Ponencia presentada a la Jornada para el Desarrollo Archivístico 2001 titulada:
"Los Sistemas de Información y la Automatización de Archivos"

Título
Comentarios acerca de las deficiencias que presenta él Proyecto de Ley sobre la Firma Digital.

EXPEDIENTE Nº 14257

Vea cómo funciona la Firma Digital en los Procesos Comerciales

Autor:
Licenciado Guillermo Augusto Pérez Merayo
Profesor de Derecho Informático
Facultad de Derecho, Universidad de Costa Rica
Una copia interactiva de este documento se encuentra en: http://www.centrodeconocimiento.com/firmadigital.htm
Se agradecen sus comentarios sobre este artículo a: gapmerayo@centrodeconocimiento.com
Junio 2001

...,...,para que nuestra empresa realice operaciones en la Internet,
es necesario contar con un sistema de autenticación confiable,...,..
comentario de un empresario...

Tabla de Contenido

• I. Ámbito de este análisis
• II. Marco Referencial
• III. Introducción y resumen del Proyecto
• IV.  Antecedentes
• V. Consideraciones sobre el Proyecto de Ley
• 1. Oportunidad del proyecto
• 2. La Exposición de Motivos
• 3. Comentario de Fondo
• a. El Problema de la “Firma Digital Avanzada”
• b. Limitación en el uso de la firma digital ¿puede utilizarla solo el Estado o también los ciudadanos?
• c. La protección al consumidor
• d. Interpretación de la norma sobre firmas digitales
• e. Cuestiones de Forma en el proyecto
• f. ¿Nuevas formas de legislación?
• 4. Comentario sobre el Articulado (artículo por artículo)

• 5. Comentarios Generales al proyecto
  • a. La Confiabilidad del Sistema
  • b. Las Conductas de las partes que intermedian en la Firma Digital
    • 1’. Los proveedores de servicios de certificación
    • 2’. Los firmantes y
    • 3’. Las personas que confían en el sistema
• VI. Conclusiones

Volver

3. Comentario de Fondo

En cuanto al fondo del proyecto este tiene varios defectos, algunos de ellos insalvables y otros subsanables, seguidamente se desglosan.

a. El Problema de la “Firma Digital Avanzada”

El primer defecto de fondo del proyecto esta en que intenta establecer la infraestructura de seguridad jurídica transaccional costarricense fundamentada en la noción de “Firma Digital Avanzada” y el establecimiento de una arquitectura de dos tipos de firmas, la simple y la avanzada. Es importante indicar que el Grupo de Trabajo de la CNUDMI sobre Comercio Electrónico redactor las RUUFD excluyo esta noción de las reglas y usos en la Sesión Trigésimo Sétima celebrada en los meses de junio y julio del año dos mil. Concretamente “...,...se estipuló que algunos temas todavía debían ser aclarados como resultado de la decisión por el Grupo de Trabajo de derogar la noción de la Firma Digital Avanzada de las Reglas Uniformes...,...” (Nota de la Secretaria, folio primero, párrafo tercero, A/CN.9WG.IV/WP.86, publicado el dieciocho de agosto del año dos mil) Es importante hacer notar que el proyecto fue presentado en febrero del dos mil uno siete meses después de la decisión del grupo de trabajo de eliminar de las RUUFD la noción de firma avanzada.

Desde la Sesión Trigésimo Cuarta (A/CN.9/475, párrafo 39) se sugirió que la definición de “firma electrónica avanzada” podría ser necesario reconsiderarla, junto con la arquitectura de las Reglas y Usos Uniformes, una vez que la finalidad de manejar dos categorías de firmas electrónicas hubiese sido aclaradas, particularmente lo concerniente a los efectos legales de ambos tipos de firma electrónica. Posteriormente, en la sesión treinta y cinco “...,...,se hizo notar  que la noción de firma electrónica avanzada hacía innecesariamente compleja la estructura de las Reglas y Usos Uniformes. Adicionalmente, la noción de “firma electrónica avanzada” por sí, se prestaría a una mala interpretación al sugerir que varias capas (layers) de confiabilidad técnica podrán corresponder a un horizonte igualmente diversificado de efectos legales...,.... En esta sesión se pospuso una decisión final sobre si las Reglas y Usos Uniformes dependerían en la noción de “firma electrónica avanzada”, sin embargo el grupo de trabajo acordó que la preparación de una versión revisada de las Reglas y Usos, sería hasta la continuación de la discusión en una sesión futura, “...,...en la cual sería útil introducir una versión con artículos que no dependan en esa noción,...,...” (A/CN.9/465, párrafo 66).

