EL DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO. UN POTENTE INSTRUMENTO PARA SUPERAR LA «BRECHA DIGITAL´´.
EL DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO. UN POTENTE INSTRUMENTO PARA SUPERAR LA «BRECHA DIGITAL´´.
LA NOTICIA
El recién pasado 16 de marzo el Ministro de Interior José Antonio Alonso protagonizó un hecho histórico; la entrega del primer D.N.I. electrónico a una empresaria de Burgos, de nombre Ana Isabel Vicente. El acto es sin duda histórico porque pone fin a un desgraciado proceso de desencuentros entre lo técnico, el Derecho y la voluntad política que ha durado más de seis años y porque al tiempo abre un nuevo proceso al final del que todos los españoles podremos llevar en nuestra cartera una firma electrónica incorporada a nuestro documento de identificación personal. El objetivo consiste en generalizar a todo el Estado el nuevo modelo de documento a partir del 2008, lo cual representará un hito importante para reducir la «brecha digital´´ en la que estamos plácidamente instalados y superar, en la medida de lo posible, el nefasto efecto de la referida brecha en la productividad y en nuestra competitividad económica, magnitudes que vienen cayendo sistemática y progresivamente desde hace más de diez años.
¿QUÉ ES EL D.N.I. ELECTRÓNICO?
Desde una aproximación legal, la primera noticia de este potente instrumento la encontramos en el Capítulo II de la Ley 50/2003 de 19 de diciembre, sobre la Firma Electrónica. El referido capítulo consta tan solo de dos artículos bajo el expresivo título; «El documento nacional de identidad electrónico´´, el primero de ellos lo define en los siguientes:
Artículo 15. Documento nacional de identidad electrónico.
1. El documento nacional de identidad electrónico es el documento nacional de identidad que acredita electrónicamente la identidad personal de su titular y permite la firma electrónica de documentos.
2. Todas las personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia del documento nacional de identidad electrónico para acreditar la identidad y los demás datos personales del titular que consten en el mismo, y para acreditar la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica en él incluidos.
Se trata de un nuevo modelo de D.N.I. que incorpora exactamente la misma información personal de su titular que figura en el actual modelo plastificado, al que se ha añadido un mecanismo de firma electrónica en un microchip. En el apartado 2, del artículo 15 se definen los efectos jurídicos del nuevo documento como acreditador de la identidad de su titular y como instrumento para firmar documentos con la exactamente misma eficacia jurídica de la firma manuscrita al firmar un documento en papel.
El otro artículo define las características y requisitos del nuevo D.N.I.:
Artículo 16. Requisitos y características del documento nacional de identidad electrónico.
1. Los órganos competentes del Ministerio del Interior para la expedición del documento nacional de identidad electrónico cumplirán las obligaciones que la presente Ley impone a los prestadores de servicios de certificación que expidan certificados reconocidos con excepción de la relativa a la constitución de la garantía a la que se refiere el apartado 2 del artículo 20.
2. La Administración General del Estado empleará, en la medida de lo posible, sistemas que garanticen la compatibilidad de los instrumentos de firma electrónica incluidos en el documento nacional de identidad electrónico con los distintos dispositivos y productos de firma electrónica generalmente aceptados.
Hace unos meses el Ministerio del Interior publicó la norma que desarrolla la implantación del nuevo documento identificativo (R.D. 1553/2005 de 23 de diciembre) cuya práctica venimos comentando. El experimento ha costado un total de 314 millones de euros y la tasa de expedición a los ciudadanos no sufre variación y se mantiene en 6í6 por cada documento emitido.
El D.N.I. electrónico es similar al tradicional plastificado manteniendo las dimensiones de éste, aunque el soporte es de material plástico (policarbonato) que le aporta mayor resistencia al uso. La información que contiene es exactamente la misma que consta en el documento tradicional por lo que no persigue ningún objetivo de control adicional de los ciudadanos. La novedad consiste en la incorporación de dos certificados reconocidos que han sido generados y expedidos por una autoridad de certificación de acuerdo con los requisitos de la ley de Firma Electrónica que veremos más adelante.
¿QUÉ ES LA FIRMA DIGITAL?
Es una herramienta compleja que para su comprensión precisa ser descrita desde una doble perspectiva; técnica y jurídica.
APROXIMACIÓN JURÍDICA A LA FIRMA ELECTRÓNICA.
Viene definida en la ley antes referida, concretamente en su artículo 3º donde se define textualmente los tres conceptos siguientes, así como los efectos jurídicos del último de ellos.
1. Firma electrónica: conjunto de datos en forma electrónica, consignados junto a otros asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
2. Firma electrónica avanzada: Es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
3. Firma electrónica reconocida: Firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
4. La firma electrónica reconocida tendrá, respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel.
En el propio artículo 3, en su apartado 8 y siguientes se desarrolla el alcance de los efectos jurídicos, apuntados con rotundidad en el apartado 4 anterior.
