17 enero, 2022

Validez de la firma electrónica

Tribuna de Lara Puyol, abogada de ECIJA

Actualmente las operaciones o contrataciones a distancia forman parte de nuestro día a día, tanto desde el punto de vista laboral (si eres empleado o empresa), como desde el punto de vista de contratación de productos o servicios con entidades bancarias, aseguradoras, etc. En este sentido, es evidente que estamos cada vez más acostumbrados a gestionar este tipo de operaciones a través de medios electrónicos o desde entornos on-line.

La firma electrónica es, hoy en día, un instrumento fundamental mediante el que las organizaciones y ciudadanos llevan a cabo multitud de operaciones, pero ¿tiene la misma validez cualquier tipo de firma plasmada en formato electrónico? ¿Cómo debe ser una firma electrónica para que surta plenos efectos jurídicos sobre el documento que se está firmando? ¿Qué dice nuestra normativa al respecto?

Algunas sentencias relevantes

Recientemente, hemos conocido casos en los que se evaluaba la validez de la firma presentada en el marco de distintas operaciones y que sirven de referencia para conocer cuáles son las cuestiones que se están planteando ante los tribunales.

Falta de pruebas que acrediten la firma electrónica

En enero de 2021 conocimos una sentencia en la que la Audiencia Provincial de Lleida revocaba la sentencia de primera instancia y absolvía a la demandada del pago de la cantidad reclamada por no poder probar (por la entidad crediticia) que la firma que consta en el contrato es efectivamente de la demandada. Cabe recordar que, de acuerdo con el artículo 326. 2 de la Ley de Enjuiciamiento Civil, cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado puede pedir cualquier medio de prueba que resulte útil y pertinente al efecto.

Pues bien, el sistema utilizado para llevar a cabo la firma (DocuSign) resultó no ser suficiente para acreditar que el firmante es quien dice ser. En concreto, dicho sistema consistía en el envío de los documentos objeto de firma por correo electrónico a su destinatario para que este los firme y devuelva, electrónicamente, el documento firmado. El aspecto clave en este caso es la ausencia de autenticación del firmante puesto que, queda acreditado que el sistema no utiliza medios de autenticación reforzada del firmante y, por tanto, en ningún momento se comprueba que quien recibió el correo para la firma del documento y quien lo envía con posterioridad firmado, es efectivamente la misma persona.

La sentencia concluye que estamos ante un simple documento privado cuya firma enviada por medios electrónicos no había podido ser acreditada ni constatada por quién la impugnó por ausencia de pruebas en la autenticación del firmante que constatasen que la firma realizada corresponde a la persona que efectivamente debía firmar.

SAP L 54/2021 – ECLI:ES:APL:2021:54

Uso de certificado cualificado de firma en un documento que es escaneado

Por su parte, una Sentencia del Tribunal de Justicia de mayo de 2020, declaró inadmisible la presentación de un recurso por falta de firma manuscrita. Y es que, según declaró este Tribunal, las firmas que aportaban los abogados en el documento (se trataba de una demanda), que tenían apariencia de firma manuscrita, indicaban en el propio documento en papel “Firmadas digitalmente por [ Nombre del Abogado]”. En este caso, el documento original objeto de firma se entregaba en soporte papel y los abogados que firmaron la demanda lo hicieron con sus certificados electrónicos imprimiendo los documentos para su entrega.

El Tribunal de Justicia declaró que los datos relativos a esas firmas eran meras menciones impresas, por lo que no cabía considerar que las mismas supusieran una firma electrónica cualificada como alegó la parte recurrida, puesto que la demanda no se presentaba por medios electrónicos. Reforzando el argumento de Tribunal este concluyó que, aunque las firmas tenían apariencia de ser firmas manuscritas e incluían la fecha y hora del momento de la misma (de acuerdo con el uso de certificados cualificados de firma electrónica), las firmas incluidas resultaban imágenes escaneadas de dichas firmas, y por tanto las mismas eran meras impresiones en papel de un documento electrónico. Por todo ello, este Tribunal negó el hecho de considerar las mismas firmas electrónicas cualificadas o firmas manuscritas, teniendo así consideración de firmas escaneadas, careciendo de los efectos jurídicos que sí puede ofrecer una firma electrónica cualificada.

