Los órganos de acreditación de los prestadores de servicios de certificació

Jueves, 24 de noviembre de 2005

 

DERECHO COMPARADO

Los órganos de acreditación de los
prestadores de servicios de certificación digital

Por: Alejandro Segura Loarte
caselo@yahoo.com

 

LA NECESIDAD DE ASEGURAR la fiabilidad de la firma electrónica y digital ha hecho de que los ordenamientos jurídicos establezcan declaraciones del Estado (facultativos) u Órganos de Acreditación de los Prestadores de Servicios de Certificación (obligatorios). El primero a manera de un registro opcional de las Entidades de Certificación, mientras que el segundo como un ente, público o mixto (público-privado), encargado preferentemente de acreditar y/o autorizar a las Entidades de Certificación para el inicio de sus operaciones.

El ordenamiento jurídico peruano opta por establecer un Órgano de Acreditación de los Prestadores de Servicios de Certificación, proyectándose encargar, vía Reglamento, esta función al Registro Nacional de Identificación y Estado Civil (RENIEC).

La finalidad de la presente es hacer una revisión de la normatividad existente y propuesta del Órgano de Acreditación o Autoridad Administrativa Competente, como lo denomina la Ley Peruana de Firmas y Certificados Digitales, así como hacer una sumaria identificación de estos órganos de acreditación en la legislación comparada; concluyendo con una revisión de la competencia del Registro Nacional de Identificación y Estado Civil (RENIEC) como Órgano de Acreditación.

Referencias del órgano de acreditación en la Ley No. 27269 de firmas y certificados digitales y su modificatoria, Ley No. 27310

La Ley No. 27269 no regula un concepto de órgano de acreditación, tal como sucede coincidentemente en distintos ordenamientos jurídicos extranjeros (v.gr., Argentina, Brasil, Colombia, España, Panamá, Portugal), salvo en el Decreto Ley No. 12041.204 de la República Bolivariana de Venezuela, en el que se crea y define a la Superintendencia de Servicios de Certificación Electrónica como el órgano de acreditación venezolano1.

Esta ausencia de definición del órgano de acreditación en la propia ley peruana, así como en la legislación comparada, regulatorias de la firma electrónica y digital, se debería a que en algunas legislaciones, el órgano de acreditación es una entidad con existencia dentro de la estructura estatal, a la cual se le encarga esta atribución (v.gr. la Superintendencia de Industria y Comercio de la República de Colombia2).

Mientras que en otros dispositivos, se crea al órgano de acreditación como una entidad nueva dentro de una organización existente, preferentemente pública (v.gr. la Dirección de Comercio Electrónico adscrita a la Dirección Nacional de Comercio del Ministerio de Comercio e Industrias de la República del Panamá3).
Se debe destacar, por excepción, que en el ordenamiento jurídico brasileño se ha creado provisoriamente el Comité Gestor de Infraestructura de Claves Públicas Brasileras, como un ente de naturaleza pública y privada, a la cual se le encargan funciones propias del órgano de acreditación4.

Autoridad Administrativa

La Ley de Firmas y Certificados Digitales de la República del Perú, Ley No. 27269, se refiere a la denominada "Autoridad Administrativa Competente", entendido como el órgano de acreditación, en sólo un artículo y una Disposición Complementaria, Transitoria y Final.

El artículo 15º de la citada Ley dispone que la Autoridad Administrativa Competente será nombrado mediante Decreto Supremo por el Poder Ejecutivo y que ésta tendrá a su cargo el "Registro de Entidades de Certificación y Entidades de Verificación (o también llamadas Entidades de Registro)", cuyos datos deben cumplir preferentemente con la función de identificar a dichas Entidades.

