La firma electrònica

3

El Clip

INSTITUT D’ESTUDIS AUTONÒMICS

Generalitat de Catalunya

© Generalitat de Catalunya. Institut d'Estudis AutonòmicsBda. de St. Miquel, 8 (Palau Centelles)08002 Barcelonatel. 933429800 - fax 933429801jsole@presidencia.gencat.es

Edició: octubre 1999

Dipòsit legal: B. 32898-1999Impressió: Sprint Copy

La societat de la informació obliga

Quan parlem de la societat de la informació fem servir un terme vague que inclou una multitud de con-ceptes relacionals nous, però darrere d’aquest terme hi ha mecanismes, sistemes i xarxes molt con-crets que funcionen, o que s’han de posar en funcionament com més aviat millor per exigències, en-tre altres coses, de la globalització de l’educació, de l’economia, del lleure, etc.

Per tal que això sigui possible cal donar als usuaris dels nous serveis prou confiança en els sistemesque en permetin la introducció i difusió ràpida, com també els elements suficients per protegir la se-guretat i la integritat de les comunicacions telemàtiques en les quals es faci servir la firma electrònica.De fet això vol dir donar la seguretat jurídica adequada que contribueixi al desenvolupament de la so-cietat de la informació.

En aprovar-se el Reial decret llei 14/1999, de 17 de setembre, sobre firma electrònica —el qual en re-gula l’ús, li atribueix eficàcia jurídica, preveu el règim aplicable als prestadors de serveis de certificaciói determina el registre on s’hauran d’inscriure, el règim d’inspecció administrativa de la seva activitat iel règim sancionador aplicable— s’hi ha contribuït notablemet.

El director de l'IEA

Sumari

1. Presentació2. El reconeixement jurídic de la firma electrònica3. L’activitat de prestació de serveis de certificació4. Els certificats5. Les obligacions dels prestadors de serveis de certificació6. Control de l’activitat dels prestadors de serveis de certificació

6.1 Inspecció6.2 Infraccions i sancions

7. Consideracions finals

LA FIRMA ELECTRÒNICA

Treball elaborat per Montserrat Tintó, professora ajudant de l’Àrea de Dret Administratiu,Facultat de Dret, de la Universitat Pompeu Fabra

El Clip nº 3

1. Pre s e n t a c i ó

La problemàtica legal entorn de la firma electrònica1 i, en especial, del seu re-coneixement jurídic ha estat abordada recentment pel Govern espanyol. En concre t ,el 17 de setembre, va aprovar el Reial decret llei 14/1999 sobre firma electrònica2

(a partir d’ara, el Decret llei), el qual innova l’ordenament jurídic espanyol de man-era molt significativa per la raó que reconeix efectes jurídics a les firmes en form a telectrònic i regula l’activitat de prestació de serveis de certificació d’aquestes firm e s .Ambdues coses són essencials per garantir la seguretat jurídica en les re l a c i o n spracticades mitjançant les noves tecnologies de la informació i de la comunicació.El contingut i l’abast d’aquest Decret llei constitueixen l’objecte del present article.

Abans, però, volem fer esment que en l’àmbit de la Generalitat de Catalunya i dela Unió Europea també s’estan duent a terme activitats vers aquesta temàtica3. Defet, el que fa essencialment el Decret llei sobre firma electrònica és adoptar una posi-ció comuna del Consell respecte del Projecte de directiva del Parlament Europeu idel Consell pel qual s’estableix un marc comunitari per a la firma electrònica4.

Cal destacar que des de les instàncies espanyoles no s’hagi esperat a l’apro v a c i ódefinitiva de la directiva esmentada i que l’extraordinària i urgent necessitat, pre s s u-post de la figura normativa en qüestió, no està justificada del tot. En aquest sentit,el Decret llei es limita a assenyalar que “ha d’intro d u i r-se, al més aviat possible, ladisciplina que permeti utilitzar, amb l’adequada seguretat jurídica, aquest mitjà tec-nològic que contribueix al desenvolupament d’allò que es denomina, en la UnióE u ropea, la societat de la informació” i que “la urgència de l’aprovació d’aquestan o rma deriva, també, del desig de donar als usuaris dels nous serveis elements deconfiança en els sistemes que en permetin la introducció i ràpida difusió”.

