Los servicios de confianza y la prueba electrónica
El Reglamento (UE) n ° 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. Y por la que se deroga la Directiva 1999/93/CE (en adelante, “Reglamento eIDAS”) establece, a tenor de lo dispuesto en su artículo 1, apartados b) y c), normas para los servicios de confianza, en particular para las transacciones electrónicas. Así como un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.
Para el Reglamento eIDAS, un servicio de confianza es «el servicio electrónico prestado habitualmente a cambio de una remuneración. Consistente en: a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios. O b) la creación, verificación y validación de certificados para la autenticación de sitios web. O c) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios” (artículo 3 (16) del Reglamento eIDAS).
DFE
Algunos de estos servicios ya habían sido regulados de forma previa por la Directiva 1999/93/CE, del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999. Por la que se establece un marco común para la firma electrónica (en adelante, “DFE”). Y que el Reglamento eIDAS deroga a todos los efectos a partir de 1 de julio de 2016. Desplazando también las normas nacionales que se opongan o resulten incompatibles con el citado Reglamento eIDAS. En España, la Ley 59/2003, de 19 de diciembre (en adelante, “LFE”), que deberá adecuarse urgentemente.
En concreto, la DFE crea un marco jurídico para la firma electrónica y para determinados servicios de certificación. Con el fin de garantizar el correcto funcionamiento del mercado interior. Indicándose en el considerando (3) del Reglamento eIDAS que la Directiva se refiere a las firmas electrónicas, sin ofrecer un marco global transfronterizo e intersectorial para garantizar unas transacciones electrónicas seguras, fiables y de fácil uso. El presente Reglamento refuerza y amplía el acervo que representa dicha Directiva.
Aunque la Directiva no contiene una definición de servicio de certificación, lo caracteriza cuando indica que un proveedor de servicios de certificación es la entidad o persona física o jurídica que expide certificados o presta otros servicios en relación con la firma electrónica. En una concepción muy amplia.
Firma electrónica reconocida
Quizá la Directiva ha tomado esta denominación, que en algunos casos ha resultado confusa. Porque la firma electrónica reconocida, que es la que recibe mayor efecto jurídico, se debe basar de forma necesaria en un certificado electrónico reconocido. Desde luego, la prestación de servicios como el sellado de la fecha y hora de una firma electrónica, o la generación, validación o custodia de una firma electrónica no parece tener nada que ver con los certificados electrónicos. Por lo que su inclusión en este concepto resulta extraña. Y más cuando la Directiva no establece obligaciones para dichos servicios.
En cambio, la denominación de servicio de confianza contenida en el Reglamento eIDAS constituye una evolución. Y, al tiempo, ampliación semántica sobre la denominación de servicio de certificación. Y se fundamenta en el hecho de que estos servicios permiten aportar confianza a los procesos de negocio en los que se emplean. En gran medida gracias a los efectos jurídicos que se asocian a dichos servicios.
Servicio de confianza
Muestra de ello es que la exposición de motivos del Reglamento eIDAS manifieste que el presente Reglamento se propone reforzar la confianza en las transacciones electrónicas en el mercado interior proporcionando una base común. Para lograr interacciones electrónicas seguras entre los ciudadanos, las empresas y las administraciones públicas e incrementando, en consecuencia, la eficacia de los servicios en línea públicos y privados, los negocios electrónicos y el comercio electrónico en la Unión (Considerando (2) del Reglamento eIDAS). Para lo cual se precisa ir más allá de la regulación de firma electrónica. La cual no ofrecía “un marco global transfronterizo e intersectorial para garantizar unas transacciones electrónicas seguras, fiables y de fácil uso” (Considerando (3) del Reglamento eIDAS).
