Javier Carbayo ECIX

“La Unión ofrecerá a sus ciudadanos un espacio de libertad, seguridad y justicia sin fronteras interiores” 

Tratado de la Unión Europea

Por Francisco Javier Carbayo, Asociado Senior del Área de Governance, Risks and Compliance de Ecix

El comercio electrónico (B2B, B2C, C2C, B2M, M2M…), las redes sociales y en general las relaciones telemáticas, han tenido, tienen y tendrán seguro, importantes retos a los que responder. Entre ellos está el de cómo afrontar el hecho de que se desarrollan en un espacio diferente al espacio físico, como es el ciberespacio, en cual el concepto de frontera pierde gran parte, si no todo, de su contenido tradicional.

Definir y establecer una regulación que responda a una realidad virtual y sin fronteras, sin menoscabar los derechos de los ciudadanos y sin barrenar la soberanía de los estados, es un reto importante.

Pero es que ese reto choca además con otro de los retos fundamentales del ciberespacio, que es la capacidad, siempre o al menos cuando se considere imprescindible, de identificar  a las partes de una conversación digital, de una contratación electrónica o, en sentido amplio, de una relación virtual.

Una solución para este último reto es la firma electrónica (siempre que, simplificando, reúna los requisitos de autenticidad, integridad y no repudio), ya que tiene incorporado a su ADN la virtualidad de identificar a su titular. Hablamos, lógicamente de aquellas firmas electrónicas basados en certificados suficientemente robustos en el proceso de identificación del titular previa la emisión del certificado, ante la propia Autoridad de Certificación o ante una Autoridad de Registro adecuada.

Sin embargo, las bondades de la firma electrónica para su expansión por el mundo virtual, no han evitado que su “travesía del desierto” hacia el éxito de una utilización masiva, habitual y rutinaria se vea frenada, entre otras variadas razones, por un hecho claro. Y es que en Europa la normativa sobre Firma electrónica, es diversa, en buena medida heterogénea y en cierta medida “localista”, aunque toda ella parta (se supone) de la Directiva 1999/99/CE. Y por “localista” me refiero al hecho de que define y regula la firma electrónica…, para un país. Para ejemplo, España, donde la Ley 59/2003, que aplica a “…a los prestadores de servicios de certificación establecidos en España y a los servicios de certificación que los prestadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.”

En consecuencia, el “espacio de libertad, seguridad y justicia sin fronteras interiores” del que habla el Tratado de la Unión Europea, y el ciberespacio sin fronteras físicas que tanto se predica y que parecía que podían entenderse, no sin problema pero sí con cierta facilidad, encuentran un muro entre ellos en certificados de firma electrónica que pierden todo valor más allá de una frontera física.

Como muestra, tenemos el caso de nuestro DNI electrónico, un magnífico ejemplo de firma electrónica reconocida (al menos en el concepto que de la misma tiene la Ley 59/2003…), fruto de un esfuerzo enorme, en manos de (casi) todos los españoles (difícilmente habrá un índice de penetración mayor para otras firmas electrónicas), pero cuyas cifras de uso son ínfimas y que además pierde cualquier capacidad de uso más allá de nuestras fronteras.

¿Nos encontramos ante una situación superable? Debería ser que sí, por ejemplo a través de propuestas de identidad federada o reconocimiento de certificados entre Autoridades de Certificación de diferentes.

Sin embargo, ¿no sería bueno que pudiéramos tener un marco jurídico cuyo ámbito geográfico, sino global, sí que diera un salto más allá de la situación de “país por país”? Sin duda sería muy interesante y útil para multitud de situaciones reales. Pensemos por ejemplo en la empresa con un elevado de proveedores fuera de España que quiere establecer un sistema de e-procurement en que todos ellos utilicen certificados de firma electrónica…, ¿de qué entidad?, ¿con qué características?, ¿cómo se puede comprobar su adecuación a la normativa aplicable?, ¿cuál es ésta, la española, la del país del proveedor, la de la ubicación de su centro administrativo? Muchas preguntas que exigen, para su respuesta, un esfuerzo elevado y asumir un cierto grado de indeterminación, y por tanto riesgo, complicado de asimilar.

Entonces, ¿cabe que nos planteemos otra serie de “medidas de choque” contra esta situación? Parece que ese ha sido el planteamiento en el ámbito de la Unión Europea a la hora de trabajar en la, ya muy avanzada, Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior que se puede encontrar en http://goo.gl/YAfsKH y conocido como Reglamento eIDAS.

Esta Propuesta, en su estado actual, regula diferentes servicios, es decir, no sólo la Firma electrónica, y que son en esencia:

  1. Firma electrónica
  2. Sello electrónico
  3. Marca de tiempo electrónica (sellado de tiempo o timestamp)
  4. Documento electrónico
  5. Entrega electrónica
  6. Autenticación de sitio web

Neelie Kroes indicó hace unas semanas que “La adopción del presente Reglamento sobre la identificación electrónica es un paso fundamental hacia la realización del mercado único digital. Este acuerdo impulsará la confianza y la comodidad en las transacciones electrónicas intersectoriales tranfronterizas”.

El Reglamento debería ser aprobado formalmente por el Parlamento Europeo en la sesión plenaria de abril y por el Consejo de Ministros en junio. Si esto fuera así, se prevé su entrada en vigor y aplicación directa en toda la UE a partir del 1 de julio de 2014. Se trata de que los servicios de confianza digital puedan superar las fronteras físicas, logrando el mismo valor jurídicos que los procesos que ahora se desarrollan en papel.

Esperamos que las intenciones se conviertan en hechos lo antes posible, y que la travesía del desierto que antes comentaba, si no finalice (están los retos de la usabilidad, de la firma electrónica en los móviles, de la protección de los propios certificados, de la lucha contra el fraude…), sí encuentre un oasis en que recalar y encontrar fuerzas renovadas en base a un marco jurídico único (al menos) en la UE.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.