Foro de Firma Electrónica

El artículo 30 de la Ley 59/2003, de 19 de diciembre, de firma electrónica trata sobre Deber de información y colaboración.

El apartado 2 indica:

2. Los prestadores de servicios de certificación deberán comunicar al Ministerio de Ciencia y Tecnología el inicio de su actividad, sus datos de identificación, incluyendo la identificación fiscal y registral, en su caso, los datos que permitan establecer comunicación con el prestador, incluidos el nombre de dominio de internet, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores y será objeto de publicación en la dirección de internet del citado ministerio con la finalidad de otorgarle la máxima difusión y conocimiento.

Mi propuesta (para la futura modificación de la Ley):

2. Los prestadores de servicios de certificación deberán comunicar al Ministerio de Industria, Energía y Turismo el inicio de su actividad, sus datos de identificación, incluyendo la identificación fiscal y registral, en su caso, los datos que permitan establecer comunicación con el prestador, incluidos el nombre de dominio de internet, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Asimismo, se indicarán las URLs de los certificados raíz que gestionen, las URLs de los servicios CRL y OCSP que presten, las URLs de las DPC que definan, la forma en que responden económicamente ante incidentes, los OID empleados y sus significados. Esta información deberá ser convenientemente actualizada por los prestadores y será objeto de publicación en la dirección de internet del citado ministerio con la finalidad de otorgarle la máxima difusión y conocimiento.

La Ley 59/2003, de 19 de diciembre, de firma electrónica establece en su artículo 20.2:

Los prestadores de servicios de certificación que expidan certificados reconocidos deberán constituir un seguro de responsabilidad civil por importe de al menos 3.000.000 de euros para afrontar el riesgo de la responsabilidad por los daños y perjuicios que pueda ocasionar el uso de los certificados que expidan.

La citada garantía podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución, de manera que la suma de las cantidades aseguradas sea al menos de 3.000.000 de euros.

Las cuantías y los medios de aseguramiento y garantía establecidos en los dos párrafos anteriores podrán ser modificados mediante real decreto.

Mi propuesta:

Los prestadores de servicios de certificación que expidan certificados reconocidos deberán constituir un seguro de responsabilidad civil adecuado para afrontar el riesgo de la responsabilidad por los daños y perjuicios que pueda ocasionar el uso de los certificados que expidan.

Alternativamente, deberán elaborar una valoración actuarial que justifique que pueden responder por sus propios medios ante culquier incidente que afecte a su actividad de prestador de servicios de certificación, indicando el análisis de riesgos efectuado. La documentación que recoja esta valoración se comunicará al Ministerio de igual forma que la especificada en el artículo 30 apartado 2.

La Ley 59/2003 arrastra algunos defectos desde su publicación.

Aquí se indican algunos aspectos que deberían eliminarse:

DISPOSICIÓN ADICIONAL CUARTA. Prestación de servicios por la Fabrica Nacional de Moneda y Timbre-Real Casa de la Moneda.

Lo dispuesto en esta Ley se entiende sin perjuicio de lo establecido en el artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social.

DISPOSICIÓN ADICIONAL QUINTA. Modificación del artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social.

Se añaden apartado doce al artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, con la siguiente redacción.

Doce. En el ejercicio de las funciones que le atribuye el presente artículo, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda estará exenta de la constitución de la garantía a la que se refiere el apartado 2 del artículo 20 de la Ley 59/2003, de Firma Electrónica.

DISPOSICIÓN ADICIONAL SEXTA. Régimen jurídico del documento nacional de identidad electrónico.

1. Sin perjuicio de la aplicación de la normativa vigente en materia del documento nacional de identidad en todo aquello que se adecúe a sus características particulares, el documento nacional de identidad electrónico se regirá por su normativa específica.

2. El Ministerio de Ciencia y Tecnología podrá dirigirse al Ministerio del Interior para que por parte de éste se adopten las medidas necesarias para asegurar el cumplimiento de las obligaciones que le incumban como prestador de servicios de certificación en relación con el documento nacional de identidad electrónico.

DISPOSICIÓN ADICIONAL SÉPTIMA. Emisión de facturas por vía electrónica.

Lo dispuesto en esta Ley se entiende sin perjuicio de las exigencias derivadas de las normas tributarias en materia de emisión de facturas por vía electrónica.

