Introducción a la Normativa de firma digital y a su régimen de aplicación
FIRMA DIGITAL
Es el resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma.
Los procedimientos de firma y verificación a ser utilizados para tales fines serán determinados por la autoridad de aplicación (Jefatura de Gabinete de Ministros) en consonancia con estándares tecnológicos internacionales vigentes los que se pueden consultar accediendo a http://www.pki.gov.ar.
Todo el sistema de infraestructura de firma digital establecido en la ley 25.506 y Decreto reglamentario 2628/2002 descansa sobre un sistema en el que intervienen:
Ø Autoridades certificantes,
Ø Suscriptores de certificados de clave pública
Ø Terceros usuarios de dichos certificados o persona que confía en dicho certificado
Ø Autoridad de Aplicación, (Jefatura de Gabinete de Ministros)
Ø Organismo licenciante (Oficina Nacional de Tecnologías de Información)
Ø Sistema de Auditoría creado por la misma normativa.
Los sistemas de comprobación de autoría e integridad que admite nuestro régimen son:
a. Firma Electrónica
b. Firma Digital basada en certificado digital emitido por certificadores no licenciados (produce los efectos de firma electrónica)
c. Firma Digital basada en certificado digital emitido por certificador licenciado (produce efectos de firma digital amparada por la presunción de autoría e integridad)
d. Firma Digital basada en certificado digital emitido por certificador extranjero que haya sido reconocido por un certificador licenciado en Argentina.
ENTIDAD CERTIFICADORA LICENCIADA
Se trata de aquella autoridad que ha cumplido con todos los requisitos del proceso de licenciamiento. El referido proceso es algo así como un regulador mínimo para proporcionar un nivel básico de confianza en las prácticas de la autoridad de certificación, de tal manera que las partes en una transacción pueden verificar sus firmas digitales por referencia a un certificado emitido por una autoridad de certificación con licencia.
REQUISITOS
Los requisitos que debe reunir una AC a los fines de aprobar el proceso de licenciamiento se clasifican de la siguiente manera:
Ø Requisitos técnicos: Consistentes en la utilización de sistemas seguros y de confianza para el desarrollo de sus actividades (por ejemplo para emitir suspender o revocar un certificado, publicar o dar noticia de su emisión, suspensión de un certificado, o para crear o salvaguardar su propia clave privada).
Ø Requisitos de personal: El personal debe ser competente, tanto desde el punto de vista de la gestión como de la técnica, y de confianza.
Ø Requisitos Financieros: Son aquellos con que debe contar la AC para el desarrollo de su negocio a lo que se le debe adicionar el requisito de ofrecer una garantía adecuada para afrontar eventuales responsabilidades por daños, por error o negligencia o como consecuencia de cualquier acción u omisión.
Ø Auditoria: A los fines de controlar la fiabilidad de la autoridad de certificación (en la normativa de firma digital y en el procedimiento de licenciamiento de la ONTI están establecidos los distintos tipos de auditorias a realizarse), la AC deberá aprobar una auditoría de inicio, requisito para la obtención de su licencia y auditorias anuales o de control. Se pueden ver las normas de procedimiento para licenciar en consulta pública http://www.pki.gov.ar/.
DOCUMENTACION DE ACTIVIDADES
Implica que la AC es capaz de probar sus propias operaciones y actuaciones en el futuro. Todos los registros y documentación se deben conservar y deben ser accesibles electrónicamente.
PLANES DE CONTINGENCIA Y RECUPERACIÓN:
La AC debe contar con planes de contingencia frente a posibles amenazas y debe evitar desastres tomando acciones preventivas, dadas las graves consecuencias que se podrían derivar de una paralización del funcionamiento de sus sistemas.
FINALIZACIÓN DE ACTIVIDADES:
La finalización debe llevarse a cabo evitando hasta los mínimos perjuicios para titulares y usuarios de certificados. Cuando la AC finaliza sus actividades, con el fin de evitar daños a sus clientes y terceros usuarios, puede traspasar sus funciones y actividades a una AC fiable. De no ser así debe revocar inmediatamente todos los certificados emitidos y vigentes.
