¿Firma electrónica, firma digital o firma autógrafa en un mensaje de datos? Una forma de apoyar la transformación de las organizaciones en un mundo digital

Por: Juan Carlos Rocha,
Abogado socio Fonte Estudio Jurídico

El tema de la firma electrónica, la firma digital y la firma autógrafa en los mensajes de datos, además de ser de actualidad, resulta de gran relevancia y utilidad para el desarrollo de negocios en el ámbito personal y empresarial. Por tratarse de un tema con cierto nivel de complejidad, abordaré su desarrollo en dos entregas o partes. En la primera entrega, presentaré algunos aspectos generales relacionados con las definiciones de conceptos como firma electrónica, firma digital y firma autógrafa, así como algunos conceptos claves a tener en cuenta para un mejor entendimiento del tema. En la segunda entrega, que se publicará próximamente, abordaré de manera más detallada lo referente a la regulación normativa del uso de estas tecnologías y algunas consideraciones prácticas para su adecuado manejo en el desarrollo de negocios.   

Lo primero a resaltar es que como parte del proceso de transformación de los negocios, las empresas han venido avanzando en la utilizando tecnologías digitales para brindar agilidad, eficiencia, ahorro de costos y excelentes experiencias para los clientes. Aunque pareciera algo insignificante, los procesos de firma de documentos representan una de las mayores áreas de oportunidad para acelerar este cambio.  

En Colombia, muchas organizaciones invierten innumerables horas buscando aprobaciones y firmas manuscritas, y luego imprimen, escanean, y envían los documentos por correo para realizar el trabajo, lo que se traduce en costos de papel, mayor carga operativa, ineficiencias, reprocesos y riesgos legales que impactan negativamente el negocio, sus marcas y el medio ambiente.  

Por razones como las expuestas, grandes corporaciones han optado por las firmas electrónicas y digitales y, otras, por firmas autógrafa en un mensaje de datos, lo que supone, hoy día, una necesidad más que una opción. La pregunta que surge de estas dinámicas es cómo hacerlo garantizando la eficiencia del proceso, la idoneidad legal y el respeto por las normas aplicables. 

Como ya se anticipó, este artículo busca explicar las diferencias entre los conceptos de firma electrónica y firma digital desde un aspecto práctico y legal. Además de explorar términos propios de esta materia, como son la firma autógrafa en un mensaje de datos, firma electrónica o firme electrónica simple, firma electrónica avanzada o digital (AES) y firma electrónica cualificada (QES). 

Antes de profundizar en aspectos legales es importante precisar algunos conceptos claves que facilitarán la comprensión del tema, como lo son, firma, criptografía, tecnología, los principios sobre los que se basan las leyes de firma electrónica y la firma autógrafa en un mensaje de datos. 

  1. Conceptos claves 

1.1. Firma: en sentido amplio, es una grafía (signo o escritura manuscrita, normalmente formada por nombre, apellidos y rúbrica) o una clave que identifica y distingue a un sujeto de los demás, y que una persona pone al pie de un escrito o de un documento para identificarse, autorizar el documento, expresar que aprueba su contenido, etc. Luego, todo aquello que se firma, o en otras palabras, todo el texto o contenido asociado a dicha firma, supone que la propia firma significa la expresión del consentimiento, es decir, la voluntad de asumir el contenido obligacional del documento en el que se estampa, además de constituirse o de significar, ella misma, un medio de prueba. 

En consecuencia, toda firma supone un consentimiento, entendido este último como la manera de exteriorizar la declaración de voluntad de una persona, ya sea de forma expresa o tacita. No ocurre al revés, no todo consentimiento supone una firma, por lo que puede existir consentimiento sin firma.   

1.2. Criptografía: es una palabra que viene del griego κρύπτos (kryptós), «secreto», y γραφή (graphé), «grafo» o «escritura», literalmente «escritura secreta», se ha definido tradicionalmente como el arte de escribir con clave secreta o de un modo enigmático, de tal forma que lo escrito solamente sea inteligible para quien sepa descifrarlo, es decir es el arte de no hacer evidente un texto sino al destinatario de este. La criptografía es, entonces, el método que se aplica a un mensaje para cifrarlo, y descifrarlo de tal manera que solo sea visible el texto en claro para el emisor y el receptor de dicho mensaje. 

