A firma electrónica regúlase no noso ordenamento xurídico mediante a aplicación da Lei 6/2020, do 11 de novembro, reguladora de determinados aspectos dos servizos electrónicos de confianza e o Regulamento (UE) Nº 910/2014 do Parlamento Europeo e do Consello, do 23 de xullo de 2014 (eIDAS), relativo á identificación electrónica e os servizos de confianza nas transaccións electrónicas no mercado interior e polo que se derroga a Directiva 1999/93/CE.
Debemos destacar que a recente Lei 6/2020 derrogou a Lei 59/2003, do 19 de decembro, de firma electrónica, e con ela aqueles preceptos incompatibles co Regulamento eIDAS que é de aplicación directa, evitando así a existencia de baleiros normativos susceptibles de dar lugar a situacións de inseguridade xurídica na prestación de servizos electrónicos de confianza.
Establece o artigo 3 do Regulamento eIDAS sobre definicións que:
12) «firma electrónica cualificada», unha firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas e que se basea nun certificado cualificado de firma electrónica;
A firma electrónica cualificada é aquela que se realiza cun certificado cualificado que é definido polo Regulamento como:
un certificado de firma electrónica, que foi expedido por un fornecedor cualificado de servizos de confianza e que cumpre os requisitos establecidos no anexo I;
A firma electrónica cualificada comparte todas as características da firma electrónica avanzada, ao estar vinculada ao asinante de forma única e intransferible e ligada ao documento de tal maneira que non poida alterarse posteriormente, pero se diferencia en que esta ten que ser creada por un certificado electrónico que valida a identificación do asinante de forma inequívoca e que debe ser expedido por unha Autoridade de certificación, o que repercute en que sexa un método moi seguro e completo.
Recolle o artigo 3 do Regulamento eIDAS sobre definicións que:
11) «firma electrónica avanzada», a firma electrónica que cumpre os requisitos contemplados no artigo 26;
Os requisitos para este tipo de firma segundo o artigo 26 do regulamento serían:
A firma electrónica avanzada presenta un maior nivel de seguridade, xa que, permite identificar ao asinante de forma única co documento electrónico, e o posterior rexistro de firma e aceptación por parte do mesmo, co fin de evitar calquera modificación posterior sobre o documento.
O regulamento EIDAS no seu artigo 3 establece:
10) «firma electrónica», os datos en formato electrónico anejos a outros datos electrónicos ou asociados de maneira lóxica con eles que utiliza o asinante para firma
É dicir, a firma electrónica simple é aquela que permite identificar dixitalmente ao asinante cos seus datos, pero ofrece un escaso nivel de seguridade.
Cando se asinan datos, o asinante indica a aceptación dunhas condicións xerais e unhas condicións particulares aplicables a aquela firma electrónica mediante a inclusión dun campo asinado, dentro da firma, que específica unha política explícita ou implícita.
Se o campo correspondente á normativa de firma electrónica está ausente e non se identifica ningunha normativa como aplicable, entón pódese asumir que a firma foi xerada ou verificada sen ningunha restrición normativa, e en consecuencia, que non se lle asignou ningún significado concreto legal ou contractual. Trataríase dunha firma que non especifica de forma expresa ningunha semántica ou significación concreta e, por tanto, fará falta derivar o significado da firma a partir do contexto (e especialmente, da semántica do documento asinado).
A finalidade dunha política de firma é reforzar a confianza nas transaccións electrónicas a través dunha serie de condicións para un contexto dado, o cal pode ser unha transacción determinada, un réxime legal ou un rol que asuma a parte asinante.
Por exemplo, a Política de Sinatura da Administración Xeral do Estado (AGE) especifica as condicións xerais aplicables á firma electrónica para a súa validación, na relación electrónica da Administración Xeral do Estado cos cidadáns e entre os órganos e entidades da AGE.
Segundo o artigo 24 do Real Decreto 1671/2009 polo que se desenvolve parcialmente a Lei 11/2007 de Acceso Electrónico dos Cidadáns aos Servizos Públicos, a política de firma electrónica e certificados no ámbito da Administración Xeral do Estado e dos seus organismos públicos, está constituída polas directrices e normas técnicas aplicables á utilización de certificados e firma electrónica dentro do seu ámbito de aplicación.
A política de firma ten unha misión importante xa que define as regras e obrigas de todos os actores involucrados no proceso de firma en determinados contextos (contractual, xurídico, legal,…).
O Real Decreto 4/2010 polo que se regula o Esquema Nacional de Interoperabilidade establece que a política de firma electrónica e de certificados da Administración Xeral do Estado, servirá de marco xeral de interoperabilidade para a autenticación e o recoñecemento mutuo de firmas electrónicas dentro do seu ámbito de actuación. Tamén establece que esta política poderá ser utilizada como referencia por outras Administracións Públicas para definir as políticas de certificados e firmas a recoñecer dentro dos seus ámbitos competenciais.
O Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica, ten por obxecto o establecemento dos principios e requisitos dunha política de seguridade protección da información.
Pois ben, o decreto, no seu artigo 33 tamén relega á Política de Firma toda a función de concretar os procesos de xeración, validación e conservación de firmas electrónicas, así como as características e requisitos esixibles aos sistemas de firma electrónica, os certificados, os servizos de selaxe de tempo, e outros elementos de soporte das firmas.
Por outra banda, o RD no seu anexo II punto 5.7.4 é moi específico sobre os tipos de firma que deben aplicarse en función do nivel da información que debe protexerse.
pódese empregar calquera medio de firma electrónica dos previstos na lexislación vixente.
Os medios utilizados na firma electrónica serán proporcionados á cualificación da información tratada. En todo caso:
Empregaranse algoritmos acreditados polo Centro Criptolóxico Nacional.
Garantirase a verificación e validación da firma electrónica durante o tempo requirido pola actividade administrativa que aquela soporte, sen prexuízo de que se poida ampliar este período de acordo con o que estableza a política de firma electrónica e de certificados que sexa de aplicación. Para tal fin:
Aplicaranse as medidas de seguridade referentes a firma electrónica esixibles no nivel Medio, ademais das seguintes:
A norma CCN-STIC-807 do Centro Criptolóxico Nacional establece no punto 5.7 cales son os mecanismos e algoritmos que se poden utilizar para asinar en función do nivel da información.