Cambios en la Ley de Firma Electrónica (Ley 59/2003)


Aunque la técnica legislativa de mezclar “churras” con “merinas” se produce en algunas de las leyes publicadas en España, no nos acostumbramos a encontrar determinados aspectos legales de ciertos tipos en leyes que no tienen mucho que ver con el asunto.

Una de las últimas ocasiones en las que esto se produce es en la Ley 25/2015, de 28 de julio, de mecanismo de segunda oportunidad, reducción de la carga financiera y otras medidas de orden social, que modifica algunos aspectos de la Ley 59/2003 para favorecer el uso de sistemas de firma centralizada.

En mi opinión es una reforma innecesaria o insuficiente, porque aunque parafrasea alguna de sus definiciones parece ignorar la existencia del Reglamento europeo UE 910/2014, que en su exposición de motivos (considerandos 51 y 52) ya da por sobreentendido que es admisible la firma mediante sistemas de firma en la nube o firma centralizada o firma SOA, y no menciona modificaciones tan importantes como la denominación de certificados y firmas electrónicas que deben denominarse “cualificados” en vez de “reconocidos“.

Para los que solo conocen la Ley 59/2003, no obstante, resuelve la supuesta controversia de si la Ley de firma electrónica permite o no la firma a distancia con claves hospedadas por el prestador, lo que para muchos, ya permitía la redacción anterior.

Este es el texto:

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

La Ley 59/2003, de 19 de diciembre, de firma electrónica, queda modificada como sigue:

Uno. El apartado 2 del artículo 3, queda redactado del siguiente modo:

«2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.»

Dos. El apartado 2 del artículo 6, queda redactado del siguiente modo:

«2. El firmante es la persona que utiliza un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.»

Tres. El apartado 2 del artículo 7, queda redactado como sigue:

«2. La custodia de los datos de creación de firma asociados a cada certificado electrónico de persona jurídica o, en su caso, de los medios de acceso a ellos será responsabilidad de la persona física solicitante, cuya identificación se incluirá en el certificado electrónico.»

Cuatro. La letra c) del artículo 12, queda redactada en los siguientes términos:

«c) Asegurarse de que el firmante tiene el control exclusivo sobre el uso de los datos de creación de firma correspondientes a los de verificación que constan en el certificado.»

Cinco. La letra a) del artículo 18, queda redactada en los siguientes términos:

«a) No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma de la persona a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del firmante. En este caso, se aplicarán los procedimientos y mecanismos técnicos y organizativos adecuados para garantizar que el firmante controle de modo exclusivo el uso de sus datos de creación de firma.

Solo los prestadores de servicios de certificación que expidan certificados reconocidos podrán gestionar los datos de creación de firma electrónica en nombre del firmante. Para ello, podrán efectuar una copia de seguridad de los datos de creación de firma siempre que la seguridad de los datos duplicados sea del mismo nivel que la de los datos originales y que el número de datos duplicados no supere el mínimo necesario para garantizar la continuidad del servicio. No podrán duplicar los datos de creación de firma para ninguna otra finalidad».

Seis. El punto 1.º de la letra b), del artículo 18, queda redactado como sigue:

«1.º Las obligaciones del firmante, la forma en que han de custodiarse los datos de creación de firma, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos, o, en su caso, de los medios que los protegen, así como información sobre los dispositivos de creación y de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido.»

Siete. La letra e) del apartado 1 del artículo 20, queda redactada como sigue:

«e) Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador de servicios de certificación genere datos de creación de firma, garantizar su confidencialidad durante el proceso de generación y su entrega por un procedimiento seguro al firmante. Si el prestador de servicios gestiona los datos de creación de firma en nombre del firmante, deberá custodiarlos y protegerlos frente a cualquier alteración, destrucción o acceso no autorizado, así como garantizar su continua disponibilidad para el firmante.»

Ocho. Las letras c) y d) del apartado 1 del artículo 23, quedan redactadas en los siguientes términos:

«c) Negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación de éstos o, en su caso, de los medios que den acceso a ellos.

d) No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma o, en su caso, de los medios que den acceso a ellos.»

