El proceso de onboarding o identificación en la determinación de la fuerza probatoria de la Firma Electrónica


Es usual estos días encontrar múltiples discusiones y artículos sobre las diferencias entre la firma digital, firma digitalizada y la firma electrónica en sus distintas versiones (simple, avanzada, cualificada, certificada, calificada etc), y la “legalidad” o “valor jurídico” que comportan cada una de estas según el tipo de tecnologías empleadas para su creación o proveedores de servicios para la creación de estas firmas.

Son múltiples las empresas del sector que avalan el uso de sus soluciones tecnológicas mediante informes especializados que equiparan el valor jurídico de firmas electrónicas “simples” con firmas que de acuerdo a la ley cuentan con presunciones de derecho favorables, por lo que es oportuno distinguir estos conceptos de valoración jurídica sobre el uso de unas y otras. 


¿Qué factores determinan la fuerza probatoria de la firma electrónica?

En primer lugar, es necesario aclarar que cualquier instrumento tecnológico que utilicemos para generar una firma electrónica es legal mientras su utilización no quebrante o contradiga la Ley, y por consiguiente tiene valor jurídico. Las partes firmantes de un contrato por ejemplo, pueden acordar para la firma del mismo utilizar diversas soluciones que ofrezcan diferentes niveles de seguridad -incluso muy bajos-, resultando todas legales y admisibles mientras la Ley no exija un nivel de seguridad particular y las partes así lo acepten. 

No obstante, la fuerza probatoria de cada una en caso de tener que demostrar la autoría de las mismas y ejecutar las obligaciones derivadas es un tema muy distinto, sobre el que poco se comenta en muchos de estos informes especializados. 

La fuerza probatoria de una firma electrónica está determinada por la verificación de ciertos elementos o requisitos normalmente previstos en la normativa que rige la materia, como por ejemplo:

✓ la vinculación única al firmante,

✓ la identificación de su titular,

✓ el nivel de seguridad sobre el método de creación que se ha utilizado,

✓ la posibilidad de detectar modificaciones ulteriores

✓ y la confianza que se tiene en el proveedor del servicio de creación de la firma electrónica. 

Ciertamente, las medidas de seguridad, niveles de fiabilidad y las garantías de integridad sobre la información firmada que ofrezca la tecnología de la solución implementada en los mecanismos de autenticación y creación de las firmas, puede condicionar la eficacia probatoria de la misma, ya que estos factores deben garantizar ante terceros que la firma ha sido creada a partir de determinados datos en poder exclusivo del titular y que la información a cuyo contenido el titular se ha vinculado jurídicamente no ha sido modificada posteriormente. 

Adicionalmente a lo anterior, existen otros factores no asociados a la tecnología -al menos no directamente- que deben ser tomados en cuenta para la valoración jurídica de la firma electrónica y especialmente de su fuerza probatoria, asociados directamente a la capacidad de demostrar que la persona identificada en la herramienta utilizada para la creación de firma -como la clave privada de un certificado digital de firma electrónica- le pertenecen efectivamente a dicha persona. Para ello, en necesario contar con un proceso de onboarding seguro, esto es, un procedimiento de identificación y registro del usuario titular de la firma electrónica, que permita garantizar razonablemente la identidad de la persona titular del certificado de firma electrónica. 


Verificación de la identidad y entrega segura de medios: dos procedimientos determinantes en la calidad del proceso de onboarding. 


La calidad del proceso de onboarding incide directamente en la valoración jurídica de la firma electrónica, al determinar en primer lugar el procedimiento seguido para verificar la identidad del solicitante del certificado digital de firma electrónica, generando evidencias que permitan auditarlo posteriormente. Es común y necesario contar con un set de prácticas y políticas debidamente documentadas que detallen la forma, el lugar y el tiempo en que en el dicho procedimiento se realizará, las evidencias que serán generadas, las personas que intervendrán en nombre del prestador para dar fe del proceso, así como las responsabilidades que asume el prestador de servicio de firma electrónica en la ejecución del mismo.

