Fundamentos sobre Certificados Digitales: Normativa y Legislación propia de Autoridades de Certificación en España (2ª parte)

Seguimos con el análisis de la Ley de Firma electrónica que nos quedó pendiente de la anterior entrada de esta serie (Entrada previa: “Fundamentos sobre Certificados Digitales: Normativa y Legislación propia de Autoridades de Certificación en España (1ª parte)”).

Pasando ya al Título III, está centrado en la regulación de la actividad de los prestadores de servicios de certificación digital, distinguiendo entre las obligaciones requeridas para las autoridades de certificación consideradas reconocidas y las que no; así como la responsabilidad aplicable en cada caso.

El primero de los puntos destacables de este título lo constituyen las obligaciones propias de este tipo de entidades. Se detalla cada uno de los puntos de interés junto a un pequeño resumen a continuación:

  • Protección de Datos de Personales: Los prestadores de servicios de certificación están obligados a cumplir con los requisitos necesarios en amparo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD), así como a su reglamento de desarrollo (Real Decreto 1720/2007) dentro de sus atribuciones y funciones como CA. Adicionalmente, se complementa lo contenido en esta legislación con algunos matices:
    • Los datos de carácter personal que se recopilarán para la emisión del certificado, sea cual sea el nivel de seguridad requerido por la LOPD, se deberán recopilar solicitando el consentimiento expreso al afectado.
    • En ningún caso se incluirán dentro del propio certificado datos especialmente protegidos por la LOPD (Artículo 7 de la misma).
  • Obligaciones de los prestadores de servicios de certificación: En este artículo se fijan las obligaciones comunes a todas las CA, se detallan algunas de ellas a continuación:
    • No almacenar ni copiar cualquier dato relacionado con los certificados expedidos.
    • Facilitar de forma gratuita al solicitante una información mínima previamente a la expedición del certificado (Como las obligaciones del firmante, las condiciones de uso del certificado, etc.).
    • Mantener un directorio actualizado con todos los certificados expedidos, así como su estado de vigencia.
    • Mantener disponible un mecanismo de Validación de Certificados.
  • Declaración de Prácticas de Certificación (DPC): Todo prestador de servicios de certificación deberá emitir una Declaración de Prácticas de Certificación. La declaración de prácticas de certificación debe estar publicada en un medio gratuito y a disposición pública, así como se considerará el documento de seguridad de la CA de acuerdo a lo dispuesto en la LOPD. Así mismo, se detalla el contenido indispensable que debe incluir la DPC, como por ejemplo las obligaciones asumidas con los datos empleados para la creación, las condiciones de uso de los certificados, los mecanismos de validación publicados, etc. La estructura habitual de las declaraciones de prácticas de certificación serán objeto de próximas entradas de esta serie.
  • Obligaciones de los prestadores de servicios de certificación reconocidos: Adicionalmente a los requisitos comunes a todas las los prestadores de servicios de certificación nacionales, se añaden los siguientes requisitos:
    • Demostrar fiabilidad para prestar servicios de certificación.
    • Mantener un registro con fecha y hora exactas de expedición de certificados, así como para su extinción o suspensión.
    • Emplear personal cualificado en seguridad y gestión de servicios de de certificación electrónica.
    • Emplear dispositivos y sistemas criptográficos fiables para los procesos de certificación que soporten.
    • Tomar medidas contra la falsificación de certificados, asegurando la confidencialidad de la información durante todo el proceso de generación y entrega de los mismos.
    • Mantener en un medio seguro todos los datos y documentación requeridos para la generación y gestión de los certificados, así como las Declaraciones de Prácticas de Certificación vigentes en cada momento en un plazo mínimo de 15 años desde su expedición.
    • Emplear sistemas seguros para almacenar los certificados reconocidos, de modo que se pueda certificar su autenticidad si fuera necesario, impidiendo accesos y modificaciones no autorizadas.
    • Por último, todos los prestadores de servicios de certificación reconocidos deberán suscribir un seguro de responsabilidad civil por una cuantía de cómo mínimo 3 millones de euros, para afrontar el riesgo de daños y perjuicios que puedan ser causados por los certificados expedidos.
  • Cese de actividad: Cuando un prestador de servicios de certificación decida cesar su actividad deberá notificarlo a todos los suscriptores (personas físicas o jurídicas) que posean un certificado expedido por dicha entidad. Adicionalmente, y para los certificados que aún tengan vigencia, puede ofrecer transferir su gestión a otro prestador de servicios, siempre con el consentimiento expreso del suscriptor. Se deberá realizar la comunicación de cese con al menos dos meses de antelación. En caso de que no se acuerde una transferencia de certificados, será el Ministerio de Ciencia y Tecnología el encargado de mantener mecanismos de validación de certificados necesarios hasta que expiren.

