Derecho de Internet

En el momento de emitirse el primer e-dni, vemos que la cobertura legal, sobre todo la encaminada a proteger los intereses de los ciudadanos, es claramente insuficiente. Sin ir más lejos, en la Directiva 1999/93/CE del Parlamento Europeo de 13 de diciembre 1999, en el Artículo 5 dedicado a los Efectos Jurídicos de la firma electrónica, en su apartado 2, se dice textualmente:

2. Los Estados miembros velarán por que no se niegue eficacia jurídica, ni la admisibilidad como prueba en procedimientos judiciales, a la firma electrónica por el mero hecho de que:

- ésta se presente en forma electrónica, o
- no se base en un certificado reconocido, o
- no se base en un certificado expedido por un proveedor de servicios de certificación acreditado, o
- no esté creada por un dispositivo seguro de creación de firma.

De ello entiendo, que a priori y aunque no se equipare a mi firma manuscrita, mi firma GPG puede tener cierta validez jurídica, aunque no se base en un certificado reconocido, no esté emitida por un proveedor de servicios de certificación y no esté creada por un dispositivo seguro de creación de firma.

Leyendo este artículo no sé si me están haciendo un favor, o si se está abriendo la caja de los truenos, sobre todo, si considero que el contenido del documento firmado me puede beneficiar o perjudicar frente a terceros. Si bien es cierto que en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, en su Artículo 3 punto 9, no es tan amplia como la Directiva, creo que el contenido, desde el punto de vista estricto de la seguridad de la firma y su validez jurídica, puede generar dudas y problemas a los usuarios:

No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.

Pero este no es la única duda que tengo, hay otras más importantes e inquietantes.

Hace unos días se debatían en los foros de Kriptópolis, los posibles problemas derivados de la conservación de documentos firmados digitalmente y la posible validez jurídica de los mismos con el paso del tiempo. Pero no entremos a considerar la validez de los documentos firmados, si en un futuro se considera que el sistema de firma usado no era seguro, veamos cosas más reales y vigentes a fecha de hoy.

La conservación de la documentación en formato electrónico, aún sin firma electrónica asociada, como podemos ver en los Criterios de Conservación (pdf) publicados como desarrollo del Real Decreto 263/1996 de 16 de febrero, modificado por el Real Decreto 209/2003, de 21 de febrero, no es algo baladí ni sencillo de lograr. Como veremos seguidamente, la firma electrónica complica esta situación.

Si leemos este interesante documento, veremos que hay muchos aspectos a tener en cuenta a la hora de conservar la documentación en formato electrónico. En el documento se habla de formatos, juegos de caracteres, soportes, etc. Todo ello ha de tenerse en cuenta y manejarse en conjunto, si queremos garantizar que se pueda acceder a la documentación en el futuro. Sin embargo, en esta normativa no se tiene en cuenta, ni se hace referencia a la firma electrónica.

También hay que señalar dos cosas importantes en relación con este documento:

a) Estos criterios no se están cumpliendo con la exactitud que se debiera. Por ejemplo, mientras que esta normativa dice que los archivos de texto se deben almacenar en formato: TXT, PDF, RTF, SGML (norma internacional ISO 8879), XML, HTML, SXW (openoffice.org) o EPS (Encapsulated PostScript), lo cierto es que en todos los ámbitos de la Administración se genera, exige y almacena la mayor parte de la información y los documentos, en formato DOC, que es binario y propietario y es el formato nativo de Microsoft Office, situación que provoca riesgos para la conservación a medio o largo plazo, y además supone una reducción en la accesibilidad de los documentos.

b) Estos deseables criterios, solamente son aplicables a la Administración General del Estado, lo que puede crear incertidumbres y problemas en las administraciones Autonómica y Local, por no tener desarrollos normativos similares.

Como podemos ver, sin considerar la firma electrónica, la conservación ya es un problema no resuelto a todos los niveles y además, es de dudoso cumplimiento en algunos ámbitos. Sin embargo, la actual y poco deseable convivencia del papel con el incipiente mundo digital, nos puede llevar a pensar que el problema no existe. Pero ¿qué pasará cuando se implante plenamente la administración electrónica, o la oficina sin papeles y se use el e-dni de forma masiva? ¿Seguiremos pasando a papel los documentos para poder archivarlos?.

