perfil del contratante | valor probatorio del sello de tiempo

Home  >>  derecho  >>  perfil del contratante | valor probatorio del sello de tiempo

perfil del contratante | valor probatorio del sello de tiempo

La firma electrónica es, probablemente, uno de los grandes desconocidos en la blogosfera.

Debido, fundamentalmente, a que ésta se ha alimentado durante mucho tiempo de las figuras jurídicas y avances tecnológicos llegados del mundo anglosajón; donde – como es de sobras conocido – carecen de documento nacional de identidad y recurren en contadas ocasiones a la firma manuscrita (que queda reducida a la escritura del nombre y apellidos o, en los más de los casos, a las iniciales manuscritas).

Podría afirmarse que la firma electrónica, junto al derecho de autodeterminación informativa (protección de datos de carácter personal) constituyen los dos buques insignia del derecho europeo, en tanto que instituciones diferenciadoras del ámbito anglosajón.

En España la ley vigente es la Ley 59/2003, de 19 de diciembre, de firma electrónica; trasposición al ordenamiento jurídico español de la Directiva 1999/93/CE, de 13 de diciembre, del Parlamento Europeo y del Consejo; norma que contempla diferentes clases de firma (básica, avanzada y reconocida) otorgando a cada una de ellas diferentes efectos jurídicos.

En lo que aquí importa haremos referencia a la firma electrónica reconocida que es – en palabras de Salvador L. Soriano Maldonado:

(Aquella que está) «basada en un certificado reconocido …/… y generada mediante un dispositivo seguro que cumple una serie de requisitos …/…»

Certificado reconocido es el emitido por una Autoridad de Certificación (A.C.) reconocida por el Ministerio de Industria; o, en palabras de Soriano Maldonado:

«…/… aquel que incluye una determinada información mínima y ha sido expedido por un prestador de servicios de certificación que cumple con unos requisitos específicos referidos a la comprobación de la identidad de los solicitantes y a la fiabilidad y garantías de los servicios de certificación que presta …/…»

Las A.C. Reconocidas en España pueden consultarse en esta página.

Continúa Soriano Maldonado en su ensayo Aspectos más relevantes de la nueva Ley de firma electrónica:

«En lo que se refiere a los efectos jurídicos de la firma electrónica, la reconocida resulta de especial relevancia, dado que la Ley establece que tendrá, respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los datos consignados en papel …/… Por otra parte, en relación con la aportación de prueba en juicio, la Ley establece que el soporte con los datos firmados electrónicamente será admisible como prueba documental.»

Diferencia la ley entre la firma electrónica reconocida que hará prueba plena en juicio y la firma electrónica avanzada (la emitida por quien no tiene la consideración de Autoridad de Certificación) cuyo valor probatorio es el de un documento privado sometido a contradicción conforme a lo dispuesto en el artículo 326 L.E.C.

Es en este contexto donde debemos analizar los requisitos de fehaciencia que impone el artículo 42 de la Ley 30/2007, de 30 de octubre, de contratos del sector público al establecer que:

«El sistema informático que soporte el perfil de contratante deberá contar con un dispositivo que permita acreditar fehacientemente el momento de inicio de la difusión pública de la información que se incluya en el mismo.»

Después de algunas vacilaciones, ya nadie duda que el dispositivo que permite acreditar fehacientemente el momento de inicio de la difusión pública de la información es, ni más ni menos, el sellado de tiempo (timestamping por su nombre en inglés); «mecanismo on-line que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante específico en el tiempo» (wikipedia).

El sello de tiempo se «construye» a partir de la firma electrónica; así pués, desde un punto de vista jurídico – por analogía legis» – habrá sellado de tiempo «avanzado» y sellado de tiempo «reconocido»; siendo el primero el emitido por cualquiera que disponga de la tecnología necesaria («Time Stamping Authority Application»), y el segundo el emitido por una A.C. Reconocida por el Ministerio de Industria de España.

En cuanto a los efectos jurídicos de uno y otro para el perfil del contratante (artículo 42.3 LCSP) el sello de tiempo «avanzado» (y el básico) tendrá el valor de un documento privado sometido a contradicción y el sello de tiempo «reconocido» hará prueba plena en juicio.