Este encargo implícitamente comprendería las actividades de organizar, custodiar y mantener (actualizar) el denominado "Registro de Entidades de Certificación y Entidades de Verificación o Registro", por ser consubstancial a la labor registral. Nuestra legislación entiende como "Entidad de Certificación" a aquella que cumple la función de emitir o cancelar certificados digitales, así como de brindar otros servicios inherentes al propio certificado o aquellos que brinden seguridad al sistema de certificados en particular o del comercio electrónico en general (Ley No. 27269, artículo 12º). Mientras que entiende por "Entidad de Registro o Verificación" a la responsable de recabar los datos personales del solicitante de la firma digital directamente de éste; de comprobar la información de un solicitante de certificado digital; de identificar y autenticar al suscriptor de la firma digital; de aceptar y autorizar las solicitudes de emisión de certificados digitales; y, de aceptar y autorizar las solicitudes de cancelación de certificados digitales (Ley No. 27269, artículos 8º y 13º).

Así mismo, la Ley No. 27269, en su Tercera Disposición Complementaria, Transitoria y Final6, señala como potestad de la Autoridad Administrativa Competente la de aprobar la utilización de otras tecnologías de firmas electrónicas, siempre que éstas cumplan con los requisitos establecidos en la mencionada ley; es decir, que puestas sobre un mensaje de datos o añadidas o asociadas lógicamente a los mismos, puedan vincular e identificar al firmante, así como garantizar la autenticación e integridad de los documentos electrónicos (Ley No. 27269, Artículo 2º).

Finalmente, la Ley No. 27310, en su único artículo, modificatorio del artículo 11º de la Ley de Firmas y Certificados Digitales, señala que los certificados digitales extendidos por las Entidades de Certificación Extranjeras tendrán la misma validez y eficacia jurídica reconocidas en la Ley No. 27269 para los certificados digitales emitidos por Entidades de Certificación Nacionales, siempre que sean reconocidos por la Autoridad Administrativa Competente7.

Regulación del órgano de acreditación en el proyecto de reglamento de la Ley No. 27269

Por Resolución Suprema No. 098-2000-JUS el Ministerio de Justicia de la República del Perú designó una Comisión Multisectorial encargada de elaborar el Reglamento de la Ley No. 27269 de Firmas y Certificados Digitales; dándose por concluida la labor de dicha Comisión Multisectorial, mediante Resolución Suprema No. 280-201-JUS, publicándose el Proyecto de Reglamento elaborado por la misma en el Diario Oficial "El Peruano".

El Proyecto de Reglamento de la Ley No. 27269 de Firmas y Certificados Digitales, en adelante el Proyecto de Reglamento, regula lo referente a la definición, designación, comisión de asesoría, funciones y facultades del órgano de acreditación peruano.

Se define como Autoridad Administrativa Competente al organismo público responsable de acreditar a las Entidades de Certificación y a las Entidades de Registro o Verificación, de reconocer los estándares tecnológicos aplicables en la Infraestructura Oficial de Firma Electrónica, de supervisar dicha Infraestructura, así como la reglamentación y prestación de servicios de valor añadido relacionados con la misma y las otras funciones señaladas en el Reglamento o aquellas que requiera en el transcurso de sus operaciones (artículo 4º).

En su artículo 36º, el Proyecto de Reglamento designa como la Autoridad Administrativa Competente y, por tanto órgano de acreditación, al Registro Nacional de Identificación y Estado Civil (RENIEC).

Asesoramiento de una Comisión Multisectorial

Asimismo, se establece que ésta debe contar con el permanente asesoramiento de una Comisión Multisectorial, la cual actuará como órgano consultivo. Dicha comisión estaría integrada por:

a) Un representante del Registro Nacional de Identificación y Estado Civil (RENIEC), quien la presidiría;

b) Un representante de la Presidencia del Consejo de Ministro;

c) Un representante del Ministerio de Justicia;

d) Un representante del Ministerio de Industria, Turismo, Integración y Negociaciones Comerciales Internacionales;

e) Un representante del Ministerio de Relaciones Exteriores;

f) Un representante del Ministerio de Economía y Finanzas;

g) Un representante del Ministerio de Transportes, Comunicaciones, Vivienda y Construcción;

h) Un representante del Instituto Nacional de Defensa de la Competencia y de la Propiedad Intelectual (INDECOPI);

i) Un representante del Instituto Nacional de Estadística e Informática (INEI);

j) Un representante del Organismo Supervisor de la Inversión Privada en Telecomunicaciones (OSIPTEL); y,

k) Dos representantes del sector privado, a ser designados una vez que se encuentre instalada la comisión.

