Importación y exportación de tecnologías de cifrado en España
Uno de los aspectos más críticos relacionados con el comercio se centra en aquellas transacciones cuyo objeto son materiales de defensa . El BOE del 8 de abril de 1998 publica el Reglamento del Comercio Exterior de Material de Defensa y de Doble Uso, en el que se relacionan los materiales considerados de defensa y de doble uso y se establecen los requisitos y procedimientos a los que se sujetarán las autorizaciones de exportación de dichos materiales .
La aprobación de esta norma se ha llevado a cabo en cumplimiento de las siguientes normas internacionales: Reglamento CE/3381/94 http://www . onnet . es/03005005 . htm
- Decisión 94/942/PESC - http://www . onnet . es/03005006 . htm
- Arreglo de Wassenaar - http://www . onnet . es/03005007 . htm
En virtud de este Reglamento, quedan sujetas a autorización las siguientes actividades:
1 . Material de defensa
- Las exportaciones/expediciones y salidas de áreas exentas del material de defensa incluido en la Relación de Material de Defensa prevista en el artículo 1 de la ley Orgánica 12/1995, de Represión del Contrabando, que figura como anexo I del Reglamento . En los apartados 11 . e y 11 . f de dicho anexo I se citan los equipos de seguridad en proceso de datos y de seguridad de los canales de transmisión y de señalización, que utilicen procedimientos de cifrado, así como los equipos de identificación, autenticación y cargadores de clave, y los equipos de gestión, fabricación y distribución de clave . Todos estos equipos deben haber sido diseñados especialmente para uso militar para estar sujetos a los establecido en el Reglamento .
- Las importaciones/introducciones y las entradas en áreas exentas de los productos incluidos en la Lista de Armas de Guerra del anexo II . En el apartado 12 de dicha lista de armas, figuran los equipos y sistemas de guerra electrónicos, incluyendo cifrado, “chaf” y bengalas, y los componentes diseñados especialmente para ellos . En materia de cifrado, el Reglamento no establece distinciones en función de la longitud de la clave, aunque aplica el principio: “cuando la descripción de un material de la lista no contiene calificaciones ni especificaciones, se considera que incluye todas las variedades de este artículo” .
2 . Productos de doble uso
- Según el artículo 3 . 1 del Reglamento CE/3381/94, se requerirá autorización para la exportación de los productos de doble uso que figuran en el anexo I de la Decisión 94/942/PESC y sucesivas modificaciones . A continuación se transcribe íntegramente el apartado correspondiente a seguridad de la información que figura en la citada Decisión del Consejo:
Seguridad de la información
NOTA: La situación de control de los equipos, «equipo lógico» ( software ) , sistemas, «conjuntos electrónicos» específicos para una aplicación determinada, módulos, circuitos integrados, componentes o funciones destinados a la «seguridad de la información» se define en la presente categoría aunque se trate de componentes o de «conjuntos electrónicos» de otros equipos .
5A2 Equipos, conjuntos y componentes
5A002 Sistemas, equipos, «conjuntos electrónicos» específicos para una aplicación determinada, módulos o circuitos integrados destinados a la «seguridad de la información», según se indica, y otros componentes diseñados especialmente para ellos:
a . Diseñados o modificados para utilizar la «criptografía» empleando técnicas digitales destinadas a garantizar la «seguridad de la información» .
b . Diseñados o modificados para realizar funciones criptoanalíticas;
c . Diseñados o modificados para utilizar la «criptografía» empleando técnicas analógicas destinadas a garantizar la «seguridad de la información»; excepto:
1 . Equipos que utilicen embrollamiento ( scrambling ) de banda «fijo» para 8 bandas como máximo y en los que los cambios de transposición no se efectúen más de una vez cada segundo;
2 . Equipos que utilicen embrollamiento ( scrambling ) en la banda «fija» para más de 8 bandas y en los que los cambios de transposición no se efectúen más de una vez cada diez segundos;
3 . Equipos que utilicen inversiones de frecuencia «fija» y en los que los cambios de transposición no se efectúen más de una vez cada segundo;
4 . Equipos de facsímil;
5 . Equipos para la difusión de audiencia restringida;
6 . Equipos de televisión civil;
d . Diseñados o modificados para suprimir las emanaciones comprometedoras de señales portadoras de información;
NOTA: El subartículo 5A002 . d no incluye los equipos diseñados especialmente para suprimir las emanaciones por motivos de sanidad o de seguridad .
e . Diseñados o modificados para utilizar técnicas criptográficas con el fin de generar el código de ensanchamiento para el «espectro ensanchado» o el código de salto para los sistemas de «agilidad de frecuencia»;
f . Diseñados o modificados para proporcionar una «seguridad multinivel» o un aislamiento del usuario certificados o certificables a un nivel superior a la clase B2 de la norma Trusted Computer System Evaluation Criteria ( TCSEC ) o equivalente;
g . Sistemas de cables de comunicaciones diseñados o modificados por medios mecánicos, eléctricos o electrónicos para detectar intrusiones subrepticias .
NOTA: El artículo 5A002 no somete a control:
a . Las «tarjetas inteligentes personalizadas» que utilicen «criptografía» restringida para su utilización solamente en equipos o sistemas, según se indica:
1 . No sometidas a control por los subartículos 5A002 . c . 1 a c . 6;
2 . No sometidas a control por los subartículos b, c o e de esta nota;
a . Equipo de control de acceso, tales como cajeros automáticos, impresoras para autoservicios o terminales de puntos de venta, que protege la contraseña ( password ) o números de identificación personal ( PIN ) o datos similares para prevenir el acceso no autorizado, pero que no permitan el cifrado de ficheros o de textos, excepto los relacionados directamente con la protección de la contraseña ( password ) o de los números de identificación personal ( PIN ) .
b . Equipo de autentificación de datos que calcule un Código de Autentificación de Mensaje ( MAC ) o resultado similar para asegurar que no ha tenido lugar una alteración del texto, o para autentificar usuarios, pero que no permite el cifrado de datos, textos u otro medio otro que el necesario para la autentificación;
c . Equipo criptográfico especialmente diseñado, desarrollado o modificado para uso en máquinas para transacciones bancarias o monetarias, tales como cajeros automáticos, impresoras para autoservicios, terminales de puntos de venta, o equipo para el cifrado de transacciones interbancarias, y que su intención sea para el uso exclusivo de tales aplicaciones;
d . Radioteléfonos móviles o portátiles ( personales ) para uso civil, por ejemplo, para uso en sistemas de radiocomunicación celular comercial civil, que estén cifrados;
e . Equipo que contenga compresión de datos «fija» o técnicas de codificado;
f . Equipo receptor para radiodifusión, televisión de pago o audiencia televisiva restringida similar o del tipo de abonados, sin cifrado digital y donde el descifrado digital se limite al video, audio o las funciones de administración;
g . Funciones de descifrado, especialmente diseñadas para permitir la ejecución de «equipo lógico» ( software ) cuya copia esté protegida, siempre que las funciones de descifrado no sean accesibles al usuario” .