El año 2020 está lleno de acontecimientos negativos …la legislación de firma electrónica no se salva de este calificativo. La Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza es un error estratégico y desde el 13 de noviembre que es cuando entró en vigor,ha provocado que no tengamos en normativa nacional una definición jurídica de firma electrónica.

En un momento en el que sobrevuela el borrador de Real Decreto que pretende y promete modernizar la Administración Pública propugnando como valor la resiliencia, creo que no se identifica uno de los mayores escollos y frenos en la innovación pública: el deficiente régimen jurídico de la firma electrónica, un régimen jurídico que ha sido uno de los grandes causantes de la resistencia al cambio, su complejidad y deficiente técnica normativa dificulta su comprensión, quedando sólo al alcance de unos pocos. Me centraré en tres aspectos de la norma:

PRIMERO. SUPRESIÓN DE DEFINICIÓN DE FIRMA ELECTRÓNICA.

Se deroga la Ley de firma electrónica pero la nueva norma tiene un objeto mas limitado: únicamente se regula la firma basada en un servicio electronico de confianza (certificados electronicos, para entendernos). Este hecho deja coja la regulación de la firma electrónica en el panorama normativo español ya que la firma electrónica es un concepto más amplio que la firma basada en servicio de confianza.

La firma electrónica es un concepto jurídico por el que se atribuye a alguien la autoría de un acto. La derogada ley de Firma establecía una clasificación de firma:

A.La denominada «simple» definida por el Reglamento Europeo EIDAS como « los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar;

Es la más usada en el ámbito comercial privado (y algunas AAPP con mas madurez tecnológica como la AEAT o la SS) :basada en usuario /contraseña o en doble factor donde este usuarios/contraseña se refuerza acompañandolo de una identificación biométrica, un SMS a nuestro móvil, una confirmación en APP del movil, etc. ..tambien el CSV muy usado en algunas Administraciones como la tributaria que cuenta con regulación propia en el ambito administrativo.

B.La basada en certificados cualificados ( servicio electrónico de confianza) que a su vez puede ser de dos tipos

1. Avanzada (si no esta en dispositivo seguro de creación de firma: certificado en nube, instalada en un PC o un móvil).

2. Cualificada (si se utiliza un dispositivo seguro de creación de firma: normalmente tarjetas criptograficas o tokens: unos pendrive con caracteristicas especiales).

La nueva ley prescinde de esta definición considerando únicamente las basadas en certificados cualificados. Esto puede llevar a pensar que en el ordenamiento juridico no tiene cabida la firma simple lo que implicaría la reforma URGENTE de las Leyes 39/2015 y 40/2015 que habilitan expresamente el uso de «otros medios de firma».

ZARA, Carrefour, Amazon y absolutamente todo el comercio on line tendría que cambia su forma de actuar (muy rentable) para pasar a una identificación y firma basada en un certificado…

Afortunadamente esto no es asi : El REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (conocido como EIDAS) es directamente aplicable a los Estados miembros y SI contiene en su artículo 3 la definición de firma electrónica como concepto jurídico más amplio que trasciende del uso de los certificados. Asimismo el artículo 25 establece (como hacia la derogada ley de firma electrónica) que «No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.» También el articulo 326 de la Ley de Enjuiciamiento Civil les reconoce fuerza probatoria a los documentos electrónicos

Por tanto es perfectamente válido el uso de otras firmas como es la firma simple a pesar de que el legislador nacional lo omita. Me parece que la técnica legislativa vuelve a carecer de acierto complicando aún más una materia en la que las Administraciones públicas hemos andado perdidos en un laberinto y derrochando demasiada energía.

SEGUNDO. CARGAS PROBATORIAS

El EIDAS garantiza la equivalencia jurídica entre la firma electrónica cualificada( recordemos : la que está en un dispositivo seguro como tarjetas o token) y la firma manuscrita, pero permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general. En este aspecto, se modifica la regulación anterior al atribuir a los documentos electrónicos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado una ventaja probatoria.

¿Este reforzamiento hará que las empresas privadas comiencen a imponernos certificados para firmar en transacciones comerciales (compra on line? Lo veremos, yo tengo serias dudas….

Esta equivalencia normalmente ha dado lugar a malas interpretaciones. Lo que se quiere establecer son unas cargas de prueba en un hipotético conflicto: aquel que impugne (cuestione) la autoría de un acto firmada con firma cualificada (recordemos aquella que se inserta en un dispositivo físico como tarjeta o token) tendrá que probarlo. Ejemplo: Si yo me jubilo y mi empresa coge mi tarjeta de certificado, y firma en mi nombre yo para impugnar esa firma tendré que probarlo. Vemos que en este caso la impugnación será muy fácil por muy cualificada que sea la firma dada mi condición de jubilada( os dejo un caso interesantisimo donde por supuesto esa firma se impugnó, pero el jubilado queria hacerse de oro por ese error y le salio caro)

