Las firmas electrónicas sirven para identificar al emisor de una comunicación electrónica y determinar su intención con respecto a dicha comunicación. Algunos tipos de firmas electrónicas, en concreto las firmas digitales basadas en certificados de PKI, pueden proporcionar información adicional, por ejemplo, sobre la integridad del mensaje de datos y sobre el sellado de tiempo.
Muchas leyes regulan el reconocimiento legal de las firmas electrónicas y establecen los requisitos que deben cumplirse para que una firma electrónica pueda considerarse legalmente equivalente a una firma autógrafa. Esto refleja la importancia que se da a las firmas en las prácticas de negocio. Sin embargo, los enfoques legislativos pueden variar significativamente, en particular en lo que respecta a la neutralidad tecnológica y al estatus de los proveedores de servicios.
Los servicios de confianza son servicios electrónicos que garantizan la calidad de los datos. Los servicios de confianza se utilizan a menudo para establecer la confianza en el uso de las comunicaciones electrónicas.
I.B.1 ¿Aborda la ley cómo se incorporan las firmas electrónicas en un entorno electrónico, incluyendo las firmas electrónicas de identificación, autorización y autenticación? ¿La ley requiere el uso de una tecnología o método específico para las firmas electrónicas o es neutral desde el punto de vista tecnológico?
(a) La ley puede imponer el uso de una tecnología específica para las firmas electrónicas. Un enfoque específico de la tecnología explica cómo deben crearse las firmas electrónicas y, a menudo, autenticarse (certificarse) para que sean válidas. El objetivo de este enfoque es, por lo general, garantizar la fiabilidad o la seguridad del desempeño de la “función”, especialmente la identificación del firmante, pero también el vínculo entre el firmante y la información. Así, la ley puede exigir el uso de certificados digitales basados en la infraestructura de clave pública PKI (PKI, por sus siglas en inglés). En ese caso, la ley también puede especificar qué proveedores de datos de firma PKI y de servicios de soporte (en particular, la emisión de certificados) están reconocidos y establecer un régimen de supervisión (certificación, acreditación, concesión de licencias o monopolio) para ellos.
El artículo 2 de la Ley de la República de Armenia sobre Documentos Electrónicos y Firmas Electrónicas de 2004, define la firma electrónica por referencia al uso de técnicas criptográficas.
2. Definiciones
“Firma digital electrónica” significa datos de creación de la firma obtenidos y una modificación de los datos criptográficos del documento electrónico proporcionado presentados en una secuencia única de símbolos en forma electrónica, que se adjunta a un documento electrónico o se asocia lógicamente con él y que se utiliza para identificar al firmante, así como para proteger el documento electrónico de la falsificación y la distorsión.
En caso de una ley de firma electrónica de tecnología específica, favor de proporcionar detalles de las características requeridas. A menudo se trata de una firma digital respaldada por un certificado basado en PKI emitido por un tercero de confianza, a veces una autoridad pública. Estos detalles pueden figurar en los reglamentos de aplicación y pueden variar según el tipo de documento o transacción.
(b) Otra posibilidad es que la ley sea neutral desde el punto de vista tecnológico y reconozca todos los tipos de firmas electrónicas. Pueden hacerse excepciones para tipos específicos de documentos o transacciones.
Por ejemplo, el artículo 10 de la Ley de Transacciones Electrónicas de 1999 de Australia.
