¿Has recibido un documento firmado electrónicamente y necesitas saber si es válido? Es una situación que se produce a diario en muchas empresas y que supone la necesidad de conocer a fondo la firma electrónica y los mecanismos que se utilizan para que tenga validez legal. En este post te vamos a contar con detalle cómo validar la firma electrónica y saber si es o no legal, en qué se basa la validez de la firma electrónica, qué tipos de firmas existen y qué hace Lleida.net para validar este tipo de firmas.
Índice de contenidos
¿En qué se basa la validez de la firma electrónica?
Desde un punto de vista legal la firma electrónica basa su validez en varias normas:
- El Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. Es el denominado Reglamento eIDAS que regula la firma electrónica, sus tipos y su validez. Este reglamento establece en su artículo 25 establece que:
- Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. En el artículo 3.1 establece lo siguiente:
- No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.
- Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.
- Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.
Los documentos electrónicos públicos, administrativos y privados, tienen el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.
¿La firma electrónica es válida fuera de la Unión Europea?
Junto con la normativa a nivel europeo y español, debemos destacar que existen leyes a nivel nacional sobre la firma electrónica en muchos otros países.
Muchas empresas que han procedido a su internacionalización necesitan firmar documentos con clientes, proveedores o colaboradores que se encuentran en países de fuera de la Unión Europea. En estos casos debemos recordar que la firma electrónica es válida en muchos países y que existen diferentes regulaciones, por ejemplo, en Estados Unidos, encontramos dos normas importantes en relación a la firma electrónica: Electronic Signatures in Global and National Commerce Act (“E-SIGN Act”) y The Uniform Electronic Transactions Act (UETA); en Suráfrica tienen la South African Common Law and Electronic Communications and Transactions Act, 2002 No. 25 of 2002 y en Argentina la Ley de firma digital nº 25.506.
En cada caso es importante analizar dónde se va a utilizar la firma electrónica y qué requisitos debe reunir para considerarse válida.
¿Qué tipos de firma electrónica existen?
Antes de validar la firma electrónica es fundamental conocer los tipos que existen y el grado de seguridad que aporta cada tipo. En base a la regulación del Reglamento eIDAS existen tres tipos de firma electrónica que son los siguientes:
- La firma electrónica simple que se define en el artículo 3 apartado 10 del reglamento como los datos en formato electrónico anejos a otros datos electrónicos asociados de manera lógica con ellos que utiliza el firmante para firmar.
- La firma electrónica avanzada que es la que cumple los requisitos regulados en el artículo 26 del reglamento y la que ofrece Lleida.net. Los requisitos que deben cumplir una firma electrónica para considerarse avanzada son los siguientes:
- a) estar vinculada al firmante de manera única;
- b) permitir la identificación del firmante;
- c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
- d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
- La firma electrónica cualificada. Es un tipo de firma que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firmas electrónicas.
¿Por qué es importante saber si una firma electrónica es válida?
En el caso en que alcances un acuerdo con un cliente, un proveedor o un trabajador, por ejemplo, puedes utilizar la firma electrónica, pero si no reúne los requisitos legales para su validez, el documento podría no generar obligaciones para los firmantes, ni servir como prueba en un procedimiento judicial.
Por lo tanto, saber si una firma electrónica es válida sirve para:
- Tener la certeza de que quien firma es quien dice ser.
- Comprobar que la firma no ha sido utilizada de forma fraudulenta.
- Saber que el documento firmado es válido, genera obligaciones para los firmantes y puede ser utilizado como prueba en juicio.
- Evitar delitos y estafas como la que se puede derivar de la suplantación de identidad de una persona.
¿Cómo validar electrónicamente la firma?
Para validar la firma electrónica es necesario realizar la comprobación de tres elementos:
- La identidad de los firmantes, es decir, que las personas que firman son quienes dicen ser y no están suplantando la identidad de otra persona.
- Que el documento firmado se mantiene íntegro y no ha sido modificado tras su firma.
