«El Reglamento eIDAS 2 será un impulso para las firmas electrónicas, la identidad digital y para la confianza y el manejo de documentos electrónicos»
El próximo 25 de abril organizaremos un webinar dirigido a la abogacía in house: «Cómo aplicar exitosamente la firma digital para mejorar los procesos del departamento legal«. El objetivo de esta sesión, que contará con la colaboración de Docuten, es analizar las distintas tipologías de firma digital, su legalidad, así como compartir diversos casos de uso para su implementación en un departamento legal. Charlamos con Daniel Cerqueiro, CMO de Docuten, para que nos cuente cosas de este webinar. Puede parecer un spoiler, pero os aseguramos que este evento online os va a resultar muy útil.
Daniel, cada vez tenemos más cerca el reglamento eIDAS 2. ¿Qué esperáis de él en Docuten?
En Docuten, creemos que la llegada del reglamento eIDAS 2, va a ser un impulso para el negocio de las firmas electrónicas, la identidad digital y, sobre todo, para la confianza y el manejo de documentos electrónicos. Gracias a ello, eIDAS 2 proporcionará mayor claridad y armonización en cuanto a la identificación electrónica y la firma digital en Europa, lo que facilitará la adopción de la firma digital por parte de más empresas y organizaciones.
¿De qué cambios estamos hablando?
En un primer lugar, hablamos de la ampliación del alcance de la regulación para incluir más tipos de servicios de confianza electrónicos.
La regulación eIDAS solo se aplicaba a las firmas electrónicas, sellos electrónicos, servicios de entrega registrada electrónica y sellos de tiempo electrónicos.
La regulación eIDAS 2 amplía ese alcance, siendo continuista con el reglamento anterior, al incluir servicios de confianza adicionales:
- Identidad digital asociada a un wallet o cartera electrónica donde podemos incluir atributos de la persona física o jurídica que provengan bien de organismos oficiales o bien de terceros de confianza que dan fe (atestiguan) esos atributos;
- la gestión de documentos electrónicos a largo plazo con los atributos vinculados a los mismos (metadatos) como pueden ser certificados médicos, diplomas profesionales, información bancaria… ;
- cuestiones específicas de alto impacto para la empresa como pueden ser los libros mayores electrónicos;
- una mayor garantía para las empresas u organizaciones al incluirse una separación de funciones principalmente enfocadas a la validación;
- y la capacidad de realizar búsquedas conjuntas en más de un archivo digital y de construir aplicaciones o capas de recuperación de la información (Earchiving).
Entonces no solo mejoramos en términos de confianza, sino en términos de protección de datos, garantizando los derechos tanto de empresas como de ciudadanos, y aportando una mayor seguridad al proporcionar acceso a soluciones de identidad fiables y seguras transfronterizas. Por ello, los
Proveedores de Servicios de Confianza Cualificados, incluido tendrán que hacer un sobreesfuerzo para cumplir con todos los requisitos.
Docuten es prestador cualificado de servicios de confianza. ¿Los clientes lo valoran? ¿Qué diferencias hay entre estar cualificado y no estarlo?
Docuten está reconocido actualmente como Prestador Cualificado de Servicios de Confianza, algo que no solo nos pone a nosotros en un punto de ventaja competitiva, sino también a los clientes que trabajan con nosotros.
Como es de esperar, hay una brecha entre Prestadores Cualificados de Servicios de Confianza (PCSC) y los Presentados de Servicios de Confianza (PSC). Veamos.
Como PCSC, podemos emitir los siguientes tipo de certificados de confianza:
- Expedición de certificados electrónicos cualificados de firma electrónica.
- Expedición de certificados electrónicos cualificados de sello electrónico.
- Expedición de sellos electrónicos cualificados de tiempo.
Mientras que, sin ser un prestador de servicios de confianza es imposible emitir estos certificados de confianza.
En cuanto a la seguridad y cumplimiento legal, los PCSC cualificados deben cumplir con los requisitos legales y técnicos más exigentes de a UE sujetos al eIDAS. Los PSC no cualificados no están sujetos a estos, están sujetos a estos estándares y pueden no cumplir con los requisitos legales y de seguridad necesarios.
Muy relacionado con el punto anterior, el valor probatorio de los servicios prestados es mayor en los PSCS, algo que se debe a que los servicios de un PCSC se basan en certificados digitales emitidos por una autoridad de certificación acreditada y están diseñados para cumplir con los requisitos legales y técnicos más exigentes.