DISPOSICIÓN ADICIONAL OCTAVA. Modificaciones de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Uno. Adición de un nuevo apartado 3 al artículo 10 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Se añade un apartado 3 con el siguiente texto:

3. Cuando se haya atribuido un rango de numeración telefónica a servicios de tarificación adicional en el que se permita el acceso a servicios de la sociedad de la información y se requiera su utilización por parte del prestador de servicios, esta utilización y la descarga de programas informáticos que efectúen funciones de marcación, deberán realizarse con el consentimiento previo, informado y expreso del usuario.

A tal efecto, el prestador del servicio deberá proporcionar al menos la siguiente información:

1. Las características del servicio que se va a proporcionar.
2. Las funciones que efectuarán los programas informáticos que se descarguen, incluyendo el número telefónico que se marcará.
3. El procedimiento para dar fin a la conexión de tarificación adicional, incluyendo una explicación del momento concreto en que se producirá dicho fin, y
4. El procedimiento necesario para restablecer el número de conexión previo a la conexión de tarificación adicional.

La información anterior deberá estar disponible de manera claramente visible e identificable.

Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la normativa de telecomunicaciones, en especial, en relación con los requisitos aplicables para el acceso por parte de los usuarios a los rangos de numeración telefónica, en su caso, atribuidos a los servicios de tarificación adicional.

Dos. Los apartados 2, 3 y 4 del artículo 38 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico se redactan en los siguientes términos:

2. Son infracciones muy graves:

 

1. El incumplimiento de las órdenes dictadas en virtud del artículo 8 en aquellos supuestos en que hayan sido dictadas por un órgano administrativo.
2. El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11.
3. El incumplimiento significativo de la obligación de retener los datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información, prevista en el artículo 12.
4. La utilización de los datos retenidos, en cumplimiento del artículo 12, para fines distintos de los señalados en él.

3. Son infracciones graves:

1. El incumplimiento de la obligación de retener los datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información, prevista en el artículo 12, salvo que deba ser considerado como infracción muy grave.
2. El incumplimiento significativo de lo establecido en los párrafos a y f del artículo 10.1.
3. El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.
4. El incumplimiento significativo de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios.
5. No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27.
6. El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor.
7. La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta Ley.
8. El incumplimiento significativo de lo establecido en el apartado 3 del artículo 10.
9. El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.

4. Son infracciones leves:

1. La falta de comunicación al registro público en que estén inscritos, de acuerdo con lo establecido en el artículo 9, del nombre o nombres de dominio o direcciones de Internet que empleen para la prestación de servicios de la sociedad de la información.
2. No informar en la forma prescrita por el artículo 10.1 sobre los aspectos señalados en los párrafos b, c, d, e y g del mismo, o en los párrafos a y f cuando no constituya infracción grave.
3. El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promocionales y concursos.
4. El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.
5. No facilitar la información a que se refiere el artículo 27.1, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor.
6. El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave.
7. El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave.
8. El incumplimiento de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios cuando no constituya infracción grave.
9. El incumplimiento de lo establecido en el apartado 3 del artículo 10, cuando no constituya infracción grave.

Tres. Modificación del artículo 43, apartado 1, segundo párrafo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

El segundo párrafo del apartado 1 del artículo 43 queda redactado como sigue:

No obstante lo anterior, la imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la materia o entidad de que se trate a que se refieren los párrafos a y b del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c, d e i y 38.4 d, g y h de esta Ley.

Cuatro. Modificación del artículo 43, apartado 2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

El apartado 2 del artículo 43 queda redactado como sigue:

2. La potestad sancionadora regulada en esta ley se ejercerá de conformidad con lo establecido al respecto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y en sus normas de desarrollo. No obstante, el plazo máximo de duración del procedimiento simplificado será de tres meses.

 

Cuando el año 2003 planteábamos cambios en la redacción de la Ley de Firma Electrónica respecto al texto del borrador, de la noticia se hizo eco y ayudó a difundir la Asociación de Internautas.