ACTUALIZACIÓN 23:31 h: Subo a la anotación una explicación de Marta en los comentarios:

«La Fabrica Nacional de Moneda y Timbre (FNMT), dixit:

El fechado digital es un método para probar que un conjunto de datos (datum) existió antes de un momento dado y además que ningún bit de estos datos ha sido modificado desde entonces.

Además, el fechado digital proporciona un valor añadido a la utilización de firma digital ya que ésta por si sola no proporciona ninguna información acerca del momento de creación de la firma. Los certificados digitales utilizados por el algoritmo de la firma digital tienen un periodo de validez y por lo tanto, la firma sin el fechado digital, pasada la validez del certificado, siempre puede ser repudiada.

Para asociar los datos con un específico momento de tiempo es necesario utilizar una Autoridad de Fechado (TSA – Time Stamp Authority) como tercera parte de confianza.»

26 Comments so far:

  1. David dice:

    Hola:

    No estoy de acuerdo con una cosa y es sobre la eficacia probatoria en juicio.

    Tanto la firma electrónica avanzada como la reconocida tienen el mismo valor dependiendo del firmante. (artículo 3.7 LFE) Es decir que si la firma es de una persona física en sus actividades privadas será un documento público y si es de una administración o de un notario, por ejemplo, en ejercicio de sus funciones será un documento público.

    artículos 317 y siguientes sobre cuales son un documento público y 324 y siguientes sobre los documentos privados.

    Por lo tanto, ambos tienen la misma eficacia desde el punto de vista de la LEC

    Sin embargo es cierta la existencia de una diferencia probatoria, que radica en la impugnación de la firma electrónica, según establece la Ley de Firma Electrónica también en el artículo 3.

    Un saludo

  2. David dice:

    Hola:

    Perdón, pero hay una errata, logicamente el documento firmado por una persona física será un documento privado, según los artículos de la LEC citados (324 y ss.)

    Y ambos sólo harán plena prueba en juicio, se firmen con lo que se firmen, si no son impugnados (art. 326 LEC)

    Un saludo.

  3. M@x dice:

    es un punto de vista 🙂 (comprensible viniendo de quien viene)

  4. Marta dice:

    artículo 3 de la Ley de Firma Electronica:

    2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

    3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

    4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

    No es lo miso firma electrónica reconocida, que firma electrónica avanzada. Solo la primera tiene el mismo valor que la manuscrita, por tanto, solo a la firma electrónica reconocida (emitida por una Autoridad de Certificación) le aplicaremos el articulado citado de la Ley de Enjuiciamiento Civil.

    No deberiamos mezclar churras con merinas.

  5. Marta dice:

    La Fabrica Nacional de Moneda y Timbre (FNMT), dixit:

    El fechado digital es un método para probar que un conjunto de datos (datum) existió antes de un momento dado y además que ningún bit de estos datos ha sido modificado desde entonces.

    Además, el fechado digital proporciona un valor añadido a la utilización de firma digital ya que ésta por si sola no proporciona ninguna información acerca del momento de creación de la firma. Los certificados digitales utilizados por el algoritmo de la firma digital tienen un periodo de validez y por lo tanto, la firma sin el fechado digital, pasada la validez del certificado, siempre puede ser repudiada.

    Para asociar los datos con un específico momento de tiempo es necesario utilizar una Autoridad de Fechado (TSA – Time Stamp Authority) como tercera parte de confianza

  6. Siguiendo esa teoría, Marta, ¿en qué situación queda la contratación que se hace por simple aceptación de las condiciones y la oferta?

    Acabas de cargarte la validez a efectos de la LEC del 99% de las operaciones que se hacen por Internet.

  7. Angel dice:

    Yo tengo una duda. Le ley de contratos dice
    «El sistema informático que soporte el perfil de contratante
    deberá contar con un dispositivo que permita acreditar
    fehacientemente el momento de inicio de la difusión
    pública de la información que se incluya en el mismo»
    El sellado de tiempo dice que tu documento (el pdf que publicas o lo que sea) existe, pero no garantiza en ningún momento que lo has publicado.
    Creo que la diferencia es muy importante, por que la ley dice que lo que hay que acreditar el el momento del inicio de la difusión y eso es más que acreditar el contenido de la misma.
    Estoy un poco perdido con todo esto, la verdad.