MERCADO:
A la fecha no existe ningún Organismo licenciado. En breve se estarían consolidando las normas que van a regir el procedimiento de licenciamiento. Esto significa que todas las AC actuales emiten certificados con efecto de firma electrónica, salvo que las partes por acuerdo pacten en darle valor de firma digital.
NORMATIVA APLICABLE
Ley 25506 y decreto reglamentario 2628/2002 y normativa de licenciamiento emitida por la ONTI, a la fecha sujeta a aprobación por la AA.
REGIMEN DE RESPONSABILIDAD ESTABLECIDO EN LA LEY 25.506 DE FIRMA DIGITAL
RESPONSABILIDAD DE LA AUTORIDAD CERTIFICANTE
La actividad llevada a cabo por una AC es una actividad riesgosa cuyo régimen de responsabilidad es establecido por la ley conforme a los siguientes parámetros:
RESPONSABILIDAD CONTRACTUAL
Surge del artículo 37 de la ley 25.506 el que establece que la relación entre el certificador licenciado que emita un certificado digital y el titular de ese certificado se rige por el contrato que celebren entre ellos, sin perjuicio de las previsiones de la presente ley, y demás legislaciones vigentes.
RESPONSABILDIAD EXTRACONTRACTUAL
Surge del artículo 38 de la ley 25.506, el que establece que el certificador que emita un certificado digital o lo reconozca en los términos del art.16 de la ley, es responsable por los daños y perjuicios que provoque, por los incumplimientos a las previsiones de la ley, por los errores y omisiones que presenten los certificados digitales que expida, por no revocarlos en legal tiempo y forma cuando así correspondiere y por las consecuencias imputables a la inobservancia de procedimientos de certificación exigibles. Corresponderá al prestador del servicio demostrar que actuó con la debida diligencia.
DEL CERTIFICADOR LICENCIADO Y DE LA AUTORIDAD DE REGISTRO
Por otro lado el Decreto 2628/2002 en su artículo 36 establece la responsabilidad del Certificador Licenciado respecto de la Autoridad de Registro.
El certificador licenciado es responsable aún cuando delegue parte de su operatoria en Autoridades de Registro, sin perjuicio del derecho del Certificador de reclamar a la Autoridad de Registro las indemnizaciones por los daños y perjuicios que aquel sufriera como consecuencia de los actos u omisiones de éstas. Significa que el Certificador responde solidariamente, aunque no en forma exclusiva, frente a terceros frente al suscriptor y frente a la Autoridad de Aplicación.
La Autoridad de Registro debe adecuar su operatoria a lo que establezca la Autoridad de Aplicación y tiene responsabilidad directa frente a ella, debiendo elaborar sus políticas de certificación y plan de contingencia, debiendo, también ser auditada al igual que el certificador por el ente licenciante.
De allí que sea importante que la Autoridad de Registro se encuentre identificada en el certificado del suscriptor.
LIMITACIONES DE RESPONSABILIDAD
Los certificadores licenciados no son responsables en los siguientes casos:
a) Por los casos que se excluyan taxativamente en las condiciones de emisión y utilización de sus certificados y que no estén expresamente previstos en la ley,
b) Por los daños y perjuicios que resulten del uso no autorizado de un certificado digital, si en las correspondientes condiciones de emisión y utilización de sus certificados constan las restricciones de su utilización.
c) Por eventuales inexactitudes en el certificado que resulten de la información facilitada por el titular que, según lo dispuesto en las normas y en los manuales de procedimientos respectivos, deba ser objeto de verificación, siempre que el certificador pueda demostrar que ha tomado todas las medidas razonables.
El decreto 2628/2002 establece en su artículo 29 referido a POLITICAS DE CERTIFICACIÓN, que la Autoridad de Aplicación definirá el contenido mínimo de las políticas de certificación de acuerdo con los estándares nacionales e internacionales vigentes, las que deberán contener al menos la siguiente información:
Ø identificación del certificador licenciado
Ø Política de administración de los certificados y detalles de los servicios arancelados.
