El empleo del Big Data y la Inteligencia Artificial en los Consejos de Administración

Artículo de Teresa Vara, abogada de ECIJA.

El empleo de nuevas tecnologías como el Big Data y la Inteligencia Artificial es en la actualidad un elemento indispensable en el marco de la adopción de decisiones estratégicas y de negocio.

En particular, la utilización y aprovechamiento de estas posibilidades de gestión de datos masivos se ha convertido en un elemento esencial en el marco de la adopción de decisiones estratégicas en diversos sectores y, entre ellos, específicamente en el ámbito de las decisiones empresariales de negocio. Sin embargo, el uso de estas nuevas herramientas en la toma de decisiones por los órganos de administración de las sociedades plantea una serie de problemas/retos respecto a los deberes de actuación y al régimen de responsabilidad de los administradores.

En particular, desde el punto de vista del deber de diligencia de los administradores debe plantearse si los administradores de las sociedades, en cumplimiento de su deber de información (art. 225 de la Ley de sociedades de capital) están obligados a recabar la información en Big Data disponible y con la asistencia, en la medida de lo posible, de la Inteligencia Artificial. En este sentido, debe señalarse que los administradores, en cumplimiento del referido deber de diligencia, tienen el deber de exigir y el derecho de recabar de la sociedad la información adecuada y necesaria que le sirva para el cumplimiento de sus obligaciones y esta información, por tanto, debería incluir también la información obtenida empleando Big Data e Inteligencia Artificial, siempre que ello sea razonable y proporcional en relación con las decisiones que han de adoptarse y la capacidad de la empresa para invertir y acceder a estas nuevas tecnologías.

Por otro lado, en relación con la aplicación de la regla de protección de la discrecionalidad empresarial (art. 226 de la Ley de sociedades de capital) que establece que “el estándar de diligencia de un ordenado empresario se entenderá cumplido cuando el administrador haya actuado de buena fe, sin interés personal en el asunto objeto de decisión, con información suficiente y con arreglo a un procedimiento de decisión adecuado” cabe plantearse si, no recabar información en Big Data e Inteligencia Artificial aun estando ésta disponible, podría impedir que se aplique la regla de protección de la discrecionalidad empresarial al no actuar con “información suficiente”. En este sentido, siempre que en la adopción de decisiones estratégicas y de negocio los administradores hayan actuado disponiendo de información “suficiente” (junto al resto de requisitos o presupuestos), podrá entenderse que han cumplido con el estándar de diligencia exigible y, por tanto, que quedarán exonerados de responsabilidad por los daños que haya podido derivar de su actuación (aplicación de la regla de protección de la discrecionalidad empresarial). No obstante, podría entenderse que únicamente cuando el acceso a la información en Big Data e Inteligencia Artificial fuera determinante para la adopción de una concreta decisión y ello sea conocido para los administradores, podría considerarse que la actuación de los administradores sin haber recabado y tomado en consideración la información obtenida empleando las herramientas de Big Data e Inteligencia Artificial, no podría considerarse como actuación “con información suficiente” a efectos de aplicación de la referida regla de protección de la discrecionalidad empresarial.

En este punto cabe señalar también que los órganos de administración, cuando empleen el Big Data e Inteligencia Artificial en la toma de sus decisiones, deberán además adoptar las medidas de control y supervisión adecuadas para hacer frente a los riesgos que la utilización de estas tecnologías puede conllevar (veracidad de la información, protección de datos, ciberseguridad…) toda vez que no adoptar dichas medidas de protección y supervisión puede suponer también una infracción del deber de diligencia de los administradores.

En definitiva, sobre la base de que los órganos de administración de las sociedades no pueden ser ajenos al empleo de las nuevas fuentes de información y herramientas, sin embargo, deberá aplicarse el principio de proporcionalidad y tener en cuenta las circunstancias particulares de cada sociedad cuando el acceso a información empleando Big Data e Inteligencia Artificial sea determinante para la adopción de una concreta decisión estratégica y de negocio (o no pueda ser ignorado aplicando un mínimo de atención) y, en cualquier caso deberán adoptarse medidas de control y supervisión suficientes.

 

Cierre de oficinas bancarias y cajeros:  ¿Cómo evitar el fin del dinero en efectivo?

Tribuna de Javier Carrascal, abogado de ECIJA, para The Law Clinic

1. Introducción

Según los datos estadísticos del Banco de España[1], en 2015 el número de oficinas bancarias en España era de 31.087, mientras que, al término de 2021, esta cifra había descendido hasta las 19.104 oficinas, aproximadamente un 38,55% menos.

Pese a todo, según las estadísticas del Banco Central Europeo[2], los españoles seguimos eligiendo el dinero en efectivo como nuestro medio de pago favorito, de manera que en 2020 se estimó que el 83% de las operaciones de pago realizadas se ejecutaron en efectivo, frente a la media de la eurozona del 73%, representando éstas el 66% del valor total de las operaciones de pago realizadas frente al 48% de la eurozona.

Son muchas las razones por las cuales las personas eligen realizar pagos en efectivo. Por citar algunos ejemplos, algunas zonas de nuestra geografía carecen de una buena conexión a internet a través de la cual realizar pagos electrónicos con facilidad, mientras que en otros casos se realizan pagos a comercios que no disponen de una terminal de pagos virtual (TPV) o a beneficiarios que ni siquiera poseen una cuenta bancaria, caso que es especialmente frecuente entre menores. También, las personas pueden elegir el dinero en efectivo con la intención de salvaguardar su privacidad o por no estar acostumbradas al uso de las nuevas tecnologías (esta vez, el caso se da con mayor frecuencia entre la población envejecida).

2. ¿Por qué los bancos están cerrando sus oficinas y cajeros?

A pesar de los datos arrojados por el Banco Central Europeo en su estudio arriba citado, el dinero físico y los servicios presenciales nunca habían sido tan dispensables. El sólo gesto de sacar nuestro smartphone del bolsillo nos permite abrir cuentas corrientes, contratar créditos o emitir pagos instantáneos, por mencionar sólo algunos ejemplos.

En otro tiempo, tal vez los bancos no habrían optado por el cierre de sus oficinas, sin embargo, existen dos factores que presionan a los bancos a soltar el lastre que supone el mantenimiento de estas instalaciones.