Nueve. Se añade un apartado 5 al artículo 29 con el siguiente contenido:

«5. Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados requisitos. En este caso, los prestadores de servicios correrán con los gastos que ocasione esta evaluación.»

Al margen de estas pequeñas pautas, conviene no olvidar que la Ley 59/2003 como expresión de la transposición de la Directiva 1999/93/CE  quedará derogada en breve, y que en el marco del nuevo reglamento hay que tener en cuenta, en lo que se refiere a la firma en servidor,  la norma EN 419 241 Security requirements for trustworthy systems supporting server signing (signature generation services)

Por cierto, otra de las modificaciones de las que van cayendo gota a gota de la Ley de Firma Electrónica es la que hace unos pocos meses se encargó de extender la validez de los certificados cualificados a cinco años, para simplificar la gestión del DNI electrónico 3.0 y que ya mencioné en este blog.

3.000.000 de visitas


Es para mi un motivo de orgullo y satisfacción, anunciar que este Blog ha alcanzado la cifra de 3 millones de visitas.

Desde aquí deseo agradecer a los buscadores, y especialmente a Google el que lo hayan hecho posible.

Estos son algunos de los artículos más visitados:

 

 

Diferencias del EJIS respecto al ENI y al ENS


Recientemente el CTEAJE (Comité Técnico Estatal de la Administración Judicial Electrónica) ha publicado las bases del Esquema Judicial de Interoperabilidad y Seguridad de 6 de julio de 2015.

El EJIS (Esquema Judicial de Interoperabilidad y Seguridad) se inspira en el Esquema Nacional de Interoperabilidad (ENI) y en el Esquema Nacional de Seguridad (ENS), con algunas diferencias determinadas por las leyes procesales y la Ley marco de la digitalización de la Justicia, la Ley 18/11, de 5 de julio, que singulariza para el ámbito de la Justicia algunas de las principales aportaciones de la Ley 11/2007.

Algunas de las diferencias más reseñables respecto al ENI (RD 4/2010) son las siguientes:

  • Catálogo de Estándares: EJIS presenta compatibilidad con los formatos utilizados en el marco de AGE (Administración General del Estado). Además, permite al CTEAJE definir el suyo si se diera el caso.
  • Interoperabilidad: La redacción del EJIS es aclaratoria de las dimensiones de la interoperabilidad del Esquema Nacional centrado en el ámbito de la Administración de justicia (AJ) ya que tiene
    en cuenta las peculiaridades del ámbito de justicia en sus tres ámbitos (con la Administración de Justicia, con los ciudadanos y profesionales y con el resto de Administraciones Públicas)
  • Inventarios de información Administrativa: En enfoque se realiza sobre el Test de Compatibilidad del CGPJ (Consejo general del Poder Judicial) dado que los procedimientos serán los que figuren en los inventarios de información judicial de acuerdo con las leyes procesales y el Test de Compatibilidad.
  • Activos Semánticos del Test de Compatibilidad del CGPJ, modelo de datos lógico para conseguir un intercambio de información entre sistemas (asuntos, recursos y exhortos).
  • Firma Electrónica:
    • Alineamiento con el Reglamento europeo UE 910/2014.
    • Política única de firma electrónica para toda la AJ (Administración de justicia).
    • Simplificación de certificados de firma y sello asociados a órganos judiciales.
    • Accesibilidad: admisión amplia de firmas de ciudadanos.
    • Diferencia la autenticación de la firma electrónica
    • Admisión de prestadores de cualquier país de la Unión Europea.
  • Digitalización Certificada: se contempla procedimiento de homologación. No existe el concepto en la AGE, sólo digitalización “que garantizará la imagen fiel”, en justicia se permite certificar el software con el que se digitaliza.
  • Declaración de Conformidad: en la AGE es genérica dado que es una mera declaración; en la AJ hay un índice de aspectos de cumplimiento que permiten acreditarlo en mayor o menor medida.
  • Custodia Documental (Conservación): se indica la presunción de mantenimiento de integridad y autenticidad del EJE (Expediente Judicial Electrónico) y del DJE (Documento Judicial Electrónico), acompañadas de medidas de seguridad

