Blog

Firma electrónica (I) - Normativa nacional y europea

14 feb. 2017
Post - Firma 1

La firma electrónica quizás haya sido el avance en interacción telemática más importante de los últimos años. Digo “quizás” porque los canales de comunicación, ya sean basados en web, en correo electrónico o de otro tipo, pueden requerir o no que la persona que comunica se identifique. E incluso dentro de los que exigen identificación, que ésta se realice con una mayor o menor garantía.

 

Y es ahí donde entra la firma electrónica, pues frente al simple uso de un usuario o contraseña, o de un registro previo basado en un correo electrónico sin contrastar, esta forma de identificación digital establece un estándar de seguridad y de confianza importante y con cada vez mayor reconocimiento y aplicación. Y lo que queda, por cierto… porque la firma electrónica, aunque ya sea veterana en cuanto a normativa, todavía no ha despegado masivamente ni se ha hecho cotidiana entre la mayor parte de la población.

 

Los notarios han utilizado prácticamente desde su implantación en España la firma electrónica. Eso es incontestable. De hecho, lejos de entender que era una amenaza (ya se sabe… el Notario “solo firma”, ejem…), el Notariado se posición a favor de su utilización y, como ya he dicho en alguna ocasión, es la firma electrónica la que define actualmente la mayor parte de la configuración del notariado actual, cuestión que analizaré con más detalle en otro post, y la que estoy seguro definirá la configuración futura del mismo.

 

Pero en este post solamente voy a tratar de sintetizar las ideas básicas de la normativa sobre firma electrónica, que está configurada fundamentalmente por nuestra normativa interna de firma electrónica y por la normativa europea.

 

La normativa española en materia de firma electrónica

 

 

La firma electrónica fue introducida en nuestro ordenamiento jurídico por el Real Decreto Ley 14/1999 de 17 de septiembre, que fue derogado por la vigente Ley 59/2003, de 19 de diciembre, de firma electrónica. Según su artículo 1 regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. 

 

No obstante, la Ley de Firma electrónica no regula un único tipo de firma electrónica: Distingue en su artículo 3 entre la firma electrónica simple, la avanzada y la reconocida. De esta definición, sucesiva o en cascada de firma electrónica, podemos concluir que la firma electrónica es un único concepto (el de la firma simple), pero que en función de la seguridad que se añada a ese conjunto de datos, la prueba de la autoría y la detección de posibles alteraciones será mayor, por lo que los efectos de los distintos tipos de firmas serán necesariamente distintos.

 

La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. 

 

La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control. 

 

Permite identificar al firmante: Esta firma sí permite identificar al firmante de manera directa, y no actúa como un medio de identificación que requiera pruebas adicionales, a diferencia de la firma simple. Por otro lado, hay que tener en cuenta la definición de firmante que luego veremos.

 

Permite detectar cambios en los datos firmados.

 

Está vinculada al firmante de manera única: Luego dos personas no pueden tener una misma firma.

Ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control. La redacción anterior de la norma no mencionaba el “alto nivel de confianza”, con lo que parece haber suavizado dicho requisito para adaptarse a la definición de firma electrónica avanzada del Reglamento eIDAS que luego veremos y además admitir la firma desatendida, en servidor o en la nube.

 

La firma electrónica reconocida es la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. 

 

Certificado reconocido: Son los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en el artículo 11 en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten. Similar en su definición a la de dispositivo cualificado del Reglamento eIDAS.

 

Dispositivo seguro de creación de firma: Es un dispositivo que ofrece la garantía, entre otras, de que los datos utilizados para la generación de firma pueden producirse sólo una vez, que asegura razonablemente su secreto, que la firma está protegida contra la falsificación. Es similar la definición a la de dispositivo cualificado del Reglamento eIDAS.

 

Por otro lado, para la Ley de Firma Electrónica, firmante es la persona que utiliza un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa (artículo 6). Y ello porque este artículo también ha sido matizado para acercarlo al Reglamento eIDAS, ya que antes se decía que firmante era la persona que poseía el dispositivo, entendiéndose que firmante no era necesariamente quien firmaba, sino el que es titular de un dispositivo de creación de firma, que debe custodiarlo, y que por tanto es responsable de su uso. La responsabilidad del titular (firmante, según la Ley), por tanto, se vinculaba a la posesión y custodia del dispositivo, y no al uso concreto del mismo. 

 

La nueva mención puede entenderse en dos sentidos: El primero, que ahora no es suficiente la custodia del dispositivo, sino la utilización efectiva del mismo, lo cual enlaza con la norma del Reglamento eIDAS que califica de firmante a quien crea una firma electrónica. El segundo, que al sustituir “poseer” por “utilizar un dispositivo”, se abre la posibilidad a la firma desasistida, en servidor o en la nube, pues se legitima la posibilidad de que las claves puedan ubicarse en un dispositivo que no se posea directamente, sino que se acceda y utilice a distancia.

 

Por otro lado, la Ley ya prevé que no sólo personas físicas, sino jurídicas, dispongan de certificados de firma electrónica. Ahora bien, en su artículo 13 se establecen serias diferencias en los requisitos que una u otra deben cumplir para la expedición de un certificado reconocido, pues en cualquier caso el prestadores de servicios de certificación que expida el certificado debe identificar a su titular.

