I. Novedades en el ámbito de aplicación de la LSEC
1. Desde el punto de vista objetivo
El Reglamento eIDAS parte de un enfoque de supervisión reforzada, especialmente en el caso de un servicio cualificado, que se encuentra justificado por la conexión entre el servicio de confianza y la eficacia de la prueba electrónica que el mismo genera o sustenta, que en último término afecta al derecho a la defensa, a la tutela judicial efectiva prevista en el artículo 24 de nuestra Constitución, pero también a la seguridad jurídica, (1) de todo lo cual se desprende un innegable interés público en garantizar que dichas pruebas electrónicas sean, en definitiva, dignas de los efectos que producen.
Y es que, en efecto, el legislador —sea el de la Unión Europea o el nacional— asocia efectos jurídicos a los servicios de confianza que coadyuvan al valor y la eficacia probatorias de los diferentes elementos de las actuaciones electrónicas que acreditan los mismos, como la atribución del mensaje o documento, la declaración de voluntad, el momento de existencia de un mensaje, etc.
El Reglamento eIDAS parte de un enfoque de supervisión reforzada, especialmente en el caso de un servicio cualificado
Muestra de esto es el nuevo apartado 4 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, añadido por disposición final segunda.Dos de la LSEC, que establece que «si se hubiera utilizado algún servicio de confianza cualificado de los previstos en el Reglamento [eIDAS] citado en el apartado anterior, se presumirá que el documento reúne la característica cuestionada y que el servicio de confianza se ha prestado correctamente si figuraba, en el momento relevante a los efectos de la discrepancia, en la lista de confianza de prestadores y servicios cualificados», presunción en sentido estricto, y que debe admitir prueba en contrario. (2)
Y, en sustento de estos efectos jurídicos, el Reglamento eIDAS —y la ley nacional que lo completa en cada Estado miembro— regula las exigencias de los servicios de confianza y cómo debe ejercerse la actividad de los prestadores que los ofrecen, partiendo siempre de la base de que la prestación de servicios de confianza es una actividad económica, ofrecida indistintamente por operadores privados o públicos, resultan aplicable la normativa de contratación del sector público.
Lo anterior parte de una orientación de privatización de determinadas actividades de seguridad informática, en soporte a la prueba electrónica de la actuación, que resulta muy notable, y que se contrapesa mediante un sistema de control (3) que resulta justificado por trascender de la esfera de intereses privados de los particulares, en especial en presencia de una parte débil, y también en atención al reconocimiento transfronterizo que se desea para dichos servicios.
De otro lado, la LSEC no tenía porqué limitarse a complementar la regulación de los servicios de confianza contenidos en el Reglamento eIDAS, sino que hubiera podido innovar, puesto que el Reglamento eIDAS no agota, mediante su armonización, los posibles servicios que se pueden incluir en esta categoría, seguramente por la voluntad de los Estados miembros de continuar legislando al respecto, como ha sucedido en el pasado con la mayoría de los servicios que actualmente se han incorporado al Reglamento eIDAS.
Ello permite un elevado grado de innovación jurídica en la creación de nuevos servicios, o en el mantenimiento de instituciones actualmente existentes restringiendo su reconocimiento jurídico estricto al ámbito del Estado; servicios que, en ambos casos, lógicamente no gozarán de libre circulación dentro de la Unión, por no encontrarse tipificados en el Reglamento eIDAS. (4)
Un ejemplo de servicio de confianza previsto en el plano nacional lo encontramos en el Derecho belga, que regula el servicio de confianza de archivo electrónico, que «consiste en la conservación de datos electrónicos o la digitalización de documentos en soporte papel, y que es ofrecido por prestador de servicios de confianza en el sentido del artículo 3, epígrafe 19, del Reglamento eIDAS o que es explotado por su propia cuenta por un organismo del sector público o por una persona física o jurídica», (5) servicio que puede ser objeto de cualificación, en cuyo caso recibe el efecto jurídico de presumirse el cumplimiento de cualquier obligación legal de conservación de un documento si el mismo ha sido incorporado a este servicio, y de que el mismo no ha sido alterado, sin perjuicio de los cambios que se realicen en su soporte o formato electrónicos.