  8. M@x dice:

    Angel, el sellado de tiempo aplicado como lo hacemos en http://www.perfil-contratante.es acredita justamente eso, EL MOMENTO EN QUE UN DOCUMENTO SE SUBE A UN SITIO WEB (y también que el contenido no ha variado). Algunas administraciones están aplicando sólo FIRMA electrónica a los pdf´s que suben y, efectivamente, con eso sólo no acreditan el momento (fecha y hora de publicación).

  9. Marta dice:

    Alguna otra norma, Javier, que diga lo contrario o haga excepciones?

    No es mi teoria, es lo que dice la Ley. Que muchas empresas y/o particulares no lo hagan conforme a la Ley, no significa que este bien hecho (que es de lo que presumen muchas por ahí).

    Desde luego, la transparencia que predica el art. 42 de la Ley 30/2007, brilla por su ausencia, pero siempre habrá quien pique.

    Solo la firma reconocida tiene el valor de la manuscrita, sea documento público o privado. Si carece de firma habrá que acudir a otro medio de prueba (para los documentos privados), pero esa no es la cuestión del debate, no? Si no cómo debe ser el sellado de tiempo del perfil del contratante. Desviar la atención a otros temas no valida lo que está mal hecho, máxime cuando las administraciones tienen obligación legal de hacer las cosas de determinada forma, y los particulares no.

  10. El Código Civil, básicamente, sobre obligaciones y contratos. También la LSSI en cuanto a contratación electrónica. Además, hay jurisprudencia suficiente que admite la validez de esos medios de aceptación del consentimiento en la contratación electrónica.

    Pero esa no es la cuestión, cierto, era sólo un ejemplo. La discusión es la validez de los certificados digitales no reconocidos, y eso está fuera de toda duda, entiendo yo y así lo dice la Ley de Firma Electrónica (art. 3.9). La equivalencia con la firma manuscrita refuerza, no cabe duda, el valor de los certificados digitales reconocidos, pero a efectos de prueba, no de validez ni efectos, como comenta David. Creo que confundís las cosas.

    Y si, el art. 42 no aclara gran cosa y se presta a interpretaciones. Precisamente por eso no hay que exigirle lo que no dice.

  11. M@x dice:

    Javier, no me sorprenden tus «argumentos», y esta respuesta – evidentemente – no es para tí. El artículo 42 LCSP para el perfil de contratante sólo precisa una interpretación, la que se desprende de la Ley de firma electrónica cuando se refiere al valor probatorio de la firma electrónica reconocida.

    El artículo 42 LCSP, mal que te pese, exige FEHACIENCIA en el momento de la divulgación; y la fehaciencia (acreditación indubitada) en España sólo se logra a partir de sellos de tiempo emitidos por Autoridades de Fechado reconocidas. Si acudes al enlace que propongo en cuerpo de la anotación comprobarás que sólo la Fabrica Nacional de Moneda y Timbre (FNMT) y la Autoritat de Certificació de la Comunitat Valenciana (ACCV) constan en los registros del Ministerio de Industria; y no dudo que habrá otras A.C. en trámites.

  12. David dice:

    Hola:

    Interesante debate.

    Lo cierto es que:

    1- No es lo mismo una firma electrónica avanzada que una reconocida.

    2- Si la empresa de Pedro firma electronicamente un documento (es indiferente la firma que utilice) los efectos jurídicos son los mismos, pues es un documento privado, porque no se puede considerar, LEC mediante, como documento público.

    3- Esto sólo afecta a la hora de acreditar en juicio lo firmado digitalmente y en el caso de que alguien lo impugne. Si nadie impugna la prueba harán prueba plena, la diferencia sólo es esencial si se impugna la firma, en cuyo caso se siguen las reglas de la Ley de Firma Electrónica, que pone en valor a la reconocida sobre la avanzada en lo que al procedimiento se refiere.

