LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 15:03:25

LegalToday

Por y para profesionales del Derecho

Aspectos jurídicos del Tercero de confianza

Asociado Senior del Área de Governance, Risk & Compliance de ECIJA

El Tercero de confianza es una figura definida en la LSSICE que tiene como fin archivar las declaraciones de voluntad que integran los contratos electrónicos y que consigna la fecha y hora en que se producen las comunicaciones electrónicas necesarias para tal contratación electrónica. Esta definición conlleva una serie de aspectos jurídicos a tener en cuenta en su establecimiento, principalmente derivados de la normativa electrónica. Además, se debe tener en cuenta en la delimitación de tales aspectos, que no es una figura aislada, sino que se suele integrar con otros servicios basados en firma electrónica, y por tanto se deben considerar diversas normativas.

Aspectos jurídicos del Tercero de confianza

La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), en su artículo 25 "Intervención de terceros de confianza" dispone que "1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública. 2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años."

El Tercero de confianza no es una figura exclusiva del ámbito de la contratación electrónica, ni es una figura aislada, sino que veremos que es un servicio más de otros que como él se basa en firma electrónica. Y por tanto no hay que tener en cuenta únicamente la LSSICE en su configuración.

CUSTODIA DIGITAL

Las comunicaciones implicadas en el proceso de envío al Tercero de confianza (piénsese en éste como un servicio basado en firma electrónica) de un documento cualquiera, deben contemplar una conexión segura, que garantice la confidencialidad de los datos transmitidos. Se hace prácticamente ineludible en consecuencia, que la capa de transporte sea cifrado conforme al protocolo SSL (Secure Socket Layer) y complementariamente con mensajes basados en el protocolo SOAP (Simple Object Access Protocol) seguros, como los definidos por el estándar Web Security v1.1 creado por OASIS (Organization for the Advancement of Structured Information Standards).

En todo caso, se debe tener en cuenta que, aunque por un mero criterio de claridad estemos hablando del Tercero de confianza siempre como un custodio de documentos, realmente el servicio aplica sus características de seguridad técnica y jurídica a objetos, en el sentido de que almacena de forma segura todo aquello que recibe de los usuarios del servicio, sin que el formato electrónico del objeto recibido pueda ser un problema para el uso del servicio. Y es que el documento u objeto recibido, no necesita ser utilizado (ejecutado, leído, transformado, etc.) por el Tercero, que únicamente va a tratarlo técnicamente para "envolverlo" con las capas de seguridad que permitan la custodia en las condiciones adecuadas.

Por otro lado, el Tercero de confianza debe garantizar que los documentos depositados se almacenan con la debida confidencialidad, integridad y no alternación de los documentos frente a posibles ojeadores. De esta forma, debe permitir el archivado seguro mediante el cifrado de los documentos con una clave única para cada usuario del servicio. Como forma complementaria se puede generar certificados mediante una PKI (Public Key Infrastructure) propietaria del propio servicio o bien utilizar los certificados emitidos por una tercera Autoridad de Certificación para realizar el cifrado de los documentos. Lógicamente, tanto la configuración de la PKI como de los certificados emitidos por ésta, habría de ser conforme con lo dispuesto en la Ley 59/2003, de 19 de diciembre, de Firma electrónica.

Adicionalmente, el Tercero de confianza servicio exige que se dispongan los mecanismos necesarios para realizar el correcto tratamiento del depósito de documentos con firma digital. De esta manera, siempre que se deposite un documento firmado se debe poder comprobar:

  • La validez del documento firmado. Mediante el uso de estándares (XAdES, PKCS#7 o firma de PDF) se garantiza la integridad del documento.
  • La validación de los certificados debe ser independiente de la Autoridad de Certificación que los emitió. Para ello es importante hacer uso de un servicio de validación que sea capaz de procesar las consultas contra los distintos OCSP (Online Certificate Status Protocol) y CRL (Certificate Revocation List) públicas y privadas de cada certificado.
  • La validez de los sellos de tiempo del documento. En el caso de existir, es necesario realizar la comprobación de los distintos sellos de tiempo incluidos en la firma.