8. El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio. Si se impugnare la autenticidad de la firma electrónica reconocida, con la que se hayan firmado los datos incorporados al documento electrónico, se procederá a comprobar que por prestador de servicios de certificación, que expide los certificados electrónicos, se cumplen todos los requisitos establecidos en la ley en cuanto a la garantía de los servicios que presta en la comprobación de la eficacia de la firma electrónica, y en especial, las obligaciones de garantizar la confidencialidad del proceso así como la autenticidad, conservación e integridad e la información generada y la identidad de los firmantes. Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil.
9. No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.
10. A los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.
El artículo 326 de la Ley de Enjuiciamiento Civil (L.E.C.) en su apartado 2, dice que quien aporte un documento como prueba en un proceso y éste haya sido impugnado por la parte a que perjudique, «la parte que aportó el documento podrá proponer cualquier medio de prueba que resulte útil y pertinente al efecto´´. En el apartado 3 del mismo artículo (L.E.C.) se precisa que «cuando a la parte a quien interese un documento electrónico lo pida o se impugne su autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de la Ley de Firma Electrónica´´, y más concretamente en sus apartados 4 y 8 antes transcritos. En síntesis, lo que define este juego recurrente de normas procesales es la inversión de la carga de prueba para quien impugne la autenticidad de un documento, en nuestro caso electrónico.
APROXIMACIÓN TECNOLÓGICA A LA FIRMA ELECTRÓNICA.
Se trata de la herramienta tecnológica que da soporte a los estándares mínimos de seguridad que son necesarios para la consecución de efectos jurídicos imprescindibles en las relaciones entre particulares y entre éstos y las administraciones.
La firma electrónica es el resultado de encriptar mediante un código un determinado mensaje digitalizado, es decir que el significante del referido mensaje está soportado en bytes (impulsos electrónicos) y no en átomos.
La encriptación deviene imprescindible para los sistemas mixtos de tratamiento y transmisión de la información por redes a los efectos de dotar a los contenidos informatizados de las siguientes propiedades absolutamente necesarias desde la perspectiva de la seguridad:
– Integridad de los contenidos.
– Autenticidad (autenticación) de los sujetos que intervienen en el proceso.
– Confidencialidad; información protegida frente a terceros no autorizados.
La base técnica de los sistemas de protección de la integridad y autenticación de la información es la llamada «clave asimétrica» a PKI (public key infrastucture) en términos ingleses. En el ámbito de la encriptación existen dos sistemas globales:
1. SISTEMAS DE CLAVE SIMETRICA, que son aquellos en que los sujetos participantes (emisores y receptores) operan con un mismo código de encriptación y desencriptación. Su vulnerabilidad radica en el dicho español; «secreto de dos es secreto de Dios y secreto de tres secreto no es». En efecto la progresiva y reciente divulgación de la clave convierte al sistema de protección en altamente vulnerable.
2. SISTEMAS DE CLAVE ASIMETRICA. Se caracterizan porque emisor y receptor actúan en el circuito con claves dobles y diferentes; una pública conocida por todos y otra privada de carácter reservado. El sistema así concebido debe disponer necesariamente de una «Autoridad de Certificación» que en el marco de una regulación legal muy estricta emite, controla y depura las claves que operan, tanto las públicas como las privadas. Una variante de las claves asimétricas son las que se basan en datos orgánicos de los sujetos intervinientes en el proceso de comunicación, ya se trate de huella digital, manchas del iris ocular o entorno facial, entre otros.
ANEXO I. EL CERTIFICADO DIGITAL
Como puede apreciarse en el gráfico adjunto por el tramado de las áreas correspondientes a las claves, el EMISOR opera con su clave privada y la clave pública del RECEPTOR y este a su vez ocupa una posición asimétrica al operar con su propia clave privada y la pública del EMISOR.
La FIRMA ELECTRONICA ASIMETRICA funciona técnicamente del siguiente modo:
Firmar electrónica o digitalmente un documento consiste en pasar un determinado algoritmo sobre el texto que se desea cifrar, basándose en la clave privada del signatario electrónico. Cuando el texto debe transmitirse firmado, el algoritmo recorre todos sus datos electrónicos y, junto a la clave privada, obtiene un valor («hash»), que es la llamada «huella digital´´. El hash es un algoritmo matemático o número resultante de aplicar una clave de encriptación a un documento.
En la transmisión, se envía por una parte el documento cifrado, y por otra el hash. Cuando el receptor recibe ambos documentos, debe actuar bajo las siguientes pautas:
1. Descifra el texto del destinatario con la clave pública.
2. Con este texto calcula el hash.
3. Si el hash calculado y el enviado coinciden, eso significa que el documento que ha llegado lo envía quien dice ser (autenticación-integridad) y que además no ha sido alterado por el camino, pues de lo contrario los dos hash no coincidirían.
