Aunque la aplicación del grueso de sus normas no está prevista hasta el 1 de julio de 2016, tenía pendiente desde hace algún tiempo referirme al nuevo Reglamento (UE) nº 910/2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga –con efectos a partir del 1 de julio de 2016- la Directiva 1999/93/CE sobre la firma electrónica. Se trata de un Reglamento que supone una notable transformación del régimen anterior, pues responde en su contenido a una orientación sustancialmente diferente a la que inspiró la Directiva 1999/93/CE, en la medida en que no se centra en la regulación únicamente de un tipo de firma electrónica sometida a rigurosos requisitos (“la firma electrónica avanzada basada en un certificado reconocido”, cuyo equivalente en el Reglamento es la “firma electrónica cualificada”) sino que comprende en su objeto otros mecanismos de gran relevancia desde el punto de vista de la seguridad, confianza y fiabilidad del comercio electrónico, como es el caso de los sellos electrónicos –referidos a personas jurídicas-, los sellos de entrega electrónica y la autenticación de sitios web. Frente al modelo anterior, el Reglamento pretende proporcionar un marco global para garantizar unas transacciones electrónicas seguras, al tiempo que otro de sus objetivos básicos es eliminar los obstáculos al uso transfronterizo de los medios de identificación electrónica utilizados en los Estados miembros para autenticar al menos en los servicios públicos. Ahora bien, las limitaciones de una nota como esta, aconsejan ceñir su objeto a dos aspectos: i) una presentación general de aspectos básicos del nuevo Reglamento y ii) una referencia al significado de este Reglamento como mecanismo de unificación jurídica y su coordinación con los ordenamientos nacionales en el ámbito del Derecho privado, en particular en relación con dos cuestiones de gran importancia, como los efectos de estos servicios de confianza y la responsabilidad de los prestadores de tales servicios.
I. Panorama del contenido del Reglamento (UE) nº 910/2014
Conforme a su artículo 1, el Reglamento 910/2014 tiene un triple objeto: a) establece las condiciones en que los Estados miembros deberán reconocer los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro; b) establece normas para los servicios de confianza, en particular para las transacciones electrónicas; y c) establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web. En línea con la legislación previa, el Reglamento deja claro que no afecta al Derecho nacional o de la Unión relacionado con la celebración y validez de los contratos u otras obligaciones legales o de procedimiento relativos a la forma, al tiempo que tampoco debe afectar a los requisitos nacionales “de formato” correspondientes a los registros públicos, como los registros mercantiles y de la propiedad (cdo. 21). Básico en relación con el objetivo de garantizar el correcto funcionamiento del mercado interior es la prohibición de restricciones a la prestación de servicios de confianza en el territorio de un Estado miembro por un prestador establecido en otro Estado miembro por razones que entren en los ámbitos cubiertos por el Reglamento.
En materia de identificación electrónica el Reglamento parte de la importancia de asegurar la interoperabilidad transfronteriza en el seno de la UE de las identificaciones nacionales, así como el reconocimiento y aceptación mutuos entre los Estados miembros de los medios de identificación electrónica. Objetivo básico del Reglamento es garantizar la identificación y la autenticación electrónicas seguras para el acceso a los servicios transfronterizos en línea ofrecidos por los Estados miembros, pero preservando la libertad de los Estados respecto a la gestión de la identificación electrónica y las infraestructuras conexas. A los Estados miembros corresponde determinar los medios, incluidos los sistemas de identificación electrónica, para acceder a sus servicios públicos en línea. Los Estados son libres de decidir si notifican a la Comisión todos o algunos de los sistemas de identificación electrónica en ellos existentes para acceder a servicios públicos, lo que resulta determinante a los efectos del reconocimiento recíproco. Aspecto clave es la obligación impuesta a los Estados miembros de reconocimiento mutuo (arts. 6 a 12) y el régimen de responsabilidad del Estado miembro que notifica un sistema de identificación electrónica, de la parte que expide los medios de identificación así como de la parte que realice el procedimiento de autenticación, por los perjuicios causados (art. 11). En todo caso, el artículo 9.5 del Reglamento añade que estas normas sobre responsabilidad deben entenderse sin perjuicio de la responsabilidad de las partes de acuerdo con la legislación nacional en relación con una transacción en la que se utilicen esos medios de identificación electrónica. Además, las normas sobre responsabilidad del Reglamento deben aplicarse en consonancia con las normas nacionales, como las relativas a la definición de daños y perjuicios o al procedimiento (cdo. 18).