Altrament, la decisió del Govern espanyol d’aprovar una normativa d’àmbit estatalen matèria de firma electrònica també és força qüestionable. Aquesta decisió,segons la disposició final primera, troba el seu fonament constitucional en l’art i c l e149.1, apartats 8, 18 i 21, de la Constitució, el qual atribueix a l’Estat competèn-cia exclusiva en matèria de legislació civil, de bases de règim jurídic de les admi-nistracions públiques i de telecomunicacions, si bé no s’assenyala quins pre c e p t e stenen caràcter bàsic.

L’objecte d’aquest Decret llei és regular l’ús de la firma electrònica, el re c o n e i x e m e n tde la seva eficàcia jurídica i el règim jurídic aplicable als prestadors de serveis de cer-tificació (article 1.1). En tot cas, el Decret llei no altera les normes relatives a la subs-cripció, formalització, validesa i eficàcia dels contractes i d’altres actes jurídics i alrègim jurídic aplicable a les obligacions, ni de les normes que regulen les funcions quec o rresponen realitzar a les persones facultades amb conformitat a dret per donar fe dela firma en documents o per intervenir en la seva elevació a públics (article 1.2).

EL CLIP Nº 3. La firma electrònica Pàg. 2

1Sobre aquest tema, tan actual i tanmateix poc tractat per la doctrina científica, vegeu, per un enteniment aclaridor de les figures de la firma electrònica idels serveis de certificació, la monografia recent d’Apol·lònia MARTÍNEZ NADAL, Comercio electrónico, firma digital y autoritdades de certificación,Estudios de Derecho Mercantil, Civitas, 1998. Vegeu, també, per obtenir informació sobre firmes electròniques, l’adreça d’Intern e thttp://www2.echo.lu/legal/en/ecommerc/digsig.html.2 BOE de 17 de setembre de 1999. El present Reial decret llei entrà en vigor el 18 de setembre de 1999, l’endemà de la seva publicació en el BOE, deconformitat amb la disposició final tercera. Pel que fa al règim de dret transitori, el Decret llei determina que els certificats ja expedits que hagin produïtefectes conservaran la seva validesa, i que els prestadors de serveis de certificació ja establerts a Espanya i l’activitat dels quals es regeixi per una nor-mativa específica hauran d’adaptar-se a aquest Decret llei en el termini d’un any des de la seva entrada en vigor (disposició transitòria única).3 Entre d’altres, per exemple, cal destacar l’Acord, de 13 de juliol de 1999, sobre utilització de tecnologies de la informació en les comunicacions internesde l’Administració de la Generalitat de Catalunya. Actualment, i de conformitat amb aquest acord, el Comissionat per a la Societat de la Informació i elCentre de Telecomunicacions i de Tecnologies de la Informació duen a terme un programa pilot d’una intranet entre els departaments de la Presidència id’Economia i Finances, en el qual s’usa la firma electrònica.4 Posició comuna (CE) n. 28/1999, de 28 de juny de 1999, aprovada pel Consell, amb vistes a l’adopció d’una directiva del Parlament Europeu i delConsell per la qual s’estableix un marc comunitari per a la firma electrònica (C-251, de 2 de setembre de 1999). La referència d’aquesta proposta de di-rectiva és COM (1998) 297.

D’altra banda, el Decret llei també regula aspectes diversos, com per exemple elre g i s t re en el qual hauran d’inscriure ’s els prestadors de serveis de certificació, elrègim d’inspecció administrativa de l’activitat duta a terme per aquests pro v e ï d o r sde serveis de certificació i el règim sancionador.