En el documento A/CN.9/WG.IV/WP.84, correspondiente a la Sesión Trigésimo Sexta del Grupo de Trabajo publicado el ocho de diciembre de mil novecientos noventa y nueve, ya se hablaba de los problemas que el concepto de firma digital avanzada causaba. Estipula el documento “...,...en la trigésima tercera sesión se expresaron dudas sobre lo apropiado del uso de los términos “avanzada” o “seguro” para describir técnicas de firmas que podías proveer una grado superior de confianza más que las “firmas electrónicas” en general (A/CN.9/454, párrafo 29). El grupo de trabajo determinó que en ausencia de un termino más apropiado debería utilizarse el término “avanzado”...,....”

Finalmente en la Ley Modelo de la CNUDMI para las firmas electrónicas, en su versión en español para el año dos mil uno, se ha eliminado totalmente la noción de firma digital avanzada. También del artículo, De las Definiciones, se excluyó el concepto en su totalidad. La ley fue totalmente modificada para manejar una única definición de firma electrónica y no dos como ocurría antes (simple y avanzada).

Uno de los más grandes defectos del proyecto de ley, es que induce al legislador a error con el establecimiento de dos tipos de firma digital- la simple y la noción de firma avanzada- como epicentro del mismo. El problema causado por la confusión en los redactores se produce al fundamentar la estructura de firma digital en el concepto de “firma electrónica avanzada” y diferenciarla de la firma simple. Sin embargo, esta noción sola deja establecido el esquema teórico de seguridad, más no la infraestructura necesaria para implementar las firmas en la práctica. El pensamiento común era que con la firma avanzada se plasmaba la infraestructura operacional, lo que esta muy lejos de lo cierto, pues la noción lo único que hizo fue inclinar la ley hacia una tecnología específica; hacia un concepto legal distinto y no hacia una “descripción de una colección de criterios técnicos”.

Hoy día se sabe que solo existe un tipo de firma y que la infraestructura de llave (clave) pública o “Public Key Infraestructure” (PKI) es la única infraestructura de firma digital que cumple con los requisitos de autenticidad, integridad, no repudio (non repudiation) o el no rechazo al documento recibido ni el emitido, la escritura y firma (integridad del mensaje) y la confidencialidad. En caso que se mantenga el concepto en el proyecto y se implemente la noción de firma avanzada y firma simple, de seguro que nuestra infraestructura de firma digital y por ende nuestro ordenamiento jurídico tomará partido hacia una tecnología específica; esto implicaría el abandono de la neutralidad tecnológica que este tipo de leyes exige.

b. Limitación en el uso de la firma digital ¿puede utilizarla solo el Estado o también los ciudadanos?

Otro de los defectos del proyecto lo encontramos localizado en los artículos primero, sétimo y el decimonoveno, este, contrario al anterior es subsanable. La redacción de estos artículos causa confusión sobre quienes podrán utilizar la firma digital dentro del territorio nacional, solo el Estado o también los particulares, esto implica su ámbito de aplicación y por ende su efecto legal.

El artículo primero del proyecto establece el ámbito de aplicación de la futura ley cual es, “...,...,regular el uso y el reconocimiento jurídico de la firma digital”...,..., a la cual le otorga “...,...,la misma validez y eficacia que el uso de una firma manuscrita u otra análoga que conlleve una manifestación de voluntad,...,...”. Todo excelente hasta aquí, pero el articulado no termina, separado por una coma continua con lo siguiente: “...,...,así como autorizar al Estado para su utilización...,...” esto confunde grandemente pues no tiene continuidad con lo anterior. Esta coletilla causa un desconcierto sobre ¿Cuál es la intención del redactor? ¿Es una exclusión que se hace a los particulares del uso de la firma digital?

