La digitalización de los flujos de trabajo en los procedimientos judiciales y mercantiles modernos es ya omnipresente. Un ejemplo notable son las reformas introducidas en los procedimientos civiles por el Real Decreto 6/2023, artículos 129 bis y 137 bis, por los que se introduce la regla general de que todos los actos procesales se realizarán preferentemente a través de medios telemáticos, en lugar de presencialmente (Palao, 2024, p. 194). Sin embargo, estos avances han generado una mayor preocupación para las partes que manejan documentación electrónica de forma habitual. Una cuestión destacada versa sobre la validez y fiabilidad de las firmas electrónicas. Pese a su practicidad y su uso de forma generalizada, los terceros proveedores de certificación digital siguen siendo objeto de un riguroso escrutinio tanto en la Unión Europea como en otros lugares. El objetivo de este artículo es analizar el marco jurídico en el que operan estos proveedores, principalmente en la Unión Europea, pero también, mediante una breve comparación, en el Reino Unido y América Latina.
Gracias a proveedores de servicios digitales como DocuSign -quizá el proveedor de certificación electrónica más utilizado, con presencia en 180 países-, hoy en día es habitual y muy práctico que los documentos oficiales, incluidos los contratos comerciales, sean firmados electrónicamente por todas las partes. Incluso los documentos que requieren la firma de testigos, como los testamentos, pueden ser completados digitalmente por proveedores como DocuSign. En Brasil, la ejecución de contratos digitales se reconoce como legalmente válida desde 2006, en virtud del artículo 2 de la Ley 11.419 / 06 sobre la digitalización del proceso judicial. De hecho, en ese momento, varios otros países de América Latina ya habían promulgado legislación en el mismo sentido, incluyendo Perú (Decreto Supremo N º 019-2002-JUS), Colombia (Ley 527 / 1999), y Argentina (Ley 25.506).
No obstante, quizá la normativa más estricta en materia de firma electrónica se encuentre en la Unión Europea, así como en el Reino Unido, que, tras el Brexit, se ha desmarcado muy poco de este ámbito del Derecho de la UE. En la Unión Europea, la firma electrónica está regulada por el Reglamento nº 910/2014 (también conocido como eIDAS, o, la identificación electrónica y los servicios de confianza) (en adelante, el «Reglamento»), que derogó la Directiva 1999/93/CE y, en su artículo 3, estableció dos tipos de prestadores de servicios de certificación digital de confianza: cualificados y no cualificados. Un servicio de certificación digital de confianza se define como:
“el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en: [i] la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o [ii] la creación, verificación y validación de certificados para la autenticación de sitios web, o [iii] la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios” (artículo 3, apartado 16).
Un prestador de servicios de certificación digital de confianza se define como “una persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado o como prestador no cualificado de servicios de confianza” (artículo 3, apartado 19). Y que dicho prestador de servicios esté habilitado o no depende simplemente de que cumpla con la normativa aplicable de la ley relativa a la firma electrónica (artículo 3, apartado 17).
En cuanto a la firma electrónica propiamente dicha, el Reglamento distingue entre i) firma electrónica, ii) firma electrónica avanzada y iii) firma electrónica reconocida. Según el artículo 3, apartado 11, la firma electrónica avanzada debe cumplir los cuatro requisitos siguientes, establecidos en el artículo 26:
- estar vinculada al firmante de manera única.
- permitir la identificación del firmante.
- haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo.
- estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
Por último, una firma electrónica reconocida se define como una firma electrónica avanzada ejecutada por un proveedor de servicios de certificación digital reconocido, es decir, un proveedor que puede garantizar que las firmas electrónicas realizadas con su software son seguras y están protegidas contra posibles falsificaciones, mediante algoritmos criptográficos, longitudes de clave y otras funciones. De hecho, una firma electrónica cualificada ofrece el mayor nivel de protección a las partes firmantes.
Al tratarse de un reglamento, y no de una directiva, esta legislación tuvo el efecto de aplicarse directamente a todos los estados miembros de la Unión Europea desde su entrada en vigor el 1 de julio de 2016, derogando así el margen de apreciación que la Directiva 1993/93/CE permitía a cada estado individualmente. El hecho de que el Reglamento se aplique a todos los estados miembros es crucial por lo establecido en el artículo 25, que establece que no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de su forma electrónica, ni siquiera por no cumplir los requisitos de una firma electrónica reconocida.
Del análisis anterior se desprende que la firma y la certificación electrónicas siguen estando fuertemente reguladas en la Unión Europea. De hecho, por lo que respecta a España, el Reglamento se complementa, además, con la Ley española 6/2020, que entró en vigor el 13 de noviembre de 2020. En su apartado III, se aclara que, para que un prestador de servicios de certificación digital sea válido, también debe estar incluido en la lista de prestadores de confianza (TSL) publicada por cada estado miembro en virtud del artículo 22 del Reglamento. En la TSL se incluye a SIGNATURIT SOLUTIONS, S.L.U. (pp. 905-918), prestador cualificado con más de 245.000 clientes, entre los que se encuentran TOSHIBA, IBERIA, Banco Santander, Deloitte y Banco Sabadell. El hecho de que la TSL española tenga 1.296 páginas demuestra lo extendido que está este movimiento de digitalización y lo complicado que es controlarlo. La tendencia a la certificación digital completa no tiene visos de remitir, por lo que queda por ver cómo los sistemas jurídicos harán frente al aumento de los riesgos de seguridad y de los costes regulatorios que dicho fenómeno conlleva.
Sebastian Ricks
Vilá Abogados
Para más información, contacte con:
26 de julio de 2024