Panorama internacional de la firma electrónica

Argentina (El 17 de marzo de 1997, el Sub-Comité de Criptografía y Firma Digital, dependiente de la Secretaría de la Función Pública, emitió la Resolución 45/97 -firma digital en la Administración Pública- el 14/12/2001 Ley de Rrma Digital para la República Argentina 25/506.

Bélgica: Loi fixant certaines regles relatives au cadre juridiqe pour les signatures électroniques et les services de certification (Moniteur belgue du 29 septembre 2001). Loi introduisant l’utilisation de mohines de télécommunication et de la signature électronique dans la procédure judiciaire et extrajudiciaire, 20 octobre 2000. Belgisch Staatsblad, 22/12/200. Moniteur Belge.

C.E.E. (Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre, por la que se establece un marco comunitario para la firma electrónica..- Decisión de la Comisión, de 6 de noviembre de 2000, relativa a los criterios mínimos que deben tener en cuenta los Estados miembros para designar organismos de conformidad con el apartado 4 del artículo 3 de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo por la que se establece un marco comunitario para la firma electrónica (2000/709/CE).

Canadá (British Columbia Bill 13-2001, The Electronic Transactions Act).

Colombia (Ley 527 de 1999. Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación)

Chile (2002 Ley sobre documentos electrónicos, firma electrónica y servicios de certificación).

Dinamarca: Act 417 of 31 May 2000 on Electronic Signatures. Bill L 229. Execütive Order on Security Requirements etc. for Certificatión Authorities. Execütive Order N° 923 of 5 October 2000. Execütive Order on Reporting of Information to the National Telecom Agency by Certification Authorities and System Auditors. Execütive Order N° 922 of 5 October 2000.

España (Real Decreto Ley 14/1999 sobre Firmas Electrónicas. Septiembre de 1999, Instrucción sobre el Uso de la Firma Electrónica de los Fedatarios Públicos Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica. -Ley de Servicios de la Sociedad de Información-) El Proyecto de Ley de firma electrónica, de 20 de junio de 20031, ha introducido diversas modificaciones respecto del vigente Real Decreto ley 14/1999 de firma electrónica. Tras su ratificación por el Congreso de los Diputados, se acordó someterlo a una más amplia consulta pública y al posterior debate parlamentario para perfeccionar su texto, entre los puntos mas importantes que considera están: Promoción de Autorregulación de la Industria, Concepto de Firma Electrónica Reconocida, Time stamping, Declaración de prácticas de certificación, Documento Nacional de Identidad Electrónico y el más debatido, Certificados para Personas Morales, un caso distinto a la firma electrónica de los representantes de las personas morales, pues se persigue dar firma a las empresas, no a sus representantes, si bien, evidentemente, con el objeto de que así se pueda distribuir entre sus empleados.

Francia: Décret n° 2001-272 du 30 mars 2001 pris pour I’application de I ‘article 1316-4 du code civil et relatif á la signature électronique. Loi 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de I ‘information et relative á la signature électronique.

Irlanda: Electronic Commerce Act, 2000 (Number 27 of 2000)

Italia (El 15 de marzo de 1997, fue publicado el “Reglamento sobre: Acto, Documento y Contrato en Forma Electrónica” aplicable a las diversas entidades de la Administración Pública, el 15 de abril de 1999 las reglas técnicas sobre firmas digitales y el 23 de enero del 2002 la ley sobre firma electrónica).

Japón f 1/04/2001 Ley sobre firma electrónica y Servicios de Certificación).

Luxemburgo: Règlement grand-ducal du 1er juin 2001 relatif aux signatures électroniques, au paiment électronique et á la création du comité “commerce ” détermination d ‘un e et de la Chambre des métiers.

Panamá (3/08/2001 Ley 43 de Comercio Electrónico).

Portugal: Decree-Law 290-D/99.

Reino Unido: Electronic Communications Act, 2000.

