La Ley 59/2003, de 19 de diciembre, de firma electrónica y el Reglamento (UE) nº 910/2014 de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, establecen determinadas obligaciones del prestador de servicios electrónicos de confianza en relación con la información que ha de proporcionar al solicitante de un certificado electrónico antes de la expedición del mismo. Entre estas se encuentra la obligación de informar sobre la forma en que el firmante ha de custodiar los datos de creación de firma y las condiciones precisas de utilización del certificado.
El artículo 3 del Reglamento (UE) 910/2014, define al firmante (titular de un certificado electrónico) como “una persona física que crea una firma electrónica”, mientras que su anexo I indica que los certificados cualificados incluirán “al menos el nombre del firmante o un seudónimo”.
Asimismo, el Reglamento (UE) 910/2014 define en su artículo 3.13) los «datos de creación de la firma electrónica» como “los datos únicos que utiliza el firmante para crear una firma electrónica”. Por su parte, el artículo 24.1 de la Ley 59/2003 indica que “los datos de creación de firma son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica”.
En este sentido, se limita la responsabilidad de los prestadores ante los daños y perjuicios causados, en caso de negligencia por parte del firmante en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación.
En consecuencia, los certificados electrónicos son de uso personal e intransferible y se deben tomar las precauciones necesarias para evitar el uso indebido de los mismos.
En conclusión, la posibilidad de que el titular/firmante de un certificado electrónico expedido a su nombre transfiera su posesión y revele sus claves de acceso a un tercero, no es conforme con la legislación vigente, nacional y comunitaria, en materia de servicios electrónicos de confianza.