Dictamen del Comité Económico y Social sobre la «Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco común para la firma electrónica»

(1999/C 40/10)

El 30 de julio de 1998, de conformidad con el artículo 100 A del Tratado constitutivo de la Comunidad Europea, el Consejo decidió consultar al Comité Económico y Social sobre la propuesta mencionada.

La Sección de Mercado Único, Producción y Consumo, encargada de preparar los trabajos en este asunto, aprobó su dictamen el 28 de octubre de 1998 (ponente: Sr. Burani).

En su 359° Pleno de los días 2 y 3 de diciembre de 1998 (sesión del 2 de diciembre) el Comité Económico y Social ha aprobado por unanimidad el presente Dictamen.

1. Introducción

1.1. La iniciativa de la Comisión de presentar una propuesta de Directiva sobre el marco normativo y jurídico de la firma electrónica constituye la consecuencia concreta de la Comunicación «El fomento de la seguridad y la confianza en la comunicación electrónica - Hacia un marco europeo para la firma digital y el cifrado» ().

1.2. En su Comunicación, la Comisión destaca la aparición de una situación que requiere la atención de las autoridades europeas: determinados Estados miembros han adoptado, o están adoptando, enfoques diferentes en la reglamentación de la firma electrónica. La ausencia de reconocimiento mutuo puede provocar una fragmentación del mercado interior del comercio electrónico y de los servicios en línea en la Unión Europea. Es, pues, urgente definir un marco común que respete dos requisitos principales: la creación de un marco jurídico preciso y una flexibilidad suficiente para evitar enmarcar esta materia en sistemas que no respondan a la continua evolución de la técnica.

1.3. El Comité Económico y Social suscribió las consideraciones de la Comisión () y avanzó propuestas para una reglamentación respetuosa de los principios de autorregulación y subsidiariedad dentro de los límites bien precisos de una legislación común mínima. En sus observaciones sobre la Comunicación posterior de la Comisión «La mundialización y la sociedad de la información - Necesidad de reforzar la coordinación internacional» (), el Comité destacaba también que la armonización del marco jurídico europeo con el resto del mundo -necesaria si se quiere garantizar la seguridad del comercio electrónico que, por su naturaleza, no conoce fronteras- avanza con demasiada lentitud, como consecuencia de una pluralidad de iniciativas no coordinadas.

1.4. La decisión de la Comisión de presentar una propuesta de Directiva constituye una iniciativa que va en el sentido deseable, sobre todo porque dicha propuesta tiene en cuenta la flexibilidad necesaria para una coordinación internacional.

2. Observaciones generales

2.1. La firma electrónica permite al receptor de los datos transmitidos electrónicamente verificar su origen (autenticidad) y comprobar que están completos y no han sufrido alteración (integridad). La verificación de la autenticidad y la integridad de los datos no prueba necesariamente la identidad del autor de la firma electrónica; de ahí la necesidad de una confirmación por terceros, llamados «proveedores de servicios de certificación». La utilización del sistema de certificación de la firma es, por lo tanto, un medio indispensable para garantizar la seguridad de las partes e infundir confianza en el comercio electrónico.

2.2. Con el fin de garantizar el reconocimiento mutuo de los principios de seguridad jurídica básica para la certificación de la firma electrónica, la Comisión se ha inspirado en conceptos coherentes, a la vista de la evolución continua de la situación:

- la normativa, neutra desde el punto de vista técnico, está abierta a otros medios de autenticación distintos de la criptografía de clave pública; se ha tenido en cuenta la posibilidad de que aparezcan nuevos sistemas;

- los Estados miembros deberían evitar adoptar sistemas de autorización previa de los proveedores de servicios de certificación; por otra parte, podría ser útil adoptar sistemas voluntarios de acreditación;

- la Directiva sólo se refiere a la firma electrónica de los mensajes intercambiados en redes abiertas; por lo que se refiere a las redes cerradas, corresponderá a cada proveedor ajustarse o no;

- la necesidad de garantizar el reconocimiento jurídico de la firma electrónica supone que se precisen los requisitos esenciales y la responsabilidad de los proveedores de servicios.