El sistema PKI se debe a las investigaciones de Ronald Rivest, Adi Shamin y Leonard Adelman que en 1.978 desarrollaron el hoy conocido como criptosistema RSA basado en el procedimiento matemático por el que se codifica el mensaje utilizando un número grande (por ejemplo de 250 dígitos) como clave. Los tres sentaron las bases de la mayor y mejor compañía internacional especializada en criptografía RSA Security Inc.
Los certificados incluidos en el microchip del D.N.I. sólo pueden ser emitidos por la Dirección General de la Policía, constituida en Autoridad de Certificación en los términos de la Ley de Firma Electrónica, y en términos simples se trata de que permiten la identificación de su titular (autenticación) y la firma electrónica de documentos. El primero sirve para identificar al titular de la tarjeta en una comunicación telemática. El certificado de firma garantiza la integridad del documento firmado, la procedencia y la autenticidad de origen. Los datos se alojan en dos partes del chip; pública y privada. La primera contiene los datos básicos de los certificados y una clave pública, mientras que la segunda contiene la clave privada de la tarjeta, sólo conocida por su titular.
El usuario se conecta al servidor web de un prestador de servicios (Administración, empresa, etc.), quien le presenta su certificado y le indica que la conexión es segura. El terminal del usuario y el servidor web se intercambian las claves públicas para iniciar una comunicación segura. Cuando el servidor web requiera de la firma electrónica del usuario, éste accederá a su certificado de firma a través de la clave privada y cumplimentará los datos solicitados. Tras la comprobación del contenido del documento, lo firma digitalmente. A continuación se envía el documento, la firma y el certificado del usuario al prestador de servicios, que, a través del servicio de validación, comprueba que los certificados no han sido suspendidos ni revocados.
Para impedir el mal uso de los certificados y así evitar efectos jurídicos espurios, el chip del D.N.I. dispone de un número PIN que una vez se introduce en el terminal de usuario es comprobado por el microprocesador del propio chip y permite el acceso a la clave privada. En caso de olvido se debe recurrir a la clave personal de desbloqueo (número PUK) que en nuestro caso hace las veces el patrón de la huella dactilar del titular incorporada al D.N.I..
OPERATIVA PRACTICA DEL D.N.I. ELECTRÓNICO.
Para hacerse con un D.N.I. en su nuevo formato hay que acudir a una comisaría de Policía, de momento tan sólo a las de Burgos. Junto con el documento se le entregará un sobre ciego con un PIN generado aleatoriamente, que el titular podrá cambiar a su gusto. Dicho número protege su clave privada y es una garantía de acceso a los mecanismos de firma. Cuando el titular precise hacer una gestión remota tecleará su PIN, por lo que la ignorancia del mismo por un tercero no autorizado, en caso de robo o pérdida, invalida dichos mecanismos y quedan bloqueados tras efectuar tres intentos fallidos. Para la reactivación de la firma electrónica después de un bloqueo se debe recurrir al PUK, que en este caso está representado por los vectores de la impresión dactilar del titular almacenado en el D.N.I., olgaritmo que es contrastado con la huella dactilar física en cualquiera de los Puntos de Actualización del D.N.I. (P.A.D.).
El D.N.I. electrónico tendrá, al igual que el actual, una vigencia de 10 años, pero la firma electrónica se deberá actualizar cada dos años y medio (30 meses) en cualquiera de las P.A.D..
El director técnico del proyecto, José Luis Diez Aguado está convencido que el problema para la aceptación y uso del D.N.I. no es en absoluto de seguridad técnica, sino de desconocimiento y percepción equívoca de los riesgos de uso por parte del ciudadano. Diez Aguado nos explica que «el D.N.I. tiene los certificados de autenticación y el de firma digital, con un par de claves (una pública y otra privada). Estas claves se generan en el D.N.I. automáticamente y ni tan siquiera el titular del mismo las conoce. Cuando inicie una sesión para un trámite en que necesita demostrar su identidad, el D.N.I. envía su clave pública al peticionario. Si necesita firmar electrónicamente el trámite, el peticionario se lo enviará con la clave pública del ciudadano de tal manera que sólo el certificado, el del titular del D.N.I., que tenga la clave privada aparejada a la pública podrá firmarlo. La clave privada nunca abandona la tarjeta. Hay otra cautela de seguridad. Si necesita firmar electrónicamente un trámite o documento, antes de hacerlo, aparecerá una ventana que advierte del inicio del proceso y pide nuevamente el pin. El pin no se puede cachear (almacenarlo en el ordenador para no tener que teclearlo nuevamente). El D.N.I. no cifra el contenido de los mensajes. Si alguien quiere enviar documentos cifrados debe acudir a los programas ya existentes.´´
Para su operativa bastará con un equipo estándar con un procesador al menos del tipo Pentium III, un sistema operativo Windows, Linux o Mac y una conexión a Internet. La única pega del modelo tecnológico radica en la portabilidad de los mecanismos de firma. Al estar éstos incorporados a un microchip de tarjeta es obligado pasar por un mecanismo lector de éstos, mecanismo que no está incorporado de origen a ningún terminal y que debe incorporarse al mismo previa compra y correspondiente pago. La limitación se superaría haciendo compatible el sistema con un mecanismo USB (lápiz de memoria) de bajo precio y lectura universal de origen por parte de todos los terminales.
