Marco común para la firma electrónica
Resumen de la Normativa Comunitaria (Unión Europea) sobre Marco común para la firma electrónica
Áreas
Estas categorías agrupan y ponen en contexto las iniciativas legislativas y no legislativas, que tratan del mismo tema
Sociedad de la información > Interacción de la sociedad de la información con determinadas políticas
Marco común para la firma electrónica
Acto
Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco común para la firma electrónica.
Síntesis
Esta Directiva establece los criterios para el reconocimiento jurídico de la firma digital, centrándose en los servicios de certificación. Dichos criterios son:
- obligaciones comunes de los proveedores de servicios de certificación, para garantizar el reconocimiento transfronterizo de las firmas certificadas en la Comunidad Europea;
- normas comunes en materia de responsabilidad para fomentar la confianza, tanto entre los consumidores que utilizan los certificados como entre los proveedores de servicios;
- mecanismos de cooperación para facilitar el reconocimiento transfronterizo de las firmas y certificados en las relaciones con terceros países.
La Directiva define nuevos conceptos:
- la firma electrónica, los datos en forma electrónica anejos a otros datos electrónicos o asociados de manera lógica con ellos, utilizados como medio de autentificación.
- la «Firma electrónica avanzada», esto es, la firma electrónica que cumple los requisitos siguientes:
- estar vinculada al firmante de manera única;
- permitir la identificación del firmante;
- haber sido creada utilizando medios que el firmante puede mantener bajo su exclusivo control;
- estar vinculada a los datos a que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable.
-
el «Certificado reconocido», que debe constar de lo siguiente:
- la indicación de que el certificado se expide como certificado reconocido;
- la identificación del proveedor de servicios de certificación;
- el nombre y los apellidos del firmante;
- un atributo específico del firmante, en caso de que fuera significativo en función de la finalidad del certificado;
- los datos de verificación de firma que correspondan a los datos de creación de firma bajo control del firmante;
- una indicación relativa al comienzo y fin del período de validez del certificado;
- el código identificativo del certificado;
- la firma electrónica avanzada del proveedor de servicios de certificación que expide el certificado.
Los proveedores de servicios de certificación que cumplan determinados requisitos contemplados en la Directiva pueden proporcionar también certificados.
Acceso al mercado
Los Estados miembros no deben supeditar la prestación de servicios de certificación a ninguna autorización previa.
Los Estados miembros pueden establecer o mantener sistemas voluntarios de acreditación destinados a mejorar los niveles de provisión de servicios de certificación.
Los Estados miembros no podrán limitar el número de proveedores de servicios de certificación acreditados amparándose en esta Directiva.
Los Estados miembros pueden supeditar el uso de la firma electrónica en el sector público a posibles prescripciones adicionales.
Los Estados miembros no podrán restringir la prestación de servicios de certificación en los ámbitos regulados por esta Directiva que procedan de otro Estado miembro.
Efectos jurídicos de la firma electrónica
La principal disposición de la Directiva establece que una firma electrónica avanzada, basada en un certificado reconocido y creada por un dispositivo seguro de creación de firma, satisface el requisito jurídico de las firmas en relación con los datos en forma electrónica del mismo modo que una firma manuscrita satisface dichos requisitos en relación con los datos en papel (por comodidad, esta firma suele denominarse «firma reconocida». La Directiva la describe pero no facilita su definición). Asimismo, es admitida como prueba en procedimientos judiciales.
Además, una firma electrónica no puede ser rechazada jurídicamente por el mero hecho de que:
- ésta se presente en forma electrónica;
- no se base en un certificado reconocido;
- no se base en un certificado expedido por un proveedor de servicios de certificación acreditado;
- no esté creada por un dispositivo seguro de creación de firma.
Responsabilidad
Los Estados miembros velarán por que el proveedor de servicios de certificación que expida un certificado reconocido sea responsable, ante cualquier persona que de buena fe confíe en el certificado, a efectos de:
- la veracidad de toda la información contenida en el certificado reconocido;
- la conformidad con todas las prescripciones de la Directiva por lo que se refiere a la expedición del certificado reconocido;
- la garantía de que, en el momento de la expedición del certificado reconocido, obraba en poder del titular identificado en el mismo el dispositivo de creación de firma correspondiente al dispositivo de verificación dado o identificado en el certificado;
- la garantía de que, en caso de que el proveedor de servicios de certificación genere los dispositivos de creación y de verificación de firma, ambos funcionan conjunta y complementariamente.