Se podría, entonces, hablar de diferentes tipos de firmas electrónicas dependiendo del esquema criptográfico que se utilice, por ejemplo:  

1.2.1.1. La firma electrónica o firma electrónica simple utiliza un método de criptografía simétrica o de clave privada, es decir, usa una sola llave que es conocida por ambas partes. Se basa en la utilización de una única clave secreta que se encargará de cifrar y descifrar la información, por tanto, es fundamental que todos los usuarios que quieran cifrar o descifrar el mensaje, tengan esta clave secreta, de lo contrario, no podrán hacerlo;  

1.2.2.1. La firma electrónica avanzada o digital usa un método de criptografía asimétrica o de clave publica, utiliza una llave publica que se comparte con los demás a través de un certificado digital y una llave privada que se mantiene bajo un exclusivo control de quien pretende firmar.   

1.3. La Tecnología aplicada a los conceptos: se comporta como la herramienta que permite los esquemas criptográficos expuestos, a partir de estándares abiertos que permitan la generación y utilización de firmas electrónicas, garantizando interoperabilidad internacional y entre diferentes plataformas, un menor costo y sobre todo soluciones probadas y seguras.   

1.4. Principios de las leyes sobre las Firmas Electrónicas: frente a estos tres conceptos, se puede decir que están asociados 5 grandes principios. 

1.4.1. Principio de neutralidad tecnológica o respecto de los medios técnicos:  obliga a adoptar disposiciones cuyo contenido sea neutral respecto de la tecnología empleada. Es decir, por disposición legal o de autoridad no se puede obligar a las personas a utilizar una tecnología en particular.  

1.4.2. Principio de la autonomía de la voluntad de las partes. La autonomía de la voluntad privada es la facultad reconocida por el ordenamiento positivo a las personas para disponer de sus intereses con efecto vinculante y, por tanto, para crear derechos y obligaciones. Luego, las partes pueden convenir el uso de cualquier elemento o medio que permita identificarse, y ello significará una firma para esas mismas partes, y en consecuencia será para dicha relación jurídica perfectamente válido.  

1.4.3. Principio de compatibilidad internacional: supone la adecuación a estándares, es decir, que exista un reconocimiento a nivel internacional de los esquemas y modelos de firmas generalizados en la mayor parte de países, tal es el caso de la Ley Modelo de la CNUDMI sobre Comercio Electrónico y Ley Modelo de la CNUDMI sobre las Firmas Electrónicas, leyes que han sido reconocidas e integradas en más de 175 jurisdicciones.   

1.4.4. Principio de la equivalencia funcional: Dos cosas que son completamente distintas entre sí, en su función son equivalentes, v.gr una firma en papel o un papel y un mensaje de datos, son totalmente distintos, pero en su función, y sólo en su función, son equivalentes; basta con imaginar nuestra firma autógrafa y el código de seguridad de nuestra tarjeta de crédito, son completamente distintos pero en su función son equivalentes, es decir, se podría, a partir de su uso, manifestar la voluntad de comprometerse u obligarse en los términos de un contrato. Por lo que, este principio establece los criterios conforme a los cuales las comunicaciones electrónicas pueden equipararse a las comunicaciones sobre papel. 

