La regulación de la firma digital tiene diferentes puntos en común en los EEUU y en Europa para facilitar los intercambios comerciales entre ambas zonas. En este artículo veremos brevemente estos puntos en común y las principales diferencias entre dichos regímenes.

Texto

---

J. Esteban Mucientes Manso es licenciado en Derecho y Coordinador Nacional del International Focus Programme, un programa de actividades que se desarrolla en toda la red internacional de ELSA, y que está dedicado a los problemas legales que plantea la Informática desde el punto de vista jurídico.

Introducción

Hoy día las firmas digitales se aceptan sin discusión alguna en el tráfico comercial desde el punto de vista legal, pero en un principio hubo problemas para aceptar su validez en algunos contratos y en las relaciones con la Administración. Hoy día, todos los países en los que existe regulación sobre las firmas digitales hay un artículo o sección en la que se dan los mismos efectos legales a la firma digital que a la firma manuscrita. El principal problema legal que ahora se plantea es cuáles son las tecnologías reconocidas por las diferentes regulaciones, ya que los certificados emitidos en un país se pueden usar en otros y aquí surge la duda ante los diferentes niveles de protección.

Una primera apreciación: en la mayor parte del texto se habla de firma digital. Esta categoría es diferente a firma electrónica, ya que ésta es más general y engloba a la anterior. Para ver la diferencia, simplemente hay que tener en cuenta la definición que da la Directiva de la UE, y que aparece en el apartado dedicado a la regulación europea.

Otra apreciación: la opción por determinados términos como Autoridad de Certificación, se hace porque son los más utilizados, sin entrar a considerar su naturaleza jurídica.

La regulación en los EEUU. Especial atención a la regulación californiana.

Han pasado ya seis años desde la aprobación de la ley de Utah sobre firma digital. Esta regulación ha sido el modelo de la mayoría de las regulaciones de los EEUU, junto con las regulaciones de California y Florida. Hace casi un año, se aprobó la regulación federal con el fin de establecer un marco en las relaciones interestatales y de comercio exterior (Sección 101.a). Esta regulación opta por un sistema basado en la infraestructura de clave pública (PKI) como el estándar, pero dejando libertad a los Estados para optar por cualquier otra tecnología, como veremos más adelante. El único límite a esto es que la Autoridad de Certificación (CA, de Certification Authority) debe garantizar un nivel de seguridad adecuado al nivel de la técnica en ese momento, lo que implica actualizar los certificados.

La Utah Digital Signature Act se aprobó en 1995 y ha sido modificada en 1996 y 2000. Establece un sistema en el que la CA debe obtener una licencia para operar en el Estado, y reconoce asimismo la PKI como estándar. La licencia se otorga por el Departamento de Comercio de Utah. Desde esta primera ley, todos los Estados de los EEUU han dictado leyes para crear un marco legal en este ámbito.

La Florida Electronic Signature Act de 1996 reconoce el mismo efecto legal a las firmas electrónicas y a la manuscrita, cláusula general con la que se incluyen todas las tecnologías habidas y por haber que puedan ofrecer servicios de firma.

La Illinois Electronic Signature Act es una regulación muy parecida a la de la Directiva Europea, ya que establece un sistema de firmas de 1ª y de 2ª clase. En la Sección 10-110 se refiere a Firma electrónica segura (Secure electronic signature), con los mismos requisitos que se establecen en la Directiva para la firma electrónica avanzada y añadiendo otro más: esta firma puede ser segura si las partes lo acuerdan así.

Frente a estos sistemas, está el modelo establecido en las California Digital Signature Regulations (California Code of Regulations, Title 2, Division 7, Chapter 10) que sólo regula las firmas digitales en las relaciones con la Administración, pero que tiene un par de aspectos dignos de mención. Así, las tecnologías citadas para proveer firma electrónica son la PKI y un sistema basado en identificación biométrica: el llamado Digital Dynamics. Sin embargo, este listado no es cerrado, ya que el Secretario de Estado puede establecer si una tecnología puede ser usada por Entes Públicos usando un procedimiento establecido en la Sección 22004(a) de esta regulación.

