1. Los Estados Miembros deberán asegurar que, con respecto a los datos autentificados por medio de una firma electrónica suministrada por un proveedor de servicios de certificación, que cumple los requisitos establecidos en esta Directiva, existe la presunción legal de que:

(a) los datos no han sido alterados desde el momento en que la firma electrónica fue añadida a ellos;
(b) la firma electrónica pertenece efectivamente a la persona que realizó la firma digital; y
(c) la firma electrónica fue añadida por dicha persona con la intención de firmar los datos

En este precepto se recogen los principios establecidos tradicionalmente por la doctrina respecto a los fundamentos jurídicos que deben regir una transacción de comercio electrónico.

La necesidad de establecer presunciones legales respecto a la integridad y autenticidad de una operación electrónica en la que se funden las voluntades contractuales de ambas partes resulta fundamental para otorgar seguridad jurídica al negocio realizado y al tráfico mercantil o de consumo que tenga lugar en el nuevo entorno generado por las redes telemáticas.

El principio de INTEGRIDAD queda recogido en la presunción de que los datos no han sido alterados desde el momento en que la firma electrónica fue añadida a ellos. Ello garantiza que los elementos básicos del negocio, como el precio, la cantidad y las característica de lo contratado, entre otros, se considerarán válidos salvo que la parte en desacuerdo demuestre que efectivamente han sido alterados o se han incumplido las normas de seguridad establecidas para garantizar la integridad de la información.

El principio de AUTENTICIDAD se integra en la presunción de que la firma electrónica pertenece efectivamente a la persona que realizó la firma digital. Esta garantía es necesaria para dar a cada parte la certeza de que la otra es realmente quien dice ser. La base técnica de esta presunción se encuentra en el desarrollo de protocolos de seguridad como la especificación SET que permitan la generación y el tratamiento de firmas digitales. Esta garantía está asociada a las normas de custodia de las claves y certificados de cada parte, penalizando un uso o tenencia negligente de los elementos de seguridad que participan en la autentificación de los intervinientes. La carga de la prueba corresponderá a la parte que niegue su intervención en el negocio.

El principio de NO REPUDIO se encuentra recogido en la presunción de que la firma electrónica fue añadida por dicha persona con la intención de firmar los datos, y que, por lo tanto, dió su pleno consentimiento al contenido de la transacción. Ello significa que las partes intervinientes no podrán rechazar las obligaciones contractuales derivadas del negocio llevado a cabo, salvo en el caso de que demuestren que concurre algún vicio del consentimiento previsto en la legislación nacional, o cualquier otra prueba que desvirtúe la presunción. En las transacciones de consumo siempre quedará a salvo el derecho al desistimiento en el plazo de siete días, o "repudio jurídico", previsto en la Directiva de Venta a Distancia y en la correspondientes legislaciones nacionales.

La actual doctrina del Tribunal Supremo español sostiene que la firma autógrafa no es la única manera de signar, pues hay otros mecanismos que, sin ser firma autógrafa, constituyen trazados gráficos, que asimismo conceden autoría y obligan. Así, las claves, los códigos, los signos y, en casos, los sellos con firmas en el sentido indicado. Y, por otra parte, la firma es un elemento muy importante del documento, pero, a veces, no esencial, en cuanto existen documentos sin firma que tienen valor probatorio (como son los asientos, registros, papeles domésticos y libros de los comerciantes). En consecuencia, aunque, al igual que en el caso de los documentos comunes, puede haber documentos electrónicos sin firma, el documento electrónico (y, en especial, el documento electrónico con función de giro mercantil) es firmable, en el sentido de que el requisito de la firma autógrafa o equivalente puede ser sustituido, por el lado de la criptografía, por medio de cifras, signos, códigos, barras, claves u otros atributos alfa-numéricos que permitan asegurar la procedencia y veracidad de su autoría y la autenticidad de su contenido. Por lo tanto, si se dan todas las circunstancias necesarias para acreditar la autenticidad de los ficheros electrónicos o del contenido de los discos de los ordenadores o procesadores y se garantiza, con las pruebas periciales en su caso necesarias, la veracidad de lo documentado y la autoría de la firma electrónica utilizada, el documento mercantil en soporte informático, con función de giro, debe gozar de plena virtualidad jurídica operativa.