Pero esto se complica más cuando se relaciona este primer artículo con el sétimo; artículo que forma parte del Capitulo Tercero del proyecto, titulado “Uso de la Firma Digital y Los Documentos Electrónicos por el Estado”. El artículo se lee de la siguiente manera:

ARTÍCULO 7.-        Se autoriza a los Poderes Legislativo, Ejecutivo y Judicial, al Tribunal Supremo de Elecciones, Contraloría General de la República, Defensoría de los Habitantes, así como a todas las instituciones públicas descentralizadas, y entes públicos no estatales para la utilización de la Firma Digital avanzada y los documentos electrónicos firmados digitalmente en sus relaciones internas, entre ellos y con los particulares, de conformidad con las previsiones de esta Ley y su reglamento.

Una interpretación rápida de este artículo deja entrever una intención en el proponente de crear un régimen de la firma digital de uso exclusivo solo por el estado; en cierta forma esto confirma lo que solapadamente y sin ningún sentido se intentó insinuar al final del artículo primero. La intención del redactor no es clara ni mucho menos expresa, se confunde su intención al relacionarla con la coletilla del artículo primero.

Esta cuestión de exclusión o no de los particulares de la aplicación de la ley no tiene nada de nuevo, mientras que la ley de Firmas Digitales del Estado de Utah es aplicable a todos aquellos que desean utilizar las firmas digitales incluido el estado; en el Estado de California el proyecto de ley sobre firmas digitales, al inicio muy similar al de Utah, en su discusión tomo rumbos mas limitados en el sentido de que en la ley final la firma solo era aplicable a las comunicaciones de las entidades públicas. Son pocos los países y estados que han tomado el camino restrictivo la mayoría se ha inclinado por su aplicación a todos los hombres (erga homes). Si la intención del proyecto es con esta limitante, resultaría absurdo excluir al resto de la nación costarricense, del empoderamiento que da la firma digital, de sus beneficios, más en un país exportador como el nuestro. Sería importante conocer las razones que tuvo el proponente con este artículo y cual es la relación de la coletilla del artículo primero.

Ahora bien la cuestión se complica más cuando se relacionan los artículos anteriores con el artículo decimonoveno; aquí se nota la inseguridad del proponente sobre cuales era sus intenciones con este artículo, este se lee de la siguiente manera:

ARTÍCULO 19.- Las disposiciones de esta Ley no deberán entenderse en el sentido de prohibir la existencia de sistemas de Firma Digital basados en convenios expresos entre las partes, las que podrán a través de un contrato fijar sus derechos y obligaciones, y las condiciones técnicas y de cualquier otra clase, bajo las cuales reconocerán su autoría sobre un documento digital o mensaje de datos que envíen, o la recepción de un mensaje de datos de su contraparte.

Este artículo tiene dos interpretaciones, una primera que deviene cuando lo relacionamos con los artículos primero y sétimo, al leerlo inicialmente pareciera como una aclaración, de que el proponente no quiso excluir del todo al ciudadano común del uso de la firma digital. Pero una segunda interpretación, más acorde con la intención original que debió haber tenido el proponente del proyecto, y con la de los redactores de las RUUFD y de la LMFD, es que por medio de este artículo se habilita a las partes contratantes a estipular un tipo de firma digital distinta de la infraestructura de clave (llave) pública o PKI. Este artículo en realidad viene a satisfacer una necesidad más técnica que salomónica, existen sistemas cuyo fin es transar ofertas y compras en un formato conocido como EDI (Electronic Data Interchange) o transferencia electrónica de datos. Este formato tiene una finalidad distinta en los nuevos contratos del mundo virtual, en vez de fijar en el tiempo y en el espacio un riesgo como ocurría en la plaza del mercado, la finalidad de los nuevos contratos es habilitar un constante flujo de información en el mercado espacio y los EDI son perfectos para ello, es aquí donde las partes deben utilizar procedimientos de firma muy propietarios y acordes a los procesos del sistema. Esta es la libertad de contratación a que apela este artículo de “fijar derechos y obligaciones, y las condiciones técnicas y de cualquier otras cosa,...,...o mensaje de datos que envíen, o la recepción de una  mensaje de datos a su contraparte.”

