Índice resumen 5 introduccióN 6 preámbulo 9 la desmaterialización de los actos 9



Descargar 0.81 Mb.
Página34/42
Fecha de conversión01.07.2017
Tamaño0.81 Mb.
1   ...   30   31   32   33   34   35   36   37   ...   42

5.2.Regulación extranjera.




5.2.1. Estados Unidos.

En los Estados Unidos el ejemplo principal está constituido por la Ley del Estado de Utah, por cuanto fue el primer sistema legal en el mundo en adoptar un estatuto que autoriza el uso de firmas digitales con efecto jurídico. Con posterioridad a esta iniciativa, las leyes sobre firma digital elaboradas por el poder legislativo y el Gobierno norteamericano se han abocado, además, a regular el uso de las técnicas criptográficas con el fin de preservar la confidencialidad de los “mensajes de datos”, o sea, “documentos electrónicos”, especialmente en su fase transitiva.


El texto es la “Utah Digital Signature Act” (de 1995 y su revisión de1996) y en su elaboración se recogió las propuestas del Comité de Seguridad de la Información de la Sección de Ciencia y Tecnología de la Asociación Americana de Abogados (ABA).
La Ley de Utah opera sólo en el sector privado y está orientada a la promoción del comercio, en tanto tiene como objeto: a) facilitar el comercio por medio del intercambio de mensajes electrónicos fiables; b) reducir la incidencia de las falsificaciones y el fraude en el comercio electrónico; c) introducir la implantación de estándares en telecomunicaciones, y d) establecer coordinadamente con otros Estados reglas comunes referidas a la autentificación y confiabilidad de los mensajes electrónicos (párrafo 46-3-102).
La norma se ocupa de equiparar los efectos jurídicos de la firma manual y la firma digital, así como los efectos jurídicos de los documentos escritos en papel y los documentos electrónicos firmados digitalmente, pudiendo hacerlos valer ante los tribunales de justicia. Con todo, la norma no resta validez a otros tipos de firma que puedan regirse por algún otro régimen legal.
Las partes de la Ley son: Título. Interpretación y Definiciones. Licencias y Regulación de Autoridades de Certificación. Deberes de las Autoridades de Certificación y de los suscriptores de las mismas. Efectos de la Firma Digital. Servicios del Estado y Organización de los registros de clave (“repositorios”).
En síntesis, la autoridad pública competente es la “División”, o sea, la Sección de Sociedades Anónimas y Código de Comercio del Departamento de Comercio de Utah, estando facultada para:

a) otorgar y revocar licencias a las Autoridades de Certificación,

b) determinar el monto económico de la garantía a exigir a las Autoridades de Certificación a efectos de asegurar la responsabilidad de las mismas derivada del hecho de la emisión de certificados,

c) revisar el software que genera firmas digitales y publicar informes sobre el mismo,

d) especificar el contenido razonable de los certificados,

e) especificar los requistos razonables para el almacenamiento de información por las Autoridades de Certificación, y

f) especificar los procedimientos de acción de las Autoridades de Certificación.
Los certificados son registros informáticos que: a) identifican a la Autoridad de Certificación que los emite; b) identifican los nombres de su titular; c) contienen la clave pública del titular; y d) están firmados digitalmente por la Autoridad de Certificación que los emite.
Los requisitos a satisfacer por una Autoridad de Certificación para obtener una licencia son:

a) ser titular de un certificado publicado en un registro (“repositorio”) de claves reconocido por la División a través de normas que la ley regula,

b) emplear a personas con buena conducta y que hayan demostrado poseer conocimientos y práctica sobre la materia,

c) depositar una adecuada garantía económica en la División, a no ser que la Autoridad de Certificación sea el gobernador, un departamento o sección del gobierno estatal, el fiscal general, el auditor del Estado, el tesorero del Estado, el consejo judicial, una ciudad, un gobierno regional o el Poder legislativo, siempre y cuando estos prueben que hay una norma que les permite actuar como Autoridad de Certificación,

d) tener el derecho de utilizar un sistema confiable, incluyendo los medios seguros para controlar el uso de su clave privada,

e) presentar pruebas de que se cuenta con capital suficiente para asumir el servicio de Autoridad de Certificación,

f) tener una oficina en Utah o contar con un agente con oficina en Utah, y

g) cumplir con otros requisitos establecidos por la División (sustancialmente: realizar una solicitud y pagar las tasas correspondientes).


El titular del certificado es responsable de custodiar la clave privada, estando obligado a no revelarla. La clave privada es propiedad del titular del certificado. Si el titular la deposita ante la Autoridad de Certificación, ésta tan sólo la podrá utilizar con el consentimiento previo del titular, a menos que éste haya autorizado su uso para casos especiales.
Se establecen supuestos y procedimientos para la revocación, suspensión y cancelación del certificado.
La suspensión de un certificado puede ser hecha por:

1. La Autoridad Certificante Emisora, en aquellos casos que no exista acuerdo en contrario o no se trate de un certificado transaccional el certificado puede ser suspendido por 48 horas. Producida la suspensión, la autoridad certificante debe publicar un aviso de la suspensión en el repositorio que señale el certificado.

2. La División o por un Tribunal o por un Secretario de Condado, cuando el certificado no especifique lo contrario o no se trate de un certificado transaccional se puede suspender el certificado por 48 horas. Producida la suspensión la publicación se hace siempre que la persona que la solicita pague el arancel del repositorio. (párrafo 46-3-306)
La suspensión termina:

1. Cuando el suscriptor así lo solicita y la autoridad certificante confirma que el solicitante es el suscriptor o su representante.