La incorporación de un servicio de confianza de archivo electrónico hubiera supuesto un importante avance de España hacia la transformación digital
La incorporación de un servicio de confianza de archivo electrónico hubiera supuesto un importante avance de España hacia la transformación digital, al permitir la digitalización de los documentos en soporte papel sin merma de su eficacia probatoria, algo que no sucede con el régimen actual, especialmente en el sector privado. Las tímidas experiencias relativas a la sustitución de facturas en papel por copias digitalizadas o la sustitución de documentos administrativos por copias digitalizadas, al amparo de la LPAC y del ENI realmente no han logrado, con carácter general, el objetivo de eliminar el soporte papel original.
2. Desde el punto de vista subjetivo
Conforme al artículo 2.1 de la LSEC, la misma «se aplicará a los prestadores públicos y privados de servicios electrónicos de confianza», resultando preciso recordar aquí que el artículo 2.2 del Reglamento eIDAS excluye de su aplicación a «la prestación de servicios de confianza utilizados exclusivamente dentro de sistemas cerrados resultantes del Derecho nacional o de acuerdos entre un conjunto definido de participantes», concretándose en el Considerando (21) que el Reglamento «no debe cubrir la prestación de servicios utilizados exclusivamente dentro de sistemas cerrados entre un conjunto definido de participantes, que no tengan efectos en terceros», por lo que «por ejemplo, los sistemas establecidos en empresas o administraciones públicas para gestionar procedimientos internos que hagan uso de servicios de confianza no deben estar sujetos a las obligaciones del presente Reglamento».
De ello se deriva que «únicamente los servicios de confianza prestados al público que tengan efectos en terceros deben cumplir las obligaciones establecidas en el presente Reglamento», (6) sin perjuicio de que, en dichos casos, y como es lógico, dichos servicios no gozarán de los efectos jurídicos correspondientes (7) , por lo que esta autorregulación privada no será especialmente atractiva, y no podrá acudirse a ella en los casos en que la normativa exija, directa o indirectamente, una prueba basada en un servicio cualificado, como por ejemplo en el caso de una firma electrónica cualificada, o cuando dicha prueba resulte conveniente.
Los servicios públicos que no se sujeten al Reglamento eIDAS y a la LSEC no gozarán de los efectos jurídicos previstos para los servicios de confianza cualificados
También permite el Reglamento eIDAS la exclusión de los servicios públicos que se encuentren regulados por el Derecho nacional, pero parece que sólo cuando se gestionen procedimientos internos que hagan uso de los servicios de confianza, y de nuevo, en este caso, sucederá que los servicios públicos que no se sujeten al Reglamento eIDAS y a la LSEC no gozarán de los efectos jurídicos previstos para los servicios de confianza cualificados. (8) Así sucede con las notificaciones electrónicas administrativas, como en el caso de la Dirección Electrónica Habilitada, que no se construyen sobre el servicio cualificado de entrega electrónica certificada, por lo que no resultan fehacientes.
Respecto a la actuación de los prestadores de servicios de confianza, puede sorprender que no se hayan mantenido, en la LSEC, los epígrafes 5.2 y 5.3 de la LFE, que han quedado derogados.
Recuérdese sólo que, conforme al artículo 5.2 de la LFE, «los órganos de defensa de la competencia velarán por el mantenimiento de condiciones de competencia efectiva en la prestación de servicios de certificación al público mediante el ejercicio de las funciones que tengan legalmente atribuidas», previsión que en cierto modo resulta innecesaria, dado que de todos modos resulta aplicable la legislación de defensa de la competencia, principalmente contenida en la Ley 15/2007, de 3 de julio y el Real Decreto 261/2008, de 22 de febrero.
Por lo que se refiere al epígrafe 3 del artículo 5 de la LFE, el mismo establecía que «la prestación al público de servicios de certificación por las Administraciones públicas, sus organismos públicos o las entidades dependientes o vinculadas a las mismas se realizará con arreglo a los principios de objetividad, transparencia y no discriminación», previsión que parecía dimanar del artículo 3.7 de la DFE, en cuya virtud «los Estados miembros podrán supeditar el uso de la firma electrónica en el sector público a posibles prescripciones adicionales», de modo que «tales prescripciones serán objetivas, transparentes, proporcionadas y no discriminatorias, y sólo podrán hacer referencia a las características específicas de la aplicación de que se trate», y siempre que, en lo que ahora nos interesa especialmente, «estas prescripciones no deberán obstaculizar los servicios transfronterizos al ciudadano».
