Fundamentos sobre Certificados Digitales: Legislación propia de Autoridades de Certificación en España (1ª parte)

Ya hemos recorrido gran parte de los puntos fundamentales a tener en cuenta para la constitución e implementación de una Autoridad de Certificación (en adelante CA), y a pesar de que una CA es básicamente técnica, es fundamental tener en cuenta cuáles son los requisitos legales y normativos propios para cada uno de los tipos y usos previstos. Así como para implantar y certificar el nivel de confianza objetivo.

Si existen unos requisitos fundamentales e ineludibles para establecer una CA en España, son los establecidos por la Ley de Firma Electrónica. Daremos un repaso a su contenido destacando los puntos de mayor importancia o interés para los usuarios o para cualquiera que esté considerando crear una Autoridad de Certificación en España.

Es evidente que en cada país se establecerán requisitos distintos, basados en legislación o normativa propia en cada caso, así como existen estándares aceptados internacionalmente y por las compañías. En España, la ley establece los requisitos y regula el cumplimiento de los mismos es La Ley 59/2003, denominada Ley de Firma Electrónica. Esta ley surge como una modificación de una ley previa para el uso de Certificados Digitales y gestión de Autoridades de Certificación (Real Decreto Ley 14/1999).

Dentro de los puntos clave del texto vigente es que incluye, como cambio de mayor trascendencia respecto al texto anterior, otorgar la misma validez funcional a la firma electrónica y la firma manuscrita. Este hecho es determinante, ya que es un incentivo para el uso de la firma electrónica para la realización de trámites oficiales, así como abre la posibilidad del establecimiento de contratos, obligaciones y compromisos validados empleando firma digital. Para que se pueda considerar dicha equivalencia, la ley especifica qué únicamente será equivalente a una firma manuscrita un certificado reconocido, así como establece los requisitos para que un certificado se considere reconocido. Por lo que este tipo de certificados deben haber sido expedidos garantizando una serie de requisitos específicos de contenido, tratamiento de los mismos, las garantías prestadas por la CA que los emite y la jerarquía de certificación a la que pertenezca (Más información en: “Fundamentos sobre certificados digitales (III): Cadena de confianza”).

Otro punto fundamental de la ley es la regulación del uso del DNI Electrónico, fijando el marco para su uso. Gracias a esta ley, hoy el DNI Electrónico se puede emplear para realizar trámites con la administración, así como para poder firmar cualquier documento digital; en esencia, el DNI electrónico implementa y contiene un certificado digital de persona física reconocido.

Por último, y antes de comenzar con un resumen de los puntos más importantes de su contenido, en esta revisión del texto legislativo se consideran también certificados de persona jurídica, sin hacer perder valor a los certificados de persona física que puedan emplear como representantes de una entidad.
Es importante destacar que en el análisis de la legislación se referirá a la Autoridad de Certificación indistintamente como CA o prestador de servicios de certificación, así como se referirá a los propietarios de los certificados como suscriptores o como solicitantes si aún no han obtenido el certificado.

Una vez introducidos en la temática y siendo conscientes de la finalidad y principales modificaciones establecidas por la Ley, se procede a detallar los requisitos fundamentales de la misma siguiendo su estructura. La ley se distribuye en 6 títulos principales, que se resumen a continuación:

  • Título I: Disposiciones Generales
  • Título II: Certificados Electrónicos
  • Título III: Prestación de Servicios de Certificación
  • Título IV: Dispositivos de Firma Electrónica y Sistemas de Certificación de Prestadores de Servicios de Firma Electrónica y Dispositivos de Firma Electrónica
  • Título V: Supervisión y Control
  • Título VI: Infracciones y Sanciones

Se va a proceder a resumir los puntos de fundamentales o de mayor interés contenidos en cada uno los títulos de la Ley con el fin de ilustrar a grandes rasgos sus requisitos.

