LA FIRMA ELECTRÓNICA EN LA ADMINISTRACIÓN PÚBLICA. ESPECIAL REFERENCIA A
LA CONTRATACIÓN ADMINISTRATIVA

Jaime Domínguez-Macaya Laurnaga. Director del Patrimonio y Contratación del Gobierno Vasco.

Fundamentos Jurídicos

La primera duda que debemos despejar los que gestionamos ámbitos de actuación del Derecho es ¿la Firma Electrónica tiene base legal? La respuesta es clara: SÍ, rotundamente sí.

En efecto, tanto la legislación comunitaria como la estatal llevan ya varios años impulsando decididamente la utilización de la Firma Electrónica como medio de relación entre las diferentes administraciones y, fundamentalmente, entre éstas y sus administrados. La Directiva 1999/93/CE, de 13 de diciembre, por la que se establece un marco comunitario para la Firma Electrónica es imperativa ya desde su propio preámbulo, cuando contempla que "La Firma Electrónica se utilizará en el sector público en el marco de las administraciones y en la comunicación entre ellas y con los ciudadanos y agentes económicos" (en nuestro caso los contratistas-licitadores-adjudicatarios de nuestras contrataciones) y se subraya "por ejemplo en la contratación pública".

En fechas incluso anteriores a la publicación de la Directiva, se aprueba el Real Decreto-Ley 14/1999, actualmente en vigor pero en fase de próxima pérdida de vigencia al haberse aprobado por la Cortes Generales la nueva Ley de Firma Electrónica, la Ley 59/2003, de 19 de diciembre, y que entrará en vigor el próximo 20 de marzo.

Desde un punto de vista jurídico y técnico es necesario conocer que existen dos grandes tipos de Firmas Electrónicas:

a) la que podríamos denominar como Simple. La Ley 59/2003 la define en su artículo 3.1 como "el conjunto de datos, en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante". De manera similar la define la Directiva 1999/93 en su artículo 2.1

b) la Avanzada (art 3.2 Ley 59/2003 y 2.2 Directiva 1999/93) tiene unas características suplementarias a la anterior, de modo que ha de cumplir también con cuatro condiciones:

• permitir identificar al firmante.
• posibilitar detectar cualquier cambio ulterior.
• estar vinculada al firmante de manera única y a los datos a los que se refiere.
• haber sido creada por medios que el firmante pueda mantener bajo su exclusivo control.

La citada nueva Ley de Firma Electrónica introduce un subtipo de la Firma Avanzada, a la que denomina Reconocida (en adelante F.E.R.) y que no estaba prevista como tal en la Directiva 99/93. Este tipo de Firma Electrónica es aquella que, cumpliendo las características de la Avanzada, además está "basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma" (art. 3.3 Ley 59/2003).

Nuestra legislación interna, de acuerdo con lo preceptuado en la Directiva (art. 5), concede validez y efectos a ambos tipos de Firmas Electrónicas, siendo aquellos plenos en el caso de la F.E.R. ya que se le reconoce "el mismo valor jurídico que la firma manuscrita" (art. 3.4 Ley 59/2003) y se establece que "los documentos que incorporen la F.E.R. serán plenamente admisibles como prueba en juicio" (art. 3.8 Ley 59/2003). Incluso se contempla que en el caso de incorporar Firma Simple "no se le negarán, por el mero hecho de presentarse de esta manera (y no en papel) efectos jurídicos, ni será excluida como prueba de juicio" (art. 5.2 Directiva 1999/93 y 3.9 Ley 59/2003).

La ley 59/2003 acoge el mandato imperativo recogido en el Preámbulo de la Directiva 1999/93, posibilitando el uso de la Firma Electrónica en la Administración Pública. Lo hace en diferentes preceptos, pero especialmente en el art. 4.1 ("Esta ley se aplicará al uso de la firma electrónica en el seno de las administraciones públicas…) y en el art. 3.6 ("El documento electrónico será soporte de…b) documentos expedidos y firmados electrónicamente por funcionarios...)

En su artículo 15 se aprueba una medida que el legislador entiende que será definitiva en la expansión de la Firma Electrónica: La creación del DNI Electrónico, al que "todas las personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia… para acreditar la identidad y demás datos personales del titular… y para acreditar la identidad del firmante y la integridad de los documentos firmados…", como vemos una validez total.

