Aspectos técnicos y jurídicos de la firma electrónica

Aspectos técnicos y jurídicos de la firma electrónica

  1. Introducción
  2. Necesidad de un marco seguro de transmisión de información
  3. El funcionamiento de la firma electrónica
  4. Marco jurídico

1. Introducción

La información es un activo fundamental y pilar básico del desarrollo de una sociedad avanzada. Las repercusiones sociales, jurídicas y económicas de la Sociedad de la Información son considerables y plantean oportunidades y retos clave a individuos, empresas y gobiernos.

No obstante, los problemas que plantea son también de gran envergadura. El fenómeno internet y su utilidad como mecanismo de transmisión de información ágil y rápida queda de manifiesto en los numerosos estudios estadísticos sobre la materia. En la Unión Europea, el crecimiento es imparable, ya que se ha pasado de 63 millones de usuarios en el año 1999, a unos 100 millones en el 2001.España no ha quedado atrás en este avance, pasando de 4 a 12 millones entre 1999 y 2001. No obstante, el principal problema que plantea a los juristas es el de la seguridad y confidencialidad de la información que circula por la red. Su carácter de red supranancional plantea problemas, que deben ser resueltos con una combinación de técnica y regulación normativa. Este es el problema que intenta solucionar el mecanismo de la firma electrónica.

2. Necesidad de un marco seguro de transmisión de información

La necesidad de un marco seguro de transmisión de la información fue puesta de manifiesto por primera en USA, concretamente en UTAH en 1996. El éxito de esta iniciativa provocó su incorporación al Código de Comercio de USA (Uniform Comercial Code), que estableció las bases para que las relaciones comerciales pudieran desarrollarse en este marco. En 1997, a iniciativa de UNCITRAL se aprobó la Ley Modelo de Comercio Electrónico, que ha servido de base al desarrollo normativo en este ámbito.

En Europa, la necesidad de establecer un marco seguro de comunicaciones vía electrónica se ha puesto de manifiesto en repetidas ocasiones. La Cumbre de Lisboa de Jefes de Estado y de Gobierno de Marzo de 2002, consideró que la armonización del marco jurídico regulador del comercio electrónico y la seguridad en el mismo, era un pilar fundamental para la construcción de la economía de la Unión Europea. El proceso se inicia de modo estable con la aprobación de la Directiva 1999/93 del Parlamento Europeo y del Consejo, por la que se establece un marco jurídico comunitario para la firma electrónica. España, consciente de la necesidad de aprobar un marco jurídico básico regulador de los aspectos más urgentes de la materia, se anticipó a la citada Directiva, y publicó su RD.Ley 14/1999, de 17  de Septiembre. En la actualidad se está desarrollando un nuevo Proyecto, que en principio no va a aportar novedades sustanciales, salvo en lo relativo al DNI electrónico.

Antes de analizar los aspectos más técnicos del funcionamiento de la firma electrónica, creo conveniente aclarar algunos puntos básicos de lo que se entiende por seguridad en las comunicaciones telemáticas. Existen cuatro grandes bloques normativos:

  1. Seguridad Técnica, que permita obtener comunicaciones privadas, auténticas e íntegras Inter.-partes y que garantice que los sites están a salvo de piratas informáticos o “hackers”.
  2. Seguridad Jurídica, entendiendo por tal, un marco jurídico regulador de las eventuales responsabilidades que pueden dimanar de conductas o actos ilícitos a través de la red.
  3. Seguridad mercantil o económica, que sería la aplicación del concepto anterior para garantizar un marco seguro de transacciones financieras a través de la red.
  4. Seguridad a los consumidores, evitando el abuso de las grandes empresas de su posición de dominio y la utilización de cláusulas abusivas.

3. El funcionamiento de la firma electrónica

El problema fundamental que plantean las transacciones a través de internet, desde un punto de vista jurídico se puede resumir en cuatro grandes puntos, que han sido puestos de manifiesto por numerosos expertos en la materia: AUTENTICIDAD; INTEGRIDAD;  CONFIDENCIALIDAD y NO REPUDIO.

La INTEGRIDAD, hace referencia al hecho de que la información no pueda ser manipulada en el proceso de envío. La AUTENTICIDAD, significa que la información sea enviada por quien aparece como emisor y recibida por aquel a quien va dirigida. El NO RECHAZO, viene a asegurar que no se pueda negar la autoría del mensaje enviado. Por último, la CONFIDENCIALIDAD, asegura el secreto de las comunicaciones contenidas en los mensajes.

