salvador soriano maldonado s. e. telecomunicaciones y sociedad de la información. ministerio de...

Salvador Soriano Maldonado

S. E. Telecomunicaciones y Sociedad de la Información. Ministerio de Ciencia y Tecnología

IX Congreso Nacional de Derecho Sanitario

18 Octubre 2002 1

LA REGULACIÓN DE LA FIRMA ELECTRÓNICA EN ESPAÑA




18 Octubre 2002 2

ÍNDICE

• Directiva 1999/93/CE del Parlamento Europeo del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica

• Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica

• Anteproyecto de Ley sobre firma electrónica




18 Octubre 2002 3

DIRECTIVA SOBRE FIRMA ELECTRÓNICA

Definiciones(1)

• Firma electrónica: datos electrónicos anejos a otros datos electrónicos o asociados de manera lógica con ellos, utilizados como medio de autenticación

• Firma electrónica avanzada: firma electrónica que:

- está vinculada al firmante de manera única,

- permite la identificación del firmante,

- ha sido creada por medios que el firmante puede mantener bajo su exclusivo control

- está vinculada a los datos, de modo que cualquier cambio ulterior de los mismos sea detectable




18 Octubre 2002 4


Definiciones(2)

• Bases técnicas de la firma electrónica avanzada (1). Huella digital

a) Aplicación de transformación matemática sobre un documento (hash,

p.e. SHA-1, MD5), para obtener un resumen o huella digital

b) Características de la huella digital:

- no es reconstruible el documento original

- documentos diferentes dan lugar a huellas diferentes

- menor tamaño que el documento original




18 Octubre 2002 5


Definiciones(3)

• Bases técnicas de la firma electrónica avanzada (2). Sistema criptográfico asimétrico y certificado electrónico.

a) Aplicación de un sistema criptográfico asimétrico sobre la huella digital.

Par de claves privada y pública complementarias de manera única

b) Participación del prestador de servicios de certificación en la identificación

del firmante y en la emisión y gestión de los certificados electrónicos




18 Octubre 2002 6


Definiciones(4)

• Certificado: documento que vincula unos datos de verificación de firma (clave pública) a una persona y confirma su identidad

• Certificado reconocido: es el certificado que cumple:

a) contiene la siguiente información (Anexo I): indicación de que el certificado se expide como certificado reconocido; identificación del prestador y del Estado en que está establecido; nombre y apellidos del firmante o seudónimo; atributo específico del firmante (en caso de que fuera significativo en función de la finalidad del certificado); datos de verificación de firma que correspondan a los datos de creación de firma bajo control del firmante; período de validez del certificado; un código identificativo del certificado; firma electrónica avanzada del prestador que emite el certificado; límites de uso (si procede) y límites del valor de transacciones en las que puede utilizarse el certificado (si procede)




18 Octubre 2002 7


Definiciones(5)

b) es emitido por un prestador de servicios de certificación que cumple los requisitos de ser capaz de (Anexo II): demostrar la fiabilidad necesaria para prestar servicios de certificación; garantizar un servicio rápido y seguro de directorio y un servicio de revocación seguro e inmediato; garantizar que pueda determinarse con precisión la fecha y la hora en que se expidió o revocó un certificado; comprobar debidamente la identidad y atributos específicos de la persona a la que se expide un certificado; emplear personal con los conocimientos, experiencia y cualificaciones necesarias; utilizar sistemas y productos fiables; tomar medidas contra la falsificación de certificados y, en caso de que el prestador genere datos de creación de firma, garantizar la confidencialidad del proceso de generación; disponer de recursos suficientes, en particular, para afrontar el riesgo de responsabilidad por daños y perjuicios; registrar la información relativa a un certificado durante un tiempo adecuado, en particular, para aportar pruebas de certificación en procedimientos judiciales; no almacenar ni copiar datos de creación de firma de terceros; informar de las condiciones de utilización del certificado y de los procedimientos de reclamación y solución de litigios y utilizar sistemas fiables para almacenar certificados, de forma

verificable.




18 Octubre 2002 8


Acceso al mercado

• La prestación de servicios no está sujeta a autorización previa

• Posibilidad de establecimiento de sistemas voluntarios de acreditación destinados a mejorar los niveles de provisión de servicios

• Los Estados Miembros velarán por que se establezca un sistema adecuado de supervisión de los prestadores que expidan al público certificados reconocidos

• Conformidad de dispositivos seguros de creación de firma (requisitos del Anexo III) determinada por organismos públicos o privados designados por los Estados Miembros. Reconocimiento mutuo de conformidad. Publicación en DOCE de normas técnicas.