Ø Obligaciones de la entidad y de los suscriptores de los certificados.
Ø Tratamiento de la información suministrada por los suscriptores, y resguardo de la confidencialidad en su caso.
Ø Garantías que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades
GARANTIAS DE LA AUTORIDAD DE CERTIFICACIÓN.
El artículo 30 de la ley 25.506 se refiere específicamente a SEGUROS y establece que el certificador licenciado debe contar con seguros vigentes acordes con las responsabilidades asumidas, que cumplan con los siguientes requisitos.
a) Ser expedidos por una entidad aseguradora autorizada para operar en la República Argentina.
b) Establecer la obligación de la entidad aseguradora de informar previamente al Ente Administrador de la Infraestructura de Firma Digital la terminación del contrato o las modificaciones que reduzcan el alcance o monto de la cobertura.
Los certificadores licenciados pertenecientes a entidades y jurisdicciones del Sector Público quedarán exentos de la obligación de constituir el seguro previsto en el presente artículo.
El artículo 31 de la ley 25.506 establece finalmente que en ningún caso la responsabilidad que puede emanar de una certificación efectuada por un certificador licenciado público o privado, comprometerá la responsabilidad pecuniaria del Estado en su calidad de Ente Administrador de la Infraestructura de Firma Digital.
GESTION DEL RIESGO:
La problemática consiste en la dificultad de cuantificar el riesgo dado que la AC no puede controlar el uso o los usos que el suscriptor dará a dicho certificado
Desde el punto de vista del suscriptor o usuario de un certificado, especialmente si son consumidores o terceros usuarios de certificados, no podrían participar en un mercado cuyas condiciones económicas y legales fueren oscuras.
Tampoco esto es favorable a las AC comerciales, puesto que sino existe un marcado desarrollo de una infraestructura de clave pública no podrá existir tampoco desarrollo de comercio electrónico seguro.
Toda actividad empresarial se difunde cuando implica beneficios, pero estos beneficios dependen del grado de riesgo asociado con la obtención de dicho beneficio. Este riesgo es inevitable y el empresario lo tiene que afrontar.
PRINCIPIOS BÁSICOS DE GESTIÓN DE RIESGOS
Ø Identificar los riesgos que se afrontan.
Ø Evitar riesgos razonablemente evitables.
Ø Autoprotegerse de los riesgos que no pueden evitarse (lo que normalmente se realiza mediante declinaciones de responsabilidad contractual o beneficiándose de las posibles limitaciones legales de responsabilidad)
Ø Asumiendo los riesgos que no se pueden evitar ni por vías legales ni contractuales.
En este último supuesto generalmente se hecha mano al aseguramiento, la autofinanciación o cualquier otra forma de protegerse del impacto de los riesgos remanentes del negocio. Pero para poder hablar de gestión de riesgo primero habría que identificar el riesgo, riesgo que desde ya se vislumbra como muy alto para las AC sometidas a las normas generales sobre responsabilidad.
El titular de un certificado podrá enviarlo adosado a varios mensajes electrónicos que impliquen diversas operaciones cuyo número y cuantía total será imprevisible para la AC. Esta imposibilidad de control del uso del certificado no se da por ejemplo respecto de la entidad emisora de una tarjeta de crédito. Esta última puede establecer un límite máximo de autorización y, calcular su responsabilidad en caso de utilización no autorizada de tarjeta de crédito. Una entidad certificadora sin embargo no tiene la posibilidad de autorizar cada operación individualmente, desconoce las condiciones de las operaciones realizadas por sus clientes, de allí la imposibilidad de fijar un límite de responsabilidad. Lo que normalmente sucede entonces es que las AC dictan su propia normativa llamada "Política de Certificación" instrumento que se utiliza para gestionar el riesgo incierto.