2. Cuando la autoridad certificante descubre que la solicitud de suspensión se realizo sin la autorización del suscriptor. Esta prohibido presentar un pedido de suspensión falso o no autorizado lo que se sanciona como contravención o delito menor.

El efecto de la suspensión es que cesa la obligación del suscriptor de mantener la confidencialidad la clave privada.


Un certificado se puede revocar por las siguientes causales:

1) Por solicitud de revocación del suscriptor del certificado.

2) Por muerte del suscriptor.

3) De oficio cuando los certificados fueran o llegaran a ser no confiables.

La autoridad certificante debe publicar la revocación en el repositorio que señala el certificado. El efecto del pedido de revocación sobre el suscriptor es que cesa la obligación de garantizar lo señalado en el párrafo 46-3-304 y también termina su obligación de resguardar la clave privada. En cuanto a la Autoridad Certificante esta es liberada de su responsabilidad como emisor del certificado. (párrafo 46-3-307)

Los certificados deben contener la fecha de vencimiento que no puede exceder a los 3 años contados desde su emisión. Una vez vencido el plazo el suscriptor y la autoridad certificante son relevados de sus obligaciones (párrafo 46-3-308).



5.2.2. Alemania.

La regulación de la firma digital y de los servicios de certificación está inserta en un marco normativo de carácter más amplio220, conformado por la Ley de Telecomunicaciones de fecha 05 de julio de 1996 y por su desarrollo, la Ley Sobre Condiciones Generales Para Los Servicios de Información y Comunicación de fecha 22 de julio de 1997, la que además de abordar la regulación de los llamados “teleservicios” (art.1) y la protección de los datos de carácter personal utilizados en aquéllos (art.2), introdujo modificaciones al Código Penal (art.4), en la legislación sobre difusión de publicaciones nocivas para la juventud (art.6), sobre propiedad intelectual (art.7) y sobre índices de precios (arts.8 y 9), entre otras materias. Específicamente, la firma electrónica se regula en el artículo tercero. El propósito de la norma es crear las condiciones generales bajo las cuales se pueda considerar como seguras a las firmas digitales y que las falsificación de firmas digitales y de la información así firmada pueda ser verificada de modo fidedigno (párrafo primero).


Aunque se trata de la primera iniciativa europea con carácter nacional, la regulación alemana no es tecnológicamente neutra, por cuanto no se refiere a las firmas electrónicas, sino que sólo trata la firma digital. Básicamente, se la define como un sello adjunto a la información digital, que se crea con una clave privada, y establece la propiedad de la clave y la integridad de la información con la ayuda de la clave pública asociada, la que es suministrada con un certificado de clave expedido por una Autoridad de Certificación, o por la autoridad pública establecida en el párrafo 66 de la Ley de Telecomunicaciones. Dicha autoridad pública es nombrada por el Presidente de la República Federal, a propuesta del Gobierno, y ejerce su actividad en el ámbito del Ministerio de Economía.
La Autoridad de Certificación se concibe como la persona física o jurídica que da fe respecto de la atribución de las claves públicas a personas físicas y mantiene una licencia con tal objeto. Tiene como función establecer fehacientemente la identidad de las personas que soliciten un certificado; y confirmar la atribución de una clave pública a una determinada persona con la emisión de un certificado de clave que, junto a cualquier otro certificado pertinente, debe mantener disponible para su verificación y, con el consentimiento del titular de la clave, para su recuperación en todo momento y respecto de cualquier persona, mediante conexiones de telecomunicación accesibles públicamente. Para ello, debe documentar las medidas de seguridad implementadas y los certificados expedidos para que la información sea verificable en todo momento (párrafo décimo) y evitar que la información de los certificados sea alterada o modificada, garantizando la confidencialidad de la clave privada, la que no puede ser almacenada por el Certificador (párrafo quinto, numeral cuarto). El Certificador puede recopilar información personal sólo directamente de la persona afectada, o bien, requerirla de un tercero, pero sólo con autorización de aquélla y sólo en la medida que sea necesario para los propósitos del certificado. Sólo con autorización del afectado o por provisión legal se permite dar otro uso a tal información. En caso de registrarse un seudónimo en el certificado en lugar del nombre del solicitante, el Certificador está obligado a proporcionar la identidad verdadera si así lo solicita la autoridad pública en caso de delitos, por seguridad publica u otras obligaciones legales o constitucionales. En realidad, se trata de verdaderos Prestadores de Servicios de Certificación, por cuanto pueden pronunciarse sobre otras materias si así lo acuerdan las partes y, si se requiere expresamente, deben declarar digitalmente si determinada información ha sido presentada en cierto lapso (párrafo noveno). Así se explica, entonces, que bajo el único concepto de “certificado”, la ley alemana distingue entre “certificado de clave de firma” y “certificado de atributos”, según se trate, respectivamente, del certificado digital que soporta una firma digital y su pertenencia con la clave pública de una persona natural, o del certificado digital separado que contiene alguna otra información claramente referida a un certificado de clave de firma específico. El párrafo séptimo señala el contenido del certificado de clave pública, entre los que cabe destacar el nombre de los algoritmos con los que puede ser usada la clave pública relativa al propietario y al Certificador, el número de serie del certificado, su período de validez y si existen limitaciones o restricciones de uso del mismo, sean o no convencionales.
Acorde al párrafo octavo, los certificados pueden ser invalidados a pedido del dueño de la clave de firma o de su representante si el certificado fue expedido basándose en información falsa o si el Certificador ha finalizado sus actividades y éstas no fueron continuadas por otro. La autoridad competente también puede ordenar la invalidación de un certificado si se justifica suponer que los certificados han sido alterados o no son suficientemente seguros contra falsificaciones o cuando sus componentes técnicos demuestren deficiencias de seguridad que permiten la falsificación de la firma, o si un Certificador finaliza sus actividades o se retira o revoca su licencia. Asimismo, la invalidación también puede ser solicitada por un tercero, en la medida que contenga información relativa al mismo. En todo caso, la ley alemana prohibe la invalidación con efecto retroactivo.
Los certificados extranjeros son reconocidos en la legislación alemana sólo si pueden demostrar un nivel de seguridad equivalente, sea que provengan de un Estado miembro de la Unión Europea o de un Estado firmante del tratado en el área económica Europea, requisito que también resulta aplicable a los acuerdos supranacionales e internacionales relativos al reconocimiento de certificados que sean suscritos (párrafo 15).
La regulación alemana presenta una marcada intervención estatal por cuanto se debe solicitar una licencia a la autoridad pública para operar como Certificador. El reglamento señala el procedimiento y la documentación necesaria para obtener la licencia (ciertos antecedentes comerciales y de calificación profesional necesaria), la que puede ser denegada en los siguientes casos: 1) Si se determina que el solicitante no es confiable para operar como certificador, lo que depende de la capacidad para garantizar el cumplimiento de los requerimientos legales; 2) Si no se demuestra poseer el conocimiento necesario para operar como certificador: conocimiento, experiencia y calificación del personal; y 3) Si posteriormente no se cumple los requerimientos para actuar como certificador, acorde al plan de seguridad dispuesto por la autoridad pública. La autoridad pública debe impedir el uso de componentes técnicos inapropiados y, además, puede suspender temporalmente el ejercicio total o parcial de actividades de certificadores licenciados y prohibir el desarrollo de actividades por parte de aquellos no licenciados. Por su parte, los certificadores están obligados a permitir a la autoridad pública el ingreso a sus instalaciones, presentar sus libros, registros, recibos, escritos y otros documentos relevantes para su inspección, proveyendo la información y asistencia necesarias. En caso que un Certificador cese sus actividades debe notificar a la autoridad pública competente y asegurar que los certificados válidos emitidos al momento del cese sean tomados por otro certificador o invalidados (también debe notificar a la autoridad competente si eventualmente queda sujeto a una solicitud de quiebra o se somete a procedimientos de ajuste). Si por tal motivo la autoridad pública decide revocar la licencia, ésta debe asegurar que la actividad sea tomada por otro Certificador o que los contratos de los titulares de una clave pública sean terminados (artículo 13).