Además, ser prestador cualificado también nos permite custodiar las evidencias de los procesos de firma y notificación electrónica de nuestros clientes.
Finalmente, los PCSC tienen acceso a mercados y oportunidades que no están disponibles para los PSC. Por ejemplo, los PCSC pueden ofrecer servicios en toda la UE y pueden participar en licitaciones y contratos gubernamentales que requieren servicios de firma electrónica y autenticación cualificados.
Nuestros clientes valoran esa capacidad y la tranquilidad de trabajar con una empresa auditada que cumple con los más altos estándares de seguridad y legalidad en Europa.
Por otro lado, implica un esfuerzo alto para nosotros para nosotros como Prestadores Cualificados de Servicios de Confianza (PCSC) al tener que cumplir con los más altos estándares de seguridad y fiabilidad establecidos por la UE: requisitos más estrictos, auditorías periódicas y, por ende, más
seguridad si cabe.
Daniel, háblanos de forma muy breve de las diferencias entre firma simple (y avanzada) con respecto a la cualificada.
El concepto de firma simple no existe en el Reglamento eIDAS como tal. Con todo, lo que sí que se especifica el reglamento, es que una firma por el mero hecho de ser electrónica no puede ser repudiada. En este sentido, el concepto de firma electrónica simple se aplica a aceptaciones expresas sobre un documento con un factor de autenticación que vincula unívocamente al firmante, que además expresa voluntad de aceptación.
El concepto de firma avanzada si está recogido en el reglamento eIDAS e implica que los elementos anteriores están trazados en el documento por diferentes medios, como puede ser un doble factor de autenticación, donde hay un correo y otro elemento como puede ser un SMS, un certificado digital cualificado o un rasgo biométrico.
Por otro lado, el reglamento recoge la firma cualificada que tiene el mismo valor que la firma manuscrita y que se ejecuta con un certificado digital, también cualificado, que se emite en un dispositivo seguro de creación de firmas.
Si profundizamos un poco más, podemos tener en cuenta una serie de criterios que también marcan la diferencia:
- Forma en la que se crean
Para la creación de la firma cualificada, se requiere un certificado cualificado emitido por una Autoridad de Certificación Cualificada mediante un dispositivo seguro de creación de firma.
Por su parte, por ejemplo la firma avanzada con certificado digital cualificado se crea utilizando certificados digitales que se emiten una persona después de verificar su identidad; mientras que la firma simple se puede crear utilizando método como aceptar un documento dando un check.
- Seguridad y confiabilidad que ofrecen
La firma cualificada es la que tiene una mayor legalidad, seguida de la firma avanzada que, no llega a equipararse a una firma manuscrita. En cuanto a la firma electrónica simple, la legalidad es una cuestión a valorar en cada caso ya que en muchos de ellos es cuestionable.
- Valor probatorio en un juicio
Firma cualificada: Se otorga el mismo efecto jurídico que una firma manuscrita y goza de una presunción de integridad y autenticidad ante los tribunales, lo que se conoce como principio de equivalencia funcional.
Firma avanzada: En caso de que se impugne su autenticidad, será la parte que la ha presentado quien deberá demostrar su autenticidad y fehaciencia. Podemos recurrir a un perito caligráfico para demostrar que, en función a los datos recogidos por nuestra plataforma, en efecto esa persona lo ha firmado.
Firma simple: En caso de que se impugne su autenticidad, el proceso de demostrar su autenticidad y fehaciencia tiene cierta complejidad y hay jurisprudencia donde ha sido repudiada.
La trazabilidad, Daniel, es una funcionalidad clave…
La trazabilidad es una funcionalidad clave en la firma digital y las comunicaciones electrónicas, ya que permite rastrear y auditar todos los eventos relacionados con un documento firmado digitalmente o con una comunicación electrónica por email o por SMS. Esto garantiza la integridad y la autenticidad de estos procesos, lo que resulta esencial en un entorno legal.
La trazabilidad es una funcionalidad clave cuando iniciamos un proceso de firma avanzada, dado que estos procesos requieren evidenciar cada uno de los pasos del mismo, ya que, posteriormente, en caso de litigio, es necesario demostrar el proceso de inicio a fin a través de un peritaje.