La prestación de servicios de certificación por parte de las Administraciones Públicas no debía afectar a la libre competencia, excluyendo a los restantes prestadores de servicios
Aunque no se encuentra expresamente indicado en este epígrafe, y debido a su ubicación sistemática en la LFE, la doctrina ha indicado que la prestación de servicios de certificación por parte de las Administraciones Públicas no debía afectar a la libre competencia, excluyendo a los restantes prestadores de servicios, (9) disfunción que se ha producido con bastante claridad en algunos casos. (10)
Podía entenderse, en efecto, que el régimen de prestación de servicios de certificación por parte de la Administración Pública constituía un conjunto de prescripciones adicionales (al régimen general, se debía entender), por lo que resultaba exigible que dicho régimen fuera compatible con la DFE, en especial desde la perspectiva de la no discriminación a otros prestadores de servicio establecidos en otros Estados miembros.
En todo caso, y dado que el Reglamento eIDAS ha eliminado la noción de las prescripciones adicionales para el uso de la firma en el sector público, hubiera parecido innecesario mantener el epígrafe 3 del artículo 5 de la LFE en el ordenamiento jurídico español —mediante su incorporación a la LSEC—, especialmente en el caso de la actividad de prestación de servicios por las Administraciones Públicas excluida del Reglamento eIDAS, pudiendo reconducirse otras disfunciones al derecho de la competencia.
3. Desde el punto de vista espacial
Por lo que respecta a la concreción de la ley nacional aplicable a los prestadores de servicios de confianza, (11) la LSEC se aplica a los que se encuentren establecidos en el Estado español y a los que, no siendo residentes o no teniendo domicilio en el Estado español, operen mediante un establecimiento permanente, pero (a diferencia de lo que se establecía en el artículo 2.1 de la LFE) con el matiz de que, en el caso de los prestadores de servicios residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España, sólo se encontrarán sujetos a la Ley española siempre que ofrezcan servicios no supervisados por la autoridad competente de otro país de la Unión Europea, una previsión que puede generar dudas a la vista del artículo 17.1 del Reglamento eIDAS, que limita las funciones del organismo de supervisión al Estado miembro que lo designa, salvo la cooperación prevista en la misma norma.
II. Novedades específicas relativas al servicio de expedición de certificados
1. Consignación de datos de identidad y otros atributos en los certificados cualificados
Con carácter general para todos los tres tipos de certificados cualificados, el artículo 6.1 de la LSEC prevé, en línea con lo que anteriormente se establecía en la LFE, concreta la forma de consignar la identidad del titular del certificado, diferenciando entre certificados expedidos a personas físicas o a personas jurídicas.
De este modo, en el caso de certificados de firma electrónica y de certificados de autenticación de sitio web, se debe obligatoriamente consignar su nombre y apellidos y su número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, pudiendo también identificarse a la persona física mediante de un pseudónimo que conste como tal de manera inequívoca. Los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo.
Dado que los prestadores de servicios de confianza que expiden certificados pueden operar en todo el ámbito espacial de aplicación del Reglamento eIDAS, se hubiera debido redactar esta previsión de forma más neutra, dado que no todos los Estados tienen documentos nacionales de identidad, por ejemplo, algo que ya se había criticado en relación con el artículo 11.1.e) de la LFE.
Se debe establecer una jerarquía de documentos oficiales identificativos, en función de criterios como el lugar de residencia de la persona identificada en el certificado
Para ello, se debe establecer una jerarquía de documentos oficiales identificativos, en función de criterios como el lugar de residencia de la persona identificada en el certificado. A estos efectos, ciertamente deberá buscarse siempre el vínculo más cercano a estos efectos, como por ejemplo priorizar el número de identificación del extranjero residente en España que solicite un certificado respecto al número de pasaporte, que sólo sería admisible cuando no resulte exigible la obtención de la tarjeta de identidad de extranjero; o establecer y utilizar los documentos oficiales equivalentes en los restantes Estados de la Unión, cuando el solicitante resida en los mismos.
Por lo que se refiere a las personas jurídicas, se deberá incluir su denominación o razón social y su número de identificación fiscal. En defecto de este, deberá indicarse otro código identificativo que le identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales, previsión que mejora la anteriormente contenida en el artículo 11.1.e) de la LFE.
