- NECESIDAD DE UN MARCO SEGURO
DE TRANSMISIÓN DE INFORMACIÓN
- EL FUNCIONAMIENTO DE LA FIRMA
ELECTRÓNICA
4. MARCO JURÍDICO
1.INTRODUCCIÓN
La información es un activo fundamental
y pilar básico del desarrollo de una sociedad avanzada. Las repercusiones
sociales, jurídicas y económicas de la Sociedad de la Información
son considerables y plantean oportunidades y retos clave a individuos,
empresas y gobiernos.
No obstante, los problemas que plantea
son también de gran envergadura. El fenómeno internet y su utilidad
como mecanismo de transmisión de información ágil y rápida queda
de manifiesto en los numerosos estudios estadísticos sobre la
materia. En la Unión Europea, el crecimiento es imparable, ya
que se ha pasado de 63 millones de usuarios en el año 1999, a
unos 100 millones en el 2001.España no ha quedado atrás en este
avance, pasando de 4 a 12 millones entre 1999 y 2001. No obstante,
el principal problema que plantea a los juristas es el de la seguridad
y confidencialidad de la información que circula por la red. Su
carácter de red supranancional plantea problemas, que deben ser
resueltos con una combinación de técnica y regulación normativa.
Este es el problema que intenta solucionar el mecanismo de la
firma electrónica.
2. NECESIDAD DE UN MARCO SEGURO DE TRANSMISIÓN DE LA INFORMACIÓN
La necesidad de un marco seguro de
transmisión de la información fue puesta de manifiesto por primera
en USA, concretamente en UTAH en 1996. El éxito de esta iniciativa
provocó su incorporación al Código de Comercio de USA (Uniform
Comercial Code), que estableció las bases para que las relaciones
comerciales pudieran desarrollarse en este marco. En 1997, a iniciativa
de UNCITRAL se aprobó la Ley Modelo de comercio electrónico, que
ha servido de base al desarrollo normativo en este ámbito.
En Europa, la necesidad de establecer
un marco seguro de comunicaciones vía electrónica se ha puesto
de manifiesto en repetidas ocasiones. La Cumbre de Lisboa de Jefes
de Estado y de Gobierno de Marzo de 2002, consideró que la armonización
del marco jurídico regulador del comercio electrónico y la seguridad
en el mismo, era un pilar fundamental para la construcción de
la economía de la Unión Europea. El proceso se inicia de modo
estable con la aprobación de la Directiva 1999/93 del Parlamento
Europeo y del Consejo, por la que se establece un marco jurídico
comunitario para la firma electrónica. España, consciente de la
necesidad de aprobar un marco jurídico básico regulador de los
aspectos más urgentes de la materia, se anticipó a la citada Directiva,
y publicó su RD.Ley 14/1999, de 17 de Septiembre. En la actualidad
se está desarrollando un nuevo Proyecto, que en principio no va
a aportar novedades sustanciales, salvo en lo relativo al DNI
electrónico.
Antes de analizar los aspectos más técnicos
del funcionamiento de la firma electrónica, creo conveniente aclarar
algunos puntos básicos de lo que se entiende por seguridad en
las comunicaciones telemáticas. Existen cuatro grandes bloques
normativos:
1º. Seguridad Técnica,
que permita obtener comunicaciones privadas, auténticas e íntegras
Inter.-partes y que garantice que los sites están a salvo de piratas
informáticos o “hackers”.
2º. Seguridad Jurídica,
entendiendo por tal, un marco jurídico regulador de las eventuales
responsabilidades que pueden dimanar de conductas o actos ilícitos
a través de la red.
3º. Seguridad mercantil
o económica, que sería la aplicación del concepto anterior
para garantizar un marco seguro de transacciones financieras a
través de la red.
4º. Seguridad a los
consumidores, evitando el abuso de las grandes empresas de
su posición de dominio y la utilización de cláusulas abusivas.
3. FUNCIONAMIENTO DE LA FIRMA ELECTRÓNICA
El problema fundamental que plantean
las transacciones a través de internet, desde un punto de vista
jurídico se puede resumir en cuatro grandes puntos, que han sido
puestos de manifiesto por numerosos expertos en la materia: AUTENTICIDAD;
INTEGRIDAD; CONFIDENCIALIDAD y NO REPUDIO.
La INTEGRIDAD, hace referencia al
hecho de que la información no pueda ser manipulada en el proceso
de envío. La AUTENTICIDAD, significa que la información sea enviada
por quien aparece como emisor y recibida por aquel a quien va
dirigida. El NO RECHAZO, viene a asegurar que no se pueda negar
la autoría del mensaje enviado. Por último, la CONFIDENCIALIDAD,
asegura el secreto de las comunicaciones contenidas en los mensajes.
Para garantizar el cumplimiento de
estos cuatro requisitos, se plantearon dos grandes alternativas:
1º.sistemas de criptografría SIMÉTRICA,
que obliga a los interlocutores a utilizar la misma clave para
encriptar y desencriptar el mensaje, técnica que fue desarrollada
por IBM (sistema “DES”), pero que fracasó debido a su
inseguridad en cuanto al secreto y confidencialidad de dicha clave.
No obstante, este sistema, ha sido el más utilizado históricamente.