2. El reconeixement jurídic de la firma electrònica

A partir del present Decret llei queda clar que les firmes electròniques pro d u e i x e nefectes jurídics, perquè així es reconeix expressament. Des d’un punt de vista tècnic,la norma no opta per una classe determinada de firma electrònica, com podria serla digital, sinó que és aplicable a qualsevol tipus i pot incloure, fins i tot, les que espuguin desenvolupar en el futur. Ara bé, el Decret llei sí introdueix una distinció en-t re firma electrònica i firma electrònica avançada, i reconeix una major força ju-rídica a la segona categoria, sempre que hi concorrin unes condicions determ i-nades. Ve g e m - h o .

En primer lloc cal tenir present les definicions d’aquests termes, els quals, a l’efectedel Decret llei, són (article 2.a i b):

a) Firma electrònica: conjunt de dades, en forma electrònica, annexes a altres dadeselectròniques o associades funcionalment amb elles, emprades com a mitjà peridentificar formalment l’autor o els autors del document que la re c u l l .

b) Firma electrònica avançada: aquella firma electrònica que permet la identificaciódel signatari i ha estat creada per mitjans que aquest manté sota el seu control ex-clusiu, de manera que està vinculada únicament a ell i a les dades a les quals esre f e reix, cosa que permet que sigui detectable qualsevol modificació ulteriord ’ a q u e s t e s .

Pel que fa als efectes jurídics que se’ls reconeix, l’article 3.1 assenyala que la firm aelectrònica avançada, sempre que estigui basada en un certificat reconegut i quehagi estat produïda per un dispositiu segur de creació de firma, tindrà, respecte deles dades consignades en forma electrònica, el mateix valor jurídic que la firma man-uscrita en relació amb les consignades en paper i serà admissible com a prova enjudici; i el punt 2 afegeix que a la firma electrònica que no reuneixi tots els re q u i-sits assenyalats anteriorment no se li negaran efectes jurídics ni serà exclosa com ap rova en judici pel simple fet de pre s e n t a r-se en forma electrònica. (Més endavantre v i s a rem els conceptes de certificat reconegut i de dispositiu segur de creació def i rma, però, ara per ara, podem avançar que són mecanismes que possibiliten unamajor autenticitat i integritat del document.)

El mateix article 3.1, en el segon paràgraf, estableix la presumpció que la firm aelectrònica avançada reuneix les condicions necessàries per produir efectes equiva-lents a la firma manuscrita quan el certificat reconegut hagi estat dictat per unp restador de serveis de certificació acreditat i el dispositiu segur de creació de fir-ma amb el qual s’ha creat la firma hagi estat certificat pels òrgans públics compe-tents. (En un altre apartat examinarem aquests sistemes voluntaris d’acreditació dep restadors i de certificació de dispositius segurs de creació de firma electrònica.)

En definitiva, es reconeix el màxim grau d’eficàcia jurídica a la firma electrònicaavançada, sempre que es basi en un certificat reconegut i el dispositiu de cre a c i ósigui segur, la qual cosa es presumirà quan el prestador de serveis estigui acre d i t a t

EL CLIP Nº 3. La firma electrònica Pàg. 3

i el seu dispositiu segur de creació de firma estigui certificat pels òrgans adminis-tratius competents. No obstant això, i des del punt de vista de la seguretat jurídica,qualsevol firma electrònica és susceptible de produir efectes jurídics.

3. L’activitat de prestació de serveis de cert i f i c a c i ó

El paper rellevant de la certificació de firmes electròniques i, per tant, de l’activitatde prestació de serveis de certificació rau en el fet que cal garantir que el signataries correspon efectivament amb qui diu que és.

En l’activitat de prestació de serveis de certificació al públic s’instaura un règim del l i u re competència. No cal autorització administrativa prèvia. Tampoc es poden es-tablir restriccions als serveis de certificació que procedeixin d’algun dels estats mem-b res de la Unió Europea (article 4.1). La prestació de serveis pot fer-se des de la ini-ciativa privada o del sector empresarial, així com des de les administracionspúbliques —directament o mitjançant organismes o societats que en depenen—, so-ta els principis d’objectivitat, transparència i no-discriminació (article 4.2). Pre s t a d o rde serveis de certificació, a l’efecte del Decret llei és “la persona física o jurídicaque expedeix certificats, i que pot pre s t a r, a més a més, altres serveis en re l a c i óamb la firma electrònica” (article 2.k).