5.2.3. Italia.

Por Decreto de la Presidencia de la República de 10 de noviembre de 1997 , el cual desarrolla el artículo 15.2 de la Ley de 15 de marzo de 1997, se establece el régimen de la formación, el archivo y la transmisión del documento informático y telemático.


El Reglamento se divide en tres capítulos que desarrollan todos los aspectos referentes a la forma documental de la contratación electrónica: el capítulo primero se refiere a los principios generales, el capítulo segundo regula el régimen jurídico de la firma digital como requisito indispensable para la validez del documento digital y el tercer capítulo se refiere a las normas de actuación.
El Reglamento tiene por objeto garantizar los aspectos jurídicos más relevantes que afectan al documento informático o electrónico. En definitiva, se trata de salvaguardar la seguridad jurídica del justiciable, intentando garantizar: 1) La "integridad" del contenido del documento (la información transmitida); 2) La "disponibilidad" del mismo como medio de prueba; 3) La confidencialidad de la información contenida en un documento electrónico, mientras no sea necesario para fines probatorios.
El documento electrónico se considera eficaz y válido a todos los efectos legales y debe limitarse su ámbito jurídico a lo regulado en la normativa especial que representa el Reglamento (art.2). De este modo, las partes pueden obligarse a concluir su negocio jurídico mediante la forma electrónica a través del documento electrónico, por cuanto el texto legal lo considera como válido y eficaz a todos los efectos legales. Y, del mismo modo, pueden consentir el pago en vía informática.
El Reglamento dota de validez y eficacia a los duplicados o copias de los documentos informáticos. Particularmente, se consideran con igual fe que el original, las copias de los documentos públicos, escrituras privadas y documentos administrativos de todo tipo que estuvieran depositados en registro público o expedidas por funcionario competente.
La eficacia jurídica del documento informático viene condicionada por la necesidad de suscripción digital del mismo. Verificada ésta, los documentos electrónicos son eficaces desde el punto de vista probatorio y conforme al artículo 2702 del Codice Civile, hacen plena fe de la autoría de la declaración, salvo querella de falsedad, impugnación, no reconocimiento o desconocimiento por parte de la persona contra quien se produce. Asimismo, de acuerdo con el Reglamento y el artículo 2712 del Codice Civile, hacen prueba plena del hecho y de las declaraciones que contienen.
El Reglamento italiano define firma digital como el resultado de un proceso informático, el cual se funda en un sistema de claves asimétricas, una pública y otra privada, cuya función principal es la evidencia o verificación del autor y la integridad del contenido del documento mediante la autorización por el suscriptor a través del uso de su clave privada, y por el destinatario a través de su clave pública.
La normativa italiana establece que la firma electrónica cumple una función igual que la suscripción tradicional del documento en formato papel. Los efectos principales de la firma electrónica se concretan una vez conocidos el titular o autor de la firma, el sujeto que la certifica, y el registro donde queda publicada para su consulta.
Es significativo que el Reglamento prevé la posibilidad, como cautela en caso de conflicto, de que la clave privada esté depositada en forma secreta ante un notario o funcionario público autorizado de tal forma que en cualquier momento pueda ser utilizada para efectos de comparación con la respectiva firma digital asociada a un documento dado.
El texto legal, en un sentido amplio, reconoce que puede ser firmado digitalmente cualquier documento informático, aunque se trate de duplicados o copias. Y debe referirse exclusivamente a un solo sujeto y a un solo documento o conjunto de documentos a los cuales esté asociada la firma .
El Reglamento innova al introducir la noción de “firma digital autenticada o legalizada”, ya que, de acuerdo con el artículo 2703 del Codice Civile, hace posible la legalización o autenticación de los documentos privados al igual que los escritos . Esta se produce ante el notario o funcionario público competente, el cual certifica: a) Que la firma digital fue agregada en su presencia; b) La validez de la clave utilizada; c) Que de hecho el documento suscrito responde a la voluntad de la parte y no es contrario al Ordenamiento jurídico.
La norma italiana entiende por “certificado” el resultado de un proceso técnico-informático mediante el cual se acredita la relación entre el titular del documento y su clave pública. De igual forma, de acuerdo con el Reglamento, se certifica el periodo de validez de la clave pública y el plazo de vencimiento del propio certificado que no puede ser superior a tres años .
El certificado que acredita la clave pública debe ser realizado por un tercero, sea público o privado, quien además ha de publicar y actualizar los certificados sospechosos y revocados. La clave pública ha de ser conservada por el Certificador por un periodo no inferior a diez años y, desde su validez, ha de estar disponible, siendo consultable en forma telemática.
El Reglamento italiano también introduce el término “documento informático administrativo” como aquel acto administrativo, dato o documento que emana de la administración pública en su forma electrónica. De esta forma, se posibilita que la administración pueda transmitir a particulares tanto notificaciones de actos, como informaciones o certificados. En el Reglamento se afirma que estos documentos tendrán naturaleza jurídica de original, de los cuales podrán efectuarse copias mediante los usos admitidos en derecho. Asimismo, se deberán firmar conforme a las prescripciones del Reglamento y habrá de identificarse, en todos los actos, a la administración pública de donde emanan y el documentador o funcionario público que realiza las operaciones .