Generalmente, se incluyen en esta normativa cláusulas limitativas o exonerativas de responsabilidad que dejan vacias de contenidos a las demás cláusulas donde constan los derechos y obligaciones de las partes. Actualmente, es opinión de la AA de la infraestructura de firma digital, que cuando entre en vigencia la nueva normativa ONTI, sobre "Requisitos para el licenciamiento de certificadores licenciados", se deberán exigir seguros a las AC, los que quedarán a su criterio conforme con su operatoria., pudiendo la AA exigir su rectificación
NECESIDADES
Ø DE LIMITAR EL RÉGIMEN DE RESPONSABILIDAD DE LA AC El comercio electrónico seguro basado en certificados desaparece si la responsabilidad de la AC es alta e incierta y el coste del aseguramiento enorme. Por lo que o bien la AC se autoasegurará, declarándose insolvente si debe afrontar una alta reclamación, lo que implica que el riesgo se traslade a las partes implicadas o bien, la otra alternativa ante este panorama es que cargue precios muy altos y emita pocos certificados lo cual también va en perjuicio del sistema.
Ø DE ESTABLECER UN REGIMEN DE RESPONSABILIDAD: Si aplicamos un régimen general de responsabilidad derivado de la emisión y utilización de certificados tendríamos que aplicar criterios generales de responsabilidad que nos sitúa entre una solución contractual o legal, de responsabilidad objetiva o subjetiva.
SUPUESTOS QUE PUEDEN EVENTUALMENTE GENERAR RESPONSABILIDAD
Luego de analizar todo el articulado tenemos que abordar la cuestión de la responsabilidad de la autoridad de certificación por la emisión de certificados erróneos, quienes son los sujetos frente a los cuales la AC va a asumir responsabilidad y determinar la índole de dicha responsabilidad.
A decir verdad todo esto no es muy claro puesto que no se sabe aún como se va a desenvolver el mercado ni tampoco se cuenta con un seguro apropiado que cubra el riesgo que implica esta nueva actividad. Si la responsabilidad es contractual el suscriptor puede resultar perjudicado por falsas declaraciones contenidas en el certificado producidas como consecuencia de la actuación de la AC.
POSIBLES ESCENARIOS DE RESPONSABILIDAD QUE PODRÍAN PLANTEARSE:
Por ejemplo cuando la AC a través de sus AR incluyeran en el certificado un nombre distinto al verdadero nombre del solicitante (atribuye un certificado a B y no a A que fue quien lo solicitó, dejando a A sin firma pudiendo también perjudicar a B si este existe. O bien omite o incluye erróneamente un atributo en el certificado -título profesional o poder de representación del solicitante), todos estos errores pueden perjudicar al suscriptor que pierde su capacidad de firmar digitalmente o bien puede perder oportunidades de contratar.
Hay que tener en cuenta que el hecho de que exista un contrato y que como lo permite la ley el certificador pueda limitar su responsabilidad frente al suscriptor, implica que asume una responsabilidad contractual pero por otro lado al exigirse la aceptación del certificado por parte del suscriptor esto hace a la posibilidad que el suscriptor detecte dichos errores y haya de asumirlos en caso contrario.
El tema se centra en aquellos cambios que se produjeran una vez aceptado el certificado y antes de su emisión, cambios cuya eventual existencia dependería del sistema que se utilizara para obtener dicha aceptación, si se presentara a la aceptación del suscriptor una copia del certificado digital firmada digitalmente por la AC difícilmente se producirá una modificación del contenido aceptado por el suscriptor, en cambio ello si sería posible si se presentara un simple modelo o borrador de certificado, sin firma digital de la AC y sin garantías de integridad.
Respecto del tercero usuario, este puede resultar perjudicado por falsas declaraciones contenidas en el certificado, por ejemplo resulta engañado por confiar en un certificado falso como consecuencia de actuaciones del suscriptor (caso en que el suscriptor suministra datos falsos a la AC o está suplantando la personalidad de un tercero). Este tercero usuario establece una relación con el suscriptor extracontractual, que se basa en la confianza que para él genera un certificado emitido como consecuencia de la relación contractual existente entre el suscriptor y la AC.
En suma, el hecho que un tercero confíe en un certificado para verificar una firma digital, y el riesgo de pérdida derivado de tal confianza es algo totalmente previsible cuando una AC emite un certificado. Por lo que si el deber de emitir certificados en forma adecuada existe fuera del contrato y frente a terceros, es la AC la responsable de crear una falsa apariencia entre el tercero si no comprueba debidamente los hechos que el solicitante declara en el certificado.