El Capítulo III del Reglamento 910/2014 está dedicado a la regulación de los servicios de confianza prestados al público que tengan efectos en terceros. Frente al modelo previo, el Reglamento no se limita a regular la firma electrónica pues regula también otros servicios de confianza. Como es bien conocido, la Directiva 1999/93/CE y la Ley 59/2013, de firma electrónica, que la traspone, se centraron en establecer un régimen normativo especialmente detallado respecto de ciertas firmas electrónicas con una especial eficacia jurídica vinculada a su equiparación a las firmas manuscritas. El Reglamento 910/2014, si bien presta particular atención a los conceptos de servicios de confianza cualificados y de proveedor de servicios de confianza cualificados al establecer los requisitos y obligaciones que garanticen un alto nivel de seguridad de ciertos servicios o productos de confianza, incluye la regulación no sólo de los que en ella se denominan “certificados cualificados de firma electrónica” sino también de los “certificados cualificados de sello electrónico” así como de los “certificados cualificados de autenticación de sitios web” destinados a proporcionar un conjunto mínimo de información fiable sobre el sitio web y sobre su titular, de gran importancia para favorecer la confianza en el comercio electrónico y la seguridad respecto de las transacciones por medios electrónicos.
En todo caso, en materia de tipos de firma electrónica el Reglamento 910/2014 responde a un enfoque próximo al de la Directiva, que se refleja en la diferenciación entre “firma electrónica”, “firma electrónica avanzada” y “firma electrónica cualificada”. Esta última categoría está integrada por las firmas electrónicas que, además de reunir los requisitos comunes a todas las firmas electrónicas avanzadas, son creadas mediante un dispositivo cualificado de creación de firmas electrónicas y se basan en un certificado cualificado de firma electrónica. Dispositivos cualificados de creación de firmas electrónicas son aquellos que cumplen los requisitos enumerados en el Anexo II del Reglamento. De acuerdo con el artículo 28 del Reglamento, certificados cualificados de firma electrónica son los que han sido expedidos por un prestador cualificado de servicios de confianza y cumplen los requisitos establecidos en su Anexo I, que detalla el contenido que deben tener tales certificados. El Reglamento prevé medidas transitorias que facilitan la consideración como dispositivos cualificados de creación de firma electrónica con arreglo al Reglamento de los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a la Directiva 1999/93/CE, así como la consideración como certificados cualificados de firma electrónica con arreglo al Reglamento de los certificados reconocidos expedidos para las personas físicas conforme a la Directiva 1999/93/CE (art. 51).
Habida cuenta de la orientación y alcance del Reglamento, presenta singular importancia ahora el concepto de servicio de confianza, que aparece definido en el artículo 3. De acuerdo con su apartado 16, esta categoría comprende “el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en: a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o b) la creación, verificación y validación de certificados para la autenticación de sitios web, o c) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios”. Los servicios de confianza se consideran “cualificados” cuando cumplen los requisitos establecidos en el Reglamento. Frente a la categoría genérica de “prestador de servicios de confianza” se diferencia la de “prestador cualificado de servicios de confianza”, que requiere que el prestador preste servicios de confianza cualificados y le haya sido concedida la cualificación por el servicio de supervisión, quedando sometidos a un régimen de supervisión mucho más estricto.
