Una de las tareas de la organización de formaciones consiste en imprimir y firmar documentos. Sin embargo, lo ideal sería dejar de imprimir y estampar la firma directamente con un programa informático. ¡Le damos la bienvenida al mundo de la firma electrónica! En Digiforma, esta cuestión nos interesa sobremanera y, por eso, en la actualidad ya ofrecemos esta funcionalidad.
Seguramente, habrá oído mil y una historias acerca de la firma electrónica. Sobre todo, ¿es legal? Y lo más probable es que su buzón de correo electrónico esté repleto de mensajes no deseados de proveedores que alaban las virtudes de sus soluciones. Así que ha llegado el momento de detenernos para arrojar luz sobre el asunto.
Le presentamos nuestra guía de 2022 para saber todo sobre la firma electrónica. ¡Pero que no cunda el pánico! Es mucho más sencillo de lo que parece.
1. ¿Qué es una firma electrónica?
Una firma electrónica es un procedimiento que incorpora un marcado cifrado en un documento con el fin de autenticar de manera estricta la identidad de la persona que «acepta» dicho documento. Esta firma permite prescindir de la firma manuscrita y realizar una contractualización totalmente digital.
El valor de la firma electrónica reside, precisamente, en este marcado cifrado. Dicho de otro modo, la incrustación de una firma manuscrita en la parte inferior de una plantilla de Word NO es una firma electrónica en sentido estricto.
Este marcado cifrado debe respetar ciertas reglas para contar con un valor probatorio desde el punto de vista legal
- El marcado identifica a la persona firmante y no puede falsificarse.
- El marcado contiene una huella del documento que se vería alterada en caso de modificación e invalidaría la firma.
- El documento firmado se conserva durante una serie de años en un sistema que imposibilita su alteración.
Los proveedores de soluciones de firma electrónica ofrecen un sistema que incrusta un marcado de este tipo en un documento PDF y, a veces, incluso lo almacenan en una caja fuerte digital para que la persona firmante no tenga que hacerlo por su cuenta.
2. ¿La firma electrónica es legal?
Existe un reglamento europeo (eIDAS) que reconoce el valor de una firma electrónica cuando se cumplen ciertas condiciones estrictas. Explicado de manera sencilla, hay tres tipos de firmas electrónicas:
- La firma cualificada, que tiene el mismo valor legal que una firma manuscrita. La persona firma con un certificado digital que tiene en su poder tras haber sido expedido por una autoridad acreditada. Sin embargo, salvo en casos muy excepcionales, las personas no suelen disponer de este certificado.
- La firma avanzada, que no tiene la misma validez legal que una firma manuscrita, pero que sirve de elemento de prueba robusto en un expediente si se cumplen todas las condiciones. Durante el proceso de firma, es necesario cargar un documento de identidad como, por ejemplo, un DNI o un pasaporte.
- La firma simple, que realmente no sirve para gran cosa y probablemente ya la haya utilizado alguna vez. Se trata de la firma con un código recibido por SMS. En este caso, la identidad únicamente se vincula a un número de teléfono.
- La firma cualificada presenta un valor legal total e irrefutable.
- Los otros dos tipos de firmas son aceptables, pero también refutables.
La firma cualificada únicamente es posible si la persona dispone de un certificado digital que certifica su identidad. Este certificado es un sistema criptográfico que terceros de confianza expiden a una persona física. Algunos países como Bélgica o Estonia ya incluyen directamente este certificado en los documentos de identidad de sus ciudadanos.
Por su parte, para que la firma avanzada tenga un valor creíble, es preciso respetar dos puntos que en la práctica no son tan sencillos:
- Es preciso que la firma permita identificar a la persona firmante y que no puedan realizarla terceros.
- Es preciso que el documento firmado sea inalterable y se conserve durante un determinado número de años de manera fiable.