    Por lo tanto:

    1- La firma reconocida tiene el mismo valor que la manuscrita, pero no consituye por si misma prueba plena como dice Pedro en su artículo. (La LEC es clarísima en este sentido) eso sólo sucede si no es impunada, al igual que sucede con cualquier documento.

    2- Ante una impugnación en juicio, las ventajas de la firma reconocida son evidentes, vienen en la LFE, pero lo cierto es que ante documentos privados impugnados el juez puede valorarlos como quiera (Art. 326.2 […] Cuando no se pudiere deducir su autenticidad o no se hubiere propuesto prueba alguna, el tribunal lo valorará conforme a las reglas de la sana crítica.)

    3- Si tenemos en cuenta que la Ley de la Jurisdicción contenciosa remite a la LEC, es verdad que tiene mejores posibilidades probatorias quien tiene una firma electrónica reconocida (que siempre es lo deseable) pero tampoco es cierto que quien no la tenga no tenga ninguna opción.

    Un saludo y enhorabuena por el gran debate

    PS: Pedro, espero haber malinterpretado tu referencia hacia mí como un acto de condescendencia que no entiendo. Mi opinión es jurídica y rebatible, pero tu comentario hacia mí no me parece adecuado. Como digo supongo que lo he malinterpretado.

  13. Marta dice:

    Cierto, interesante debate. Solo que a mi entender se está llevando a otros derroteros. Evidentemente, insisto: La ley 30/07 habla claramente de la transparencia y acreditabilidad:

    Artículo 4 Ley de Firma Electronica. Empleo de la firma electrónica en el ámbito de las Administraciones públicas.

    1. Esta Ley se aplicará al uso de la firma electrónica en el seno de las Administraciones públicas, sus organismos públicos y las entidades dependientes o vinculadas a las mismas y en las relaciones que mantengan aquéllas y éstos entre sí o con los particulares.

    Las Administraciones públicas, con el objeto de salvaguardar las garantías de cada procedimiento, podrán establecer condiciones adicionales a la utilización de la firma electrónica en los procedimientos. Dichas condiciones podrán incluir, entre otras, la imposición de fechas electrónicas sobre los documentos electrónicos integrados en un expediente administrativo. Se entiende por fecha electrónica el conjunto de datos en forma electrónica utilizados como medio para constatar el momento en que se ha efectuado una actuación sobre otros datos electrónicos a los que están asociados.

    2. Las condiciones adicionales a las que se refiere el apartado anterior sólo podrán hacer referencia a las características específicas de la aplicación de que se trate y deberán garantizar el cumplimiento de lo previsto en el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Estas condiciones serán objetivas, proporcionadas, transparentes y no discriminatorias y no deberán obstaculizar la prestación de servicios de certificación al ciudadano cuando intervengan distintas Administraciones públicas nacionales o del Espacio Económico Europeo.

    Por ende:

    Artículo 45 Ley 30/92. Incorporación de medios técnicos.

    5. Los documentos emitidos, cualquiera que sea su soporte, por medios electrónicos, informáticos o telemáticos por las Administraciones Públicas, o los que éstas emitan como copias de originales almacenados por estos mismos medios, gozarán de la validez y eficacia de documento original siempre que quede garantizada su autenticidad, integridad y conservación y, en su caso, la recepción por el interesado, así como el cumplimiento de las garantías y requisitos exigidos por ésta u otras Leyes.»

    Por qué en todos los sitios hablan de transparencia?
    El perfil del contratante, debe ser transparente, y se debe acreditar el momento de la publicación, cómo? mediante un sellado de tiempo emitido por una Autoridad de Certificación.

    Hablamos del continente, no del contenido.

  14. David dice:

    Hola:

    Pero quien firma no es una empresa? Pensaba que quien acreditaba la fehaciencia del momento de la publicación en el perfil del contratante era una empresa privada.

    Si la firma es la de una Administración hablamos de otra cosa, porque el documento firmado será un documento público.

    Un saludo.