En relació amb l’ús de la firma electrònica en les administracions públiques es pre-veu que, per normativa estatal o autonòmica, podran establir-se condicions addi-cionals per salvaguardar les garanties de cada procediment. Entre aquestes condi-cions addicionals podrà incloure ’s la prestació d’un servei de consignació de dia ihora —de l’enviament pel signatari i de la recepció del destinatari—, respecte delsdocuments electrònics integrats en un expedient administratiu. En tot cas, les condi-cions addicionals que es considerin necessàries hauran de garantir el compliment del ’ a rticle 45 de la Llei 30/1992, de 26 de novembre, relatiu a l’ús de mitjanstelemàtics en les administracions públiques, i hauran de ser objectives, raonables ino discriminatòries i no obstaculitzaran la prestació de serveis al ciutadà quan hi in-t e rvinguin distintes administracions públiques, ja siguin nacionals o estrangeres (ar-ticle 5). Tot aquest conjunt de previsions tenen en consideració els efectes substan-cials que l’ús de la firma electrònica tindrà en el procediment administratiu.

Si bé, com s’ha dit, la prestació de serveis de certificació no queda supeditada allliurament d’una autorització de l’Administració, això no vol dir que la incidènciaadministrativa re f e rent a aquesta matèria sigui absent, ja que el Decret llei conté al-gunes previsions que en legitimen la intervenció.

Així, d’una banda, l’article 6 preveu la possibilitat que el Govern, per reial decre t ,estableixi uns sistemes v o l u n t a r i s d ’ a c reditació dels prestadors de serveis de cert i f i-cació i, també, de certificació de productes de firma electrònica. En tot cas, allò queés realment significatiu és que tots els prestadors de serveis que se sotmetin volun-tàriament a aquests sistemes d’acreditació i certificació podran obtenir la corre s p o-nent acreditació de la seva activitat o la certificació del producte de firma elec-trònica que emprin (article 6.3).

La certificació administrativa d’un producte de firma electrònica determinat —deldispositiu de creació de firma electrònica— és especialment important, perquè ambl ’ a c reditació del prestador són els dos requisits que han de concórrer per tal que la

EL CLIP Nº 3. La firma electrònica Pàg. 4

p resumpció legal de l’article 3 tingui cabuda (comentada en l’apartat 2 d’aquestClip). Les característiques d’un dispositiu segur de creació de firma són les següents: 1. Que garanteixi que les dades utilitzades per a la generació de firma poden pro-d u i r-se només un cop i n’assegura raonablement el secret. 2. Que existeixi una se-g u retat raonable que les dades no poden ser derivades de les de verificació de fir-ma o de la mateixa firma, i la firma no pot ser falsificada amb la tecnologia exis-tent en cada moment. 3. Que les dades de creació de firma puguin ser pro t e g i d e sfiablement pel signatari contra la utilització per altres. 4. Que el dispositiu utilitzatno alteri les dades o que el document que hagi de firm a r-se no impedeixi que aque-st es mostri al signatari abans del procés de firma (article 19).

El reconeixement d’acreditacions de prestadors de serveis de certificació, així comde certificacions de productes de firma electrònica, es gravarà amb una taxa (art i-cle 23). El fet imposable és el reconeixement d’ambdues coses per part dels òrg a n scompetents. El subjecte passiu és la persona natural o jurídica que es beneficiï delreconeixement de la corresponent acreditació o certificació. La quota és de 47.500pessetes (285,48 euros) per cada acreditació o certificació, la qual es pagarà en elmoment de presentar la sol·licitud de re c o n e i x e m e n t .

D’altra banda, els prestadors de serveis de certificació establerts a Espanya haurande sol·licitar, abans de l’inici de les seves activitats, la inscripció al Registre que esc rea a tal efecte al Ministeri de Justícia (article 7). El fet de no procedir en aquestsentit es configura com a sanció.