El artículo 3 (16) del Reglamento eIDAS no contiene, propiamente, una definición o concepto de servicio de confianza. Sino más bien una enumeración de servicios de la sociedad de la información que, precisamente al estar incluidos en dicha lista cerrada, se consideran “de confianza”. Podríamos conceptualizar los servicios de confianza como aquellas tecnologías en las que se puede confiar. Por lo que modifican la percepción del usuario con respecto a la vulnerabilidad de un proceso al que se incorporan. Para ello, el usuario debe poder reconocer un servicio de confianza, de hecho, como suficientemente confiable.
Para ello, la aproximación del Reglamento eIDAS es la creación de un nivel reforzado de servicios de confianza. Lo cual no deja de llamar la atención, en el sentido de que realmente la confianza en dichos servicios parece nacer el hecho de que los mismos se encuentran regulados, más que de sus propias características técnicas. Y en este sentido, el artículo 3 (17) del Reglamento eIDAS nos aporta la noción de un “servicio de confianza cualificado”. Que define como “un servicio de confianza que cumple los requisitos aplicables previstos en el presente Reglamento”, distinción relevante porque permite establecer, con carácter general, dos niveles de servicios “de confianza”:
-
El nivel ordinario de servicio de confianza.
Que no se encuentra prácticamente regulado, y que no recibe ningún reconocimiento legal en particular. Y en cuyo caso, el usuario debe construir su propio estado interno de confianza respecto al servicio. Por ejemplo, puede reconocer una contraseña de su entidad financiera como suficientemente segura, pero no un servicio de almacenamiento de documentos en la Nube.
-
El nivel cualificado de servicio de confianza.
Que sí se encuentra altamente regulado, y que recibe un reconocimiento particular de efectos legales. Lo cual debería suponer un incentivo a su adopción. Aunque en realidad, la dificultad de demostrar que un servicio es realmente cualificado puede llegar a eliminar todo el incentivo que ofrece el “reconocimiento” legal del servicio cualificado. Lo cual se intenta solventar mediante la imposición de la evaluación de la conformidad del servicio.
En este caso, este reconocimiento legal explícito es el que permite al usuario reconocer el servicio como confiable. Por lo que podemos asumir que estos servicios se desarrollarán antes y en mayor volumen que los que no gocen de esta condición. Aunque podría tratarse de una apuesta arriesgada. Dada la experiencia previa de la firma electrónica reconocida, que ha tenido una escasa adopción, por inhibidores de diversos tipos. En efecto, hay que reconocer que el mayor uso de la firma electrónica basada en certificado electrónico se observa en los escenarios donde la Administración ha impuesto este mecanismo (como en el ámbito tributario). O bien ha ofrecido un incentivo extra para su uso (para habilitar usos privados como la factura electrónica, por ejemplo).
Lista cerrada
Es preciso también comentar que el Reglamento eIDAS contiene una lista cerrada de servicios de confianza. Al objeto de delimitar el alcance de la regulación uniforme europea. Pero que los Estados miembros pueden definir otros servicios de confianza. Así como mantener (o introducir) disposiciones nacionales, acordes con el Derecho de la Unión, relativas a los servicios de confianza. Siempre que tales servicios no estén plenamente armonizados por el presente Reglamento, consideraciones que muestran el objetivo central de la regulación. Que no es otro que garantizar la libre circulación de estos servicios en el mercado interior. Mediante un conjunto mínimo de normas armonizadas (cfr. el Considerando (24) del Reglamento eIDAS). Algo que desde luego no sucede en la actualidad, al menos en términos prácticos.
Los servicios de confianza presentan una relación evidente con la prueba electrónica. Como reconoce el Considerando (22) del Reglamento eIDAS cuando indica que para contribuir al uso transfronterizo general de los servicios de confianza, debe ser posible utilizarlos como prueba en procedimientos judiciales en todos los Estados miembros. Pero también que corresponde al Derecho nacional definir los efectos jurídicos de los servicios de confianza, salvo disposición contraria del presente Reglamento.