  15. deincognito dice:

    Autonomía de la voluntad de las partes…

    Validez de documentos y validez de firma…

    Un libro interesante al respecto:

    http://www.mcu.es/webISBN/tituloDetalle.do?sidTitul=1283006&action=busquedaInicial&noValidating=true&POS=0&MAX=50&TOTAL=0&prev_layout=busquedaisbn&layout=busquedaisbn&language=es

    Interesante lo de sellados de tiempo avanzados y reconocidos… ¿Sabemos qué trámites han pasado esas dos ACs para figurar como prestadores de servicios de sellado de tiempo?

    Estoy de acuerdo, el sellado de tiempo no certifica la publicación/difusión de un documento ni el momento de su creación, sino el de su existencia al tiempo indicado en el sello… de no ser que quien presta el servicio de sellado de tiempo tenga de aquella manera la sincronización de sus sistemas con el ORA y otros servidores basados en relojes atómicos ;-p

    Lo suyo sería que el prestador de servicios accediera al sitio de Internet donde se publica el pdf para proceder a la prestación del servicio, incluyendo en la información del sello la URL en cuestión.

    El amigo Julián Inza seguro que puede aportarnos algo sobre esto ;-p

    Salu2

  16. deincognito dice:

    Perdón

    Donde dice ORA debería decir ROA

  17. deincognito dice:

    Esto sólo me pasa por curioso:

    http://www.accv.es/noticias/noticia180_c.htm

    Salu2

  18. M@x dice:

    «deincognito»,

    Respecto a los trámites que han pasado ACCV y FNMT hay que estar a la normativa de firma electrónica (a partir del artículo 17 de la Ley puedes comprobar los requisitos).

    Por otra parte, y como ya he expuesto en otro comentario ACCV es una de las dos Autoridades de Fechado reconocidas por el Ministerio de Industria; por lo que – a priori – ACCV bien podría dar el servicio en los términos exigidos por el Art. 42.3 LCSP … sin embargo, si nos atenemos a la información que consta en el enlace que nos propones (no he sabido encontrar un «ejemplo de uso del sistema) parece que no han sabido/ no han querido implantar el sellado de tiempo EN EL MOMENTO MISMO DE LA PUBLICACIÓN EN WEB, que es lo que exige el art. 42.3 citado; sino que, al igual que hacen otros, aplican el sellado de tiempo DESPUÉS de que la información haya sido subida al sitio web.

    Por otra parte, parecen confundir dos figuras jurídicas aparentemente sinónimas; la TERCERA PARTE CONFIABLE que lo son desde luego en tanto que A.C. reconocida (institución ligada a la normativa sobre firma electrónica) y el TERCERO DE CONFIANZA, figura específica contemplada en el artículo 25 LSSICE respecto de los actos y contratos verificados online.

    ACCV es titularidad de la Generalitat Valenciana. En consecuencia, NUNCA podrán comportarse como «terceros de confianza» respecto de sí mismos … ésto es obvio ¿no?

    No me extraña, en cualquier caso, que parezcan andar tan despistados con estas dos instituciones jurídicas si en materia de protección de datos tienen lo que se ve 😉

  19. deincognito dice:

    Max,

    Totalmente de acuerdo. Como decía me parece que la solución pasa por incluir en el sellado de tiempo la URL visitada por el propio prestador de servicios de validación temporal, pero claro está con algún proceso de garantía de que lo que se visita es lo que realmente es público en el sitio de la AP en Internet.

    Las autoridades que emiten certificados reconocidos han de pasar una auditoría con respecto al cumplimiento de esos estándares a los que se refiere la ley. El asunto es que los requisitos no son los mismos, aunque sí parecidos, para la emisión de certificados reconocidos que para la emisión de sellados de tiempo. El caso es que, aunque muy parecidos, las ACs deben contar con un sistema de gestión en la prestación de servicios de emisión de certificados reconocidos y de sellado de tiempo muy similares, pero con algunas diferencias sustanciales. Estos estándares son documentos ETSI y CWA distintos, pero que en cualquier caso exigen a las ACs contar con medidas organizativas, de gestión y técnicas orientadas a la seguridad de la información objeto del servicio en cuestión (certificados y sellos de tiempo). El problema es que la iniciativa pública de certificación de ACs es inexistente y la iniciativa privada de ASIMELEC (creo que sólo es para emisión de certificados electrónicos, pero no de sellado de tiempo) está en pañales.