II. Unificación jurídica y coordinación con los ordenamientos nacionales: efectos de los servicios de confianza y responsabilidad de los prestadores
El cambio de instrumento normativo, al pasar de la Directiva al Reglamento, implica una unificación mediante normas comunes de aplicación directa en todos los Estados miembros que sustituye a las legislaciones nacionales. Ahora bien, en los aspectos objeto de regulación por el Reglamento 910/2014 de más trascendencia desde la perspectiva del Derecho privado, el limitado alcance del contenido del Reglamento, unido al carácter fragmentario del Derecho privado de la UE, determinan que las legislaciones nacionales de los Estados miembros continuarán siendo muy relevantes para complementar lo previsto en el Reglamento.
A modo de ejemplo, el Reglamento 910/2014 parte del criterio de que debe ser posible utilizar los servicios de confianza como prueba en procedimientos judiciales en todos los Estados miembros, pero establece que corresponde al Derecho nacional definir los efectos jurídicos de los servicios de confianza, salvo disposición contraria del Reglamento (cdo. 22). Con respecto a los efectos jurídicos de las firmas electrónicas, el artículo 25 diferencia entre las firmas electrónicas en general y las firmas electrónicas cualificadas para las que prevé efectos peculiares. Con carácter general para todas las firmas electrónicas se limita a rechazar que se puedan denegar efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada. Para las firmas electrónicas cualificadas el artículo 25.2 del Reglamento prevé que tendrán un efecto jurídico equivalente al de una firma manuscrita. Fuera de estas disposiciones, y de la obligación de reconocimiento recíproco entre los Estados miembros de las firmas electrónicas cualificadas basadas en un certificado cualificado emitido en un Estado miembro, corresponde a las legislaciones nacionales determinar los efectos jurídicos de las firmas electrónicas en los Estados miembros (cdo. 49).
Aunque el Reglamento admite la posibilidad de que cualquier sello electrónico tenga efectos jurídicos, sólo atribuye efectos específicos a los sellos electrónicos cualificados. Con respecto al conjunto de los sellos electrónicos, al igual que sucede en el caso de las firmas electrónicas, el artículo 35.1 del Reglamento se limita a prever que “no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un sello electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos del sello electrónico cualificado”. Tratándose de sellos electrónicos cualificados, el artículo 35.3 exige el reconocimiento como tal en el conjunto de la Unión de los emitidos en un Estado miembro, pero además incorpora una regla específica sobre sus concretos efectos jurídicos, respecto de la autenticidad e integridad de los documentos electrónicos a los que están vinculados. En concreto, se atribuye a todo sello electrónico cualificado una presunción de integridad de los datos y de la concreción del origen de los datos a los que esté vinculado. En este caso también, al margen de estas reglas, corresponde al Derecho nacional definir los efectos jurídicos de los sellos electrónicos (cdo. 22).
En materia de responsabilidad, el artículo 13 del Reglamento establece como criterio general que los prestadores de servicios de confianza serán responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en razón del incumplimiento de las obligaciones establecidas en el Reglamento. Ahora bien, con respecto al régimen de carga de la prueba, distingue en función de que el prestador de servicios de confianza sea cualificado o no, teniendo en cuenta de la diferencia entre los servicios que unos y otros proporcionan. La carga de la prueba de la intencionalidad o la negligencia de un prestador no cualificado corresponde a la persona que alegue los perjuicios; mientras que se presume la intencionalidad o la negligencia de un prestador cualificado salvo cuando demuestre que los perjuicios se produjeron sin intención ni negligencia por su parte. En todo caso, el prestador de servicios de confianza no será responsable de los perjuicios producidos por una utilización de los servicios que vaya más allá de las limitaciones de utilización de los servicios, siempre que hubiera informado debidamente a sus clientes con antelación de tales limitaciones y las mismas sean reconocibles para un tercero.
Son esas, en síntesis, las normas del Reglamento sobre responsabilidad de los prestadores de servicios de confianza. Como consecuencia del reducido alcance de estas disposiciones, es claro que las normas nacionales continúan desempeñando un papel muy relevante en este ámbito, por ejemplo, con respecto a la evaluación de los daños o la indemnización o la determinación de las personas que tienen derecho a la reparación del daño –aspectos que en las situaciones transfronterizas pueden suscitar complejas cuestiones de determinación del Derecho aplicable- o en relación con el procedimiento.