Hay otras dos previsiones legales de la Ley 59/2003 dignas de comentar: por una parte, la posibilidad de que las propias personas jurídicas sean titulares de certificados de Firma Electrónica; esta previsión no tiene mucho interés desde el punto de vista de la contratación administrativa, pues en este caso siempre se actúa por medio de los representantes legales de la empresa, pero sí puede tener su interés en el comercio electrónico en su sentido más estricto, donde el que "compra" o "vende" es la propia empresa directamente sin intervención de sus representantes (el llamado B2B o Business to Business). Por otro lado, la ley ha eliminado la obligatoriedad de la inscripción en un registro de prestadores de servicios de certificación y la necesidad de una autorización previa para ejercer como tal. Yo creo que la ley no ha acertado, porque ambos instrumentos podrían ser, a mi entender, los elementos que garantizaran una necesaria compatibilidad y homogeneidad de los sistemas de Firma Electrónica y posibilitaran el imprescindible reconocimiento mutuo de los certificados expedidos por cada prestador, lo que debiera haber sido obligatorio para los que estuvieran registrados en ese registro suprimido.

En cuanto a la utilización de Firma Electrónica y de notificaciones en ese mismo soporte, el art. 68 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, en su redacción dada por la modificación introducida en la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social (comúnmente conocida como Ley de Acompañamiento de los Presupuestos) contempla que "se podrán crear registros telemáticos de recepción o salida de solicitudes, escritos y comunicaciones que se transmitan por medios telemáticos".

La normativa propia de contratación administrativa es muy parca en estas cuestiones, salvo tal vez, en la referencia que hace la disposición adicional décima del Reglamento de Contratos (Real Decreto 1098/2001) a la autorización que se da al Ministerio de Hacienda para que desarrolle por Orden la contratación electrónica. Con ello explícitamente se reconoce su validez. Pero, cuando va a haber una verdadera revolución en el uso de la contratación electrónica va a ser cuando se apruebe definitivamente la nueva directiva sobre contratación pública que actualmente está en el Parlamento Europeo, y se transponga. En efecto, en dicho borrador de directiva, después de loar la utilización de medios electrónicos en la contratación administrativa para conseguir "ampliar la competencia y mejorar la eficacia", "ahorrar tiempo y dinero" o "garantizar la utilización óptima de los fondos públicos", se prevé no sólo su impulso generalizado en todos los procedimientos, sino incluso la posibilidad de que existan dos procedimientos en los que se aplicarán exclusivamente medios electrónicos: Los Sistemas Dinámicos de Adquisición y las Subastas Electrónicas. Por lo tanto, nos tenemos que preparar para ello y adelantarnos al futuro próximo.

Por último, y en relación con uno de los elementos más relevantes en cualquier contratación administrativa, el contrato, tanto la Directiva 2000/31/CE, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (conocida como Directiva sobre comercio electrónico), como la Ley que la transpone, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, dan plena validez a la celebración de contratos por vía electrónica. La Directiva 2000/31 en su artículo 9.1 lo obliga cuando dice que "Los estados miembros velarán por que su legislación los permita". La Ley 34/2002 es igual de explícita cuando prevé que "Los contratos celebrados por vía electrónica producirán todos los efectos previstos por el ordenamiento jurídico…” (art. 23.1), o que "siempre que la Ley exija que el contrato conste por escrito, este requisito se entenderá satisfecho si éste se contiene en un soporte informático" (art. 23.3), o que "en todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental" (art. 24.2).

Fundamentos técnicos

La segunda cuestión que debemos de resolver es si la Firma Electrónica es fiable y segura, y en este caso la respuesta también es clara: definitivamente SÍ.

Básicamente explicado, la Firma Electrónica Avanzada (en adelante F.E.Av.) se basa en la existencia de sendas parejas de claves pública y privada tanto para el emisor de un mensaje (en nuestro caso por ejemplo una oferta económica) o cualquier otro tipo de archivo, como para el receptor del mismo. Para firmar el mensaje, el emisor debe utilizar ineludiblemente su clave privada, sólo conocida por él, o, más concretamente, bajo su exclusivo control, ya que, en los sistemas más extendidos y seguros, su clave privada está encriptada en un chip (parecido al de los que llevan generalmente las tarjetas tipo bono-bus o monedero) inserto en una tarjeta similar a las bancarias y con un PIN o clave de acceso al mismo. Por lo tanto, debo poseer la tarjeta y conocer el PIN para utilizar mi clave privada y firmar el mensaje.

El receptor del mensaje, o cualquier otra persona, aplicando la clave pública del emisor, que valga la redundancia es pública y, por lo tanto, es susceptible de ser conocida por cualquiera, puede comprobar y demostrar la identidad del firmante, puesto que, conviene repetirlo, sólo aquel con su clave privada "materializada" en su tarjeta de F.E.Av.. y su correspondiente PIN ha podido firmarlo. Con esto se garantiza la Autenticidad del mensaje.

