Resum
La disposició derogatòria de la Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança, deroga la Llei 59/2003, de 19 de desembre, de signatura electrònica. Al marge de la nova regulació que la Llei 6/2020 fa dels serveis electrònics de confiança, en aquest apunt analitzarem els canvis que la nova normativa comporta en termes de regulació de la signatura electrònica.
1. Introducció: derogació de la Llei 59/2003, de 19 de desembre, de signatura electrònica
La disposició derogatòria de la Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança, deroga la Llei 59/2003, de 19 de desembre, de signatura electrònica. Si analitzem la Llei 6/2020, no trobem una regulació específica i detallada de la signatura electrònica, ni un article equiparable a l’anterior 3.4, conforme al qual, la signatura electrònica reconeguda s’equipara a la signatura manuscrita; fet que ens obliga a plantejar-nos si ha desaparegut aquesta presumpció o equiparació legal, o si la derogació comporta canvis normatius rellevants. La resposta és negativa, tal com exposem a continuació.
La Llei 59/2003 incorporava a l’ordenament jurídic espanyol la Directiva 1999/93/CE del Parlament Europeu i del Consell, de 13 de desembre de 1999, per la qual s’estableix un marc comunitari per a la signatura electrònica i, al mateix temps, derogava el Reial decret llei 14/1999, de 17 de setembre, sobre signatura electrònica, que va ser aprovat amb l’objectiu de fomentar la ràpida incorporació de les noves tecnologies de seguretat de les comunicacions electròniques en l’activitat de les empreses, els ciutadans i les administracions públiques i que, sorprenentment, havia utilitzat el mecanisme del Reial decret llei per incorporar urgentment una directiva que acabava de ser aprovada i amb un termini de transposició encara no transcorregut (expirava el 19 de juliol de 2001).
En qualsevol cas, no es tracta ara de recordar el marc històric de la signatura electrònica, sinó analitzar els efectes jurídics que es deriven de la derogació de la Llei 59/2003, i en aquest sentit podem avançar que, pel que fa a la signatura electrònica, entesa com a mecanisme d'identificació i autenticació, aquest marc normatiu no canvia substancialment, sinó que la reforma legal intenta donar coherència a la regulació existent.
2. Reglament (UE) 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014, relatiu a la identificació electrònica i als serveis de confiança per a les transaccions electròniques en el mercat interior (ReIDAS)
Parlem de coherència perquè no podem obviar la rellevància normativa del Reglament (UE) 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014, relatiu a la identificació electrònica i als serveis de confiança per a les transaccions electròniques en el mercat interior, el qual va substituir l’anterior regulació de la Directiva 1999/93/CE.
L'elecció d'un reglament com a instrument legislatiu pel legislador europeu, d'aplicació directa en els estats membres, va estar motivada per la necessitat de reforçar la seguretat jurídica al si de la Unió, i acabar amb la dispersió normativa provocada per les transposicions de l'esmentada Directiva als ordenaments jurídics interns a través de lleis nacionals, que havia provocat una important fragmentació i la impossibilitat de la prestació de serveis transfronterers al mercat interior, agreujada per les diferències en els sistemes de supervisió aplicats en cada Estat membre.
Així, mitjançant el ReIDAS es vol regular en un mateix instrument normatiu d'aplicació directa als estats membres dues realitats, la identificació i els serveis de confiança electrònics en sentit ampli, harmonitzant i facilitant l'ús transfronterer dels serveis en línia, públics i privats, i el comerç electrònic a la UE, per contribuir al desenvolupament del mercat únic digital.
En aquest sentit, en l'àmbit de la identificació electrònica, el ReIDAS instaura l'acceptació mútua, per a l'accés als serveis públics en línia, dels sistemes nacionals d'identificació electrònica que hagin estat notificats a la Comissió Europea per part dels estats membres, per tal de facilitar la interacció telemàtica segura amb les administracions públiques i la seva utilització per efectuar tràmits transfronterers i eliminar aquesta barrera electrònica que excloïa els ciutadans del ple gaudi dels beneficis del mercat interior.
La introducció de la figura del Reglament europeu és fruit d’una clara tendència harmonitzadora europea, que es trasllada a diferents àmbits, però que és especialment rellevant en l’àmbit de les noves tecnologies. Així, tal com ha passat en altres àmbits, les tradicionals directives que regulaven la matèria, les quals havien de ser objecte de transposició per part dels estats membres i no gaudien d’efecte directe, han estat substituïdes per un reglament europeu, amb l’efecte directe que les caracteritza i l’aprofundiment en l’homogeneïtzació que comporten, en reduir la discrecionalitat que tenen els estats membres quan es tracta de la transposició de directives.