2.3. El Comité suscribe este enfoque general, inspirado en los principios de un mercado libre. Sin embargo, considera que la protección de los usuarios no ha sido objeto de una atención suficiente. Se reserva, por lo tanto, el derecho a expresar algunas observaciones o sugerencias en el transcurso del análisis del documento de la Comisión.

2.4. Por lo que se refiere a la inserción de la normativa europea en un contexto mundial, la Comisión destaca que «tienen lugar actualmente múltiples actividades y debates» (); y cita, entre otras, las iniciativas de la CNUDCI, la OCDE y la OMC. Como el Comité ya ha señalado (), estas iniciativas -en sí encomiables- ponen de manifiesto que exist de tareas entre las instituciones y de duplicaciones -o, peor aún, de contradicciones- entre las distintas normativas. En definitiva, todo ello se traduce en lentitud burocrática, retrasos y costes para el contribuyente. El Comité observa y lamenta que, en su afán por querer resolver rápidamente todos los aspectos, las instituciones mundiales están consiguiendo el efecto opuesto, con la consiguiente confusión e incertidumbre.

3. Observaciones específicas sobre la propuesta de Directiva

3.1. Artículo 1

La Directiva tiene por objeto instituir un marco jurídico para los servicios de certificación accesibles al público, facilitar la utilización de la firma electrónica y garantizar su reconocimiento jurídico. Pero no cubre los aspectos vinculados a la celebración y validez de los contratos. Habida cuenta del texto de este artículo y de las precisiones del décimo «considerando», el alcance de la Directiva se limita a los sistemas abiertos; para los sistemas cerrados, la Comisión deja a las partes la libertad de convenir entre ellas las condiciones de aceptación y reconocimiento de la firma electrónica.

3.1.1. El Comité expresa algunas dudas a este respecto: si, por una parte, este enfoque, que respeta la libertad contractual, es encomiable, por otra, no puede ignorarse que algunos sistemas cerrados están abiertos a un público cada vez más numeroso que no siempre y no necesariamente está informado de las normas de cada sistema. Es cierto que un sistema cerrado dispone siempre de la posibilidad de someterse a las normas de la Directiva, pero el Comité se pregunta si no sería más acertado -en interés de los usuarios y gestores de sistemas cerrados- extender el alcance de la Directiva a los sistemas cerrados abiertos al público.

3.2. Artículo 3, apartados 1 y 2

Los Estados miembros no condicionarán la prestación de servicios de certificación a la obtención de autorización previa, pero podrán introducir o mantener sistemas voluntarios de acreditación sin por ello limitar el número de proveedores de servicios.

3.2.1. El Comité sugiere que se reflexione con atención sobre el alcance de estas disposiciones. La función de certificación proporciona validez no sólo entre las partes, sino también, si fuera necesario, frente a terceros. A la vez que se mantiene la «voluntariedad» de la solicitud de autorización, se debería prever, como se precisará más adelante, la posibilidad de establecer una neta distinción entre los actos certificados por proveedores acreditados y no acreditados. El apartado 2 del artículo 5 debería estipular con precisión que la firma electrónica, admitida como prueba a efectos procesales (procedimientos judiciales y extrajudiciales), sólo tendrá validez frente a terceros cuando se base en un certificado extendido por un proveedor acreditado.

3.2.2. La situación actual no presenta motivos particulares de preocupación; no obstante, una legislación no puede hacer caso omiso de los imprevisibles avances en el futuro: los escasos y reconocidos proveedores actuales podrían multiplicarse como consecuencia de una posible «banalización» de las técnicas de autenticación. Si bien es aceptable que el número de certificadores no esté limitado, no es, en cambio, deseable que estén exentos de control previo y de acreditación. En interés de los usuarios y de terceros, parece, pues, necesario establecer que los «requisitos de los proveedores de servicios de certificación» enumerados en el anexo II estén controlados por una autoridad pública cuando estos proveedores actúen en sistemas abiertos o en sistemas cerrados abiertos al público.