En este sentido, el Reglamento eIDAS establece lo siguiente:
-
Respecto a la firma electrónica
El artículo 25.2 determina que “una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita”. Mientras que el epígrafe 1 del mismo artículo ordena que “no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada”. En todos los casos, en aplicación de los principios de equivalencia funcionalidad, una firma electrónica puede ser equivalente a una firma manuscrita. Diferenciándose la firma electrónica cualificada de las demás porque la misma es directamente equivalente a la firma manuscrita, por mandato legal. Mientras que en las restantes firmas electrónicas eventualmente se deberá probar su idoneidad, en función del caso concreto.
-
En relación con la nueva institución del sello electrónico
El Reglamento eIDAS construye como analogía de la firma electrónica. Pero reservada en exclusiva a las personas jurídicas. El artículo 35.2 determina que “un sello electrónico cualificado disfrutará de la presunción de integridad de los datos y de la corrección del origen de los datos a los que el sello electrónico cualificado esté vinculado”. De nuevo, el epígrafe 1 del mismo artículo ordena que “no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un sello electrónico. Por el mero hecho de estar en formato electrónico o de no cumplir los requisitos del sello electrónico cualificado”.
Nótese como, a diferencia de la firma electrónica cualificada, cuyo efecto realmente es sólo ser equivalente a una firma escrita (sean sus efectos los que sean en cada legislación). En cambio para el sello se definen exactamente los efectos jurídicos concretos. Entre los que, por cierto, no parece incluirse la idoneidad para la producción de declaraciones de voluntad. Algo que, si se interpreta en términos excesivamente estrictos, podría limitar enormemente su uso más allá de la remisión de documentación a terceros.
No debería ser el caso, dado que el Considerando (59) del Reglamento eIDAS indica que “los sellos electrónicos deben servir como prueba de que un documento electrónico ha sido expedido por una persona jurídica, aportando certeza sobre el origen y la integridad del documento”. Y además, a diferencia de la firma electrónica, el Reglamento eIDAS considera que, además de autenticar el documento expedido por la persona jurídica, los sellos electrónicos pueden utilizarse para autenticar cualquier activo digital de la persona jurídica. Por ejemplo, programas informáticos o servidores (Considerando (65) del Reglamento eIDAS).
Cuál es el reto
Aparece, por tanto, por la posible inaplicabilidad del principio de equivalencia funcional. En efecto, en tanto en cuanto no siempre existen normas sobre el uso de los sellos físicos de personas jurídicas, se generarán dudas razonables acerca de la posibilidad de emplear su correlato electrónico. Como por ejemplo en la contratación. Se trata de toda una oportunidad de innovación jurídica. Tanto en las relaciones inter privatos, donde se podrá estipular lo que se considere oportuno. Cuanto en la regulación aplicable a determinadas categorías de negocios jurídicos privados. Cuanto en los procedimientos administrativos y judiciales.
Dado que en la autenticación de fuentes de prueba electrónica – sea ésta documental o pericial – mediante sello electrónico no requiere de la actuación directa del apoderado de la persona jurídica. Cabe esperar una fuerte adopción del sello electrónico. Por lo que, con una cierta ironía, el Considerando (58) del Reglamento eIDAS parece instituir un principio de no discriminación del apoderado. Cuando indica que “cuando una transacción exija un sello electrónico cualificado de una persona jurídica, debe ser igualmente aceptable una firma electrónica cualificada del representante autorizado de la persona jurídica”.
-
En relación con la nueva institución del sello de tiempo electrónico
Que no está regulado en la DFE ni en la LFE. El artículo 41.2 determina que los sellos cualificados de tiempo electrónicos disfrutarán de una presunción de exactitud de la fecha y hora que indican y de la integridad de los datos a los que la fecha y hora estén vinculadas. Mientras que el epígrafe 1 del propio artículo ordena que no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un sello de tiempo electrónico. Por el mero hecho de estar en formato electrónico o de no cumplir los requisitos de sello cualificado de tiempo electrónico.
