Base legal

La lexislación básica sobre firma electrónica cualificada recóllese no Regulamento (UE) Nº 910/2014, coñecido como Regulamento eIDAS (electronic IDentification, Authentication and trust Services) que entrou en vigor o 1 de xullo de 2016, aprobado en 2014.

Artigo 25: Efectos xurídicos da firma electrónica

• Aprobada polo Parlamento Europeo: 29 de febreiro de 2024
• Publicada no Diario Oficial da UE: 11 de abril de 2024
• Entró en vigor: 20 de maio de 2024

Esta reforma amplía o alcance do regulamento orixinal (UE 910/2014) e introduce, entre outras innovacións:

1. - Cartera Europea de Identidad Digital (European Digital Identity Wallet o EUDI Wallet), que los Estados miembros deben ofrecer voluntariamente.
2. - Novos servizos cualificados, como arquivado electrónico, libros electrónicos e atributos electrónicos asociados á identidade.
3. - Fortalecemento de controis de seguridade e auditorías periódicas para os fornecedores de servizos de confianza cualificados.

🔹 Artigo 26 - Requisitos para a firma electrónica avanzada

Unha firma avanzada (base para a cualificada) debe:

1. Estar vinculada ao asinante de maneira única.
2. Permitir a identificación do asinante.
3. Ser creada con datos que estean baixo o control exclusivo do asinante.
4. Estar vinculada cos datos asinados, de forma que calquera modificación posterior sexa detectable.

🔹 Artigo 27 – Dispositivos cualificados de creación de firma electrónica

Establece que a firma cualificada debe xerarse cun dispositivo cualificado (como un token criptográfico ou un HSM), cumprindo cos requisitos do Anexo II.

🔹 Artigo 28 – Certificados cualificados de firma electrónica

Unha firma cualificada debe basearse nun certificado cualificado emitido por un fornecedor cualificado de servizos de confianza e cumprir co establecido no Anexo I do regulamento.

Cuando asínanse datos, o asinante indica a aceptación dunhas condicións xerais e unhas condicións particulares aplicables a aquela firma electrónica mediante a inclusión dun campo asinado, dentro da firma, que específica unha política explícita ou implícita.

Se o campo correspondente á normativa de firma electrónica está ausente e non se identifica ningunha normativa como aplicable, entón pódese asumir que a firma foi xerada ou verificada sen ningunha restrición normativa, e en consecuencia, que non se lle asignou ningún significado concreto legal ou contractual. Se trataría dunha firma que non especifica de forma expresa ningunha semántica ou significación concreta e, por tanto, fará falta derivar o significado da firma a partir do contexto (e especialmente, da semántica do documento asinado).

A finalidade dunha política de firma é reforzar a confianza nas transaccións electrónicas a través dunha serie de condicións para un contexto dado, o cal pode ser unha transacción determinada, un réxime legal ou un rol que asuma a parte asinante.

Por ejemplo, a Política de Sinatura da Administración Xeral do Estado (AGE) especifica as condicións xerais aplicables á firma electrónica para a súa validación, na relación electrónica da Administración Xeral do Estado cos cidadáns e entre os órganos e entidades da AGE.

Segundo o artigo 24 do Real Decreto 1671/2009 polo que se desenvolve parcialmente a Lei 11/2007 de Acceso Electrónico dos Cidadáns aos Servizos Públicos, a política de firma electrónica e certificados no ámbito da Administración Xeral do Estado e dos seus organismos públicos, está constitu&icaute;dá polas directrices e normas técnicas aplicables á utilización de certificados e firma electrónica dentro do seu ámbito de aplicación.

A política de firma ten unha misión importante xa que define as regras e obrigas de todos os actores involucrados no proceso de firma en determinados contextos (contractual, xurídico, legal,…).

El Real Decreto 4/2010 polo que se regula o Esquema Nacional de Interoperabilidade establece que a política de firma electrónica e de certificados da Administración Xeral do Estado, servirá de marco xeral de interoperabilidade para a autenticación e o recoñecemento mutuo de firmas electrónicas dentro do seu ámbito de actuación. Tamén establece que esta política poderá ser utilizada como referencia por outras Administracións Públicas para definir as políticas de certificados e firmas a recoñecer dentro dos seus ámbitos competenciais..

El Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica, ten por obxecto o establecemento dos principios e requisitos dunha política de seguridade protección da información.

Pois ben, o decreto, no seu artigo 33 tamén relega á Política de Firma toda a función de concretar os procesos de xeración, validación e conservación de firmas electrónicas, así como as características e requisitos esixibles aos sistemas de firma electrónica, os certificados, os servizos de selaxe de tempo, e outros elementos de soporte das firmas.

Por outra banda, o RD no seu anexo II punto 5.7.4 é moi específico sobre os tipos de firma que deben aplicarse en función do nivel da información que debe protexerse.

• Nivel BAJO

  Se pode empregar calquera medio de firma electrónica dos previstos na lexislación vixente.

• Nivel MEDIO

  Os medios utilizados na firma electrónica serán proporcionados á cualificación da información tratada. En todo caso:

  Se empregarán algoritmos acreditados polo Centro Criptolóxico Nacional.

  • Se empregarán, preferentemente, certificados recoñecidos.
  • Se empregarán dispositivos seguros de firma.