3.2.3. La acreditación de los proveedores por parte de las autoridades públicas debería basarse en el cumplimiento de los requisitos previstos en el anexo II. Esta condición es necesaria pero no suficiente; es necesario también garantizar que estos requisitos sigan respetándose, prescribiendo una supervisión periódica. Las autoridades públicas no pueden eludir sus responsabilidades: una vez adoptada una normativa, deben garantizar su respeto.

3.3. Apartado 4 del artículo 3

Esta disposición reconoce a los Estados miembros la posibilidad de supeditar el uso de la firma electrónica en el sector público a prescripciones adicionales.

3.3.1. El Comité está de acuerdo con esta disposición, pero se pregunta si no convendría ir más lejos, imponiendo la aceptación de la firma electrónica en el sector público de los Estados miembros que reconocen su validez en el sector privado. Si las autoridades públicas -que tienen la obligación de garantizar la seguridad de los dispositivos jurídicos y de proteger a sus ciudadanos- asumen la responsabilidad de reconocer la validez jurídica de una firma electrónica en los actos celebrados entre particulares, no se comprende por qué no debiera adoptarse la misma actitud ante los actos celebrados con la Administración pública, eventualmente introduciendo «prescripciones adicionales».

3.4. Artículo 4

En materia de respeto a las normas del mercado interior, este artículo establece que los Estados miembros no podrán imponer restricciones al suministro de servicios de certificación procedente de otros Estados miembros.

3.4.1. El Comité observa que esta norma es ciertamente coherente con los principios del mercado interior, pero considera que no protege al público contra la prestación de servicios por operadores no acreditados de otros Estados miembros. Si ya es de por sí difícil que un usuario distinga entre operadores acreditados y no acreditados de su propio país, la dificultad aumenta cuando el proveedor reside en un tercer país. Existe en este caso una analogía evidente con el enfoque adoptado en la Segunda Directiva bancaria: la libertad de prestación de servicios se aplica solamente a las instituciones sujetas a la Directiva. Para las restantes instituciones, la prestación de servicios (financieros) permanece limitada al país de origen.

3.4.2. En el caso que nos ocupa, dada la libertad de circulación de los productos de firma electrónica, su admisibilidad en los procedimientos judiciales y extrajudiciales únicamente debería reconocerse cuando la certificación esté extendida por un organismo acreditado.

3.5. Artículo 5

Los Estados miembros deberán introducir en su legislación normas que hagan imposible impugnar la fuerza ejecutiva, los efectos o la validez jurídica de una firma electrónica por la única razón de que ésta se presente bajo forma electrónica o no esté basada en un certificado acreditado. Por otra parte, deberán velar por que las firmas certificadas por un proveedor acreditado tengan el mismo valor jurídico que las firmas manuscritas y que se admitan como prueba a efectos procesales.

3.5.1. El Comité llama la atención de la Comisión sobre una consideración que debería reforzar la validez de las observaciones formuladas en los puntos 3.4.1 y 3.4.2: la única diferencia entre la firma certificada por un operador acreditado y la de uno no acreditado reside en el valor probatorio de la certificación. A este respecto, el apartado 2 del artículo 5 adolece de falta de claridad y convendría revisarlo. Según el texto, los Estados miembros deberían admitir como prueba a efectos procesales los certificados expedidos por un proveedor «que cumpla lo prescrito en el anexo II». Tal formulación da a entender que cualquier proveedor, a partir del momento en que satisface los requisitos previstos en el anexo II, puede expedir certificados dotados de validez jurídica. Si tal no es el caso, el texto actual debe ser sustituido por la fórmula inequívoca «proveedor acreditado».

