La legalidad de la firma electrónica: ¿es legal en la Unión Europea?

Posted by media on 11/08/16 9:00

ES_La_firma_electronica_es_legal_en_la_UE.jpg

La primera primera pregunta que mucha gente nos hace cuando explicamos que en Signaturit hemos desarrollado una solución de firma electrónica avanzada es: “¿pero la firma electrónica es legal?”

La respuesta rotunda es sí, la firma electrónica es legal en toda la Unión Europea y en muchos otros países, entre ellos, en Estados Unidos.

Es habitual que todavía existan dudas sobre la firma electrónica, y reticencias a la hora de utilizarla por falta de información, pero en muy poco tiempo esta tecnología va a sustituir por completo a la manera tradicional de firmar documentos - en papel y con bolígrafo - no sólo porque ésta última opción es menos segura que la firma electrónica, sino porque además suele requerir la presencialidad del firmante, algo que cada vez se concibe menos dada la ubicuidad del mundo digital.

A continuación vamos a hacer un repaso por la legislación europea y española que establece la validez jurídica de las firmas electrónicas, detallaremos además los tipos de firmas electrónicas que existen y explicaremos en qué se diferencia la firma electrónica avanzada de la cualificada.

Este post también está disponible en inglés.


Las firmas electrónicas son legales.

 

1. ¿Qué leyes lo establecen y lo regulan?

Sí, las firmas electrónicas son legales y se reconocen como válidas en el Reglamento nº 910/2014, conocido como eIDAS, y que entró en vigor en toda Europa el pasado 1 de julio de 2016.

Por el hecho de ser un reglamento, y no directiva, el eIDAS es de aplicación directa en todos los estados miembros. Con ello se supera el margen de interpretación que la anterior norma europea sobre firma electrónica - la Directiva 1999/93/CE, derogada por el eIDAS - permitía a cada estado, complicando con ello la validez y el reconocimiento de las firmas electrónicas entre los diferentes países de la UE, y entorpeciendo por tanto la plena realización del mercado interior único de comercio electrónico.


Reglamento (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 - relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE

(2) El presente Reglamento se propone reforzar la confianza en las transacciones electrónicas en el mercado interior proporcionando una base común para lograr interacciones electrónicas seguras entre los ciudadanos, las empresas y las administraciones públicas e incrementando, en consecuencia, la eficacia de los servicios en línea públicos y privados, los negocios electrónicos y el comercio electrónico en la Unión”.

De este modo, el nuevo reglamento europeo establece un nuevo marco jurídico para los sistemas de identificación electrónica y los servicios de confianza aplicable en toda Europa. Este marco legal incluye y contempla las firmas electrónicas, los sellos electrónicos y marcas de tiempo, los documentos electrónicos y servicios de entrega electrónica o correo electrónico certificado, y los servicios de certificación para la autenticación de sitios web.

En España, la ley que regula la firma electrónica es la Ley 59/2003, de 19 de diciembre, de firma electrónica, que se deriva de la transposición de la anterior normativa europea sobre firma electrónica - Directiva 1999/93. Dado que ésta última ha quedado derogada con la entrada en vigor del Reglamento eIDAS, la ley española también ha quedado parcialmente derogada.

Es probable que se publique una nueva normativa española para regular aquellos aspectos que el eIDAS deja en manos de los estados miembros, pero en ningún caso podrá solaparse con lo que ya se haya establecido en la norma europea.

En cualquier caso, la Ley 59/2003 se define del siguiente modo:

  • Artículo 1.1.:  “Esta ley regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación.”
  • Artículo 2.1.:  “Esta ley se aplicará a los prestadores de servicios de certificación establecidos en España y a los servicios de certificación que los prestadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.
  • Artículo 2.2.:  “Se denomina prestador de servicios de certificación la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.”

2. ¿Qué tipos de firmas electrónicas existen?

En el Artículo 3 del Reglamento 910/2014 de la Unión Europea se recogen las siguientes definiciones:

  1. Firma electrónica: "los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar".

  2. Firma electrónica avanzada: "la firma electrónica que cumple los siguientes requisitos:
    • estar vinculada al firmante de manera única;
    • permitir la identificación del firmante;
    • haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
    • estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable."
  3. Firma electrónica cualificada: "una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica."

“No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.”

- Artículo 25, Efectos jurídicos de las firmas electrónicas, Reglamento 910/2014

En España, la Ley 59/2003, de 19 de diciembre, de firma electrónica define 3 tipos de firma electrónica en su Artículo 3, que coinciden con las definiciones estipuladas en la Regulación eIDAS:

  1. "La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante".

  2. "La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control".

  3. "Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma".

En la legislación española, la firma electrónica reconocida equivale a la firma electrónica cualificada definida en el reglamento europeo.


No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.

- Artículo 3, apartado 9, Ley 59/2003, de 19 de diciembre, de firma electrónica




3. ¿Cuál es la principal diferencia entre la firma electrónica avanzada y la cualificada?

Considerando las definiciones del reglamento eIDAS, la principal diferencia entre la firma electrónica avanzada y la cualificada son en realidad dos:

  1. La firma electrónica cualificada se debe crear con un dispositivo cualificado de creación de firmas electrónicas.
  2. La firma electrónica cualificada debe de estar basada en un certificado cualificado de firma electrónica.


> ¿Qué es un dispositivo cualificado de creación de firmas electrónicas?

