmas electrónicas que no cumplen ninguno de los requisitos que le son propios16- se ha justificado tradicionalmente en el deseo de establecer una regulación normativa de la firma electrónica que cumpliera dos requisitos bien refiere de modo que cualquier cambio ulterior de los mismos sea detectable». No obstante, esta definición fue fruto de un proceso que MARTINEZ NADAL ha descrito con cuidado. En la propuesta primera presentada por la Comisión –Propuesta de Directiva sobre un marco común para los servicios de firma electrónica (COM 1998 297 final), se establecía en su Art. 2.1 un concepto de firma electrónica en virtud del cual se exigía que toda firma cumpliera los requisitos ahora exigidos sólo para la firma avanzada. Sin embargo, en la Propuesta modificada de Directiva, aparece en el Art. 2.1 un concepto general, y muy simple, de firma electrónica, desprovisto ya de la exigencia de tales requisitos; y esta definición va seguida, en el Art. 2.1 bis (que se convierte en el Art. 2.2 de la Posición Común y del texto definitivamente aprobado), de un nuevo concepto hasta entonces desconocido e inexistente, el de firma electrónica avanzada, que es la única para la que se exigen ahora requisitos que inicialmente eran de aplicación general a toda firma. (V. MARTINEZ NADAL, A. Comentarios a la Ley 59/2003 de firma electrónica. Thomson-Civitas. 2004. Madrid. Págs. 64-65). Por supuesto, de mano de la DFE, ambos supuestos fueron asumidos por nuestro derecho interno. En este sentido, como ya se señalará en su momento, este dualismo no carece de lógica. El legislador, tanto el comunitario como el español, perseguían la creación de una norma que abarcara todas las modalidades de firma electrónicas posibles, pudiendo regular así los efectos jurídicos de la misma. No es de extrañar, por tanto, que la definición de firma electrónica contenida en la actual LFE no difiera en exceso de la otorgada por el Art. 2.b) del derogado RD 14/1999 el cual la definía como aquella «[…] que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos». (V. CRUZ RIVERO, D. “Las definiciones de firma electrónica en el Real Decreto-ley 14/1999, sobre firma electrónica, y el Proyecto de Ley de Firma Electrónica”. XVIII Encuentros sobre informática y derecho. Universidad Pontificia de Comillas. Madrid. Págs. 121-136) 16 Pensemos en el supuesto de un correo electrónico en el que el emisor digitaliza una firma manuscrita que inserta en el mismo, identificándose con ella frente al receptor del mensaje. Cabe preguntarse si dicha identificación es una auténtica firma. Sin lugar a dudas encaja en la definición del Art. 3.1. LFE y, técnicamente, es una firma electrónica. Cuestión diferente es si cumple su función identificativa, esto es, si el receptor creerá que el receptor es quien dice ser. Es posible que así sea en círculos reducidos pero, desde luego, no lo será respecto a la generalidad del tráfico. V. VATTIER FUENZALIDA, C. "De nuevo sobre el régimen legal de la firma electrónica (estudio del Anteproyecto de 26 de junio de 2002)" AC. Nº 6. 2003. Págs. 137-150.

diferenciados: A) Una cobertura normativa sobre el total de las firmas electrónicas con el fin de poder regular sus diferentes efectos jurídicos. B) Una regulación normativa que no fuera consecuencia de una realidad tecnológica concreta, creando una regulación que fuera tecnológicamente neutra17. Pues bien, este sistema dual cumplía sobradamente estos requisitos. Todas las firmas electrónicas quedaban amparadas, bien a través de la figura de la firma electrónica en sentido estricto, bien a través de la firma electrónica avanzada; modalidad de signación de gran trascendencia puesto que a ella exclusivamente, el RD 14/1999, ex Art. 3.1, le reconocía expresamente el principio de equivalencia funcional, eso esto, la producción de los mismos efectos jurídicos que la firma manuscrita. Esta situación cambia aparentemente con LFE al introducir ésta, de manera 18

novedosa , una nueva modalidad de firma electrónica: la firma electrónica reconocida:

17

Y lo cierto es que es un requisito razonable apoyado de manera unánime por la doctrina (V. ILLESCAS ORTIZ, R. “La firma electrónica y el RD 14/1999, de 17 de septiembre”. DN. Nº 109. 1999. Págs. 1-15; MARTÍNEZ NADAL, A. “Comentarios de urgencia al urgentemente aprobado Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica”. La Ley. 1996-9. Págs. 1860-1870; ILLESCAS ORTIZ, R. Derecho de la contratación electrónica. Cívitas. 1ª Ed. Madrid. 2002. Págs.50-54; FERNANDEZ DOMINGO, J. I. “Algunas notas acerca de la contratación y el comercio electrónico”. ORDUÑA MORENO, F. J. (Director). Contratación y Comercio Electrónico. Tirant lo Blanch. Valencia. 2003. Págs. 240-265) La firma y el documento electrónicos han sido regulados tomando como modelo la firma y el documento tradicional. Determinadas firmas electrónicas, como se verá en ulterior ocasión, serán capaces de producir los mismos efectos jurídicos que las firmas manuscritas (principio de equivalencia funcional) siempre que cumplan determinados requisitos. Unos requisitos que deberán cumplirse, pues la seguridad y fiabilidad del sistema se fundamenta en ello, independientemente del sistema técnico empleado. En este sentido, estamos de acuerdo cuando se señala que el principio de neutralidad tecnológico contribuye al tratamiento de la firma electrónica como una institución jurídica, pues establece una separación entre la regulación de la relación electrónica, regulación que recoge el propio principio juntamente con el de equivalencia funciona, y el soporte técnico por el que discurre la misma. De esta manera, el concepto que se maneja en la doctrina y también en la regulación es un concepto jurídico basado en la equiparación funcional con la firma tradicional, y no un procedimiento técnico concreto (V. CRUZ RIVERO, D. “Análisis de los antecedentes del concepto de firma electrónica como equivalente de la firma manuscrita”. RCE. Nº 60. 2005. Págs. 3-122) 18 La introducción de un tercer tipo de firma electrónica es, indiscutiblemente, una innovación de la LFE. Ni en la DFE ni en el derogado RD 14/1999, de 17 de septiembre, se encuentra recogida esta nueva modalidad. Parece intuirse por la doctrina que su inclusión, lejos de ser un aporte original del legislador español, ha sido fruto de la influencia que, en el último periodo de tramitación de la LFE, ejerció la Ley de Firma Electrónica Alemana. No en vano, la Sección Segunda de la Ley alemana de firma electrónica establece la definición legal de una serie de conceptos, entre los que se incluye la noción de firma electrónica (apartado 1), firma electrónica avanzada (apartado 2) y firma electrónica reconocida (apartado 3): esta última es definida como aquella firma que cumple los requisitos del apartado 2, por tanto, una firma electrónica avanzada, que a) está basada en un certificado reconocido válido en el momento de su creación y b) ha sido producida con un dispositivo seguro de creación de firma (V. MARTINEZ NADAL, A. Comentarios a la….Ob. Cit. Pág. 73) De hecho, es a partir de la segunda versión del BALFE cuando se incluye la figura de la firma electrónica reconocida definiéndola como «es la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma».