Algunas de las diferencias más reseñables del EJIS respecto al ENS (RD 3/2010) son las siguientes:

  • Categorías de los Sistemas:
    • EJIS añade la dimensión de seguridad CONSERVACIÓN que viene contemplada en la propia Ley 18/2011. El concepto de archivo judicial se extiende a períodos de conservación que en el ámbito administrativo se considerarían prescritos y sin necesidad de conservación.
    • Se aclara la forma de determinar los niveles de las dimensiones y las categorías.
  • Auditoría: Se elimina la auditoria como requisito del EJIS, ya que es una competencia del CGPJ.
  • Medidas de Seguridad:
    • Se mantienen las medidas de seguridad como marco de requisitos a cumplir por los órganos judiciales.
    • Se refuerza la exigencia de algunas medidas, en especial en firma electrónica y en custodia de evidenciaselectrónicas.
  • Guía Técnica de Seguridad: se prevé la publicación de nueva norma específica para ampliar el detalle de la sección de seguridad del EJIS, que amplia la normativa de seguridad del Test de compatibilidad.
  • Coordinación: el CTEAJE coordinará la gestión de incidentes entre los órganos que los sufran y los servicios prestados por el Centro Criptológico Nacional

Se puede ampliar la información en esta interesante presentación sobre la Modernización de la Administración de Justicia

Aplicabilidad del Reglamento Europeo UE 910/2014 (EIdAS)


A diferencia de la Directiva 93/1999 /CEE del Consejo, el Reglamento (UE)  nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (denominado reglamento eIDAS por las iniciales de Electronic Identificatiom Authentication and Signature) que entró en vigor el 17 de septiembre de 2014, tendrá un impacto directo y, en algunos casos,  supondrá la derogación de las leyes nacionales vigentes en los Estados miembros.

El Reglamento se aplicará gradualmente en los próximos meses con plazos de entrada en vigor escalonados que concluirán el 01 de julio 2016, con la derogación de la Directiva 93/1999 / CEE.

Desde su entrada en vigor el 17 de septiembre de 2014, ya son de aplicación las disposiciones contenidas en los artículos 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 y 48. El resto de las disposiciones, a excepción de los artículos 7, 8.1, 8.2, 9, 10, 11 y 12.1, que se aplicará a partir del 18 septiembre de 2015, deben ser implementadas a partir del 1 de julio de 2016. Sólo el  artículo 6 se aplicará a partir del 18 de septiembre 2018.

Desde 01 de julio de 2016 en adelante:

  • Los Dispositivos de Creación de Firma (denominados antes Dispositivos Seguros de Creación de Firma y ahora Dispositivos Cualificados de Creación de Firma) que tuvieran la consideración de tales según  el artículo 3.4  de la Directiva 93/1999 /CEE,  mantendrán su reconocimiento tras la nueva norma (Reglamento eIdAS).
  • Los certificados reconocidos expedidos a personas físicas de acuerdo con la Directiva 93/1999 /CEE se consideran hasta su vencimiento certificados cualificados de acuerdo con la nueva norma (Reglamento eIdAS).
  • Para ser considerados prestadores de servicios de confianza digital cualificados de acuerdo con el Reglamento eIDAS, los Prestadores de Servicios de Certificación que emitían  ​​certificados reconocidos de acuerdo con la Directiva 93/1999 / CEE deben presentar a partir del 01 de julio de 2017 un informe de evaluación sobre el cumplimiento de la normativa técnica y organizativa aplicable al órgano de supervisión (Minetur, en el caso de España).