¿CÓMO AFECTA LA FIRMA ELECTRÓNICA A LA CONSERVACION?

En el documento “La Firma Electrónica y el Archivo Digital” (pdf), de D. Jordi Serra Serra, se dice textualmente:

”La tecnología de firma electrónica ha sido considerada para la conservación a largo plazo más una amenaza que un beneficio, presentando una problemática que afecta a todas las fases del ciclo de vida.”

a) En la fase administrativa, el principal problema es la caducidad de firma. La actualización de la firma original solo es posible cuando se tiene acceso al documento. Desde el momento en el que la transferencia al archivo significa una desvinculación del entorno tecnológico original, se dificulta la actualización de la firma.

b) En la fase de conservación a largo plazo, la firma electrónica se convierte e un factor de riesgo para mantener la legibilidad de los documentos digitales, puesto que constituye una capa tecnológica añadida a los documentos, que mantiene vinculaciones externas determinantes para su validez (software de firma y cifrado, lista de certificados revocados, etc). El uso de encriptación puede dificultar posteriores migraciones, del mismo modo que la obsolescencia tecnológica puede afectar al software de firma y cifrado. Se añade que, para mantener la vigencia de la firma electrónica por periodo de tiempo prolongado, es necesario conservar elementos básicos de la infraestructura de firma (PKI).

Según Serra, la solución a estos problemas se basa en el uso de sellos de tiempo y el refirmado periódico de los documentos, usando para ello, una firma de archivo única y de mayor duración. De esta forma, se mantiene intacto su valor evidencial y su potencial utilización legal, incluso después de la caducidad de la firma original. Aquí quiero señalar que el autor contempla la caducidad de la firma, pero no la caída total del sistema de firma, por ejemplo, por el compromiso de las claves o por el fallo del sistema criptográfico usado, algo a tener en cuenta.

Hasta ahora hemos hablado de la Administración, pero ¿Qué pasa con la conservación de los documentos firmados entre particulares o entre particulares y empresas? ¿Qué obligaciones implica? ¿Qué problemas puede haber en estas relaciones cara a la conservación?

Por lo tanto, este problema solo puede tener solución si se establece una normativa clara y precisa, que con el rango de Ley, regule la forma en la que deberán funcionar los registros que contengan documentos digitales con firma electrónica, tanto en las administraciones (General, Autonómica y Local), como en las empresas. Para ser completa, dicha normativa deberá especificar además, todas las operaciones técnicas, incluyendo la conversión de formatos o soportes, que sean necesarias para mantener vigente la información, logrando así que sea independiente de los cambios tecnológicos (software/hardware) que se produzcan con el paso del tiempo. Hoy por hoy, y aunque se ve como algo imprescindible para salvaguardar los derechos de los ciudadanos, no hay nada que obligue e ello.

Como bien señala Serra, la utilización de un firma electrónica de archivo, no excluye la necesidad de conservar la infraestructura de clave pública. Sin embargo, mediante una estructura cooperativa de archivo digital, es posible la conservación de documentos digitales por un periodo de tiempo considerable y a un coste asequible, para la mayoría de las organizaciones.

Pero para que lo dicho anteriormente sea posible, es necesario que exista una legislación clara y precisa que lo regule y exija, tanto a las administraciones (general, autonómica y local), como a las empresas. Recordemos también que los efectos jurídicos de la firma electrónica, obliga que la normativa vaya más allá de los certificados reconocidos y de los de proveedores certificados. Si no lo hacemos así, habrá problemas serios cuando se use masivamente el e-dni, u otros sistemas de firma, para firmar documentos y contratos, que deban tener vigencia legal en el tiempo.

Visto lo visto, no basta con lo que dice Directiva 1999/93/CE del Parlamento Europeo, la Ley 59/2003, o el Real Decreto 1553/2005. Hace falta una legislación que regule lo que se debe hacer para conservar los documentos electrónicos y en especial, si cuentan con firma digital, que como hemos visto, además, complica su conservación.

"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".