5.2.4. Francia.

El caso francés es un claro ejemplo de mínima intervención a escala legislativa, por cuanto las modificaciones que se han introducido con precisión en escasos tres artículos del Código Civil tienen un carácter general, privilegiando el desarrollo de la jurisprudencia y el uso de normas reglamentarias, mediante Decreto del Consejo de Estado, para tratar las diversas cuestiones sobre documentos electrónicos y, en forma más reciente, sobre firma electrónica.


Ya por Ley 80/525 de 12 de julio de 1980 se había introducido un trascendente cambio en el artículo 1348 del Código Civil francés. Desde ese momento se estableció que el documento electrónico –sin hacer una referencia textual al mismo– tendría el mismo valor probatorio que el documento en soporte papel escrito y firmado, cuando cumpliera determinados requisitos, a saber: inalterabilidad y durabilidad. Los Tribunales franceses han subrayado ese mismo valor probatorio de los documentos que revisten las características marcadas por la norma.
De similar importancia resulta la reforma del Código Civil de la República de Francia mediante la Ley Nº2000-230 de 13 de marzo de 2000, sobre adaptación del derecho de prueba a las nuevas tecnologías de la información y relativa a la firma electrónica, que fuera publicada en el boletín oficial Nº62 del 14 de Marzo de 2000. Esta ley introdujo modificaciones al Capítulo VI, “De la prueba de las obligaciones y del pago”, concretamente en sus artículos 1315 inciso 1º y artículo 1316.
Respecto a lo que nos interesa, en este último artículo se establece que la prueba literal, o prueba por escrito, resulta de una serie de letras, caracteres, cifras o todo otro signo o símbolo dotados de significado inteligible, cualquiera sea su soporte y sus modalidades de transmisión. Con ello se determina, para todos los efectos, que los D.E. revisten el carácter de acto escrito.
El escrito en forma electrónica se admite como prueba con igual fuerza que el escrito en soporte papel, bajo reserva de que pueda ser debidamente identificada la persona de la que emana, y que sea generado y conservado en condiciones que permitan garantizar su integridad. Aunque la enmienda recalca expresamente que “el escrito en soporte electrónico tiene la misma fuerza probatoria que el escrito en soporte papel”, la admisibilidad del D.E. queda condicionada, a los requisitos ya referidos, a saber: a) la autoría está determinada; b) ha sido generado en condiciones que permitan garantizar su integridad; y c) ha sido conservado en las mismas condiciones.
La modificación además reitera que en ausencia de otros principios legales y a falta de acuerdo válido entre las partes, el juez resuelve los conflictos de prueba literal determinando por cualquier medio el título más válido, cualquiera sea su soporte. De tal modo, presenta como indisoluble el establecimiento de la equiparación entre la firma ológrafa y la firma digital, aunque deja para una posterior norma reglamentaria los requisitos técnicos que deberá cumplir esa firma electrónica para poder ser asimilable perfectamente a la primera. En efecto, cuando la firma es electrónica, la norma dice que consiste en el uso de un procedimiento fiable de identificación que garantiza su vinculación con el acto al que se incorpora. Salvo prueba en contrario, la fiabilidad de tal procedimiento se presume, cuando la firma electrónica ha sido creada, la identidad del firmante asegurada y la integridad del acto garantizada, en las condiciones fijadas por Decreto del Consejo de Estado.