Por otro lado, vamos a analizar cómo se garantiza la Integridad del mensaje, es decir, que el contenido del mismo no ha sido alterado.

Para ello se utiliza un sistema muy ingenioso, que es el siguiente: del mensaje, mediante la aplicación de diferentes fórmulas matemáticas, se obtiene un resumen o HASH del mismo, que consiste en un conjunto de letras y números, el cual se firma y encripta (encriptar = hacer ininteligible su contenido salvo para el que sepa como desencriptarlo) con la clave privada del emisor. Ese HASH encriptado se envía junto al mensaje al receptor del mismo. Éste tiene que volver a obtener el HASH del mensaje que ha recibido y, además, con la clave pública del emisor (que no me canso de repetir que se conoce por ser pública) desencripta el HASH encriptado recibido. Si ambos HASH coinciden el documento no ha sido alterado.

A modo de ejemplo, podemos ver que el HASH obtenido con uno de los sistemas más comunes en F.E.Av., llamado SHA-1, que correspondería a un mensaje simple como "mi oferta es de 500 euros" es 569983EAAB734BDAB73DC0740196D2D4DBB8A5AB, mientras que, cambiando la cifra y el mensaje a "mi oferta es de 400 euros" su HASH es 863D87E0CBB52F105E5296A2E10C835CEE837902, absolutamente diferentes como se puede comprobar.

Las funciones HASH que se aplican en F.E.Av., al objeto de garantizar aún más la seguridad del sistema, tienen que cumplir con cuatro características:

Todos los HASH que genere tienen el mismo tamaño sea cual sea el de los datos originales; es indiferente que sea una sola línea o un archivo de 50 Mb.

Dado un texto base es fácil y barato, para un ordenador, calcular su HASH. Si el archivo es pequeño el cálculo es instantáneo, para uno de 50 Mb sólo tarda 8 segundos.

Es imposible reconstruir un texto base a partir de su HASH.
Es imposible que dos textos diferentes tengan un mismo HASH.

Si el HASH es de los avanzados, se requieren del orden de un cuatrillón (1 seguido de 24 ceros) de pruebas para que un "atacante" pueda modificar un archivo de forma que su HASH siga coincidiendo. Si generamos mil millones de pruebas por segundo se tardarían 3,8 millones de años en conseguirlo.

Hasta ahora hemos visto que cualquiera puede conocer y comprobar el mensaje enviado. Sin embargo, puede suceder que no queramos que cualquiera lo pueda hacer, sino sólo alguna persona determinada, como puede suceder en el caso de enviar una oferta a una contratación administrativa. Esto también tiene solución: para ello encriptaremos el mensaje con la clave pública del destinatario, con lo que sólo éste, con su clave privada, será capaz de verlo. Con esto hemos garantizado la Confidencialidad.

Queda un último aspecto importante a garantizar, que es el denominado No Repudio. Ello significa que ni el emisor ni el receptor del mensaje puedan negar la transmisión del mensaje. El No Repudio en Origen es claro con lo que hemos explicado hasta ahora. Sin embargo, el No Repudio en Destino es más complicado de garantizar y para ello caben básicamente dos posibilidades:

• La primera, mediante la intervención de una tercera persona (denominada Tercera Parte Confiable) que certifica el recibo del mensaje, normalmente mediante el “Time Stamping” o Sello de Tiempo.
• La segunda, posibilitando que la transacción se realice en nuestros propios servidores, para poder demostrar con ello el momento del acceso al documento.

Una cuestión de tipo técnico que favorecería enormemente la confianza del gran público en la F.E.Av. sería que el acceso al uso de la clave privada inserto en el chip de la tarjeta se controlase por métodos biométricos (tipo huella digital, control del iris del ojo, etc.) creándose entonces lo que podríamos denominara F.E.Av. Segura. Ni el coste económico ni tecnológico de este importante incremento de seguridad en la utilización de las tarjetas de F.E.Av., suficientemente modesto en algunas de las posibles soluciones, justifican la no implantación de los mismos, por lo que yo pronostico que será una realidad en breve plazo.

Fundamentos prácticos

Ya hemos demostrado que tanto desde un punto de vista jurídico, como de un punto de vista técnico, la utilización de Firma Electrónica en los negocios jurídicos que las administraciones y los particulares realizamos es, desde todo punto de vista, interesante; pero y desde un punto de vista práctico ¿tiene verdaderamente alguna utilidad la Firma Electrónica? y, por otro lado, ¿es "mejor" o "peor" la Electrónica que la clásica firma manuscrita?