A títol d’exemple, en l’àmbit de la protecció de dades de caràcter personal, s’ha adoptat aquest mateix model, amb el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques en allò que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades, i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades), en paral·lel amb la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades de caràcter personal i garantia dels drets digitals. La relació entre el Reglament general i la LOPD és de complementarietat. En aquest sentit, de la mateixa manera que el Reglament general conté fins a 55 remissions al legislador estatal, la LOPD fa, en diferents parts de l’articulat, remissió a preceptes concrets del Reglament general.
En l’àmbit de la signatura electrònica s’ha produït una situació similar, amb el ReIDAS del 2014, i la recentment aprovada Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança.
En aquest sentit, a l’hora de determinar la normativa a aplicar, ja no podem cenyir-nos exclusivament a l’anàlisi de la normativa estatal, sinó que hem d’analitzar el marc normatiu comunitari i, tractant-se de reglaments comunitaris, dotats d’efecte directe, el manament que se'n desprèn.
2.1. L’article 25 del ReIDAS: efectes jurídics de les signatures electròniques
Tal com hem indicat, amb la Llei 6/2020 desapareix del marc normatiu estatal la referència que contenia l’article 3.4 de la Llei 59/2003, conforme a la qual la signatura electrònica reconeguda s’equiparava a la signatura manuscrita.
Però la supressió d’aquesta referència no implica que no estigui en vigor, ja que el legislador estatal ha desplaçat la regulació d’aquestes qüestions al ReIDAS, que ja regula la matèria. En concret, en l’article 25, que indica el següent:
“Art. 25 Efectos jurídicos de las firmas electrónicas 1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada. 2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita. 3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.”
En definitiva, aquest article 25 consagra tres grans principis:
a) La regla general d'admissibilitat com a prova de qualsevol tipus de signatura electrònica (òbviament, amb la diferent força probatòria que té cada tipus de signatura).
b) La configuració de la signatura electrònica qualificada (o reconeguda) com l'única que queda equiparada a la signatura manuscrita.
c) La voluntat del legislador comunitari envers la plena equiparació de les signatures electròniques qualificades en tots els estats membres de la UE.
2.2. L’article 8 del ReIDAS: nivells de seguretat de la signatura
Quan parlem de sistemes d'identificació i de signatura, hem de tenir present que aquests poden ser utilitzats per a diferents tràmits que efectuïn les persones interessades amb l'administració corresponent, i la tipologia de sistema d'identificació i/o signatura que s'admeti es determinarà en funció del grau de seguretat en la identificació que es vulgui assolir. Així, per raó del grau de seguretat, els sistemes d'identificació es poden classificar en nivells de seguretat baix, substancial o alt.
El ReIDAS els regula a l'article 8:
- Nivell de seguretat baix, amb l'objectiu de reduir el risc d'ús indegut o alteració de la identitat presentada.
- Nivell de seguretat substancial, amb l'objectiu de reduir substancialment el risc d'ús indegut o alteració de la identitat.
- Nivell de seguretat alt, amb l'objectiu d'evitar l'ús indegut o l'alteració de la identitat.
Tot i que l'àmbit d'aplicació del ReIDAS es limita a la identificació electrònica en l'accés transfronterer als serveis públics, aquests criteris de seguretat són igualment considerats a l'hora de determinar els sistemes de signatura a admetre. Per aquesta raó, els objectius de reduir, reduir substancialment o evitar el risc de suplantació d'una persona interessada en una relació juridicoadministrativa són els que porten a cada administració, d'acord amb el principi de proporcionalitat, a determinar quins tipus de signatura es poden exigir en un determinat procediment o tràmit.
Aquesta determinació no és aleatòria, sinó que es relaciona amb els tipus de signatura legalment admesos, que es poden diferenciar igualment en tres grans tipus: signatura electrònica reconeguda o qualificada, signatura avançada i signatura ordinària. Cadascun d'aquests tipus de signatura incorporen uns requeriments tecnològics que permeten atribuir més valor jurídic a l'actuació administrativa concreta i que ens permet determinar que tan sols la signatura electrònica reconeguda o qualificada s'equipara a la signatura manuscrita (art. 25.2 del ReIDAS). Al mateix temps, es poden identificar els diferents sistemes de signatura amb nivell de seguretat baix, substancial o alt, d'acord amb els paràmetres abans indicats; per exemple, el DNI-e tindria un nivell alt de seguretat, mentre que Cl@ve (en la modalitat permanent) o IdCat al mòbil serien equiparables a un nivell substancial de seguretat.