C-309/19 P: Asociación de fabricantes de morcilla de Burgos/Comisión

Firma en el marco de un contrato laboral

En la misma línea, otra sentencia dictaminó, en el marco de un contrato laboral de un jugador de futbol profesional, que la firma escaneada y enviada por correo electrónico no resultaba admisible, en ningún caso, dentro del ámbito en el que se desarrolló (contrato laboral) alegándose que una firma de estas características es fácilmente manipulable, no pudiendo acreditarse fehacientemente que el firmante es quién dice ser.

Roj: SJSO 16/2017 – ECLI: ES:JSO:2017:16

Cabe señalar que, en el ámbito laboral, es especialmente recomendable utilizar una firma cualificada que es la que ofrece más garantías de autoría, integridad y autenticidad del consentimiento prestado por el firmante y se equipara a la firma manuscrita. Y es que esta firma supone un paso adicional en la legitimidad, seguridad y control de la firma electrónica, cumpliendo con los requisitos de la firma avanzada pero además es creada mediante un dispositivo cualificado de creación de firmas electrónicas y está basada en un certificado cualificado de firma electrónica (emitido por un prestador de servicios cualificado). Sin embargo, en el ámbito privado, no resulta obligatoria por lo que el uso de cualquier otra firma que no presente los requisitos exactos de una firma cualificada, no debe invalidarse por defecto.

De los casos anteriormente expuestos puede deducirse que uno de los aspectos clave a tener en cuenta cuando queremos realizar operaciones vía electrónica, es contar con las evidencias suficientes que puedan acreditar en definitiva la autenticidad del firmante y la integridad del documento firmado. Pero ¿qué aspectos deberíamos conocer para valorar si estamos ante la firma electrónica que regula nuestra normativa?

Consideraciones respecto a la validez de la firma electrónica

La firma electrónica persigue garantizar, igual que la firma manuscrita tradicional, la autoría de la firma y la integridad del documento asociado a ésta, de manera que se genere una confianza suficiente hacia terceros respecto al firmante que está vinculado al documento electrónico objeto de la firma. En definitiva, trata de garantizar la identidad del firmante, el no repudio y la autenticidad e integridad del documento firmado. De estos elementos, dependerá precisamente el nivel de eficacia y validez de la firma electrónica realizada en el marco de una operación concreta.

Partiendo de estas premisas, cabe diferenciar lo que sería una firma electrónica regulada por nuestra normativa principal en la materia (Reglamento (UE) Nº 910/2014, o reglamento “eIDAS ) y una firma digitalizada, esto es, aquella que se genera por la conversión del trazo de una firma en una imagen (como puede ser, la que obtienes una vez la escaneas el documento en cuestión, en línea con los casos citados). Si bien, aunque las firmas digitalizadas son legales, lo cierto es que, como hemos podido ver en los casos antes expuestos, no ofrecen garantía respecto a la identidad del firmante por si solas.

En la práctica, nuestra normativa regula la firma electrónica simple o básica (aunque no tiene esta denominación oficial por nuestra normativa) como puede ser, el uso de un usuario y contraseña, por otro lado, la firma avanzada (cumpliendo los requisitos del artículo 26 de eIDAS) y la firma cualificada (basada en un certificado cualificado y que es creada mediante un dispositivo seguro de creación de firma), teniendo la primera, el nivel más bajo de seguridad y por tanto siendo más complicado acreditar las garantías de seguridad de la firma y, la firma cualificada la que presentaría un nivel de seguridad más alto, cuyos efectos se equiparan a la firma manuscrita.

No obstante, debe tenerse presente que el hecho de que una firma esté en formato electrónico o no cumpla con los requisitos de una firma electrónica cualificada, no supone que la firma no pueda ser admitida como prueba por un juez, tal y como indica el considerando 49 de eIDAS.

Según lo anterior, dependiendo de la relevancia y las obligaciones jurídicas de la transacción u operación que queramos realizar, podrá ser suficiente una firma simple o, por el contrario, ser más recomendable utilizar una firma avanzada o cualificada.