Firma electrónica reconocida: El Art. 3.3 señala «Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma».

Y lo cierto es que, en un primer momento, la inclusión de esta nueva modalidad parece acarrear novedades sustanciales. Y ello es así porque, como se verá en posterior ocasión, la aplicación del principio de equivalencia funcional se realiza, tanto en el RD 14/1999 como en la Directiva 1999/93/CE, respecto a la firma electrónica avanzada que cumpla determinados requisitos. Pues bien, en la LFE, equiparación con la firma manuscrita se aplica, no ya respecto a la firma electrónica avanzada sino respecto a la reconocida, ex Art. 3.4. “La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel” Como no puede ser de otra manera, esta descripción lleva a pensar en un primer momento que nos encontramos ante una transformación sustancial del diseño de la figura de la firma electrónica en nuestro ordenamiento. No obstante, en realidad, es un cambio que únicamente implica una modificación terminológica. No en vano, la modificación tiene un carácter más formal que sustancial puesto que la firma electrónica reconocida, ex Art. 3.3 LFE, no es más que una firma electrónica avanzada basada en un certificado reconocido y generada con un dispositivo seguro de creación de firma; requisitos éstos que, precisamente, son los exigidos para el reconocimiento de efectos que debe cumplir la firma electrónica no sólo ex Art. 3.4 LFE sino en virtud de su antecedente el RD 14/199919. Con lo que las diferencias materiales entre ambos preceptos –firma electrónica avanzada y firma reconocida- son inapreciables20. 19

MARTINEZ NADAL, A. Comentarios a la….Ob. Cit. Pág. 74. De hecho, el fundamento de la inclusión de esta nueva modalidad de firma, lejos de tener como objetivo un cambio de la figura de la firma electrónica, parece encontrarse en una demanda del sector de la certificación. (V. ALAMILLO DOMINGO, I. “Tipología legal de la firma electrónica en la Unión Europea”. RCE. Nº 23. 2002. Págs. 19-41) Así lo declara el legislador en la propia Exposición de Motivos de la LFE cuando señala: “Una de las novedades que la ley ofrece respecto del Real Decreto Ley 14/1999, es la denominación como firma electrónica reconocida de la firma electrónica que se equipara funcionalmente a la firma manuscrita. Se trata simplemente de la creación de un concepto nuevo demandado por el sector, sin que ello implique modificación alguna de los requisitos sustantivos que 20

3. LA FIRMA ELECTRÓNICA AVANZADA O RECONOCIDA COMO FIRMA BASADA EN CRIPTOGRAFÍA ASIMÉTRICA Para una correcta comprensión de la figura del DNI electrónico resulta imprescindible comprender dos ideas diferenciadas: A) El DNI electrónico es, en realidad, una firma electrónica reconocida, una modalidad de firma que, como hemos visto, es la que tiene un mayor valor jurídico pues, con total facilidad, es capaz de generar los mismos efectos que la firma manuscrita. B) La firma electrónica reconocida contenida en el DNI es una firma basada en un sistema de criptografía asimétrica. Partiendo de esta dos ideal fundamentales, y para la obtener la convicción de la seguridad aportada por este sistema de firma, es imprescindible conocer su funcionamiento. Prima facie, el funcionamiento de este tipo de firma electrónica parece no presentar mayor complejidad. El algoritmo asimétrico usa dos claves relacionadas matemáticamente, una, pública y otra, privada. Cuando el emisor desea firmar un documento electrónico, le aplica al mismo su clave privada, encriptando su contenido y procede a enviar el mensaje. Una vez recibido por el destinatario, éste aplica sobre el documento la clave pública del emisor. Si la clave pública aplicada es la pareja de la clave privada con la que se firmó el mensaje, se producirá la desencriptación de la información, obteniendo, por un lado, un mensaje legible y, por otro, la seguridad proveniente de las funciones de identificación, autentificación, integridad, no rechazo y confidencialidad. No obstante, en una aproximación más detallada, es fácil comprobar que la realidad acerca de su funcionamiento no es tan sencilla. Y esto se debe a la necesaria incorporación de la llamada «función hash». En multitud de ocasiones los mensajes electrónicos son de tal extensión que proceder directamente a su encriptación sería harto laborioso y el algoritmo asimétrico emplearía más tiempo del deseado. Para evitar este extremo se creó la llamada «función hash», que no es otra cosa que una operación

tanto la Directiva 1999/93/CE como el propio Real Decreto Ley 14/1999 venían exigiendo. Con ello se aclara que no basta con la firma electrónica avanzada para la equiparación con la firma manuscrita; es preciso que la firma electrónica avanzada esté basada en un certificado reconocido y haya sido creada por un dispositivo seguro de creación”.

matemática que realiza una compresión del mensaje que facilita la labor al algoritmo asimétrico de encriptación. 21 El mensaje comprimido por la «función hash» se conoce como «hash» o huella. Posee dos características destacables: a) Irreversible, es decir, únicamente con el resumen es imposible obtener un mensaje comprensible. b) Único, por lo que no es técnicamente posible obtener un segundo mensaje que produzca el mismo resumen. Así, como fácilmente se deduce, en el supuesto de producirse cualquier cambio en el mensaje se produciría también un cambio al aplicar de nuevo la «función hash». Tal como nos advierte la Oficina de Asesoramiento Tecnológico del Congreso de los Estados Unidos, la «función hash» tiene un doble cometido: Evitar que se firme todo el mensaje, si éste es muy largo. Ofrecer al receptor una comparación en el que los mensajes, el comprimido o «hash» o huella y el inicial, coinciden, lo que demuestra que no ha sido alterado22. Así, el procedimiento, en su conjunto, puede esquematizarse de la siguiente manera: 1. El emisor aplica sobre el mensaje la «función hash», obteniendo el mensaje comprimido («hash» o huella). Obtenido éste, se procede a firmarlo con su clave23 privada, procediendo a su encriptación y

