–
¿Qué falta para que empresas y las administraciones inviertan
y apuesten de forma decidida y rotunda por el uso de la firma electrónica
y los certificados digitales para ofrecer servicios de confianza a través
de web?
- La firma electrónica y la futura regulación del comercio
electrónico constituyen las mimbres básicas sobre las que
se va a construir el despegue definitivo del uso comercial de la Red.
Por tanto, se han dado pasos decididos en establecer los elementos necesarios
para obtener todos los beneficios posibles que puede proporcionar la Sociedad
de la Información. Ahora, únicamente queda por explotar
al máximo estas posibilidades y este nuevo marco jurídico
de seguridad creado, de forma que la apuesta práctica de las empresas
españolas por el uso de la firma electrónica se producirá
cuando se lleve a cabo un acceso más generalizado a Internet, que,
a su vez, garantice un impulso amplio del comercio-e.
- ¿Cree necesario modificar algunos aspectos de la legislación
española sobre firma electrónica a fin de adaptarla, en
lo que fuera pertinente, a la Directiva?
- Con el objetivo de dar por fin seguridad en las operaciones electrónicas,
se reguló con gran rapidez, mediante Real Decreto-ley, el régimen
de la firma electrónica. Esta rapidez, demandada por la sociedad
y la innovación característica de las TICs, llevó
a que nuestra norma se aprobara antes que la propia Directiva que traspone,
lo que nos ha permitido situarnos en un lugar de privilegio a nivel mundial
en esta materia y en el desarrollo de la Sociedad de la Información.
Sin embargo, el que el Real Decreto-ley se aprobara antes que la Directiva
no quiere decir que no la haya tenido en cuenta. Todo lo contrario. Ha
partido de ella, una vez que se fijó la posición común
de los Estados miembros, para incorporar su régimen al ordenamiento
jurídico español.
- ¿Qué puntos de nuestra legislación sería
necesario adaptar a la legislación comunitaria?
- En el procedimiento legislativo comunitario, muy completo y caracterizado
por numerosos pasos sucesivos, se puede obtener un proyecto o borrador
casi definitivo de la norma que finalmente se aprueba con la aprobación
de la posición común, en la que se pone de manifiesto el
consenso político de los Estados miembros sobre un texto concreto
y articulado. Fue esta posición común la que se tomó
como punto de partida para elaborar el Real Decreto-ley sobre firma electrónica.
Desde la posición común hasta la aprobación definitiva
de la Directiva se han ido introduciendo algunas modificaciones al texto
inicial -no muchas-, que no son sino mejoras de carácter técnico
o formal que no afectan al régimen básico de la firma electrónica.
La gran mayoría de estas mejoras se han introducido ya en el Reglamento
de firma electrónica.
- ¿Qué refinamiento futuro prevé en relación
con la actual legislación española sobre firma electrónica?
- Creo que aprovechando la tramitación del proyecto de ley de Comercio
Electrónico, y siempre bajo el paraguas de la normativa comunitaria,
se podría mejorar la legislación sobre firma electrónica
introduciendo normas adicionales para, por ejemplo, reforzar la seguridad
de los instrumentos públicos notariales. No obstante, el Real Decreto-ley
es bastante serio.
 |
En
el proyecto de Fomento sobre seguridad y autenticación
de servidores Web, se contempla el establecimiento de una serie
de obligaciones y requisitos cuyo cumplimiento permitirá
obtener una acreditación, a imagen y semejanza, en cuanto
a esquema básico, de la indicada para los prestadores de
servicios de certificación
|
- ¿Qué
se entiende por servidor Web en la Secretaría General de Comunicaciones?
- En la mayoría de los casos, y en el contexto en el que lo pregunta,
como terminales de servicios de comunicación. comunicación.
La Ley General de Telecomunicaciones indica que son equipos de telecomunicaciones
los que estén destinados a conectarse directa o indirectamente
a puntos de terminación de una red pública de telecomunicaciones
con objeto de enviar, procesar o recibir señales. Obviamente,
puede haber terminales que no estén destinados a este particular.
Pero los que sí, incluidos los modems, están sujetos a
la normativa específica de telecomunicaciones.
- ¿Es partidario Fomento de fijar unas directrices sobre seguridad
y calidad para empresas que ofrecen servicios web (externalización,
alojamiento de páginas, ISPs...) o que venden a través
de web?
- La firma electrónica es el instrumento esencial para dar seguridad
técnica en las operaciones que se realizan a través de
Internet, pero no el elemento único de seguridad. En este sentido,
debe recordarse que hay otras dos cualidades de la seguridad, esto es,
la confidencialidad y la disponibilidad, que afectan de manera esencial
a las infraestructuras. Es en este marco en donde se debe encuadrar
el proyecto que se está elaborando en el Ministerio de Fomento
sobre seguridad y autenticación de los servidores web, con
la finalidad de garantizar la seguridad en todos los elementos que configura
la cadena para acceder a Internet, pues si la seguridad falla en alguno
de los eslabones, puede fallar en el conjunto de la cadena.