En este sentido, es importante conseguir que la asimilación de la firma electrónica a la firma convencional, existente ya en la jurisprudencia española, adquiera rango de ley en el momento de la trasposición de la Directiva propuesta en este texto de la Comisión Europea.

La legislación española ha previsto, en distintas normas, la validez del documento electrónico y de las comunicaciones telemáticas como prueba documental. (Véase una selección de dichas normas en http://www.onnet.es/08020001.htm) Asimismo, la jurisprudencia ha reconocido que, a fectos probatorios, ha de entenderse por documento, el escrito, en sentido tradicional, o aquella otra cosa que, sin serlo, pueda asimilarse al mismo, por ejemplo, un diskette, un documento de ordenador, un vídeo, una película, etc., con un criterio moderno de interacción de las nuevas realidades tecnológicas, en el sentido en que la palabra documento figura en algunos diccionarios como "cualquier cosa que sirve para ilustrar o comprobar algo" (obsérvese que se trata de una interpretación ajustada a la realidad sociológica, puesto que, al no haber sido objeto de interpretación contextual y auténtica, puede el aplicador del derecho tener en cuenta la evolución social), siempre que el llamado "documento" tenga un soporte material, que es lo que sin duda exige la norma penal. En la actualidad dicha fórmula jurisprudencial tiene adecuada correspondencia en la norma contenida en el artículo 26 del nuevo Código Penal, según el cual "A los efectos de este Código se considera documento todo soporte material que exprese o incorpore datos, hechos o narraciones con eficacia probatoria o cualquier otro tipo de relevancia jurídica".

Sin embargo, es importante que la ley establezca directamente la fuerza probatoria en juicio de un documento firmado electrónicamente, y en este sentido, debe reconocerse la importacia de este apartado en la propuesta de Directiva sobre firmas electrónicas.

Es lógico que, en aras a la seguridad del tráfico mercantil, se introduzcan presunciones legales a favor de la integridad, autenticidad y validez de las transacciones electrónicas, pero también es lógico que dichas presunciones sean "iuris tantum", es decir, admitan una prueba en contrario, puesto que el consentimiento puede estar viciado y los datos pueden haber sido objeto de una manipulación no autorizada. El principio de integridad asigna la carga de la prueba a la parte que mantenga que los datos han sido alterados, demostrando la insuficiencia del procedimiento de seguridad empleado.

Una vez creado un entorno seguro en el que las autoridades de certificación, los protocolos de seguridad empleados y las presunciones legales establecidas garanticen los principios de integridad, autenticidad, confidencialidad, no repudio y fuerza probatoria de los datos firmados electrónicamente, no deberían existir diferencias entre los requisitos de seguridad establecidos para una transacción electrónica sometida al derecho privado y una transacción electrónica sometida al derecho público. Si las autoridades de certificación cumplen los requisitos establecidos en la Directiva propuesta, los efectos legales, la validez o la fuerza ejecutiva de las firmas electrónicas y de los datos asociados a las mismas no deberían estar sometidos a requisitos adicionales que entorpeciesen las relaciones de los ciudadanos con las administraciones públicas.

El principio de libertad contractual y de autonomía de la voluntad de las partes que intervienen en un negocio debe quedar siempre garantizada, sin que pueda ser limitada por normas que impidan concretar las condiciones bajo las que aceptarán datos firmados electrónicamente. En entornos de banca telefónica y banca electrónica, por ejemplo, es habitual establecer cláusulas específicas respecto a la validez de los asientos generados por el usuario o la entidad financiera utilizando medios y soportes diferentes al papel ya la firma autógrafa. Aunque dichos pactos no deberían ser necesarios una vez hayan entrado en vigor las leyes de trasposición de la Directiva propuesta, es importante que se mantenga la libertad contractual de las partes.

