Este artículo apareció en la sección Página Quince de La Nación de hoy (ver publicación).
Comento brevemente dos recientes fallos de la Sección Sexta del Tribunal Contencioso Administrativo (TCA), interesantes desde la óptica de la regulación jurídica de los certificados y las firmas digitales en Costa Rica.
La sentencia N° 61-2011-VI del 9 de marzo pasado resuelve un caso en el que se pedía declarar la nulidad del decreto ejecutivo que oficializó las
“Normas para la aprobación del funcionamiento técnico de los programas especializados en tratamiento de consumo de alcohol y otras drogas” del IAFA. El problema no radicaba en las normas en sí, sino en que el decreto no contenía su texto integral, remitiendo más bien a un archivo electrónico publicado en el sitio
web de ese instituto. Según la actora, ello era inválido por violación a los principios de publicidad de los actos administrativos y de seguridad jurídica. En el fallo se dio la razón a la demandante, en primer lugar, por estimar que el solo hecho de que el decreto no contuviera el texto de las normas que se estaba oficializando ya por sí representa un vicio en el elemento “contenido” del acto, que quedaba incompleto.
Pero además se hizo referencia a lo dispuesto en la Ley de Certificados, Firmas Digitales y Documentos Electrónicos, N° 8454, cuyo artículo 3 establece la equivalencia funcional de los documentos electrónicos con los físicos, pero advirtiendo que dicha equiparación
“no dispensa, en ningún caso, el cumplimiento de los requisitos y las formalidades que la ley exija para cada acto o negocio jurídico en particular”. Es decir, el hecho de que normas de alcance general como las del IAFA sean plasmadas en un documento electrónico no les resta valor legal alguno comparado con su equivalente impreso, pero ello no exime que deban ser publicadas en el diario oficial (electrónico, evidentemente), sin que sea suficiente limitarse a ponerlas a disposición en la página en Internet de esa entidad.
En adición, el artículo 9 de la misma ley exige que los documentos públicos electrónicos lleven una firma digital que solo puede ser creada con base en un certificado expedido conforme a las políticas del Sistema Nacional de Certificación Digital, operado por el MICIT en conjunto con el Banco Central. Solo así puede gozar el documento de la presunción de autoría y responsabilidad establecida en el numeral 10 de ese texto legal. En este caso, el documento que había sido colocado en el sitio del IAFA era un archivo PDF simple –es decir, no firmado digitalmente– de manera que no era posible garantizar su autenticidad e integridad, en detrimento de la seguridad jurídica.
La segunda sentencia de interés es la N° 66-2011-VI del 17 del mismo mes, relacionada con un caso de
“Internet banking” o banca electrónica, en la que una persona había sufrido la sustracción de fondos de su cuenta de ahorros, debido al acceso ilícito que había tenido lugar por medio del sitio
web del Banco demandado. En este caso, el Tribunal comenzó por reafirmar sus propios precedentes, así como la línea jurisprudencial de la Sala Primera de la Corte, en el sentido de que los servicios bancarios comerciales dan lugar a relaciones de consumo en las que rige el principio de responsabilidad objetiva establecido en el artículo 35 de la Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor, N° 7472. Por ende, en esta clase de fraudes electrónicos, la entidad bancaria solo puede exonerarse cuando logre probar que el hecho ocurrió como resultado de una circunstancia de fuerza mayor, o cuando medien la culpa de la propia víctima o el hecho de un tercero.
Lo interesante o novedoso de esta sentencia es que, en ella, el TCA liga ese régimen de responsabilidad al empleo de esquemas de autenticación que dependen de que el cliente bancario ingrese a la página electrónica por medio de una combinación de nombre de usuario y contraseña secreta. En efecto, se explica que este mecanismo de identificación es vulnerable en redes abiertas como la Internet, debido a que el secreto de la clave debe ser expuesto y viaja desde el equipo del cliente hasta los servidores del banco para su comprobación. Esto abre múltiples posibilidades de vulneración sin responsabilidad del usuario, forzando al banco demandado a probar la intervención de un tercero para exonerarse de responsabilidad, cosa bastante difícil. El fallo contrasta ese escenario con el de la identificación de usuarios por medio de un certificado digital, en el cual no hay exposición de datos secretos por medio de la red. Además, se hace referencia a que, en este caso, el ya citado artículo 10 de la ley N° 8454 invierte la carga de la prueba relativa al uso que se haga de este medio de identificación, liberando al banco demandado de tener que probar el uso ilícito del certificado.
Espero que ambas sentencias comentadas contribuyan a ejercer un efecto positivo en el desarrollo tanto del gobierno digital como del comercio y la banca electrónica en general en nuestro país.
-----
Nota: invito a las personas interesadas en el tema al próximo taller de "
Implicaciones jurídicas de la firma digital", en el Colegio de Abogados (abierto a todo público), los días 27 de abril y 4 de mayo próximos.