La aplicación del Reglamento eIdAS, implica la puesta en marcha de 7 actos de ejecución que deben adoptarse en un  año:

  • 3 actos de ejecución relativos a la identificación y autenticación digital (eID)
  • 4 actos de ejecución en materia de servicios de confianza digital
    • Formatos de firma electrónica (artículo 27.4)
    • Formatos de sellos electrónicos (artículo 37.4)
    • Listas de confianza (artículo 22.5)
    • Marca de confianza de la UE (artículo 23.3)

En los más de 16 años de vigencia de la Directiva 93/1999 /CEE del Consejo, cada Estado miembro la ha desarrollado en su legislación nacional adoptando, en algunos casos normas técnicas de organismos como ETS y CEN. En España, entre otras normas la Ley 59/2003, con disposiciones sobre firmas electrónicas en la Ley 11/2007 y en la Ley 18/2011.

El impacto revolucionario del Reglamento, sin embargo, cambia todos los paradigmas existentes anteriormente, que pueden considerarse los causantes de la falta de interoperabilidad transnacional en el mercado único europeo. El nuevo modelo, destinado a facilitarla, todavía tiene que demostrar su utilidad en un contexto internacional en el que los mayores avances se han producido a partir de la adopción de incoativas de la industria a través del CAB Forum, solo para el ámbito de los certificados para servidores web, en un modelo como en norteamericano de escasa regulación.

Tutorial en video sobre UBL (en inglés)


Tim McGrath, reconocido experto internacional en UBL ha preparado un seminario en video muy interesante compuesto de sesiones breves que ayudan a entender UBL (Universal Business Language)

Understanding UBL Introduction

Understanding the Universal Business Language

UBL Approach

Understanding the UBL Data Structures

UBL for Procurement

UBL for Transportation

UBLCustomization

Más información sobre la firma manuscrita digitalizada: ¿es firma electrónica avanzada?


Llevo varios años explicando como se puede desarrollar un sistema que capta firmas manuscritas de forma que tengan la consideración de firma electrónica avanzada según la definición del Reglamento europeo UE 910/2014 (#eIdAS) e impulsando en EADTrust un modelo (un “ecosistema” si se me permite usar la palabra en ese sentido) que puede ser auditado y certificado.

En estos años hemos auditado varias soluciones en entidades del sector sanitario, financiero y de telecomunicaciones que pueden lucir los certificado expedidos por EADTrust que lo acreditan.

Muchas de las ideas relacionadas con la firma biométrica y la firma digitalizada las he recogido en un sencillo blog especializado.

Se indican seguidamente alguno de los artículos más recientes recogidos en dicho blog:

 

 

¿Es el DNI electrónico un gran fiasco?


Hace un par de años mereció letras de titular sensacionalista una frase descontextualizada del Presidente de nuestra asociación AMETIC, que tanto ha empujado la adopción del DNI electrónico, incluso antes de la fusión de las dos asociaciones empresariales tecnológicas de las que procede: AETIC y ASIMELEC.

El periódico El País incidió solo en los aspectos negativos (que los hay) porque el continuo descenso en inversiones TIC de los últimos años por parte de grandes y medianas empresas y administraciones públicas estaba originando deterioros de sostenimiento en los despliegues ya realizados y ponían en riesgo la competitividad española a medio y largo plazo.

Como si después de acometer grandes inversiones para construir autopistas se abandonara su mantenimiento por no asumir costes marginales y se acabara con un equipamiento deteriorado y peligroso.

“Un gran fiasco”. Así califica al DNI electrónico José Manuel de Riva, presidente de la asociación de empresas tecnológicas, Ametic. La culpa, en su opinión, la falta de aplicaciones para esos 34 millones de documentos que, según la Policía Nacional, ha sido ya expedidos.

En cuanto a la administración electrónica en España, para De Riva el balance es “en general negativo, salvo excepciones. Hay ministerios con aplicaciones y sistemas de comunicación con el ciudadano bastante adaptados incluso pioneros, pero otros, en cambio, funcionan fatal”.

De Riva ha advertido que la Agenda Digital española está enunciada, pero no desarrollada. “Se está observando cierta demora en la Agenda Digital. Se nos va a pasar la mitad de la legislatura y estamos todavía mareando la perdiz”, ha apostillado. Para De Riva, en España, al igual que en toda Europa, hay un “exceso de regulación”, así como “demasiadas trabas impositivas” que gravan la actividad para “exprimir” al sector de las TIC y hacen perder competitividad.

