La firma electrónica en la UE

Esta Directiva establece el marco jurídico europeo de la firma electrónica y el reconocimiento de los proveedores de servicios de certificación, con el fin de:

—	facilitar la utilización de la firma electrónica, y

—	contribuir a su reconocimiento jurídico en todos los países de la Unión Europea (UE).

ACTO

Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco común para la firma electrónica.

SÍNTESIS

Esta Directiva establece los criterios para el reconocimiento jurídico de las firmas electrónicas. Se centra en la regulación de los proveedores de servicios de certificación y establece:

—	requisitos comunes de los proveedores de servicios de certificación, para garantizar el reconocimiento transfronterizo de las firmas electrónicas y los certificados en la Unión Europea (UE);

—	normas comunes en materia de responsabilidad para fomentar la confianza entre los consumidores que utilizan los certificados;

—	mecanismos de cooperación para facilitar el reconocimiento transfronterizo de las firmas electrónicas y los certificados en las relaciones con países de fuera de la UE.

La Directiva define nuevos conceptos:

—	la firma electrónica, los datos en forma electrónica anejos a otros datos electrónicos o asociados de manera lógica con ellos, utilizados como medio de autentificación.

—

la «Firma electrónica avanzada», esto es, la firma electrónica que cumple los requisitos siguientes:

—	estar vinculada al firmante de manera única;

—	permitir la identificación del firmante;

—	haber sido creada utilizando medios que los firmantes pueden mantener bajo su exclusivo control;

—	estar vinculada al documento electrónico que se debe autenticar de modo que cualquier cambio ulterior del documento sea detectable.

—

el «Certificado reconocido», que debe constar de lo siguiente:

—	la indicación de que se expide como certificado reconocido;

—	la identificación del proveedor de servicios de certificación;

—	el nombre del firmante;

—	la posibilidad de incluir un elemento de autenticación adicional, como la fecha de nacimiento, del firmante (en función de la finalidad prevista del certificado);

—	los datos de verificación de firma, que deben corresponder a los datos de creación de firma bajo control del firmante;

—	las fechas de comienzo y fin del período de validez del certificado;

—	el código identificativo del certificado;

—	la firma electrónica avanzada del proveedor de servicios de certificación que expide el certificado.

Los proveedores de servicios de certificación que cumplan determinados requisitos contemplados en la Directiva pueden proporcionar también certificados.

Acceso al mercado

Los países de la UE no deben supeditar la prestación de servicios de certificación a ninguna autorización previa.

Los países de la UE pueden disponer de sistemas propios para fomentar la certificación con características mejoradas. Estos no pueden limitar el número de proveedores de servicios de certificación acreditados ni restringir la prestación de servicios de certificación que procedan de otro país de la UE.

Los países de la UE pueden supeditar el uso de la firma electrónica en el sector público a posibles prescripciones adicionales, que deben ser objetivas, transparentes, proporcionadas y no discriminatorias.

Efectos jurídicos de la firma electrónica

Una firma electrónica avanzada, basada en un certificado reconocido, satisface el requisito jurídico de las firmas en relación con los datos en forma electrónica del mismo modo que una firma manuscrita satisface dichos requisitos en relación con los datos en papel. [Por comodidad, esta firma puede denominarse «firma reconocida». Aunque la Directiva la describe, no facilita su definición.] Asimismo, es admitida como prueba en procedimientos judiciales.

Una firma electrónica no puede ser rechazada jurídicamente como prueba en procedimientos judiciales por el mero hecho de que:

—	esta se presente en forma electrónica;

—	no se base en un certificado reconocido;

—	no esté creada por un dispositivo seguro de creación de firma.

Responsabilidad

Los países de la UE velarán por que el proveedor de servicios de certificación que expida un certificado reconocido asuma determinadas responsabilidades, entre las que se incluyen la responsabilidad por daños ante cualquier persona o entidad que de buena fe confíe en el certificado, a efectos de:

—	la veracidad, en el momento de su expedición, de toda la información contenida en el certificado reconocido;

—	la inclusión en el certificado de toda la información prescrita para los certificados reconocidos en el momento de la expedición del certificado reconocido y el hecho de que el firmante identificado en el mismo es la persona a la cual se expidió.

El proveedor de servicios de certificación puede imponer un valor límite de las transacciones que puedan realizarse con el mismo. Dicho límite debe darse a conocer a terceros. El proveedor no es responsable por los perjuicios que pudieran derivarse del uso de un certificado reconocido que exceda los límites indicados en el mismo.