Finalmente, deberán tenerse en cuenta las normas derivadas de la Directiva de Cláusulas Abusivas en las operaciones de consumo.

Se echa en falta, en el texto propuesto, una mención al principio de CONFIDENCIALIDAD que debe regir en cualquier transacción electrónica y ampliamente discutido a raíz del desarrollo y la implementación de la especificación SET. De acuerdo con este principio, debería existir un apartado con el siguiente texto: "Los Estados Miembros deberán asegurar que los sistemas y procedimientos de seguridad y cifrado utilizados garantizarán la confidencialidad de los datos a los que una firma electrónica es añadida"

1. La prestación de servicios de certificación no está sujeta a autorización previa. Los Estados Miembros pueden introducir voluntariamente sistemas de autorización. Todas las normas deben ser apropiadas, no discriminatorias y transparentes para el servicio afectado.

Libertad de prestación de servicios de certificación

Aplicación de las normas nacionales a los CSP del país

Principio de no restricción

(a) poseer la fiabilidad necesaria para ofrecer servicios de certificación;

(b) emplear personal que posea los conocimientos especiales, experiencia y cualificación necesaria para los servicios ofrecidos;

(c) utilizar sistemas confiables así como hardware y software generalmente reconocidos y adecuados para el tipo de servicio y el grado de seguridad ofrecido;

(d) tener suficientes recursos financieros para operar de conformidad con esta Directiva;

(e) conservar durante un periodo de tiempo determinado toda la información relevante relativa a un certificado cualificado, en particular para que pueda servir como prueba de la certificación en el contexto de un procedimiento judicial. Dicha conservación puede realizarse electrónicamente;

(f) informar a los consumidores acerca de cualquier información relevante que afecte al uso correcto y seguro de los servicios de certificación y establecer procedimientos para reclamaciones y resolución de disputas;

(g) publicar con respecto a los servicios disponibles por el público, toda información relevante relativa a los procedimientos utilizados y a las prácticas aplicadas, los términos y condiciones de los contratos, en particular las obligaciones de responsabilidad a las que se comprometan, así como los procedimientos de reclamación y de resolución de disputas que apliquen; la publicación deberá ser accesible de forma apropiada y fácil.

a. Fiabilidad
b. Personal técnico adecuado
c. Sistemas confiables
d. Suficientes recursos financieros
e. Conservación de la información relativa a los certificados emitidos
f. Información relativa al uso correcto
g. Procedimiento para reclamaciones y resolución de disputas
h. Publicación de información relativas a:

- Procedimientos utilizados
- Términos y condiciones contractuales
- Responsabilidad
- Procedimientos de reclamación y resolución de disputas

Pendiente de desarrollo

1. Los Estados miembros deberán asegurar que los certificados cualificados contengan, al menos:

(a) el identificador del proveedor de servicios de certificación que lo emite;

(b) el nombre inequívoco de su titular o un seudónimo inequívoco que deberá ser identificado como tal;

(c) una clave pública que corresponda a una clave privada bajo el control del titular o un dispositivo similar que cumpla la misma función;

(d) inicio y final del periodo operativo del certificado;

(e) los algoritmos con los que la clave pública o un dispositivos similar puede ser usado;

(f) el código de identidad único del certificado cualificado; y

(g) la firma electrónica del proveedor de servicios de certificación que lo emite

(h) limitaciones en el ámbito de uso del certificado, en el caso en que sean aplicables;

(i) restricciones de la responsabilidad del proveedor de servicios de certificación, en el caso de que sean aplicables

a. Identificación del CSP
b. Nombre el titular o seudónimo
c. Clave pública del titular
d. Periodo de vigencia
e. Algoritmos compatibles
f. Identificador del certificado
g. Firma electrónica del CSP
h. Limitaciones de uso