- El momento y el lugar en los que se ha firmado el documento.
Vamos a analizar con detalle todos los elementos a continuación:
- Sello de tiempo. Para validar una forma electrónica deberás comprobar que tiene un sello de tiempo. El sello de tiempo o time stamping es un mecanismo que garantiza la integridad de la firma electrónica y del documento firmado, y que este se ha realizado en un momento determinado y no es posible modificarlo, puesto que se han registrado fecha y hora concretas de la firma. El sello de tiempo es el elemento esencial para saber si un documento ha sido modificado después de la firma, de esa forma, resulta más sencillo utilizar el documento firmado electrónicamente como prueba en un procedimiento judicial. Por ejemplo, el sellado de tiempo se utiliza para saber quién y cuándo firmo un determinado documento de la empresa. El sello de tiempo se aporta por un prestador de servicios de confianza, que es un tercero ajeno al proceso de firma que garantiza la seguridad de la transacción.
- Lugar. Conocer el lugar desde el que se firma electrónicamente un documento es fundamental para aportar validez a dicha firma. Por ejemplo, es esencial en los casos de transportistas o repartidores que están continuamente en movimiento y debe firmar albaranes de entrega o de recogida.
- Identidad de los firmantes. La identidad de los firmantes se garantiza de varias formas:
- Mediante la utilización de un código de un solo uso denominado OTP (One Time Password) que se envía a la persona que debe firmar por correo electrónico a la dirección que aporte esa persona, o a su teléfono móvil mediante un SMS, de manera que se garantiza que el firmante sea la persona que corresponde.
- Otra modalidad para verificar la identidad del firmante es mediante reconomiento facial por vídeo. En este caso se recogen imágenes de el documento de identidad del firmante (foto del DNI y resto de datos) y se comparan los datos con la imagen de la persona que aparece en el vídeo.
- Junto con todo lo anterior, se puede utilizar la identificación biométrica de manera que la identidad del firmante sea inequívoca. La identificación biométrica utiliza rasgos de la persona como el iris del ojo, las huellas, la voz, los rasgos faciales o la forma de la mano, para comprobar la identidad del firmante y tener la certeza de quién es.
¿Qué hace Lleida.net para validar la firma electrónica?
El servicio de firma electrónica que ofrece Lleida.net recopila una serie de información para dar validez a la firma, en concreto, se hace lo siguiente:
- Para garantizar la identidad de los firmantes en el momento de la firma se recopilan una serie de evidencias electrónicas de todo el proceso. De esta forma se conocen los correos electrónicos e IPs implicadas, el documento que se ha firmado, el lugar y el momento exacto de cada firma, los anexos al documento etc.
- Las evidencias electrónicas de todo el proceso de firma se reflejan en un documento de evidencias en formato PDF que puede ser descargado por el cliente en cualquier momento y que lleva un sellado de tiempo para evitar que el documento pueda ser modificado de forma fraudulenta. Los documentos que se hayan subido a la nube durante el proceso de firma (recibos, nóminas, DNIs etc.) serán custodiados durante cinco años por parte de Lleida.net.
Como consecuencia de lo anterior, el servicio de firma electrónica que presta Lleida.net es el de firma electrónica avanzada puesto que se cumplen los requisitos que hemos visto del Reglamento eIDAS:
- Están vinculadas al firmante de forma única.
- Son creadas de manera que el firmante mantiene el control.
- Están ligadas al documento de manera que si se produce una modificación después de la firma se podrá detectar de forma sencilla.
Como consecuencia de todo lo anterior, validar la firma electrónica es un proceso que requiere conocer a fondo su normativa y los requisitos que debe cumplir la firma para aportar confianza y seguridad a los firmantes, por lo que es fundamental contar con el apoyo de un proveedor de firma electrónica con experiencia y conocimiento de la legislación aplicable en función del tipo de firma y del lugar en el que se firme.