24-10-2003 - Posición del Foro de la Firma Electrónica ante las enmiendas y vetos presentados en el Senado al Proyecto de Nueva Ley de Firma Electrónica Ya en su reunión constitutoria, los miembros del Foro de la Firma Electrónica coincidieron en la necesidad de contar con una nueva norma legal que venga a sustituir a la ya obsoleta ley vigente, haciéndose eco de las importantes novedades y mejoras que incorpora la norma. Más aún, los miembros del Foro de la Firma Electrónica reivindicaron la importancia del sector de la Certificación y la Firma Electrónica en el desarrollo de la Sociedad de la Información, manifestando su total disposición a liderar la confianza digital en el mundo de las transacciones telemáticas.

En estos momentos, el Proyecto de Ley ha llegado a sus últimos estadios previos a su aprobación. Sin embargo, desde este Foro creemos que aún es necesaria una mayor participación en los debates, de los profesionales, organizaciones e instituciones, que manejan los complejos aspectos tecnológicos y legales del tema.

En este Foro opinamos que estamos frente a una última oportunidad para consensuar una Ley que no solo sirva para dar un empuje de progreso para la Sociedad de la Información en España, sino también para lograr que nuestro país alcance lugares destacados en el concierto europeo. Creemos que aún quedan muchos “flecos sueltos” en el Proyecto, muchos puntos oscuros que no llegan a cubrir todos los aspectos técnicos y legales que requiere la legislación. Existe el deber del legislador y la administración españoles de evitar el desarrollo de normas contradictorias con los estándares técnicos internacionales, muy especialmente con los europeos. Algunas de estas, en la actualidad, están dificultando notablemente la actividad del sector, con una importante carga de inseguridad en el usuario, que no tienen solución en el Proyecto de Ley en trámite en el Senado.

Por ello, y para no convertir el debate parlamentario en una mera revisión técnica, el Foro de la Firma Electrónica se pone al servicio de aquellas Comisiones o equipos que continuarán el debate, con el que puede colaborar aportando sus conocimientos y experiencia. Recordamos que en este Foro se encuentran representados Prestadores de Servicios de Certificación, públicos y privados, además de proveedores de soluciones tecnológicas, empresas de consultoría tecnológica y legal, despachos de abogados y representantes del mundo académico y de la comunidad internauta.

El Foro cree también oportuna la creación de una comisión conjunta entre el gobierno y los grupos políticos, para consensuar aquellos conceptos de la Ley en los que ya están coincidiendo en el fondo. De hecho, nos consta la voluntad del gobierno de generar la mejor ley posible, así como valoramos positivamente las aportaciones que han presentado la mayor parte de los grupos parlamentarios.

Convencidos de que aún estamos a tiempo de colocar a España en un sitio privilegiado en la emergente Sociedad de la Información, este Foro reclama la atención de los responsables políticos. El resultado de una ley aprobada precipitadamente puede suponer que en un plazo no superior a los dos años, su inoperatividad obligue a realizar nuevamente cambios importantes en su texto. Tantos fracasos pueden sumir al sector en una situación irrecuperable. Un lujo que la sociedad española no puede permitirse.

A la hora de analizar la legislación defectuosa en relación con la firma electrónica no se puede dejar de mencionar la Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica. Aunque en la página web de Noticias Jurídicas aparece como vigente, claramente es una norma derogada ya que está derogado el Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica. (Vigente hasta el 20 de marzo de 2004) del que trae causa.

Curiosamente, la Ley 59/2003, de 19 de diciembre, de firma electrónica incluye en su DISPOSICIÓN FINAL SEGUNDA, Desarrollo reglamentario las siguientes previsiones:

1. El Gobierno adaptará la regulación reglamentaria del documento nacional de identidad a las previsiones de esta Ley.
2. Así mismo, se habilita al Gobierno para dictar las demás disposiciones reglamentarias que sean precisas para el desarrollo y aplicación de esta Ley.

Por lo que a pesar de estar previsto el desarrollo reglamentario, desde el año 2003 no se ha hecho nada al respecto.

Además la calidad legislativa de la Orden es muy mala ya que mezcla churras con merinas en su DISPOSICIÓN ADICIONAL ÚNICA.

Modificación de la Orden de 14 de octubre de 1999 por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones.

