Innovación Legal
29 febrero 2016
¡Hola, firma y sello electrónicos en Nube!
La transformación digital de las organizaciones, motivada por la digitalización de la sociedad y la adopción masiva de las tecnologías de la información, impulsa de forma acelerada la sustitución de los procesos de negocio basados en el papel por sus equivalentes electrónicos, por lo que, en general, toda la documentación de las organizaciones se encuentra en tránsito hacia el soporte electrónico. De otro lado, cada vez resulta más acuciante acreditar la identidad digital de las personas con las que se relacionan gobiernos, empresas y ciudadanos, especialmente en un contexto transfronterizo.
La seguridad jurídica más elemental exige, sin embargo, que mantengamos, cuanto menos, el mismo nivel de confianza que el soporte papel ha venido ofreciendo, como condición ineludible para el desarrollo de la administración y el comercio electrónico y, en definitiva, de la Sociedad de la Información. Para ello, precisamos del uso de instrumentos como la firma electrónica, sellos electrónicos de empresa, sellos de tiempo electrónico y notificaciones electrónicas. Por ello, y quince años después de la aprobación de la Directiva 99/93/CE, de 19 de diciembre, de firma electrónica, en la Unión Europea se ha aprobado el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), que ofrece novedades de muy alto atractivo en el momento de abordar la transformación digital.
Esencialmente, la legislación regula diversos tipos de firma electrónica, en un enfoque abierto y tecnológicamente neutro, en el que toda firma electrónica puede potencialmente ser válida, pero apostando por la denominada firma electrónica reconocida o cualificada, en relación con la cual se establece una presunción legal de equivalencia con la firma escrita, así como una presunción de autenticidad. De forma análoga, la legislación regula también diversos tipos de sello electrónico de empresa, estableciendo para el sello electrónico cualificado la presunción de corrección del origen de los datos y de su integridad.
La firma y el sello electrónicos cualificados presentan, por tanto, un alto atractivo como herramientas de transformación digital y seguridad jurídica, a pesar de lo cual hay que admitir que en los ya mencionados quince años de aplicación de la Directiva de firma electrónica el uso de la firma electrónica reconocida ha sido muy escaso. La explicación a este bajo nivel de uso se puede encontrar en múltiples factores, principalmente de corte tecnológico, incluyendo el hecho de que la normativa no ha sido tan neutral como debiera. En efecto, intereses estratégicos de determinadas industrias, apoyadas por sus gobiernos (incluyendo el español), han implicado que sólo las tarjetas con microprocesador criptográfico hayan sido consideradas como capaces de soportar la firma electrónica reconocida, con resultados desastrosos en la adopción social de la firma electrónica reconocida, incluso cuando dicha tarjeta ha sido el DNI-e expedido por el Estado; en efecto, la evidencia empírica ha demostrado las dificultades de instalación y uso de esta tecnología por parte de la inmensa mayoría de los ciudadanos, su insuficiente usabilidad e inadecuación a los nuevos dispositivos móviles, o a la Nube, por lo que paradójicamente, la mejor solución jurídica ha sido la menos empleada en los procesos de negocio en soporte electrónico.
Por fortuna, esta problemática no ha afectado de forma negativa al desarrollo de los procesos electrónicos, en particular por la aparición de soluciones alternativas que, empleando otros enfoques innovadores, permiten la generación y custodia de prueba electrónica segura, en concreto gracias a la figura del tercero de confianza que actúa por interposición entre las partes. Se trata éste de un servicio de la sociedad de la información – regulado en el artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, y basado en acuerdos contractuales de eficacia de la firma electrónica inter privatos – que permite obtener un muy elevado nivel de confianza en la prueba sin necesidad de acudir a la firma electrónica reconocida, y que va a seguir siendo de extraordinaria relevancia incluso cuando la firma electrónica reconocida amplíe su base social de implantación.
Con estos antecedentes, no es extraño que el legislador de la Unión Europeo, altamente comprometido con el desarrollo del Mercado Único Digital, haya modificado el marco legal para dar un nuevo e importante impulso al uso de la firma y sello electrónicos cualificados, mediante la aprobación del citado Reglamento (UE) Nº 910/2014, que entra en vigor el próximo día 2 de julio de 2016.
Dicho Reglamento, en un ejemplo de innovación, regula la que podemos denominar firma y sello electrónico en la Nube, una posibilidad altamente prometedora que rompe con las disfunciones del modelo de tarjeta criptográfica, facilitando extraordinariamente la adopción de la firma y sello con máxima garantía jurídica por parte de las organizaciones. En este enfoque, las claves de firma o sello se encuentran gestionadas por un software de alta seguridad, sujeto a certificación obligatoria, y operado por un prestador regulado por el Gobierno, lo que permite su uso confiable y ubicuo desde cualquier tipo de dispositivo.
En relación con los ciudadanos con los que nos relacionemos, es el propio Gobierno quien impulsa el despliegue de esta nueva modalidad de firma, en forma de una extensión del DNI-e que permitirá complementar en la Nube – ligado al importante proyecto Cl@ve firma – la firma electrónica ya disponible, aunque poco utilizada, mientras que las empresas y, en general, organizaciones públicas y privadas, tienen la oportunidad de dotarse ya de esta nueva tecnología, incrementando sus garantías jurídicas al tiempo, sin penalizar a los empleados y órganos de la entidad.
Si gobierno y empresas enfocan correctamente el proceso de adopción de esta nueva posibilidad de firma y sello electrónico en Cloud, especialmente de forma combinada con servicios avanzados como el de generación de prueba por interposición, sin duda alguna lograremos una Sociedad de la Información fiable y segura para todos.
Nacho Alamillo Domingo
Abogado, DEA, CISA, CISM, COBIT5-f, ITIL v3-f
Director de Astrea La Infopista Jurídica SL
Asociado de ENATIC
https://es.linkedin.com/in/nachoalamillo