21

Es posible encontrar definiciones de mayor rigor técnico. Así, MARTÍNEZ NADAL, la define como: "Un algoritmo que convierte secuencias de bits en secuencias menores y que se aplica tanto para la creación como para la verificación de la firma digital". V. MARTÍNEZ NADAL, A. La ley de firma electrónica. Cívitas. 2ª Ed. 2001. Págs. 52 - 53; o en la doctrina americana autores, como STALLINGS, la conciben como: "La función «hash» es un proceso matemático basado en un algoritmo que crea una representación digital o forma comprimida del mensaje, de longitud mucho menor que la del mensaje." STALLINGS,W. Networks and internetworks security. United States. 1995. Pág. 157. 22 U.S. Congresss, Office of Technology Assessment, Issue updated on information security and privacy in network environments, Washington, D.C, 1995, Pág. 49. 23 Es habitual en la literatura técnica especializada denominar a la clave pública y privada con el nombre de llaves debido a que, en el ámbito anglosajón, esa es su habitual denominación. Así claves y llaves tienen un uso y significado idéntico.

volviéndolo ilegible,

enviando al destinatario los dos mensajes, el

inicial y el comprimido. 2. Una vez recibido el doble mensaje, el «hash» y el inicial, por el receptor, éste hará dos cosas: a) Procederá a la verificación de la firma. Para ello le aplicará al documento comprimido o «hash» la clave pública del emisor, descifrando el documento comprimido si ésta, la clave pública, se corresponde con la clave privada con la que se firmó. b) De haberse producido la desencriptación, al existir una correlación entre la clave pública y la privada, el destinatario obtendrá el documento inicial y el documento comprimido o «hash», procediendo a aplicar la «función hash» sobre el mensaje inicial recibido 24. Así, si el documento «hash» recibido por el destinatario y este nuevo documento «hash» coinciden, el destinatario llegará a una doble conclusión: a) El documento fue firmado con la clave privada que es la natural y única pareja de la clave pública del emisor. b) El mensaje no ha sido modificado durante la transmisión, pues, de haberlo sido, el segundo documento «hash» o comprimido, realizado por el receptor, no hubiera coincidido con el documento «hash» enviado por el emisor junto con el mensaje inicial.

En la actualidad, los sistemas criptográficos basados en algoritmos asimétricos representan la seguridad y, como se ha indicado, el temor, para muchos Estados. Desde que en 1976 los profesores de la Universidad de Stanford, Diffie y 24

En un principio parece que lo lógico sería descomprimir el documento comprimido o para compararlos y no, como sucede, volver a aplicar la función «hash» al archivo inicial y comparar éste con el archivo comprimido o «hash» enviado por el emisor. Ello se debe a que, lo mismo que las claves asimétricas, la «función hash» es unidireccional y, por tanto, irreversible, no permitiendo que un archivo "comprimido" pueda ser "descomprimido", posibilidad que, como es fácilmente deducible, abriría una brecha en la seguridad de la figura de la firma electrónica.

Hellman, diseñaran el primer criptosistema, éstos han avanzado espectacularmente. En la actualidad la discusión jurídica y política se basa fundamentalmente en dos criptosistemas: El R.S.A. (Rivest, Shamir, Adleman) y el D.S.S. (Digital Signature Standard). En lo que a seguridad se refiere, ambos criptosistemas ofrecen niveles infranqueables con el estado actual de la técnica. La principal diferencia radica en que el R.S.A. ofrece la función de confidencialidad, mientras que el D.S.S., no. La lucha entre ambos por su implantación en el mercado ha sido dura. El Gobierno Federal Norteamericano otorgó todo su apoyo al criptosistema D.S.S. Entendía que el uso generalizado del R.S.A. podía afectar a la seguridad nacional y dificultar las labores de desencriptación de los mensajes capturados por sus agencias de inteligencia. No siendo esto suficiente, el National Institute of Standars and Technology (N.I.S.T) propuso al D.S.S. como estándar criptográfico estatal y declaró la gratuidad de su uso, objetivo que obtuvo en mayo de 1994.25 No obstante, a pesar de la adaptación gubernamental de la libertad a la exportación y de la gratuidad del D.S.S., el R.S.A. se ha impuesto de forma contundente. Lo cierto es que prácticamente todos los usuarios de criptografía usan R.S.A. Ello se debe a cuatro razones básicas: a) El deseo de las grandes compañías de obtener confidencialidad en sus comunicaciones. b) La desconfianza de las empresas en el criptosistema por los procedimientos judiciales, que señalaban la posibilidad de que el D.S.S. vulnerara la patente de R.S.A26. c) La ingente labor de marketing realizada por la empresa explotadora. d) La mayor rapidez del R.S.A. en la verificación de la firma. Vemos, por tanto, que la utilización de la criptografía asimétrica se revela como el instrumento perfecto para la obtención de los fines perseguidos por la firma electrónica. No obstante, hasta ahora, únicamente sabemos que esos cinco fines (Identificación,

autenticación,

integridad,

no

repudio

y confidencialidad),

y

especialmente el identificativo, se logran respecto a la clave privada. En otras palabras, 25 26

N.I.S.T, F.I.P.S publication 186, 19 May 1994 JULIÁ BARCELÓ, R. Comercio Electrónico... Ob. cit. Pág. 236-239.

