DESPUÉS de casi dos años de trabajos y varios borradores de anteproyecto, se manda al Consejo de Ministros un texto que sin duda mejora de una forma considerable el referido Real Decreto del año 1999.En mi opinión, los avances en el nuevo texto son innegables; se ha regulado de una forma acertada la necesaria personación ante la entidad de certificación como única forma de identificación de las personas físicas que posteriormente van a firmar los documentos electrónicos, se establece la admisión de los documentos firmados con firma electrónica reconocida como prueba documental en juicio, se enuncia la figura del DNI electrónico como elemento fundamental en la identificación electrónica y como mecanismo dinamizador del uso generalizado de la firma electrónica....
Sin duda, el legislador ha aprovechado estos tres años y medio para proponer un texto mucho más maduro que refleja la experiencia acumulada desde la aprobación del anterior texto de firma electrónica.
Sin embargo, desde el primer borrador de anteproyecto se ha contemplado la posibilidad de que la persona jurídica sea la firmante de los documentos electrónicos, rompiéndose así el esquema tradicional de obligar a la persona jurídica a través de la firma de una persona física convenientemente apoderada. Mis reparos, sin embargo, no vienen por el mero hecho de romper con un esquema tradicional, sino por la inseguridad jurídica que tal reforma pueda ocasionar.
El firmante
Con la prudencia que aconseja el saber que puede haber variaciones en el texto que finalmente se presente y basándome en la última redacción del referido texto que poseo, lo primero que me llama la atención es la definición que se hace del firmante. Según la misma, "firmante es la persona que posee un dispositivo de creación de firma". Teniendo en cuenta que un dispositivo de creación de firma según lo dispuesto en la ley es un programa informático, habremos de entender que el firmante de un documento electrónico es aquella persona que posee un programa informático.En primer lugar, entiendo que quien haya redactado esta definición se refiere, más que a los dispositivos de creación de firma, a los datos de creación de firma. Pero, aun cambiando el término "dispositivo de creación de firma" por "datos de creación de firma", entiendo que muchos de ustedes convendrán conmigo que la mera posesión de un algoritmo de cifrado no otorga a nadie la categoría de firmante. En el mejor de los casos estaríamos hablando de un potencial firmante. De no ser así, estaríamos haciendo añicos la teoría del consentimiento. Cuando alguien estampa su firma manuscrita en un texto está prestando su consentimiento a lo reflejado en el mismo. Trasladándolo al entorno telemático, cuando alguien aplica un algoritmo (dato de creación de firma) a un fichero electrónico presta su consentimiento al contenido de ese fichero electrónico. Lo lógico sería que se definiese firmante como "aquel que aplica los datos de creación de firma".Mi opinión es que se ha eludido esta definición porque la aplicación de los datos de creación de firma solamente la puede realizar una persona física. De incluir en el texto esta definición, se estaría aceptando que solamente pueden firmar las personas físicas.En este sentido, sólo una reflexión que nos lleva de nuevo al principio; la prestación del consentimiento es un acto personalísimo que requiere la lectura del texto, comprensión del mismo y asunción de los derechos y las obligaciones que en él se reflejan.
En la regulación que en el texto propuesto se hace de la firma de persona jurídica se distingue entre el solicitante del certificado, el custodio de los datos de creación de firma y el signatario del documento (persona que aplica los datos de creación de firma).
Se dice que solamente podrán solicitar certificados de persona jurídica aquellas personas físicas que tengan poder bastante para ello. De esta redacción lo lógico es entender que el prestador de servicios de certificación va a verificar la identidad y apoderamiento del que solicita el certificado y no del que firma el documento electrónico, con lo que, de facto, se produce una delegación de facultades en cadena, primero al custodio y éste a la persona que efectivamente aplique los datos de creación de firma, con lo cual se pierde la vinculación entre firmante y certificado electrónico, vinculación ésta que es esencial para garantizar la seguridad en el tráfico electrónico. Mientras en la firma manuscrita la vinculación entre la firma y el firmante es inmediata (la firma consiste en trasladar a unos trazos caligráficos rasgos de tu personalidad), en la firma electrónica, la vinculación entre la firma y el firmante es mediata (a través de un certificado electrónico). En el texto propuesto, la vinculación no es entre firma y firmante sino entre firma y solicitante.
Esquema de responsabilidad
Sin embargo, hay que tener en cuenta que en el artículo 7 del texto propuesto se dice que "el nombre, apellido y cualquier otro dato necesario para la identificación del custodio deben aparecer en el certificado". En estos casos se lograría la vinculación entre custodio y certificado electrónico. Como es lógico, esta vinculación es válida en la medida en que sea el custodio el que aplica los datos de creación de firma. Si por el contrario, los datos de creación de firma son aplicados por un tercero distinto del custodio, volvemos a tener un claro problema de desvinculación, con claras consecuencias en el esquema de responsabilidad 'intrasocietario', ya que si se firma transgrediendo los límites marcados en el certificado, la persona jurídica que supuestamente firma puede desvincularse frente a terceros, recayendo dichos actos sobre el custodio, que podrá repetir contra la persona que hubiese aplicado los datos de creación de firma. Huelga cualquier comentario sobre los riesgos de seguridad jurídica que puede suponer aplicar el esquema propuesto. Con independencia de lo dicho, mi opinión es que en realidad estamos ante una firma de persona física (el custodio) que actúa en representación de la persona jurídica y que puede delegar su firma en otras personas físicas. En este caso sólo existe un problema. Si se asume que quien firma es la persona física (custodio), al delegar la firma (poner a disposición de un tercero su tarjeta con sus datos de creación de firma), ya no mantiene los datos de creación de firma bajo su exclusivo control, con lo cual no estaríamos ante un supuesto de firma electrónica avanzada.
Límites adicionales
En el apartado tercero del artículo 7 se establece que la persona jurídica podrá imponer límites adicionales para el uso de los datos de creación de firma asociados a un certificado. ¿Cómo se ha de interpretar este precepto? ¿Estamos ante la revocación parcial de un poder?, ¿nuevo poder?, ¿poder acordeón, más amplio para el mundo off line que para Internet? En este sentido, convendría recordar el artículo 1.230 del Código Civil y tener en cuenta que un documento firmado con firma electrónica es un documento privado o, a lo sumo, mercantil, y no podría limitar o desvirtuar una facultad concedida y vigente en un documento público de apoderamiento.
Esta laxitud a la hora de regular la firma de las personas jurídicas contrasta con una excesiva exigencia formal en otros supuestos como el párrafo 4 del artículo 11 que exige la inclusión de los datos registrales (Registro Mercantil) cuando dicha inscripción sea obligatoria. Entiendo que convendría distinguir entre el carácter obligatorio de la inscripción registral y el carácter constitutivo de la misma. Parece razonable trasladar las exigencias formales del mundo off line al mundo de Internet, pero no ir más allá. Si la redacción finalmente queda como está, se podría dar la paradoja de que un administrador de una sociedad limitada pueda, por ejemplo, comprar o hipotecar un inmueble al momento siguiente de la firma de la escritura pública, pero que no pueda realizar estos mismos actos utilizando firma electrónica por tener que esperar a la inscripción registral para la expedición del preceptivo certificado reconocido.
Socio de Garrigues Abogados
|