Aspectos internacionales

Los países de la UE deben velar por que se aplique el reconocimiento mutuo jurídico de los certificados reconocidos y de las firmas electrónicas en los países de fuera de la UE si se cumplen determinadas condiciones de fiabilidad, tales como:

—	que los proveedores de fuera de la UE cumplan los requisitos establecidos en la presente Directiva y estén acreditados en el sistema voluntario de acreditación de un país de la UE; o

—	que un proveedor de la UE que cumpla los requisitos de la Directiva pueda avalar certificados de proveedores de fuera de la UE en la misma medida que sus propios certificados.

La Comisión Europea podrá presentar propuestas para garantizar el cumplimiento efectivo de normas y acuerdos internacionales.

Protección de datos

Los países de la UE velarán por que los proveedores de servicios de certificación y los organismos nacionales competentes en materia de acreditación y supervisión cumplan lo establecido en la Directiva 95/46/CE sobre la protección de los datos personales.

Adopción de un nuevo Reglamento sobre identificación electrónica y servicios de confianza (eIDAS)

El Reglamento eIDAS [Reglamento (UE) no910/2014] fue adoptado en 2014, está en vigor desde el 17.9.2014 y es aplicable a partir del 1.7.2016, a excepción de algunas disposiciones indicadas en su artículo 52. El Reglamento (UE) no 910/2014 deroga la Directiva 1999/93/CE, con efecto a partir del 30.6.2016.

Para obtener más información, véase el sitio web sobre servicios fiduciarios de la Agenda Digital para Europa de la Comisión Europea.

REFERENCIAS

Acto	Entrada en vigor	Plazo de transposición en los Estados miembros	Diario Oficial
Directiva 1999/93/CE	19.1.2000	18.7.2001	DO L 13 de 19.1.2000, pp. 12-20

Las modificaciones y correcciones sucesivas de la Directiva 1999/93/CE se han integrado en el texto de base. Esta versión consolidada tiene un valor meramente documental.

ACTOS CONEXOS

Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones, «Plan de acción sobre la firma electrónica y la identificación electrónica para facilitar la prestación de servicios públicos transfronterizos en el mercado único» (COM(2008) 798 final de 28.11.2008).

A través de esta Comunicación, la Comisión propone un plan de acción cuyo objeto es ayudar a los países de la UE a aplicar soluciones de firma y de identificación electrónicas mutuamente reconocidas e interoperables, a fin de facilitar la prestación de servicios públicos transfronterizos en un contexto electrónico. Es indispensable conseguir este objetivo para evitar la fragmentación del mercado único.

Las medidas de este plan se dividen en dos partes:

—	acciones concretas para mejorar la interoperabilidad transfronteriza de las firmas electrónicas reconocidas y de las firmas electrónicas avanzadas basadas en certificados cualificados;

—	acciones para mejorar la interoperabilidad transfronteriza de la identidad electrónica.

Informe de la Comisión al Parlamento Europeo y al Consejo sobre la aplicación de la Directiva 1999/93/CE por la que se establece un marco comunitario para la firma electrónica (COM(2006) 120 final de 15 de marzo de 2006).

El informe indica que los países de la UE han aplicado los principios generales de la Directiva.

La Comisión señala que la transposición de la Directiva en el Derecho nacional de los países de la UE ha permitido satisfacer la necesidad de reconocimiento jurídico de las firmas electrónicas. Asimismo, considera que se han alcanzado los objetivos de la Directiva y que no hace falta revisarla en este momento. No obstante, la Comisión prevé consultar a los países de la UE y a las partes interesadas con el fin de estudiar una serie de cuestiones, en particular, sobre los problemas de interoperabilidad, los aspectos técnicos y la normalización.

Decisión 2003/511/CE de la Comisión de 14 de julio de 2003 relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo (Diario Oficial L 175 de 15.7.2003, pp. 45-46).

Esta Decisión cita las referencias de tres «normas que gozan de reconocimiento general» para los productos de firma electrónica que conceden la presunción de conformidad a la firma electrónica reconocida.

Decisión 2000/709/CE de la Comisión de 6 de noviembre de 2000 relativa a los criterios mínimos que deben tener en cuenta los Estados miembros para designar organismos de conformidad con el apartado 4 del artículo 3 de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo por la que se establece un marco comunitario para la firma electrónica (Diario Oficial L 289 de 16.11.2000, pp. 42-43).

Esta decisión establece los criterios mínimos que deben tener en cuenta los países de la UE para designar los organismos nacionales encargados de evaluar la conformidad de los dispositivos seguros de creación de firmas.

Última modificación: 09.01.2015