La regulación de la PKI está en la Sección 22003(a). El certificado ha de ser conforme a estándares generalmente usados por la industria, incluyendo, pero sin estar limitados a la norma ISO x.509 y el PGP (en una traducción más o menos literal de dicho artículo). Esto significa que cualquier otra tecnología incluida dentro de la PKI puede usarse sin el consentimiento del Secretario de Estado. Pero esto nos plantea otro problema, como 'qué o quién emite el certificado emitido con el software PGP? Este programa permite emitir certificados por uno mismo, y tiene módulos de cifrado para los principales programas de correo electrónico; estos certificados se suben a unos servidores de certificados, creándose con ellos una red de confianza. Así, vemos que no hay una CA emitiendo estos certificados, sino sólo una red de confianza, y así si alguien utiliza en certificado PGP, habrá problemas de reconocimiento de dicho certificado. Sin embargo, hemos de suponer que esto sólo es un estándar o como un estándar en las relaciones de estricta confianza de las partes de un contrato, pero sin olvidar los posibles problemas de exportación de un certificado de esta clase a cualquier otra parte para su reconocimiento, ya que según lo visto y la regulación europea, esto sólo entraría en el concepto de firma electrónica, viéndose entonces el certificado privado de la mayor protección que da la firma electrónica avanzada.

En cuanto a la tecnología biométrica denominada Digital Dynamics, se regula en la Sección 22003(b). Es un sistema basado en la firma de una persona estampada sobre una superficie plana por su propia mano con un bolígrafo o pluma [Sección (b)(1)(A)]. Esto nos da un interesante punto para debatir desde el punto de vista legal, ya que la firma de una persona depende de muchas circunstancias (estado anímico, tiempo, número de documentos a firmar'), con lo que tendríamos una persona con diferentes firmas y eso sin entrar al ámbito de la rúbrica. La solución a este problema de multiplicidad de firmas viene dado por la propia regulación, de tal forma que el aceptante (siguiendo la regulación) del mensaje puede obtener las firmas manuscritas para compararlas y un experto podría también examinar estas firmas manuscritas [Sección 22003(b)(3)]

El marco legal en la UE. La Directiva 1999/93 y las regulaciones de algunos Estados miembros.

En Europa hubo un largo debate sobre la regulación de las firmas digitales, porque algunos países dictaron leyes al abrigo de las diferentes experiencias de los EEUU y antes de la definitiva aprobación de la Directiva (Directiva 1999/93 del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica, publicada en el DOCE de 19 de enero de 2000). Así, por ejemplo, Italia aprobó la primera regulación europea en la materia en 1997, que creó un marco para los efectos de la firma digital en determinados actos administrativos, ley posteriormente desarrollada por un Reglamento que establecía aspectos como la definición de firma electrónica o las tecnologías de clave pública para este tipo de servicios.

Alemania también aprobó una ley sobre firma digital, la Gesetz zur digitalen Signatur en 1997, pero esta regulación era meramente técnica, con el único fin de establecer un estándar para la industria.

Poco antes de la aprobación de la Directiva, algunos países como Portugal o España aprobaron su legislación sobre firma electrónica sobre la base de la Posición Común, que finalmente sufrió modificaciones. La legislación española se recogió en el Real Decreto-ley 14/1999 de 17 de septiembre de 1999. Esta regulación fue muy criticada en la posterior convalidación parlamentaria, ya que desde ningún punto de vista se podía justificar la utilización de una forma legal tan excepcional como ésta (con valor de ley), máxime cuando la Directiva aún no tenía forma definitiva al no haber sido aprobada, lo que se tradujo en una posterior inadecuación de la legislación española frente a la europea en algunos puntos.