Suecia: Qualified Electronic Signatures Act (FSF 2000:832)

En este trabajo analizaremos la legislación de algunos de los países que consideramos representativos.

Estados Unidos 2

La primera ley en materia de Firma Digital en el Mundo fue la denominada “Utah Digital Signature Act”, publicada en mayo de 1995 en el Estado de UTAH, en Estados Unidos.

Su objetivo es facilitar mediante mensajes electrónicos y firmas digitales las transacciones. Procurar las transacciones seguras y la eliminación de fraudes. Establecer normas uniformes relativas a la autenticación y confiabilidad de los mensajes de datos, en coordinación con otros Estados.

Su ámbito de aplicación son las transacciones mediante mensajes electrónicos, su confiabilidad, así como las firmas digitales.

Esta ley, define a la Firma Digital como la “transformación de un mensaje empleando un criptosistema asimétrico tal, que una persona posea el mensaje inicial y la clave pública del firmante pueda determinar con certeza si la transformación se creó usando la clave privada que corresponde a la clave pública del firmante, y sí el mensaje ha sido modificado desde que se efectuó la transformación.”

Al Criptosistema Asimétrico, como aquel “algoritmo o serie de algoritmos que brindan un par de claves confiable.”

Al Certificado, como aquel registro basado en la computadora que identifica a la autoridad certificante que lo emite; nombra o identifica a quien lo suscribe; contiene la clave pública de quien lo suscribe, y está firmado digitalmente por la autoridad certificante que lo emite.

En cuanto a la Supervisión y al control, estos recaen sobre la División, quien actúa como autoridad certificadora. También formula políticas para la adopción de las tecnologías de firma digital y realiza una labor de supervisión regulatoria.

La emisión de los certificados corre a cargo de la autoridad certificadora que ha sido acreditada

Se equipara el valor probatorio de un mensaje de datos que uno en papel siempre y cuando contenga una firma digital confirmada mediante la clave pública contenida en un certificado que haya sido emitida por una autoridad certificadora

No se contempla el reconocimiento de certificados extranjeros, solo se menciona que la división puede reconocer la autorización emitida por Autoridades Certificadoras de otros Estados.

No contempla sanciones.

ABA: El Comité de Seguridad de la Información, de la División de Comercio Electrónico, de la American Bar Association, emitió, en agosto de 1996, la “Guía de Firmas Digitales”.

NCCSL: El 15 de agosto de 1997, la Conferencia Nacional de Comisionados sobre Derecho Estatal Uniforme, elaboró la “Uniform Electronic Transactions Act” (UETA), la cual se aprobó el 30 de julio de 1999.

El 4 de agosto del 2000 se aprobó la “Uniform Computer Information Transactions Act” (UCITA), la cual se encuentra en proceso de adopción por los diversos Estados de la Unión Americana.

Presidencia: El 30 de junio el 2000 se emite la “Electronic Signatures in Global and National Commerce Act” (E-Sign Act.) vigente a partir del 1 de octubre del 2000 (otorgando a la firma y documento electrónico un estatus legal equivalente a la firma autógrafa y al documento en papel).

Latinoamérica 3:

Colombia 4

En Colombia existe la Ley de Comercio Electrónico en Colombia (Ley 527 de 1999)

Su objetivo es la reglamentación y la definición del acceso y el uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, además del establecimiento de las Entidades de Certificación.

Su ámbito de aplicación es el uso de firmas digitales en mensajes de datos

Define como Firma Digital, al valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje, permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación.

Como Mensaje de Datos a la información generada, enviada, recibida, pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax.

Como Entidad de Certificación a aquella persona que, autorizada conforme a la presente Ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales.

En cuanto a la Supervisión y al control, estas recaen sobre las Entidades de Certificación autorizadas por la Superintendencia de Industria y Comercio.