Asimismo, el apartado 2 del mismo artículo 6 prevé la posibilidad de incluir información acerca de la representación de persona física o jurídica, en cuyo caso deberá incluirse también la información de la persona representada, conforme a las reglas establecidas para la consignación de la identidad del titular del certificado, y la «indicación del documento, público si resulta exigible, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria, la inscripción de los datos registrales».
A diferencia del régimen anteriormente contenido en el artículo 11.4 de la derogada LFE, se admite la posibilidad de acudir a apoderamientos sustentados en documento privado, de amplio uso en determinados entornos relacionales que no exigen tantas garantías, (12) aunque esta posibilidad quedará eventualmente limitada por lo que establezca la normativa aplicable (por ejemplo, en el caso del régimen de las diferentes personas jurídicas o entidades sin personalidad jurídica).
A diferencia del régimen anteriormente contenido en el art. 11.4 de la derogada LFE, se admite la posibilidad de acudir a apoderamientos sustentados en documento privado
A pesar de esta mejora, la LSEC sigue sin aportar respuesta a los problemas ya identificados por la práctica y la doctrina con ocasión de la consignación de relaciones de representación en los certificados reconocidos regulados por la LFE; a saber, la ausencia de sincronía entre los datos del certificado y del registro público, (13) cuando el mismo exista; y la ausencia de normalización técnica de este atributo, que se traduce en problemas de interoperabilidad, (14) a salvo de lo dispuesto sectorialmente para las relaciones con las entidades del sector público. (15)
En tercer lugar, el artículo 7.5 de la LSEC autoriza indirectamente que el «certificado cualificado contenga otras circunstancias personales o atributos del solicitante, como su condición de titular de un cargo público, su pertenencia a un colegio profesional o su titulación», atributos también opcionales.
En todo caso, cualquier atributo —obligatorio o voluntario— que no haya sido objeto de armonización en el nivel del derecho de la Unión puede ser ignorado por los terceros (el Reglamento eIDAS se refiere a ellos como «partes usuarias»). Por ejemplo, en el caso de un certificado cualificado que incorpore el poder de representación del firmante, una parte usuaria podría adecuar su proceso de autenticación o de firma para hacer uso de dicha información, mientras que otra parte usuaria podría tratar el certificado como si el mismo no contuviera esta información. En ese ejemplo, para la primera parte usuaria el certificado sería de persona física representante, y confiaría en el poder, y para la segunda parte usuaria el certificado sería sólo de persona física, e ignoraría el poder.
Los atributos de identidad establecidos por la normativa nacional van a tener un reconocimiento limitado y preferentemente doméstico
Este régimen hace pensar que los atributos de identidad establecidos por la normativa nacional van a tener un reconocimiento limitado y preferentemente doméstico, debido a la falta de armonización de todos estos atributos en el nivel de la Unión Europea. Pero ello no significa que no puedan ser instrumentos útiles, en especial en el caso de los atributos extra previstos para las relaciones jurídico-administrativas en los perfiles de certificados definidos por la Política de firma electrónica de la Administración General del Estado, al amparo de los Reales Decretos 1617/2009 y 4/2010, así como de la NTI de política de firma electrónica que desarrolla los mismos.
2. Comprobación de la identidad y otros atributos de los solicitantes de los certificados cualificados
El artículo 7 de la LSEC complementa la regulación que a este respecto se contiene en el artículo 24.1 del Reglamento eIDAS, por lo que deben ser tratados conjuntamente.
El apartado 1 del artículo 7 reitera la previsión contenida en el artículo 24.1.a) del Reglamento eIDAS, si bien la complementa al concretar los instrumentos de acreditación de la identidad personal, refiriéndose al Documento Nacional de Identidad, pasaporte u otros medios admitidos en Derecho, posibilidades que obviamente deberán conciliarse con los contenidos a consignar en los certificados. En este sentido, la mención al pasaporte tenga sentido como medio de identificación de la persona física representante de un certificado cualificado expedido a una persona jurídica, pero no a un certificado expedido a su nombre, excepto si el solicitante no dispone de número de documento nacional de identidad, número de identificación de extranjero o número de identificación fiscal por un motivo válido.