el receptor de un mensaje firmado digitalmente, únicamente estará seguro de que la clave privada con la que el mensaje ha sido firmado digitalmente, corresponde a una clave pública. No obstante, no puede obtener la certeza de que el titular de la clave pública es quien dice ser. De esta manera, si un sujeto se identifica en el mercado como A y distribuye su clave pública, el receptor de un mensaje de este sujeto podrá estar seguro, al coincidir la clave pública con la privada con la que ha firmado el mensaje, que el sujeto que se identifica como A ha sido el signatario del mismo. No obstante, no puede conocer si A es quien dice ser, esto es, si A es su verdadera identidad. Para solventar esta necesidad, básicamente la de conocer la identidad real del titular de las claves (datos de creación de firma), se acude a la figura de los llamados certificados digitales. Un certificado digital es, en palabras de la propia LFE, ex Art. 6.1, «[…]un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad». En otras palabras, un certificado digital es un documento electrónico distribuido conjuntamente con la clave pública del signatario, que permite al receptor de un mensaje conocer la identidad real de éste. Estos certificados digitales son emitidos por los llamados prestadores de servicios de certificación, terceros de confianza que garantizan que el titular de las claves y del certificado es quien dice ser. Consecuentemente, estos prestadores se configuran como entidades cruciales en la imprescindible generación de confianza que el entramado del sistema de firma electrónica precisa. En este sentido, debemos tener presente que el fin último de la emisión de un certificado digital es la de generar confianza en quien recibe el mensaje firmado digitalmente; en crearle la convicción de que el signatario es quien dice ser 27. No obstante, es preciso señalar que, si bien la labor identificativa es la función principal del certificado digital, ésta no es la única. Un certificado puede contener, no sólo la identidad de su titular sino información de cualquier otro tipo (bancaria, cargos orgánicos, etc). De esta manera, y a modo expositivo, el administrador de una sociedad puede contratar con un prestador de servicios de certificación la emisión de un certificado digital en el cual, junto a su identidad, figure su posición de administrador en una determinada sociedad mercantil. De esta manera, al enviar un

27

ALAMILLO DOMINGO, I. "Confianza digital basada en certificados". REDI. Agosto 1999. (www.vlex.com)

mensaje firmado digitalmente, el receptor del mismo conocerá fehacientemente que el signatario ocupa tal puesto en la sociedad en cuestión. Insistimos una vez más que el fin último de los certificados digitales es la generación de confianza. Pero la generación de confianza exige garantías. Se debe tener la plena certeza de que el prestador que emite el certificado es una entidad fiable que nos garantice que la información contenida en los mismos es cierta. Asimismo, el propio certificado debe ser un documento electrónico seguro que no pueda ser manipulado. Siguiendo esta idea, tanto el derogado RD 14/1999 como la actual LFE, han establecido dos tipos de prestadores de servicios de certificación y dos tipos de certificados digital. De esta manera, habrá prestadores de servicios de certificación certificados -entidades que deberán cumplir una serie de requisitos que le otorgarán la máxima solvencia- y prestadores no certificados, entidades de certificación que no cumplirán dichos requisitos y cuya capacidad de generar confianza será inferior. Idéntica realidad configura la norma para los certificados, diferenciando entre certificados reconocidos, que cumplirán determinados requisitos de solvencia, y no reconocidos, que no lo harán. La elección por parte del signatario de uno u otro certificado va a tener una importancia crucial. De dicha elección, junto con el sistema de creación de firma empleado (el programa informático con el que firme el mensaje), va a depender el valor jurídico de la misma; un valor jurídico que, en el caso del DNI electrónico será máxima pues, no en vano, nos encontraremos ante una firma electrónica reconocida cuya certificado electrónico, al igual que los datos de creación (clave privada) y de verificación (clave pública) de firma han sido creadas y expedidos por la FNMT.

4. MERCADO

Y

CONSUMIDORES.

LA

NECESIDAD

DEL

DNI

ELECTRÓNICO 4.1. El mercado y el derecho de la libre competencia. ¿Un problema para el DNI electrónico? Llegados a este punto, parece claro que el instrumento técnico que permite la identificación de las partes, de manera cierta y segura, en ese mercado virtual llamado

ciberespacio es una realidad incuestionable. Dicho instrumento, como hemos visto, no sólo es capaz de generar los mismos efectos jurídicos que la firma manuscrita sino que es capaz de hacerlo con unas elevadas dosis de fiabilidad. No obstante, el problema seguía presente. El instrumento técnico existía, el desafío era –y sigue siendo- hacerlo llegar de manera efectiva a todos los ciudadanos –sean o no internautas- y que éstos sean capaces de utilizarlo 28 en un esfuerzos más de impulsar el desarrollo de la sociedad de la información y del comercio electrónico 29. Este desafío no tardó en vincular el concepto de DNI –un documento popular, fiable y que goza de gran difusión y fiabilidad en el mercado- con el concepto de firma electrónica, acuñándose el concepto de DNI electrónico. Si bien, desde un punto de vista técnico, en poco se parece el tradicional DNI a los sistemas de criptografía asimétrica, lo cierto es que como imagen representativa es perfecta. El DNI electrónico consigue cumplir, en el entorno virtual, la función del DNI tradicional en el entorno fuera de línea. ¿O acaso no es precisamente eso lo que deseamos? La expresión gozó de un éxito inmediato. Así, desde los comienzos de los trabajos preparatorios en la redacción de la actual Ley de Firma Electrónica aparece la idea de vincular una firma electrónica al DNI tradicional, cuestión que suscita no pocas y justificadas dudas 30. Entre estas dudas se encuentra la de si el Estado no puede incurrir, al prestar servicios de certificación a través de diversos organismos, en práctica que excluya del mercado al resto de prestadores de servicios de certificación. A nuestro juicio, este temor debe ser desterrado. En primer lugar, la LFE, en consonancia con la propia Directiva Comunitaria que prohibe el establecimiento de barreras de entrada al mercado de la certificación31, establece como principio la libre prestación de servicios en el 28

