Breve repaso a la Ley de Firma Electrónica Avanzada, México
Primero de todo, y para que a lo largo de la lectura de la citada Ley (en adelante FIEL) me gustaría remarcar la diferencia de nomenclatura para mi más relevante respecto a la legislación española, y es que en la FIEL, la
Firma Electrónica Avanzada: [es] el conjunto de datos y caracteres que permite la identificación del firmante, que ha sido creada por medios electrónicos bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos, la cual produce los mismos efectos jurídicos que la firma autógrafa;
Lo que en la ley española sería la firma electrónica reconocida. En su día ya hablamos sobre el lío existente entre firma electrónica y firma digital.
El artículo 8 viene a describir los servicios de seguridad como todos ya los conocemos (autenticidad, confidencialidad, integridad, no repudio), y un contradictorio principio de neutralidad tecnológica. Contradictorio porque en el artículo 2, de definiciones ya se da a entender que toda la ley se sustentará sobre criptografía de clave pública.
El anterior punto de equivalencia funcional aparece citado hasta tres veces en la ley (art.2.XII, art.7, art.8.I, lo que denota la relevancia que se le quiere otorgar.
En al artículo 11, se mete parte de la Ley 11/2007 (LAECSP) española. No basta con dejar clara la equivalencia funcional, sino que además se dice explícitamente a las AA.PP. que deben admitirla si así lo desea el ciudadano.
En el artículo 16 se regula la creación de copias electrónicas de originales en papel, otro de los puntos que trata la LAECSP.
El artículo 18 detalla el procedimiento de solicitud! Fuera incertidumbres!
Vigencia máxima de cuatro años, como en España con los certificados reconocidos.
Se da pie, tanto en las deficiones (enlazando las deficiones XIX. Prestador de Servicios de Certificación y IV. Autoridad Certificadora del artículo 2) como en el capítulo III (art. 24) dedicado a las Autoridades de Certificación, a que se establezcan ACs o PSC privados, aunque falta (o yo no doy con) «las disposiciones generales que se emitan en los términos de esta Ley«, lo que puede representar una gran oportunidad para los ya experimentados prestadores de servicios de certificación españoles.
Las obligaciones de las ACs (Art. 25) en algún caso me parecen fuera de su alcance, por lo que no entiendo cómo se les piden tales cosas. Por ejemplo:
V. Garantizar la autenticidad, integridad, conservación, confidencialidad y confiabilidad de la firma electrónica avanzada, así como de los servicios relacionados con la misma;
Las ACs no distribuyen ni son responsables de las aplicaciones de generación de firma, o al menos, no se cita en la ley. ¿Cómo pueden ser responsables de la autenticidad, integridad, conservación, confidencialidad y confiabilidad de la mismas? En todo caso, del certificado digital, pero no de la firma electrónica avanzada.
Finalmente, si yo fuera un PSC español y leyera el artículo 30…
Artículo 30. Los certificados digitales expedidos fuera de la República Mexicana tendrán la misma validez y producirán los mismos efectos jurídicos reconocidos en la presente Ley, siempre y cuando tales certificados sean reconocidos por las autoridades certificadoras a que se refiere el artículo 23 de la propia Ley y se garanticen, en la misma forma que lo hacen con sus propios certificados, el cumplimiento de los requisitos, el procedimiento, así como la validez y vigencia del certificado.
… ya estaría haciendo las llamadas oportunas para que mis certificados se admitieran en México.
Consideraciones legales más sofisticadas al margen, que juristas ya se encargarán de desvelar, me parece una ley con un enfoque práctico muy interesante!
Ya sabes, si te ha gustado esta entrada, o crees que puede resultar útil a otras personas, no dudes en compartirla a través de los botones que encontrarás debajo.
1 comentario.
Sin entrar en profundidades técnicas, yendo simplemente al hecho en sí de FIRMAR un documento, yo solo quería hacer una observación a este tema de la firma digital. ¿En qué cabeza cabe que para firmar un documento de repente se exija tanta, perdonadme, “tontería”? Utilizando el vocabulario sencillo de firmar un documento, el hecho de hacerlo de manera electrónica debería ser un equivalente al realizado de forma manuscrita, al margen de la necesidad de un ordenador, un certificado reconocido y el lector, el software de firma y el fichero en cuestión que todo ello sustituye al bolígrafo y el papel.
Hablar de firmas longevas o no, que si caduca, que si mi madre fuma y todo lo demás, esto me parece que es un sistema ha complicado tanto la situación que no hay quien lo haga funcionar de una forma sencilla y universal. Cuando un “humano” presenta un documento firmado, da igual si es en una AAPP o no, al margen de “compulsar” una firma, no debería existir ninguna otra cosa porque si lo hago en papel no se me exige nada más. Llevo 8 años con estos temas y cuanto más lo miro más absurdo lo encuentro. Si yo he obtenido un certificado reconocido y para ello me he tenido que presentar en una Entidad Certificadora para identificarme y que me lo den, todo lo demás es cuento chino y, perdonadme una vez más, es cuestión de dinero, un negocio para mucha gente/empresas/gobiernos. Las tecnologías deben servir para facilitarnos la vida, no para complicárnosla. ¿Por qué tienen que existir tantos Certificados Reconocidos? Mi firma es una, manuscrita o no, y si yo tengo una manera de identificarme en mi país con un documento oficial obligatorio en el que me ponen un certificado que dice que soy yo, por qué tienen que existir tropecientos más? Yo soy una única persona, con una única firma que sirve para todo lo que va a mi nombre.
Es solo una reflexión, para mí todo esto es del género ¿idiota o jeta?