Se trata de la regla que en las normas técnicas se ha venido denominando «presencia física directa», que supone una barrera bastante clara a la extensión de la prestación de servicios desde un Estado miembro a potenciales clientes en toda la Unión, claramente derivada del coste de crear una red europea de oficinas propias o de colaboradores para esta tarea de verificación de la identidad. Por este motivo, en las normas técnicas se promovió el concepto de la «presencia física indirecta», a partir de lo establecido en algunas normativas nacionales (16) , proceso que parece haber cristalizado en las restantes posibilidades previstas en el artículo 24.1 del Reglamento eIDAS.
En efecto, la segunda posibilidad prevista en el numeral b) del artículo 24.1 es realizar dicha verificación «a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad "sustancial" o "alto"», (17) posibilidad que excluye el uso de estos medios de identificación cuando se hayan expedido sin la presencia personal de las citadas personas.
Se trata de un caso específico de uso de un medio de identificación para un uso privado, por previsión expresa del Reglamento eIDAS, que puede facilitar el desarrollo de la actividad de expedición de certificados en el Mercado Único Digital, al eliminar la necesidad de la presencia personal y autorizar al prestador a confiar en un subconjunto de los citados medios de identificación. Un ejemplo de esta posibilidad —seguramente el más relevante, y actualmente implementado por diversos prestadores españoles— es el uso del DNI electrónico o equivalente de otros Estados miembros, como la nPA alemana, que permitiría a un nacional alemán adquirir un certificado expedido en España, de convenirle, sin tener que desplazarse.
En tercer lugar, el numeral c) del mismo artículo 24.1 autoriza que la verificación se realice «por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b)», en una norma que tiene una lógica similar a la del empleo de los medios de identificación electrónica anteriormente presentada, y que ya se encontraba, en cierto modo, prevista en el artículo 13.4.b) de la LFE, el cual permitía sustituir la presencia personal «cuando para solicitar un certificado se utilice otro vigente para cuya expedición se hubiera identificado al firmante en la forma prescrita en este artículo y le conste al prestador de servicios de certificación que el período de tiempo transcurrido desde la identificación es menor de cinco años», norma que permitía también el uso de certificados de firma electrónica avanzada (en lugar de cualificada, como exige el Reglamento eIDAS) y que no se ha mantenido en la LSEC. (18)
El apartado 3 del art. 7 prevé la importante novedad de prever la inclusión, en el certificado, de información acerca de la forma en que se procedió a identificar a la persona física solicitante del certificado
En relación con esta posibilidad, implementada por diversos prestadores españoles, especialmente al objeto de reutilizar la identificación contenida en el certificado de firma electrónica del DNI-e, el apartado 3 del artículo 7 prevé la importante novedad de prever la inclusión, en el certificado, de información acerca de la forma en que se procedió a identificar a la persona física solicitante del certificado —a la fecha de expedición del certificado—, lo cual sin duda ayudará al cumplimiento de esta obligación. Cuando no se incluya esta información, la norma exige la colaboración entre los prestadores al objeto de determinar el momento en que se produjo la última personación, sin concretar las condiciones de dicha colaboración (como, por ejemplo, si la misma es gratuita).
La crítica a esta obligación normativa es, claramente, que no vincula ni puede exigirse a los prestadores no sujetos a la ley española, afectando negativamente a la competitividad en la prestación transfronteriza de servicios, muestra de la inconveniencia de establecer determinadas normas en el ámbito armonizado. En efecto, un prestador italiano no tendrá obligación de colaborar con un prestador español, por lo que éste último no podrá obtener esta información.
Finalmente, la cuarta posibilidad, y la más innovadora legalmente —aunque no desde la perspectiva de las normas técnicas— se encuentra recogida en el numeral d) del artículo 24.1, conforme al cual la verificación se podrá realizar «utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física», seguridad equivalente que deberá ser «confirmada por un organismo de evaluación de la conformidad».