10. Exigencia de una firma
(1) Si, en virtud de una ley de la Commonwealth, se exige la firma de una persona, se considerará que ese requisito se ha cumplido en relación con una comunicación electrónica si:
(a) en todos los casos – se utiliza un método para identificar a la persona y para indicar la intención de la persona con respecto a la información comunicada; y
(b) en todos los casos – el método utilizado fue:
i. tan confiable como apropiado para el propósito para el que se generó o comunicó la comunicación electrónica, a la luz de todas las circunstancias, incluido cualquier acuerdo pertinente; o
ii. probado de hecho para cumplir las funciones descritas en el párrafo (a), por sí mismo o junto con otras pruebas; y
(SIC) I si se requiere que la firma se entregue a una entidad de la Commonwealth, o a una persona que actúe en nombre de una entidad de la Commonwealth, y la entidad exige que el método utilizado, tal como se menciona en el párrafo (a), se ajuste a los requisitos particulares de la tecnología de la información, se ha cumplido el requisito de la entidad; y
(d) si se requiere que la firma se entregue a una persona que no es una entidad de la Commonwealth ni una persona que actúa en nombre de una entidad de la Commonwealth–, la persona a la que se le debe entregar la firma consiente en que se ha cumplido ese requisito mediante el uso del método mencionado en el párrafo a).
(c) A menudo la ley adopta un enfoque intermedio, denominado “de dos niveles” o “híbrido”: a todos los métodos de autenticación se les puede reconocer valor jurídico, si cumplen determinados requisitos, y 2) determinadas tecnologías que ofrecen niveles de seguridad más elevados (normalmente firmas digitales emitidas por una autoridad certificadora reconocida) tienen un estatus jurídico más fuerte, normalmente asociado a presunciones de origen e integridad.
El artículo 226 de la Ley del Derecho de los Contratos y el Comercio 2017 de Nueva Zelanda es una disposición neutral desde el punto de vista tecnológico sobre las firmas electrónicas, basada en el enfoque de la equivalencia funcional.
226. Requisito legal de la firma
(1) Un requisito legal para una firma que no sea la de un testigo se cumple por medio de una firma electrónica si la firma electrónica —
(a) identifica adecuadamente al firmante e indica adecuadamente la aprobación del firmante de la información a la que se refiere la firma; y
(b) es tan confiable como apropiado teniendo en cuenta la finalidad y las circunstancias en las que se requiere la firma.
(2) No obstante, la exigencia legal de una firma que se refiera a una información que legalmente deba entregarse a una persona sólo se cumple mediante una firma electrónica si dicha persona consiente en recibir la firma electrónica.
El artículo 228 de la misma ley establece a través de tecnología neutral los requisitos para presumir la fiabilidad de la firma electrónica
228. Presunción de fiabilidad de la firma electrónica
(1) Para efectos de los artículos 226 y 227, se presume que una firma electrónica es tan fiable como sea apropiado si —
(a) el medio de creación de la firma electrónica está vinculado al firmante y a ninguna otra persona; y
(b) el medio de creación de la firma electrónica estaba bajo el control del firmante y de ninguna otra persona; y
(c) cualquier alteración de la firma electrónica realizada después del momento de la firma es detectable; y
(d) cuando la finalidad del requisito legal de una firma sea ofrecer garantía en cuanto a la integridad de la información a la que se refiere, cualquier alteración realizada a dicha información después del momento de la firma sea detectable.
(2) El Subapartado (1) no impide que cualquier persona pruebe por otros motivos o por otros medios que una firma electrónica —
(a) es tan confiable como sea apropiado; o
(b) no es tan confiable como sea apropiado.
I.B.2 ¿La ley adopta un enfoque de equivalencia funcional para las firmas electrónicas?
De acuerdo con la aplicación general de los principios de equivalencia funcional, la ley puede establecer las condiciones en las que una firma electrónica se considera equivalente a una firma autógrafa. Si se adopta un enfoque de equivalencia funcional, una firma electrónica debe normalmente identificar al firmante e indicar la intención del firmante con respecto a la información firmada.
Por ejemplo, el artículo 9 de la Ley Modelo de la CNUDMI sobre Documentos Transmisibles Electrónicos (2017).
9. Firma
Cuando la ley exija o permita la firma de una persona, este requisito se cumplirá con un documento electrónico transferible si se utiliza un método fiable para identificar a esa persona e indicar su intención con respecto a la información contenida en el documento electrónico transferible.
I.B.3 ¿La ley se basa en estándares internacionales?