Se equipara el valor probatorio de un mensaje de datos que uno en papel siempre y cuando contenga lo siguiente:
1. Es única a la persona que la usa.
2. Es susceptible de ser verificada.
3. Está bajo el control exclusivo de la persona que la usa.
4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada.
5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.

Si da Reconocimiento a Certificados Extranjeros

Las sanciones serán impuestas por la Superintendencia de Industria y Comercio de acuerdo con el debido proceso y el derecho de defensa, podrá imponer según la naturaleza y la gravedad de la falta, estas van de la Amonestación a la Revocación de la Autorización.

Perú 5

En Perú existe la Ley No. 27269 Ley de Firmas y Certificados Digitales (2000)

Su Objetivo es utilizar la firma electrónica otorgándole la misma validez y eficacia jurídica que el uso de una firma manuscrita u otra análoga que conlleve manifestación de voluntad.

Su Ámbito de Aplicación son aquellas Firmas electrónicas que, puestas sobre un mensaje de datos puedan vincular e identificar al firmante, y garantizar su integridad y autenticación.

Define como Firma Digital aquella que utiliza una técnica de criptografía asimétrica, basada en el uso de un par de claves único; asociadas una clave privada y una clave pública relacionadas matemáticamente entre sí, de tal forma privada.

Como Certificado Digital a aquel documento electrónico generado y firmado digitalmente por una entidad de certificación, la cual vincula un par de claves con una persona determinada confirmando su identidad.

Por su parte la Entidad de Certificación es aquella que cumple con la función de emitir o cancelar certificados digitales.

Existe una Entidad de Registro o Verificación que es la encargada de recolectar y comprobar la información del solicitante del Certificado, además identifica y autentica al suscriptor de firma digital y acepta y autoriza las solicitudes de emisión y cancelación de certificados digitales.

La Supervisión y el Control, corren a cargo de la autoridad administrativa designada por el Poder Ejecutivo.

Las Entidades de certificación intervienen en la emisión de certificados y pueden asumir las funciones de entidades de registro o verificación.

Las Entidad de Certificación deberán de contar con un Registro.

Esta ley no establece el Valor probatorio de la Firma Electrónica.

Para que un Certificado Extranjero sea reconocido, este debe contar con el aval de una Entidad nacional.

No existen Sanciones

Venezuela 6

Ley sobre Mensajes de Datos y Firmas Electrónicas (2001)

Su Objetivo es otorgar y reconocer eficacia y valor jurídico al mensaje de datos, a la firma electrónica y a toda información inteligible en formato electrónico.

Su Ámbito de Aplicación son los mensajes de datos y firmas electrónicas.

Define a la Firma Electrónica corno aquella información creada o utilizada por el signatario, asociada al mensaje de datos, que permite atribuirle su autoría bajo el contexto en el cual ha sido empleado.

Como Mensajes de Datos a toda información inteligible en formato electrónico o similar que pueda ser almacenada o intercambiada por cualquier medio.

Como órgano de control, existe la Superintendencia de Servicios de Certificación Electrónica, como un servicio autónomo con autonomía presupuestaria, administrativa, financiera y de gestión, en las materias de su competencia, dependiente del Ministerio de Ciencia y Tecnología.

Los Proveedores de Servicios de Certificación, son los que emiten los certificados

La firma tendrá valor probatorio cuando vincule al signatario con el mensaje de datos y se pueda atribuir su autoría.

Cuando los certificados extranjeros estén garantizados por un proveedor de servicios de certificación acreditado, tendrán la misma validez y eficacia jurídica.

Las Sanciones para los proveedores de servicios de certificación van de entre 500 a 2,000 Unidades Tributarias.

España 7

Real Decreto Ley 14/1999, de 17 de septiembre, sobre Firma Electrónica (1999)

Su objetivo es establecer una regulación sobre el uso de firma electrónica, atribuyéndole eficacia jurídica, además de establecer lineamientos para los prestadores de servicios de certificación.

