Hoy en día, parece que en el mercado se ha estandarizado el uso de la firma electrónica. Cada vez vemos más común el uso de estas herramientas que facilitan a todos la formalización de contratos a distancia.
Si bien esto es cierto, ahora debemos entender la realidad legal detrás de esta herramienta, y para ello debemos acudir al Reglamento (UE) No 910/2014, mejor conocido como eIDAS.
Por un lado, debemos entender que es firma electrónica, y en este sentido, el artículo 3 del Reglamento eIDAS la define como “los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar”. Esta definición es la que dio nacimiento a lo que el mercado ha venido denominando firma simple, y básicamente es toda aquella firma electrónica que cumpla con esta definición más no se puede considerar avanzada o cualificada, los otros dos niveles definidos por el Reglamento.
Ejemplos de este tipo de firma electrónica los podemos encontrar en nuestra vida diaria al aceptar en una página web términos y condiciones, políticas de privacidad, o incluso podría establecerse que la aceptación de un contrato vía correo electrónico o whatsapp es una firma electrónica “simple”. La complejidad de este tipo de firma yace en la posibilidad de identificar al firmante, y por ende es la firma electrónica menos robusta, y que mayor carga probatoria necesita para demostrar su autenticidad.
La firma electrónica avanzada
Esto nos lleva al siguiente nivel que el Reglamento eIDAS ha establecido como firma electrónica avanzada en su artículo 26, y requiere cumplir con lo siguiente:
- estar vinculada al firmante de manera única;
- permitir la identificación del firmante;
- haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
- estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
Existen diferentes tipos hoy en día, siendo las más comunes la firma electrónica biométrica, u otras que utilizan contraseñas de único uso. La importancia de este tipo de firma yace en la posibilidad de identificar al firmante, sin especificar cuando dicho acto debe ocurrir, siendo por ende posible que mediante evidencias en el proceso de firma se pueda identificar al mismo en un acto anterior o posterior a la rúbrica efectuada.
Ahora bien, ¿qué nivel tiene una firma electrónica efectuada con tan sólo un certificado cualificado?
Los certificados cualificados son aquellos emitidos por un Prestador Cualificado de Servicios de Confianza que se encuentra recogido en la Lista de Confianza de un Estado Miembro. Es un prestador auditado técnica y jurídicamente, que le permite emitir certificados a personas físicas, representantes legales de personas jurídicas, entre otros. El proceso para su obtención conlleva una serie de trámites, como personificarte ante el prestador, siendo posible en algunos Estados Miembro hacerlo en remoto, y en España post estado de alarma, nuevamente por el momento no lo es.
Estos certificados tienen una serie de atributos inherentes como hacer login ante entes gubernamentes como la Agencia Tributaria, ya que uno de sus atributos es la autentificación, y también firmar documentos porque otro de sus atributos es poder firmar. No obstante, son firmas electrónicas avanzadas si no cumplen con los requisitos impuestos por el Reglamento eIDAS y explicado a continuación.
La firma electrónica cualificada
El Reglamento eIDAS define a la firma electrónica cualificada, como la única firma que tiene jurídicamente la misma validez que la firma manuscrita y la condición iuris tantum. Ésta debe cumplir con los siguientes dos requisitos.
- Una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas; y
- Que se basa en un certificado cualificado de firma electrónica;
Como podemos ver, cuando realizamos firmas electrónicas solamente con certificados cualificados cumplimos con una condición, ¿y el dispositivo mencionado? Pues bien, este dispositivo tiene que cumplir con el Anexo II del Reglamento eIDAS, que a grandes rasgos es cumplir con los parámetros técnicos, ser auditado, y estar dentro de la lista de la Comisión Europea. Hoy en día, encontramos este tipo de dispositivos en tres formatos:
- Tarjeta criptográfica
- USB criptográfico
- HSMs (servidores criptográficos).
Nuestros ordenadores o móviles por sí solos no disponen de estos dispositivos específicos, y, por ende, cuando realizamos acciones con nuestros certificados cualificados instalados, tan solo podemos realizar firmas electrónicas avanzadas. Por otro lado, los DNIs electrónicos son tarjetas criptográficas y cuando firmamos con ellas, sí que estamos realizando firmas electrónicas cualificadas, por que cumplen con las dos obligaciones impuestas. Es posible analizar el documento firmado en cuestión, y establecer que tipo de mecanismo se usó.
En la actualidad parece que el firmar mediante un certificado cualificado sin dispositivo, tiene mayor validez que cualquier otra firma electrónica avanzada. No voy a cuestionar la carga probatoria que una cosa u otra pueda suponer, pero la realidad es que ambas tienen el mismo valor jurídico, y por ende deberían ser tratadas en equidad en los ámbitos públicos, y en los privados, donde puede regir la voluntad contractual de las partes, y sobre todo imperar la libertad de elección de modo de ratificar, si ninguna normativa te impone el modo de hacerlo.