 

La identificación de la persona física que solicite un certificado reconocido exigirá su personación y se acreditará mediante el documento nacional de identidad, pasaporte u otros medios admitidos en derecho. Podrá prescindirse de la personación si su firma en la solicitud de expedición de un certificado reconocido ha sido legitimada en presencia notarial. Cuando el certificado reconocido contenga otras circunstancias personales o atributos del solicitante, como su condición de titular de un cargo público, su pertenencia a un colegio profesional o su titulación, éstas deberán comprobarse mediante los documentos oficiales que las acrediten, de conformidad con su normativa específica.

 

En el caso de personas jurídicas, tanto el artículo 13 como el artículo 7 de la Ley establecen una reglas especiales que pueden incidir en los efectos de la expedición y firma electrónica realizada por sus representantes.

 

 

Otras normas nacionales en materia de firma electrónica

 

 

Esta norma debe complementarse con otras que, directa o indirectamente, atribuyen efectos a la firma electrónica. Por centrar el asunto en la perspectiva notarial, vamos a analizar algunas de las que tienen trascendencia en el ámbito de actuación del Notario.

 

La norma más importante fue la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social, cuyos artículos 106 y siguientes fueron clave para la incorporación de técnicas electrónicas, informáticas y telemáticas a la seguridad jurídica preventiva. De hecho, esta norma fue dictada durante la vigencia de la primera norma sobre firma electrónica, el Real Decreto Ley de 1999, y antes de la vigente Ley de 2003.

 

El artículo 106.1 comienza diciendo que su objeto es regular la atribución y uso de la firma electrónica reconocida por parte de Notarios y registradores de la propiedad, mercantiles y de bienes muebles, en el ejercicio de sus funciones públicas. El artículo 108 dice que los Notarios y registradores de la propiedad, mercantiles y de bienes muebles, deberán disponer para la adecuada prestación de sus funciones públicas de firma electrónica reconocida, la cual deberán obtener en el momento de toma de posesión de una plaza, custodiar personalmente y no ceder su uso a ninguna otra persona en ningún supuesto, conforme al artículo 109.

 

El mismo artículo 109 dice que la firma electrónica para Notarios y registradores, que deberá tener el carácter de avanzada, habrá de cumplir, además, los siguientes requisitos: Estar amparada por un certificado reconocido emitido por un prestador de servicios de certificación, vincular unos datos de verificación de firma a la identidad del titular, su condición de Notario o registrador en servicio activo y la plaza de destino, expresar que el uso de la firma electrónica se encuentra limitado exclusivamente a la suscripción de documentos públicos u oficiales propios del oficio del signatario y corresponderse con un dispositivo seguro de creación de firma.

 

Entrando ya en normativa exclusivamente notarial, el artículo 17 bis.1 de la Ley de 28 de mayo 1862, Orgánica del Notariado se prevé la posibilidad de que los instrumentos públicos se redacten en soporte electrónico y sean firmados con la firma electrónica avanzada del Notario y, en su caso, de los otorgantes. 

 

A pesar de ello, estos instrumentos públicos digitales no se han desarrollado todavía. Lo que sí se ha desarrollado son las copias autorizadas electrónicas de las escrituras matrices. A pesar de la dicción del artículo 17 bis, que habla de firma avanzada, en el Reglamento Notarial aprobado por Decreto 2 junio 1944, las menciones que se realizan a la firma electrónica son, en todo caso, a la firma electrónica reconocida.

 

 

Normativa europea: El Reglamento eIDAS

 

 

De manera casi simultánea al Real Decreto Ley visto, se aprobó la Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se estableció un marco común para la firma electrónica y se fijaron los criterios para el reconocimiento jurídico de la firma digital, centrándose en los servicios de certificación.

 

El Consejo Europeo, en sus conclusiones de 4 de febrero de 2011 y de 23 de octubre de 2011, invitó a la Comisión a crear un mercado único digital para 2015 a fin de avanzar en la economía digital y promover un mercado único digital plenamente integrado facilitando el uso transfronterizo de los servicios en línea, con especial atención a la identificación y autenticación electrónicas seguras. De esta evolución surge el Reglamento (UE) Número 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 (Reglamento eIDAS) relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, que deroga la Directiva de 1999 y obliga, por su contenido, a que la normativa interna vigente sea revisada y puesta al día.

 

Define el artículo 1.c como tercer ámbito del Reglamento el establecer un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web. El artículo 3.9 define firmante como una persona física que crea una firma electrónica.

 

De modo similar a la Ley de Firma Electrónica, aunque con distinta nomenclatura, el artículo 3 del Reglamento eIDAS distingue entre firma electrónica simple, avanzada y cualificada. Los requisitos de cada una de ellas se desarrollan de modo similar a lo visto para la Ley nacional: Partimos de una definición (la firma electrónica simple) y vamos añadiendo capas de seguridad que permitirán un efecto más fuerte, y por tanto más seguro, de la firma electrónica, lo cual se trasladará después a los efectos del documento electrónico y, como consecuencia de ello, a su oponibilidad.

 

Firma electrónica son los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

 

Firma electrónica avanzada es la firma electrónica que está vinculada al firmante de manera única y permitir su identificación, haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

 

Firma electrónica cualificada es una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.

 

Como se puede apreciar y hemos comentado, la normativa nacional ya se ha adaptado a las definiciones del Reglamento, aunque no se ha aprovechado para equiparar la nomenclatura cualificada-reconocida, manteniendo esa dualidad de conceptos, si bien ahora con un contenido que podríamos calificar de homogéneo.