4. Els cert i f i c a t s

Els certificats, resultat de l’activitat de prestació de serveis de certificació al públic,són objecte d’una regulació exhaustiva en el Decret llei (cal no confondre aquestsc e rtificats amb les certificacions de productes de firma electrònica que fal’Administració a instància dels prestadors de serveis de certificació, comentats mésamunt). Es distingeix entre certificats i certificats reconeguts, i en base a aquestad i f e renciació es configuren règims jurídics diferents per als proveïdors de serveis dec e rtificació en funció que expedeixin o no certificats reconeguts. El Decret llei de-fineix allò que s’ha d’entendre per:

1. C e r t i f i c a t : una certificació electrònica que vincula unes dades de verificació def i rma a un signatari i en confirma la identitat (article 2.i).

2. Certificat reconegut: el certificat que conté la informació descrita en l’article 8 iés expedit per un prestador de serveis de certificació que compleix els re q u i s i t senumerats en l’article 12 (article 2.j).

El contingut dels certificats reconeguts, tret que els diferencia dels certificats que po-dríem anomenar ordinaris o normals, queda constituït per (article 8.1):

a) La indicació que s’expedeixen com a tal.b) El codi identificatiu únic del certificat. c) La identificació del prestador de serveis de certificació que expedeix el certificat, indicant el seu nom

o raó social, domicili, direcció de correu electrònic, número d’identificació fiscal i, si escau, dadesd’identificació registral.

d) La firma electrònica avançada del prestador de serveis de certificació que expedeix el certificat. e) La identificació del signatari, pel seu nom i cognoms o a través d’un pseudònim que consti com a

EL CLIP Nº 3. La firma electrònica Pàg. 5

tal de manera inequívoca. També es podrà consignar qualsevol altra circumstància personal del titular encas que sigui significativa en funció de la finalitat pròpia del certificat i sempre que el titular doni el seuc o n s e n t i m e n t .

f) En els supòsits de re p resentació, la indicació del document que acrediti les facultats del signatari per actu-ar en nom de la persona física o jurídica a la qual re p re s e n t i .

g) Les dades de verificació de firma que corresponguin a les dades de creació de firma que es trobin sotac o n t rol del signatari.

h) L’inici i el final del període de validesa del cert i f i c a t .i) Els límits de l’ús del certificat, si es pre v e u e n .j) Els límits del valor de les transaccions per a les quals pot utilitzar-se el certificat, si s’estableixen.

La vigència dels certificats, quant a la seva pèrdua d’eficàcia o suspensió, està re g u l a d aamb detall en el Decret llei (article 9). Destaquem la determinació de les causes de pèr-dua de vigència:

a) Expiració del període de validesa del certificat —el qual, per als certificats reconeguts, no podrà ser superior aq u a t re anys des de la seva expedició.

b) Revocació pel signatari, el seu re p resentat o un tercer autoritzat.c) Pèrdua o inutilització per danys del suport del cert i f i c a t .d) Utilització indeguda per un terc e r. e) Resolució judicial o administrativa que així ho ordeni. f) Mort o incapacitat sobrevinguda, total o parcial, del signatari o el seu re p resentat, i terminació de la re p re-

sentació o extinció de la persona jurídica re p re s e n t a d a .g) Cessament en la seva activitat del prestador de serveis de certificació, excepte que, previ consentiment exprés

del signatari, els certificats siguin transferits a un altre prestador de serv e i s .h) Inexactituds greus en les dades aportades pel signatari en l’obtenció del certificat. La suspensió temporal de

l’eficàcia dels certificats expedits per un prestador de serveis de certificació tindrà lloc quan ho sol·liciti el sig-natari o bé ho ordeni una autoritat judicial o administrativa.