Esto implica que no solo el acto de firma, sino que todos los pasos, como pueden ser las notificaciones ya sea por email o SMS, son evidenciados. Internamente, cada “movimiento” pasa por un motor de evidencia que permite rastrear y auditar todos los eventos relacionados con un documento firmado digitalmente.
Por tanto, nos permite garantizar la integridad y la autenticidad de estos procesos, algo que es de vital importancia en un entorno legal.
En Docuten proporcionamos a nuestros clientes, con cada proceso de firma y notificación, un documento que incluye todos los pasos de un proceso, incluyendo las evidencias que se van recogiendo en los mismos.
Además, Docuten cuenta con la tecnología blockchain, añade una capa más de seguridad a nuestras soluciones de firma a nivel internacional, que se debe principalmente a su carácter distribuido y públicamente auditable.
En definitiva, operar en blockchain nos permite auditar la existencia de documentos, facilitando a nuestros clientes el seguimiento del ciclo de vida de los mismos.
En el webinar hablaremos del certificado cualificado ante un conflicto. ¿Qué aporta en la estrategia de la gestión del riesgo en una empresa?
Antes de entrar en detalle, hablemos sobre lo que es un certificado cualificado.
Un certificado cualificado es un documento electrónico que vincula a una persona física o jurídica con una clave pública o una clave privada y confirma su identidad.
Este ha de emitirse por una Autoridad de Certificación Cualificada y tiene formatos de emisión en software o emisión en un dispositivo cualificado de creación de firma.
Hasta aquí lo tenemos claro, pero, a la hora de hablar de firmas cualificadas, estamos añadiendo una capa más de seguridad. Además de garantizar de que hay una Autoridad de Certificación Cualificada en la emisión del certificado cualificado, garantiza que la firma se genera en un dispositivo seguro de creación de firmas:
- Smartcard (por ejemplo el DNI electrónico)
- Token USB.
- HSM (Hardware Security Module)
Esto implica que el certificado cualificado creado en un dispositivo seguro de creación de firma tiene un mayor nivel de seguridad, ya que este no puede salir del dispositivo, evitando que otra persona pueda usarlo, es específico para cada proceso y está recogido en la lista II del art.31 del eIDAS.
Bajando esto al día a día, podemos realizar una firma avanzada con un certificado cualificado emitido por una Autoridad de Certificación Cualificada sin que esta se realice en un dispositivo cualificado de creación de firma; y una firma cualificada con un certificado cualificado emitido por una Autoridad de Certificación Cualificada mediante un dispositivo cualificado de creación de firmas.
En España, puede haber casos donde la legalidad es equiparable, pero desde un punto de vista de reconocimiento transfronterizo esto no es así.
En caso de conflicto, el certificado cualificado proporciona una prueba sólida de la identidad del firmante y la integridad del documento, lo que minimiza el riesgo de disputas y facilita la resolución de conflictos. De esta manera, una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida con este mismo nivel en todos los demás Estados miembros.
Por ello, recomendamos a nuestros clientes que usen este tipo de firma en cualquier documentación sensible.
¿Cuál es vuestra experiencia con las asesorías jurídicas respecto a la firma electrónica?
Nuestra experiencia con las asesorías jurídicas ha sido siempre muy positiva. Los responsables legales valoran mucho que les podamos proporcionar soluciones que abarcan todas las tipologías legales de firma y adaptadas a los diferentes casos de uso, y además tengamos la capacidad de emitir certificados de una manera ágil (por medio de la video identificación) para poder hacer firmas cualificadas con un alto nivel de usabilidad.
¿Cuáles son los costes y tiempos en la implantación de la firma digital en una asesoría jurídica?
Los costes y tiempos en la implantación de la firma digital en una asesoría jurídica pueden variar según el tamaño de la firma y la complejidad de sus procesos. Y también influye si integra la solución de firma con alguno de sus programas de gestión, ERP, CRM, etc.
Eso sí, se puede empezar a usar firma digital con Docuten desde 480 €/año y en apenas unos días, por lo que cualquier empresa puede empezar de manera sencilla a digitalizar estos procesos.
Además, cualquier inversión realizada en digitalizar procesos de firma rápidamente se recupera mediante la reducción de costes operativos, el ahorro de tiempo y la mejora en la experiencia del cliente.