En el Título I, se describe el ámbito y objeto de aplicación de la ley; así como el contexto de interacción entre CA y administraciones públicas y los medios de acceso de la administración en estos casos. El ámbito de esta ley regula el uso de la firma electrónica, su validez jurídica y a los prestadores de servicios de certificación que desempeñen su actividad en España. En este título se aprovecha también para definir términos como firma electrónica y sus variantes, como la firma electrónica reconocida. Otra definición de importancia es la de documento electrónico, que se define como un documento firmado digitalmente; detallando los soportes y formatos aceptados jurídicamente. Adicionalmente, en el presente título se detalla el uso de certificados en administraciones públicas, así como las condiciones generales para la prestación de servicios de certificación en territorio Español.

Pasando al Título II, se establece quien puede ser titular de un certificado digital, así como se establecen detalles sobre su vigencia; por otro lado, en su segundo apartado se detalla la regulación de certificados reconocidos como un subconjunto de mayor confianza sobre todos, y en su tercera se fijan las características del DNI Electrónico. Entrando en detalle, se distingue entre certificado digital y firmante, siendo este último la persona que posee el dispositivo de firma, y actúa en nombre propio o representación de una persona o entidad jurídica.

Uno de los puntos más importantes del título son las especificaciones concretas respecto a los certificados digitales de persona jurídica, entrando en detalles como quién los puede solicitar, quién es la persona física responsable de su custodia, así como el método para establecer limitaciones sobre su uso. Adicionalmente, se detallan los motivos para la extinción de la vigencia o suspensión de la vigencia de un certificado, así como las circunstancias que deben producirse o los organismos que lo pueden solicitar. Se entiende como extinción de la vigencia una retirada del certificado forzada, teniendo en cuenta factores como órdenes judiciales, uso indebido, caducidad o constancia de que se haya podido vulnerar el certificado. La vigencia máxima para un certificado digital amparado por la presente ley será de 4 años, y se deberá ajustar dicha duración según el uso previsto y la tecnología empleada (como por ejemplo los algoritmos criptográficos empleados, más información en otra entrada de esta serie: “Fundamentos sobre certificados digitales (VI) – Algoritmos Criptográficos”). En cualquier caso el prestador de servicios deberá dar constancia de la revocación del certificado en los medios a su disposición, de modo que cualquier tercero pueda estar al tanto de su estado (Más información en: “Fundamentos sobre certificados digitales (IV): Mecanismos de validación de certificados”).

El segundo de los puntos más importantes es el establecimiento de los requisitos necesarios para considerar un certificado como reconocido. A grandes rasgos, un certificado digital reconocido deberá cumplir las siguientes condiciones:

  • Debe ser un certificado emitido por una CA que cumpla con todos los requisitos de la Ley que nos ocupa.
  • El certificado deberá contener al menos cierta información, entre la que destaca un código identificativo único, la identificación del prestador de servicios que lo expide, acceso al mecanismo de validación del certificado, o fecha de inicio y final de la validez del certificado.

Además, se definen las comprobaciones que debe realizar la CA antes de emitir un certificado reconocido, así como las acciones a llevar a cabo para validar la identidad y circunstancias de los suscriptores de los certificados. Por ejemplo se debe imponer la obligación de que el suscriptor se persone físicamente y se realice una validación de su Documento Nacional de Identidad para la emisión del certificado. La validación de los suscriptores será objeto de futuras entradas de esta serie.

El último punto de este título hace referencia al DNI Electrónico, estableciendo su validez como certificado de confianza; lo que implica la obligación de cualquier entidad pública o privada a aceptar la validez de los datos personales que en él constan, de la identidad del remitente, así como la integridad del mensaje firmado con el mismo.

Espero que la entrada os esté resultando interesante, próximamente seguimos con la segunda parte de la misma, en la que se finalizará la revisión de los puntos más importantes de la Ley de Firma Electrónica. ¡Gracias por leernos!

Enlaces de Complementarios:
Ley 59/2003 de Firma Digital
Real Decreto Ley 14/1999 de Firma Electrónica