Se hace necesario bastantear sobre cuál es la ventaja de excluir a los particulares del uso de la firma digital, si es que hay alguna, o por el contrario si es que se ha entendido incorrectamente el espíritu del redactor.

c. La protección al consumidor

Otro problema general del proyecto que podría originar una potencial acción de inconstitucionalidad, lo anterior debido a que en todo su contexto no se hace referencia de manera explicita o implícita a la protección al consumidor, ni estipula excepción alguna en la protección o hace apelativo a norma superior o de igual rango que proteja los intereses de los consumidores. Según el espíritu y la letra del proyecto, éste interés difuso de necesaria protección quedaría en el limbo del nuevo mundo transaccional en línea que vendría a legitimar esta futura ley.

Es necesario que en la ley resultante se proteja de manera explicita este interés, lo anterior  con el fin de que los esquemas típicos de desigualdad del mundo físico no trasciendan al mundo virtual.

d. Interpretación de la norma sobre firmas digitales

Una aspecto importante del proyecto es que no establece una prelación para la posible interpretación que pueda ser necesaria hacer en algún momento de la ley por jueces, tribunales, y otras autoridades nacionales o locales. La LMFD en su articulo cuarto, recomiendan que se regule en la ley nacional, la interpretación del texto uniforme haciendo hincapié a su origen internacional, en una necesidad de promocionar la uniformidad, en su aplicación y la observancia de la buena fe. También recomiendan introducir en la ley nacional de firmas digitales, “...,...,que aquellas cuestiones concernientes a la ley modelo que no estén expresamente discernidas en ella, deberán ser resueltas de conformidad a los principios generales en que se fundamentan estas reglas...,...”.

e. Cuestiones de Forma en el proyecto

En cuanto a la forma del proyecto, la separación que se ha hecho en títulos, capítulos y artículos es un tanto redundante, especialmente por ser una normativa tan pequeña. Para su ordenamiento formal se recomienda utilizar una simple enumeración del articulado “etiquetando” cada numeral con no más de cinco palabras el contenido de cada artículo. Acorde con la moderna técnica legislativa, la estructura de títulos, capítulos, secciones y otros es más apropiado de un código.

f. ¿Nuevas formas de legislación?

Por las implicaciones que este proyecto tendrá en la sociedad costarricense, antes de haberlo presentado a la corriente legislativa, se debió haber convocado a TODOS los sectores, vía un Request For Comments o RFC (es una forma de trabajo en la Internet por medio del cual se crea consenso entorno a documentos que pueden resultar polémicos), a exteriorizar su criterio sobre un proyecto de tanta trascendencia. Esto hubiese permitido que, en ves de convertirse en un instrumento de discrepancias como lo será en su momento oportuno por sus serios defectos e incongruencias, se hubiese iniciado con un proceso de consenso precalificado de solidaridad, apoyo y principalmente comprensión de su contenido y su finalidad, para finalmente ser aprobada por una votación unánime y de armonía nacional, en la cual creen absolutamente todos en la sociedad costarricense.

Se recomienda que el Proyecto de Ley que esta en discusión sea puesta a discusión publica en la red (por medio de un RFC’s) en un llamado a la nación para que todos los interesados opinen sobre la ley en general.  Una vez estudiados todos los puntos expresados por todos los interesados, (a favor y en contra) se recomienda elaborar un “libro blanco” el cual será nuevamente puesto a una última discusión pública, para los últimos comentarios; una vez recibidos estos, del libro blanco y de los comentarios deberá nacer el documento final de preconsenso (proyecto de ley) para ser discutido en la comisión legislativa que le corresponda en el parlamento.

4. Comentario sobre el Articulado

Por las implicaciones que tiene el proyecto y la confusión implícita en el mismo debido al uso de la noción de firma digital avanzada, se hace necesario realizar un análisis artículo por artículo.

Artículo 1

El artículo 1 constituye el punto principal del proyecto, debido a que equipara o reconoce la validez y eficacia jurídica entre la firma manuscrita y la realizada por medios digitales.  Su redacción podría ser mejorada una vez que se elimine totalmente la influencia de la firma digital avanzada, de manera que su texto se adecue a la letra de la LMFD.

El lugar de este artículo 1 debería ser ocupado por otro más global que aluda prioritariamente al ámbito de aplicación de la firma digital. No es recomendable hacer aplicables las firmas digitales de manera específica a la administración pública, al ámbito comercial y al personal, sino en todo el ámbito nacional y para todos los hombres (erga hommes).