Pendiente de desarrollo

1. Los Estados Miembros deberán asegurar que mediante la emisión de un certificado cualificado, un proveedor de servicios de certificación es responsable ante cualquier persona que razonablemente tenga en cuenta (confíe en) el certificado en los siguientes aspectos:

(a) toda la información que figura en el certificado cualificado es exacta desde la fecha en que fué emitido, excepto en el caso de que el proveedor de servicios de certificación haya declarado otra cosa en el certificado;

(b) que se han cumplido todos los requisitos de esta Directiva en la emisión del certificado cualificado;

(c) el titular identificado en el certificado cualificado en el momento de la emisión del certificado tiene la clave privada o un dispositivo de firma similar que se corresponde con la clave pública o dispositivo silimar relacionado en el certificado;

(d) la clave pública y la clave privada del titular constituyen un par de claves en funcionamiento o un dispositivo similar que cumple la misma función; y

(e) el certificado cualificado no ha sufrido ninguna incidencia que afecte a su fiabilidad, hasta donde alcance el conocimiento del proveedor de servicios de certificación.

a. Exactitud de la información
b. Cumplimiento de requisitos
c. Correspondencia entre clave privada y clave pública del titular del certificado
d. Vigencia del par de claves
e. Fiabilidad del certificado

- Únicamente daños directos
- Exclusión de los beneficios previstos

Adopción de las medidas razonablemente aplicables

Exoneración de responsabilidad en casos de uso contrario a lo establecido

Exoneración de responsabilidad en el caso de exceso

Posibilidad de fijación de una cantidad máxima

1. Los Estados Miembros deberán asegurar que los certificados emitidos por un proveedor de servicios de certificación de un tercer país son reconocidos como legalmente equivalentes a los certificados emitidos por proveedores de servicios de certificación que operan bajo esta Directiva:

(a) si el proveedor de servicios de certificación tiene una autorización de un Estado Miembro de la Unión Europea; o

(b) si el certificado es reconocido por un proveedor de servicios de certificación que opera bajo esta Directiva, y que el proveedor de servicios de certificación garantiza el certificado, con el mismo alcance que sus propios certificados;

(c) si el certificado es reconocido bajo el régimen de un acuerdo bilateral o multilateral entre la Comunidad Europea y terceros países u organizaciones internacionales.

a. Autorización
b. Reconocimiento por CSP comunitario
c. Reconcimiento por tratado

Medidas y propuestas para facilitarlos

1. Los Estados Miembros deberán asegurar que los proveedores de servicios de certificación y los cuerpos nacionales de acreditación cumplan con los requisitos establecidos en las normas nacionales que implementan las Directivas 95/46/CE y 97/66/CE.

2. Los Estados Miembros debrán asegurar que un proveedor de servicios de certificación sólo pueda recoger datos personales directamente del afectado y sólo hasta donde sea necesario para la finalidad de emitir un certificado. Los datos no pueden ser procesados con otros propósitos.

3. Los Estados Miembros deberán asegurar que, a solicitud del firmante, el proveedor de servicios de certificación indique un seudónimo en vez del nombre del firmante en el certificado.

4. Los Estados Miembros deberán asegurar que en el caso de personas que utilicen seudónimos, el proveedor de servicios de información transmitirá los datos relativos a la identidad de dichas personas a las autoridades públicas que lo requieran con el consentimiento del afectado. Cuando el consentimiento no pueda ser obtenido porque la transferencia de los datos que revelan la identidad del afectado sea necesaria para la investigación de delitos criminales graves, la transferencia se conservará y el afectado será informado de la transferencia de los sus datos tan pronto como sea posible después de que la investigación haya sido completada.

- Con consentimiento del afectado
- En el contexto de un procedimiento judicial por delito grave