Si el certificado es falso y el suscriptor está suplantando a un tercero existe toda una responsabilidad frente a dicho tercero basada en la apariencia. Si la AC emite un certificado y finge la intervención de personas que realmente no intervinieron, ejemplo entrega a B un certificado emitido a nombre de A sabiendo que B no es A nos encontraríamos ante un caso de falsedad documental. La autoridad podría modificar el contenido inicial del certificado, volviéndolo a firmar con su clave privada actuación que solo podría evitarse mediante el uso de un sello temporal.
En todos estos casos la autoridad comete falsificación de documento privado conforme nuestro Código Penal.
Otro de los problemas de responsabilidad importantes es quien responde por mal uso de la clave privada cuando ni siquiera el suscriptor tiene conocimiento de su compromiso y, quien responde una vez que se ha pedido la revocación del certificado pero dicha revocación aún no ha sido decidida o anunciada por la autoridad de certificación.
Partimos de la base que el sistema de distribución de riesgos existente para el caso de tarjetas de crédito no se podría aplicar al sistema de certificados, la gran diferencia es el alto grado de imprevisibilidad que existe en el caso de los certificados, en el caso de tarjetas de crédito se establece un límite máximo de autorización que representa el riesgo asumido por la entidad emisora y por el titular en caso de pérdida o sustracción. Sin embargo cuando se expide un certificado este puede adjuntarse a varios mensajes en diversas operaciones cuya cantidad total sería la mayoría de las veces imprevisible de tal manera que el riesgo asumido por la AC y el usuario en caso de puesta en peligro de la clave privada es absolutamente incierto.
Es relevante la actuación diligente o negligente del titular de la clave, ya que si el suscriptor hubiera sido negligente la AC no cubriría el riesgo producido, es más tendría derecho a denegarle la emisión de un nuevo certificado. Por lo que el límite de todo sistema de responsabilidad estaría dado por la mala fe del suscriptor antes de la revocación del certificado.
En principio el suscriptor asume la responsabilidad derivada del mal uso de la clave privada, pero igual que en el sistema de tarjetas se puede liberar de su responsabilidad procediendo a comunicar el peligro del compromiso de la clave a la AC y solicitando la revocación del certificado, esta es la única forma de liberarse de responsabilidad y trasladarla a la AC.
Una vez que se ha tenido conocimiento de la puesta en peligro de la clave privada, el suscriptor solicita la revocación de su clave pero un tercero la utiliza en el período intermedio durante el período entre la petición de revocación y la decisión e inclusión en una lista de certificados revocados. Este es el supuesto que más dudas plantea en la actualidad y quizá lo mas justo sería adoptar en este supuesto un sistema de responsabilidad compartida.
La decisión de revocación ya ha sido tomada y formalmente anunciada pero el usuario del certificado no tuvo medios de conocerla todavía. La clave aquí es la apariencia creada por la AC si la lista de certificados revocados no ha sido publicada no se les puede oponer revocación alguna, si la revocación ya fue incluida en la lista le es oponible.
Una vez que el certificado revocado ha sido publicado, es responsabilidad del usuario de dicho certificado el uso del mismo. El usuario tiene la carga de consultar permanentemente la vigencia y validez del certificado caso contrario tendrá que asumir consecuencias jurídicas. Esta situación podrá ser mejorada considerablemente cuando las transacciones firmadas o mensajes lleven sellos temporales de confianza a fin de determinar el momento exacto en que la clave fue revocada para evitar responsabilidad por los contratos firmados con la clave privada revocada.
DEFENSA DEL CONSUMIDOR EN LA LEY 25.506
Toda la normativa sobre firma digital está inbuida de una fuerte protección a los derechos del consumidor.
OBLIGACION DE INFORMAR .