Su Ámbito de Aplicación son las firmas electrónicas, su eficacia jurídica y la prestación al público de servicios de certificación.

Define a la Firma electrónica como un conjunto de datos, en forma electrónica, ajenos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.

Define también a la Firma Electrónica Avanzada como aquella que permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos.

Como certificado aquella certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad.

Como Prestador de Servicios de Certificación a aquella persona física o jurídica que expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica.

La supervisión corre a cargo del Ministerio de Fomento a través de la Secretaría General de Comunicaciones.

Existe un Registro de Prestadores de Servicios de Certificación en el Ministerio de Justicia, en el que se solicita su inscripción antes de iniciar actividades.

Cuando la firma electrónica avanzada esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá Valor probatorio

Para otorgarle Reconocimiento de certificados extranjeros, estos deben cumplir los siguientes requisitos:

a) Que el prestador de servicios reúna los requisitos establecidos en la normativa voluntario establecido en un Estado miembro de la Unión Europea.
b) Que el certificado esté garantizado por un prestador de servicios de la Unión Europea que cumpla los requisitos establecidos en la normativa comunitaria sobre firma electrónica.
c) Que el certificado o el prestador de servicios estén reconocidos en virtud de un acuerdo bilateral o multilateral entre la Comunidad Europea y terceros países u organizaciones internacionales.

Las Sanciones son impuestas conforme a los siguientes parámetros:

a) Por la comisión de infracciones muy graves, se impondrá multa por importe no inferior al tanto, ni superior al quíntuplo, del beneficio bruto obtenido como consecuencia de los actos u omisiones en que consista la infracción o, en caso de que no resulte posible aplicar este criterio lo constituirá el limite del importe de la sanción pecuniaria.
b) La reiteración de dos o más infracciones muy graves, en el plazo de cinco años, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España durante un plazo máximo de dos años.
c) Por la comisión de infracciones graves, se impondrá multa por importe de hasta el duplo del beneficio bruto obtenido como consecuencia de los actos u omisiones que constituyan aquéllas o, en caso de que no resulte aplicable este criterio o de su aplicación resultare una cantidad inferior a la mayor de las que a continuación se indican, esta última constituirá el limite del importe de la sanción pecuniaria.
d) Por la comisión de infracciones leves, se impondrá al infractor una multa por importe de hasta 2.000.000 de pesetas (12.020,23 euros).

La Directiva de la Unión Europea 8

La Directiva del Parlamento Europeo y del Consejo por la que se establece un marco común para la firma electrónica (1999)

Su Objetivo es garantizar el buen funcionamiento del mercado interior en el área para la Comunidad Europea, y definiendo criterios que fundamenten su reconocimiento legal.

Su Ámbito de aplicación se limita a! reconocimiento legal de la firma electrónica y establece un marco jurídico para determinados servicios de certificación accesibles al público.

Define a la Firma electrónica a la realizada en forma digital integrada en unos datos, ajena a los mismos o asociada con ellos, que utiliza un signatario para expresar conformidad con su contenido y que cumple los siguientes requisitos:

1. Estar vinculada al signatario de manera única;
2. Permitir la identificación del signatario;
3. Haber sido creada por medios que el signatario pueda mantener bajo su exclusivo control
4. Estar vinculada a los datos relacionados de modo que se detecte cualquier modificación ulterior de los mismos.

Como Dispositivo de creación de firma a los datos únicos, como códigos o claves criptográficas privadas, o un dispositivo físico de configuración única, que el signatario utiliza para crear la firma electrónica.

El Dispositivo de verificación de firma son los datos únicos, tales como códigos o claves criptográficas públicas, o un dispositivo físico de configuración única, utilizado para verificar la firma electrónica.

El Certificado reconocido es el certificado digital que vincula un dispositivo de verificación de firma a una persona y confirma su identidad, y que cumple con los requisitos establecidos en el Anexo Y de la ley.