5.2.5. Colombia.

La norma que regula la firma digital en Colombia es la Ley Nº527 de 18 de agosto de 1999, sobre Mensajes de Datos, Comercio, Electrónica y Firma Digital. En todo caso, tal como se hizo en Argentina y Chile, los primeros intentos por regular los mensajes electrónicos de datos han tenido por ámbito de aplicación la Administración Pública. En efecto, por Decreto Nº2150 de 1995 (vigente en la actualidad), se buscó la simplificación de trámites ante las entidades estatales colombianas.


La Ley Nº527 sigue muy de cerca la Ley Modelo de la CNUDMI que se caracteriza por regular el comercio electrónico en forma exhaustiva e integral. De tal modo, los documentos electrónicos son igualmente tratados como “mensajes de datos”. Sin embargo, y a pesar de su título, la norma tan solo comprende el reconocimiento de valor jurídico a las operaciones que se realizan electrónicamente. Es más. La norma colombiana no es tecnológicamente neutra y se aparta de las directrices de la CNUDMI, por cuanto no define firma electrónica, abocándose a regular exclusivamente la firma digital como “un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación” (artículo segundo letra c).
En concreto, si bien se establece claramente que “no se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos” (artículo quinto), los documentos electrónicos se asimilan a los actos escritos, sólo si la información documentada “es accesible para su posterior consulta” (artículo sexto).
Se autoriza a salvar la exigencia legal de firma, si se cuenta con un método que sea confiable y apropiado a los efectos de “identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación” (artículo séptimo). En concreto, para que la firma digital tenga la misma fuerza y efectos que una firma manuscrita, la ley colombiana exige su adecuación con la reglamentación oficial, que sea única la persona que la usa y que esté bajo su exclusivo control. También se exige que la firma digital se encuentre ligada al documento electrónico (“información o mensaje”), de manera tal que sea invalidada en caso de alteración y que siempre sea susceptible de ser verificada (artículo 28).
La ley Colombiana no entrega un concepto de certificado, sino que señala el contenido de aquellos que emanan de una entidad de certificación autorizada, los cuales además de estar firmados digitalmente, deben contener: 1) Nombre, dirección y domicilio del suscriptor; 2) Identificación del suscriptor nombrado en el certificado; 3) El nombre, la dirección y el lugar donde realiza actividades la entidad de certificación; 4) La clave pública del usuario; 5) La metodología para verificar la firma digital del suscriptor impuesta en el mensaje de datos; 6) El número de serie del certificado; 7) Fecha de emisión y expiración del certificado.
La ley Colombiana, si bien distingue entre las funciones que serían propias de un Servicio de Certificación y de una Autoridad de Registro, opta por utilizar la expresión única de “entidad de certificación”, que define como “aquella persona que, autorizada conforme a la presente ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales” (artículo segundo letra d). Esta entidad brinda la tecnología necesaria para generar las claves, desarrolla los procedimientos requeridos para la identificación de los solicitantes, administra el proceso de emisión, verificación y revocación, controla el funcionamiento y desarrolla nuevas tecnologías para incrementar la confiabilidad y seguridad de las transacciones.
La Superintendencia de Industria y Comercio se erige como entidad de control, velando por las tarifas, condiciones de acceso y salida del mercado y el cumplimiento de todos los requisitos de seguridad en el ejercicio de sus funciones. Se permite que actúen como entidades de certificación, a las personas jurídicas, públicas o privadas, nacionales o extranjeras, además de las Cámaras de Comercio, que previa solicitud sean autorizadas por la Superintendencia. De este modo, la norma colombiana impone una autorización previa de carácter estatal para permitir el funcionamiento de entidades de certificación.
Los certificados emitidos por entidades de certificación extranjeras tendrán validez siempre y cuando “sean reconocidos por una entidad de certificación autorizada que garantice en la misma forma que lo hace con sus propios certificados, la regularidad de los detalles del certificado, así como su validez y vigencia” (artículo 43).
La norma colombiana establece “Repositorios”, que son la publicación que la entidad certificadora hace de los certificados expedidos, incluyendo los que han expirado o han sido revocados, caso en el cual lo más prudente será tener por no probada la identidad del suscriptor (”iniciador”). De este modo, una vez recibido un documento electrónico y su respectivo certificado con el nombre y la llave pública del firmante, existe la posibilidad de verificar ante la entidad certificadora si el certificado se encuentra vigente y, por tanto, si el documento aparece debidamente firmado.

5.2.6. España.

El Real Decreto Ley 14/1999 de 17 de septiembre, tiene por objeto regular el uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación, únicamente respecto de los establecidos en España (artículo primero). Al efecto, se establece un sistema de registro público obligatorio dependiente del Ministerio de Justicia, previo al inicio de la actividad como certificador, “en un régimen de libre competencia, sin que quepa establecer restricciones para los servicios de certificación que procedan de alguno de los Estados miembros de la Unión Europea” (artículo cuarto). Esta obligación de registro no constituye exigencia de autorización previa, por cuanto se provee un sistema de acreditación ante la Autoridad de carácter voluntario, a fin de “lograr el adecuado grado de seguridad y proteger, debidamente, los derechos de los usuarios” (artículo sexto).