3.5.2. Por otro lado -y en paralelo a las observaciones formuladas en el punto 3.4.2- la propuesta nada dice sobre el valor probatorio de un certificado expedido por un operador acreditado en un tercer país. También aquí la Directiva debería contener disposiciones precisas. Por su parte, el Comité propone que un certificado de este tipo se admita siempre y cuando el tercer país conceda condiciones de reciprocidad a los certificados de residentes de la Unión Europea.

3.6. Artículo 6

En materia de responsabilidad, este artículo prescribe una serie de obligaciones al proveedor de servicios de certificación: veracidad de las informaciones, conformidad con los requisitos de la Directiva y verificación de los requisitos técnicos y tecnológicos de idoneidad del titular y del certificador. Asimismo, establece las exenciones de responsabilidad admitidas en el caso de errores contenidos en las informaciones originales y la posibilidad de establecer límites a la certificación, tanto en cuanto a su utilización como al importe certificado.

3.6.1. El Comité considera que las disposiciones de este artículo se ajustan a los principios generales del derecho y de la libertad contractual. Al mismo tiempo, desea expresar una reflexión, o más bien una interrogación: en caso de interrupción o cese del servicio por el proveedor de servicios de certificación, ¿cuáles son las responsabilidades de éste y qué garantías asisten al usuario? Convendría que existiera un sistema que garantice la continuidad de la protección de los derechos del usuario, por ejemplo, por medio de la obligación de depositar una copia de los ficheros informáticos (backup files) ante terceros con determinadas garantías.

3.7. Apartado 1 del artículo 7

En este artículo se recogen las condiciones impuestas a los proveedores que residan en terceros países. Los certificados que éstos proporcionen se reconocerán como jurídicamente equivalentes a los certificados europeos si el proveedor se halla acreditado en un Estado miembro, en el marco del régimen voluntario de acreditación que exista en ese país; o bien, si el certificado lo garantiza un proveedor establecido en un Estado miembro; o también si el certificado o el proveedor están reconocidos en el marco de un acuerdo bilateral o multilateral entre la Comunidad Europea y terceros países u organismos internacionales.

3.7.1. El Comité manifiesta su desacuerdo global con esta disposición. En nombre de la libertad de circulación, se ignoran los principios de reciprocidad que deberían ser la base de una integración global del comercio, no sólo electrónico. Las orientaciones expuestas en este apartado -en particular aquellas relativas a la acreditación en un país miembro de un proveedor extranjero y a la garantía otorgada por un proveedor europeo a un certificado extendido por un tercer país- son aceptables a condición de que el tercer país dispense un tratamiento similar o equivalente a los proveedores o a los certificados procedentes del conjunto de los Estados miembros.

3.7.2. Por lo que se refiere al reconocimiento de un certificado o de un proveedor de un tercer país sobre la base de un acuerdo bilateral con un Estado miembro, el Comité observa que la adopción de este principio equivale a introducir distorsiones de la competencia entre los Estados miembros, y más concretamente entre los países dotados de normativas más «liberales» y los restantes. La libre circulación de servicios no puede utilizarse como caballo de Troya para introducir operadores o productos de terceros países en la Unión Europea por medio de un acuerdo bilateral con un único país miembro.

3.7.3. No es de recibo, para defender la tesis opuesta, invocar algunos precedentes, como el de la Segunda Directiva bancaria. En este caso, el país de acogida ejerce una vigilancia continua y garantiza la solidez y solvencia de la empresa del tercer país, que debe en cualquier caso estar físicamente presente en su territorio; estas condiciones están lejos de satisfacerse en el caso de las garantías relativas a la firma electrónica.

3.8. Artículo 8

Las normas recogidas en este artículo no sugieren observaciones específicas, salvo las del apartado 4 relativos a la utilización de seudónimos. El proveedor del servicio debe poder transmitir los datos relativos a la identidad del titular del seudónimo a las autoridades públicas que lo soliciten, con el consentimiento previo del propio titular. Además, la Directiva no da respuesta a la cuestión de cuál sería la posición del proveedor en el caso de que el titular se negase a que su identidad se revelara a las autoridades.