Muchas jurisdicciones han basado sus leyes de firma electrónica en modelos uniformes.
Los textos jurídicos de la CNUDMI, especialmente el Ley Modelo de la CNUDMI sobre las Firmas Electrónicas, ofrecen un conjunto de disposiciones sobre la firma electrónica basadas en los principios de neutralidad tecnológica y equivalencia funcional. Existen otros modelos regionales, como el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento del sistema europeo de reconocimiento de identidades), y algunas leyes nacionales influyentes.
Esta pregunta da la oportunidad de identificar esas normas internacionales y describir las variaciones significativas que la legislación nacional ha realizado con respecto a sus fuentes internacionales.
I.B.4 ¿Reconoce la ley las firmas electrónicas extranjeras?
Una firma electrónica extranjera es una firma electrónica emitida o aplicada fuera de la jurisdicción en la que se solicita su reconocimiento legal. También puede contener otros elementos extranjeros, como confiar en un certificado basado en PKI generado en el extranjero.
En determinadas jurisdicciones, la ley sólo reconoce las firmas electrónicas nacionales. En muchos casos, este resultado puede ser implícito, ya que la ley no contiene ninguna disposición sobre las firmas electrónicas extranjeras. Sin embargo, el silencio sobre las firmas electrónicas extranjeras no significa necesariamente que sean inválidas.
Otras jurisdicciones pueden tener leyes, reglamentos, políticas o acuerdos para reconocer legalmente a las firmas electrónicas extranjeras.
La ley puede atribuir a un determinado organismo la posibilidad de reconocer las firmas electrónicas, o ciertos tipos de ellas, basándose en lineamientos generales.
Véase, por ejemplo, la Ley de Tecnología de la Información 2000 (No. 21 de 2000) de la India.
19. Reconocimiento de autoridades certificadoras extranjeras
(1) Con sujeción a las condiciones y restricciones que se especifiquen en los reglamentos, el Controlador podrá, con la aprobación previa del Gobierno Central y mediante notificación en el Boletín Oficial, reconocer a cualquier Autoridad Certificadora extranjera como Autoridad Certificadora a los efectos de la presente Ley.
89. Facultad del controlador para establecer reglamentos
(1) El Controlador puede, previa consulta con el Comité Consultivo de Regulación Cibernética y con la aprobación previa del Gobierno Central, mediante notificación en el Boletín Oficial, elaborar reglamentos en concordancia con esta Ley y con las normas dictadas en virtud de la misma, para llevar a cabo los propósitos de esta Ley.
(2) En particular, y sin perjuicio de la generalidad de la facultad anterior, dichos reglamentos podrán prever todas o algunas de las siguientes cuestiones, a saber […] (b) las condiciones y restricciones bajo las cuales el Controlador puede reconocer a cualquier Autoridad Certificadora extranjera en virtud del subapartado (1) del artículo 19;
Alternativamente, las transacciones electrónicas neutrales desde el punto de vista tecnológico pueden aplicar las mismas normas para validar el uso de firmas electrónicas nacionales y extranjeras. Es decir, a la hora de valorar la validez de la firma, se prescinde del elemento extranjero.
En esa línea, el artículo 12 de la Ley Modelo de la CNUDMI sobre las Firmas Electrónicas establece una prueba de equivalencia sustancial entre los niveles de fiabilidad que ofrecen las firmas en cuestión en diferentes lugares. El artículo ofrece efectos jurídicos a una firma electrónica extranjera si dicha firma ofrece un nivel de fiabilidad sustancialmente equivalente al de una firma electrónica emitida en el Estado promulgante.
12. Reconocimiento de certificados y firmas electrónicas extranjeras
1. Para determinar si un certificado o una firma electrónica tienen eficacia jurídica, o en qué medida, no se tendrá en cuenta:
a) A la ubicación geográfica donde se emite el certificado o se crea o utiliza la firma electrónica; o
b) A la ubicación geográfica del lugar de negocios del emisor o firmante.
2. Un certificado expedido fuera de [el Estado promulgante] tendrá los mismos efectos jurídicos en [el Estado promulgante] que un certificado expedido en [el Estado promulgante] si ofrece un nivel de fiabilidad sustancialmente equivalente.
3. Una firma electrónica creada o utilizada fuera de [el Estado promulgante] tendrá los mismos efectos jurídicos en [el Estado promulgante] que una firma electrónica creada o utilizada en [el Estado promulgante] si ofrece un nivel de fiabilidad sustancialmente equivalente.
4. Para determinar si un certificado o una firma electrónica ofrecen un nivel de fiabilidad sustancialmente equivalente para los efectos de los párrafos 2 o 3, se tendrán en cuenta las normas internacionales reconocidas y cualquier otro factor pertinente.
5. Cuando, no obstante, lo dispuesto en los párrafos 2, 3 y 4, las partes acuerden entre sí la utilización de determinados tipos de firmas electrónicas o de certificados, dicho acuerdo se reconocerá como suficiente a efectos del reconocimiento transfronterizo, a menos que dicho acuerdo no sea válido o eficaz con arreglo a la legislación aplicable.
El reconocimiento legal de las firmas extranjeras también puede establecerse mediante un tratado o un instrumento regional. El apartado 3 del artículo 9 de la ECC tiene este efecto cuando se utilizan firmas electrónicas en los intercambios comerciales, ya que la ECC es un tratado que vincula a sus Estados parte. El Reglamento sistema europeo de reconocimiento de identidades tiene el mismo efecto dentro de la Unión Europea (eIDAS Regulation, por sus siglas en inglés).
De forma similar a lo que ocurre con las firmas electrónicas nacionales, el reconocimiento legal de las firmas electrónicas extranjeras, o de ciertos tipos de ellas, utilizadas para los intercambios electrónicos dentro de un sector concreto (como los bancos) o entre determinados participantes (como los organismos públicos) puede estar determinado por leyes especiales (como las leyes aduaneras) o por otros instrumentos jurídicos.
Por último, la ley puede permitir que las partes de una transacción comercial acuerden las condiciones de reconocimiento de las firmas extranjeras. Esto se suele permitir con base en principios jurídicos generales más que con base en disposiciones específicas de la ley. El Marco de Reconocimiento Mutuo de la PKI de la Alianza Panasiática del Comercio Electrónico (PAA, por sus siglas en inglés) es un mecanismo contractual utilizado por los participantes de la misma para lograr el reconocimiento legal mutuo de los certificados digitales extranjeros. Los mecanismos contractuales funcionan dentro de los límites de las disposiciones legales obligatorias que puedan ser aplicables.
I.B.5 ¿Existen normas especiales para el uso de la firma electrónica en el comercio sin papel?
Si se promulgan leyes sobre el comercio sin papel, pueden contener disposiciones especiales. Un ejemplo de esta legislación podría ser el régimen jurídico para el funcionamiento de la ventanilla única electrónica.
I.B.6 ¿La ley prevé los servicios de confianza?
Los servicios de confianza son servicios electrónicos que garantizan la calidad de los datos. Las firmas electrónicas pueden considerarse un tipo de servicio de confianza, pero, debido a su importancia, se tratan por separado. Otros servicios de confianza habituales incluyen la garantía de la integridad del mensaje y de la fecha y hora en que se realizaron determinadas funciones (“sellado de tiempo”). A menudo, estos servicios se prestan con tecnología de PKI por el mismo proveedor que emite certificados basados en PKI para las firmas digitales. Otros servicios de confianza son los servicios de entrega electrónica registrada, la autenticación de sitios web y los servicios de archivo.
La ley puede contener normas generales sobre la situación legal de algunos o todos los servicios de confianza. También puede imponer el uso de ciertos servicios de confianza para determinados tipos de transacciones.
Las disposiciones especiales sobre el uso de los servicios de confianza también pueden encontrarse en la legislación relativa al comercio sin papel.