El mecanismo fundamental que se va a articular para dar seguridad a
este nivel en el acceso a Internet es el de establecer una serie de
obligaciones y requisitos, cuyo cumplimiento permitirá a los
servidores web obtener una acreditación, a imagen y semejanza,
en cuanto a esquema básico, de los prestadores de servicios de
certificación.
- ¿Quizá estas futuras directrices serán objeto
de tratamiento toda vez que dispongamos de la tan ansiada Ley de Comercio
Electrónico?
- La ley de Comercio Electrónico, una de las primeras iniciativas
que se van a presentar en esta nueva legislatura, constituye el principal
instrumento para dar seguridad jurídica en las operaciones y
transacciones electrónicas y para clarificar el marco jurídico
y las reglas que se van a aplicar a aquéllos. Mientras que la
firma electrónica garantiza primordialmente seguridad técnica.
No obstante, el proyecto para garantizar la seguridad y autenticación
de los servidores web no está relacionado directamente con la
Ley de Comercio Electrónico, sino con el marco genérico
de dar seguridad a las comunicaciones y operaciones que se realicen
a través de Internet.
- En la Directiva sobre firma electrónica parece que se establece
la posibilidad de que exista «acreditación voluntaria»
también por un organismo privado. Y, en todo caso, el considerando
13 indica que, aunque los Estados miembros pueden decidir cómo
llevar a cabo la supervisión del cumplimiento de lo dispuesto
en dicha Directiva, ésta no excluye el establecimiento de sistemas
de supervisión basados en sector privado. ¿Cómo
se van a arbitrar estos aspectos en la realidad de nuestro país?
- La Directiva prevé o abre la posibilidad de que la acreditación,
siempre voluntaria, de los proveedores de servicios de certificación
pueda otorgarse por organismos públicos o privados. En el caso
concreto español, el legislador, tanto en el Real Decreto-ley
y, en consecuencia, en el Reglamento de acreditación de prestadores
de servicios de certificación y de certificación de determinados
productos de firma electrónica, ha optado, en esta alternativa,
por asignar la acreditación voluntaria de los proveedores de
los servicios de certificación a un organismo público,
la SGC.
La razón esencial para elegir esta opción es que la fiabilidad
del sistema de firma electrónica y de la seguridad de las operaciones
de Internet, en general, descansa en las entidades de acreditación,
por lo que se ha considerado oportuno que sean los poderes públicos
los que asuman esta tarea al margen de que se trate más bien
de una actividad más cercana a la esfera pública que a
la privada.
- ¿Por qué no se ha considerado oportuno establecer
auditorías obligatorias en los entornos de firma electrónica
de los proveedores de servicios?
- El Real Decreto-ley de firma electrónica recoge para el ejercicio
de su actividad y de cara a los usuarios, que los prestadores de servicios
dispongan de unas garantías, ya sea a través de un afianzamiento
mercantil mediante una entidad de crédito o a través de
un crédito de caución por una entidad de seguros. Este
es un requisito esencial.
- ¿Se está confiando, entonces, la realización
de una auditoría, o revisión, a la relación entre
el prestador y la entidad financiera o compañía de seguros?
- En principio, se está desplazando este particular al ámbito
privado. ¿Se puede ir a más? Es evidente que sí.
No obstante, en el Reglamento se estipula que los prestadores deben
cumplir una serie de requisitos a efectos de conseguir su acreditación.
La acreditación es voluntaria, pero estoy seguro de que las grandes
entidades de certificación electrónica van a optar por
dicha acreditación.
- En el Reglamento se mencionan tres palabras muy importantes, «...Seguridad,
calidad y confianza…» ¿Qué relación
guardan?
- Los tres conceptos, mencionados en el artículo 1.1. del Reglamento
de firma electrónica, son términos distintos, aunque están
íntimamente imbricados. No se puede hablar de confianza sin que
haya seguridad, precisamente en un medio como éste totalmente
novedoso, caracterizado por la innovación tecnológica,
y que cuenta con la reticencia inicial de muchas personas a decir sus
datos personales ante la posibilidad de que otras personas no autorizadas
puedan, en una red abierta y mundial, acceder a ellos y manejarlos ilegítimamente.
De igual manera, no se puede hablar de confianza si los mecanismos de
seguridad diseñados no generan un estado de garantía en
los usuarios sobre que sus datos y las operaciones que realicen electrónicamente
van a ser confidenciales e inmodificables.
Calidad y seguridad, por tanto, están vinculadas. Si los dispositivos
de seguridad no son de calidad, no podrán generar el grado de
confianza necesario en la personas, con lo que éstas verán
el acceso a la Red como algo inseguro para la debida protección
de sus datos y su patrimonio. Aquellos dispositivos de seguridad
que sean fácilmente superables por determinados ataques quedarán
automáticamente fuera del mercado por los propios usuarios,
pues la seguridad es esencial para que las personas tengan confianza
en que las operaciones que realicen electrónicamente lleguen
a buen término y no les puedan producir perjuicios. No se puede
hablar de seguridad sin calidad, y viceversa.
