El sellado de tiempo en el perfil del contratante
La entrada en vigor de la Ley 30/2007, de 30 de octubre de contratos del sector público suscitó algunas dudas en cuanto a si el servicio de timestamping (sellado de tiempo) que debe aplicarse al momento de la publicación en web de los anuncios de licitación, las adjudicaciones provisionales y las adjudicaciones definitivas (mínimo exigido por el artículo 42 L.C.S.P.) debe prestarse por Autoridades de Certificación (A.C.) reconocidas, o bien si pueden aplicarse sellos de tiempo emitidos por A.C. de reconocido prestigio en el ámbito internacional, como Verisign, Comodo … etc, o – incluso – si bastaría con utilizar sellos propios mediante TSA (Time Stamping Authority Application) instalada en los servidores del propio poder adjudicador o de proveedores no certificados (aplicación de sellado tiempo generada en los servidores de un proveedor externo a partir de un software apropiado).
Cuando la L.C.S.P. exige la fehaciencia de la fecha y hora del momento de publicación podríamos pensar que está ofreciendo un abanico de posibilidades y que, en consecuencia, cualquier TSA (reconocida o no, española o extranjera) que permitiera aplicar un sello de tiempo al momento de la publicación en web serviría para cumplir los dictados de la Ley. Sin embargo, la realidad es muy otra.
Analicemos la cuestión desde el punto de vista técnico, práctico y legal.
Desde el punto de vista técnico, la fehaciencia exigida por el artículo 42 L.C.S.P. para el perfil de contratante determina seguridad informática; es decir, que la fecha y hora que certifica el sello sea una fecha y hora cierta e indubitada. Para ello – ésto no es ninguna novedad – desde hace tiempo los servidores de internet se conectan – con determinada frecuencia – a servidores de tiempo NTP, como por ejemplo el del Real Institituto y Observatorio de la Armada en España. En consecuencia, los requerimientos técnicos implican que los servidores de las A.C. que emitan los sellos de tiempo deben estar conectados a servidores de tiempo NTP fiables, que la frecuencia de sincronización sea alta, y que las máquinas donde corre el software para la generación del timestamping estén alojadas en “Data Centers” que garanticen la no interrupción del servicio y la redundancia de los datos almacenados en milisegundos, como medida de seguridad ante fallos de hardware (de todos son conocidos las caídas de servidores, incluso, de grandes empresas como Twitter, Blogger … etc).
A partir de las exigencias puramente técnicas es obvio que sólo los sellos emitidos por Autoridades de Certificación reconocidas y por los gigantes del sector (Verisign) pueden ofrecer la fiabilidad exigida por la Ley; quedando fuera las A.C. no reconocidas de proveedores privados; así como las aplicaciones de sellado de tiempo residentes en los servidores de los poderes adjudicatarios.
Desde un punto de vista práctico debemos ponernos en el peor de los casos: que, a pesar de las medidas tecnológicas de los servidores de timestamping para garantizar la sincronización permanente con servidores NTP y las medidas para garantizar la redundancia de los servidores y del acceso a Internet a través de varios proveedores, exista un fallo.
¿a quién vamos a reclamar – por ejemplo – si el fallo en el sellado de tiempo provoca la impugnación a una licitación de 10.000.000,00 €?
Evidentemente, habrá que descartar la reclamación a pequeños proveedores (que no pueden hacer frente a esas responsabilidades), pero también la reclamación a los “grandes del sector” radicados a miles de kilómetros de distancia y con sujección a una legislación distinta a la española.
A efectos prácticos, en consecuencia, se va cerrando el círculo de opciones; tan sólo las Autoridades de Certificación reconocidas por el Ministerio de Industria de España y sus homólogas en la Unión Europea podrán hacer frente – debido a los requisitos legalmente establecidos – a eventuales fallos en el momento de aplicación del sello de tiempo.
Desde un punto de vista legal nos encontramos ante una “colisión” normativa. Por un lado la Directiva Europea sobre firma electrónica establece el reconocimiento mutuo entre Autoridades de Certificación de los Estados Miembros; sin embargo, la Ley 59/2003 de firma electrónica no contempla el reconocimiento de certificados emitidos por distintas A.C..
Desde la óptica del derecho positivo, en definitiva, en España sólo los sellos de tiempo emitidos por Autoridades de Certificación reconocidas por el Ministerio de Industria permiten dar cumplimiento a los mandatos de transparencia en la gestión y fehaciencia del momento de publicación en web de las licitaciones llevadas a cabo por los poderes adjudicadores; si bien, el sentido común nos dice que, en caso de litigio, es muy probable que un Tribunal español admitiera los sellos emitidos por una A.C. de la Unión Europea reconocida por el Organismo competente del Estado Miembro de origen.
A modo de conclusión, habida cuenta la legislación vigente en España y el estado actual de la tecnología, la fehaciencia en la fecha y hora de publicación en web de las licitaciones del perfil de contratante de los poderes adjudicadores conforme a la Ley 30/2007, de 30 de octubre de contratos del sector público sólo puede verificarse por medio de sellos emitidos por A.C. reconocidas por el Ministerio de Industria, que cumplan los requisitos de servicio de validación temporal, y que actúan como tercera parte confiable (FNMT, ACCV y EDICOM).