No debemos olvidar que, al contrario de lo que ocurre con el DNI tradicional, la utilización del llamado DNI electrónico precisa de una mínima, pero existente, cultura tecnológica. De esta manera, resulta evidente que, a pesar de su facilidad de uso, únicamente los ciudadanos-consumidores adaptados, aún mínimamente, a estos sistemas serán quienes utilizarán de facto estos servicios. Para una visión general sobre esta cuestión V. DE LA TORRE, S. “Protección de los datos personales del ciudadano, consumidor e internauta: de los ficheros de morosos a los datos biométricos del DNI electrónico”. Noticias de la Unión Europea. Nº 263. 2006. Págs. 71-80, especialmente, Pág. 73. 29 GARCÍA MESTANZA, J. "Impulso al desarrollo de la sociedad de la información: el DNI electrónico como catalizador". Economía industrial. Nº 370. 2008. Págs. 111-117 30 Para un examen de la cuestión, V. MARTÍNEZ NADAL, A. “Borrador de anteproyecto de Ley de firma electrónica: El DNI electrónico”. Partida doble. Nº 139, 1. 2002, Págs. 92-99 31 En este sentido, al margen del Art. 3 que lo tipifica, significativo resulta el Considerando Nº 10 de la DFE al señalar que: “El mercado interior permite a los proveedores de servicios de certificación llevar a cabo sus actividades transfronterizas para acrecentar su competitividad y, de ese modo, ofrecer a los consumidores y a las empresas nuevas posibilidades de intercambiar información y comerciar electrónicamente de una forma segura, con independencia de las fronteras. Con objeto de estimular la prestación de servicios de certificación en toda la Comunidad a través de redes abiertas, los proveedores de servicios de certificación deben tener libertad para prestar sus servicios sin autorización previa. La

mismo, realidad que afecta también a estos certificadores estatales. En segundo lugar, el Estado no realiza una actividad comercial sino que cumple con su deber de identificar adecuadamente, también en el espacio virtual, a sus ciudadanos. Con todo, y a mayor abundamiento, dos cuestiones deben ser tenidas en consideración: A) La piedra angular de la funcionalidad de la firma electrónica reside en que los terceros –quienes confían en la firma- confíen en que el certificador es fiable. En un mundo globalizado, y diverso, es muy posible que algunos terceros (tómese como ejemplo ciudadanos de países asiáticos que desconocen la solvencia de las Instituciones Públicas en esta materia) no confíen en el certificado que identifica al firmante como tal. Por el contrario, sí confiarían en un certificado electrónico emitido por un prestador de servicios de certificación de carácter internacional con presencia en sus países y cuyas políticas de fiabilidad fueran bien conocidas32. De esta manera, será habitual que el ciudadano-consumidor que establezca relaciones contractuales internacionales posea, no sólo el certificado contenido en su DNI, sino, muy probablemente, un segundo proveniente del sector de la certificación privada que, no sólo genere confianza a escala global, sino que, además, provea otros servicios. B) Como veremos, los servicios que pueden ser ofertados en el terreno de la certificación electrónica son amplios y variados. En este sentido, el DNI electrónico ofrece unos servicios muy básicos. Cabe señalar que el DNI electrónico excluye la inclusión de cualquier dato no establecido ex lege y que, en muchas ocasiones, el firmante precisará tener. Nos estamos refiriendo a los llamados certificados de atributos, certificados que incluyen datos tales como el carácter de administrador de una sociedad determinante del firmante, datos bancarios, etc. Asimismo, mediante el DNI electrónico, ni los certificadores públicos que lo emiten, se recibirán servicios de tales como sellados temporales; servicio fundamental para determinar el momento de creación de firma. Cabe poner de relieve que esta función es autorización previa implica no sólo el permiso que ha de obtener el proveedor de servicios de certificación interesado en virtud de una decisión de las autoridades nacionales antes de que se le permita prestar sus servicios de certificación, sino también cualesquiera otras medidas que tengan ese mismo efecto”. Para un análisis más detallado de esta cuestión, V. ORTEGA DÍAZ, J.F. La firma y el contrato de certificación electrónicos. Reuters-Thomson Aranzadi. Pamplona. 2008. Págs. 89-99. 32 Tómese como ejemplo paradigmático el caso de Verisign, multinacional de la certificación electrónica, con presencia de Agentes de Registro en multitud de países. (Para una explicación detallada de esta cuestión V. ORTEGA DÍAZ, J.F. La firma…Ob. Cit. Págs. 164-69)

muy importante en el ámbito administrativo y no es de extrañar que, como ha sido sugerido en alguna ocasión, la Administración pudiera precisar para algunos trámites estos servicios, exigiendo la participación de entidades privadas dedicadas a proveerlos33. Por estas razones, creo que podemos afirmar que, la actuación del Estado a través de los organismos que actúan como certificadores, muy difícilmente puede ser imputada de incurrir en algunos de los supuestos ilícitos que ordenan la libre competencia del mercado. No en vano, la actividad del Estado en esta materia, no sólo no excluye del mercado al resto de prestadores de servicios de certificación –como pudiera parecer prima facie- sino que, muy probablemente, los fortalece. Ello se debe a que, gracias a la popularización del DNI electrónico, la popularización de los servicios de firma también se producirá, siendo previsible que sujetos que no hubieren jamás precisado servicios de estos prestadores privados, los reclamen en el futuro. 4.2. El DNI electrónico. Emisión y Contenido. Como es sabido, y tal y como se regula en los dos primeros artículos del RD de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica., DNI es un documento personal e intransferible emitido por el Ministerio del Interior que goza de la protección que a los documentos públicos y oficiales otorgan las leyes. Su titular estará obligado a la custodia y conservación del mismo, teniendo éste valor suficiente, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen. Esta realidad, tradicional ya en una sociedad acostumbrada a su utilización y reconocimiento, no sufre alteración alguna por la adaptación de este documento al entorno electrónico. Se quiere decir con ello, dos cosas fundamentales. La primera se refiere al hecho de que, el documento, siguiendo la tradición administrativa, continuará siendo emitido por el Ministerio del Interior. Para ello, y debido a la necesidad de emitir certificados electrónicos, dicho Ministerio ha debido constituirse en prestador de servicios de certificación; exigencia que ha cumplido sin contratiempos. En segundo lugar, la forma de expedición no varia respecto a la que, históricamente, se ha venido realizando. Los particulares deben presentarse físicamente ante las dependencias de la Policía Nacional, 33

CRUZ RIVERA, D. “El DNI electrónico y el mercado de entidades de certificación”. RCE. Nº 69. 2006. Págs. 21-56.