Dependiendo de la naturaleza de la aplicación utilizada tiene
cuatro variantes para su implementación: EBC (Electronic Codebook
mode), para mensajes cortos de menos de 64 bits; CBC (Cipher Block
Chaining Mode), para mensajes largos; CFB (Cipher Block Feedback)
para cifrar bit por bit; y el OFB (Output Feedback mode) análogo
al CFB, pero permite evitar la propagación de errores.
La experiencia práctica se ha encargado
de poner de manifiesto las carencias de estos sistemas para la
transmisión de información de alta de seguridad.
2º.Sistemas de criptografía ASIMÉTRICA,
consistentes en la asignación de dos claves, una pública y otra
privada, asociadas a un solo interlocutor. Este sistema, parece
el más adecuado, para el cumplimiento de los requisitos anteriores,
y es el más utilizado en la práctica, bajo la denominación RSA,
que se debe a las iniciales de sus creadores (Rivest, Shamir y
Adelman), y que es el contemplado en el documento de la ISO (International
Standard Organisation),7498-2, de Julio de 1988, que señala la
arquitectura de seguridad para proteger las comunicaciones de
los usuarios de las redes. Se puede definir como “una
cadena de caracteres que se agrega a un archivo digital que hace
el mismo papel que la firma convencional que se escribe en un
documento de papel ordinario”.
El esquema resumido de este sistema
se puede resumir en los siguientes pasos:
1º. A cada usuario se le un número
entero que funciona como su clave pública.
2º. Cada usuario posee una clave
privada que solo él conoce, y que es distinta para cada uno.
3º. Existe un directorio de claves
públicas que pueden ser conocidas.
4º. El emisor envía el mensaje
con la clave pública del destinatario encriptándola con su clave
privada. El destinatario solo podrá abrir el mensaje con la clave
pública junto con su clave privada.
El éxito de este sistema se debe a que
garantiza la seguridad y confidencialidad de las comunicaciones
telemáticas. En otras palabras, la firma basada en RSA, provoca
que el contenido del mensaje sea IRREVERSIBLE, ÚNICO e INVARIABLE.
Además facilita una perfecta identificación de remitente y destinatario.
Esta última función se realiza a través de los llamados “terceros
de confianza”, que han sido denominados por algún sector
de la Doctrina especializada, como “Notarios Electrónicos”.
4.
MARCO JURÍDICO
A continuación adjunto un breve resumen
de las principales disposiciones normativas, tanto de Derecho
Comunitario, como nacional, acerca de la materia que nos ocupa:
1. UNION EUROPEA
1. Directiva 95/46./CE del Parlamento
europeo y del Consejo. de 24-X-95, relativa a la protección
de las personas fisicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos.
2. Directiva 97/66/CE del Parlamento Europeo y del Consejo,
de 15-XII-97 relativa al tratamiento
de datos personales y a la protección de la intimidad en el sector
de las telecomunicaciones
3. Directiva 1999/93/CE del
Parlamento Europeo y del Consejo de 13 de diciembre de 1999, por
la que se establece un marco comunitario
para la firma electrónica
4. Directiva 2000/31/CE. del Parlamento Europeo y del
Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad
de la información, en particular el comercio electrónico en el
mercado interior
(Directiva sobre el comercio electrónico)
4. Reglamento (CE) n° 45/2001 del Parlamento
Europeo y del Consejo, de 18 de diciembre de 2000, relativo a
la protección de las personas físicas
en lo que respecta al tratamiento de datos personales por las
instituciones y los organismos comunitarios y a la libre circulación
de estos datos
2. ESPAÑA
1. Lev 26/84 de 19 de julio, general
para la defensa de los consumidores y usuarios
2. Ley 7/1996 de 15 de Enero de Ordenación
del Comercio Minorista (en particular, el capitulo II (“ventas
a distancia”) del Titulo III).
3. RD 263/96 de 16 de febrero por el que
se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la
Administración General del estado
4. Ley 7/1998 de 13 de Abril sobre Condiciones
Generales de la Contratación. (en particular, el artículo 5.3)
5. Real Decreto 1906.1999, de 17 de Diciembre
que regula la contratación telefónica
o electrónica con condiciones generales.
6. Lev 11/1998, de 24 de abril, General
de las Telecomunicaciones
7. Real Decreto-Ley 14/1999~ de 17 de septiembre,
de firma electrónica
8. Orden de 21 de febrero de 2000 por la
que se aprueba el Reglamento de acreditación
de prestadores de servicios de certificación y de certificación
de determinados productos de firma electrónica.
8. Ley de Enjuiciamiento
Civil, de 7 de enero de 2000.
9. Orden 21-VII-00 del Ministerio de Fomento,
por la que se regula el sistema de
asignación de nombres de dominio en Internet bajo el código de
pais correspondiente a España (. es)
10. Ley 24/2001 de 27 de diciembre de
medidas fiscales, administrativas y de orden social (sección 8ª
del capitulo XI)
11. Instrucción 30-12-99 de la DCRN. Presentación
de las cuentas anuales en los Registros Mercantiles a través de
procedimientos telemáticos.
12. Instrucción de 31-12-99 de la
DGRN sobre legalización de libros
en los Registros Mercantiles a través de procedimientos telemáticos.
13. Instrucción de 19-10-2000, de la DGRN,
sobre el uso de la firma electrónica de los fedatarios públicos.
14. Instrucción DGRN 23-X-2001
José Mª.Alfin Martín-Gamero
Licenciado en Derecho por la Universidad de
Navarra
Jurista Junior Proyecto Aequitas