Para garantizar el cumplimiento de estos cuatro requisitos, se plantearon dos grandes alternativas:

1º.sistemas de criptografría SIMÉTRICA, que obliga a los interlocutores a utilizar la misma clave para encriptar y desencriptar el mensaje, técnica que fue desarrollada por IBM (sistema “DES”), pero que fracasó debido a su inseguridad en cuanto al secreto y confidencialidad de dicha clave. No obstante, este sistema, ha sido el más utilizado históricamente. Dependiendo de la naturaleza de la aplicación utilizada tiene cuatro variantes para su implementación: EBC (Electronic Codebook mode), para mensajes cortos de menos de 64 bits; CBC (Cipher Block Chaining Mode), para mensajes largos; CFB (Cipher Block Feedback) para cifrar bit por bit; y el OFB (Output Feedback mode) análogo al CFB, pero permite evitar la propagación de errores.

La experiencia práctica se ha encargado de poner de manifiesto las carencias de estos sistemas para la transmisión de información de alta de seguridad.

2º.Sistemas de criptografía ASIMÉTRICA, consistentes en la asignación de dos claves, una pública y otra privada, asociadas a un solo interlocutor. Este sistema, parece el más adecuado, para el cumplimiento de los requisitos anteriores, y es el más utilizado en la práctica, bajo la denominación RSA, que se debe a las iniciales de sus creadores (Rivest, Shamir y Adelman), y que es el contemplado en el documento de la ISO (International Standard Organisation),7498-2, de Julio de 1988, que señala la arquitectura de seguridad para proteger las comunicaciones de los usuarios de las redes. Se puede definir como “una cadena de caracteres que se agrega a un archivo digital que hace el mismo papel que la firma convencional que se escribe en un documento de papel ordinario”.

El esquema resumido de este sistema se puede resumir en los siguientes pasos:

  1. A cada usuario se le un número entero que funciona como su clave pública.
  2. Cada usuario posee una clave privada que solo él conoce, y que es distinta para cada uno.
  3. Existe un directorio de claves públicas que pueden ser conocidas.
  4. El emisor envía el mensaje con la clave pública del destinatario encriptándola con su clave privada. El destinatario solo podrá abrir el mensaje con la clave pública junto con su clave privada.

El éxito de este sistema se debe a que garantiza la seguridad y confidencialidad de las comunicaciones telemáticas. En otras palabras, la firma basada en RSA, provoca que el contenido del mensaje sea IRREVERSIBLE, ÚNICO e INVARIABLE. Además facilita una perfecta identificación de remitente y destinatario. Esta última función se realiza a través de los llamados “terceros de confianza”, que han sido denominados por algún sector de la Doctrina especializada, como “Notarios Electrónicos”.

4. Marco jurídico

A continuación adjunto un breve resumen de las principales disposiciones normativas, tanto de Derecho Comunitario, como nacional, acerca de la materia que nos ocupa:

4.1. Unión Europea

1. Directiva 95/46./CE del Parlamento europeo y del Consejo. de 24-X-95, relativa a la protección de las personas fisicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

2. Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15-XII-97 relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las telecomunicaciones

3. Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica

4. Directiva 2000/31/CE. del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico)

4. Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos

4.2. España

1. Lev 26/84 de 19 de julio, general para la defensa de los consumidores y usuarios

2. Ley 7/1996 de 15 de Enero de Ordenación del Comercio Minorista (en particular, el capitulo II (“ventas a distancia”) del Titulo III).

3. RD 263/96 de 16 de febrero por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del estado

4. Ley 7/1998 de 13 de Abril sobre Condiciones Generales de la Contratación. (en particular, el artículo 5.3)

5. Real Decreto 1906/1999, de 17 de Diciembre que regula la contratación telefónica o electrónica con condiciones generales.

6. Lev 11/1998, de 24 de abril, General de las Telecomunicaciones

7. Real Decreto-Ley 14/1999 de 17 de septiembre, de firma electrónica

8. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

8. Ley de Enjuiciamiento Civil, de 7 de enero de 2000.

9. Orden 21-VII-00 del Ministerio de Fomento, por la que se regula el sistema de asignación de nombres de dominio en Internet bajo el código de pais correspondiente a España (. es)

10. Ley 24/2001 de 27 de diciembre de medidas fiscales, administrativas y de orden social (sección 8ª del capitulo XI)

11. Instrucción 30-12-99 de la DCRN. Presentación de las cuentas anuales en los Registros Mercantiles a través de procedimientos telemáticos.

12. Instrucción de 31-12-99 de la DGRN sobre legalización de libros en los Registros Mercantiles a través de procedimientos telemáticos.

13. Instrucción de 19-10-2000, de la DGRN, sobre el uso de la firma electrónica de los fedatarios públicos.

14. Instrucción DGRN 23-X-2001

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.