Se trata de una cláusula abierta, que permite introducir diversas alternativas, facilitando la adopción de innovaciones tecnológicas o de proceso, con la triple condición de que a) sean admitidos en el nivel nacional, b) que resulten equivalentes en fiabilidad, lo que se determina en atención a su seguridad, y c) que dicha seguridad haya sido objeto de la correspondiente evaluación. (19)
La noción de reconocimiento a escala nacional implica, en algunos casos, la aparición de normativa específica al respecto, aunque no parece ser una exigencia impuesta por el Reglamento eIDAS, previsión que en algunos casos contiene una remisión a lo que se determine reglamentariamente, como sucede en Alemania. (20)
Otros Estados, en cambio, tratan esta cuestión desde la perspectiva del soft law público, como uno de los criterios propuestos por el organismo de supervisión en relación con el procedimiento de cualificación, un enfoque mucho más flexible, plenamente alineado con el requerimiento previsto en el artículo 24.1.d) del Reglamento eIDAS de evaluación de conformidad en relación con el nivel de seguridad equivalente a la presencia física, que impulsa la adopción rápida de innovaciones, algo beneficioso para la competitividad de los prestadores establecidos en dichos Estados, como por ejemplo en el caso de Austria, (21) de Francia (22) o de Italia (23) .
Entre dichas innovaciones destaca, con gran fuerza, el uso de la identificación a través de la videoconferencia con la persona física, opción ya autorizada en Italia o Francia; o la posibilidad de reutilizar la identificación ya realizada por entidades sujetas a los procedimientos de verificación de la identidad previstos en la normativa de prevención del blanqueo de capitales, como en Italia o Austria.
Precisamente el enfoque adoptado en España ha sido el de regular esta posibilidad en el apartado 2 del artículo 7 de la LSEC. En este sentido, la norma prevé que «mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad», añadiéndose que la «determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario», en una clara referencia a los trabajos acometidos por el Comité Técnico de Infraestructura de Firma Electrónica del Instituto Europeo de Normalización de Telecomunicaciones (ETSI TC ESI); Orden que actualmente se encuentra en consulta pública.
La posibilidad de emitir certificados cualificados mediante sistemas de videoidentificación es la novedad más importante de la LSEC
La posibilidad de emitir certificados cualificados mediante sistemas de videoidentificación es la novedad más importante de la LSEC, y permitiré evitar que se repitan las dificultades en la dotación de firma electrónica a los ciudadanos que se han experimentado durante el confinamiento deriva de la pandemia COVID-19.
Sorprende, sin embargo, el segundo párrafo del artículo 7.2 de la LSEC, que indica que «serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza». Este párrafo, que no se encontraba en el Proyecto de Ley aprobado por el Gobierno, es resultado de una enmienda aprobadas durante la tramitación en el Congreso, (24) orientada al reconocimiento directo de los sistemas de identificación a distancia por videoconferencia (asistida y no asistida) autorizadas al amparo de la legislación de blanqueo de capitales, como mecanismo adicional al establecido reglamentariamente por el Gobierno.
Posteriormente, la redacción inicialmente aprobada (25) por el Congreso fue corregida en el Senado, como resultado de dos enmiendas (26) incorporadas por acuerdo transaccional, (27) eliminándose la referencia a los sistemas ya habilitados en otros sectores, con el argumento de que no puede existir un trasvase natural regulatorio específicamente por el sector bancario a otros ámbitos mercantiles o sectores donde no se pueden encontrar regulados los mismos procedimientos ni tampoco son práctica regular de sus negocios. El problema es que, al sustituir dicha referencia a otros sectores por una referencia a lo previsto en la normativa de servicios de confianza, para que pueda aplicarse el párrafo 2 del artículo 7.2 de la LSEC, la propia LSEC debe regular dichos métodos. Obviamente, entre ellos se incluye el primer párrafo del artículo 7.2, pero resultaría absurdo haber mantenido el párrafo segundo del artículo 7.2 si su único caso posible de aplicación fuera el párrafo primero del mismo artículo 7.2.
Quizá la utilidad de este párrafo se encuentre en la posibilidad de establecer, en sede nacional, exenciones a la personación que sean diferentes a los cuatro casos anteriores, como por ejemplo sucede en Derecho español con la previsión, ya contenida en el artículo 13.1 de la LFE (28) , en cuya virtud «podrá prescindirse de la personación si su firma en la solicitud de expedición de un certificado reconocido ha sido legitimada en presencia notarial», aunque en este caso se exija formalmente la evaluación de la conformidad a efectos de la determinación de la equivalencia de seguridad.