El sector de las TIC facturó el pasado año 85.703 millones de euros, lo que representa un descenso del 5% respecto al ejercicio anterior, con una caída de todos lo sectores, pero especialmente en electrónica de consumo (-23%) y en componentes electrónicos (-16%).

Ciertamente, son muchos los retos a acometer y esencial la aportación de las empresas especializadas en las Tecnologías de la Información y las Comunicaciones (TIC) para la modernización de nuestra sociedad en un contexto internacional altamente exigente.

Y muchas grandes inversiones pueden verse desperdiciadas si no se gestiona adecuadamente su continuidad. Pero el DNI electrónico, en mi opinión, con sus luces y sombras, es uno de los grandes aciertos de los gobiernos anteriores, de diferentes signos políticos.

España es líder mundial en número de certificados cualificados expedidos. Certificados de alta calidad, basados en dispositivo cualificado, bien diseñados para favorecer la interoperabilidad. Los años de experiencia nos han conducido al DNI 3.0 que se ha lanzado este año 2015 y que resuelve casi todos los aspectos técnicos criticados en el pasado e incorpora mejoras pensadas en un mundo digital marcado por la movilidad.

Me considero un experto en aspectos de firma electrónica y me siento orgulloso de que España haya desplegado la infraestructura que la favorece y de que los españoles contemos con esta extraordinaria herramienta en nuestros bolsillos.

Pero el potencial del DNI electrónico no se circunscribe a sus aspectos técnicos, sino que se materializará cuando los ciudadanos seamos conscientes de lo que implica y nos habituemos a su uso. Y las empresas e instituciones empiecen a desplegar mecanismos de identificación y firma sencillos y orientados al usuario.

El propio “viejo” DNI electrónico no es el principal responsable de la escasa calidad de muchas implementaciones tempranas que conducían a sus uso. Todavía se abusa de sistemas de firma electrónica (Key Usage: ContentCommitment) cuando se deberían usar sistemas de autenticación SSL basada en certificados (Key Usage: ElectronicSignature).

Se usan despliegues basados en java para firma en cliente web (que provocan miles de problemas de incompatibilidad de navegadores, sistemas operativos y versiones de máquina virtual java y miles de problemas de soporte), cuando los documentos deberían firmarse tranquilamente con aplicaciones nativas antes de remitirlos de forma sencilla por otros procedimientos, que, posiblemente ni siquiera requieran autenticación.

El verdadero éxito del DNIe es que cada vez somos más conscientes de que está ahí, de que lo tenemos en el bolsillo y de que debe de servir para algo. Y de que se ha roto el círculo vicioso de que el reducido número de usuarios no justifica el despliegue de aplicaciones.

Los problemas de la generalización del DNI electrónico, son los consustanciales a un gran despliegue, y los típicos asociados a la gestión del cambio, y los habituales asociados a la adopción temprana cuando las tecnologías no están del todo maduras.

Sin embargo este gran número de DNIe expedidos nos sitúan en la “pole position” de la sociedad digital.

Los “feature phones” permiten hacer poco más que hablar por teléfono y enviar y recibir SMS pero en eso son perfectamente compatibles con los “smart phones”. Y en algunos países africanos la bancarización de personas humildes se vehiculiza mediante terminales sencillos de pocas prestaciones.

Como nos vamos habituando a un acelerado ritmo de innovaciones de alcance global (impulsado por “grandes players”) llegamos a pensar que nuestro propio contexto de innovación se queda atrás. Y no es así. Los retos superados por los españoles y por los especialistas españoles en identidad digital, gobierno digital, comercio digital y, en definitiva sociedad digital, posiblemente permitan ayudar a otros países más rezagados, que no sufrirán los “problemas de crecimiento adolescente” que hemos sufrido por nuestra propia ruta innovadora.

Pero ayudarán sobre todo, a que las próximas generaciones de españoles consideren normal el DNIe, un potente instrumento que con el tiempo se convertirá en un trofeo que pocos otros países podrán mostrar en sus anaqueles.

Y ya va siendo hora de que nos quitemos complejos.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 2.769 seguidores