Hoy, la Directiva provee un marco legal para regular la materia en todos los Estados miembros, siguiendo las normas del mercado interior, entre las que destaca el principio de origen, recalcado en la regulación europea, posibilitándose así el reconocimiento de los certificados emitidos en otro país miembro. La principal diferencia entre las regulaciones estadounidenses vistas (la californiana y la de la mayoría de Estados, incluyendo la regulación federal, y con las excepciones de Florida e Illinois) y la regulación europea es que la Directiva regula las firmas electrónicas en general, y en la mayoría de los Estados de los EEUU se regula la firma digital (utilizando la PKI como estándar). La Directiva en su artículo 2 nos da la definición de ambos conceptos, pero sustituyendo el término firma digital por el de firma electrónica avanzada.

De dichas definiciones se deduce que la firma electrónica avanzada no es más que una firma digital. Pero el problema se plantea en cuáles son las tecnologías para prestar estos servicios. La Directiva no nos da ninguna solución al respecto, pero algunos países se han decantado por la PKI como estándar para las firmas digitales, como puede ser Alemania en su Ley de este mismo año. Esto causa problemas a los proveedores de servicios, porque no está determinado de forma clara y expresa en algunos países (como España) la tecnología que puede o debe ser utilizada como estándar; ante esto, la ESSI (Electronic Signature Standarization Initiative), que engloba a gran parte de las CA europeas, en sus documentos sugiere a sus miembros que utilicen la PKI como estándar para las firmas digitales. Pero si un certificado se emite con una tecnología diferente en un tercer país ajeno a la UE, debe aceptarse si cumple los requisitos establecidos en el artículo 2 de la Directiva. La solución más común a este posible problema de utilización de certificados emitidos en un país tercero ajeno a la UE es la certificación por parte de una CA de un país miembro, aunque se pueden utilizar otras soluciones, como tratados bilaterales o multilaterales entre países, en los cuales se reconozca el mismo efecto legal a las firmas digitales.

En cuanto a qué es una Autoridad de Certificación (o CA), no es más que una empresa o institución pública que emite certificados, provee de soluciones de seguridad en el comercio electrónico (como el SSL en webs o el TLS en los móviles)' La Directiva utiliza el término proveedor de servicios de certificación en su artículo 2.11, aunque otras regulaciones utilizan otros términos, como por ejemplo la UNCITRAL que también ha adoptado este mismo término. Esto viene por el concepto que habitualmente tiene el término autoridad, que parece referirse más a poderes públicos. Pero en algunos países algunas de estas CA están ofreciendo servicios que incluyen funciones públicas (notarización, por ejemplo), como es el caso en España de la Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE, http://www.feste.org) que emite sus certificados ante fedatario público, dando a estos certificados una mayor fuerza legal.

Referencias legislativas

Gobierno Federal de los EEUU: Federal Electronic Signatures in Global and National Commerce Act (Federal E-sign Act), 2000.

Utah: Utah Digital Signature Act (Utah Code Annotated Title 46, Chapter 3, 1996).

California: California Digital Signature Regulations (California Code of Regulations Title 2. Administration. Division 7. Secretary of State. Chapter 10. Digital Signatures), 1996.

Florida: Florida Electronic Signature Act, 1996.

Illinois: Electronic Commerce Security Act (Illinois Compiled Statutes 175).

Unión Europea: Directiva 1999/93 del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica, publicada en el DOCE de 19 de enero de 2000.

Italia (EU): Legge 15 marzo 1997, n. 59, de delega al governo il conferimento de funzioni e compiti alle Regioni ed enti locali, per la riforma della Pubblica Amministrazione e per la simplificazione amminstrativa, 1997.

Germany (EU): Gesetz zur Digitalen Signatur, 1997.

Law Governing Framework Conditions for Electronic Signatures and Amending Other Regulations, 2001.

Portugal (EU): Decreto-ley no. 290-D/99, 1999.

Spain (EU): Real Decreto Ley 14/1999, sobre firma electrónica. 1999.

UNCITRAL: Proyecto de guía para la incorporación al derecho interno de la Ley Modelo de la CNUDMI para las Firmas Electrónicas (incluye también el texto de la Ley Modelo), http://www.uncitral.org/english/workinggroups/wg_ec/wp-88e.pdf.

---