El Real Decreto distingue entre firma electrónica, definida como “el conjunto de datos, en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge”; y firma electrónica avanzada, que es “la firma electrónica que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos” (artículo segundo letras a y b).
El artículo tercero establece que la firma electrónica avanzada, tendrá el mismo valor jurídico que la firma manuscrita y será admisible como prueba en juicio, siempre y cuando: 1) esté basada en un “certificado reconocido”; y 2) haya sido producida por un dispositivo “seguro” de creación de firma. Se presume el cumplimiento de estas dos exigencias, si el certificado reconocido ha sido expedido por un Prestador de Servicios de Certificación (PSC) acreditado voluntariamente como tal, y si el dispositivo se encuentra certificado según criterios de evaluación técnica, conforme al título III de la misma normativa.
El Real Decreto español se refiere indirectamente a los D.E., por cuanto, según se desprende de las definiciones –expuestas supra–, presupone que éstos siempre habrán de contar con una firma electrónica como método que indica formalmente la autoría. Por ello, el mismo artículo tercero termina estableciendo que “...no se le negarán efectos jurídicos ni será excluida como prueba en juicio, por el mero hecho de presentarse en forma electrónica”, a la firma electrónica no avanzada o a la que no reúna todas las exigencias antes referidas.
La normativa española define “certificado digital” como “la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad”. Asimismo, distingue como “certificado reconocido” al que contiene cierta información especifica, señalada en el artículo octavo, y ha sido expedido por un PSC, acreditado o no, observando mayores exigencias de orden técnico, administrativo y financiero, acorde al artículo duodécimo. Los PSC se definen como “la persona física o jurídica que expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica”. De esta manera, el Real Decreto crea un sistema en que los usuarios certifican la firma electrónica avanzada o no con algún PSC, quienes pueden emitir certificados reconocidos en conformidad con la ley o no, y depende de los usuarios la preferencia por unos u otros.
Cualquiera sea la naturaleza del certificado, en el artículo noveno se contemplan diversas causales de invalidez para todos ellos, tales como la expiración de su período de vigencia, la revocación por parte del “signatario”, por resolución administrativa o judicial, etcétera. Además, el Real Decreto autoriza la suspensión de la eficacia de un certificado y establece un sistema de publicidad, cercano a la noción de “repositorio”, mediante un “Registro de Certificados” que están obligados a mantener los PSC, en el cual “quedará constancia de los certificados emitidos y figurarán las circunstancias que afecten a la suspensión o pérdida de vigencia de sus efectos”. A dicho Registro podrá accederse por medios telemáticos y su contenido sólo podrá ser examinado, previa aprobación del “signatario”, o sea, la persona física que cuenta con un dispositivo de creación de firma y que actúa en nombre propio o en representación de otra (persona física o jurídica).
Los certificados originados en un estado no miembro de la U.E. se consideran reconocidos en España si: 1) Si el PSC reúne los requisitos de la normativa comunitaria sobre firma electrónica y ha sido acreditado voluntariamente por un Estado miembro de la Unión Europea; 2) Si el certificado está garantizado por un PSC de la Unión Europea que cumpla los requisitos de la normativa comunitaria sobre firma electrónica; 3) Si el certificado o el PSC están reconocidos por un acuerdo bilateral o multilateral entre la Unión Europea y terceros países u organizaciones internacionales.
El tercer capítulo se tratan las obligaciones de los PSC, a saber: 1) Comprobar la identidad y cualesquiera circunstancias personales de los solicitantes de los certificados; 2) Poner a disposición del signatario los dispositivos de creación y verificación de firma electrónica; 3) No almacenar ni copiar los datos de creación de firma; 4) Informar al solicitante acerca del precio de un certificado, las condiciones de utilización del servicio, limitaciones de uso y cómo se garantiza su posible responsabilidad patrimonial; 5) Mantener un registro, al que se pueda acceder por medios telemáticos) de certificados emitidos, suspendidos o revocados; 6) Comunicar al titular y a la autoridad en caso de cesar en su actividad; 7) Solicitar su inscripción en el Registro de Prestadores de Servicios de Certificación.
Las obligaciones de los PSC que expidan certificados reconocidos comprenden, además de las anteriores: 1) Indicar la fecha y la hora en que se expidió o se dejó sin efecto un certificado; 2) Demostrar la fiabilidad necesaria de sus servicios; 3) Garantizar la rapidez y la seguridad en la prestación del servicio; 4) Emplear personal cualificado y con experiencia en la prestación de estos servicios; 5) Utilizar sistemas y productos fiables, protegidos contra alteraciones y que garanticen seguridad técnica de los procesos de certificación; 6) Tomar medidas contra la falsificación de certificados; 7) Contar con los recursos económicos para garantizar su responsabilidad; 8) Conservar registrada la información de un certificado reconocido durante quince años; 9) Informar sobre el precio y las condiciones de utilización de un certificado; 10) Utilizar sistemas confiables para almacenar certificados.
En caso de cese de actividades, el PSC debe comunicarlo con una antelación mínima de dos meses a los titulares de los certificados y transferirlos, sólo con el consentimiento expreso de estos, a otro PSC. Si estuviere inscrito en el Registro de Prestadores de Servicios de Certificación también debe comunicar a la autoridad competente acerca del cese de su actividad y del destino dado a los certificados, poniéndosele fin a su inscripción en dicho registro.
Los PSC responderán de los daños y perjuicios que causen en el ejercicio de su actividad cuando incumplan las obligaciones establecidas en Real Decreto o actúen con negligencia y en este último caso corresponderá al PSC demostrar que actúo con diligencia.
El tratamiento de los datos personales que requiera el PSC se sujetará a la Ley Orgánica que sobre la materia existe en España. Al efecto, se podrá recabar datos directamente de los titulares, pero solamente los necesarios para la expedición y el mantenimiento del certificado. En caso de consignarse un seudónimo, debe constar la verdadera identidad, que será revelada a requerimiento de los órganos judiciales.
El capítulo cuarto regula la inspección y control de la actividad de los PSC. La autoridad establecida por el Real Decreto es el Ministerio de Fomento, que inspecciona y controla, a través de la Secretaría General de Comunicaciones, el cumplimiento de las obligaciones establecidas en la ley y su reglamento, por los PSC que expidan al público certificados reconocidos. Asimismo, vigila el cumplimiento de las reglas legales mínimas por parte de los PSC que no expidan certificados reconocidos.
El título tercero regula los dispositivos de firma electrónica y la evaluación de su conformidad con la normativa aplicable. Los requisitos de los dispositivos seguros de creación de firma implican garantizar que los datos utilizados para la creación de una firma electrónica puedan producirse una vez y se asegure su secreto, que estos datos no puedan ser derivados de los de verificación de firma o de la propia firma y que la firma no pueda ser falsificada, estos datos además deben ser protegidos fiablemente por el signatario contra su utilización por otros y, por último, el dispositivo utilizado no debe alterar los datos o el documento que deba firmarse. Además, estos dispositivos deben ser evaluados por informes técnicos cumpliendo con la normativa comunitaria sobre firma electrónica.
Los dispositivos de verificación de firma electrónica avanzada deben garantizar: 1) que la firma se verifica de forma fiable y su resultado figura correctamente; 2) que el verificador puede establecer el contenido de los datos firmados y detectar sus modificaciones; 3) que figura correctamente la identidad del signatario o su seudónimo; 4) que se verifica en forma fiable el certificado; 5) que se puede detectar cualquier cambio relativo a su seguridad.
El título cuarto establece la tasa de las acreditaciones y certificaciones estableciendo los valores y cuotas correspondientes.
Finalmente, el título quinto, tipifica ciertas infracciones en que pueden incurrir los PSC, calificándolas como muy graves, graves y leves. Al efecto, se contempla un régimen de medidas cautelares en el caso de infracciones graves o muy graves, que pueden consistir, entre otras, en un orden de cese temporal de las actividad del PSC y la suspensión de vigencia de los certificados. Por último se establece un procedimiento sancionador a cargo de la Secretaria General de Comunicaciones del Ministerio de Fomento.