3.8.1. La segunda parte del mismo apartado suscita otras dudas. En los casos en que la legislación nacional exija -a efectos de una investigación sobre supuestas infracciones en la utilización de la firma electrónica bajo un seudónimo- que el proveedor transmita los datos que revelan la identidad de su titular, éste no será informado de esta transmisión hasta después de finalizada la investigación.

3.8.2. El Comité se pregunta si es oportuno entrar en estos detalles. Una vez concluida la investigación, el interesado ya sabrá que sus datos han sido revelados; por consiguiente, esta disposición parece inútil. El Comité destaca, por otra parte, que cuando se habla de «legislación nacional», convendría especificar claramente de qué legislación nacional se trata: de la del país del proveedor de servicios -como es de suponer- o la del país del titular del seudónimo (suponiendo que se conozca), o también de la autoridad de otro país miembro. Dado que nos encontramos -obvia, aunque no explícitamente- en el ámbito de la lucha contra la criminalidad, la Directiva debería ser más precisa por lo que se refiere a los procedimientos que deben seguirse los derechos y deberes del proveedor de servicios.

3.8.3. En última instancia, el CES se pregunta si no sería necesario revisar todo el texto de este artículo y prever la aplicación integral de las disposiciones contenidas en las directivas para la protección de los datos personales y contra el blanqueo de capitales. En definitiva, en este ámbito no existen diferencias entre las transacciones sobre papel y las transacciones electrónicas.

3.9. Artículos 9 y 10

Estos artículos prevén la constitución de un «Comité de Firma Electrónica» compuesto por representantes de los Estados miembros y presidido por la Comisión. Dicho Comité será consultado sobre los requisitos aplicables a los proveedores de servicios y sobre las normas de amplia aceptación para los productos de firma electrónica. Asimismo, será informado por la Comisión de los resultados de los encuentros periódicos entre ésta y las empresas, los usuarios y los consumidores.

3.9.1. El Comité toma nota de esta iniciativa, pero se pregunta si es realmente necesario instituir un Comité mientras que la propia Comisión, en el marco de sus funciones institucionales, podría fácilmente consultar a los Estados miembros y partes interesadas sin necesidad de una instancia intermedia que, en definitiva, no es más que un duplicado de las competencias de la Comisión. Se trata, sobre todo, de un procedimiento normal en la Comisión, y el CES no ve la necesidad de un incremento burocrático que no aportaría nada en términos de eficacia.

3.10. Artículos 12 y 13

Las disposiciones de estos dos artículos -cuyo orden parece invertido en términos de secuencia temporal y lógica- prevén que los Estados miembros adopten la Directiva antes del 31 de diciembre del 2000, y que la Comisión rinda cuenta por primera vez de su aplicación efectiva al Parlamento Europeo y al Consejo antes del 31 de diciembre del 2002. El Comité ha destacado en más de una ocasión () la necesidad urgente de adoptar una legislación uniforme en el extenso ámbito de la sociedad de la información, y se pregunta si es realmente necesario conceder tanto tiempo a los Estados miembros para adoptar la Directiva, toda vez que varios de ellos han demostrado una gran diligencia en la adopción, en plazos muy breves, de su propia legislación. La introducción de medidas de armonización -poco numerosas en verdad- no debería requerir esfuerzos excesivos ni largos plazos a los legisladores nacionales. El Comité considera que un período de un año a partir de la fecha de adopción de la Directiva es un plazo suficiente para introducir las posibles -y modestas- modificaciones en las legislaciones vigentes o para redactar nuevos textos.

Bruselas, el 2 de diciembre de 1998.

La Presidenta del Comité Económico y Social

Beatrice RANGONI MACHIAVELLI

() COM(97) 503 final, 8.10.1997.

() DO C 157 de 25.5.1998.

() DO C 284 de 14.9.1998.

() COM(1998) 297 final, punto 7.

() DO C 284 de 14.9.1998; DO C 157 de 25.5.1998; DO C 19 de 21.1.1998.