El segundo gran punto del título hace referencia a la responsabilidad de los prestadores de servicios de certificación. Se resumen brevemente los puntos considerados:

    Responsabilidad de los Prestadores de Servicios: Principalmente, y como resumen, los prestadores de servicio responderán de todos los daños y perjuicios que puedan causar mientras ejercen su actividad. Concretamente, también se les insta a cubrir los daños causados a los suscriptores o terceros por la ausencia o indisponibilidad de los mecanismos de validación de certificados requeridos.
    Limitaciones en la responsabilidad de los Prestadores de Servicio: En este artículo se exime de la responsabilidad al prestador de servicios en casos concretos como, por ejemplo, si cuando se emite el certificado no se ha facilitado información real o completa, o cuando el suscriptor gestiona negligentemente el certificado.

El siguiente punto a tratar es el Título IV, y hace referencia a los dispositivos de creación, y verificación de firma; así como la propia certificación de los propios prestadores de servicios de certificación y la propia certificación de los dispositivos.

En esencia, se requiere el uso de dispositivos criptográficos seguros; este punto se trató en mayor detalle en otra entrada de esta serie “Fundamentos sobre certificados digitales (V) – Dispositivos físicos para gestión y custodia de claves”; donde se tuvieron en cuenta requisitos más restrictivos a los impuestos en esta ley, como los propuestos por el estándar FIPS-130.

Respecto a la certificación de entidades, especifica que la certificación es completamente voluntaria, y deberá llevarse a cabo por una entidad de certificación reconocida. Esta certificación no se requiere, pero puede servir al prestador de servicios para demostrar buenas prácticas aplicadas en la gestión de los certificados digitales.

El Título V hace referencia a la supervisión y control. En este punto se establece que todo prestador de servicios de certificación será controlado directamente por el Ministerio de Ciencia y Tecnología, de modo que podrá realizar las inspecciones necesarias para poder ejercer dicho control. Del mismo modo, y si lo considerara oportuno, el ministerio podría recurrir a terceros independientes y técnicamente cualificados para asistirles en dichas revisiones.

Adicionalmente, el título establece la obligación de informar y colaborar del prestador de servicios de certificación con el Ministerio de Ciencia y Tecnología con toda la información y colaboración necesarias para el desempeño de sus funciones (acceso total a instalaciones, información y documentación).

Por último, el Título VI hace referencia a infracciones y sanciones, estableciendo una clasificación como muy graves, graves y leves; fijando cuantías de las sanciones para cada una de estas tipificaciones. No se entra en detalle de esta sección por considerarse menos relevante para la finalidad del artículo, se refiere a la propia ley para más información.

Para finalizar y como aclaración, en ningún caso la intención de la presente entrada es contener todas las regulaciones incluidas en la Ley de Firma Electrónica, sino dar una idea de cuáles son los principales requisitos y normativa destinada a regular este tipo de actividad en España, así como informar a los usuarios de los servicios de las fuentes de información a su disposición y las obligaciones del prestador de servicio y suscriptor. En caso de que se desee implementar y certificar una Autoridad de Certificación, se refiere directamente al texto literal de la ley. Muchas gracias por leernos como siempre, próximamente nuevas entradas.

Enlaces de Complementarios:
Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal
Real Decreto 1720/2007 de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal