Cambios en la Ley de Firma Electrónica (Ley 59/2003)


Aunque la técnica legislativa de mezclar “churras” con “merinas” se produce en algunas de las leyes publicadas en España, no nos acostumbramos a encontrar determinados aspectos legales de ciertos tipos en leyes que no tienen mucho que ver con el asunto.

Una de las últimas ocasiones en las que esto se produce es en la Ley 25/2015, de 28 de julio, de mecanismo de segunda oportunidad, reducción de la carga financiera y otras medidas de orden social, que modifica algunos aspectos de la Ley 59/2003 para favorecer el uso de sistemas de firma centralizada.

En mi opinión es una reforma innecesaria o insuficiente, porque aunque parafrasea alguna de sus definiciones parece ignorar la existencia del Reglamento europeo UE 910/2014, que en su exposición de motivos (considerandos 51 y 52) ya da por sobreentendido que es admisible la firma mediante sistemas de firma en la nube o firma centralizada o firma SOA, y no menciona modificaciones tan importantes como la denominación de certificados y firmas electrónicas que deben denominarse “cualificados” en vez de “reconocidos“.

Para los que solo conocen la Ley 59/2003, no obstante, resuelve la supuesta controversia de si la Ley de firma electrónica permite o no la firma a distancia con claves hospedadas por el prestador, lo que para muchos, ya permitía la redacción anterior.

Este es el texto:

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

La Ley 59/2003, de 19 de diciembre, de firma electrónica, queda modificada como sigue:

Uno. El apartado 2 del artículo 3, queda redactado del siguiente modo:

«2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.»

Dos. El apartado 2 del artículo 6, queda redactado del siguiente modo:

«2. El firmante es la persona que utiliza un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.»

Tres. El apartado 2 del artículo 7, queda redactado como sigue:

«2. La custodia de los datos de creación de firma asociados a cada certificado electrónico de persona jurídica o, en su caso, de los medios de acceso a ellos será responsabilidad de la persona física solicitante, cuya identificación se incluirá en el certificado electrónico.»

Cuatro. La letra c) del artículo 12, queda redactada en los siguientes términos:

«c) Asegurarse de que el firmante tiene el control exclusivo sobre el uso de los datos de creación de firma correspondientes a los de verificación que constan en el certificado.»

Cinco. La letra a) del artículo 18, queda redactada en los siguientes términos:

«a) No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma de la persona a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del firmante. En este caso, se aplicarán los procedimientos y mecanismos técnicos y organizativos adecuados para garantizar que el firmante controle de modo exclusivo el uso de sus datos de creación de firma.

Solo los prestadores de servicios de certificación que expidan certificados reconocidos podrán gestionar los datos de creación de firma electrónica en nombre del firmante. Para ello, podrán efectuar una copia de seguridad de los datos de creación de firma siempre que la seguridad de los datos duplicados sea del mismo nivel que la de los datos originales y que el número de datos duplicados no supere el mínimo necesario para garantizar la continuidad del servicio. No podrán duplicar los datos de creación de firma para ninguna otra finalidad».

Seis. El punto 1.º de la letra b), del artículo 18, queda redactado como sigue:

«1.º Las obligaciones del firmante, la forma en que han de custodiarse los datos de creación de firma, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos, o, en su caso, de los medios que los protegen, así como información sobre los dispositivos de creación y de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido.»

Siete. La letra e) del apartado 1 del artículo 20, queda redactada como sigue:

«e) Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador de servicios de certificación genere datos de creación de firma, garantizar su confidencialidad durante el proceso de generación y su entrega por un procedimiento seguro al firmante. Si el prestador de servicios gestiona los datos de creación de firma en nombre del firmante, deberá custodiarlos y protegerlos frente a cualquier alteración, destrucción o acceso no autorizado, así como garantizar su continua disponibilidad para el firmante.»

Ocho. Las letras c) y d) del apartado 1 del artículo 23, quedan redactadas en los siguientes términos:

«c) Negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación de éstos o, en su caso, de los medios que den acceso a ellos.

d) No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma o, en su caso, de los medios que den acceso a ellos.»

Nueve. Se añade un apartado 5 al artículo 29 con el siguiente contenido:

«5. Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados requisitos. En este caso, los prestadores de servicios correrán con los gastos que ocasione esta evaluación.»

Al margen de estas pequeñas pautas, conviene no olvidar que la Ley 59/2003 como expresión de la transposición de la Directiva 1999/93/CE  quedará derogada en breve, y que en el marco del nuevo reglamento hay que tener en cuenta, en lo que se refiere a la firma en servidor,  la norma EN 419 241 Security requirements for trustworthy systems supporting server signing (signature generation services)

Por cierto, otra de las modificaciones de las que van cayendo gota a gota de la Ley de Firma Electrónica es la que hace unos pocos meses se encargó de extender la validez de los certificados cualificados a cinco años, para simplificar la gestión del DNI electrónico 3.0 y que ya mencioné en este blog.

4 thoughts on “Cambios en la Ley de Firma Electrónica (Ley 59/2003)

  1. Gracias Julián, siempre tan actualizado y crítico (un poco de peloteo para que siga publicando cosas interesantes)

    Es posible que esta modificación haya sido una solución “temporal” para cubrir el “vacío legal”, o más bien para adelantar los efectos del Reglamento Europeo, ya que hasta que éste no entre en vigencia (lo hará por partes a lo largo del tiempo), realmente se debería seguir aplicando la Ley 59.

    Angel, los servicios de firma en la nube podrán ofrecer esos servicios siempre que no sean ellos quienes gestionen los datos de creación de firma, sino que de alguna manera consigan delegar esa parte al propio PSC emisor de certificados reconocidos.

    En cualquier caso, parece que se mantiene la expresión “exclusivo control”, para así poder evaluar los sistemas como interese en cada caso, porque… Una pregunta retórica a favor del DNI (sobre todo del 3.0), ¿si a tu abuela le damos los datos de acceso a su DNI (en un sobre cerrado sin haberlos visto), y le decimos que solo podrá firmar en su nombre quien tenga el pin secreto y su teléfono movil, dirías que tu abuela tiene exclusivo control sobre sus certificados en un sistema de firma centralizada? ¿y si le damos un DNI y le decimos que solo podrá firmar en su nombre quien tenga la tarjetita?

    En fin, parece que hay que asumir ciertos pequeños riesgos para que esto evolucione

  2. Hay algo que me llama la atención: “Solo los prestadores de servicios de certificación que expidan certificados reconocidos podrán gestionar los datos de creación de firma electrónica en nombre del firmante”. ¿Esto implica que servicios de firma en la nube como ARX o similares no podrán ofrecer sus servicios en el formato en el que lo hacen actualmente?

      • Los servicios de firma en la nube podrán ofrecer esos servicios siempre que no sean ellos quienes gestionen los datos de creación de firma, sino que de alguna manera consigan delegar esa parte al propio PSC emisor de certificados reconocidos.

        Otra cosa es que eso sea posible o relativo a nivel administrativo…

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s