EL D.N.I. ELECTRÓNICO Y SU ACOGIDA POR PARTE DE LA ADMINISTRACIÓN PÚBLICA.
Otro factor clave para la efectiva implantación del D.N.I. electrónico en la práctica radica en la actitud de las diferentes administraciones públicas respecto de su aceptación en la tramitación de documentos y procedimientos. En este sentido el Ministro de Administraciones Públicas Jordi Sevilla informó a principios de marzo que se constituirá un Consejo Asesor para el desarrollo de la Administración Electrónica. De momento se han incorporado a Internet los más de 800 formularios de la Administración General del Estado y existe el compromiso político de una futura Ley de la Administración Electrónica. En este orden de cosas algunos han madrugado más, es el caso del Ayuntamiento de Barcelona que presentará en breves fechas para su aprobación por el Pleno Municipal la denominada OrdenanÁa reguladora de líAdministració Electrónica en cuyo artículo 4 se proclaman los derechos digitales de los ciudadanos de Barcelona. A modo de ejemplo transcribimos los más importantes.
a. Derecho a dirigirse a la administración municipal a través de medios electrónicos, presentar documentos, realizar trámites y procedimientos y, en general, ejercer los derechos y las facultades que les reconoce el ordenamiento jurídico administrativo.
b. Derecho a exigir de la Administración municipal que se le dirija a través de estos medios y obtener documentos a través de formatos electrónicos.
c. Derecho a no presentar documentos que se encuentren al poder de la Administración municipal o del resto de administraciones públicas con las cuales el Ayuntamiento de Barcelona haya firmado un convenio de intercambio de información.
.
.
.
e. Derecho a acceder a la información administrativa, registros y archivos a través de medios electrónicos.
A la vista del perfectamente descriptible entusiasmo con el que las administraciones públicas españolas acogen cualquier iniciativa relacionada con las nuevas tecnologías que pueda implicar el más mínimo esfuerzo por su parte, no podemos por menos de felicitarnos por la premura con que el Ayuntamiento de Barcelona ha decidido dar un significativo, notorio y notable paso adelante con su proyecto. La convergencia feliz en el tiempo entre el lanzamiento piloto del D.N.I. electrónico y el decidido proyecto barcelonés configuran un posible y necesario cambio de actitud por parte del sector público ante su tradicional pasividad en relación con las tecnologías de la información y de las telecomunicaciones. Esperemos que la iniciativa no termine aquí y sirva de ejemplo para otras instancias.
A MODO DE CONCLUSIÓN, QUE NO DE PUNTO FINAL.
Porque parece que finalmente algo empieza a cambiar para bien. Con el único deseo de facilitar al lector paciente las conclusiones más relevantes y al impaciente hacerle llegar un mensaje breve, procedemos a enumerar las ideas con más fuerza entre las desarrolladas en este escrito.
1º Estamos ante un hecho histórico; se inicia con la implantación del D.N.I. electrónico por ley, la incorporación de las nuevas tecnologías en el proceso de identificación de las personas.
2º Se aprovecha el hecho para poner a disposición de los ciudadanos, a medio plazo, un potente mecanismo para aportar seguridad tecnológica y jurídica a las relaciones mediante la utilización de redes (Internet y móviles).
3º El éxito o fracaso de la iniciativa dependerá de la acogida del nuevo mecanismo por parte de las Administraciones Públicas a todos los niveles. En este sentido bienvenida sea la iniciativa del Ayuntamiento de Barcelona de la nueva OrdenanÁa Reguladora de líAdministració Electrónica.
4º Si alguna crítica cabe dirigir al modelo elegido sería la falta de compatibilidad de la portabilidad de los certificados implantados en el microchip del D.N.I. electrónico con otros sistemas de portabilidad universales como sería el caso de los USB, pro la perfección es difícil de alcanzar y a veces lo mejor es enemigo de lo bueno.
FUENTE: MINISTERIO DEL INTERIOR (para más información www.dnielectronico.es)
FRANCISCO DE QUINTO ZUM¡RRAGA
Abogado y Economista.
Socio Director del Dpto. de Nuevas
Tecnologías de Piqué Abogados Asociados
...