Els certificats fets en el marc dels estats membres de la Unió Europea, en virtut de l’har-monització de les seves legislacions, tindran efecte en qualsevol d’ells. Ara bé, pel que fa alsc e rtificats fets en estats no membres i que, segons la seva legislació, s’expedeixin com a re-coneguts, l’article 10 del Decret llei assenyala que es consideraran equivalents als expedits aEspanya, sempre que es compleixi alguna de les següents condicions:

a) Que el prestador de serveis reuneixi els requisits establerts en la normativa comunitària sobre firma electrònicai hagi estat acreditat conforme a un sistema voluntari establert en un estat membre de la Unió Europea.

b) Que el certificat estigui garantit per un prestador de serveis de la Unió Europea que compleixi els requisits es-t a b l e rts en la normativa comunitària sobre firma electrònica.

c) Que el certificat o el prestador de serveis estiguin reconeguts en virtut d’un acord bilateral o multilateral entre laComunitat Europea i tercers països o organitzacions intern a c i o n a l s .

5. Les obligacions dels prestadors de serveis de cert i f i c a c i ó

Quant a les obligacions dels prestadors de serveis de certificació, les que es preveuen a l’ar-ticle 11 són d’aplicació a tots ells; en canvi, les assenyalades a l’article 12 només ho són pera aquells prestadors que expedeixin certificats reconeguts. Ve g e m - l e s .

Les obligacions comunes són (article 11):

EL CLIP Nº 3. La firma electrònica Pàg. 6

a) Comprovar la identitat dels sol·licitants de cert i f i c a t s .b) Posar a disposició del signatari els dispositius de creació i de verificació de firma electrònica.c) No emmagatzemar ni copiar les dades de creació de firma, excepte que el signatari així ho demani.d) Informar el sol·licitant, abans de l’emissió d’un certificat, del seu preu, de les condicions sobre ús

del certificat, de les seves limitacions d’ús i de com garanteix la seva possible responsabilitat patri-m o n i a l .

e) Mantenir un re g i s t re de certificats, on quedarà constància dels certificats emesos i figuraran les cir-cumstàncies que afectin la suspensió o pèrdua de vigència dels seus efectes. L’accés al re g i s t re po-drà fer-se per mitjans telemàtics i es permetrà a persones que el signatari autoritzi.

f) En cas de cessar en la seves activitats, els prestadors de serveis de certificació hauran de comunicar-ho als titulars de certificats emesos per ells i, d’estar inscrits, al Registre de prestadors de serveis delMinisteri de Justícia, amb una antelació mínima de dos mesos des del cessament.

g) Sol·licitar la inscripció en el Registre de prestadors de serveis de cert i f i c a c i ó .h) Finalment, complir les altres normes previstes en aquest Decret llei i en les normes de desplegament.

En relació amb el cessament de les seves activitats, els prestadors de serveis de cer-tificació, a més de comunicar-ho en els termes de la lletra f, també hauran de trans-f e r i r, amb el consentiment exprés dels titulars dels certificats, aquells que siguinvàlids en la data del cessament a un altre prestador de serveis que els assumeixi obé deixar-los sense efectes (article 13).

Les obligacions específiques dels prestadors de serveis de certificació que expe-deixin certificats reconeguts són (article 12):

a) Indicar la data i l’hora en què es va expedir o deixar sense efecte un cert i f i c a t .b) Demostrar la fiabilitat necessària dels seus serv e i s .c) Garantir la rapidesa i la seguretat en la prestació del servei, especialment pel que fa a la consulta

del Registre de certificats emesos i a l’extinció o suspensió d’eficàcia dels cert i f i c a t s .d) Tenir personal qualificat i amb experiència en la prestació de serveis en l’àmbit de la firma elec-

trònica i els procediments de seguretat i gestió.e) Utilitzar sistemes i productes fiables que estiguin protegits contra tota alteració i que garanteixin la

s e g u retat tècnica i, si escau, criptogràfica dels processos de cert i f i c a c i ó .f) Pre n d re mesures contra la falsificació de certificats i, en el cas que el prestador de serveis de cert i-

ficació generi dades de creació de firma, garantir-ne la confidencialitat durant el procés de cre a c i ó .g) Disposar dels recursos econòmics suficients per operar i, en part i c u l a r, afrontar el risc de la re-

sponsabilitat de danys i perjudicis.h) Conservar registrada tota la informació i documentació relativa a un certificat reconegut durant

quinze anys.i) Abans d’expedir un certificat, informar el sol·licitant sobre el preu i les condicions precises per a l’ús

del certificat, incloent-hi possibles límits de l’ús, l’acreditació del prestador de serveis, els pro c e d i-ments de reclamació i de resolució de litigis, de forma comprensible, i també estarà disponible pera tercers intere s s a t s .