En primer lugar, la rentabilidad de los bancos de la eurozona se ha mantenido muy reducida en los últimos años como consecuencia de los bajos tipo de interés. Por otro lado, durante estos años han proliferado múltiples prestadores de servicios de pago nativo-digitales o fintechs, que no deben soportar los gastos que conlleva la estructura titánica de la banca tradicional, lo que les permite bajar sus precios hasta niveles que los consumidores no habían visto antes. En definitiva, los bancos tradicionales se jugarán sus actuales cuotas de mercado si no comienzan a emprender las reformas necesarias.

3. Algunas medidas adoptadas para reducir el impacto de la limitación de acceso al dinero en efectivo

Por el lado de las administraciones públicas, y sin intención de analizar su efectividad o coste, se ha optado, principalmente, por las siguientes acciones:

• Ayudas a entidades financieras para la instalación y mantenimiento de cajeros automáticos;
• Instalación y mantenimiento de cajeros automáticos fijos por parte de la propia administración pública;
• Instalación y mantenimiento de cajeros automáticos en autobuses que circulan por distintas localidades, por parte de la administración pública.

En cuanto a las entidades financieras, las medidas propuestas consisten principalmente en el mantenimiento de las oficinas y cajeros automáticos cuyo cierre causaría un mayor impacto, además de ampliar los horarios de atención al cliente.

4. Otras alternativas para el acceso al efectivo basadas en la tecnología. El cashback y el cash in shop

El cashback consiste en que el cliente de un comercio minorista, tras haber adquirido un bien, solicite al comercio minorista (supermercados, gasolineras, etc.) que le facilite una determinada cantidad de dinero en efectivo.

El cashback no está regulado actualmente en la Unión Europea, dado que se excluye expresamente de las leyes de servicios de pago vigentes en los países miembros, armonizadas por la Directiva (UE) 2015/2366 («PSD2»), de 25 de noviembre de 2015.  Por tanto, cualquier empresa puede prestar este servicio con total libertad, ya que ni siquiera necesita estar registrada como entidad de pago, de tal manera que el cashback, a día de hoy, goza en España de una notable expansión.

El problema del cashback es que será necesario realizar una compra de forma previa a la retirada del efectivo, lo cual implica un gasto adicional y por tanto condiciona la libertad del individuo de recurrir a este servicio.

La posibilidad de retirar efectivo en comercios minoristas sin necesidad de adquirir un bien previamente es conocida como cash in shop, y en algunos países se está avanzando también en la desregularización de esta práctica. Por ejemplo, en el Reino Unido se ha propuesto la modificación de las Payment Services Regulations 2017 a fin de excluir el cash in shop de su ámbito de aplicación.

Por nuestra parte, la Unión Europea no parece estar valorando la liberalización de esta actividad, sin embargo, las leyes de servicios de pago vigentes en la Unión no prohíben el cash in shop, simplemente no lo excluyen de su ámbito de aplicación de forma expresa. Por ello, la concepción actual es que cash in shop podría llevarse a cabo siempre que se cumplan las obligaciones legalmente establecidas, tal y como se está empezando a hacer en algunos países de la Unión Europea, entre ellos, tímidamente, España, donde algunas entidades de pago ya están ofreciendo ese servicio.

Sin embargo, el Banco de España aún no se ha pronunciado sobre el cash in shop, cuestión ésta que aliviaría notablemente la incertidumbre de futuros inversores, acelerando la consolidación de estos servicios en nuestro entorno social, y especialmente en lo referente a si el cash in shop se subsume en el concepto de pago en efectivo, en cuyo caso quedaría también excluido del ámbito de aplicación de la PSD2, de forma que cualquier comercio minorista, sin ser entidad de pago, podría prestar este servicio.

5. Conclusiones

Las medidas adoptadas para reducir el ritmo de cierre de oficinas y cajeros no han logrado invertir esta tendencia, si bien sí la ralentizan. No obstante, la tecnología actual pone a nuestra disposición métodos de acceso al dinero en efectivo que nos permitirían superar la necesidad de tener cerca de nosotros un cajero automático.

En este caso, las del cashback y cash in shop facilitan la multiplicación de los puntos de acceso al efectivo hasta niveles no vistos antes.

[1] http://www.bde.es/webbde/es/estadis/infoest/a0447.pdf.

[2] EUROPEAN CENTRAL BANK (2020), Study on the payment attitudes of consumers in the euro area.

Sobre la dificultad de celebrar Juntas Generales exclusivamente telemáticas en sociedades cotizadas

Tribuna de Marina Torres, abogada de ECIJA

La situación extraordinaria derivada de la pandemia de COVID-19 en España en 2020 y 2021 determinó la adopción de un conjunto de medidas excepcionales y temporales dirigidas a facilitar el desarrollo de la actividad económica en un contexto de restricción a la libertad de movimientos por razones de interés público. Entre esas medidas se permitió que las juntas generales se celebrasen por vía exclusivamente telemática, es decir, excluyéndose la asistencia física de los socios y sus representantes (artículo 41.1.d) del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 y artículo 3 del Real Decreto-Ley 34/2020, de 17 de noviembre), limitándose por tanto el derecho de asistencia de los socios a las juntas generales de las sociedades de capital.

A partir de la experiencia adquirida durante la pandemia, la Ley 5/2021 incorporó al texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio («LSC») la posibilidad de que, con carácter general y ya sin vinculación a circunstancias excepcionales, puedan celebrarse juntas generales exclusivamente telemáticas cuando ello esté expresamente previsto en los estatutos sociales (artículo 182 bis LSC). Ello se prevé con carácter general para todas las sociedades de capital, sean sociedades de responsabilidad limitada o sociedades anónimas, estas últimas tanto no cotizadas como cotizadas (artículo 521.3 LSC).

Esta tendencia ya había sido recogida en el Código de Buen Gobierno de las sociedades cotizadas reformado parcialmente por la CNMV en junio de 2020, que completó la Recomendación 7 del mismo, estableciendo que las sociedades cuenten con mecanismos que permitan la delegación y el ejercicio del voto por medios telemáticos e incluso, tratándose de sociedades de elevada capitalización y en la medida en que resulte proporcionado, la asistencia y participación activa en la Junta General.

Si bien la mayoría de las sociedades cotizadas han incorporado a sus estatutos en 2021 la posibilidad de celebrar juntas generales con asistencia telemática de los accionistas y sus representantes, así como juntas exclusivamente telemáticas, o lo van a hacer en sus juntas de 2022, lo cierto es que en la práctica se plantean numerosas dificultades para el cumplimiento de los requisitos establecidos en los artículos 182 bis y 521.3 LSC para la celebración de juntas exclusivamente telemáticas, que son más exigentes y técnicamente complejos que los previstos en la normativa excepcional aplicable en 2020 y 2021.