Parece que esta posibilidad debería rechazarse en una interpretación rigurosa del Reglamento eIDAS, dado que nos encontramos ante un aspecto armonizado, y que además puede afectar negativamente al reconocimiento transfronterizo de los certificados, al considerar otros Estados miembros, eventualmente, que dichos métodos alternativos no se pueden considerar equivalentes a la personación; problema que se puede solventar, en cualquier caso, mediante la reconducción del método en cuestión a la previsión del artículo 24.1.d) ya analizada, que esencialmente sólo implica sujetar todos los métodos alternativos a la evaluación de la conformidad, con excepción de la intervención notarial. Ésta es la solución adoptada expresamente por la legislación alemana con respecto a los que denomina métodos innovadores de identificación, por ejemplo. (29)
A la obligación de identificar a la persona a la que se expida el certificado, que incluye, como hemos visto, la obligación de identificar al solicitante del certificado de sello electrónico de persona jurídica, el artículo 9.3.a) segundo párrafo de la LSEC añade la de registrar «también la información que permita determinar la identidad de la persona física a la que se hayan entregado los citados certificados, para su identificación en procedimientos judiciales o administrativos».
Cabe imaginar que esta obligación adicional sólo tendrá sentido realmente cuando el certificado de sello electrónico se entregue a una persona diferente de la persona física solicitante, que como ya sabemos debe ser un representante autorizado de la persona jurídica a la cual se expide el certificado.
3. Vigencia y extinción de los certificados
El artículo 4 de la LSEC establece, en su epígrafe 1, que «los certificados electrónicos se extinguen por caducidad a la expiración de su período de vigencia, o mediante revocación por los prestadores de servicios electrónicos de confianza» (30) en determinados supuestos legalmente establecidos, para ordenar, en su epígrafe 2, que «el período de vigencia de los certificados cualificados no será superior a 5 años», un máximo legal que no podrá ser superado pero que «se fijará en atención a las características y tecnología empleada para generar los datos de creación de firma o sello, o de autenticación de sitio web», en línea con la legislación anterior, (31) remitiendo de nuevo a lo que establezca la normativa en materia de criptografía.
En este sentido, quizá la mayor novedad se encuentra en la obligación de aplicar estos criterios criptográficos en relación con todos los certificados cualificados, y no sólo a los de firma electrónica, atendiendo a lo que se disponga por la autoridad competente en cada caso.
El artículo 5 de la LSEC se dedica a la revocación y suspensión de la vigencia de los certificados. Por lo que se refiere a la revocación, se realizan algunos ajustes menores con respecto al régimen anteriormente contenido en la LFE.
Sin embargo, como novedad, el apartado 2 del mismo artículo 5 regula la posibilidad, que no obligación, de los prestadores de proceder a la suspensión de un certificado, pero sólo en los casos expresamente indicados. Nótese que lo que es opcional es suspender o no certificados, a diferencia de lo que sucedía en la LFE, en que era obligatorio, pero no las causas y las consecuencias, en caso de hacer uso de esta posibilidad, que entonces deben ser las legalmente previstas.
El legislador español podría haber mantenido esta obligación, (32) sin infringir el Reglamento eIDAS, pero ha adoptado una posición más liberal, siempre en el marco de la responsabilidad del prestador de servicios, que por tanto tendrá un importante incentivo para limitar dicha responsabilidad, por ejemplo, adoptando la suspensión como mecanismo adicional a la revocación.
Hay que recordar que la suspensión tiene sentido como medida menos gravosa que la revocación en determinados casos, especialmente cuando existen dudas acerca de la concurrencia de causas que implicarían la revocación, por lo que será una práctica interesante especialmente en aquellos casos en que la revocación implicaría un coste de reposición elevado. (33)
Adicionalmente, y como novedad, el artículo 9.2 de la LSEC ordena que «los prestadores de servicios que expidan certificados electrónicos deberán disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público», en una previsión que extiende la obligación, ya establecida en el artículo 24.4 del Reglamento eIDAS en relación con los prestadores que expidan certificados cualificados, a los prestadores que expidan certificados no cualificados.
