Connotaciones legales
En la parte legal he encontrado a letrados que tienen mas conocimientos y ya han tratado el tema, en concreto el Notario Francisco Rosales ha escrito un articulo en el que he basado la parte legal. También su compañero José Carmelo Llopis Benllopch notario de Ayora ha escrito un interesante articulo sobre el tema. https://notariabierta.es/blockchain-notarios-confianza-analogica-digital/
En estos artículos se ponen de relieve las diferencias entre un Notario y el tercero de confianza. Me han resultado artículos recomendables y entre los puntos a destacar, en la legislación española, el tercero de confianza esta recogido en La ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, (http://noticias.juridicas.com/base_datos/Admin/l34-2002.html).
Dentro de las conclusiones que realiza Francisco, el tercero de confianza es una figura que reconoce la ley, pero no tiene facultad atribuida.
El tercero de confianza surge por el acuerdo entre dos partes. No se puede hacer unilateralmente. Si no hay consentimiento entre las dos partes, no puede haber un tercero.
En el articulo de la ley de firma electrónica el documento resultante del tercero de confianza es un documento electrónico privado. Por otro lado, según este articulo, el tercero de confianza solo archiva documentos electrónicos, no es el autor del documento que custodian ni garantiza su autenticidad.
Terceros de Confianza en la certificación de paginas web
Pero en este punto, hay que indicar que el servicio del tercero de confianza en la certificación de paginas web, si que genera el documento que custodian. (tiene que hacerlo para firmarlo digitalmente).
Como resumen, el tercero de confianza se basa en el acuerdo de partes, si no hay consentimiento de la otra parte el tercero de confianza no puede llamarse como tal. Los servicios que la ley permite a estas empresas es el archivo de contaros electrónicos.
Por estas premisas la mayoría de los servicios que no identifican a las dos partes, que realizan las empresas de terceros de confianza que se presentan como notarios electrónicos o digitales.
Terceros de Confianza: Reglamento eIDAS
En el articulo de José Carmelo, https://notariabierta.es/blockchain-notarios-confianza-analogica-digital/ , se trata el articulo 3.16 del Reglamento (UE) Número 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 (Reglamento eIDAS) entiende los servicios de confianza en :
a) La creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios.
b) La creación, verificación y validación de certificados para la autenticación de sitios web.
c) La preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.
En el articulo 3 se da valor probatorio de los documentos electrónicos, se le da a los documentos electrónicos al atribuir a los documentos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado una ventaja probatoria que se materializa en una presunción probatoria, pues las características de dichos documentos electrónicos se tendrán por ciertas salvo que otros medios de prueba desvirtúen su certeza.
Por tanto, la palabra se puede tergiversar, y según este articulo, si en el proceso de creación de la producción o la comunicación se utiliza un tercero de confianza tiene presunción probatoria. Y en el fondo puede parecer que esta bien, pero no indica cuando ni como se ha de realizar.
En otras palabras, para ser útil, el procedimiento de producción y comunicación de dichos documentos ha de ser completo, y tener tener garantizada la seguridad en el proceso.
De lo contrario, basta con hacer un documento fuera del sistema de la firma electrónica, y después firmarlo o registrarlo con un certificado digital. (por ejemplo la fabrica de la moneda y timbre de ciudadano).
¿Tiene dicho documento presunción probatoria del origen del contenido?
No. Para ilustrarlo pondré dos ejemplo a lo que me refiero.
En el proceso de tramitación en línea del ayuntamiento de Madrid, o la Agencia tributaria, se inicia primeramente identificando al ciudadano con un certificado digital (DNI etc.) Con esa autenticación se le da acceso al servidor de la institución y en su portal web puede rellenar un formulario y hacer el escrito pertinente. Cuando ha sido finalizado, la plataforma le indica al ciudadano si lo quiere firmar y una vez dado el visto bueno lo sella y lo almacena.
La “producción” de este documento esta bajo la firma digital, desde el inicio del proceso hasta su finalización. La información aportada la ha creado el ciudadano.
En cambio, según la interpretación de este texto, se puede realizar un documento en PDF en un ordenador propio, y a continuación registrarlo o firmarlo con un “tercero de confianza” o una firma digital.
La diferencia entre los dos casos es obvia. En una de ellas se tiene el control de todo el proceso y está bajo la autenticación de una firma digital, y en la segunda no. Cuando se certifican portales web o correos electrónicos pasa algo parecido, técnicamente es imposible tener el control de todo el proceso.
Adicionalmente, el proceso de recogida de datos que utilizan estos servicios en la certificación de correos y portales web tienen controversia con el RPDG, dado que las IPs son consideradas como dato de carácter personal, y estos servicios los almacenan sin consentimiento del interesado.
Los servicios web que ofrecen los servicios de tercero de confianza se parecen más al segundo caso explicado que al primero. En la certificación de correos electrónicos el prestador del servicio de tercero de confianza se enfrenta a problemas técnicos parecidos a la certificación de portales web.
D. Eduardo García de la Beldad Sanchis
Experto Universitario en Análisis Forense Web y Redes Sociales en Ciberseguridad y Peritaje Informático Judicial, en Derecho Informático y Peritaciones Judiciales, en Hacking Ético de Sistemas y Redes de la UDIMA. Experto Universitario en Delegado de Protección de Datos LOPD. Master en Informática Forense y Delitos Informáticos (UDIMA).