pagar las correspondientes tasas y presentar la documentación determinada reglamentariamente, ex Art. 5.1.a), (certificación literal de nacimiento expedida por el Registro Civil correspondiente, una fotografía reciente en color del rostro del solicitante de un tamaño de 32x26 mm, certificado de empadronamiento del Ayuntamiento donde el solicitante tenga su domicilio y en el caso de españoles residentes en el extranjero acreditarán el domicilio mediante certificación de la Representación Diplomática o Consular donde estén inscritos como residentes.) Al explicar en un momento anterior el funcionamiento del instrumento de firma electrónica basada en criptografía asimétrica, se ha indicado que este sistema emplea dos elementos esencias: Un juego de claves (clave pública y privada) y un certificado electrónico en el que un tercero –el certificador o prestador de servicios de certificacióndeclara que el firmante –el poseedor exclusivo de la clave privada- es realmente quien dice ser. Siendo esto cierto, cabe indicar que el DNI electrónico no contiene uno, sino dos, certificados diferentes: A) Certificado de autenticación Mediante este certificado, el ciudadano consumidor que resulta identificado podrá certificar su identidad frente a terceros, demostrando la posesión y el acceso a la clave privada asociada al mismo y que acreditar su identidad. Cabe precisar que este certificado permite, exclusivamente, la identificación del titular pero no realiza ninguna de las otras funciones propias de la firma pues, en rigor, el titular no firma nada con este certificado. De hecho, el certificado de autenticación está pensado para que, al titular, se le permita acceder virtualmente a determinados sitios de acceso restringido (AEAT, Ministerios, etc). B) Certificado de firma electrónica reconocida Este segundo certificado es el que permitirá al titular realizar y firmar acciones y asumir compromisos de forma electrónica, pudiéndose comprobar la integridad de los documentos firmados por él y haciendo uso de los instrumentos de firma incluidos en él. En este sentido, cabe señalar que las consecuencias jurídicas, esto es, la capacidad para producir los mismos efectos jurídicos que la firma manuscrita

dependerá del cumplimiento de los requisitos del Art. 3 LFE. No obstante, pocas dudas existen de que este certificado electrónico es un auténtico certificado reconocido por lo que, a priori, para que genere esta igualdad de efectos jurídicos bastará con que el firmante utilice un software de firma con un adecuado nivel de seguridad, esto es, utilizando la terminología de la LFE, un sistema seguro de creación de firma. No obstante, en caso de no producirse la utilización de un software de estas características, ello no implica que la firma no pueda producir efectos jurídicos sino que, en caso de conflicto, será preciso probarlo procesalmente, ex Art. 3.8 LFE. Con todo, y siendo esto una cuestión no discutida en el ámbito de la regulación general de firma electrónica, una duda –apuntada con gran acierto por CRUZ RIVERA- surge en relación al DNI como consecuencia del 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica y, más en concreto, ex Art. 1.534. En dicho precepto se señala: “La firma electrónica realizada a través del Documento Nacional de Identidad tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel”. La duda que surge es la siguiente: ¿Crea este precepto para el DNI electrónico una excepción al sistema general de eficacia de la figura de la firma electrónica? La respuesta no es sencilla y, sin embargo, yo me decantaría por dar una respuesta afirmativa. Barajar la posible ilegalidad del precepto, como consecuencia de una stipulatio contra legem35, dado su carácter reglamentario no parece técnicamente viable. No en vano, si bien el precepto en cuestión desarrolla materialmente un mandato de la LFE - apartado primero de la disposición final segunda-, no es menos cierto que dicho desarrollo no se hace a través de un mero Reglamento Administrativo o de una Orden Ministerial sino de un Real Decreto Ley, lo que nos sitúa en una regulación de carácter horizontal y no vertical. Las razones que me llevan a entender que el legislador, de forma conciente, es, por un lado, el propio sistema de regulación de la firma electrónica y, por otro, el cómo ha regulado reglamentariamente la administración pública este sistema. Expliquemos sucintamente la cuestión. Para que una firma tenga el carácter de reconocido, es preciso que el certificado sea reconocido –siendo necesario que el certificador se haya sometido a un proceso voluntario de acreditación- cuya regulación se espera aún. Igualmente, que el software –el dispositivo de creación de firma- sea 34 35

CRUZ RIVERA, D. “El DNI…” Ob. Cit. Pág. 53. CRUZ RIVERA, D. “El DNI…” Ob. Cit. Pág. 53.

reconocido por un certificador sometido a un procedimiento voluntario de acreditación. Al no existir aún la posibilidad de someterse a estos procedimientos voluntarios, no es posible la existencia de certificados ni dispositivos seguros de creación de firma. De esta manera, el Ministerio de Justicia no es aún un certificador reconocido. Y es evidente que el DNI necesita ser reconocido y producir el más alto nivel de seguridad jurídica posible. Por ello, a través de este truco legislativo –y en tanto la normativa que regule los procedimientos voluntario de certificación nazca- no es de extrañar que el legislador haya procedido a “saltarse” la normativa general para otorgar una merecida prevalencia al DNI electrónico. Esto es especialmente posible cuando se piensa que, la toma de esta decisión, no implica un riesgo para el funcionamiento del sistema porque: A) El Ministerio del Interior, entidad pública competente para la emisión del DNI, es una institución fiable de la cual el legislador cree que ha adoptado todas las medidas destinadas a cumplir con todas las obligaciones propias de un certificador que emite certificados reconocidos. B) Los dispositivos de firma disponibles en el mercado son, por regla general, altamente fiables. No obstante, y como medida de seguridad y aún siendo técnicamente posible, ninguno de los dos certificados contenidos en el DNI puede ser empleados para cifrar el contenido de un documento electrónico. De esta manera, y conociendo el contenido del DNI electrónico, veamos como es el nuevo DNI en su soporte físico y cómo se organiza técnicamente el interior de la tarjeta inteligente en la que se almacena. El nuevo DNI es una tarjeta dotada de un chip electrónico. En el soporte físico, en el cuerpo central de la tarjeta, figurarán los apellidos, nombre, sexo, nacionalidad, fecha de nacimiento, número de serie del soporte físico de la tarjeta (IDESP), fecha de fin de validez, fecha de validez del documento. En la esquina inferior izquierda: El número del Documento Nacional de Identidad. En el espacio destinado a la impresión de imagen láser cambiante (CLI): La fecha de expedición en formato DDMMAA. La primera consonante del primer apellido + primera consonante del segundo apellido + primera consonante del nombre (del primer nombre en caso de ser compuesto).

Igualmente, en el reverso de la tarjeta contiene los siguientes elementos: En la parte superior se indica el lugar de nacimiento, provincia-país, nombre de los padres, domicilio, lugar de domicilio, provincia-país del domicilio, número de la oficina de expedición del DNIe e información impresa OCR-B para lectura mecanizada sobre la identidad del ciudadano según normativa OACI para documentos de viaje.