El Proveedor de Servicios de Certificación es la persona o entidad que expide certificados o presta otros servicios al público en relación con la firma electrónica.

La Comisión ejerce la supervisión con ayuda del Comité de Firma Electrónica, de carácter consultivo, compuesto por representantes de los Estados miembros y presidido por el representante de la Comisión.

Los Estados miembros velarán porque la firma electrónica sea considerada como firma que cumple los requisitos legales de una firma manuscrita y produce los mismos efectos que la manuscrita cuando cumpla con los requisitos establecidos en ley.

Los Estados miembros velarán porque los certificados expedidos por un proveedor de servicios de certificación establecido en un tercer país tengan la misma validez que un local cuando cumplan con los siguientes requisitos:

1. El proveedor de servicios de certificación cumple los requisitos establecidos en la presente Directiva y ha sido acreditado en el marco de un sistema voluntario de acreditación establecido por un Estado miembro;
2. Un proveedor de servicios de certificación establecido en la Comunidad, que cumpla las prescripciones del Anexo II, avala el certificado en la misma medida que los suyos propios;
3. El certificado o el proveedor de servicios de certificación están reconocidos en virtud de un acuerdo bilateral o multilateral entre la Comunidad y terceros países u organizaciones internacionales.

No establece Sanciones

ONU

La Organización de las Naciones Unidas por conducto de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNDUMI, mejor conocida por sus siglas en inglés UNCITRAL), con sedes tanto en Nueva York como en Viena, se compone por 37 países. Funciona desde 1968, elaborando múltiples convenciones, además de reglas de arbitraje, modelos de contratos, de cláusulas contractuales y guías jurídicas, pero sobre todo Leyes Modelo como la de Arbitraje (adoptada por México en 1992), Comercio Electrónico (adoptada en México en el 2000) y Firma Electrónica (adoptada por nuestra país en el 2003).

En la sesión del día 12 de diciembre de 2001, fue aprobada por el pleno de la 85a Sesión Plenaria de la Asamblea General la Ley Modelo sobre las Firmas Electrónicas.

Toda vez que esta Ley Modelo es la que ha sido mas aceptada a nivel internacional, sus puntos mas importantes serán analizados mas adelante.

OCDE

En marzo de 1997, la Organización para la Cooperación y el Desarrollo Económico publicó su recomendación para el establecimiento de políticas sobre Criptografía, sin embargo solo establece una serie de lineamientos que se sugiere a los gobiernos adoptar al momento de legislar en materia de firma digital y de Entidades Prestadoras de Servicios de Certificación.

* Alfredo Reyes Krafft es Doctor en Derecho por la Universidad Panamericana. Actualmente es Director jurídico de e-business en BBVA Bancomer y Vicepresidente Ejecutivo de la Asociación Mexicana de Internet (AMIPCI)

—————————————–

(1) Proyecto de Ley de Firma Electrónica, de 20 de junio de 2003, Boletín Oficial de las Cortes Generales, Congreso de los Dipuatdos, Serie A. Número 158-1

(2) Tomado del estudio comparativo de algunas leyes internacionales relativas a la firma digital elaborado el año 2001 y publicado en el Boletín de Política Informática número 4. El estudio fue coordinado por Guillermina González Durand Subdirectora de Análisis Jurídicos y Adminsitrativos e integrada por Sandra Gómez Pérez, especialista del departamento de análisis jurídico de la Dirección de Políticas y Normas del INEGI.

(3) Ibid
(4) Ibid
(5) Ibid
(6) Ibid
(7) Ibid
(8) Ibid

Esta anotación fue publicada el Lunes, Diciembre 1, 2003 a las 1:14 pm y fue clasificado bajo Leyes, Seguridad, Tecnología. Puedes dar seguimiento a los comentarios de esta anotación a través del canal RSS 2.0. Tú puedes dejar una respuesta, o hacer trackback desde tu propio blog.

Notas relacionadas