Empezaremos por ésta última cuestión, y la respuesta a la misma vuelve a ser clara y rotunda: la Firma Electrónica es claramente mejor que la manuscrita.

Para demostrarlo voy a dar 5 razones:

• El envío de un documento firmado electrónicamente es mucho más rápido que si va firmado a la manera tradicional, podemos decir que, en general, es instantáneo. Por obvia, esta razón no necesita de más comentarios.
• Facilita el "tránsito" del emisor al receptor, evitando otro tipo de envíos y/o desplazamientos, sobre todo en caso de necesidad de constancia de la identidad del firmante, por ejemplo al notario o a la entidad administrativa receptora del envío.
• Es más cierta que la manuscrita. Porque, ¿qué constancia tenemos actualmente de que, por ejemplo, la oferta que nos viene firmada dentro de un sobre cerrado ha sido firmada realmente por quien dice en la propia oferta que lo ha sido? Ninguna, lo que sucede es que, como siempre ha sido así, estamos acostumbrados a pensar y creer que habrá sido así, y lo damos por bueno. A la F.E.Av., sin embargo, le pedimos más, pero es que nos lo da, nos da más garantía. Es cierto que puede suceder que sea otro el que firme con nuestra tarjeta de F.E.Av. y con nuestro PIN, pero a poco que observemos las mínimas medidas de seguridad, a las que ya estamos acostumbrados con nuestras tarjetas bancarias, esta utilización incorrecta se dará porque nosotros lo habremos querido al facilitárselas indebidamente a alguien (por ejemplo a algún colaborador), pero no se podrá dar tan fácilmente como en la actualidad, en la que sencillamente nos pueden "imitar" nuestra firma, incluso sin nuestro conocimiento ni consentimiento. Es claro que la existencia de un elemento físico (la tarjeta) y otro lógico (el PIN), unido a que las claves contenidas en la tarjeta son virtualmente imposibles de falsificar y/o duplicar (no confundir con las bandas magnéticas de las tarjetas bancarias) dificultan en grado sumo la utilización malintencionada de la firma. Si además incorporamos, como he sugerido más arriba, al acceso al uso de la tarjeta de F.E.Av. comprobaciones de tipo biométrico (huella dactilar,…) el acceso malicioso deviene absolutamente imposible.
• Otro aspecto donde la F.E.Av. se sitúa a gran distancia de la manuscrita es en la vigencia de los poderes o facultades del que firma. Porque actualmente sólo sabemos que un determinado poder que nos presentan en una licitación administrativa está vigente porque el apoderado "lo declara vigente". Sin embargo, es práctica habitual (y obligación en la futura ley 59/2003 de Firma Electrónica que lo contempla en su articulo 18.d) la existencia de las denominadas CRL Listas de Certificados Revocados, a las que el propio sistema de comprobación de validez de la firma electrónica accede automáticamente y comprueba que realmente sigue en vigor.
• Respecto al coste y dificultad de un tipo de firma u otra, es cierto que para firmar muy ocasionalmente la F.E.Av. puede perder gran parte de su interés y suponer un gran coste, pero el argumento se invierte en actividades habituales, como las que, no lo olvidemos, realizan en materia de contratación administrativa nuestros licitadores. Para ellos, con el tiempo, cualquier gasto y/o dificultad se convierte en una rentable inversión.

Y, como nos preguntábamos antes, ¿tiene la Firma Electrónica alguna aplicación en la Administración y, más en concreto, en la Contratación Administrativa? Una vez más la respuesta no puede ser más positiva. En efecto, a pesar de las innegables dificultades, ya empieza a haber experiencias positivas en materia de implantación de la notificación electrónica (entendida como la notificación a terceros por medios electrónicos de las diferentes resoluciones que en cualquier expediente administrativo se dan, incluyendo las contrataciones administrativas, con todos los efectos legales a resulta del computo de los plazos de recurso, etc.) y de la licitación electrónica (entendida como el envío de ofertas por medios exclusivamente telemáticos). Pero fundamentalmente es el futuro el que se presenta apasionante en este campo. Un futuro cada vez más presente.

En nuestro caso, estamos implantando en el Gobierno Vasco un proyecto global de contratación electrónica (el proyecto eContratacion), que contiene las dos utilidades antes comentadas, pero también otras muchas más. Pero esto ya sería motivo de otro extenso artículo…

j-dguez-macaya@ej-gv.es