|
DERECHO
COMPARADO
Los
órganos de acreditación de los
prestadores de servicios de certificación digital
Por:
Alejandro Segura Loarte
caselo@yahoo.com
LA
NECESIDAD DE ASEGURAR
la fiabilidad de la firma electrónica y digital ha hecho
de que los ordenamientos jurídicos establezcan declaraciones
del Estado (facultativos) u Órganos de Acreditación
de los Prestadores de Servicios de Certificación (obligatorios).
El primero a manera de un registro opcional de las Entidades
de Certificación, mientras que el segundo como un ente,
público o mixto (público-privado), encargado preferentemente
de acreditar y/o autorizar a las Entidades de Certificación
para el inicio de sus operaciones.
El ordenamiento jurídico
peruano opta por establecer un Órgano de Acreditación
de los Prestadores de Servicios de Certificación, proyectándose
encargar, vía Reglamento, esta función al Registro
Nacional de Identificación y Estado Civil (RENIEC).
La finalidad de la presente es
hacer una revisión de la normatividad existente y propuesta
del Órgano de Acreditación o Autoridad Administrativa
Competente, como lo denomina la Ley Peruana de Firmas y Certificados
Digitales, así como hacer una sumaria identificación
de estos órganos de acreditación en la legislación
comparada; concluyendo con una revisión de la competencia
del Registro Nacional de Identificación y Estado Civil
(RENIEC) como Órgano de Acreditación.
Referencias
del órgano de acreditación en la Ley No. 27269
de firmas y certificados digitales y su modificatoria, Ley No.
27310
La Ley No. 27269 no regula un
concepto de órgano de acreditación, tal como sucede
coincidentemente en distintos ordenamientos jurídicos
extranjeros (v.gr., Argentina, Brasil, Colombia, España,
Panamá, Portugal), salvo en el Decreto Ley No. 12041.204
de la República Bolivariana de Venezuela, en el que se
crea y define a la Superintendencia de Servicios de Certificación
Electrónica como el órgano de acreditación
venezolano1.
Esta ausencia de definición
del órgano de acreditación en la propia ley peruana,
así como en la legislación comparada, regulatorias
de la firma electrónica y digital, se debería a
que en algunas legislaciones, el órgano de acreditación
es una entidad con existencia dentro de la estructura estatal,
a la cual se le encarga esta atribución (v.gr. la Superintendencia
de Industria y Comercio de la República de Colombia2).
Mientras que en otros dispositivos,
se crea al órgano de acreditación como una entidad
nueva dentro de una organización existente, preferentemente
pública (v.gr. la Dirección de Comercio Electrónico
adscrita a la Dirección Nacional de Comercio del Ministerio
de Comercio e Industrias de la República del Panamá3).
Se debe destacar, por excepción, que en el ordenamiento
jurídico brasileño se ha creado provisoriamente
el Comité Gestor de Infraestructura de Claves Públicas
Brasileras, como un ente de naturaleza pública y privada,
a la cual se le encargan funciones propias del órgano
de acreditación4.
Autoridad
Administrativa
La Ley de Firmas y Certificados
Digitales de la República del Perú, Ley No. 27269,
se refiere a la denominada "Autoridad Administrativa Competente",
entendido como el órgano de acreditación, en sólo
un artículo y una Disposición Complementaria, Transitoria
y Final.
El artículo 15º de
la citada Ley dispone que la Autoridad Administrativa Competente
será nombrado mediante Decreto Supremo por el Poder Ejecutivo
y que ésta tendrá a su cargo el "Registro
de Entidades de Certificación y Entidades de Verificación
(o también llamadas Entidades de Registro)", cuyos
datos deben cumplir preferentemente con la función de
identificar a dichas Entidades.
Este encargo implícitamente
comprendería las actividades de organizar, custodiar y
mantener (actualizar) el denominado "Registro de Entidades
de Certificación y Entidades de Verificación o
Registro", por ser consubstancial a la labor registral.