Son obligaciones del certificador licenciado:
a) Informar a quien solicita un certificado con carácter previo a su emisión y utilizando un medio de comunicación las condiciones precisas de utilización del certificado digital, sus características y efectos, la existencia de un sistema de licenciamiento y los procedimientos, la forma en que garantiza su posible responsabilidad patrimonial y los efectos de la revocación de su propio certificado digital y de la licencia que le otorga el ente licenciante. Esa información deberá estar libremente accesible en lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros;
b) Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales por él emitidos;
c) Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación;
d) Operar utilizando un sistema técnicamente confiable de acuerdo con lo que determine la autoridad de aplicación;
e) Notificar al solicitante las medidas que está obligado a adoptar para crear firmas digitales seguras y para su verificación confiable, y las obligaciones que asume por el solo hecho de ser titular de un certificado digital;
f) Recabar únicamente aquellos datos personales del titular del certificado digital que sean necesarios para su emisión, quedando el solicitante en libertad de proveer información adicional;
g) Mantener la confidencialidad de toda información que no figure en el certificado digital;
h) Poner a disposición del solicitante de un certificado digital toda la información relativa a su tramitación;
i) Mantener la documentación respaldatoria de los certificados digitales emitidos, por diez (10) años a partir de su fecha de vencimiento o revocación;
j) Incorporar en su política de certificación los efectos de la revocación de su propio certificado digital y/o de la licencia que le otorgara la autoridad de aplicación;
k) Publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, la lista de certificados digitales revocados, las políticas de certificación, la información relevante de los informes de la última auditoría de que hubiera sido objeto, su manual de procedimientos y toda información que determine la autoridad de aplicación;
l) Publicar en el Boletín Oficial aquellos datos que la autoridad de aplicación determine;
m) Registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas;
n) Informar en las políticas de certificación si los certificados digitales por él emitidos requieren la verificación de la identidad del titular;
o) Verificar, de acuerdo con lo dispuesto en su manual de procedimientos, toda otra información que deba ser objeto de verificación, la que debe figurar en las políticas de certificación y en los certificados digitales;
p) Solicitar inmediatamente al ente licenciante la revocación de su certificado, o informarle la revocación del mismo, cuando existieren indicios de que los datos de creación de firma digital que utiliza hubiesen sido comprometidos o cuando el uso de los procedimientos de aplicación de los datos de verificación de firma digital en él contenidos hayan dejado de ser seguros;
q) Informar inmediatamente al ente licenciante sobre cualquier cambio en los datos relativos a su licencia;
r) Permitir el ingreso de los funcionarios autorizados de la autoridad de aplicación, del ente licenciante o de los auditores a su local operativo, poner a su disposición toda la información necesaria y proveer la asistencia del caso;
s) Emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para proveer los servicios ofrecidos y en particular, competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma digital y experiencia adecuada en los procedimientos de seguridad pertinentes;
t) Someter a aprobación del ente licenciante el manual de procedimientos, el plan de seguridad y el de cese de actividades, así como el detalle de los componentes técnicos a utilizar;
u) Constituir domicilio legal en la República Argentina;
v) Disponer de recursos humanos y tecnológicos suficientes para operar de acuerdo a las exigencias establecidas en la presente ley y su reglamentación;
w) Cumplir con toda otra obligación emergente de su calidad de titular de la licencia adjudicada por el ente licenciante.
OBLIGACION DE INFORMARSE POR PARTE DEL SOLICITANTE DE UN CERTIFICADO
El solicitante deberá suscribir un contrato con el certificador, contrato que tiene una base contractual pero un fuerte fondo reglamentarista, integrando dicho contrato la Política o Políticas de Certificación del certificador.
De allí la importancia del conocimiento por parte del solicitante y tercero usuario del contenido de dichas políticas, puesto que no podrá eximirse de responsabilidad el usuario o tercero que utilice un certificado que está revocado o bien aquél que no lo utilice para los fines establecidos en la Política de Certificación publicada por el certificador en su sitio web y aprobada por la Autoridad de Aplicación de la infraestructura de firma digital.
OBLIGACION DE INFORMARSE POR PARTE DEL TERCERO USUARIO DE UN CERTIFICADO.