j) Utilitzar sistemes fiables per emmagatzemar certificats, de manera que: 1. Només les persones au-toritzades puguin consultar-los, en cas que únicament estiguin disponibles per a la verificació de sig-n a t u res electròniques. 2. Únicament persones autoritzades puguin fer anotacions i modificacions. 3.Pugui compro v a r-se l’autenticitat de la informació. 4. El signatari o persona autoritzada per accedirals certificats pugui detectar tots els canvis tècnics que afectin els requisits de segure t a t .

k) Informar els usuaris dels seus serveis i dels criteris que es comprometen a seguir en l’exercici de laseva activitat, respectant la legislació aplicable.

En cas d’incompliment de les obligacions imposades per aquest Decret llei, o quanactuïn amb negligència, els prestadors de serveis de certificació respondran pels

EL CLIP Nº 3. La firma electrònica Pàg. 7

danys i perjudicis que causin a qualsevol persona en l’exercici de la seva activitat.A ells, els correspon la càrrega de la prova de demostrar que actuaran amb diligèn-cia. I, en el cas d’ús indegut dels certificats, només respondran quan no haginconsignat en el mateix certificat, de forma clara vers tercers, el límit o l’import delvalor de les transaccions que podien fer-se mitjançant el certificat (article 14).

D’altra banda, els prestadors de serveis de certificació també estan subjectes enrelació amb el tractament de les dades personals que necessitin a la Llei org à n i c a5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades decaràcter personal i a la seva normativa de desplegament (article 15.1). Únicamentpodran recollir dades personals directament dels titulars dels certificats o amb el seuconsentiment explícit que siguin necessàries per a l’expedició i el manteniment delsc e rtificats (article 15.2). Com ja s’ha dit, els signataris poden emprar un pseudònimen lloc del seu nom autèntic i, en aquest cas, els prestadors de serveis de cert i f i c a c i óhan de constatar la identitat veritable i conservar la documentació que així ho acre-diti (article 15.3).

6. Control de l’activitat dels prestadors de serveis de cert i f i c a c i ó

6.1 Inspecció

C o rrespon a la Secretaria General de Comunicacions del Ministeri de Foment con-t rolar el compliment de les obligacions dels prestadors de serveis de cert i f i c a c i ó .Actuarà d’ofici, mitjançant petició raonada del Ministeri de Justícia o d’altres òrg a n sadministratius o a instància de persona interessada i els seus funcionaris adscrits ala Inspecció de Telecomunicacions tindran la consideració d’autoritat pública en eldesenvolupament de l’activitat de control (article 16).

Per la seva part, els prestadors de serveis de certificació tenen el deure de col·la-boració amb la Secretaria General de Comunicacions. Així doncs, hauran de faci-l i t a r-li tota la informació i els mitjans necessaris per a l’exercici de les seves funcions,p e rm e t re l’accés a les instal·lacions i a la consulta de qualsevol documentació re l l e-vant per a la inspecció (article 17).

6.2 Infraccions i sancions

L’ e x e rcici de la potestat sancionadora reconeguda en aquest Decret llei corre s p o ntambé a la Secretaria General de Comunicacions del Ministeri de Foment, el quales desenvoluparà d’acord amb el procediment sancionador comú. El Ministeri deJustícia i altres òrgans competents podran instar la incoació d’un procediment san-cionador mitjançant una petició raonada a la Secretaria (article 28).