Una cuestión transversal a todos los aspectos del almacenamiento, es la relativa a los periodos de conservación de los documentos u objetos depositados. Podría ser una cuestión fácil, si volvemos al texto del citado artículo 25 LSSICE. Pero no podemos dejar de señalar que, en primer lugar, dicho precepto se aplica únicamente a contratos electrónicos que entren dentro del ámbito de aplicación de la propia LSSICE, y en segundo lugar, que el Tercero de confianza puede extender el ámbito de sus servicios a un elevado y heterogéneo conjunto de documentos u objetos electrónicos, teniendo en cuenta además que los depositarios pueden solicitar tiempos de conservación superiores a los de manera inicial son legalmente exigibles.

También de gran relevancia es la capacidad del Tercero de confianza para procurar que los objetos custodiados puedan constituir Prueba electrónica. En este sentido, hay que tener en cuenta principalmente lo dispuesto en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, puesto que lógicamente va a ser la norma que nos de la pauta de los requisitos a cumplir por lo que podemos denominar como "Prueba electrónica". Fundamentalmente en cuanto al certificado de firma electrónica con que se puedan firmar los documentos u objetos recibidos por el depositario y las garantías de no alteración en su custodia que deben observarse.

Y es que en definitiva, la integración de una firma electrónica adecuada dentro del servicio, nos permitirá generar, como consecuencia de la firma de los documentos u objetos por el depositario como "Documento electrónico", de acuerdo al concepto establecido en el artículo 3.5 de la Ley de Firma Electrónica.

FIRMA ELECTRÓNICA DE DOCUMENTOS DEPOSITADOS

El servicio del Tercero de confianza debe garantizar que el mensaje no puede ser alterado una vez depositado, asegurando así la integridad en el tiempo. El mecanismo para cumplir con esta función debe ser la firma electrónica de todos los documentos, en el mismo momento del depósito, por parte del propio Tercero.

La implementación técnica más sólida para conseguir este objetivo es la utilización de XAdES-XL. Siempre que se deposite un documento se deberían obtener dos piezas, una con el documento depositado en cual se debería seguir algún criterio de cifrado del contenido en el proceso de deposito, y un fichero XAdES-XL con la información relativa a la firma del documento. Fichero de firma y documento forman un único depósito que garantiza el valor legal de la custodia.

Por otro lado, para evitar el no repudio de los documentos depositados, es necesario que el servicio realice el sellado de tiempo de los mismos, también en el mismo momento del depósito. Para ello, el Tercero de confianza debe hacer uso de una Autoridad de de sellos de tiempo (TSA), que como entidad independiente al servicio genera una firma electrónica que aplicada al documento y tomando una fuente de tiempo confiable, determina la existencia inalterada del documento u objeto desde el momento del sello y hacia el futuro.

RECUPERACIÓN DE DOCUMENTOS CUSTODIADOS

Por último, es necesario que exista un mecanismo para permitir la posterior recuperación por parte de los usuarios del servicio de cualquier documento depositado. Para ello existen varias alternativas, entre las cuales cabe destacar las siguientes:

1. Llave criptográfica única por documento. Es el realizado desde el punto de vista de los documentos depositados, en el momento de su depósito para custodia. Utilizando cualquiera de los algoritmos criptográficos robustos, se debe generar un número o llave única asignada de forma unívoca al documento.

2. Acceso a los documentos por identificador de usuario. Es el realizado desde el punto de vista del usuario del servicio que realiza el depósito en la Tercera parte de confianza. Esta alternativa se basa en la identificación del usuario, por lo tanto es imprescindible que el servicio realice el registro, junto con cada documento depositado, de los datos necesarios para la identificación de los usuarios propietarios del documento, y que en consecuencia deben poder solicitarlo.

Para realizar este proceso de identificación, el método más adecuado puede la utilización del DNI electrónico. Para hacer posible este mecanismo, en el momento del depósito, sería necesario registrar todos los DNI de las personas propietarias del documento, entendiendo propiedad como la capacidad de poder acceder y recuperar el documento.

¿Conocel el área de Práctica Jurídica IT & Compliance?

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.