Requisitos de una firma avanzada

En el marco de un proceso judicial donde se esté analizando la validez de la firma electrónica utilizada, la firma avanzada será aquella que pueda garantizar los siguientes requisitos:

Que se encuentre vinculada de manera única al firmante, esto es, solo puede ser utilizada por el titular de la firma y esta ligada directamente a este.

Adicionalmente al “grafo” de la propia firma, es aquella que identifica al firmante con mecanismos adicionales, como puede ser la solicitud de algún tipo de acreditación de la identidad del titular que le autentique y puede comprobarse en un alto grado de confianza que el firmante es efectivamente el titular de la misma.

Que la firma ha sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, de tal forma que el proceso de generación de firma ha requerido al usuario al menos dos de tres factores, como son, el factor de conocimiento (conocimiento de una contraseña), tenencia (dispositivo utilizado) o inherencia (por ejemplo, la huella dactilar) en el momento de realizar el firmado del documento en cuestión.

Que la firma se encuentra vinculada con la información firmada por la misma de modo tal que cualquier modificación ulterior del documento pueda ser detectable, de tal forma que el sistema de firma utilizado garantice que el documento firmado se encuentra asociado, de forma inexorable a la firma en cuestión, por ejemplo, mediante un algoritmo unidireccional seguro, la función resumen (o hash) del documento en cuestión.

Así pues, algunos casos de uso que podrían considerarse una firma avanzada podrían ser:

Firmar el documento utilizando una doble autenticación del firmante, como por ejemplo, a través de sistemas OTP (One Time Password) que, junto con el uso de certificados electrónicos o de sellos de tiempo cualificados garanticen la integridad del documento ante posibles modificaciones posteriores del mismo.

A través de una firma biométrica en la que los datos recogidos sean inherentes al firmante (rasgos faciales, huella dactilar o grafo) a través de los cuales puedan determinarse, por ejemplo en el caso de la firma ológrafa, la velocidad y presión ejercida para la firma). Otro ejemplo de firma avanzada, podría ser aquella firma biométrica que se realiza sobre un dispositivo que cuente con una pantalla resistiva capaz de captar datos biométricos ejercidos sobre la misma. Este factor inherente junto con otros mecanismos utilizados en el momento de la identificación y autenticación del firmante, y con medios que doten de integridad al documento firmado y a la propia firma, podría generar un sistema robusto de firma con las garantías de seguridad suficientes para acreditar que el sujeto que firmó es quien dice ser.

Sin perjuicio de los casos descritos todo proceso quedará sujeto, en caso de impugnación o repudio de la firma, a una prueba por peritos expertos que, en definitiva, valide y acredite las evidencias generadas en los procesos de firmado y demuestren ante el juez que efectivamente la persona que firmó es quién dice ser.

Conclusiones

Como hemos visto, existen diversas modalidades de firma que pueden llegar a demostrar que estamos ante una firma electrónica cuya acreditación depende fundamentalmente de las evidencias recogidas durante todas las fases del proceso de firmado.

En esta línea, parece evidente que, para demostrar en el marco de un procedimiento judicial, si una firma electrónica cuenta con plenos efectos jurídicos debe realizarse un análisis pormenorizado de todo el proceso desde los medios de la recogida inicial de los datos identificativos del firmante hasta la inclusión de la firma en el documento, pudiendo ser demostrado por la intervención de un perito experto en la materia.

Asimismo, en todo proceso de firmado, resulta relevante la fase de identificación y autenticación previa del firmante, así como los medios técnicos que se utilicen para firmar (dispositivos concretos) o la relevancia del formato en el cual se presenta el documento original que posteriormente es objeto de firma.

Nuestra normativa deja en manos de los jueces la decisión de validez de las firmas, sin perder el foco en dos aspectos clave: por un lado, la acreditación de la autenticidad durante el proceso y, por otro lado, la integridad de la firma y del documento objeto de firma para evitar un posible delito de usurpación de la identidad o la falta de evidencias técnicas, que supongan como consecuencia, la anulación del contrato o documento objeto de firma.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years