2.3. Determinació de les signatures a l’Administració de la Generalitat en funció del nivell de seguretat
En el cas de l’Administració de la Generalitat, aquesta determinació la trobem en l'Ordre GRI/233/2015, de 20 de juliol, per la qual s'aprova el Protocol d'identificació i signatura electrònica, que estableix els criteris comuns a l'Administració de la Generalitat de Catalunya pel que fa als aspectes tècnics i organitzatius necessaris per implantar els sistemes d'identificació i de signatura electrònica per a cada tràmit o servei, en funció del seu grau de seguretat. En definitiva, estableixen els paràmetres tècnics i organitzatius sobre la base dels quals s'exigirà una determinada identificació i/o signatura.
Cal indicar que aquesta Ordre es troba encara vigent, a l’empara de la disposició transitòria setena del Decret 76/2020, de 4 d'agost, d'administració digital (“Vigència de l'Ordre GRI/233/2015, de 20 de juliol, per la qual s'aprova el Protocol d'identificació i signatura electrònica”) conforme a la qual: “Es manté la vigència de l'Ordre GRI/233/2015, de 20 de juliol, per la qual s'aprova el Protocol d'identificació i signatura electrònica fins que s'aprovin els instruments establerts en l'article 58 d'aquest Decret.”
L'article 58 indica el següent:
“Article 58. Catàleg i guia dels sistemes d'identificació i signatura electrònica
1. Correspon a la persona titular del departament competent en matèria de polítiques digitals aprovar, mitjançant una ordre, el Catàleg de sistemes d'identificació i signatura electrònica admesos per efectuar els tràmits i procediments de les persones interessades amb l'Administració de la Generalitat. El Catàleg s'actualitza amb l'admissió de nous sistemes d'identificació i signatura electrònica i es publica a la Seu electrònica de l'Administració de la Generalitat.
2. Correspon a la persona titular del departament competent en matèria de polítiques digitals aprovar, mitjançant una ordre, una guia d'ús dels sistemes d'identificació i signatura electrònica que reculli els aspectes tècnics i organitzatius necessaris per implantar els sistemes d'identificació i signatura electrònica per a cada tràmit o servei digital a l'Administració de la Generalitat. Per a l'elaboració de la Guia i les actualitzacions posteriors, es requereix l'informe previ de l'òrgan encarregat de la ciberseguretat de la Generalitat de Catalunya i dels ens competents en la provisió dels sistemes d'identificació i signatura electrònica de l'Administració de la Generalitat.
3. La regulació del DNI-e a la Llei 6/2020."
D’altra banda, la Llei 6/2020 salvaguarda igualment l’admissibilitat general del DNI-e que contenia l’article 15 de la Llei 59/2003. Aquesta admissibilitat obligatòria del DNI electrònic, la trobem regulada en la disposició addicional tercera de la Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança, “Documento Nacional de Identidad y sus certificados Electrónicos”, quan disposa el següent:
“1. El Documento Nacional de Identidad electrónico es el Documento Nacional de Identidad que permite acreditar electrónicamente la identidad personal de su titular, en los términos establecidos en el artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, así como la firma electrónica de documentos.
2. Todas las personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia del Documento Nacional de Identidad para acreditar la identidad y los demás datos personales del titular que consten en el mismo, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos […].”
En resum, veiem que tampoc no canvia la regulació del DNI-e, i també es manté la regulació reglamentària del Reial decret 2005, mentre no sigui substituïda (disposició transitòria segona de la Llei 6/2020).
3. La prova de la signatura electrònica en la Llei 6/2020 i en la Llei d’enjudiciament civil
3.1. Llei 6/2020
Finalment, la qüestió relativa a la força probatòria de la signatura electrònica es regula en la Llei 6/2020, en concret, en l’article 3, quan disposa:
“Artículo 3. Efectos jurídicos de los documentos electrónicos.
1. Los documentos electrónicos públicos, administrativos y privados, tienen el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.
2. La prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado se regirá por lo dispuesto en el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Si el servicio fuese cualificado, se estará a lo previsto en el apartado 4 del mismo precepto.”\
\
3.2 Documents privats
Veiem que, quan es tracta de documents privats, l’apartat 2 de l’article 3 fa una remissió a la normativa de la Llei d’enjudiciament civil, apartats 3 i 4 de l’article 326, sens perjudici que, en primer lloc, caldrà atenir-se a l’apartat primer, conforme al qual els documents privats fan prova plena quan la seva autenticitat no sigui impugnada per la part a la qual perjudiquin.