Se trata de un servicio que aporta un gran valor a los procesos de negocio con relevancia probatoria. Así como a las técnicas de generación de registros de actividad (logs) y a la denominada cadena de custodia. Por lo que entendemos que está llamado a jugar un papel fundamental en la prueba electrónica no documental. Y, especialmente, en la pericia informática.
-
Finalmente, en relación con la nueva institución de la entrega electrónica certificada
Que englobaría las frecuentemente denominadas notificaciones privadas electrónicas. El artículo 44.2 determina que los datos enviados y recibidos mediante un servicio cualificado de entrega electrónica certificada disfrutarán de la presunción de la integridad de los datos, el envío de dichos datos por el remitente identificado, la recepción por el destinatario identificado y la exactitud de la fecha y hora de envío y recepción de los datos que indica el servicio cualificado de entrega electrónica certificada. Mientras que el epígrafe 1 del mismo artículo ordena que a los datos enviados y recibidos mediante un servicio de entrega electrónica certificada no se les denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales. Por el mero hecho de que estén en formato electrónico o no cumplan los requisitos de servicio cualificado de entrega electrónica certificada.
Para los restantes servicios de confianza
El Reglamento eIDAS no establece efectos jurídicos ni menos aún presunciones. Incluso aunque los mismo sean cualificados. En todos los casos, hay que decir que el Reglamento eIDAS no altera las reglas de la carga de la prueba, que corresponde determinar al legislador nacional. Por lo que sigue siendo preciso demostrar que una firma electrónica de persona física, sello electrónico de persona jurídica, sello de tiempo electrónico o cualquier otro servicio de confianza realmente es cualificado. Como condición previa para que se produzcan los efectos legalmente previstos. Equivalencia con la firma manuscrita o presunción de autenticidad correspondiente.
En este sentido, la innovación principal del Reglamento eIDAS es un modelo regulatorio de fuerte control previo por el supervisor. Así como la obligación de certificar la seguridad técnica de los dispositivos empleados para la creación de la firma o sello electrónico cualificado. De modo que se alivia enormemente la carga de probar que en efecto una firma o sello electrónico, o un sello de tiempo electrónico, son realmente cualificados. A partir de ahí, lógicamente la otra parte tiene todo el derecho a proponer la práctica de prueba en su descargo. Algo que puede ser muy necesario, dado que los niveles de seguridad de los servicios cualificados no son sino razonables. Y , por tanto, susceptibles de fallo en algunos casos. Además, debido al siempre delicado equilibrio entre seguridad y usabilidad, que puede conllevar la generación fraudulento de una prueba. Incluso con firma/sello cualificados.
Y como muestra, un botón
Desde el momento en que las normas técnicas empleadas para la certificación de los dispositivos seguros de creación de firma o sello electrónico permiten que una de las partes genere unilateralmente el resumen criptográfico del documento a firmar. Por ejemplo, en una formalización contractual. Y lo remita a la otra parte para la creación de la firma. ¿Qué impide un posible fraude? ¿Cómo probará esa parte generadora que no ha hecho trampa? ¿Cómo confiar realmente en un sistema cualificado si el mismo permite – nada menos que por diseño normativo – la posibilidad de engañar a la otra parte?, frecuentemente protegida por un estatuto beneficioso como el del consumidor o el trabajador.
En este punto, hay que reconocer que la interposición del tercero de confianza – aún definido en el artículo 25 de la Ley 34/2002 – en la generación de la prueba puede ser la única vía de prueba fuerte de la que disponemos hoy. Incluso cuando empleamos firmas y sellos cualificados. Y no digamos cuando empleemos el resto de tipos de firma y sello electrónicos. Eso sí, debe ser digno, porque como le dijo el tío Ben al futuro Spiderman, “un gran poder conlleva una gran responsabilidad”.
Toda la información en Juristas con Futuro
Nacho Alamillo Domingo
Advocat, DEA, CISA, CISM, COBIT 5-f, ITIL V3-f
Director Astrea La Infopista Jurídica S.L.