La identificación robusta de la persona firmante es una cuestión peliaguda. A falta del certificado de identidad digital, tan solo se pueden encontrar sistemas alternativos indirectos que confieren un mayor o menor grado de validez legal a la firma. Así, por ejemplo, numerosos sistemas de firma electrónica emplean un SMS con un código para, de este modo, asociar un número de teléfono a la persona y crear un elemento de prueba de la identidad (si bien bastante limitado, puesto que un teléfono puede ser manipulado por un tercero). Cuanto más relevante sea el proceso de firma, más robusto debe ser el sistema empleado para la identificación de la persona firmante. En este sentido, se desaconseja emplear la identificación por SMS, por ejemplo, para un contrato marco de formación de todos los empleados de un cliente societario del IBEX 35.
El almacenamiento duradero e inalterable del documento firmado se realiza en una caja fuerte digital, que diferentes proveedores ofrecen a través de soluciones en línea a un módico precio.
¡Atención al caso particular de los sellos electrónicos! Un servidor se encarga de estamparlos en un documento empleando un certificado digital que identifica a la organización de formación (persona jurídica). Por tanto, estos sellos permiten firmar unilateralmente un documento (piense, por ejemplo, en los certificados).
Conviene saber que la mayoría de los proveedores de firma electrónica únicamente permiten la firma simple, pero se afanan en disimularlo con el uso de adjetivos inventados como «semiavanzada». Sin embargo, no se trata de firmas avanzadas válidas y, todavía menos, de firmas cualificadas. En cualquier firma distinta de la cualificada, la idea es reunir una serie de elementos que permitan probar de la mejor manera posible la identidad real de la persona firmante. Así, en caso de disputa, estos elementos probatorios dificultarán cualquier acusación de falsificación.
Esta es la razón por la que las firmas simples suelen emplear dos canales de comunicación con la persona firmante
- Por un lado, la solicitud de firma que se envía a su dirección de correo electrónico.
- Por otro lado, el código único de firma que se envía por SMS.
Estos dos canales independientes crean una justificación endeble, pero al menos existente, para asegurar que la persona firmante sea quien dice ser.
En la práctica, este sistema de firma electrónica simple resulta suficiente cuando el importe de los contratos y los acuerdos no es demasiado elevado. He aquí el quid de la cuestión sobre la legalidad de la firma electrónica.
El grado de seguridad de la firma debe adaptarse al riesgo financiero asociado al documento firmado
Por el contrario, en el caso de los contratos de mayor transcendencia, sería más pertinente emplear un sistema real de firma avanzada o cualificada. Este es el sistema que emplean los bancos y las aseguradoras, por ejemplo, cuando solicitan la firma de un contrato importante como un seguro de vida.
3. ¿Se puede simplemente incrustar una imagen de firma en la parte inferior de las plantillas de documentos?
A pesar de que nadie lo prohíbe y puede dar a los interlocutores la falsa impresión de que se trata de una firma válida, lo cierto es que carece de todo tipo de valor legal. Cualquier documento firmado así es como si no estuviese firmado. Una firma electrónica es un marcado criptográfico que se incrusta en el documento y no un garabato hecho con el ratón en la parte inferior de la última página.
4. ¿Cómo se firman electrónicamente los documentos de formación? ¿Puede usarse la firma electrónica en sustitución del sello de una organización en acreditaciones y certificados?
Es preciso hacer una distinción entre el caso de los acuerdos y el caso de los certificados. Algunos documentos no se han previsto para ofrecer un valor probatorio importante, puesto que no entrañan grandes riesgos financieros o jurídicos. Este suele ser el caso de acreditaciones o certificados. Además, estos documentos no suelen ir firmados por ambas partes, sino que únicamente es la organización la que plasma un sello o una firma en ellos.
- Para este fin, existe un sistema de sello digital que estampa automáticamente una firma electrónica utilizando un certificado digital que identifica a la persona jurídica de la organización de formación.
- Este tipo de mecanismo es muy práctico y mucho menos costoso, pero no debe confundirse con una firma electrónica convencional vinculada a una persona física.
Firma digital de acuerdos
Lo mejor, por no decir lo más sencillo, es usar alguno de los servicios especializados en línea. Estos funcionan casi sistemáticamente mediante una identificación por SMS:
- El documento se carga en el sitio web específico y la persona firma por su parte en la interfaz.
- La persona firmante recibe una solicitud de firma con un código SMS de verificación.