Nuestra legislación entiende como "Entidad de Certificación"
a aquella que cumple la función de emitir o cancelar certificados
digitales, así como de brindar otros servicios inherentes
al propio certificado o aquellos que brinden seguridad al sistema
de certificados en particular o del comercio electrónico
en general (Ley No. 27269, artículo 12º). Mientras
que entiende por "Entidad de Registro o Verificación"
a la responsable de recabar los datos personales del solicitante
de la firma digital directamente de éste; de comprobar
la información de un solicitante de certificado digital;
de identificar y autenticar al suscriptor de la firma digital;
de aceptar y autorizar las solicitudes de emisión de certificados
digitales; y, de aceptar y autorizar las solicitudes de cancelación
de certificados digitales (Ley No. 27269, artículos 8º
y 13º).
Así mismo, la Ley No.
27269, en su Tercera Disposición Complementaria, Transitoria
y Final6, señala como potestad de la Autoridad Administrativa
Competente la de aprobar la utilización de otras tecnologías
de firmas electrónicas, siempre que éstas cumplan
con los requisitos establecidos en la mencionada ley; es decir,
que puestas sobre un mensaje de datos o añadidas o asociadas
lógicamente a los mismos, puedan vincular e identificar
al firmante, así como garantizar la autenticación
e integridad de los documentos electrónicos (Ley No. 27269,
Artículo 2º).
Finalmente, la Ley No. 27310,
en su único artículo, modificatorio del artículo
11º de la Ley de Firmas y Certificados Digitales, señala
que los certificados digitales extendidos por las Entidades de
Certificación Extranjeras tendrán la misma validez
y eficacia jurídica reconocidas en la Ley No. 27269 para
los certificados digitales emitidos por Entidades de Certificación
Nacionales, siempre que sean reconocidos por la Autoridad Administrativa
Competente7.
Regulación
del órgano de acreditación en el proyecto de reglamento
de la Ley No. 27269
Por Resolución Suprema
No. 098-2000-JUS el Ministerio de Justicia de la República
del Perú designó una Comisión Multisectorial
encargada de elaborar el Reglamento de la Ley No. 27269 de Firmas
y Certificados Digitales; dándose por concluida la labor
de dicha Comisión Multisectorial, mediante Resolución
Suprema No. 280-201-JUS, publicándose el Proyecto de Reglamento
elaborado por la misma en el Diario Oficial "El Peruano".
El Proyecto de Reglamento de
la Ley No. 27269 de Firmas y Certificados Digitales, en adelante
el Proyecto de Reglamento, regula lo referente a la definición,
designación, comisión de asesoría, funciones
y facultades del órgano de acreditación peruano.
Se define como Autoridad Administrativa
Competente al organismo público responsable de acreditar
a las Entidades de Certificación y a las Entidades de
Registro o Verificación, de reconocer los estándares
tecnológicos aplicables en la Infraestructura Oficial
de Firma Electrónica, de supervisar dicha Infraestructura,
así como la reglamentación y prestación
de servicios de valor añadido relacionados con la misma
y las otras funciones señaladas en el Reglamento o aquellas
que requiera en el transcurso de sus operaciones (artículo
4º).
En su artículo 36º,
el Proyecto de Reglamento designa como la Autoridad Administrativa
Competente y, por tanto órgano de acreditación,
al Registro Nacional de Identificación y Estado Civil
(RENIEC).
Asesoramiento
de una Comisión Multisectorial
Asimismo, se establece que ésta
debe contar con el permanente asesoramiento de una Comisión
Multisectorial, la cual actuará como órgano consultivo.
Dicha comisión estaría integrada por:
a)
Un representante del Registro Nacional de Identificación
y Estado Civil (RENIEC), quien la presidiría;
b)
Un representante de la Presidencia del Consejo de Ministro;
c)
Un representante del Ministerio de Justicia;
d) Un
representante del Ministerio de Industria, Turismo, Integración
y Negociaciones Comerciales Internacionales;
e)
Un representante del Ministerio de Relaciones Exteriores;
f)
Un representante del Ministerio de Economía y Finanzas;
g)
Un representante del Ministerio de Transportes, Comunicaciones,
Vivienda y Construcción;
h)
Un representante del Instituto Nacional de Defensa de la Competencia
y de la Propiedad Intelectual (INDECOPI);
i) Un
representante del Instituto Nacional de Estadística e
Informática (INEI);
j) Un
representante del Organismo Supervisor de la Inversión
Privada en Telecomunicaciones (OSIPTEL); y,
k) Dos
representantes del sector privado, a ser designados una vez que
se encuentre instalada la comisión.