En este sentido, la LSC exige para celebrar juntas exclusivamente telemáticas que «todos los asistentes puedan participar efectivamente en la reunión mediante medios de comunicación a distancia apropiados, como audio o video, complementados con la posibilidad de mensajes escritos durante el transcurso de la junta, tanto para ejercitar en tiempo real los derechos de palabra, información, propuesta y voto que les correspondan, como para seguir las intervenciones de los demás asistentes por los medios indicado», debiendo los administradores «implementar las medidas necesarias con arreglo al estado de la técnica y a las circunstancias de la sociedad, especialmente el número de sus socios».

Dado que la convocatoria de la junta para su celebración de forma exclusivamente telemática impide que el socio pueda asistir físicamente, han de extremarse las medidas para facilitar que todos los socios puedan asistir por la única vía posible en ese caso, es decir, por medios de comunicación a distancia. De este modo, el órgano de administración ha de adoptar las medidas necesarias para garantizar que se ponen a disposición de todos los socios los mecanismos adecuados que les permitan asistir telemáticamente como si estuviesen físicamente presentes en la reunión. Adicionalmente, han de preverse también medios que permitan el envío y la recepción de mensajes en tiempo real (artículo 182 bis.3 LSC), una exigencia legal que sin embargo no se prevé en el supuesto de juntas «híbridas», es decir, con asistencia tanto física como telemática de los socios y sus representantes.

Precisamente porque los socios no tienen la alternativa de asistir físicamente, no se permite en el caso de las juntas exclusivamente telemáticas la restricción de los derechos de los socios que, en cambio, sí se admite en el supuesto de las juntas híbridas. En particular, mientras que el artículo 182 LSC permite que los administradores determinen que las intervenciones y propuestas de acuerdo que tengan intención de formular quienes vayan a asistir por medios telemáticos «se remitan a la sociedad con anterioridad al momento de la constitución de la junta», esta posibilidad no se admite en el caso de las juntas exclusivamente telemáticas en las que ha de posibilitarse al socio que pueda realizar sus intervenciones −incluyendo el ejercicio de su derecho de información durante la junta− y formular propuestas en tiempo real durante la celebración de la reunión (artículo 182 bis.3 LSC).

A su vez, los problemas técnicos que pueden plantearse durante la celebración de la reunión en relación con la conexión de los asistentes y su desconexión sobrevenida no voluntaria pueden afectar al propio desarrollo de la reunión y, eventualmente, también a la validez de los acuerdos que se adopten en la misma. En este sentido, las desconexiones sobrevenidas no deben asimilarse al abandono voluntario de la reunión. En este sentido, si a la Mesa le constase la imposibilidad transitoria de conexión por razones involuntarias de uno o varios de los asistentes, deberán realizarse los mejores esfuerzos para conseguir que la conexión se restablezca y todos los asistentes puedan seguir y participar en la reunión, pudiendo para ello proponer la prórroga de la reunión (artículo 195 LSC), todo ello para evitar que pueda considerarse como una privación del derecho del socio a asistir a la reunión que, en atención a las circunstancias del caso, pudiera permitir la impugnación de los acuerdos sociales.

En definitiva, en grandes sociedades con un elevado número de socios, y especialmente en las cotizadas, el cumplimiento de los requisitos establecidos legalmente para la válida celebración de una junta exclusivamente telemática plantea importantes problemas prácticos de tipo organizativo y operativo, con la consiguiente inseguridad jurídica que ello produce, razón por la que, junto con la ausencia hasta este momento de criterios judiciales en relación con la interpretación y aplicación del nuevo régimen legal, la mayor parte de las sociedades cotizadas están convocando sus juntas generales ordinarias de 2022 bajo la modalidad de junta híbrida.

Uso de tecnologías de reconocimiento facial de Clearview: de su prohibición en Italia a su despliegue en el conflicto ucraniano

Tribuna de Elena Peña, abogada de ECIJA, para The Law Clinic.

La controvertida startup estadounidense Clearview acumula sanciones en materia de privacidad en numerosos países mientras defiende su modelo de negocio y ofrece su uso de manera gratuita al gobierno de Zelenski. A continuación, analizamos su tecnología e implicaciones

Los usuarios estamos cada vez más acostumbrados al uso de tecnologías de reconocimiento facial en nuestro día a día, desde para desbloquear el teléfono hasta en el marco del proceso de control de pasaportes en los aeropuertos. Ello, unido a la creciente exposición en Internet de nuestra información, supone que surjan empresas que traten nuestros datos personales más allá de nuestras expectativas.

Un ejemplo claro es el de Clearview AI, una startup estadounidense de reconocimiento facial, que desde su creación en 2017 ha ido acumulando sanciones en materia de protección de datos en distintos países, desde Australia, a Canadá y, recientemente, Italia.

Desde su creación Clearview ha utilizado técnicas de web scraping para obtener imágenes faciales disponibles en Internet, gracias a lo cual ha llegado a construir una base de datos que ellos mismos cifran en alrededor de 10.000 millones de imágenes faciales. Estas imágenes las obtienen de perfiles abiertos en redes sociales como Facebook, Twitter, LinkedIn o Instagram, medios de comunicación, webs públicas e incluso de plataformas de vídeo como YouTube.

A partir de esta base de datos, Clearview ofrece a sus clientes un motor de búsqueda por reconocimiento facial. De esta forma, una empresa usuaria de su plataforma puede subir una foto de un individuo, que será tratada por la Clearview para obtener el patrón biométrico del individuo, y posteriormente comparar este con la base de imágenes obtenidas de Internet mediante un proceso de verificación 1 a N (uno a muchos). La empresa usuaria recibe como respuesta un listado de las coincidencias detectadas, acompañado de enlaces para acceder a la página donde las imágenes se encuentran publicadas, así como metadatos asociados que hubiera disponibles. Por ejemplo: el título de la imagen o página web, la geolocalización, el sexo o la fecha de nacimiento).

Aunque la compañía inicialmente comercializaba sus servicios a organismos policiales de todo el mundo (se calcula que alrededor de 1.800, entre los que destaca, por ejemplo, el FBI), ha ampliado su mercado y en la actualidad entidades privadas, tales como Walmart o Macy’s, se listan entre sus clientes.