Por ejemplo, en países como España donde el Estado emite un documento nacional de identificación oficial para sus ciudadanos a través de una autoridad administrativa como el DNI, es común documentar la identidad del solicitante del certificado de firma electrónica a través de la presentación de este tipo de documentos, recogiendo evidencias de esta identificación que pueden variar entre la creación de un expediente físico o digital donde se almacenen copias del documento, fotografías o videos tomados en el momento de la identificación, recolección de datos biométricos como huellas o rostros, que en general son resguardados por prolongados períodos de tiempo por el prestador del servicio implementando medidas de seguridad e integridad para su conservación en el tiempo. 

El segundo procedimiento al que hay que hacer referencia es el relacionado a la entrega segura de los medios para la creación de la firma electrónica, es decir, el diseño y descripción de la forma en que se asegura la entrega del elemento seguro que se utilizará para la creación de la firma a su titular,  tales como la entrega física de una smartcard, un token criptográfico o la remisión segura de credenciales de acceso a sistemas de firma electrónica centralizada o remota, llamados usualmente “firmas electrónicas en la nube”. Este procedimiento asegura que además de haberse realizado una identificación fiable de la persona titular de la firma, los medios para la creación de dicha firma electrónica se encuentran física y/o lógicamente bajo el control exclusivo de su titular.  

El conjunto de procedimientos y herramientas tecnológicas, así como auditoría y verificación de las evidencias generadas por los sistemas y la ejecución de los procedimientos, es lo que permite relacionar de forma unívoca e inequívoca a una persona con la firma electrónica generada sobre un documento u operación, y por consiguiente vincularle jurídicamente con el contenido del mismo, aún en el supuesto de que el firmante pretenda su desconocimiento o repudio.  


¿ Cómo determinar la conveniencia del sistema o del tipo de firma electrónica? 

Determinar la idoneidad de uso de un sistema o tipo de firma electrónica dependerá entre otras cosas del tipo de documento u operación que se requiera firmar, las formalidades que tenga como requisitos, la necesidad de garantizar la integridad de la información, el grado de certeza jurídica que se requiere, el nivel de riesgo que suponga la operación en caso de que se intente desconocer y nuestro umbral de tolerancia al mismo.

En este sentido, la firma de una solicitud de vacaciones de un empleado dentro de una organización no supone los mismos requisitos de seguridad, formalidad y niveles de riesgo que podría suponer la firma de un contrato sensible entre dos empresas sin una relación comercial favorable previa, la emisión de una resolución administrativa que cree derechos y/o imponga obligaciones, o la  inscripción de un título de propiedad inmobiliaria con efectos hacia terceros -erga omnes- por parte de una oficina de registro público.

De todo lo anterior, cobra relevancia valorar no solo la “legalidad” de un método o instrumento de creación de firmas electrónicas, sino también la fuerza probatoria que cada uno de estos métodos goce, dado que determinará el riesgo que corremos frente a la intención de un firmante para desconocer una firma electrónica realizada y desvincularse de las obligaciones contraídas, la actividad probatoria que nosotros deberemos realizar para poder hacer valer la eficacia de dicha firma en caso controversia y las presunciones o valoraciones que obrarán a nuestro favor en las consideraciones que pueda hacer un Juez u Administración Pública al momento de decidir.


En resumen, las firmas electrónicas basadas en certificados digitales emitidos por Prestadores de Servicios de Certificación autorizados por el Estado, en la mayoría de los países son las únicas reconocidas como equivalentes a la firma manuscrita y a la vez cuenta de presunciones favorables que invierten la carga de la prueba, proveyendo un nivel más robusto de certeza jurídica sobre ella. No obstante, existen otras firmas electrónicas que cuentan con valor probatorio relativo, sujeta al análisis de los requisitos mencionados previamente. 


0 comentarios Deja un comentario
Un momento…
Deja un comentario
*Campos obligatorios
El teletrabajo más allá del COVID-19: soluciones tecnológicas y certificados digitales para maximizar la productividad Cómo firmar un PDF con certificado digital | Guía visual 2020
Newsletter

Si quieres estar al día y descubrir nuevas tendencias en identificación digital, súmate y recibirás nuestra newsletter con artículos exclusivos sobre firma electrónica, certificación digital y otros temas de actualidad. Y para que no te pierdas nada, te mantendremos informado de fechas y eventos relevantes del sector.