El proveedor de servicios de certificación no debe responder de los daños y perjuicios causados por el uso de un certificado reconocido que exceda de los límites indicados en el mismo.
Aspectos internacionales
Los Estados miembros velarán por que se aplique el reconocimiento mutuo jurídico de los certificados reconocidos y de las firmas electrónicas avanzadas en los países terceros si se cumplen determinadas condiciones de fiabilidad. La Comisión podrá presentar propuestas para garantizar el cumplimiento efectivo de normas y acuerdos internacionales.
Protección de datos
Los Estados miembros velarán por que los proveedores de servicios de certificación y los organismos nacionales competentes en materia de acreditación y supervisión cumplan lo establecido en las Directivas 95/46/CE y 97/66/CE sobre la protección de los datos personales.
Referencias
| Acto | Entrada en vigor | Plazo de transposición en los Estados miembros | Diario Oficial |
|---|---|---|---|
|
Directiva 1999/93/CE |
19.1.2000 |
19.7.2001 |
DO L 13 de 19.1.2000 |
Las modificaciones y correcciones sucesivas de la Directiva 1999/93/CE se han integrado en el texto de base. Esta versión consolidada tiene un valor meramente documental.
Actos Conexos
Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones, «Plan de acción sobre la firma electrónica y la identificación electrónica para facilitar la prestación de servicios públicos transfronterizos en el mercado único» [COM(2008) 798 final – no publicada en el Diario Oficial].
A través de esta Comunicación, la Comisión propone un plan de acción cuyo objeto es ayudar a los Estados miembros a aplicar soluciones de firma y de identificación electrónicas mutuamente reconocidas e interoperables, a fin de facilitar la prestación de servicios públicos transfronterizos en un contexto electrónico. Es indispensable conseguir este objetivo para evitar la fragmentación del mercado único.
Este plan se articula en torno a tres ejes:
- acciones concretas para mejorar a corto plazo la interoperabilidad de las firmas electrónicas reconocidas y de las firmas avanzadas, que clarificarán el marco normativo y reforzarán la confianza hacia los proveedores de servicios de certificación establecidos en un país distinto.
- acciones a medio plazo en favor de la interoperabilidad de la firma electrónica avanzada, en particular, en relación con la comprobación fácil de una firma recibida procedente de otro país.
- acciones a medio plazo orientadas a conseguir la interoperabilidad de la identificación electrónica.
Informe de la Comisión de 15 de marzo de 2006 sobre la aplicación de la Directiva 1999/93/CE por la que se establece un marco comunitario para la firma electrónica [COM (2006) 120 final – no publicado en el Diario Oficial].
El informe indica que los Estados miembros de la UE han aplicado los principios generales de la Directiva.
La Comisión señala que la transposición de la Directiva en el Derecho nacional de los Estados miembros ha permitido satisfacer la necesidad de reconocimiento jurídico de la firma electrónica. Asimismo, considera que se han alcanzado los objetivos de la Directiva y que no hace falta revisarla en este momento. No obstante, la Comisión prevé consultar a los Estados miembros y a las partes interesadas con el fin de estudiar una serie de cuestiones, en particular, sobre los problemas de interoperabililidad, los aspectos técnicos y la normalización.
Decisión 2003/511/CE de la Comisión de 14 de julio de 2003 relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo [Diario OficialL 175 de 15.7.2003].
Esta Decisión cita las referencias de tres “normas que gozan de reconocimiento general” para los productos de firma electrónica que conceden la presunción de conformidad a la firma electrónica reconocida.
Decisión 2000/709/CE de la Comisión de 6 de noviembre de 2000 relativa a los criterios mínimos que deben tener en cuenta los Estados miembros para designar organismos de conformidad con el apartado 4 del artículo 3 de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo por la que se establece un marco comunitario para la firma electrónica [Diario OficialL 289 de 16.11.2000].
Esta decisión establece los criterios mínimos que deben tener en cuenta los Estados miembros para designar los organismos nacionales encargados de evaluar la conformidad de los dispositivos seguros de creación de firmas.