A diferencia de otras herramientas de búsqueda a las que argumentan que se asimilan, como puede ser Google, el cotejo realizado por Clearview no es respecto a imágenes disponibles en Internet en el momento de la consulta, sino que se realiza respecto a su propia base de datos que alimenta progresivamente. De esta forma, Clearview conserva las imágenes faciales extraídas y las URL correspondientes incluso después de que la URL original de la imagen en línea o de la página web correspondiente haya sido eliminada. Esto supone, por ejemplo, que en el caso de un individuo que hubiera publicado una foto en su perfil público de Instagram, y que posteriormente borrara la foto o hiciera su perfil privado, la misma se mantendría almacenada en las bases de Clearview.

El modelo de negocio de Clearview ha sido analizado por numerosas autoridades de control en materia de protección de datos, tales como la francesa (CNIL), la británica (ICO, actualmente con un procedimiento sancionador abierto con una sanción potencial de 17 millones de libras), la australiana (OAIC), la sueca o la autoridad competente de Hamburgo. Encontrándose deficiencias en relación con el cumplimiento de sus respectivas normativas de aplicación en protección de los datos personales y la privacidad de sus ciudadanos.

Por ser la más reciente, y por la cuantía fijada como sanción, reviste especial relevancia el análisis realizado por la autoridad italiana, el Garante per la Protezione dei Dati Personali (en adelante, el “Garante”) en su Resolución contra Clearview AI de 10 de febrero de 2022.

Antes de profundizar en el detalle de los incumplimientos detectados, es interesante comentar la interpretación realizada por el Garante de la aplicabilidad del RGPD a Clearview, y su consiguiente competencia para sancionar a la entidad. Así, conforme Clearview alegó, la empresa no cuenta con establecimientos en la Unión Europea, y desde que en 2020 despertara las suspicacias de los reguladores y se le impusieran las primeras sanciones, Clearview no oferta sus servicios a clientes europeos, habiendo incluso adoptado medidas técnicas para evitar el acceso a su plataforma desde IPs europeas.

En este punto el Garante se acoge al denominado criterio de selección de destinatarios (art. 3.2 RGPD) para concluir que la actividad de Clearview se encuentra dentro del ámbito territorial del Reglamento General de Protección de Datos (RGPD). En primer lugar, considera que Clearview sí que ofrece sus servicios a interesados en la UE (art. 3.2.a) RGPD), ya que hasta 2020 existieron cuentas de prueba de agencias gubernamentales europeas, y en su propia política de privacidad hasta el inicio del procedimiento sancionador Clearview incluía información dirigida a ciudadanos europeos (información sobre transferencias de datos fuera del Espacio Económico Europeo, o sobre la posibilidad de interponer reclamaciones ante las autoridades europeas de protección de datos). En segundo lugar, conforme a la interpretación del Garante, Clearview realiza un control del comportamiento de personas en la UE (art. 3.2.b) RGPD), teniendo en cuenta que las imágenes faciales que almacena se enriquecen a lo largo del tiempo, reflejando los cambios físicos de una misma persona, y sobre todo considerando que la finalidad del tratamiento de datos realizado por Clearview es la de comparar, evaluando aspectos personales relativos a una persona física.

En consecuencia, el Garante concluye que Clearview lleva a cabo un tratamiento sometido al RGPD, lo que supone que esta autoridad tiene competencia para sancionar a la compañía.

Una vez solventada la problemática de la jurisdicción, el Garante aclara que, al contrario de lo defendido por Clearview y de conformidad por lo ya alegado por el Supervisor Europeo de Protección de Datos[1], la compañía actúa en todo caso como responsable del tratamiento, y no como encargado de tratamiento, ya que decide de forma autónoma sobre los fines y los medios del tratamiento.

Tras analizar el modelo de Clearview, el Garante detecta los siguientes incumplimientos de la normativa de protección de datos europea:

• Principio de lealtad y transparencia (art. 5.1.a) RGPD): las personas no son conscientes ni esperan que sus imágenes sean tratadas en el contexto del servicio provisto por Clearview, ni están informadas de sus actividades.
• Principio de limitación de la finalidad (art. 5.1.b) RGPD): el posible carácter público (accesible) de las imágenes faciales no es suficiente para considerar que las personas puedan esperar razonablemente que se utilicen con fines de reconocimiento facial, además por parte de una plataforma privada, no establecida en la UE y de cuya existencia y actividad la mayoría de los interesados no son conscientes.
• Principio de limitación del plazo de conservación (art. 5.1.e) RGPD): Clearview conserva la información en su base de datos de manera indefinida, procediendo a su borrado únicamente a petición expresa del interesado.
• Principio de licitud (arts. 6 y 9 RGPD): la compañía no cuenta con ninguna base de legitimación en la que amparar el tratamiento. Adicionalmente, son objeto de tratamiento datos biométricos que identifican de manera unívoca a una persona, y, por lo tanto, datos de categoría especial, sin que aplique ninguna de las circunstancias previstas en el art. 9 RGPD que permiten su tratamiento.
• Asimismo, se identifican deficiencias en la gestión de ejercicios de derechos, y se sanciona la falta de representante de Clearview en la Unión Europea, al no contar con establecimiento en el territorio.

Lo anterior resultó en la imposición por parte del Garante de una multa pecuniaria de 20 millones de euros, y la prohibición del tratamiento de datos de interesados en territorio italiano por parte de Clearview. Ello implica tanto que no se sigan tratando los datos existentes en la base de datos de Clearview, como la no recogida de imágenes y metadatos conexos relativos a personas que se encuentren en el territorio italiano.

A pesar de que el uso de esta polémica tecnología de reconocimiento facial está siendo perseguida en los países con normativas más robustas en materia de protección de datos, habiéndose detectado importantes riesgos para la privacidad y protección de datos, la realidad es que la entidad sigue creciendo, atrayendo numerosos y potentes inversores, y su uso se generaliza por los organismos policiales de algunos territorios.

Recientemente, en el contexto de la guerra en Ucrania, Clearview ha ofrecido el uso de su plataforma de manera gratuita al gobierno ucraniano. Las finalidades para las cuales el gobierno de Zelenski usará esta tecnología no son conocidas todavía, pero pueden abarcar desde fines menos peligrosos, como la identificación de fallecidos o reunir a familias de refugiados, a fines más controvertidos como la identificación de ciudadanos rusos. Contando Clearview con 2.000 millones de imágenes faciales obtenidas de la red social rusa VKontakte.