- La SGC es el órgano competente para certificar, entendemos
que en todo, y muy especialmente en los referente a seguridad, los productos
de firma referidos en el Artículo 2 del Reglamento. Su competencia
se justifica en función de la salvaguarda de la seguridad en las
comunicaciones. Y bien está. En todo caso, ¿sería
partidario de aplicar en España a estos y otros fines el esquema
ITSEC/Criterios Comunes, específico de seguridad?
- Se están estudiando las normas técnicas a aplicar para
la acreditación de prestadores de servicios y la certificación
de productos de firma electrónica, en especial, los dispositivos
de creación y verificación de firma. En línea con
las recomendaciones recogidas en el informe del EESSI, se podría
aplicar el esquema ITSEC o los Criterios Comunes, en lo que se refiere
estrictamente a los objetivos de seguridad. Una vez que se hayan realizado
los oportunos estudios y se analicen las actuaciones y conclusiones a
que llegue el Comité de firma electrónica, creado
por la Directiva, se podrá adoptar un modelo en concreto. No obstante,
la acreditación de prestadores de servicios y la certificación
de productos de firma electrónica requerirán la evaluación
de otros requisitos adicionales a los contemplados en estos esquemas.
- ¿Cuáles son las razones que han aconsejado que los productos
de firma electrónica que no concuerden con lo indicado en el Artículo
2 del Reglamento sean certificados según la Ley 21/1992, de 16
de julio, de Industria?
- Los productos de firma electrónica que están recogidos
en los dos supuestos contemplados en el artículo 2 del Reglamento,
en cuanto que afectan a la seguridad de las comunicaciones, entran dentro
del ámbito competencial de la Ley 4/1998, de 24 de abril, General
de Telecomunicaciones, y, en consecuencia, su certificación corresponde
a la SGC. Los restantes productos de firma, al no afectar a la seguridad
de las comunicaciones, no se incluyen en el ámbito específico
de las telecomunicaciones, por lo que su certificación debe llevarse
a cabo por los criterios fijados en la Ley de Industria.
- ¿A qué tipo de aplicación de firma y dispositivos
se refiere?
Por ejemplo, a la firma electrónica estampada empleando equipos
u ordenadores que no tengan la consideración de terminales de telecomunicación.
Los supuestos, obviamente, son mínimos, porque casi siempre la
firma electrónica se usa para establecer una relación con
alguien que está en otro extremo de la red. Pero imagínese
Usted una firma electrónica para la redacción de unas actas
que quedan almacenadas en el propio terminal, que no es un terminal de
telecomunicación. En este supuesto, corresponderá a los
órganos competentes vinculados al Ministerio de Industria y a órganos
autonómicos.
- ¿Tienen hoy todos los proveedores que operan en España:
Fnmt-Rcm, Ace, Feste, CamerFirma… las mismas reglas de juego? ¿Habría
que llevar a cabo algún ajuste al respecto para estimular la competencia
en un mercado dirigido a administraciones y empresas?
- Todos tienen las mismas reglas de juego, iguales para todos, y fijadas
por un marco jurídico común y avanzado, determinado por
el Real Decreto-ley y el Reglamento de firma electrónica. Ello
es independiente de que la situación peculiar del inicial punto
de partida de los distintos proveedores sea o no el mismo por su propia
naturaleza, idiosincrasia o características para asegurar que las
reglas son las mismas.
En todo caso, será el propio mercado el que determine qué
proveedores van a tener éxito o no en función de los servicios
que presten, de su especialización, de su fiabilidad, y de la confianza
que generan en los usuarios. Es la competencia la que va a poner a cada
proveedor de servicios de certificación electrónica en su
sitio.
- ¿Qué falta para que los operadores de telecomunicaciones
existentes en el mercado español promuevan activamente, no con
la boca chica, el uso de certificados digitales entre los ciudadanos en
los servicios web que les ofrecen?
- Los propios usuarios van a demandar a los operadores de telecomunicaciones
que establezcan las facilidades necesarias para permitir el uso de la
firma electrónica y de los certificados digitales en las operaciones
que empiecen a realizar a través de Internet, pero esto únicamente
se alcanzará cuando esa demanda sea creciente como consecuencia
de la generalización del acceso a Internet y del despegue definitivo
del comercio-e en España. Los elementos esenciales ya están
construidos. Ahora sólo falta ahondar en facilitar el acceso barato
y de calidad a Internet, y que la sociedad española se involucre
con la Sociedad de la Información.
- Una última pregunta: ¿cómo valora el acuerdo que
parece ser se habría alcanzado entre la UE y EE.UU. en materia
de tratamiento de datos personales?
- Hay dos grandes frentes para pactar en el contexto de Internet: los
servicios generales de comercio electrónico, y los servicios financieros.
Para los segundos se ha llegado a un acuerdo de mínimos. En cualquier
caso, en Europa vemos las cosas desde una perspectiva más garantista.
Fotografía: Jesús A. de Lucas