El Proyecto de Reglamento, en el mismo artículo 36º, señala las funciones de la Autoridad Administrativa Competente; no obstante, a lo largo del texto de este Proyecto se advierten, de manera explicita e implícita, otras atribuciones propias de la Autoridad Administrativa Competente. Con propósitos meramente didácticos, se alcanza una identificación de estos agrupándolos por función y conexos.

Políticas, procedimientos y normas

- Establecer procedimientos de certificación basados en estándares internacionales o compatibles a los empleados internacionalmente (artículo 11º literal a)

- Determinar los estándares técnicos internacionales compatibles que aseguren la interoperabilidad y funciones exigidas en la Ley y en el Reglamento, aplicando el principio de neutralidad tecnológicas (artículo 12º)

- Establecer otras causales de cancelación del certificado digital, distintas a las fijadas en el Reglamento (artículo 25º literal h)

- Aprobar la política de certificados y las declaraciones de prácticas de certificación (artículo 36º literal a)

- Formular los criterios para el establecimiento de la idoneidad técnica y moral que deberán cumplir los socios, directores, gerentes y demás personas que laboren o presenten servicios en las materias reguladas por las disposiciones relativas a la Firma Electrónica, así como aquellas relacionadas con la prevención y solución de conflictos (artículo 36º literal h)

- Establecer los requisitos mínimos para la prestación de los servicios de certificación y los servicios de registro o verificación (artículo 36º literal i)

- Definir los criterios para evaluar la suficiencia del respaldo financiero con el que deben contar las Entidades de Certificación y Entidades de Registro o Verificación (artículo 36º literal k)

- Determinar todos aquellos procedimientos y políticas necesarios para la aplicación del Reglamento (artículo segundo de la Disposición Final).

Los órganos de acreditación en la Legislación Comparada

Argentina: Jefatura de Gabinete de Ministros con la asistencia de la Comisión Asesora para la Infraestructura de Firma Digital. Ley 25.506 Ley de firma digital promulgada el 11/12/ 2001.

Brasil: Comité Gestor da Infra Estrutura de Chaves Públicas - Brasil vinculado á Casa Civil da Presidéncia da República Medida Provisória No. 2.200/01. Institui a Infra Estrutura de Chaves Públicas Brasileira - ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia, e dá outras providências de 24/08/2001

Chile: Subsecretaría de Economía, Fomento y Reconstrucción adscrita al Ministro de Economía, Fomento y Reconstrucción Proyecto de ley, en segundo trámite constitucional, sobre firma electrónica y los servicios de certificación de firma electrónica (Boletín No. 2.571-19)

Colombia: Superintendencia de Industria y Comercio adscrita al Ministerio de Desarrollo Económico de Colombia. Ley No. 527 Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones de 18/08/ 1999

Costa Rica: Autoridad Competente Entidad adscrita al Ministerio de Ciencia y Tecnología Proyecto de Ley de firma digital y certificados digitales Expediente No. 14.276

Ecuador: Organismo de Regulación y Organismo de Control Consejo Nacional de Telecomunicaciones y Superintendencia de Telecomunicaciones, Proyecto de Ley de comercio electrónico, firmas electrónicas y mensajes de datos No. 21-315 de 06/02/2001. Comisión Especializada Permanente de lo Civil y Penal del Congreso de la República del Ecuador

España: Sistema voluntario de acreditación de los prestadores de servicios de certificación de firma electrónica Real Decreto - Ley 14/1999 sobre Firma Electrónica de 17/09/1999.

Change password



Loading..