Tecnologías como la de Clearview pueden crearse con las mejores intenciones, pero teniendo en cuenta los riesgos para la privacidad y protección de datos que plantean, requieren de un marco legal definido y eficaz a nivel global del que en la actualidad se carece. Mientras tanto, los ciudadanos europeos podemos beneficiarnos del marco regulatorio más protector del derecho fundamental a la protección de datos, el cual gracias a sus mecanismos de aplicación extraterritorial puede mitigar los riesgos como los planteados por tecnologías como la de Clearview en el marco de la Unión.

[1] https://edps.europa.eu/system/files/2022-01/21-03-29_edps_opinion_2020-0372.pdf

Identificación previa para el registro en redes sociales: ¿fin del anonimato en internet?

Tribuna de Rubén Lahiguera, abogado de ECIJA, para The Law Clinic.

Todo son ventajas en Internet. O, al menos, eso parece. Acceso a información ilimitada, a recursos inimaginables. La fuente inagotable de contenido, pero también el altavoz más potente que existe, donde siempre importa lo que uno pueda decir o pensar…y donde, en consecuencia, encontraremos una (o más de una) respuesta, aunque no sea siempre de nuestro agrado.

 

En particular, las redes sociales han conseguido, entre otras cosas, modificar nuestra forma de relacionarnos, dar voz a multitud de personas y, además, generar ingentes cantidades de beneficios. Todo ello a cambio de un simple requisito: el registro del usuario a través de una cuenta o perfil. Como norma general, dicho registro se configura como gratuito, facilitando la popularidad de estos medios en Internet, lo cual los ha convertido en un catalizador de importantes movimientos sociales, culturales y, sobre todo, políticos.

En este sentido, han proliferado ciertas conductas en estas plataformas que pueden considerarse, como mínimo, reprochables en una sociedad democrática: descalificativos, insultos, humillaciones y, en muchos casos, verdaderas amenazas y agresiones verbales, por no hablar de conductas de suplantación de identidad a través de las conocidas como cuentas fake o cuentas falsas, gracias al fácil acceso de los usuarios a la imagen de terceros y otros datos personales (la denominada por algunos como “huella digital”).

A fin de combatir esta lacra, ha sido registrada en el Senado una Proposición de Ley con el objetivo de modificar la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (“LSSI”), que contiene algunas de las propuestas que se detallan a continuación.

Deber de identificación

Esta Proposición obligaría a determinados prestadores de servicios a identificar a cada uno de los perfiles y cuentas de usuario, mediante el Documento Nacional de Identidad o el Pasaporte. Sin embargo, en el texto no se especifica el alcance de esta labor de identificación ni si dichos datos identificativos constarán accesibles al resto de usuarios de la plataforma correspondiente. Esta cuestión es esencial para determinar el impacto para la privacidad en los usuarios de dichas plataformas. De este modo, atendiendo al fin último de la proposición, esto es, identificar y, por tanto, poder atribuir a un sujeto concreto una conducta típica, atajando la impunidad en Internet, parecería suficiente con que, únicamente, la plataforma correspondiente llevara a cabo dicha identificación internamente sin su divulgación a terceros.

En este sentido, las técnicas de seudonimización se configurarían como idóneas para dar cumplimiento a la normativa sobre protección de datos, de modo que la información adicional que pudiera permitir una posible reidentificación fuese accesible, exclusivamente, con ocasión de la comisión de conductas ilícitas, sin perjuicio de que, para dotar de mayor seguridad a esta iniciativa, las conductas que pudieran activar este proceso fueran, necesariamente, objeto de mayor concreción.

Responsabilidad de los prestadores de servicios de almacenamiento de datos

El artículo 16 de la LSSI dispone ciertos supuestos de exención de responsabilidad de los prestadores de servicios de almacenamiento de datos fundamentados en el conocimiento efectivo de las actividades ilícitas y en la diligencia debida en su retirada o denegación de acceso cuando hubieran tenido conocimiento de aquellas. Sin embargo, con esta Proposición, se añaden ciertas circunstancias en las que no operará esta exención. A saber:

 

a) cuando la plataforma no disponga de la identificación del individuo que almacena los datos; o

 

b) cuando no disponga de los medios tecnológicos adecuados para identificar a dicho individuo.

Desde la perspectiva de privacidad, estos requisitos se sumarían a los que estos prestadores deben observar para dar cumplimiento a las obligaciones de protección de datos desde el diseño y por defecto, así como las relativos a la seguridad del tratamiento de datos personales.

 

Régimen sancionador

De acuerdo con la citada Proposición, la falta de identificación de los sujetos, según lo dispuesto anteriormente, está calificada como una infracción muy grave, la cual puede acarrear, según lo dispuesto en el artículo 39 de la LSSI, multas de hasta 600.001 €.

Sin duda, se trata de una calificación con un claro objetivo disuasorio, sin perjuicio de las dudas sobre la proporcionalidad en esta calificación, considerando el resto de las conductas tipificadas como infracción.

Conclusiones

Con la incorporación de esta obligación para los proveedores de servicios de almacenamiento se produciría, indudablemente, un tratamiento de datos personales por parte de estos derivado de la obligación a la que se encontrarían sujetos si la Proposición es aprobada finalmente. Sin embargo, contrariamente al impacto mediático de esta iniciativa, no parece llevarse a cabo un tratamiento de datos personales de naturaleza sensible, esto es, referidos a categoría especiales de datos (orientación sexual, salud, afiliación política o creencia religiosa, etc.) o relativos a infracciones penales.

Cuestión distinta es que la medida pueda considerarse desproporcionada atendiendo al principio de minimización de datos, siempre que existan métodos alternativos que supongan alcanzar la misma finalidad (poder atribuir una conducta concreta a un usuario) tratando menos datos personales.

Algunas voces consideran que esta medida supondría el fin del anonimato en internet, el cual, en algunos casos, se ha configurado como un verdadero derecho en la era digital, quizás confundido con el derecho de la protección de datos personales y, concretamente, a no verse sometido a tratamientos indeseados (tradicionalmente relacionados con el marketing directo)

Por su parte, muchas otras entidades del sector digital, sin embargo, incorporan ya este tratamiento para combatir el fraude y otras prácticas indeseadas, implementando las medidas de necesarias para garantizar la seguridad de los datos personales. Aplicaciones relacionadas con el sector financiero, de transporte colaborativo, e incluso del sector sanitario, solicitan el DNI como método de verificación del usuario en sus procesos de registro.