Ni el Reglamento eIDAS, ni la LSEC establecen las consecuencias concretas que implicará la pérdida de validez, temporal o definitiva, del certificado, sobre las firmas o sellos electrónicos creados empleando un certificado inválido
En todo caso, ni el Reglamento eIDAS, ni la LSEC establecen las consecuencias concretas que implicará la pérdida de validez, temporal o definitiva, del certificado, sobre las firmas o sellos electrónicos creados empleando un certificado inválido, por lo que se deberá estar a lo que disponga la normativa aplicable al correspondiente acto jurídico. (34)
A estos efectos, hay que traer a colación el artículo 3.10 de la LFE, que establecía que «a los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas», artículo que no tenía equivalente en el Reglamento eIDAS, pero que no se podía considerar inaplicado por el mismo, sino al contrario; (35) y que no se ha mantenido en la LSEC, sin que de ello tampoco pueda entenderse que se haya establecido una prohibición en este sentido.
En efecto, para las partes firmantes de un contrato, por ejemplo, una firma electrónica no cualificada puede ser perfectamente empleada como si fuera una firma manuscrita, y para ellos, (36) dicha firma electrónica no cualificada debería tener la misma eficacia que la firma manuscrita; algo que deberá ser considerado por el Juez, dada la regla de no discriminación hoy contenida en el artículo 25.1 del Reglamento eIDAS, pero sólo desde la perspectiva sustantiva, dado que las normas procesales no son disponibles por las partes.
Corresponde, sin embargo, al legislador nacional la potestad de modular el alcance de esta posibilidad, inclusive estableciendo límites a la autonomía de la voluntad de las partes (37) .
III. Concluyendo…
A pesar del inadmisible retraso con el que se ha aprobado la LSEC, cabe celebrar su promulgación y consiguiente derogación de la LFE, dado que viene a completar el régimen de los servicios de confianza contenido en el Reglamento eIDAS, vigente desde hace más de cuatro años, y a potenciar las posibilidades de uso de fuentes de prueba dotadas de presunciones probatorias, algo que interesa a la Administración.
La autorización legal de la videoconferencia para la expedición de los certificados podría ser la clave para su uso con las Administraciones Públicas
La aparición de sistemas de firma electrónica cualificada y el sello electrónico cualificado «en Nube», que solventa las dificultades asociadas a la provisión de tarjetas criptográfica y permite la actuación remota y ubicua, no se había podido implementar de forma plena debido a las limitaciones de la presencia personal del interesado para la expedición del correspondiente certificado; por ello, la autorización legal de la videoconferencia para la expedición de los certificados podría ser la clave para su uso con las Administraciones Públicas, sin renunciar a las necesarias garantías jurídicas.
IV. Bibliografía
• Alamillo Domingo, I. (2019). Identificación, firma y otras pruebas electrónicas. La regulación jurídico-administrativa de la acreditación de las transacciones electrónicas. Cizur Menor, Navarra: Aranzadi.
• Blanquer, D. (2006). Hechos, ficciones, pruebas y presunciones en el Derecho Administrativo. «Taking facts seriously» (Primera ed.). Valencia, España: Tirant lo Blanch.
• Coello de Portugal Martínez del Peral, I. (2003). Contratos, convenios y firma electrónica. En VVAA, Firma digital y Administraciones Públicas (págs. 99-106). Madrid: Instituto Nacional de Administración Pública.
• Gobert, D. (2015, Février). «Le règlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance (eIDAS) : analyse approfondie». Retrieved fromhttp://www.droit-technologie.org
• Gobert, D. (2016, Octobre). La loi belge du 21 julliet 2016 mettant en œvre le règlement européen eIDAS et le complétant avec des règles sur l’archivage électronique: analyse approfondie. Récupéré surhttp://www.droit-technologie.org
• Illescas Ortíz, R. (2001). Derecho de la contratación electrónica. Madrid, España: Civitas Ediciones.
• Martínez Nadal, A. (2009). Comentarios a la Ley 59/2003 de firma electrónica (Segunda ed.). Cizur Menor: Civitas Thompson Reuters.
• Ortega Díaz, J. (2008). La firma y el contrato de certificación electrónicos (Primera ed.). Cizur Menor: Thomson Aranzadi.
• Rodríguez Ayuso, J. F. (2018). Impacto de la nueva regulación europea sobre identificación electrónica y servicios de confianza en el ámbito de la contratación privada dotada de firma electrónica. Alma Mater Studiorum-Università di Bologna, Bologna.
• Valero Torrijos, J. (2013). Derecho, innovación y administración electrónica. Sevilla, España: Global Law Press - Editorial Derecho Global.