Despacho socio de:

Socios Hispajuris

En los últimos años, las nuevas tecnologías y la sociedad de la información están generando nuevos métodos de comunicación empresarial, lo que provoca la necesidad permanente de adaptación por parte de las empresas. A pesar de ello, la utilización en España de los mercados digitales todavía es muy reducida en comparación con otros países punteros de la Unión Europea, sobre todo debido a la desconfianza que todavía genera el comercio en internet, lo que determina el pausado avance del desarrollo competitivo del mercado español. En cualquier caso, no cabe duda de que el comercio en la red será una de las vías esenciales para la captación de nuevos clientes, fidelizar los propios y, en definitiva, incrementar la competitividad y expectativa de mercado de la empresa. Para la consecución de estos objetivos, es primordial ofrecer a los clientes unos óptimos mecanismos de seguridad y unas medidas de protección adecuadas para las transmisiones e intercambios por la red, que eviten la desconfianza en su acceso, siendo la firma digital una de las herramientas técnicas fundamentales para las empresas en las relaciones con sus clientes.

NORMATIVA APLICABLE

El artículo 3.1 de la Ley 59/2003 define la firma electrónica como el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Además de esta definición previa de la firma electrónica en general, la Ley incluye la definición de otros dos tipos de firma electrónica: la avanzada y la reconocida. La avanzada consiste en la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. Por último, la firma electrónica reconocida es la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

Por tanto, la firma electrónica básica no garantiza ni la identidad del firmante, ni la veracidad de la información recibida ya que no asegura que el envío lo haya realizado el emisor que conocemos, mientras que la firma avanzada reconocida –art.3.3 de la Ley- está basada en un certificado reconocido oficialmente y permite identificar al firmante y detectar cualquier cambio posterior de datos que pudiese producirse. Esta última firma es la que denominamos como firma digital. El legislador determina expresamente que la firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

FUNCIONAMIENTO

Técnicamente, la firma digital es una firma creada mediante los denominados sistemas de criptografía de clave asimétrica y su funcionamiento se basa en que el titular posee dos claves, una pública y una privada. Mientras que la clave privada sólo la conoce el emisor y está vinculada a la información que envía, los que reciben esta información sólo conocen su clave pública. Ambas claves se complementan para que el mensaje oculto aparezca como el original, dado que el mensaje sólo podrá ser descifrado por los que conozcan las instrucciones y la clave utilizada por el emisor.

LOS CERTIFICADOS ELECTRÓNICOS Y RECONOCIDOS

Como ya hemos visto, para que una firma electrónica tenga el mismo valor jurídico que la firma manuscrita, debe estar basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma –la denominada firma avanzada reconocida-. De conformidad con el art. 6 de la Ley 59/2003, un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. Por otro lado, el firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa. La Ley define los certificados reconocidos como aquellos certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.

En la práctica, los certificados son documentos electrónicos que incorporan la clave pública de un usuario y hacen factible la utilización de la firma electrónica por Internet, garantizando que cada firma se corresponde con ese usuario y no con otro. El certificado reconocido identifica al usuario y le permite intercambiar información con seguridad, y suele contener al menos, los siguientes datos:

  1. La indicación de que se expiden como tales.
  2. El código identificativo único del certificado.
  3. La identificación del prestador de servicios de certificación que expide el certificado y su domicilio.
  4. La firma electrónica avanzada del prestador de servicios de certificación que expide el certificado.
  5. La identificación del firmante, en el supuesto de personas físicas, por su nombre y apellidos y su número de documento nacional de identidad o a través de un seudónimo que conste como tal de manera inequívoca y, en el supuesto de personas jurídicas, por su denominación o razón social y su código de identificación fiscal.
  6. Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante.
  7. El comienzo y el fin del período de validez del certificado.
  8. Los límites de uso del certificado, si se establecen.
  9. Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen

El período de validez de los certificados electrónicos será adecuado a las características y tecnología empleada para generar los datos de creación de firma y, en el caso de los certificados reconocidos, este período no podrá ser superior a cuatro años. Las claves privadas de los usuarios se protegen en soportes físicos como las tarjetas inteligentes, similares a una tarjeta de crédito y protegidas por un número personal que sólo conoce su propietario y que garantizan que nadie pueda usarla sin su consentimiento. En la tarjeta están las claves que no pueden ni salir de ésta, ni ser copiadas o usadas por un tercero lo que permite al propietario controlar el acceso y garantizar su seguridad.

Una novedad que incluyó la Ley 59/2003 es la posibilidad de que se emitan certificados de personas jurídicas, lo que con el Real Decreto Ley de 1999 ya derogado sólo era posible en el ámbito de la gestión tributaria. Actualmente, el artículo 7 de la Ley dispone que podrán solicitar certificados electrónicos de personas jurídicas sus administradores, representantes legales y voluntarios con poder bastante a estos efectos, teniendo en cuenta que tales certificados electrónicos no podrán afectar al régimen de representación orgánica o voluntaria regulado por la legislación civil o mercantil aplicable a cada persona jurídica.

LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Los certificados son emitidos y firmados por los denominados Prestadores de Servicios de Certificación, que para emitir el certificado deberán cumplir las siguientes obligaciones:

  1. Comprobar la identidad y circunstancias personales de los solicitantes de certificados.
  2. Verificar que la información contenida en el certificado es exacta y que incluye toda la información prescrita para un certificado reconocido.
  3. Asegurarse de que el firmante está en posesión de los datos de creación de firma correspondientes a los de verificación que constan en el certificado.
  4. Garantizar la complementariedad de los datos de creación y verificación de firma, siempre que ambos sean generados por el prestador de servicios de certificación.

Además, la Ley exige a los prestadores de servicios de certificación que expidan certificados reconocidos, la demostración de la fiabilidad necesaria para prestar servicios de certificación y garantizar que pueda determinarse con precisión la fecha y la hora en las que se emitió un certificado o se extinguió o suspendió su vigencia. Por otro lado, han de emplear personal con la cualificación y experiencia necesaria, utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad técnica de los procesos de certificación, tomar medidas contra la falsificación de certificados y conservar registrada por cualquier medio seguro toda la información y documentación relativa a un certificado reconocido y las declaraciones de prácticas de certificación vigentes en cada momento, al menos durante 15 años.

En garantía del cumplimiento de tales obligaciones, los prestadores de servicios de certificación que expidan certificados reconocidos deberán constituir un seguro de responsabilidad civil por importe de al menos 3.000.000 de euros que cubra la responsabilidad por los daños y perjuicios que pueda ocasionar el uso de los certificados que expidan.

OBTENCIÓN DE LOS CERTIFICADOS

La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda se constituye legalmente como el certificador público de firma electrónica (también existen certificadores privados). Para obtener un Certificado de Usuario hay que dirigirse a este organismo y cumplimentar unos documentos que completan un proceso tras el cual podremos acceder a los servicios que la Administración ofrece on line de forma muy sencilla y segura. Los pasos para obtener el certificado se limitan a cubrir una solicitud vía Internet a través de la web de la FNMT, obteniendo un código que habrá que presentar al acreditar la identidad del solicitante.

Esta acreditación se realiza en una Oficina de Registro de los Organismos acreditados, aunque si se ha solicitado un certificado de persona jurídica (o de entidad sin personalidad jurídica) para el ámbito tributario, sólo se podrá acudir a las Oficinas de Registro de la Agencia Tributaria. En todo caso, el registro de usuario es presencial, lo que aumenta el nivel de seguridad del sistema.

Por último, una vez realizado el registro presencial y con la ayuda del código obtenido en la solicitud inicial, podrá descargar vía Internet su Certificado de Usuario

Es lo que se denomina proyecto CERES (CERtificación ESpañola) que lidera la Fábrica Nacional de Moneda y Timbre, y que en líneas generales, consiste en establecer   una Entidad Pública de Certificación, que permita autentificar y garantizar la confidencialidad de las comunicaciones entre ciudadanos, empresas u otras instituciones y administraciones públicas a través de las redes abiertas de comunicación.

Alguno de los servicios más habituales a los que podremos acceder con nuestro certificado son los incluidos en las páginas web de la Seguridad Social, la Agencia Tributaria o los Centros Públicos de Salud, que nos posibilitan, entre otras muchas cosas, acceder a nuestro informe de vida laboral o presentar electrónicamente nuestras declaraciones tributarias. En definitiva, unos métodos de acceso seguro a la información en la Red que están creciendo de modo progresivo en los últimos años y a las que particulares y empresas habremos de acostumbrarnos a utilizar en un futuro próximo.

Caruncho y Tomé