DERECHO COMPARADO
prestadores de servicios de certificación digital
Por: Alejandro Segura Loarte
[email protected]
L A NECESIDAD DE ASEGURAR la fiabilidad de la firma electrónica y digital ha hecho de que los ordenamientos jurÃdicos establezcan declaraciones del Estado (facultativos) u Órganos de Acreditación de los Prestadores de Servicios de Certificación (obligatorios). El primero a manera de un registro opcional de las Entidades de Certificación, mientras que el segundo como un ente, público o mixto (público-privado), encargado preferentemente de acreditar y/o autorizar a las Entidades de Certificación para el inicio de sus operaciones.
El ordenamiento jurÃdico peruano opta por establecer un Órgano de Acreditación de los Prestadores de Servicios de Certificación, proyectándose encargar, vÃa Reglamento, esta función al Registro Nacional de Identificación y Estado Civil (RENIEC).
La finalidad de la presente es hacer una revisión de la normatividad existente y propuesta del Órgano de Acreditación o Autoridad Administrativa Competente, como lo denomina la Ley Peruana de Firmas y Certificados Digitales, asà como hacer una sumaria identificación de estos órganos de acreditación en la legislación comparada; concluyendo con una revisión de la competencia del Registro Nacional de Identificación y Estado Civil (RENIEC) como Órgano de Acreditación.
Referencias del órgano de acreditación en la Ley No. 27269 de firmas y certificados digitales y su modificatoria, Ley No. 27310
La Ley No. 27269 no regula un concepto de órgano de acreditación, tal como sucede coincidentemente en distintos ordenamientos jurÃdicos extranjeros (v.gr., Argentina, Brasil, Colombia, España, Panamá, Portugal), salvo en el Decreto Ley No. 12041.204 de la República Bolivariana de Venezuela, en el que se crea y define a la Superintendencia de Servicios de Certificación Electrónica como el órgano de acreditación venezolano1.
Esta ausencia de definición del órgano de acreditación en la propia ley peruana, asà como en la legislación comparada, regulatorias de la firma electrónica y digital, se deberÃa a que en algunas legislaciones, el órgano de acreditación es una entidad con existencia dentro de la estructura estatal, a la cual se le encarga esta atribución (v.gr. la Superintendencia de Industria y Comercio de la República de Colombia2).
Mientras que en otros dispositivos, se crea al órgano de acreditación como una entidad nueva dentro de una organización existente, preferentemente pública (v.gr. la Dirección de Comercio Electrónico adscrita a la Dirección Nacional de Comercio del Ministerio de Comercio e Industrias de la República del Panamá3).
Se debe destacar, por excepción, que en el ordenamiento jurÃdico brasileño se ha creado provisoriamente el Comité Gestor de Infraestructura de Claves Públicas Brasileras, como un ente de naturaleza pública y privada, a la cual se le encargan funciones propias del órgano de acreditación4.
Autoridad Administrativa
La Ley de Firmas y Certificados Digitales de la República del Perú, Ley No. 27269, se refiere a la denominada «Autoridad Administrativa Competente», entendido como el órgano de acreditación, en sólo un artÃculo y una Disposición Complementaria, Transitoria y Final.
El artÃculo 15º de la citada Ley dispone que la Autoridad Administrativa Competente será nombrado mediante Decreto Supremo por el Poder Ejecutivo y que ésta tendrá a su cargo el «Registro de Entidades de Certificación y Entidades de Verificación (o también llamadas Entidades de Registro)», cuyos datos deben cumplir preferentemente con la función de identificar a dichas Entidades.
Este encargo implÃcitamente comprenderÃa las actividades de organizar, custodiar y mantener (actualizar) el denominado «Registro de Entidades de Certificación y Entidades de Verificación o Registro», por ser consubstancial a la labor registral. Nuestra legislación entiende como «Entidad de Certificación» a aquella que cumple la función de emitir o cancelar certificados digitales, asà como de brindar otros servicios inherentes al propio certificado o aquellos que brinden seguridad al sistema de certificados en particular o del comercio electrónico en general (Ley No. 27269, artÃculo 12º). Mientras que entiende por «Entidad de Registro o Verificación» a la responsable de recabar los datos personales del solicitante de la firma digital directamente de éste; de comprobar la información de un solicitante de certificado digital; de identificar y autenticar al suscriptor de la firma digital; de aceptar y autorizar las solicitudes de emisión de certificados digitales; y, de aceptar y autorizar las solicitudes de cancelación de certificados digitales (Ley No. 27269, artÃculos 8º y 13º).
Asà mismo, la Ley No. 27269, en su Tercera Disposición Complementaria, Transitoria y Final6, señala como potestad de la Autoridad Administrativa Competente la de aprobar la utilización de otras tecnologÃas de firmas electrónicas, siempre que éstas cumplan con los requisitos establecidos en la mencionada ley; es decir, que puestas sobre un mensaje de datos o añadidas o asociadas lógicamente a los mismos, puedan vincular e identificar al firmante, asà como garantizar la autenticación e integridad de los documentos electrónicos (Ley No. 27269, ArtÃculo 2º).
Finalmente, la Ley No. 27310, en su único artÃculo, modificatorio del artÃculo 11º de la Ley de Firmas y Certificados Digitales, señala que los certificados digitales extendidos por las Entidades de Certificación Extranjeras tendrán la misma validez y eficacia jurÃdica reconocidas en la Ley No. 27269 para los certificados digitales emitidos por Entidades de Certificación Nacionales, siempre que sean reconocidos por la Autoridad Administrativa Competente7.
Regulación del órgano de acreditación en el proyecto de reglamento de la Ley No. 27269
Por Resolución Suprema No. 098-2000-JUS el Ministerio de Justicia de la República del Perú designó una Comisión Multisectorial encargada de elaborar el Reglamento de la Ley No. 27269 de Firmas y Certificados Digitales; dándose por concluida la labor de dicha Comisión Multisectorial, mediante Resolución Suprema No. 280-201-JUS, publicándose el Proyecto de Reglamento elaborado por la misma en el Diario Oficial «El Peruano».
El Proyecto de Reglamento de la Ley No. 27269 de Firmas y Certificados Digitales, en adelante el Proyecto de Reglamento, regula lo referente a la definición, designación, comisión de asesorÃa, funciones y facultades del órgano de acreditación peruano.
Se define como Autoridad Administrativa Competente al organismo público responsable de acreditar a las Entidades de Certificación y a las Entidades de Registro o Verificación, de reconocer los estándares tecnológicos aplicables en la Infraestructura Oficial de Firma Electrónica, de supervisar dicha Infraestructura, asà como la reglamentación y prestación de servicios de valor añadido relacionados con la misma y las otras funciones señaladas en el Reglamento o aquellas que requiera en el transcurso de sus operaciones (artÃculo 4º).
En su artÃculo 36º, el Proyecto de Reglamento designa como la Autoridad Administrativa Competente y, por tanto órgano de acreditación, al Registro Nacional de Identificación y Estado Civil (RENIEC).
Asesoramiento de una Comisión Multisectorial
Asimismo, se establece que ésta debe contar con el permanente asesoramiento de una Comisión Multisectorial, la cual actuará como órgano consultivo. Dicha comisión estarÃa integrada por:
a) Un representante del Registro Nacional de Identificación y Estado Civil (RENIEC), quien la presidirÃa;
b) Un representante de la Presidencia del Consejo de Ministro;
c) Un representante del Ministerio de Justicia;
d) Un representante del Ministerio de Industria, Turismo, Integración y Negociaciones Comerciales Internacionales;
e) Un representante del Ministerio de Relaciones Exteriores;
f) Un representante del Ministerio de EconomÃa y Finanzas;
g) Un representante del Ministerio de Transportes, Comunicaciones, Vivienda y Construcción;
h) Un representante del Instituto Nacional de Defensa de la Competencia y de la Propiedad Intelectual (INDECOPI);
i) Un representante del Instituto Nacional de EstadÃstica e Informática (INEI);
j) Un representante del Organismo Supervisor de la Inversión Privada en Telecomunicaciones (OSIPTEL); y,
k) Dos representantes del sector privado, a ser designados una vez que se encuentre instalada la comisión.
El Proyecto de Reglamento, en el mismo artÃculo 36º, señala las funciones de la Autoridad Administrativa Competente; no obstante, a lo largo del texto de este Proyecto se advierten, de manera explicita e implÃcita, otras atribuciones propias de la Autoridad Administrativa Competente. Con propósitos meramente didácticos, se alcanza una identificación de estos agrupándolos por función y conexos.
PolÃticas, procedimientos y normas
– Establecer procedimientos de certificación basados en estándares internacionales o compatibles a los empleados internacionalmente (artÃculo 11º literal a)
– Determinar los estándares técnicos internacionales compatibles que aseguren la interoperabilidad y funciones exigidas en la Ley y en el Reglamento, aplicando el principio de neutralidad tecnológicas (artÃculo 12º)
– Establecer otras causales de cancelación del certificado digital, distintas a las fijadas en el Reglamento (artÃculo 25º literal h)
– Aprobar la polÃtica de certificados y las declaraciones de prácticas de certificación (artÃculo 36º literal a)
– Formular los criterios para el establecimiento de la idoneidad técnica y moral que deberán cumplir los socios, directores, gerentes y demás personas que laboren o presenten servicios en las materias reguladas por las disposiciones relativas a la Firma Electrónica, asà como aquellas relacionadas con la prevención y solución de conflictos (artÃculo 36º literal h)
– Establecer los requisitos mÃnimos para la prestación de los servicios de certificación y los servicios de registro o verificación (artÃculo 36º literal i)
– Definir los criterios para evaluar la suficiencia del respaldo financiero con el que deben contar las Entidades de Certificación y Entidades de Registro o Verificación (artÃculo 36º literal k)
– Determinar todos aquellos procedimientos y polÃticas necesarios para la aplicación del Reglamento (artÃculo segundo de la Disposición Final).
Los órganos de acreditación en la Legislación Comparada
Argentina: Jefatura de Gabinete de Ministros con la asistencia de la Comisión Asesora para la Infraestructura de Firma Digital. Ley 25.506 Ley de firma digital promulgada el 11/12/ 2001.
Brasil: Comité Gestor da Infra Estrutura de Chaves Públicas – Brasil vinculado á Casa Civil da Presidéncia da República Medida Provisória No. 2.200/01. Institui a Infra Estrutura de Chaves Públicas Brasileira – ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia, e dá outras providências de 24/08/2001
Chile: SubsecretarÃa de EconomÃa, Fomento y Reconstrucción adscrita al Ministro de EconomÃa, Fomento y Reconstrucción Proyecto de ley, en segundo trámite constitucional, sobre firma electrónica y los servicios de certificación de firma electrónica (BoletÃn No. 2.571-19)
Colombia: Superintendencia de Industria y Comercio adscrita al Ministerio de Desarrollo Económico de Colombia. Ley No. 527 Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones de 18/08/ 1999
Costa Rica: Autoridad Competente Entidad adscrita al Ministerio de Ciencia y TecnologÃa Proyecto de Ley de firma digital y certificados digitales Expediente No. 14.276
Ecuador: Organismo de Regulación y Organismo de Control Consejo Nacional de Telecomunicaciones y Superintendencia de Telecomunicaciones, Proyecto de Ley de comercio electrónico, firmas electrónicas y mensajes de datos No. 21-315 de 06/02/2001. Comisión Especializada Permanente de lo Civil y Penal del Congreso de la República del Ecuador
España: Sistema voluntario de acreditación de los prestadores de servicios de certificación de firma electrónica Real Decreto – Ley 14/1999 sobre Firma Electrónica de 17/09/1999.