En definitiva, ante las numerosas dudas que despierta esta Proposición, cabe preguntarse, por una parte, ¿cuáles serán las consecuencias prácticas para el usuario declarado infractor de cualquier conducta delictiva, más allá de las propias en vía jurisdiccional? ¿se limitaría indefinidamente el acceso a redes sociales? Y por otra, ¿supone esta medida una colisión con el derecho a la libertad de expresión? ¿y con el derecho a la protección de datos? O incluso ¿la ausencia de anonimato constituye un límite a la libertad de expresión? Legisladores, hagan juego.

Compliance, el delito de estafa y el deber de autoprotección de las personas jurídicas

Tribuna de Valvanera Campos, abogada de ECIJA

Recién inaugurado el año 2022 es  público y notorio las ventajas que aporta la implantación de un programa de compliance a la hora de delimitar la responsabilidad a las personas jurídicas. Por tanto, no es baladí ni reiterativo recordar su importancia en aras de evitar lo que se denomina como la “autopuesta en peligro” de las empresas en los casos en los que se permite o se llega a pasar por alto ciertos mecanismos de control escudándose en la confianza depositada en sus empleados.

 

La reciente Sentencia del Tribunal Supremo nº 904/2021, de 24 de Noviembre de 2021, nos viene a recordar como las mercantiles perjudicadas no pierden su carácter de víctimas pese a la falta de implantación de mecanismos de compliance en su organización. Si bien el compliance se presenta como un programa de cumplimiento voluntario, únicamente tendente a favorecer a la propia empresa, el incumplimiento o dejación de sus deberes de autoprotección puede llegar a jugar en contra de la mercantil y desplazar la culpa de los ilícitos penales que se cometan por sus empleados en el seno de su organización.

En el supuesto de hecho de la sentencia citada, nos encontramos, principalmente, con la comisión de un delito continuado de estafa por una trabajadora de dos empresas, quien, aprovechándose de sus visitas periódicas a sucursales bancarias en el Banco Santander y Caixabank, y valiéndose de la confianza adquirida con los empleados, solicitaba la entrega de talonarios de cheques, a pesar de no ser la titular de las cuentas ni tener autorización. Obtenidos de esta forma, procedía a manipular los registros contables de la sociedad, llegando a defraudar una cantidad de más de un millón de euros durante los diez años que se tardó en detectar la dinámica fraudulenta.

Antes de proceder a un análisis más exhaustivo, adelantar que las entidades bancarias también han sido condenadas como responsables civiles subsidiarias por la actuación negligente de sus empleados al incumplir los mínimos de verificación impuestos en su normativa interna.

La principal cuestión jurídica sobre la que se quiere incidir la encontramos en el primer motivo del recurso de casación planteado por la defensa de la acusada: ¿la falta de este deber de autoprotección de las empresas puede llevar a no apreciar los elementos del tipo del delito de estafa? Depende.

No es la primera vez que se plantea, tanto por la doctrina como por sentencias anteriores, si es posible hablar de “engaño bastante[1]”, elemento del tipo necesario en todo delito de estafa, en los casos en los que podría haberse evitado con una actuación diligente por parte de la víctima (en este caso sería advirtiendo las falsedades asentadas en la contabilidad, al estar las cuentas a su alcance y los cargos injustificados podían consultarse en la cuenta bancaria de la que tenían permanente acceso).

El engaño, en principio, podría ser considerado como “bastante” cuando es capaz de vencer los mecanismos de autoprotección que le son exigibles a la víctima, pero ¿y si no existen esos mecanismos de autoprotección?.

En STS nº1024/2007 de 30 de Noviembre 2007 se establece que “en aquellos casos en los que la propia indolencia y un sentido de la credulidad no merecedor de tutela penal hayan estado en el origen del acto dispositivo, es entendible que se niegue el juicio de tipicidad que define el delito de estafa”.

En consecuencia, en estos juicios de idoneidad es indudable la importancia que tiene el principio de autorresponsabilidad como delimitador de la idoneidad típica del engaño en el delito de estafa, debiéndose entender que una “confianza plena” o un “cheque en blanco” a favor de sus empleados desvirtúan el elemento del tipo objetivo del delito de estafa.

Me atrevo a afirmar que, si bien debe analizarse caso por caso, los delitos de estafa cometidos en el seno de la empresa no pueden quedar impunes escudándose en un abuso de confianza o falta de implantación del compliance en la empresa perjudicada. Así lo declara el Tribunal Supremo:

“una cosa es que las empresas estén hoy en día adoptando e implementando programas de compliance, cada vez en mayor medida por la alta especialización de profesionales que lo están trasladando al sector empresarial a fin de evitar fraude interno -como aquí ha ocurrido- y externo con estos mecanismos de vigilancia, y otra bien distinta es que sea el autor de un delito de estafa quien marque los parámetros y medidas que debe adoptar la empresa para protegerse, y que si no se hace en una elevada graduación de autotutela quedará exonerado el autor del ilícito penal, lo que, obviamente, no puede admitirse”(…)

Si bien esto debe ser matizado. El delito de estafa no incluye como requisito típico otras exigencias de autoprotección adicionales de las que están implícitas en la expresión “engaño bastante”. Es decir, este engaño debe ser adecuado y no permitido tácitamente por la empresa para desplegar el error en el tercero, no bastando una simple negligencia en la organización de la empresa para descartar el delito de estafa. En este caso, así fue, el perjuicio patrimonial se produjo y por la complejidad de la operativa únicamente pudo detectarse el fraude mediante una auditoría externa. Por lo tanto, no hubo negligencia grave o permitida, desestimándose el motivo de casación de la defensa en aras de desvirtuar el delito de estafa.

 

Por lo tanto, la propia inexistencia de una medida de «autoprotección» de la empresa con el programa de cumplimiento normativo, no puede entenderse más allá que un propio error interno de la empresa que solo puede favorecerle, no perjudicarle de manera directa, y por tanto, debe quedar claro que, que haya tenido más o menos facilidad para eludir los mínimos o mayores controles internos, no reduce el quantum de la estafa ni mucho menos puede desplazar su autoría.

En este sentido, encontramos sentencias[2] del Alto Tribunal  recordando que “un robo sigue siendo un robo aunque la víctima se haya comportado despreocupadamente con sus cosas”. Sin embargo, esta declaración no debe tomarse en términos absolutos especialmente en el caso de las personas jurídicas, y debe invitar a la reflexión respecto al alcance del deber de autorresponsabilidad, especialmente en aquellas que no cuenten con un programa de compliance.