  Se garantirá a verificación e validación da firma electrónica durante o tempo requirido pola actividade administrativa que aquela soporte, sen prexuízo de que se poida ampliar este período de acordo con o que estableza a política de firma electrónica e de certificados que sexa de aplicación. Para tal fin:

  • Se achegará á firma, ou se referenciará, toda a información pertinente para a súa verificación e validación.
  • Se protexerán a firma e a información mencionada no apartado anterior cun selo de tempo.
  • El organismo que solicite documentos asinados polo administrado verificará e validará a firma recibida no momento da recepción, anexando ou referenciando sen ambigüidade a información descrita nos epígrafes a) e b).
  • A firma electrónica de documentos por parte da Administración anexará ou referenciará sen ambigüidade a información descrita nos epígrafes a) e b).
• Nivel ALTO

  Se aplicarán as medidas de seguridade referentes a firma electrónica esixibles no nivel Medio, ademais das seguintes:

  • Se usarán certificados recoñecidos.
  • Se usarán dispositivos seguros de creación de firma.
  • Empregaranse, preferentemente, produtos certificados [op.pl.5].

  A norma CCN-STIC-807 do Centro Criptolóxico Nacional establece no punto 5.7 cales son os mecanismos e algoritmos que se poden utilizar para asinar en función do nivel da información.

• El regulamento europeo 910/2014, do 23 de xullo, relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior e pola que se derroga a Directiva 1999/93/CE, establece a obriga de validar certificados electrónicos emitidos por calquera Fornecedor de Servizos de Confianza europeo.
• A normativa de desenvolvemento do regulamento eIDAS, Decisión de Ejecución (UE) 2015/1506 da Comisión do 8 de setembro de 2015 pola que se establecen as especificacións relativas aos formatos das firmas electrónicas avanzadas e os selos avanzados que deben recoñecer os organismos do sector público de conformidade cos artigos 27, apartado 5, e 37, apartado 5, do Regulamento (UE) non 910/2014 do Parlamento Europeo e do Consello, relativo á identificación electrónica e os servizos de confianza para as transaccións electrónicas no mercado interior, establece que os Estados membros deben fixar os medios técnicos necesarios que lles permitan procesar os documentos asinados electronicamente que son necesarios cando se utiliza un servizo en liña ofrecido por, ou en nome de, un organismo do sector público. Para iso define unha serie de formatos de firma electrónica avanzada que deben admitir tecnicamente os Estados membros cando se necesiten firmas electrónicas avanzadas para un procedemento administrativo en liña.
• O artigo 47 do Real Decreto 1671/2009, do 6 de novembro, polo que se desenvolve parcialmente a Lei 11/2007, do 22 de xuño, de acceso electrónico dos cidadáns aos servizos públicos, establece a necesidade de incorporar unha referencia temporal dos documentos administrativos electrónicos, sendo unha das modalidades de referencia temporal, o «Selo de tempo», entendendo por tal a asignación por medios electrónicos dunha data e hora a un documento electrónico coa intervención dun fornecedor de servizos de certificación que asegure a exactitude e integridade da marca de tempo do documento.
• Por otro lado, o Real Decreto 4/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Interoperabilidade no ámbito da Administración Electrónica expón no seu artigo 22.4 que os aspectos relativos á firma electrónica na conservación do documento electrónico estableceranse na Política de firma electrónica e de certificados, e a través do uso de formatos de firma lonxeva que preserven a conservación das firmas ao longo do tempo.
• A preservación das firmas lonxevas ao longo do tempo concrétase na Resolución do 19 de xullo de 2011, da Secretaría de Estado para a Función Pública, pola que se aproba a Norma Técnica de Interoperabilidade de Política de Firma Electrónica e de certificados da Administración, no apartado II.7 relativo ao Arquivado e custodia, que establece que para garantir a fiabilidade dunha firma electrónica ao longo do tempo, poderanse utilizar: Firmas lonxevas mediante as que se engadirá información do estado do certificado asociado, incorporando un selo de tempo, así como os certificados que conforman a cadea de confianza.
• O selo de tempo é unha parte indispensable da firma electrónica, sobre todo no caso das firmas lonxevas, que necesiten ser validadas moito tempo despois da súa xeración.
• Así mesmo o Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica, en ANEXO II de Medidas de seguridade, no apartado 5.7.4 relativo á firma electrónica, especifica que para os sistemas clasificados de nivel medio nas dimensións de integridade e autenticidade, garantirase a verificación e validación da firma electrónica durante o tempo requirido pola actividade administrativa que aquela soporte, para o que se achegará á firma, ou se referenciará, toda a información pertinente para a súa verificación e validación, e protexeranse a firma e a información mencionada no apartado anterior cun selo de tempo.

Ademais do regulamento eIDAS, a serie de normas ETSI desenvolve aspectos técnicos e de interoperabilidade. As máis relevantes para a firma cualificada son:

• ETSI EN 319 411-2: Requisitos para prestadores cualificados que emiten certificados cualificados.

• ETSI EN 319 401: Requisitos xerais para os fornecedores de servizos de confianza.

• ETSI EN 319 421: Requisitos para servizos de conservación de firmas electrónicas cualificadas.

• ETSI EN 319 411-1: Requisitos para fornecedores de servizos de certificación.