36

36

Origen de las imágenes: “DNI electrónico. Guía de referencia básica”. Comisión Técnica de Apoya a la implantación del DNI electrónico. Grupo de trabajo de comunicación y divulgación. Versión 1.2. Ministerio de Interior. (http://www.dnielectronico.es/PDFs/Guia_de_referencia_basica_v1.2.pdf)

No obstante, diferente es la cuestión del contenido del chip electrónico. En su interior, la información se establecido entre zonas diferentes con distinto grado de acceso: 1. Zona pública. Accesible en lectura sin restricciones: En esta zona se encuentra un Certificado CA intermedia emisora, claves Diffie-Hellman y Certificado x509 de componente. 2. Zona privada: Accesible en lectura por el ciudadano, mediante la utilización de la Clave Personal de Acceso o PIN, contenido: Certificado de Firma (No Repudio) y Certificado de Autenticación. 3.

Zona de seguridad: Accesible en lectura por el ciudadano en los puntos de actualización del DNI electrónico. En esta zona, el titular de DNI podrá acceder a sus datos de filiación (los mismos que están impresos en el soporte físico del DNI) y contenidos en el soporte físico del DNI así como a la imagen de la fotografía y la imagen de la firma manuscrita.

4.3 La cuestión de la validez de los certificados La cuestión de la validez de los certificados, en relación con el DNI, es una de las cuestiones acerca de las cuales los ciudadanos-consumidores debieran estar más concientes. A priori, podría parecer que, si el DNI electrónico no es más que el instrumento de firma electrónico que permite identificar y asumir obligaciones en el espacio virtual a los ciudadanos, la duración y validez del DNI tradicional y de los certificados electrónicos contenidos en el chip incorporado a su suporte, serán idénticos. Nada más lejos de la realidad. Los plazos de validez del DNI tradicional y del DNI electrónico –los certificados electrónicos- son sustancialmente diferentes. El DNI tradicional tiene un período de validez de cinco años cuando el titular no ha cumplido los treinta al momento de la expedición o renovación. Diez años, cuando el titular haya cumplido los treinta y no haya alcanzado los setenta y, de forma permanente, cuando el titular haya cumplido los setenta años (Art. 6.1 RD 1553/2005). Por el contrario, los certificados electrónicos contenidos en dicho soporte –en el DNI tradicional- tendrán una validez de treinta meses. Esta diferencia en la duración de la validez, que a primera vista podría resultar criticable, no parece ser más que el resultado de una combinación

de mandatos contenidos en la LFE y de una buena dosis de prudencia. No en vano, recordemos que el Art. 8 LFE establece que, los certificados reconocidos, no deben tener una duración superior a los cuatro años, un año menos que la validez del DNI tradicional para los menores de treinta años. Teniendo en cuenta que la activación del DNI electrónico es una opción voluntaria del titular del documento y que, la renovación de los certificados es posible sin cambiar el soporte documental a un coste prácticamente inexistente, no parece desacertado establecer una duración de dos años y medio como medida de seguridad adicional. Una vez caducado, al titular le bastará acudir a las dependencias de la Policía Nacional donde, previa cita, le emitirán –en el mismo soporte del DNI- un nuevo certificado. No obstante, no siendo esto criticable sí es cierto que debería ser explicado a los ciudadanos-consumidores-firmantes. No es, ni mucho menos, algo que el ciudadanoconsumidor medio pueda deducir con facilidad. Y no es una cuestión baladí. No en vano, a la hora de identificarse y contratar en el entorno virtual, puede ocurrir que el ciudadano y titular del DNI electrónico, visualizando la tarjeta que conforma su DNI tradicional y que contiene su DNI electrónico, pueda entender que la vigencia del primero conllevo la vigencia del segundo y utilizar, una vez extinguidos los certificados electrónicos, su firma electrónica. La consecuencia que se derivaría de ello sería la utilización de una firma, basada en un certificado extinguido, que no sería ni fiable, ni aceptada por los terceros –que al comprobar el estado del certificado ante el prestador de servicios que lo emitió comprobarían su estado extinto37-, ni, por supuesto, podría producir los efectos jurídicos que se le atribuirían a una firma reconocida. 4.4 Obligaciones jurídicas del titular del DNI electrónico El titular de un DNI electrónico es el firmante de una firma electrónica avanzada –y en el futuro reconocida cuando los sistemas de voluntarios de certificación-

37

Adelantamos aquí que los prestadores de servicios de certificación están obligados, ex Art. Art. 18.2.c) y d) LFE a: “ c) Mantener un directorio actualizado de certificados en el que se indicarán los certificados expedidos y si están vigentes o si su vigencia ha sido suspendida o extinguida. La integridad del directorio se protegerá mediante la utilización de los mecanismos de seguridad adecuados. D) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro”. Estos directorios deben permitir, a cualquier tercero, obtener información acerca del estado del certificado del firmante para poder determinar si la firma es o no fiable. Para una análisis detallado de la cuestión V. MARTÍNEZ NADAL, A. Comentarios a la… Ob. Cit. Págs. 266-290; ORTEGA DÍAZ, J.F. La firma… Ob. Cit. Págs.114-123.

y su actuación está sometido al cumplimiento de obligaciones ex lege de cuyo incumplimiento, llegado el momento, podría responder. Estas obligaciones, básicamente, son dos: A) Conservación y custodia de los datos de creación de firma vinculados al certificado de firma contenido en el DNI La conservación y el mantenimiento en secreto de la clave privada o datos de creación de firma, es una de las “cargas” legales, ex Art. 23.1.c) del firmante. Su secreto y uso exclusivo es uno de los pilares básicos en los que se sustenta la fiabilidad del sistema de certificados. Y todo ello porque, al firmarse electrónicamente un documento mediante una clave privada que corresponde a la clave pública contenida en un certificado reconocido y válido, se presume iuris tantum que el firmante es el titular del certificado. Esta presunción, unida al reconocimiento de la equivalencia de los efectos jurídicos con la firma manuscrita, otorga una seguridad jurídica imprescindible para el correcto desarrollo del sistema de certificados y del comercio electrónico. No obstante, en caso de pérdida de la clave privada y de su posterior utilización por un tercero, esta seguridad desaparece, pues la atribución de la autoría de la firma seguiría imputándose a su titular, debiendo probar que no fue él, sino un tercero ilegítimo, quien realizó la firma. Desafío probatorio, a nuestro juicio, de muy difícil consecución. Por todo ello, debido a la trascendencia de la obligación de custodia de la clave privada, no basta declarar la obligación sino que es preciso determinar sus consecuencias en caso de incumplimiento. El Art. 23.1.c) LFE exonera de responsabilidad al certificador cuando el firmante incurre en «negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación».