[1] STS 1276/2006 de 20 de Diciembre de 2006 define el engaño bastante como: “Se añade que el engaño sea bastante para producir error en el otro (STS 29.5.2002) es decir que sea capaz en un doble sentido: primero para traspasar lo ilícito civil y penetrar en la ilicitud penal, y en segundo lugar, que sea idóneo, relevante y adecuado para producir el error que genera el fraude, no bastando un error burdo, fantástico o inaccedible, incapaz de mover la voluntad de las personas (…)”

[2] STS 162/2012, de 15 de marzo y 243/2012 de 30 de Marzo.

Validez de la firma electrónica

Tribuna de Lara Puyol, abogada de ECIJA

Actualmente las operaciones o contrataciones a distancia forman parte de nuestro día a día, tanto desde el punto de vista laboral (si eres empleado o empresa), como desde el punto de vista de contratación de productos o servicios con entidades bancarias, aseguradoras, etc. En este sentido, es evidente que estamos cada vez más acostumbrados a gestionar este tipo de operaciones a través de medios electrónicos o desde entornos on-line.

La firma electrónica es, hoy en día, un instrumento fundamental mediante el que las organizaciones y ciudadanos llevan a cabo multitud de operaciones, pero ¿tiene la misma validez cualquier tipo de firma plasmada en formato electrónico? ¿Cómo debe ser una firma electrónica para que surta plenos efectos jurídicos sobre el documento que se está firmando? ¿Qué dice nuestra normativa al respecto?

Algunas sentencias relevantes    

Recientemente, hemos conocido casos en los que se evaluaba la validez de la firma presentada en el marco de distintas operaciones y que sirven de referencia para conocer cuáles son las cuestiones que se están planteando ante los tribunales.

Falta de pruebas que acrediten la firma electrónica

En enero de 2021 conocimos una sentencia en la que la Audiencia Provincial de Lleida revocaba la sentencia de primera instancia y absolvía a la demandada del pago de la cantidad reclamada por no poder probar (por la entidad crediticia) que la firma que consta en el contrato es efectivamente de la demandada. Cabe recordar que, de acuerdo con el artículo 326. 2 de la Ley de Enjuiciamiento Civil, cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado puede pedir cualquier medio de prueba que resulte útil y pertinente al efecto.

Pues bien, el sistema utilizado para llevar a cabo la firma  (DocuSign) resultó no ser suficiente para acreditar que el firmante es quien dice ser. En concreto, dicho sistema consistía en el envío de los documentos objeto de firma por correo electrónico a su destinatario para que este los firme y devuelva, electrónicamente, el documento firmado. El aspecto clave en este caso es la ausencia de autenticación del firmante puesto que, queda acreditado que el sistema no utiliza medios de autenticación reforzada del firmante y, por tanto, en ningún momento se comprueba que quien recibió el correo para la firma del documento y quien lo envía con posterioridad firmado, es efectivamente la misma persona.

La sentencia concluye que estamos ante un simple documento privado cuya firma  enviada por medios electrónicos no había podido ser acreditada ni constatada por quién la impugnó por ausencia de pruebas en la autenticación del firmante que constatasen que la firma realizada corresponde a la persona que efectivamente debía firmar.

SAP L 54/2021 – ECLI:ES:APL:2021:54

Uso de certificado cualificado de firma en un documento que es escaneado

Por su parte, una Sentencia del Tribunal de Justicia de mayo de 2020, declaró inadmisible la presentación de un recurso por falta de firma manuscrita.  Y es que, según declaró este Tribunal, las firmas que aportaban los abogados en el documento (se trataba de una demanda), que tenían apariencia de firma manuscrita, indicaban en el propio documento en papel “Firmadas digitalmente por [ Nombre del Abogado]”. En este caso, el documento original objeto de firma se entregaba en soporte papel y los abogados que firmaron la demanda lo hicieron con sus certificados electrónicos imprimiendo los documentos para su entrega.

El Tribunal de Justicia declaró que los datos relativos a esas firmas eran meras menciones impresas, por lo que no cabía considerar que las mismas supusieran una firma electrónica cualificada como alegó la parte recurrida, puesto que la demanda no se presentaba por medios electrónicos. Reforzando el argumento de Tribunal este concluyó que, aunque las firmas tenían apariencia de ser firmas manuscritas e incluían la fecha y hora del momento de la misma (de acuerdo con el uso de certificados cualificados de firma electrónica), las firmas incluidas resultaban imágenes escaneadas de dichas firmas, y por tanto las mismas eran meras impresiones en papel de un documento electrónico. Por todo ello, este Tribunal negó el hecho de considerar las mismas firmas electrónicas cualificadas o firmas manuscritas, teniendo así consideración de firmas escaneadas, careciendo de los efectos jurídicos que sí puede ofrecer una firma electrónica cualificada.

C-309/19 P: Asociación de fabricantes de morcilla de Burgos/Comisión

Firma en el marco de un contrato laboral

En la misma línea, otra sentencia dictaminó, en el marco de un contrato laboral de un jugador de futbol profesional, que la firma escaneada y enviada por correo electrónico no resultaba admisible, en ningún caso, dentro del ámbito en el que se desarrolló (contrato laboral) alegándose que una firma de estas características es fácilmente manipulable, no pudiendo acreditarse fehacientemente que el firmante es quién dice ser.

Roj: SJSO 16/2017 – ECLI: ES:JSO:2017:16

Cabe señalar que, en el ámbito laboral, es especialmente recomendable utilizar una firma cualificada que es la que ofrece más garantías de autoría, integridad y autenticidad del consentimiento prestado por el firmante y se equipara a la firma manuscrita. Y es que esta firma supone un paso adicional en la legitimidad, seguridad y control de la firma electrónica, cumpliendo con los requisitos de la firma avanzada pero además es creada mediante un dispositivo cualificado de creación de firmas electrónicas y está basada en un certificado cualificado de firma electrónica (emitido por un prestador de servicios cualificado). Sin embargo, en el ámbito privado, no resulta obligatoria por lo que el uso de cualquier otra firma que no presente los requisitos exactos de una firma cualificada, no debe invalidarse por defecto.

De los casos anteriormente expuestos puede deducirse que uno de los aspectos clave a tener en cuenta cuando queremos realizar operaciones vía electrónica, es contar con las evidencias suficientes que puedan acreditar en definitiva la autenticidad del firmante y la integridad del documento firmado. Pero ¿qué aspectos deberíamos conocer para valorar si estamos ante la firma electrónica que regula nuestra normativa?