También es aconsejable que el proyecto en este artículo se refiera explícitamente a la protección del consumidor y que, de las actividades surgidas de esta norma, no puedan establecerse “procesos” totales o parciales contrarios a ley o principio alguno que proteja sus intereses.

Por último, es muy importante incluir las excepciones correspondientes a aquellas situaciones en las que no pueda recurrirse a las firmas digitales; existen algunos actos personalísimos donde no es posible utilizar la firma digital .  La Europa Unida ha elaborado una lista de situaciones de excepción para los gobiernos europeos, que recomiendan no efectuarlas por medio de firma digital.

El contenido principal de este artículo -de equiparación de firma digital a la firma manuscrita- no debería  ubicarse al inicio del proyecto. Se recomienda que este artículo 1 sea substituido por el artículo 1 de la LMFD.

Artículo 2

En este artículo se establecen las definiciones sobre los conceptos utilizados en la ley.  Con el propósito de evitar confusiones y lograr que el proyecto mantenga una neutralidad tecnológica, es muy importante excluir de estos conceptos toda influencia de la noción de firma digital avanzada.

Como consecuencias de la confusión causada por la denominación de firma avanzada, el proyecto es omiso de las definiciones necesarias para establecer una infraestructura de llaves (claves) públicas o un Public Key Infraestructure (PKI). Para tal fin es preciso introducir conceptos tales como “llave privada y pública”, así como la “función de hash” o hash function (composite hash value),  que habilita la posibilidad de comprobar si un documento ha sido modificado o no desde que fue firmado; además, se sugiere incluir el concepto de “Message Digest” o “digesto de mensaje”, así como diferenciar entre el concepto de firma electrónica y firma digital, considerando que la primera corresponde a aquella realizada por una aplicación dentro de una computadora, mientras que la segunda sería efectuada de forma manual, pero en un tablero digital y con una pluma electrónica.

Por último, sería conveniente eliminar el artículo propuesto y substituirlo por el artículo 2 de la LMFD.

Artículo 3

Este artículo propone una definición sobre lo que se entenderá por digital.  En caso de considerarse necesaria esta noción, lo conveniente sería incluirla  en el artículo anterior, de las definiciones.

Se recomienda ubicar en este numeral el artículo 3 de la LMFD, que se refiere a la igualdad de tratamiento de las tecnologías para la firma, como una manifestación de neutralidad tecnológica obligatoria para esta ley especial y la administración del Estado costarricense.

Artículo 4

El artículo 4 y los subsiguientes pertenecen al Capítulo II titulado El Reconocimiento Jurídico de la Firma Digital, donde son evidentes las influencias producidas por la noción de firma digital avanzada.

“ARTÍCULO 4.-     La Firma Digital Avanzada, deberá crearse mediante un dispositivo seguro de creación de firma.”

Sobran los comentarios en cuanto al fondo del artículo, especialmente hoy , cuando se han aclarado los nublados tecnológicos necesarios para un sistema de firma digital básico.  No existe duda de que solo la “firma digital” es la que cumple con los requisitos de autenticidad, integridad, no repudio (non repudiation) o el no rechazo al documento recibido, la escritura y firma (integridad del mensaje) y la confidencialidad. Esta es una cuestión que se materializa en un proceso universal, una vez establecida la correspondiente infraestructura de llave pública (PKI) o de otro tipo, siempre que cumpla con los requisitos mínimos de firma digital.

Se recomienda introducir bajo este numeral el artículo 4 de la LMFD, relativo a la interpretación de la norma.

Artículo 5

Este artículo representa  uno de los más afectados por la noción de “firma digital avanzada”, ya que todo su epicentro  se fundamenta en este concepto y en “el certificado digital reconocido producido por un dispositivo digital seguro de creación de firma”.  Es recomendable liberarlo de la influencia de la firma digital avanzada y retener lo que quede de él en el texto de la ley, junto con los restos del artículo 1.

El segundo párrafo de este artículo es fundamental, por cuanto convalida la exigencia de la ley de “documento escrito debidamente firmado” por el documento “firmado mediante una Firma Digital Avanzada, creada por un dispositivo seguro de creación de firma.” El principio implícito en este párrafo, de convalidación de documentos (escrito/digital), es fundamental para la legitimación de la economía digital y su motor, el comercio electrónico.