Es decir que el contenido de un documento electrónico está llamado a surtir los mismos efectos que el contenido en un documento en soporte papel si se cumple con los siguientes atributos:  

1.4.4.1. ESCRITO. Cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta. 

1.4.4.2. ORIGINAL. Cuando cualquier norma requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos, si no hay alteración de la información electrónica (Integridad) 

1.4.4.3. FIRMA. Cuando cualquier norma exija la presencia de una firma o establezca ciertas consecuencias, en ausencia de esta, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si se logra: 

    • Identificación del emisor del mensaje de datos 
    • Se garantiza la autenticidad 
    • Se garantiza la integridad 

1.4.4.4. Archivo y conservación del mensaje de datos. Cuando la ley requiera que ciertos documentos, registros o informaciones sean conservados, ese requisito quedará satisfecho, siempre que se pueda acceder posteriormente a partir de una evidencia digital (Técnicamente) 

1.4.5. Principio de no discriminación: asegura que no se denegarán a una firma sus efectos jurídicos, su validez o su ejecutabilidad por la única razón de que figure en formato electrónico. 

1.5. Firma autógrafa en un mensaje de datos: Es importante señalar que, en el mundo digital o electrónico no todas las firmas utilizan criptografía, tal es el caso de este tipo de firmas que parten de la grafología, que suponen que su uso es exclusivo de cada persona (solo yo puedo), es un elemento biométrico, y como tal no se puede robar, no se puede perder, pero claramente se pueden falsificar, además de ser regularmente definitiva, pues normalmente es difícil cambiar una firma autógrafa; para este tipo de firmas, lo que se tiene a la vista es lo que se está firmando.   

Así pues, por equivalencia funcional, esta firma autógrafa no necesariamente debe ser impuesta en un papel, también puede ser impuesta en un mensaje de datos, y no por ello deja de ser una firma autógrafa, pero contenida no en un papel sino en un mensaje de datos, en la pantalla de un dispositivo tecnológico.   

Esto quiere decir que para este tipo de firmas no es necesario el enrolamiento o autenticación en algún sistema o dispositivo, ni la generación de claves y contraseñas, ni mucho menos la intervención de un prestador de servicios de certificación acreditado. En consecuencia, el documento donde se imponga dicha firma es un mensaje de datos y, por tanto, es una prueba electrónica totalmente válida y ejecutable bajo el principio de no discriminación. Este modelo es muy usado por diferentes proveedores de tecnología, tal es el caso de DocuSign, OneSpan, Adobe Sign, etc., sin que esto signifique que estos mismos proveedores no ofrezcan servicios de firmas electrónicas o firmas digitales.    

1.5.1. ¿Es lo mismo la firma autógrafa en un mensaje de datos y una firma escaneada o una fotografía de una firma?  

En principio, es posible identificar a la escritura como un dato biométrico, sin embargo, una firma escaneada no contiene las características de autenticidad y de integridad señaladas en el principio de equivalencia funcional, y que son fundamentales para que pueda tener efectos jurídicos como firma electrónica. 

La firma escaneada es fácilmente suplantable, puede ser copiada y pegada virtualmente sobre cualquier documento, y no existe un mecanismo de autenticación en la firma escaneada, por lo que no es verificable que la persona que envío el mensaje es realmente esa persona. Respecto a la integridad, la información puede ser fácilmente modificada, por lo que la firma escaneada sin algún tipo de encriptación o cifrado del documento donde se imponga la firma, no es un mecanismo que pueda avalar que el contenido del documento se mantiene y, por ende, por si sola, no permite verificar la integridad.  

1.5.2 ¿Por qué, entonces, proveedores como DocuSign, OneSpan o Adobe Sign incluyen dentro de sus metodologías de firma la posibilidad de imponer el nombre en cursiva o una foto de una firma? 

La respuesta a este interrogante esta dado desde lo legal, y se deriva del entendimiento de una disposición de la Electronic Signatures in Global and National Commerce Act (The E-Sign Act) de Estados Unidos, que establece que la mera intención de firmar se considera una firma, luego, las evidencias que guardan estas plataformas de la fotografía de una firma o del nombre en cursiva, lo único que reflejan es la intención de firma del signatario. Situación que no se tiene como válida en Colombia y en otras jurisdicciones del mundo.   

Hasta aquí, he planteado aspectos generales que facilitarán al lector la comprensión de los temas que abordaré en la segunda entrega de este artículo, la cual desde ya invito a consultar en nuestro blog próximamente.  

Leave A Comment

You must be logged in to post a comment.