- El documento final en PDF se genera con las firmas integradas (marcado criptográfico verificable) y, en ocasiones, con el almacenamiento duradero directamente en el sitio de la firma.
- Si el servicio no ofrece dicho almacenamiento duradero, será preciso cargar el documento PDF en una caja fuerte digital en línea.
Firma digital de certificados
En el caso de los certificados, estos mismos sitios especializados en ocasiones ofrecen un sistema de sello a través de servidor. Primero, es preciso adquirir el sello a uno de ellos para, a continuación, poder cargar documentos en los que estamparlo y realizar el almacenamiento duradero.
Otra manera de actuar es adquirir un certificado digital a un tercero de confianza, instalarlo en el ordenador y, a continuación, firmar los documentos con ayuda de un software especial que empleará el certificado. Asimismo, recuerde cargar el documento firmado en la caja fuerte digital.
5. ¿También es posible firmar digitalmente las hojas de asistencia?
¡Por supuesto! Sin embargo, ningún proveedor ofrece una firma electrónica de gran valor probatorio. Se trata de firmas simples en el sentido del reglamento europeo eIDAS, por lo general, mucho menos fiables que las realizadas con un envío por SMS en el marco de un contrato. Los elementos probatorios son todavía más endebles al basarse exclusivamente en el uso del buzón de correo electrónico.
Si el sistema está bien integrado en la plataforma de los alumnos, los elementos probatorios se considerarán un poco más consolidados gracias a las direcciones IP de conexión y las actividades de aprendizaje virtual realizadas.
En este caso, los proveedores especializados también recurren a estratagemas lingüísticas para hacer creer lo que no es. La realidad es que no demuestran más que los anteriores la identidad real de las personas firmantes, que es lo único importante. De hecho, en el documento de recopilación de estas hojas de asistencia no fehacientes, estampan una firma electrónica que identifica a su propia empresa y emplean este argumento para afirmar que el documento demuestra las asistencias. Este engaño se disfraza de distintas siglas del tipo «eIDAS» que los identifican como una suerte de «terceros de confianza».
¡Atención una vez más! La cuestión es sencilla, solo hay que hacer las preguntas correctas
- ¿De qué naturaleza es la firma de los alumnos?
- ¿Qué comprobación de identidad se ha empleado?
6. Por último, ¿es preciso adoptar la firma electrónica?
Excepto en casos excepcionales que exijan firmas estrictamente avanzadas o cualificadas, la firma electrónica que se podría emplear habitualmente sería una firma simple desarrollada por algún proveedor.
Una vez dicho esto, la simplificación de los procesos administrativos derivada de la ausencia de papel es muy significativa, aunque es preciso no perder de vista los límites de este mecanismo y emplearlo en contratos por importes razonables.
En el caso de las hojas de asistencia, es necesario matizar este discurso. Las soluciones de asistencia digitales no aportan en realidad casi ninguna garantía real sobre la identidad de la persona firmante.
En un sector que sufre el problema del fraude en las hojas de asistencia, quizás sea una buena idea ser precavidos y desconfiar de los proveedores que desean vender su solución a toda costa.
7. ¿Cabe esperar algún día el uso generalizado de las firmas electrónicas cualificadas?
Este tipo de firma resolvería por completo los problemas derivados del valor probatorio. Sin embargo, para ello, es necesario que las personas firmantes dispongan de una identidad digital robusta y certificada. Este tipo de pasaportes digitales individuales ya existen en algunos países asociados, por ejemplo, al documento de identidad de sus ciudadanos, como en el caso de Estonia. Europa trabaja actualmente en la uniformización de un mecanismo así en todos los Estados miembros, por lo que cabría esperar avances próximos a este respecto.
¿Qué significa «eIDAS»?
Cuidado con los proveedores que afirman cumplir con las «normas eIDAS», ya que esto no quiere decir nada. eIDAS es un reglamento europeo que reconoce la existencia de tres tipos de firmas. Los comerciales de los proveedores de soluciones de firma emplean el término eIDAS para impresionar, aunque no es suficiente para transformar por arte de magia su firma de tipo simple en una firma cualificada.