Les infraccions previstes en el Decret llei es tipifiquen, en funció de la distinció gen-eral, en infraccions molt greus, infraccions greus i infraccions lleus (article 25, punts1, 2 i 3). Les sancions compreses en el Decret llei seran, per a les infraccions moltg reus, multa, i en cas de reiteració de dos o més infraccions molt greus en el term i-ni de cinc anys podrà donar lloc a una sanció consistent en la prohibició d’actuara Espanya durant un termini màxim de dos anys, la qual, un cop ferma, es comuni-carà al Registre en la matèria per procedir a la cancel·lació de la inscripció re g i s-tral; per a les infraccions greus o lleus, únicament sanció pecuniària, fins a dos mi-

EL CLIP Nº 3. La firma electrònica Pàg. 8

lions per a les lleus (article 26.1). La quantia de les multes es graduarà tenint encompte: a) la gravetat de les infraccions comeses amb anterioritat per l’infractor; b)la re p e rcussió social de les infraccions; c) el dany causat, sempre que no s’hagia p reciat en la qualificació de la infracció; d) el benefici que hagi re p o rtat a l’in-fractor el fet objecte de la infracció (article 26.3).

Les infraccions greus i molt greus, un cop fermes, podran ser publicades al ButlletíOficial de l’Estat i en dos diaris de difusió nacional, i també seran anotades alR e g i s t re de prestadors de serveis de certificació, si bé les anotacions registrals escancel·laran una vegada transcorreguts els terminis de prescripció de les sancionsadministratives previstes en la Llei 30/1992, reguladora del procediment adminis-tratiu comú (article 26.2 i 4).

En els procediments sancionadors per infraccions greus o molts greus es podrana d o p t a r, de conformitat a la Llei 30/1992, de 26 de novembre, i amb respecte ab-solut al principi de pro p o rcionalitat, les mesures cautelars que s’estimin necessàriesper assegurar l’eficàcia de la resolució final del procediment sancionador, les qualspodran consistir en l’ord re de cessament temporal de l’activitat del prestador des e rveis de certificació, en la suspensió de la vigència dels certificats que s’hagin ex-pedit o en altres cauteles (article 27).

7. Consideracions finals

En els darrers dies, el nostre ordenament jurídic ha experimentat una innovació im-p o rtant. El Reial decret llei 14/1999, de 17 de setembre, reconeix explícitamenteficàcia jurídica a les firmes electròniques. D’una banda, equipara les firmes elec-tròniques avançades —sempre que es basin en un certificat reconegut i que haginestat produïdes mitjançant un dispositiu segur de creació de firmes electròniques—a les firmes manuscrites, i estableix, per a les firmes electròniques avançadesbasades en certificats expedits per prestadors acreditats i creades amb un disposi-tiu segur de creació de firma electrònica certificat, la presumpció que reuneixen elsrequisits necessaris per ser equiparades quant a valor jurídic a les firmes manus-crites. D’altra banda, declara que a la resta de firmes electròniques no se’ls negaràeficàcia jurídica pel simple fet de pre s e n t a r-se en forma electrònica.

El Decret llei regula, amb precisió, l’activitat de prestació de serveis de cert i f i c a c i óde firma electrònica al públic, la qual cosa és essencial perquè en l’ús de les firm e selectròniques cal garantir que el titular es correspon amb qui diu que és —cert a-ment, els bits són iguals per a tothom—. Aquesta activitat no queda supeditada aautorització administrativa, si bé aquests podran demanar, voluntàriament, que se’lsa c rediti com a prestadors de serveis i que es certifiquin els productes de firma elec-trònica que emprin, incloent-hi els dispositius segurs de creació de firma electrònica,als òrgans públics competents. Tenint en compte la presumpció establerta al Decre tllei, els prestadors de serveis, possiblement, optaran per adherir-se als sistemes vo-luntaris d’acreditació i certificació.

Sens dubte, el reconeixement legal de la firma electrònica és un element clau per albon funcionament de les comunicacions electròniques i per al desenvolupament deles possibilitats que comporta, tant en el sector privat com en el sector públic —dosexemples d’això són l’increment del comerç electrònic i la conveniència de facilitarles relacions de les administracions públiques amb els ciutadans.

EL CLIP Nº 3. La firma electrònica Pàg. 9

Les institucions d’autogovern

a EscòciaCaràcters d’un sistema asimètric