La digitalización de la sociedad y la desmaterialización de los documentos han permitido el desarrollo de la firma electrónica en Francia. La tendencia es tan fuerte que incluso los organismos públicos actualmente permiten que los ciudadanos firmen documentos administrativos con la firma electrónica[1].
¿Cómo se garantiza la legalidad del programa de firma electrónica?
Exceptos algunas excepciones[2], todos los documentos se pueden firmar electrónicamente. No obstante, este procedimiento aún topa con un gran desconocimiento del marco legal que afecta a la firma electrónica.
Contrariamente a la idea extendida, no es suficiente con introducir la imagen de la firma en un documento digital para que este tenga valor jurídico. Con el fin de evitar inconvenientes, el programa de firma electrónica debe tener un valor legal innegable ante un tribunal. Concretamente, la firma electrónica debe registrarse en un marco legislativo concreto a través de un recurso informático suministrado por una tercera parte certificada y de confianza.
¡Descubramos cómo hacer un buen uso de la firma electrónica!
Una normativa vigente y bien definida en Francia y en Europa
El concepto de firma electrónica no es nuevo desde el punto de vista legal. Efectivamente, desde el año 2000, la firma electrónica dispone de valor jurídico conforme al artículo 1316-4 del código civil (artículo 1367[3] desde 2016) en Francia. El derecho francés especifica condiciones específicas para certificar una firma electrónica. Esta debe identificar claramente el firmante, garantizar su vínculo exclusivo con el acto y, finalmente, garantizar su vínculo exclusivo con el acto. En 2016, la Regulación europea eIDAS[4] (Electronic IDentification And Trust Services) reforzó la seguridad jurídica de la firma electrónica aportando un marco legal claro, de referencia y uniforme en lo que respecta a los 28 Estados miembros. El artículo 25.1 de la normativa europea establece el principio de no discriminación al respecto. Dicho de otro modo, este artículo recuerda que las firmas electrónicas tienen cierto efecto jurídico y son admisibles en el marco de procedimientos judiciales.
Desde un punto de vista técnico, esto conforma tres tipos de firmas electrónicas: las firmas electrónicas simples, avanzadas y certificadas, que pueden utilizarse en los Estados miembro y que disponen de una normativa adicional que establece su uso. El nivel de seguridad y fiabilidad, así como las condiciones de uso de las firmas electrónicas varían de una categoría a otra.
Cuatro niveles de firma electrónica: simple, avanzada, avanzada-cualificada y cualificada
Desde un punto de vista técnico, la Regulación europea eIDAS define tres tipos de firmas electrónicas, que pueden utilizarse en los Estados miembro y que disponen de una normativa adicional que establece su uso. El nivel de seguridad y fiabilidad, así como las condiciones de uso de las firmas electrónicas varían de una categoría a otra.
La firma «simple»
Es el procedimiento menos fiable pero, paradójicamente, el más utilizado debido a su rapidez y facilidad. Este grado de firma no requiere un proceso de verificación de la identidad de firma. Este tipo de firma sirve para documentos con poco riesgo jurídico (por ejemplo, condiciones generales de una página web, estado de lugares, etc.). Un punto importante: esta firma no es admisible en derecho de sociedades (derecho francés).
La firma «avanzada»
Más segura que la anterior, ya que debe responder a varios aspectos, como el recurso a técnicas de verificación de la identidad del firmante, la creación de un certificado que incluya los datos obtenidos mediante el documento de identidad del firmante, la constitución de un archivo de pruebas destinado a probar varios elementos de seguridad de la creación de la firma electrónica y de trazabilidad del documento firmado. Este grado de firma corresponde a documentos comerciales, jurídicos y administrativos con un riesgo de litigio bajo.
El nivel avanzado se apoya en un certificado cualificado
Se trata de una firma electrónica avanzada, que se apoya en un certificado de firma electrónica cualificado. Este certificado cualificado de firma electrónica es una certificación de la identidad del signatario, proporcionada por un proceso que responde a exigencias que garantizan la validad de la firma, la identidad del signatario o, como mínimo, su nombre, apodo o número de registro, en el caso de una empresa. El certificado cualificado de firma electrónica lo otorga un prestatario de servicios de confianza cualificado que cumple con las exigencias requeridas en el anexo 1 del reglamento eIDAS.
La firma «cualificada»
Garantiza el nivel de seguridad más alto, por lo que requiere una verificación visual de la identidad del firmante por una autoridad de certificación, un aseguramiento de los documentos (encriptado) y adjuntar un certificado oficial emitido por un proveedor habilitado por la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) en Francia. Esta firma es perfecta para transacciones reguladas.
Cómo elegir un proveedor de confianza
Con el fin de progresar en un marco legal concreto y adaptado a la organización, es esencial disponer de la experiencia de un proveedor de recurso de firma electrónica autorizado y certificado.
Los tomadores de decisiones deben saber que en Francia existe una lista de proveedores que cumplen estos criterios y son conformes a las exigencias legales, lista actualizada por la ANSSI (Agencia Nacional de Seguridad de Sistemas de Información) y que se envía a la Comisión europea. Se recomienda especialmente colaborar con un proveedor de servicios conforme a la regulación eIDAS y que esté certificado por la ANSSI.
Además de la certificación ANSSI, la selección de un recurso de firma electrónica debe realizarse según los criterios preferentes. Evidentemente, la capacidad de un recurso a la hora de cumplir la legislación extranjera es un factor determinante si la empresa opera o pretende operar en el ámbito internacional. Asimismo, la facilidad de uso de este recurso por parte de los equipos, el nivel de personalización posible y la flexibilidad también son aspectos a considerar a la hora de tomar una decisión.
Otro aspecto que debe tenerse en cuenta es la integración de la solución en las aplicaciones. Un recurso que se integra perfectamente en las herramientas utilizadas (SAP, Microsoft, etc.) en la empresa comporta menos esfuerzo y facilita su adaptación.
Finalmente, es determinante la capacidad del proveedor a la hora de entender las necesidades de firma según el nivel de complejidad necesario. Se recomienda elegir un recurso que permita adaptar las firmas (sencilla, avanzada o certificada) fácilmente según el riesgo jurídico de un documento. El legislador aporta una definición clara y un marco concreto a la firma electrónica, tanto a nivel nacional como europeo, con el fin de reconocer su valor legal al mismo nivel que una firma clásica. Si la oferta de recursos de firma electrónica se desarrolla, las organizaciones no solo deben elegir una solución según criterios legales, sino técnicos y organizacionales, priorizando la actividad, la exposición ante el riesgo jurídico y la necesidad en cuanto a firmas.