Innovaciones del marco regulatorio guatemalteco en materia de video-identificación y emisión remota de certificados de firma electrónica avanzada

Con fecha 12 de octubre de 2020, el Registro de Prestadores de Servicios de Certificación (RPSC) del Ministerio de Economía de Guatemala, emitió la Guía de Identificación Virtual, que contiene los requisitos para la identificación “virtual” en la emisión de certificados digitales de Firmas Electrónicas Avanzadas por parte de los Prestadores de Servicios de Certificación (PSCs) acreditados en el país.

La emisión de dicha Guía se produce como desarrollo parcial del Acuerdo Gubernativo 110-2020 dictado en fecha 12 de agosto de 2020, mediante el cual se reforma el Reglamento de la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas contenido en el Acuerdo Gubernativo 135-2009 del 08 de mayo de 2009. Esta reforma se realizó como una de las medidas de innovación impulsadas por el RPSC y el Ministerio de Economía frente a las restricciones de movilidad y contacto físico consecuencia de la pandemia mundial.


Reforma del Reglamento de la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas

La reforma consistió en dos modificaciones, específicamente sobre los artículos 13.f) y 19 del mencionado reglamento. Ambas modificaciones realizan adaptaciones del Reglamento para facilitar la identificación y generación de los certificados digitales de Firma Electrónica Avanzada a través de medios remotos. Específicamente, se observan en el primero de los artículos reformados cambios sobre la forma o método a través del cual los prestadores de servicios de certificación comprueban fehacientemente la identidad del solicitante de un certificado de firma electrónica avanzada, incorporando como innovación que dicha comprobación presencial pueda ocurrir de forma física o bien de forma “virtual”.

En el segundo de los artículos reformados, se observan cambios congruentes con la reforma efectuada al artículo 13.f), en el sentido de que se modifica la norma para permitir que los PSCs puedan establecer o adaptar sus procedimientos de entrega segura de las claves privadas o de sus credenciales de acceso a través de medios virtuales, sumándose a la tendencial global en esta materia a la vez que se resguarda la garantía prevista en el artículo 33 b) de la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas, relativo al aseguramiento de que los datos de creación de firma se encuentran bajo el control exclusivo del firmante al momento de realizar la firma.


Aspectos clave de la Guía de Identificación Virtual

Ahora bien, entrando a analizar específicamente el contenido de la mencionada Guía de Identificación Virtual, existen varios puntos que vale la pena destacar.

En primer lugar, se establece de forma expresa que la identificación virtual puede ocurrir de forma síncrona o asíncrona, esto es, la posibilidad que tendrán los PSCs de establecer métodos y sistemas que permitan la identificación de los solicitantes de certificados con o sin asistencia en tiempo real de un operador del PSC. Lo anterior resultará definitivamente en una ventaja competitiva importante para los PSCs y por consiguiente para los servicios de certificación del país, lo cual permitirá mantener bajos costos en el proceso de identificación a la vez que evita tiempos de espera en cola virtuales para ser atendidos, traduciéndose en beneficios para la población usuaria.

La segunda de las regulaciones que observamos, es que aquellos PSCs que se propongan implementar dichos sistemas requerirán que la conformidad de los mismos sea verificada de forma previa por el RPSC, en resguardo de las medidas mínimas que deberán cumplirse para garantizarse una equivalencia funcional y de seguridad con los métodos de identificación mediante presencia física, así como de la recolección y resguardo de las evidencias del proceso.

Dentro de las medidas de seguridad y organizativas que se definen en la Guía, destacan diversos requisitos de seguridad tales como, la necesidad de valorar riesgos de acuerdo a los sistemas implementados y elaborar los correspondientes planes de mitigación y gestión residual. También destacan medidas de seguridad como la invalidación del proceso de identificación frente a cualquier indicio de falsedad o manipulación del documento de identificación, bien sea por falta de correspondencia entre el solicitante y el titular del documento así como cualquier condición que impida o dificulte la verificación de autenticidad e integridad del documento utilizado para la identificación. Igual consecuencia de invalidación se producirá en caso de que existan indicios de utilización de archivos pregrabados o del uso de múltiples dispositivos para la transmisión del video realizado durante la identificación.

