Evolución normativa en materia de firma electrónica, identificación electrónica y servicios de confianza para las transacciones electrónicas

En pocos sectores de lo que puede llamarse Derecho de Internet la elaboración en el seno de la UE de un complejo marco normativo creado al hilo del desarrollo de la sociedad de la información ha resultado tan poco operativo en la práctica como en el ámbito de las firmas electrónicas. Esa situación es la consecuencia en buena medida de que la orientación y el contenido de la normativa de armonización adoptada mediante la Directiva 1999/93/CE determinaron que los mecanismos de firma electrónica típicamente utilizados en el ámbito del comercio electrónico prácticamente no fueran objeto de atención legislativa así como que otros posibles mecanismos tecnológicos relevantes para aportar seguridad al comercio electrónico quedaran al margen de ese régimen legal. Asimismo, las dificultades de aplicación o el carácter innecesario de ciertos requisitos legales, la inadecuación de algunas de las limitaciones previstas, o el carácter inviable de ciertos elementos básicos de la normativa existente hacen que el anuncio de su revisión –que tuvo lugar ya el pasado junio- constituya una noticia reseñable. Ciertamente, la Propuesta de Reglamento relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior presentada por la Comisión - COM(2012) 238final- y llamada a derogar la Directiva 1999/93/CE contempla una profunda transformación de la legislación de la Unión Europea en este ámbito.

            Destaca en primer lugar el abandono como instrumento normativo de la directiva y su sustitución por un reglamento, de modo que el marco jurídico resultante sería directamente aplicable en todos los Estados miembros, lo que limitaría decisivamente en el futuro el significado de las legislaciones nacionales de dichos Estados eliminando los problemas derivados de las diferencias en las normas de transposición de la Directiva, en particular mediante la imposición a los Estados miembros de obligaciones precisas con respecto a la aceptación de los servicios de confianza cualificados procedentes de otros Estados miembros.

La reglamentación ahora prevista responde en su contenido a una orientación sustancialmente diferente a la que inspiró la Directiva 1999/93/CE y las legislaciones nacionales de transposición (como en España la Ley 59/2003, de firma electrónica -LFE-), en la medida en que no se centra en la regulación únicamente de un tipo de firma electrónica sometida a rigurosos requisitos (“la firma electrónica avanzada basada en un certificado reconocido”) sino que comprende en su objeto otros mecanismos de gran relevancia desde el punto de vista de la seguridad, confianza y fiabilidad del comercio electrónico, como es el caso de los sellos electrónicos y de la autenticación de sitios web. Como es bien conocido, la Directiva 1999/93/CE y la LFE, si bien parten del criterio de neutralidad tecnológica y admiten la eficacia de cualesquiera firmas electrónicas, se centran en establecer un régimen normativo especialmente detallado respecto de ciertas firmas electrónicas a las que atribuyen una especial eficacia jurídica vinculada a su equiparación a las firmas manuscritas, partiendo de que tales firmas normalmente van a responder al empleo de la criptografía de clave pública. Resulta por ello de interés recordar que la limitada relevancia práctica de la actual legislación europea (y española) en materia de firma electrónica se vincula con que si bien las técnicas de firma e identificación electrónica son ampliamente utilizadas en el comercio electrónico y contribuyen a dotarlo de mayor seguridad, el recurso a las mismas suele tener lugar al margen de las actuales previsiones legales y con frecuencia tales mecanismos resultan de utilidad en el comercio electrónico al margen de la celebración de contratos o de la emisión de declaraciones negociales, por ejemplo, en la medida en que son un instrumento de uso generalizado para facilitar la identificación de forma segura de quien es titular de un sitio de Internet.

            En este contexto debe destacarse que la Propuesta de Reglamento, si bien presta particular atención a los conceptos de servicios de confianza cualificados y de proveedor de servicios de confianza cualificados al establecer los requisitos y obligaciones que garanticen un alto nivel de seguridad de ciertos servicios o productos de confianza, incluye la regulación no sólo de los que en ella se denominan “certificados cualificados de firma electrónica” sino también de los “certificados cualificados de sello electrónico” así como de los “certificados cualificados de autenticación de sitios web” destinados a proporcionar un conjunto mínimo de información fiable sobre el sitio web y sobre su propietario, lo que en la práctica es de gran importancia para favorecer la confianza en el comercio electrónico y la seguridad respecto de las transacciones por medios electrónicos. La experiencia reciente vinculada a las carencias de ciertas agencias de certificación debería ser tenida muy en cuenta en el debate acerca de la configuración de los requisitos de seguridad y los mecanismos de supervisión. En relación con los sellos electrónicos de las personas jurídicas, la Propuesta incluye una presunción legal de que los sellos electrónicos cualificados garantizan la autenticidad e integridad de los documentos electrónicos a los que están vinculados.

            La Propuesta parte de la importancia de asegurar la interoperabilidad transfronteriza en el seno de la UE de las identificaciones electrónicas nacionales así como el reconocimiento y aceptación mutuos entre los Estados miembros de los medios de identificación electrónica, de modo que impone a los Estados miembros la obligación de reconocer y aceptar los medios de identificación electrónica procedentes de otros Estados miembros notificados a la Comisión en las condiciones establecidas en la Propuesta. En relación con los efectos de los documentos electrónicos, la normativa propuesta contempla también una presunción de autenticidad e integridad de cualquier documento electrónico firmado con una firma electrónica cualificada o con un sello electrónico cualificado, así como la obligación de los Estados miembros de aceptar tales los documentos electrónicos cuando se exija un documento original o una copia certificada del mismo para la prestación de un servicio público.

            También prevé la Propuesta cambios sustanciales en el régimen de las firmas electrónicas, incluyendo la modificación de aspectos que han resultado en la práctica carentes de toda efectividad o fuente de distorsiones. Las modificaciones se proyectan sobre el régimen de responsabilidad de los ahora llamados prestadores de servicios de confianza, distinguiéndose entre quienes prestan servicios denominados cualificados y no cualificados, los efectos de las firmas electrónicas (equiparando los efectos de las firmas electrónicas cualificadas a los de las firmas manuscritas), los requisitos de los certificados de firma cualificada (entre los que se suprimen limitaciones sobre el valor de las transacciones), los requisitos relativos a los dispositivos de creación de firma electrónica, así como la certificación de los dispositivos de firma electrónica cualificados y su reconocimiento entre los Estados miembros. Por último, en lo relativo al reconocimiento y aceptación de los servicios prestados por un proveedor establecido en un tercer país como servicios de confianza cualificados, de las tres opciones contempladas en el artículo 7 de la Directiva 1999/93/CE y el artículo 14 LFE, la Propuesta conserva únicamente la posibilidad de permitir dicho reconocimiento en virtud de un acuerdo internacional entre la UE con terceros países u organizaciones internacionales, al considerar que es la única opción viable en la práctica, lo que viene a corroborar que aspectos significativos de la legislación todavía en vigor carecen de virtualidad práctica.