Consideraciones respecto a la validez de la firma electrónica

La firma electrónica persigue garantizar, igual que la firma manuscrita tradicional, la autoría de la firma y la integridad del documento asociado a ésta, de manera que se genere una confianza suficiente hacia terceros respecto al firmante que está vinculado al documento electrónico objeto de la firma. En definitiva, trata de garantizar la identidad del firmante, el no repudio y la autenticidad e integridad del documento firmado. De estos elementos, dependerá precisamente el nivel de eficacia y validez de la firma electrónica realizada en el marco de una operación concreta.

Partiendo de estas premisas, cabe diferenciar lo que sería una firma electrónica regulada por nuestra normativa principal en la materia (Reglamento (UE) Nº 910/2014, o reglamento “eIDAS ) y una firma digitalizada, esto es, aquella que se genera por la conversión del trazo de una firma en una imagen (como puede ser, la que obtienes una vez la escaneas el documento en cuestión, en línea con los casos citados). Si bien, aunque las firmas digitalizadas son legales, lo cierto es que, como hemos podido ver en los casos antes expuestos, no ofrecen garantía respecto a la identidad del firmante por si solas.

En la práctica, nuestra normativa regula la firma electrónica simple o básica (aunque no tiene esta denominación oficial por nuestra normativa) como puede ser, el uso de un usuario y contraseña, por otro lado,  la firma avanzada (cumpliendo los requisitos del artículo 26 de eIDAS) y la firma cualificada (basada en un certificado cualificado y que es creada mediante un dispositivo seguro de creación de firma), teniendo la primera, el nivel más bajo de seguridad y por tanto siendo más complicado acreditar las garantías de seguridad de la firma y, la firma cualificada la que presentaría un nivel de  seguridad más alto, cuyos efectos se equiparan a la firma manuscrita.

No obstante, debe tenerse presente que el hecho de que una firma esté en formato electrónico o no cumpla con los requisitos de una firma electrónica cualificada, no supone que la firma no pueda ser admitida como prueba por un juez, tal y como indica el considerando 49 de eIDAS.

Según lo anterior, dependiendo de la relevancia y las obligaciones jurídicas de la transacción u operación que queramos realizar, podrá ser suficiente una firma simple o, por el contrario, ser más recomendable utilizar una firma avanzada o cualificada.

Requisitos de una firma avanzada

En el marco de un proceso judicial donde se esté analizando la validez de la firma electrónica utilizada, la firma avanzada será aquella que pueda garantizar los siguientes requisitos:

• Que se encuentre vinculada de manera única al firmante, esto es, solo puede ser utilizada por el titular de la firma y esta ligada directamente a este.

 

• Adicionalmente al “grafo” de la propia firma, es aquella que identifica al firmante con mecanismos adicionales, como puede ser la solicitud de algún tipo de acreditación de la identidad del titular que le autentique y puede comprobarse en un alto grado de confianza que el firmante es efectivamente el titular de la misma.

 

• Que la firma ha sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, de tal forma que el proceso de generación de firma ha requerido al usuario al menos dos de tres factores, como son, el factor de conocimiento (conocimiento de una contraseña), tenencia (dispositivo utilizado) o inherencia (por ejemplo, la huella dactilar) en el momento de realizar el firmado del documento en cuestión.

 

• Que la firma se encuentra vinculada con la información firmada por la misma de modo tal que cualquier modificación ulterior del documento pueda ser detectable, de tal forma que el sistema de firma utilizado garantice que el documento firmado se encuentra asociado, de forma inexorable a la firma en cuestión, por ejemplo, mediante un algoritmo unidireccional seguro, la función resumen (o hash) del documento en cuestión.

Así pues, algunos casos de uso que podrían considerarse una firma avanzada podrían ser:

• Firmar el documento utilizando una doble autenticación del firmante, como por ejemplo, a través de sistemas OTP (One Time Password) que, junto con el uso de certificados electrónicos o de sellos de tiempo cualificados garanticen la integridad del documento ante posibles modificaciones posteriores del mismo.

 

• A través de una firma biométrica en la que los datos recogidos sean inherentes al firmante (rasgos faciales, huella dactilar o grafo) a través de los cuales puedan determinarse, por ejemplo en el caso de la firma ológrafa, la velocidad y presión ejercida para la firma). Otro ejemplo de firma avanzada, podría ser aquella firma biométrica que se realiza sobre un dispositivo que cuente con  una pantalla resistiva capaz de captar datos biométricos ejercidos sobre la misma. Este factor inherente junto con otros mecanismos utilizados en el momento de la identificación y autenticación del firmante, y con medios que doten de integridad al documento firmado y a la propia firma, podría generar un sistema robusto de firma con las garantías de seguridad suficientes para acreditar que el sujeto que firmó es quien dice ser.

Sin perjuicio de los casos descritos todo proceso quedará sujeto, en caso de impugnación o repudio de la firma, a una prueba por peritos expertos que, en definitiva, valide y acredite las evidencias generadas en los procesos de firmado y demuestren ante el juez que efectivamente la persona que firmó es quién dice ser.

Conclusiones

Como hemos visto, existen diversas modalidades de firma que pueden llegar a demostrar que estamos ante una firma electrónica cuya acreditación depende fundamentalmente de las evidencias recogidas durante todas las fases del proceso de firmado.

En esta línea, parece evidente que, para demostrar en el marco de un procedimiento judicial, si una firma electrónica cuenta con plenos efectos jurídicos debe realizarse un análisis pormenorizado de todo el proceso desde los medios de la recogida inicial de los datos identificativos del firmante hasta la inclusión de la firma en el documento, pudiendo ser demostrado por la intervención de un perito experto en la materia.

Asimismo, en todo proceso de firmado, resulta relevante la fase de identificación y autenticación previa del firmante, así como los medios técnicos que se utilicen para firmar (dispositivos concretos) o la relevancia del formato en el cual se presenta el documento original que posteriormente es objeto de firma.

Nuestra normativa deja en manos de los jueces la decisión de validez de las firmas, sin perder el foco en dos aspectos clave: por un lado, la acreditación de la autenticidad durante el proceso y, por otro lado, la integridad de la firma y del documento objeto de firma para evitar un posible delito de usurpación de la identidad o la falta de evidencias técnicas, que supongan como consecuencia, la anulación del contrato o documento objeto de firma.