5.2.7. México.

La República Federal de México incorpora las NTI a su legislación, pero no define legalmente la firma electrónica ni la firma digital, por cuanto optó por legislar sobre la base del derecho común, obviando una ley específica sobre la materia. La regulación corresponde a un decreto de fecha 29 de abril de 2000, dictado por Secretaria de Comercio y Fomento Industrial, que reformó y adicionó, en cuatro artículos, el Código Civil Federal, el Código Federal de Procedimientos Civiles, el Código de Comercio y la Ley Federal de Protección al Consumidor, respectivamente.


En el Código Civil Federal, se revisa la formación del consentimiento, estableciendo, entre otras modificaciones, que la oferta y la aceptación realizada por medios electrónicos, ópticos o de cualquier otra tecnología, producirán efecto sin necesidad de estipulación previa entre los contratantes (artículo 1811). La exigencia de forma escrita para el contrato y de firma de los documentos relativos, se tendrá por cumplida, siempre que la información generada o comunicada en forma integra, a través de medios electrónicos, ópticos o de cualquier otra tecnología: 1) sea atribuible a las personas obligadas y 2) sea accesible para su ulterior consulta. Además, cuando la formalidad legalmente exigida consista en el otorgamiento de instrumento ante fedatario publico, éste y las partes obligadas podrán utilizar medios electrónicos, ópticos o de cualquier otra tecnología. En este caso, el fedatario publico deberá hacer constar en el propio instrumento los elementos a través de los cuales se atribuye la “información” a las partes y conservar bajo su resguardo una versión integra de la misma para su ulterior consulta (artículo 1834 bis).
Al Código Federal de Procedimientos Civiles se agregó el artículo 210-A, que otorga valor probatorio a la información generada o comunicada por medios electrónicos. La valoración de la fuerza probatoria de tal información se regirá conforme a las reglas de la sana crítica, atendida “la fiabilidad del método en que haya sido generada, comunicada, recibida o archivada y, en su caso, si es posible atribuir a las personas obligadas el contenido de la información relativa y ser accesible para su ulterior consulta”. La misma información será considerada como documento original si se acredita que “se ha mantenido íntegra e inalterada a partir del momento en que se genere por primera vez en su forma definitiva y ésta pueda ser accesible para su ulterior consulta”.
En el Código de Comercio, la reforma mexicana establece la implementación informática y automatizada del llamado “Registro Público de Comercio”, en el cual se han de inscribir los actos mercantiles requeridos por la legislación, con la presunción (simplemente legal) de que la información registrada en la base de datos central de dicho Registro, prevalecerá sobre cualquiera otra, “en caso de existir discrepancia o presunción de alteración” (artículos 18 y 20), instituyéndose a los responsables de este servicio como “depositarios de la fe pública registral mercantil” (artículo 20 bis).
Además, la reforma adiciona un Título II “Del Comercio Electrónico”, empleando la expresión “mensaje de datos” para aludir a la información generada, enviada, recibida, archivada o comunicada a través de medios electrónicos, ópticos o cualquier otra tecnología (artículo 89), los que se aceptan expresamente como medios de prueba (artículo 1205), valorándose conforme a la sana crítica (artículo 1298-A). También se regulan algunos aspectos sobre emisión y recepción de D.E. (artículos 90 a 92 y 94), y se establece una fórmula similar a la introducida en el Código Civil –referida al “mensaje de datos, en vez de “información”– respecto de la exigencia de forma escrita para los contratos, firma de documentos relativos, y otorgamiento de instrumento ante fedatario público (artículo 93).
En consonancia con la regulación del “comercio electrónico”, por último, el decreto se ocupa de garantizar la efectiva protección al consumidor en las transacciones efectuadas a través de las NTI.