De esta manera, a la luz de dicho precepto, podría entender que el

certificador, únicamente quedaría exonerado de la responsabilidad, cuando la conducta del titular de la clave privada (dato de creación de firma) fuera negligente. En consecuencia, al titular de la clave privada sólo se le imputará responsabilidad cuando su conducta fuera negligente incurriendo, por tanto, en una responsabilidad de carácter

subjetivo38. De esta manera cuando la clave privada fuera puesta en peligro a pesar de la diligencia de su titular, éste no responderá sino que lo hará el certificador.

B) Falta de revocación o suspensión del certificado

Una de las obligaciones esenciales de todo prestador de servicios de certificación, emita o no certificados reconocidos, es la información del estado de los certificados a los terceros que confían en la información contenida en los mismos. Para ello, el certificador mantendrá un directorio actualizado de certificados en el que se indicará el estado de los mismos (vigente, suspendido o extinguido) -Art. 18.2.c) y d) LFE-39. De esta manera, cuando se produzca cualquier circunstancia que afecte a la fiabilidad de los certificados, dicha circunstancia debe tener un reflejo inmediato en ese directorio abierto para que los terceros que confían en los certificados puedan conocer si son o no fiables. Pues bien, es precisamente esta obligación de comunicación –de

38

En este supuesto, el titular de la clave privada es responsable de los daños ocasionados a terceros. Su negligencia, no adoptando las medidas de protección adecuadas, es la causante de unos perjuicios por los que debe responder. Así, y como ya se ha advertido, el titular será responsable extracontractual frente al tercero, responsabilidad surgida de su conducta negligente. De esta manera, para imputar la responsabilidad al titular y su deber de indemnizar, basta con acudir al Art. 1902 y 1101 del CC. Compartiendo esta atribución de responsabilidad al suscritor, algunos autores han argumentado la misma mediante la aplicación de la llamada teoría de la imputación de la apariencia generada. Según ésta, la apariencia puede actuar como fuente de obligaciones frente a terceros. El suscriptor, solicitando y aceptando un certificado que lo vincula a un determinado par de claves, genera una apariencia (la apariencia de que le son atribuibles aquellos documentos firmados con la clave privada de la que es titular) que le es imputable y por la que debe responder (V. MARTÍNEZ NADAL, A. Comercio Electrónico, Firma Digital y Autoridades de Certificación. Estudios de Derecho Mercantil. Cívitas. 2º Edición. 2000. Pág. 239; HUERTA VIESCA, Mª I. Y RODRÍGUEZ RUIZ DE VILLA, D. Los prestadores de servicios de certificación en la contratación electrónica. Aranzadi. Pamplona. 2001. Pág. 129.) en caso de uso ilegítimo por razones fundadas en la protección del tráfico y de la buena fe de los terceros (V. BADENAS CARPIO, J. M. "Diferencia entre firma electrónica y firma electrónica avanzada". AJA. Nº 526. 2002. Págs. 1-7.). A nuestro juicio, si bien esta teoría no es rechazable de plano, sí nos parece que, existiendo preceptos normativos tan claros como el Art.1101, su aplicación resulta superflua. 39 Dicho directorio actualizado recibe la denominación, en la estructura de firma electrónica que sostiene el DNI electrónico, de “Autoridades de Validación”. Para una descripción detallada de esta más que criticable terminología V. http://www.dnielectronico.es/Autoridades_de_Validacion/index.html. Cabe señalar que, aunque el prestador de servicios de certificación que emite el DNI electrónico es el Ministerio del Interior, las obligaciones que tiene en materia de información del estado de los certificados, son delegadas a la Fábrica Nacional de Moneda y Timbre (http://www.cert.fnmt.es/http://www.cert.fnmt.es/). A fecha de hoy –julio de 2009- basta examinar el website de esta institución para percatarse de la desastrosa manera en la que cumple tal misión. Desde un diseño del website que dista mucho de facilitar la navegación hasta un entramado de menús con una terminología poco habitual, el sitio web parece diseñado para que un usuario medio no tenga ninguna posibilidad de encontrar la información acerca del estado de un certificado o de verificar un documento que ha sido firmado electrónicamente.

revocar o suspender un certificado- la segunda de las “cargas” ex lege que recae sobre el firmante. De esta manera, el titular del certificado debe proceder a la revocación –o cuando menos a la suspensión40- del certificado en los supuestos en los que éste deje o pueda dejar de ser fiable. (Por ejemplo, la puesta en peligro de la clave privada en cuyo caso se debe proceder a la revocación o, en su caso, la suspensión como, por ejemplo, en el supuesto en el que el firmante no recuerde en qué lugar ha guardado sus datos de creación de firma). No en vano, el Art. 23.1.d) exonera al certificador de responsabilidad cuando el firmante no solicitara «[…]la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma». Esto es, solicitara la suspensión en caso de duda acerca del compromiso de los datos de creación de firma y de revocación en caso de que el firmante tuviera tal certeza. De esta manera, el firmante será responsable en tanto en cuanto no comunique la puesta en peligro –ora solicitando la suspensión, ora la revocación- de sus datos de creación de firma (clave privada) en caso de duda acerca del mantenimiento de la confidencialidad del mismo. Si el firmante posee esa convicción, y aún así no acomete la revocación o suspensión, el certificador no deberá responder, debiendo hacerlo el firmante al imputársele una responsabilidad de carácter subjetivo fruto su actuación dañosa.

40

Se habla de extinción del certificado cuando se declara su no fiabilidad definitiva (P.ej. un certificado cuya plazo de validez se ha cumplido). Por el contrario, con el concepto suspensión se define aquella situación en la que se declara a los terceros que, de manera temporal, dicho certificado no es fiable (P.Ej. El titular que no encuentra su clave privada pero que, sin embargo, sabe que esta está en su domicilio en un lugar seguro pero que, diligentemente, procede a su suspensión hasta que la encuentre). Para una explicación detallada de estos dos conceptos V. MARTÍNEZ NADAL, A. Comercio Electrónico… Ob. Cit. Págs. XXX.XXX