Sería recomendable que este numeral 5 sea sustituido por el artículo 5 de la LMFD, que  se refiere a la libertad de las partes de contratar entre estas un modelo de firma distinto del propuesto por la ley o modificar sus efectos , siempre y cuando no se contravenga el orden público.

Artículo 6

Este artículo se refiere a aquellos casos en que un documento firmado por una persona deba ir certificado o autenticado por un notario; también está influenciado en gran medida por la noción de la firma digital avanzada, que se recomienda  eliminar.

En cierta forma, el principio detrás de este artículo, en “los tiempos del comercio electrónico y la economía digital”, es redundante. ¿Cuál es la razón de una segunda firma digital sobre la primera firma digital, cuando esta última es plenamente verificable? La firma digital por sí autentica a la persona firmante, ya que por medio de la llave pública es verificable el hecho de que la firma efectivamente le pertenece .

Este tipo de regulaciones de intermediación, de bastanteo propio del mundo físico y no de uno en donde no existe ni tiempo ni espacio y en el cual las transacciones ocurren en tiempo real, se contrapone a la esencia de la nueva dinámica del mundo virtual , cual es eliminar la fricción de las transacciones del mundo físico, para expeditarlas y hacerlas más baratas. Es importante analizar la función de la certificación notarial,  que hoy se practica -mediación de un ser humano- en el mundo digital. Cabría preguntarse si será necesario este proceso en estos tiempos de desintermediación de las viejas estructuras. En cierta forma la firma del notario en la transacción electrónica implicaría una segunda verificación que produciría iguales resultados de veracidad que los logrados por la verificación de la primera firma.

Una alterativa más evolucionada a esta norma y propia de una ley con visión virtual, sería considerar laexcepción de que, cuando medie una firma digital que cumpla con los cinco requisitos mínimos de firma digital, se tendrán por no vinculantes todas aquellas disposiciones que exijan firmas, certificadas o autenticadas. En realidad, vale la pena cuestionarse sobre la cabida de este tipo de fricciones en la nueva ecología virtual, ya que son normas que inhiben el desarrollo del comercio electrónico y la consolidación de la economía digital. En todo caso, se podría convalidar (sustituir) esta exigencia notarial con la presencia de una certificación realizada por medio de un servidor que realice esta función en la red (proveedor de servicios de firma digital).

Se recomienda reemplazar este artículo por el artículo 6 de la LMFD, en el cual se estipulan los requisitos de una firma digital en cuanto a autenticidad, integridad, no repudio, confiabilidad, escritura y firma.

Artículo 7

Este artículo pertenece al capítulo III titulado, del Uso de la firma digital y los documentos electrónicos por el Estado.  Este artículo viene a regular el uso de la firma digital por las distintas instituciones del estado en sus relaciones internas, entre estas y con los particulares. Precisa eliminar de este articulado la influencia de la noción de firma digital avanzada.  En el caso de que se considere pertinente la materia regulada en este artículo, se recomienda trasladarla al artículo 1 ,en el cual se contempla el ámbito de aplicación de la normativa. Para comentarios de fondo sobre este artículo, véase el numeral romano V, punto dos sobre la Limitación en el uso de la firma digital.

En el numeral de este artículo 7, se recomienda ubicar el contenido del artículo 7 de la LMFD, el cual se refiere al “cumplimiento de lo dispuesto en el artículo 6 (propuesto” de la LMFD).  Este artículo se refiere a que la entidad encargada de la competencia de control de las firmas, podrá determinar qué firmas electrónicas cumplen lo dispuesto en el artículo anterior 6 propuesto.

Continua
Índice
Ir arriba

Nota Importante de Navegación Documental: Este es un documento interactivo que se despliega en varios navegadores a la vez, el artículo, el Proyecto de Ley y la La Ley Modelo de la UNCITRAL, y así según el vínculo que se quiera ver. Para saber en cual “ventana” está ubicado, sírvase apretar simultáneamente, las teclas Alt. y Tab. Manteniendo apretada la tecla Alt. libere la tecla Tab. y podrá navegar entre las ventanas que usted tenga abiertas dentro de proyecto. Gracias.