5.2.8. Perú.

La Ley Nº27.269, sobre Firmas y Certificados Digitales, fue promulgada el 26 de mayo de 2000 y publicada el 28 del mayo de 2000. Consta de dieciséis artículos y tres disposiciones complementarias.


El objeto de la Ley es regular la utilización de la firma electrónica y equiparar su validez y eficacia jurídica respecto de la firma manuscrita u otra análoga que conlleve manifestación de voluntad.
Según se desprende de su artículo segundo, los documentos electrónicos son tratados como “mensajes de datos” a los que se les pone una firma electrónica que los asocia e identifica cumpliendo las funciones de vincular e identificar al firmante así como garantizar la autenticación e integridad de aquéllos.
La regulación en Perú se adecúa al principio de neutralidad tecnológica en tanto define la firma electrónica, no obstante, también implementa la firma digital. Esta ley define la firma electrónica como “cualquier símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención precisa de vincularse o autenticar un documento cumpliendo todas o algunas de las funciones características de una firma manuscrita”. Luego, se define la firma digital como “aquella firma electrónica que utiliza una técnica de criptografía asimétrica, basada en el uso de un par de claves único; asociadas una clave privada y una clave pública relacionadas matemáticamente entre sí de tal forma que las personas que conocen la clave pública no puedan derivar de ella la clave privada”.
El certificado digital es definido como “el documento electrónico generado y firmado digitalmente por una entidad de certificación la cual vincula un par de claves con una persona determinada confirmando su identidad” (artículo sexto).
Esta ley distingue entre “Entidad de Certificación” y “Entidad de Registro o Verificación”. La primera tiene como función emitir o cancelar certificados digitales y ofrecer otros servicios que son inherentes al propio certificado o aquellos que otorguen seguridad al sistema de certificados, en particular o al comercio electrónico, en general. La segunda tiene por función el levantamiento (de actas) de datos y comprobación de la información de un solicitante de certificado digital; identificación y autenticación del suscriptor de firma digital, aceptación y autorización de solicitudes de emisión de certificados digitales, aceptación y autorización de las solicitudes de cancelación de certificados digitales.
A la entidad de certificación le corresponde contar con un registro que este disponible de manera permanente, con el cual se constata la clave pública de un determinado certificado.
Esta ley sufrió una modificación en su artículo 11, por cuanto condicionaba la validez y eficacia jurídica de los certificados digitales emitidos por Entidades de Certificación Extranjeras, al reconocimiento de una Entidad de Certificación Nacional. Así se consideró que resultaba inconveniente al obstaculizar la libre competencia, ya que antes de la modificación, las entidades de certificación nacionales y extranjeras no estaban en las mismas condiciones jurídicas, pues las segundas quedan supeditadas al reconocimiento de las primeras, y, en consecuencia, no podían ser competidores entre sí. Ahora será la autoridad administrativa competente, la encargada de la autorización y de la regulación de las entidades certificadoras.

5.2.9. Argentina.

El Decreto Nº427 sobre Firma Digital para el Sector Público, de abril de 1998, consta de once artículos y dos anexos, que establecen la infraestructura de firma digital y un glosario, respectivamente.


El ámbito de aplicación de esta norma es doblemente restringido, por cuanto sólo se aplica al Sector Público de la Nación Argentina y se refiere exclusivamente a la firma digital, con absoluta exclusión de otras firmas electrónicas.
Los D.E. se designan como “Documento Digital”, que es “la representación digital de actos, hechos o datos jurídicamente relevantes” y se considera como firmado si se le ha aplicado una firma digital.
El criterio esencialmente técnico de la norma argentina, es manifiesto al punto que otorga definiciones como firma digital, criptosistema asimétrico, digesto seguro, clave pública y clave privada, que, en general, implementan el funcionamiento del sistema, según ya lo explicáramos anteriormente.
El certificado de clave pública se considera como un “documento digital” emitido y firmado digitalmente por una autoridad certificante licenciada, que asocia una clave pública con su suscriptor durante el periodo de vigencia del certificado, y que asimismo hace plena prueba al interior de la Administración Sector Público Nacional, de la veracidad de su contenido.
La infraestrucutra argentina establece tres entidades participantes dentro del sector público: el Organismo Licenciante, el Organismo Auditante y la Autoridad Certificante Licenciada.
El Organismo Licenciante es el órgano administrativo encargado de otorgar las licencias a las autoridades certificantes y de supervisar su actividad. Este organismo tiene la calidad de suscriptor de certificado y de autoridad certificante, por lo tanto tiene las mismas obligaciones de las autoridades certificantes licenciadas, además de las propias, señaladas en el anexo I, entre las que merece ser destacada la total prohibición de acceso a la clave privada de cualquier suscriptor.
El Organismo Auditante es el órgano administrativo encargado de auditar la actividad del Organismo Licenciante y de las Autoridades Certificantes Licenciadas. Esta función corresponderá a La Contaduría General de la Nación, dependiente de la Subsecretaria de Presupuesto de la Secretaría de Hacienda del Ministerio de Economía y Obras y Servicios Públicos (artículo noveno).
La Autoridad Certificante Licenciada es el órgano administrativo que emite certificados de clave publica. Sus esenciales funciones son: 1) Emitir certificados de clave pública; 2) Revocar certificados de clave pública; y 3) Proveer, opcionalmente, el servicio de sellado digital de fecha y hora.




Compartir con tus amigos:
1   ...   30   31   32   33   34   35   36   37   ...   42


La base de datos está protegida por derechos de autor ©bazica.org 2019
enviar mensaje

    Página principal