Edwin Mata es abogado digital, entusiasta de blockchain y CEO y confundador de la legaltech Leypal
En España, como en multitud de países, existe una regulación que tipifica el modelo de firma electrónica y de identidad. Aquí en Europa, tenemos el Reglamento (UE) No 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 (eIDAS), que ha sido traspuesto a la legislación española actualizando la Ley 59/2003, de 19 de diciembre, de firma electrónica. En otro post, ya comentaremos esta ley del 2003, que será derogada por la nueva Ley de servicios de confianza, que se encuentra pendiente de aprobación en las Cortes, una ley que llega 7 años tarde.
El objetivo de este post es hablar sobre los certificados cualificados o reconocidos, que se presentan por la normativa anteriormente referenciada como certificados ligados a nuestra identidad, como si de un DNI o pasaporte se tratase. Podríamos decir, en resumen, que son nuestra identidad digital.
Muchos utilizamos estos certificados, pero ¿sabemos qué son en realidad?
De acuerdo con la ley de firma electrónica, estos certificados cualificados o reconocidos son “documentos electrónicos que relacionan las herramientas de firma electrónica en poder de cada usuario con su identidad personal, dándole así a conocer en el ámbito telemático como firmante”.
Pero cuidado, hay que tener en cuenta que para que un certificado sea considerado de tipo cualificado o reconocido debe ser emitido por un Prestador Cualificado de Servicios de Confianza. En teoría, la obtención de un certificado cualificado es simple, aunque muchas veces esta sencillez varía dependiendo del Prestador Cualificado de Servicios de Confianza al cual se acude.
En cualquier caso, obtener en España un certificado cualificado es relativamente simple, ya que de forma general podríamos decir que tan solo hay que realizar dos pasos:
- Presentar una solicitud de certificado ante el Prestador.
- Personarse ante dicho Prestador con el DNI o pasaporte, para que este Prestador pueda validar nuestra identidad.
Una vez realizados estos dos pasos ya habríamos cumplimentado el proceso de autentificación, y podríamos empezar hacer uso de nuestro certificado cualificado.
Podría parecer que estos certificados tan solo tienen puntos positivos debido a que, como he expuesto, no son tan complicados de obtener y brindan un nivel alto de seguridad jurídica. Pero en realidad, como ya apuntábamos al principio del post, estos esconden una verdad que pocos conocen. En este sentido, hablaríamos de una doble problemática.
Firmar con un certificado cualificado no hace que la firma esté cualificada.
En primer lugar, no es suficiente para que una firma sea considerada como cualificada haber obtenido el certificado por el procedimiento de autentificación. Además, es necesario que cuando la firma se hace efectiva en un documento, ésta se realice dentro de un “dispositivo seguro de creación de firma electrónica”, objeto que probablemente la gran mayoría de personas no dispone, no sabe usar o no tiene acceso.
Mala gestión del certificado cualificado
En segundo lugar, muchos de los usuarios de estos certificados no gestionan su propio certificado, ya que desconocen lo que supone legalmente el operar con uno.
Como anteriormente he expuesto, la ley equipara el certificado a nuestro DNI o pasaporte, convirtiéndolo en una forma eficaz de identificarnos en el mundo online, y siendo muy común que la persona dueña del certificado no sea quien realmente haga uso de él, y se trate normalmente de un gestor o de un abogado. Además, en algunos casos, como ocurre dentro de las empresas, el certificado es usado por múltiples personas.
Pero esta forma de actuar en el mundo online no casa con la manera en que procedemos en el mundo offline, ya que nadie, o al menos eso creo y espero, hace entrega de su identificación (DNI o pasaporte) a terceros para que hagan uso de su identidad. La única forma que legalmente existe es a través del otorgamiento de poderes, cuya gran mayoría se realiza ante notario.
En resumen…
A mi parecer esto es un hecho gravísimo: podríamos decir que, al hacer entrega del certificado cualificado a un tercero, esa persona esta tácitamente otorgándole un poder general. Esto supone que los dueños de los certificados sean los sujetos que asumen la responsabilidad por las actuaciones, manejo y autoría de los actos efectuados con su certificado cualificado por un tercero. En ningún caso, el propietario del certificado podrá negar la autoría del hecho realizado con el certificado, ya que estos ostentan la cualidad de no repudio, entendiéndose por éste la imposibilidad de negar la autoría del acto.
Conclusión
El objetivo de este post es poner de relieve lo que verdaderamente es un certificado, y tratar que el lector entienda lo que realmente tiene en sus manos.
Como conclusión, si bien es verdad que los certificados son un instrumento jurídico que brindan una seguridad en las transacciones on-line, el desconocimiento de su uso puede causar grandes perjuicios para sus propietarios. En consecuencia, estamos aún lejos de la identidad digital que la ley promulga. El primer paso para superar esta problemática es una concienciación de la ciudadanía de lo que en realidad son los certificados cualificados y sus propiedades.
Etiquetas: Autentificación, Certificado cualificado, Firma digital, Firma electrónica, Identidad digital, Leypal, Prestador cualificado de servicios de confianza