    Y en ambos casos el protocolo NTP y la sincronización de relojes de los sistemas con el ROA y otras fuentes confiables de hora UTC (que emplean relojes atómicos) oficial son importantísimos.

    La verdad, no les he hincado demasiado el diente a los documentos de ACCV, pero me temo que muchos de nuestras ACs tienen mucho que mejorar para tener una plena conformidad con la legislación y con esos estándares industriales a los que aquella llama, lo cual puede ayudar a quienes deseen impugnar documentos electrónicos, firmas electrónicas y sellados de tiempo y conozcan un poco «lo qué deber ser» y lo puedan comparar con el «realmente es»

    Conozco la diferencia de «tercero confiable» (AC) con respecto a «tercero de confianza» (o «notarios electrónicos», olé ahí). Hasta el momento del segundo tipo, que yo sepa, sólo contamos con Logalty (T-Systems + Garrigues), pero de momento no le he conocido demasiado negocio, pero tal vez se los puedas recomendar a tus clientes de la AP 😉 Por cierto, nada tengo que ver con ellos.

    http://www.logalty.com

    Ay, la protección de datos personales…ese gran desconocido. Y no nos damos cuenta de que cada vez más la privacidad y los usos de los certificados electrónicos (autenticación robusta o de doble factor principalmente) van a librar una batalla muy interesante en los próximos años que va a hacer que el control sobre Internet sea bastante más amplio. Sin entrar en los conflictos que llevará consigo la proliferación de uso de certificados digitales en las AAPP y en el sector privado dada su segura insegura ;-p gestión, conocimiento de responsabilidades asociadas, incoherencias y malas prácticas de las ACs, la limitación en cuanto a la verificación histórica de firmas electrónicas mediante OCSP,… Hay que estudiar la tecnología de PKI y la Ley de Firma Electrónica y las normas sobre facturación electrónica, contratos del sector público, administración electrónica,…, que regulan usos de la firma electrónica, y pasarlo por el tamiz de la admisibilidad de pruebas electrónicas en juicio porque van a ser un filón a explotar por tecnólogos y abogados ;-p

    Enhorabuena por el post y posterior debate

    Salu2

  20. deincognito dice:

    La ACCV limita la prestación de sus servicios a la Administración de la Comunidad Valenciana

  21. M@x dice:

    «deincognito»,

    a lo último … no quería ser yo quien lo dijera 😉

    respecto a los terceros de confianza … aquí hay unos cuantos (y otros «de peso» en camino):

    http://www.coloriuris.net/es:terceros

  22. Paula dice:

    Un buen ejemplo del servicio de Perfil del contratante que presta ColorIURIS, es el siguiente:

    http://www.zaragoza.es/ciudad/gestionmunicipal/contratos/contrato_Avisos?id=39

    Es transparente (se puede validar/comprobar), con sellado de la FNMT, en servidor seguro SSL 256, y con tercero de confianza.

  23. deincognito dice:

    Um, ¿algo de más de información al respecto de cómo estos terceros de confianza tienen certeza de cuál es la información intercambiada por vía telemática?

    Salvo con plataforma de por medio, veo difícil que quien entregue la documentación no pueda entregar otra cosa…

    Es algo así como lo de la digitalización certificada. Destruido el papel ¿cómo sabemos que el documento electrónico es copia íntegra de lo que se escaneo? Ya me gustaría ver la norma en base a la qué se auditan los dispositivos homologadas…

    Salu2

  24. M@x dice:

    Sellado de tiempo de los contenidos/ contratación en el momento de perfeccionarse … la FNMT responde.

  25. […] debate sobre el sellado de tiempo en el Perfil del Contratante en el blog de mi amigo y compañero Pedro J. Canut, así que invito a todo el mundo que esté interesado a  […]

  26. […] Inza, que abordó la cuestión en esta anotación de diciembre de 2008 , (dos meses después de esta otra en mi propia bitácora) de la que sólo discrepo en atribuir a jueces, notarios y secretarios la función de terceros de […]