Uno. Se rectifican incorrecciones y se salvan errores en la Orden de 14 de octubre de 1999, por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones, en los siguientes términos:

• En el inciso final del artículo 2, apartado 1, letra b), donde dice: … desde el otorgamiento de la licencia., debe decir: … desde el inicio de la prestación del servicio.
• En el inciso final del artículo 2, apartado 1, letra c), donde dice: … desde su otorgamiento., debe decir: … desde el inicio de la prestación del servicio.
• En el artículo 9, apartado 1, letra g), donde dice: Inferior a tres segundos para el 95 % de las llamadas, debe decir: Inferior a cinco segundos para el 95 % de las llamadas o un valor medio inferior a tres segundos.
• Se suprime el subapartado f.3) del apartado 1 del artículo 9 y el subapartado f.2) queda redactado de la siguiente manera: f.2) Internacionales: Inferior al 2,5 %.
• En el anexo II, apartado 1, subapartado Medida, primer párrafo, donde dice: La medida se expresará en días naturales, debe decir: La medida se expresará en días laborables.
• En el anexo II, apartado 3, subapartado Medida, primer párrafo, donde dice: … se medirá en horas de reloj, debe decir: … se medirá en horas laborables.

Dos. Se añade una nueva disposición adicional, con la siguiente redacción:

Disposición adicional sexta. Autorización al Secretario general de Comunicaciones para modificar el anexo I.

Se faculta al Secretario general de Comunicaciones para modificar el contenido del anexo I de esta Orden, al objeto de armonizarlo con las definiciones y métodos de medida de los parámetros requeridos por la Directiva 98/10/CE del Parlamento Europeo y del Consejo sobre la aplicación de la oferta de red abierta a la telefonía vocal y sobre el servicio universal de telecomunicaciones en un ámbito competitivo, que se adopten por las Instituciones europeas en sustitución de los contenidos en el documento ETSI ETR 138, que figura actualmente referido en el anexo III de dicha Directiva, y a establecer los plazos necesarios para su aplicación.

Es una suerte que esta norma haya caido en el olvido, aunque conviene tenerla en cuenta a la hora de identificar los errores y los aciertos de la normativa, ahora que nos planteamos su reforma.

Ya se ha creado un grupo de trabajo en LinkedIn: Foro Firma Electrónica.

Aunque este portal se ha creado con WordPress y permite gestionar comentarios, es más sencillo gestionar los debates con la herramienta de LinkedIn.

Durante el año 1999, como Gerente de FESTE, coordiné las iniciativas de Notarios y Corredores de Comercio con propuestas sobre el borrador de Directiva de Firma Electrónica, y llegué a enviar análisis jurídicos a las oficinas de diputados europeos, para que los utilizaran en sus debates. Bajo la presidencia de Miquel Roca, a su vez presidente de la Fundación FESTE, se llevaron a cabo unas intensas jornadas de debate entre prominentes juristas reunidos durante unos día en el Parador de Tortosa para debatir todos los aspectos de la firma electrónica y su incidencia en nuestro ordenamiento jurídico. Algunas de las ideas recogidas se reflejaron en la Directiva 1999/93/CE y en el Real Decreto Ley 14/1999.

Durante el año 2003, cuando era Director General de Camerfirma organicé el Foro de la Firma Electrónica para realizar propuestas en torno al borrador de la Ley de Firma Electrónica. El foro elaboró un documento que circuló entre los diferentes partidos políticos y altos funcionarios del área involucrada y algunas de las propuestas fueron incorporadas a la norma que finalmente se publicó como Ley 59/2003.

Una vez publicada la Ley, el Foro decayó, para dar lugar al Foro de las Evidencias Electrónicas, que mantuvo el alto nivel de debate del Foro anterior y lo extendió al resto de componentes de la prueba electrónica.

Ahora que se han publicado normas como la Ley 11/2007 y  el RD 1671/2009, con aciertos y errores, pero al margen de la Ley 59/2003, con sus propios aciertos y errores, ahora que se replantea la publicación de una nueva directiva que sustituirá a la Directiva 1999/93/CE, merece la pena refundar el foro y prepararse para una nueva generación de normativa que resuelva problemas como la usabilidad, la interoperabilidad, las presunciones, las pruebas, el valor jurídico de los diferentes tipos de firmas, las actividades asimilables a las firmas, de las personas jurídicas y otras. Que acometa la validez de los documentos electrónicos y de las conversiones entre el soporte papel y el soporte electrónico, la equivalencia de presunciones entre  el sector privado y el sector público y establezca las funciones de la matriz digital, diferenciada de la firma electrónica.

El foro está abierto a todos, si bien las reuniones presenciales en Madrid favorecerán a quienes están más próximos.