Acelerar para después frenar
La entrada en vigor del Reglamento, y sus exigencias organizativas y técnicas, supuso en su momento el punto de partida para el despegue del ramo de seguridad TIC en España, herramientas tecnológicas incluidas. Los responsable de ficheros de titularidad privada y pública (con datos personales) quedaron en principio obligados a elaborar e implantar un documento de seguridad. Todo un hito, como también lo fueron la exigencia, a partir del nivel medio, de nombrar a uno o a varios responsables de seguridad, o la de realizar una auditoría obligatoria cada dos años para verificar el cumplimiento de las obligaciones reglamentarias.
Sin embargo, ahora que se acerca el cumplimiento pleno de esta pieza legal única en la UE, no está de más recordar que en su Disposición transitoria única, el legislador estableció una interesante excepción, al indicar que “Cuando los sistemas de información que se encuentren en funcionamiento no permitan tecnológicamente la implantación de alguna de las medidas de seguridad previstas en el presente Reglamento, la adecuación de dichos sistemas y la implantación de las medidas de seguridad deberán realizarse en el plazo máximo de tres años a contar desde la entrada en vigor del presente Reglamento”.
Puede haber algunos responsables de ficheros que se consideren aludidos por lo indicado en esta Disposición. No obstante, será la Agencia –en virtud del artículo 29 del Reglamento– el órgano responsable de determinar si es así o no es así. Ya lo dijo el Director del Organismo, Juan Manuel Fernández López, en el curso de una entrevista publicada en la edición de SIC de septiembre de 1999: “Entiendo que este artículo [el 9] habilita al Director para determinar si un sistema de información permite o no, tecnológicamente, la implantación de las medidas de seguridad”.
Firma y PSC
La elaboración y entrada en vigor de un Reglamento de medidas de seguridad estaban previstas en la hoy derogada LORTAD, aparecida en 1992. Pese ello, el susodicho Reglamento vió la luz a mediados de1999, unos siete años después. Queda claro que el legislador se lo tomó con calma.
Pero no ha sucedido eso con la firma electrónica y con los proveedores e servicios de certificación (PSC), sino más bien lo contrario. Tras la publicación del Real Decreto-ley sobre firma electrónica y del Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma, el 17 de septiembre de 1999 y el 21 de febrero de 2000, respectivamente, las cosas, además de frenarse y enfriarse, han caido en un punto en el que los antedichos textos, como quien dice, son considerados en amplias áreas del mercado como papel mojado.
Sobre la firma electrónica se está preparando un nuevo texto, que deberá seguir el correspondiente proceso de debate parlamentario hasta convertirse en ley. El Real Decreto-ley fue –obviamente– una cosa de urgencia (las razones ya no importan), aunque no por ello debe considerarse como una iniciativa baldía, porque al menos ha servido para interesar a la sociedad acerca de una materia importantísima y crítica.
Acreditación
Lo del Reglamento de acreditación de prestadores ya tuvo otro cariz, porque levantó muchas expectativas; expectativas que fueron alentadas desde algunas áreas de la Administración. Después la cosa ha ido quedando en agua de borrajas. La mayoría de PSC existentes en España –que por cierto, aún no disponen de registro donde apuntarse voluntariamente– tienen una actividad mercantil fantasmagórica. Esto quizá no sea culpa en exclusiva de la vehemencia del legislador, sino también de quienes pensaron que lo del comercio electrónico en plan despliegue masivo bítusí era una cosa de meses.
Y si el panorama en lo concerniente a los PSC es confuso, en lo que respecta a la certificación de determinados productos de firma podemos calificarlo de negro, ya que a tales efectos, y para poder aclararnos en España, es menester que se aclare antes Bruselas. Y la verdad, está costando.
No es serio promulgar legislaciones a mucha velocidad para después frenar el cotarro e indicar al respetable que se van a matizar y a perfeccionar dichas legislaciones. No señor, no es serio. Como tampoco lo es que del proyecto de DNI electrónico, tan pomposamente ‘vendido’ a la sociedad a través del Info XXI, sepamos los ciudadanos nada a estas alturas. Una de cuatro: 1) o falta transparencia informativa, 2) o no se signan los recursos presupuestarios necesarios a un proyecto tan importante, 3) o se lo están tomando con calma, o 4) un poco de todo.
Da la sensación de que las iniciativas de uso masivo de firma electrónica y sobre PSC han quedado supeditadas a la consecución de una ley de servicios de la sociedad de la información y de comercio electrónico, con lo que quizá estemos ante uno de esos casos raros en los que se promulgue una ley en España después de la directiva correspondiente, y no antes.