El tercero usuario deberá aceptar la Política de Certificación de la AC cuando verifica la firma del titular del certificado, en esta oportunidad tiene la obligación de interiorizarse acerca de los términos y condiciones de la misma y de aceptar o rechazar dicho certificado.
La Decisión Administrativa ONTI acerca de los requisitos que deberán cumplir los Certificadores que deseen adquirir una licencia, pendiente de aprobación, establece la obligación del usuario y del tercero de aceptar los acuerdos tipo establecidos por el Certificador, los que deberán ser interpretados conforme lo establece la ley de defensa del Consumidor, ley 24.240.
DEFENSA DEL USUARIO
La futura "Decisión Administrativa" Onti sobre requisitos que deberán cumplir los certificadores que deseen obtener el carácter de licenciados establece en sus artículos los siguiente:
ARTÍCULO 46.- Obligación de informar. Los certificadores licenciados deberán informar a todo solicitante, previo a la emisión de los correspondientes certificados, la política de certificación bajo la cual serán emitidos, sus condiciones y límites de utilización, condiciones de la licencia obtenida y de todo aquello que fuere relevante con relación a un uso correcto y seguro de dichos certificados, como así también prever procedimientos que aseguren la resolución preventiva de conflictos.
ARTÍCULO 47.- Aceptación de certificados por terceros usuarios. Los terceros usuarios se encuentran en libertad de aceptar o rechazar los certificados digitales según los criterios que ellos determinen. Dichos criterios deben ser manifestados en forma clara y transparente a los titulares de certificados que pretendan operar con ellos.
ARTÍCULO 48.- Reclamos. En caso de reclamos de los usuarios de certificados digitales que se encuentren relacionados con la prestación de los servicios de un certificador licenciado conforme los términos de la presente normativa, el ente licenciante procederá a recibir la denuncia correspondiente, la que deberá ser evaluada y resuelta sin más trámite mediante la instrucción de las actuaciones correspondientes y, sin perjuicio de dejar a salvo los derechos de las partes en conflicto de recurrir a la vía judicial cuando así lo creyeran conveniente.
DERECHO COMPARADO
La Directiva sobre un marco común para los servicios de firma electrónica en su artículo 6 establece que los prestadores de certificación están sujetos a la normativa nacional en materia de responsabilidad, que la heterogeneidad de dicha normativa puede generar inseguridad jurídica, particularmente para los terceros que utililicen dichos servicios, que ello perjudicaría al comercio transfronterizo y el buen funcionamiento del mercado interior, que la armononización de la normativa sobre responsabilidad aportará seguridad y previsibilidad jurídica, tanto a proveedores como a consumidores, estableciendo:
"Los proveedores de certificación responden de la exactitud de la información contenida en el certificado reconocido y de que el titular identificado en el certificado tiene la clave privada correspondiente, y adecuada, sin pronunciarse respecto de la naturaleza de la responsabilidad, pero al final indica que la misma se dará "salvo que el proveedor de servicios de certificación demuestre que no ha actuado con negligencia", lo que permite concluir que la Directiva opta por la responsabilidad con culpa.
En esta Directiva un proveedor responderá si ha sido negligente y no será responsable si puede demostrar que no lo ha sido. Por lo que el sistema de la Directiva es un sistema de responsabilidad subjetiva.
El real decreto regula la responsabilidad de los prestadores establecidos en España, el núcleo de la regulación la encontramos en el art.14 el cual establece : " lo dispuesto en este artículo, se entiende sin perjuicio de lo establecido en la legislación sobre protección de los consumidores y usuarios".
El sistema de responsabilidad que establece el Real decreto es similar al de nuestra ley puesto que los criterios básicos son: responsabilidad frente al titular del certificado y frente a terceros, responsabilidad subjetiva con inversión de la carga de la prueba, pudiendo ser esta responsabilidad contractual o bien extracontractual. O bien responsabilidad objetiva por el solo incumplimiento de sus deberes como certificador.
En el Real Decreto entonces existen dos regímenes de responsabilidades, el que se origina por el mero incumplimiento de las obligaciones del certificador (responsabilidad objetiva) y la responsabilidad que se origina en su actuación negligente (responsabilidad subjetiva), por lo que el certificador responderá en ambos supuestos siempre que se hayan producido daños y perjuicios.