En cambio si firmo con usuario y contraseña o con firma avanzada (certificado instalado en mi pc o en nube) el que impugne no tendrá que probar nada. Entonces….¿están locos la Agencia Tributaria o los comercios on line que usan firmas no basadas en certificado?: NO en mi experiencia en la AAPP nunca he presenciado un repudio (el riesgo es bajo, muy bajo en el ámbito interno administrativo) pero además es que tenemos múltiples evidencias que permiten mantener la validez de esa firma: fichaje de presencia, gestión de usuarios en aplicaciones…En el ámbito privado frente al consumidor (con un riesgo mas elevado de repudio) se mitiga con las evidencias biométricas (lectura dactilar o facial) para identificarte, posesión del móvil etc…

Está claro que cuando una organización mide sus resultados y beneficios no se pierde en debates estériles, se centra en medición de riesgos y mitigación de los mismos. En las AAPP nos hacemos los sordos ante las quejas de los usuarios de los servicios públicos electrónicos insistimos en posturas en las que nos estamos quedando solos. Quizás en un futuro mejore la usabilidad de los certificados, pero hoy por hoy no lo son.

Recordemos además que en las AAPP nos podemos beneficiar de esa carga probatoria sin necesidad de firma electrónica: únicamente superponiendo sello electronico (así funciona AEAT, CGPJ,habilita a ello el nuevo decreto de la Generalitat de Cataluña.). Este método tiene la ventaja de que preserva los datos de los funcionarios y autoridades actuantes: al interesado no le interesa el DNI del instructor sino el CIF de la Entidad en nombre de la que actua.

TERCERO. SE DISTANCIA LA NORMATIVA DE LA JURISPRUDENCIA….Y DE LA REALIDAD SOCIAL

La jurisprudencia viene reconociendo desde hace muchísimos años el concepto de firma electrónica diferente a la basada en certificados…(son innumerables las sentencias por actuaciones realizadas en redes sociales o por actuacion en un sistema en el que un trabajador se identifica con usuario y contraseña para cambiar las notas de un máster) Recientemente el supremo en casación determina que los correos pueden ser prueba documental en juicio..vuelvo a insistir la firma es un concepto mas juridico que tecnológico y los jueces en cada caso atenderán a las distintas evidencias.

Por ejemplo, un sistema basado en certificado en nube si el proceso de firma se desencadena mediante la introduccion de usuario/clave será considerada avanzada independientemente de lo securizado que esté el certificado en el servidor «nube». Si ademas mi costumbre es tener un post it con la clave en mi pc y ese dia no fiché esa firma será anulada.

Sin embargo, si una firma con usuario y contraseña en la que se da un uso correcto, la organizacion lleva una gestion de usuarios adecuada, y hay evidencias de que ese dia fiche y accedi a mi PC será complicado rebatirla: siempre terminaremos en las reglas de la sana crítica o sentido común que nos impone el la Ley de Enjuiciamiento Civil en todo su articulado y concretamente en el 326.2

Omito en este post aqui cuestiones de integridad y efectos transfronterizos que son aditivos y no sustantivos de la firma electrónica: cuestiones que pueden ser resueltas con la superposición de sello al documento en cuestión

CONCLUSIÓN

Con esta ley se refuerza a los servicios prestados por esos terceros de confianza (me imagino que la verán muy beneficiosa) pero se da la espalda a la mayoría de las relaciones electrónicas actuales. Si bien, como punto positivo destacaré que se permite la expedición de certificados por medios como la videoconferencia (como ya se hizo en el ámbito tributario) lo que puede derribar un escollo a la obtención de los mismos aún deben mejorar muchos aspectos de usabilidad para que su uso se generalice.

Esta ley siembra más incertidumbre en el marco jurídico de la firma electrónico complicando su comprensión a los que no conozcan la materia o los que no interese conocerla y pueden incrementar mucho las diferencias entre sector público (seguiremos confundidos en el laberinto) y privado (que actúa con vista a un balance de resultados).

Asimismo pueden abrirse brechas significativas entre AAPP clarividentes como la AEAT, la Generalitat de Cataluña y otras que seguirán inmersas en la burocracia digital….una pena que la normativa vuelva a dar la espalda a la realidad social y no sea un elemento que aporte claridad donde definir una estrategia… Esto en un momento en que nos jugamos mucho…pero, todo puede mejorar!!

El laberinto normativo de la firma electrónica: más que resiliencia,resistencia.
Avatar

Matilde Castellanos Garijo


Soy Técnico de Administración General de Comunidad Autónoma. He cursado varios estudios de postgrado, entre otros, un Máster Universitario en Dirección Publica, Evaluación de Políticas Públicas y Tributación por el Instituto de Estudios Fiscales /UNED. Desde los inicios de mi etapa profesional he estado, sin saberlo, ligada a procesos de innovación publica. Nunca he abandonado la búsqueda de mejorar los servicios públicos. Desde el año 2008,en la Intervención General de la Junta de Comunidades de Castilla La Mancha, trabajo ligada al ámbito económico financiero en el que he participado en la implantación de la Factura electrónica así como la firma electrónica en el sistema económico financiero. Soy docente en el Curso de Derecho Administrativo e Inteligencia Artificial de Universidad de Castilla la Mancha, escribo artículos e imparto ponencias en las que intento transmitir el entusiasmo por la innovación y mejora en todos los ámbitos de la Administración Pública.


Navegación de la entrada


Un comentario en «El laberinto normativo de la firma electrónica: más que resiliencia,resistencia.»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *