Traigo a este blog la cuestión de la firma electrónica avanzada reconocida y ya anticipo que no sé muy bien lo que es. Más o menos sé que es una firma electrónica, cómo funciona, los tipos de firma que hay (o había), cuándo se convierte una firma electrónica en avanzada y cuándo una firma electrónica avanzada que reunía una serie de requisitos se convertía en firma electrónica reconocida. No obstante, todavía no sé que es una firma electrónica avanzada reconocida.
La cuestión se planteó en el foro de la comunidad de prácticas de la contratación al hilo de la publicación de la Ley 25/2013, de 27 de diciembre, de impulso de la factura electrónica y creación del registro contable de facturas en el Sector Público, ley que modificó el apartado f) de la disposición adicional decimosexta del Real Decreto Legislativo 3/2011, por el cual se aprueba el texto refundido de la Ley de Contratos del Sector Público, es decir, la que regula el uso de medios electrónicos, informáticos y telemáticos en los procedimientos de contratación en los siguientes términos: «Todos los actos y manifestaciones de voluntad de los órganos administrativos o de las empresas licitadoras o contratistas que tengan efectos jurídicos y se emitan a lo largo del procedimiento de contratación deben ser autenticados mediante una firma electrónica “avanzada” reconocida (antes era firma electrónica reconocida) de acuerdo con la Ley 59/2003, de 19 de diciembre, de firma electrónica. Los medios electrónicos, informáticos o telemáticos empleados deben poder garantizar que la firma se ajusta a las disposiciones de esta norma. No obstante lo anterior, las facturas electrónicas que se emitan en los procedimientos de contratación se regirán en este punto por lo dispuesto en la Ley 25/2013 de impulso de la factura electrónica y creación del registro contable de facturas en el sector público».
El debate fue vivo con diferentes opiniones de voces autorizadas en el mundo dela contratación/administración electrónica (Jaime Domínguez Macaya-Laurnaga uno de los creadores del modelo de contratación electrónica del gobierno Vasco; Nacho Alamillo Domingo uno de los redactores del Decreto 96/2004, de 20 de enero, por el que se regula la utilización de los medios electrónicos, informáticos y telemáticos en la contratación de la Administración de la Generalidad de Cataluña; y, entre otros, Manuel Caño Gómez, editor del blog www.contratacionpublicaelectronica.es).
Antes de la Ley 25/2013, de 27 de diciembre, para que la relación electrónica en contratación administrativa fuese válida se exigía una firma electrónica reconocida según lo que dice el artículo 3.2º de la Ley 59/2003, de 19 de diciembre, es decir: una firma electrónica avanzada (firma que permitiera identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control) y que además, se basara en un certificado reconocido y fuera generada mediante un dispositivo seguro de creación de firma.
Ahora la cuestión no está muy clara. A la vista del debate, las posiciones muy resumidas serían:
- Que la Ley 25/2013, de 27 de diciembre ha cambiado algo:
a. Una interpretación es que una firma electrónica avanzada reconocida sería cualquier firma electrónica avanzada “admitida” (o reconocida) por la Ley.
b. Otra interpretación, más restrictiva, sería que una firma electrónica avanzada reconocida sería una firma electrónica avanzada basada en un certificado reconocido pero que NO ha sido generada mediante un dispositivo seguro de creación de firma, (algo que de hecho ya se está produciendo en la medida en que hay algunas plataformas de contratación electrónica que utilizan firmas electrónicas basadas en el uso de certificados reconocidos en software).
2. Que la Ley 25/2013, de 27 de diciembre no ha cambiado algo nada. La firma electrónica avanzada reconocía no existe en la la Ley 59/2003, de 19 de diciembre, de firma electrónica, en consecuencia, una firma electrónica avanzada reconocida sería una firma electrónica avanzada basada en un certificado reconocido que ha sido generada mediante un dispositivo seguro de creación de firma, es decir, una firma electrónica reconocida como se decía antes.
Esta discusión, que parece más doctrinal que práctica, debe ser interpretada a la vista de lo que dispone la Directiva 2014/24/UE del Parlamento Europeo y del Consejo de 26 de febrero de 2014 sobre contratación pública y por la que se deroga la Directiva 2004/18/CE, que sobre el asunto de la firma electrónica establece lo siguiente en su artículo 22 relativo a la normas aplicables a las comunicaciones en su punto 6º: Además de los requisitos establecidos en el anexo IV, se aplicarán a las herramientas y dispositivos de transmisión y recepción electrónica de las ofertas y de recepción electrónica de las solicitudes de participación las normas siguientes:
b) los Estados miembros o los poderes adjudicadores, actuando en el marco general establecido por el Estado miembro de que se trate, especificarán el nivel de seguridad exigido para los medios de comunicación electrónicos utilizados en las diferentes fases de cada procedimiento de contratación; el nivel será proporcional a los riesgos asociados;
c) cuando los Estados miembros o los poderes adjudicadores, actuando en el marco general establecido por el Estado miembro de que se trate, concluyan que el nivel de riesgo, evaluado de conformidad con la letra b) del presente apartado, es tal que se exijan las firmas electrónicas avanzadas definidas en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, los poderes adjudicadores aceptarán las firmas electrónicas avanzadas respaldadas por un certificado reconocido, teniendo en cuenta si esos certificados los facilita un prestador de servicios de certificación que se encuentra en una Lista de Confianza contemplada en la Decisión 2009/767/CE de la Comisión, creada con o sin dispositivo seguro de creación de firma, siempre que se cumplan las siguientes condiciones”.
Teniendo presente lo que dice la directiva y que el plazo de transposición al ordenamiento interno expira el próximo 18 de abril de 20016, parece que en relación a la utilización de la firma electrónica en la la gestión electrónica de la contratación pública:
● Habrá ciertas fases del procedimiento de contratación, que precisen del uso de la firma electrónica para garantizar la seguridad jurídica de lo actuado.
● También habrá otras fases, en las que no sea preciso usar la firma electrónica. De hecho, en Suecia y Finlandia llevan haciendo contratación pública electrónica sin firma electrónica, como recuerda Manuel Caño Gómez.
● Todo dependerá del nivel de riesgo de cada fase del procedimiento; en función de ese nivel de riesgo se deberán de utilizar de forma proporcional elementos técnicos que garanticen la seguridad jurídica de lo actuado.
● Cuando el nivel de riesgo de alguna fase del procedimiento de contratación sea alto se aceptarán firmas electrónicas avanzadas respaldadas por un certificado reconocido creadas con o sin dispositivo seguro de creación de firma.
Esperemos que en la futura transposición de la directiva se aclare el término firma electrónica avanzada reconocida.
Sobre estos temas hay que estar muy informado siempre. Incluso para las empresas que desarrollamos hardware y tecnología para firma digital, cifrados, etc. un pequeño cambio nos influye en la operativa del software que utilizamos y por ende, al hardware