Para garantizar que se interactúa con una persona, la Guía ha sido expresa al señalar que deben observarse interacciones con el solicitante, tales como envío de códigos de un solo uso para perfeccionar su identificación, así como interacciones físicas y captura de características biométricas que permitan valorar la veracidad de la solicitud.

Es importante destacar, que la Guía ha dejado claro que en cualquiera de los casos, tanto para la identificación virtual asistida como desasistida, la decisión para la aprobación o denegación de la solicitud de emisión del certificado de firma electrónica avanzada debe ser tomada por el Operador del PSC, considerando para ello todas las evidencias recabadas durante el proceso de identificación consideradas en su conjunto, descartando de esta forma que la decisión provenga del sistema informático. Esto último ha sido un punto importante dentro de la Guía, ya que alinea con las prácticas y estándares internacionales que establecen que dicha aprobación recae siempre bajo la responsabilidad de una persona natural, particularmente sobre aquellas que ejercen el rol fiable de Operador de Registro o Identificación.

En lo que concierne a las medidas de control de los recursos humanos dispuestos para realizar identificaciones “virtuales”, estos deberán contar con formación específica que les facilite la detección de fraudes potenciales en el proceso de identificación, así como sobre la legislación vigente en materia de servicios de certificación.

Por otra parte, el artículo 9 de la Guía, en desarrollo directo de la reforma del reglamento, establece que aquellos PSCs emisores de certificados de firma electrónica avanzada que decidan acoger dentro de sus procesos de identificación métodos “virtuales”, deberán hacerlo conservando las evidencias relativas a la identificación (imágenes del documento de identidad, prueba de vida y biometría facial) por un período de al menos diez años, con garantías de su nitidez e integridad. Sobre esto último, el plazo de los 10 años de conservación no representa un cambio sustancial en relación a los plazos de tiempo que las buenas prácticas internacionales y nacionales ya establecían para la conservación general de evidencias en relación al proceso de identificación.

 

Guatemala: pioneros en Centroamérica en implementar de forma definitiva la identificación virtual para la emisión de la firma electrónica.

En general, la modalidad de verificación a través de un medio no presencial o remoto, se ha podido observar desde el inicio de la pandemia en otros países como una medida urgente para combatir los efectos de la pandemia del COVID 19, como fue el caso de España. De forma transitoria, se implementó esta medida durante el Estado de Emergencia allí decretado, lo cual permitió su implementación inmediata por parte de los PSCs en conjunto con una actuación ágil por parte del regulador español, lo cual sin duda marcó una diferencia importante en el tiempo de respuesta a la crisis.

En el caso de Guatemala, vemos que no ha optado por el establecimiento de una medida temporal o transitoria, sino una modificación definitiva de su marco regulatorio para acoger esta modalidad con permanencia en el tiempo. Lo anterior, plantea notorios beneficios para el país en las ventajas competitivas a medio y largo plazo de la introducción de esta clase de tecnologías y métodos en el desarrollo de la firma electrónica y la digitalización en general, que seguramente sobrepasarán las desventajas comunes asociadas a la modificación definitiva del marco normativo, como por ejemplo, el tiempo requerido en el proceso de reforma del reglamento y la preparación de una guía técnica.

El futuro cercano, seguramente será posible valorar el redito que se obtendrá de esta estratégica normativa para el desarrollo del mercado de los servicios de certificación en Guatemala, a través de la creación de nuevos casos de uso tanto dentro del sector público como del privado, así como el mejoramiento del alcance de estos servicios en lugares geográficamente distantes donde la población a día de hoy no tiene acceso a los mismos.

0 comentarios Deja un comentario
Un momento...
Deja un comentario
*Campos obligatorios
5 tendencias tecnológicas para negocios en 2021. [Incluye infografía]
Newsletter

Si quieres estar al día y descubrir nuevas tendencias en identificación digital, súmate y recibirás nuestra newsletter con artículos exclusivos sobre firma digital, certificación digital y otros temas de actualidad. Y para que no te pierdas nada, te mantendremos informado de fechas y eventos relevantes del sector.

Suscribirme