El Proyecto de Reglamento, en
el mismo artículo 36º, señala las funciones
de la Autoridad Administrativa Competente; no obstante, a lo
largo del texto de este Proyecto se advierten, de manera explicita
e implícita, otras atribuciones propias de la Autoridad
Administrativa Competente. Con propósitos meramente didácticos,
se alcanza una identificación de estos agrupándolos
por función y conexos.
Políticas,
procedimientos y normas
- Establecer procedimientos de
certificación basados en estándares internacionales
o compatibles a los empleados internacionalmente (artículo
11º literal a)
- Determinar los estándares
técnicos internacionales compatibles que aseguren la interoperabilidad
y funciones exigidas en la Ley y en el Reglamento, aplicando
el principio de neutralidad tecnológicas (artículo
12º)
- Establecer otras causales de
cancelación del certificado digital, distintas a las fijadas
en el Reglamento (artículo 25º literal h)
- Aprobar la política
de certificados y las declaraciones de prácticas de certificación
(artículo 36º literal a)
- Formular los criterios para
el establecimiento de la idoneidad técnica y moral que
deberán cumplir los socios, directores, gerentes y demás
personas que laboren o presenten servicios en las materias reguladas
por las disposiciones relativas a la Firma Electrónica,
así como aquellas relacionadas con la prevención
y solución de conflictos (artículo 36º literal
h)
- Establecer los requisitos mínimos
para la prestación de los servicios de certificación
y los servicios de registro o verificación (artículo
36º literal i)
- Definir los criterios para
evaluar la suficiencia del respaldo financiero con el que deben
contar las Entidades de Certificación y Entidades de Registro
o Verificación (artículo 36º literal k)
- Determinar todos aquellos procedimientos
y políticas necesarios para la aplicación del Reglamento
(artículo segundo de la Disposición Final).
Los
órganos de acreditación en la Legislación
Comparada
Argentina: Jefatura de Gabinete de Ministros con
la asistencia de la Comisión Asesora para la Infraestructura
de Firma Digital. Ley 25.506 Ley de firma digital promulgada
el 11/12/ 2001.
Brasil: Comité
Gestor da Infra Estrutura de Chaves Públicas - Brasil
vinculado á Casa Civil da Presidéncia da República
Medida Provisória No. 2.200/01. Institui a Infra Estrutura
de Chaves Públicas Brasileira - ICP-Brasil, transforma
o Instituto Nacional de Tecnologia da Informação
em autarquia, e dá outras providências de 24/08/2001
Chile: Subsecretaría
de Economía, Fomento y Reconstrucción adscrita
al Ministro de Economía, Fomento y Reconstrucción
Proyecto de ley, en segundo trámite constitucional, sobre
firma electrónica y los servicios de certificación
de firma electrónica (Boletín No. 2.571-19)
Colombia: Superintendencia de Industria y Comercio
adscrita al Ministerio de Desarrollo Económico de Colombia.
Ley No. 527 Por medio de la cual se define y reglamenta el acceso
y uso de los mensajes de datos, del comercio electrónico
y de las firmas digitales, y se establecen las entidades de certificación
y se dictan otras disposiciones de 18/08/ 1999
Costa Rica: Autoridad Competente Entidad adscrita
al Ministerio de Ciencia y Tecnología Proyecto de Ley
de firma digital y certificados digitales Expediente No. 14.276
Ecuador:
Organismo de Regulación y Organismo de Control Consejo
Nacional de Telecomunicaciones y Superintendencia de Telecomunicaciones,
Proyecto de Ley de comercio electrónico, firmas electrónicas
y mensajes de datos No. 21-315 de 06/02/2001. Comisión
Especializada Permanente de lo Civil y Penal del Congreso de
la República del Ecuador
España: Sistema voluntario de acreditación
de los prestadores de servicios de certificación de firma
electrónica Real Decreto - Ley 14/1999 sobre Firma Electrónica
de 17/09/1999.
|