Los dispositivos cualificados de creación de firmas electrónicas deben cumplir con los requisitos establecidos en el Anexo II del Reglamento 910/2014.

A efectos prácticos, un dispositivo cualificado es un aparato (hardware) que debe poder garantizar que las firmas electrónicas realizadas con dicho dispositivo son seguras y están protegidas ante posibles falsificaciones. Para ello, estos aparatos deben poder recurrir a algoritmos criptográficos, longitudes de clave y funciones hash adecuadas.

Debido a que éstas características no se han consensuado a nivel europeo, la UE ha establecido una serie de normas técnicas para evaluar la seguridad de los dispositivos cualificados de creación de firmas y sellos electrónicos. El listado de normas están recogidas en la Decisión de Ejecución (UE) 2016/650 de la Comisión de 25 de abril de 2016 y ya están en vigor.

En España, la Asociación Española de Normalización y Certificación (AENOR) ha adoptado las normas establecidas por la UE a la normativa española. Los dispositivos que cumplan con estos estándares se presumirá que cumplen con los requisitos establecidos por el Reglamento 910/2014 de la Unión Europea.


> ¿Qué es un certificado cualificado de firma electrónica?

Un certificado cualificado de firma electrónica, según se define en el Reglamento 910/2014, es un certificado expedido por un prestador cualificado de servicios de confianza, y que cumple con los requisitos establecidos en el Anexo I del Reglamento 910/2014.

El objetivo de los certificados electrónicos es validar y certificar que una firma electrónica se corresponde con una persona o entidad concreta, y puede hacerlo porque contiene los datos del individuo o entidad en cuestión: nombre, NIF, algoritmo y claves de la firma, fecha de expiración y organismo que lo expide.

Para conseguir un certificado electrónico es necesario presentarse personalmente en la entidad que lo expide, para que ésta pueda comprobar la identidad la persona que va a ser usuaria de dicho certificado. Un ejemplo clásico de certificado digital es el que está contenido en el DNIe, aunque también existen los certificados digitales que se guardan en ficheros de software.


4. ¿Cuáles son las ventajas de la firma electrónica avanzada respecto a la cualificada?

Debido a los requisitos que debe cumplir una firma electrónica para considerarse como cualificada - debe ser creada mediante un dispositivo cualificado de creación de firmas electrónicas y estar basada en un certificado cualificado de firma electrónica - es difícil utilizar este tipo de firma para identificar al usuario en aquellos trámites o transacciones en los que prima la facilidad, la inmediatez y, sobre todo, la movilidad.

Hoy por hoy, la mayoría de la población no dispone ni de un dispositivo cualificado ni de un certificado cualificado de firma, por lo que requerir su uso para firmar contratos, documentos o altas de usuarios es una barrera clara que puede interrumpir el transcurso de cualquier tipo de transacción.

Por todo ello, el uso de la firma electrónica cualificada está más restringido al ámbito de la administración pública. La mayoría de empresas que utilizan la firma electrónica optan por la solución avanzada, puesto que les permite operar con total seguridad en el entorno online e identificar a sus clientes o usuarios con todas las garantías legales.

En el caso de Signaturit, nuestra solución de firma electrónica avanzada es además muy fácil de usar desde cualquier dispositivo - ordenador, tablet o móvil -  y resulta una herramienta muy valorada por los consumidores digitales, ya que les permite completar cualquier trámite cuándo y dónde más les convenga a ellos, en cuestión de segundos.

La solución de firma electrónica de Signaturit cumple tanto con la Regulación eIDAS como con la Ley 59/2003 de firma electrónica - además de que también cumple con las leyes de firma electrónica vigentes en los Estados Unidos, eSign y UETA Acts - de modo que:

  • Permite identificar al firmante, puesto que recogemos una serie de datos que se asocian al mismo de forma inequívoca durante el proceso de firma: email, geolocalización, y los datos biométricos del grafo cuando el dispositivo lo permite, entre otros datos.
  • Es posible detectar cualquier cambio efectuado en el documento firmado, gracias a que utilizamos un sistema de clave pública/privada tanto para el documento firmado como para el documento probatorio, lo que nos permite cifrar toda la documentación generada y ello garantiza la integridad de los datos en todo momento.
  • Vincula la documentación generada al firmante y a sus datos, proporcionado un sistema de hash y clave única que se relaciona directamente con el firmante.
  • Se crea por medios que se encuentran bajo el control del firmante: la firma se genera directamente desde el dispositivo del firmante y sólo se puede acceder a ella mediante el acceso a cuentas privadas del mismo.

Si quieres probar nuestra solución de firma electrónica avanzada, puedes hacerlo hoy mismo. Tan sólo tienes que registrarte aquí y tendrás acceso a todas las funcionalidades que ofrecemos de forma gratuita durante 14 días. Si necesitas más información sobre la firma electrónica o sobre el funcionamiento de nuestra solución, no dudes en ponerte en contacto con nostros enviando un email a info@signaturit.com o llamando al 935 511 480.

Este post también está disponible en inglés.

Signaturit-whitepaper-legalidad-firma-electronica-UE


POSTS RELACIONADOS


Nota 1: esta información está destinada a proporcionar información general y no constituye un sustituto de asesoramiento legal.

Nota 2:  este post es una versión actualizada y mejorada de un post que publicamos el 14 de abril de 2014 con el título “Validez jurídica de la firma electrónica”.

Tags: Legalidad

Subscríbete al blog

Últimos posts