Pel que fa als apartats 3 i 4 de l’article 326, tracten respectivament la força probatòria dels documents privats signats electrònicament, segons ho estiguin amb signatura electrònica diferent a la qualificada (apartat 3), o amb signatura electrònica qualificada (apartat 4), en els termes següents:
- Apartat 3. "Cuando la parte a quien interese la eficacia de un documento electrónico lo solicite o se impugne su autenticidad, integridad, precisión de fecha y hora u otras características del documento electrónico que un servicio electrónico de confianza no cualificado de los previstos en el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, permita acreditar, se procederá con arreglo a lo establecido en el apartado 2 del presente artículo y en el Reglamento (UE) n.º 910/2014."
- Apartat 4. "Si se hubiera utilizado algún servicio de confianza cualificado de los previstos en el Reglamento citado en el apartado anterior, se presumirá que el documento reúne la característica cuestionada y que el servicio de confianza se ha prestado correctamente si figuraba, en el momento relevante a los efectos de la discrepancia, en la lista de confianza de prestadores y servicios cualificados.
Si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. Si dichas comprobaciones obtienen un resultado negativo, serán las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 300 a 1.200 euros”.
D’acord amb aquesta regulació, si es tracta d’un certificat qualificat, s’aplica l’apartat 4, mentre que a la resta, l’apartat 3 de l’article 326 de la LEC. De manera resumida, quan es tracta d'una signatura electrònica diferent a la qualificada, és admissible qualsevol mitjà de prova o, el que és el mateix, suposa la lliure apreciació de la prova per part del jutjador, en el marc del Reglament europeu que, no oblidem, consagra en l’article 25.1 l’admissibilitat com a prova de qualsevol signatura electrònica, per molt que no sigui qualificada.
Quan es tracta de la signatura electrònica qualificada (o reconeguda), cal atenir-se a l’apartat 4, que presumeix la validesa de la signatura si aquesta deriva d’un servei de confiança que es troba a la llista de confiança de prestadors i serveis qualificats i, en cas d’impugnació, correspon a la part que en nega l'autenticitat, a costa seva, la prova pericial informàtica corresponent per acreditar la manca de validesa de la signatura i, en cas que sigui negativa, se li pot imposar una multa, si es considera que la impugnació ha estat temerària.
3.3. Documents públics
Pel que fa als documents públics, cal atenir-se a la disposició addicional segona de la Llei 6/2020, “Efectes jurídics dels sistemes utilitzats en les administracions públiques”, que indica el següent: “Todos los sistemas de identificación, firma y sello electrónico previstos en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, tendrán plenos efectos jurídicos.”
Cal recordar que la Llei 39/2015 i la Llei 40/2015 no poden ser analitzades de manera separada, ja que totes dues configuren un únic bloc normatiu, en el qual mentre que la primera llei regula les relacions ad extra o procediment administratiu, en sentit estricte, la segona regula les relacions ad intra o internes de les administracions públiques. Aquesta dicotomia es manifesta igualment quan analitzem la identificació i la signatura. Així, mentre que els articles 9 i 10 de la Llei 39/2015 regulen la identificació i la signatura de les persones interessades, la identificació i la signatura del personal al servei de les administracions públiques -la vessant interna- és regulada en els articles 38 i següents de la Llei 40/2015, sota la rúbrica “Funcionament electrònic del sector públic”.
Així, la Llei 40/2015 regula, pel que fa a la identificació i la signatura, la seu electrònica (art. 39), l’actuació administrativa automatitzada (art. 41 i 42), i la signatura del personal al servei de les administracions públiques (art. 43), entre altres qüestions que abasten una regulació bàsica de la matèria, sens perjudici de les decisions que adoptin, en l’exercici de les seves potestats autoorganitzatives, cadascuna de les administracions públiques (art. 43.1 i 45.1 de la Llei 40/2015).
Només cal afegir que el certificat amb pseudònim és objecte de regulació més detallada en la Llei 6/2020, articles 6.1.a i 8.2 (aquest últim en relació amb la protecció de dades de caràcter personal).
4. Altres qüestions regulades en la Llei 6/2020: la regulació dels prestadors de serveis de confiança
La Llei 19/2003 regulava igualment l’activitat dels prestadors de serveis de confiança (abans, de certificació). El ReIDAS també regula aquesta qüestió, la qual ha estat traslladada a la Llei 6/2020, amb una extensa regulació que inclou, entre d’altres, les obligacions dels prestadors de serveis electrònics de confiança (art. 9), així com la comprovació de la identitat i altres circumstàncies dels sol·licitants d’un certificat qualificat (art. 7), amb referència expressa en l’apartat 5 de l’article 7 a l’acreditació o l'atribut del sol·licitant quan aquest tingui la condició de titular d’un càrrec públic.
No entrarem a tractar la regulació que conté la Llei 6/2020 dels prestadors de serveis electrònics de confiança, ja que mereixeria un altre apunt per la seva extensió.