INTENTO DE DISEÑO DE UN REGIMEN DE RESPONSABILIDAD EN EL SISTEMA DE CERTIFICADOS
Luego de detectar los supuestos que eventualmente pueden generar responsabilidad sería importante marcar las directrices de un régimen general de responsabilidad. La responsabilidad contraída por una AC dependerá del tipo de servicio que preste, su política de certificación y lo especificado en el contrato con los respectivos suscriptores. Téngase en cuenta que la mayoría de AC incluyen en el certificado una breve declaración de sus limitaciones de responsabilidad con un enlace al texto completo contenido en sus declaraciones de práctica.
En realidad el daño rara vez resulta directamente de la expedición de un certificado fraudulento, sino más bien de que un tercero acepte una firma digital dudosa porque existía tal certificado, de allí que la mayor parte de los daños causados por los actos de las AC pueden considerarse indirectos.
Si nos basamos en un sistema de responsabilidad subjetiva tropezaríamos con que el demandante tendría que probar la negligencia de la AC a lo que se responde que la solución adecuada sería invertir la carga de la prueba a fin de proteger a los usuarios, por lo que sería la AC la que tendría que probar que actuó con la debida diligencia. Sería importante entonces poder definir internacionalmente que se entiende por actuar con la debida diligencia teniéndose en cuenta que la Autoridad certificante para revestir el carácter de licenciada ha debido tener que cumplir con todos los standares técnicos internacionales establecidos al respecto.
En caso de optarse por un sistema de responsabilidad objetiva por ser esta una actividad altamente riesgosa o peligrosa, téngase en cuenta que eso podría desalentar la incipiente industria de AC. Por lo que en caso de optarse por este tipo de responsabilidad objetiva sería necesario limitarla cuantitativamente (esto en la práctica lo llevan a cabo las AC limitando su responsabilidad de acuerdo al tipo de certificado que emiten), o bien acudir al seguro o a la constitución de un fondo de garantía, caso contrario nadie llevaría a cabo inversión alguna en este tipo de negocio.
Respecto del principio de autonomía de la voluntad con limitación de las responsabilidades de la AC, se señala que esto no es propio de actividades donde la competencia es libre, por ello es importante que puedan determinar el grado de responsabilidad que están dispuestas a asumir, lo que determinaría la contratación de un seguro que cubra sus actividades. No se deberían admitir mayores límites de responsabilidad que los que la misma ley 25.506 establece ya que limitar responsabilidad implica trasladar el riesgo al suscriptor o al tercero. Si se limitara la responsabilidad a una suma determinada, el exceso no cubierto debería ser cubierto por las otras partes.
Finalmente, planteo la conveniencia de establecer un régimen de responsabilidad objetiva y la conveniencia de la existencia de un fondo común destinado a la cobertura de este tipo de situaciones, fondo que habría que crearse con aportaciones de todas las autoridades de certificación, régimen que es aún más factible al existir un sistema de licencias a fin de otorgarles el carácter de certificadores licenciados.
Sería necesario que en forma urgente se establecieran pautas internacionales sobre responsabilidad de las AC para llevar a cabo una regulación uniforme a fin de evitar legislaciones de estados refugios y la renuencia de los contratantes a utilizar firmas digitales, situación que terminaría desalentando totalmente el desarrollo del comercio electrónico.
GLOSARIO
ONTI: Oficina Nacional de Tecnologías de Información de la Subsecretaría de la Gestión Pública
AC Autoridad certificante:
Entidad licenciante: (ONTI)
AR Autoridad de registro:
IFD: infraestructura de firma digital (Ley 25506 y decreto reglamentario 2628/2002 y normativa de licenciamiento emitida por la ONTI.
FUENTES
Apolonia Martinez Nadal: "La ley de firma electrónica"
Normativa que rige la infraestructura de firma digital en Argentina (ley 25.506 y concordantes)
Country:
Edition:
Subjects:
- Se logue para poder enviar comentários
- 1122 leituras
-