• Fomento del uso dispositivos seguros de verificación de firma

• Posibilidad de introducir prescripciones adicionales para el uso de la firma electrónica en el sector público




18 Octubre 2002 9


Principios del mercado interior

• Cada Estado Miembro aplicará las normas que se deriven de esta Directiva a los prestadores establecidos en su territorio

• No se podrá restringir la prestación de servicios de certificación que procedan de otro Estado Miembro

• Los productos de firma electrónica que se ajusten a la Directiva podrán circular libremente en el mercado interior




18 Octubre 2002 10


Efectos jurídicos de la firma electrónica

• Firma electrónica avanzada, basada en un certificado reconocido y generada por un dispositivo seguro de creación de firma:

- equivale jurídicamente a una firma manuscrita

- admisible como prueba en procedimientos judiciales

• A las firmas que no cumplan los requisitos anteriores no se les debe negar eficacia jurídica o su admisibilidad como prueba en procedimientos judiciales




18 Octubre 2002 11


Responsabilidad (1)

• Como mínimo, los prestadores de servicios que expidan al público certificados presentados como reconocidos o que garanticen al público tales certificados, serán responsables (salvo que demuestren que no han actuado con negligencia) por el perjuicio causado a cualquier persona que confíe razonablemente en un certificado, por lo que respecta a:

- veracidad de la información contenida en el certificado en el momento de expedición del mismo

- inclusión de toda la información que debe figurar en los certificados reconocidos

- garantía de que los datos de creación de firma correspondientes a los de verificación que figuran en el certificado están en poder de la persona autorizada a utilizarlos

- garantía de complementariedad de datos de creación y verificación de firma, en caso de que el prestador genere ambos




18 Octubre 2002 12


Responsabilidad (2)

• Como mínimo, los prestadores de servicios que expidan al público certificados presentados como reconocidos, serán responsables (salvo que demuestren que no han actuado con negligencia) por el perjuicio causado a cualquier persona que confíe razonablemente en un certificado por no haber registrado su revocación

• El prestador de servicios podrá consignar en un certificado reconocido límites de uso o de valor de transacciones reconocibles para terceros. Ausencia de responsabilidad del prestador en caso de que se superen dichos límites




18 Octubre 2002 13

ÍNDICE

• Directiva 1999/93/CE del Parlamento Europeo del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica






18 Octubre 2002 14

REAL DECRETO LEY 14/1999 SOBRE FIRMA ELECTRÓNICA

Empleo de la firma electrónica por las Administraciones públicas

Condiciones adicionales al uso de la firma electrónica necesarias para salvaguardar garantías del procedimiento administrativo. En caso de normas estatales, se dictarán a propuesta del Ministerio de Administraciones Públicas y previo informe del Consejo Superior de Informática. Régimen específico para la firma electrónica que afecta a información clasificada, seguridad pública o la defensa




18 Octubre 2002 15


Sistemas de acreditación de prestadores y de certificación de productos

Sistemas basados en la actuación de órganos gestores que evalúan informes técnicos emitidos por entidades de evaluación, acreditadas por un organismo independiente designado, en relación con los prestadores de servicios y productos de firma electrónica

Registro de prestadores de servicios de certificación

Ministerio de Justicia




18 Octubre 2002 16


Supervisión y control

Ministerio de Ciencia y Tecnología

Régimen de infracciones y sanciones

• Se establecen categorías de infracciones (leves, graves, muy graves), los rangos de sanciones correspondientes a cada una de ellas y la posibilidad de aplicación de medidas cautelares

• Potestad sancionadora corresponde al Ministerio de Ciencia y Tecnología




18 Octubre 2002 17


Otras disposiciones complementarias de carácter específico

• Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social (regulación de la atribución y uso de la firma electrónica por notarios y registradores de la propiedad, mercantiles y de bienes muebles)

• Real Decreto 1317/2001, de 30 de noviembre, que desarrolla las condiciones de prestación por la FNMT de servicios técnicos y administrativos para garantizar la seguridad, validez y eficacia de las comunicaciones de la Administración General del Estado y sus organismos públicos




18 Octubre 2002 18

ÍNDICE

• Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica






18 Octubre 2002 19

ANTEPROYECTO DE LEY SOBRE FIRMA ELECTRÓNICA

Tramitación

• Tramitación como Proyecto de Ley en las Cortes Generales

• Consulta pública durante el mes de enero de 2002, con amplia participación (unas 60 entidades)

• Informes (febrero de 2002):

- Consejo Asesor de las Telecomunicaciones y para la Sociedad de la Información

- Comisión del Mercado de las Telecomunicaciones

- Agencia de Protección de Datos

• Pendiente aún de varias consultas (Unión Europea, CGPJ y Consejo de Estado)




18 Octubre 2002 20


Principales modificaciones

• Mayor alineamiento de la redacción con la Directiva 1999/93/CE sobre firma electrónica

• Nuevas definiciones de “firma electrónica reconocida”, “fecha electrónica” y “declaración de prácticas de certificación”

• Reconocimiento de acuerdos privados para uso de la firma electrónica

• Refuerzo de los mecanismos de defensa de la competencia

• Ajuste para mayor equilibrio de derechos y obligaciones de usuarios y prestadores de servicios de certificación, considerando deberes de diligencia de los usuarios

• Clarificación del requisito de garantía económica y disminución de su cuantía

• Se favorece la autorregulación de la industria en lo que se refiere a los sistemas voluntarios de acreditación

• Se equilibran los tramos previstos para las sanciones en función de las infracciones cometidas




18 Octubre 2002 21


Principales novedades

• DNI electrónico

Acreditación electrónica de la identidad personal

Instrumentos para la firma electrónica de documentos

• Certificados emitidos a personas jurídicas

Custodia por una sola pesona física o factor (Código de Comercio)

salvador soriano maldonado s. e. telecomunicaciones y sociedad de la información. ministerio de...

Documents