Validez Jurídica de las firma biométricas de Sinatura

En este artículo determinaremos la eficacia jurídica y la admisibilidad en procedimientos judiciales de las firmas biométricas y los documentos electrónicos firmados con la plataforma Sinatura.

1 - Marco legal

Para determinar dicha eficacia jurídica y admisibilidad en procedimientos judiciales, debe recurrirse al siguiente marco legal:

2 - Firmas electrónicas, Documentos electrónicos y Contratación Electrónica

La validez y efectos legales de las firmas electrónicas a nivel europeo se encuentran regulados por el Reglamento (UE) 910/2014, de 23 de julio, regulador de la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.

El Reglamento (UE) 910/2014, de aplicación directa a España dado su estatus de Reglamento, se aprobó con el firme propósito de reforzar la confianza en las transacciones electrónicas en el mercado interior, proporcionando una base común para lograr interacciones electrónicas seguras entre los ciudadanos, las empresas y las administraciones públicas, e incrementando, en consecuencia, la eficacia de los servicios en línea públicos y privados, los negocios electrónicos y el comercio electrónico en la Unión.

El Objeto del Reglamento (UE) 910/2014 se define en el Artículo 1 del siguiente modo:

“Con el objetivo de garantizar el correcto funcionamiento del mercado interior aspirando al mismo tiempo a un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza, el presente Reglamento:”

“b) establece normas para los servicios de confianza, en particular para las transacciones electrónicas.”

“c) establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.”

El Reglamento (UE) 910/2014 extiende el ámbito de aplicación a todos los prestadores de servicios de confianza de la Unión:

“1. El presente Reglamento se aplica a los sistemas de identificación electrónica notificados por los Estados miembros y a los prestadores de servicios de confianza establecidos en la Unión.”

Aunque, en virtud del punto 2 del Artículo 2, “El presente Reglamento no se aplica a la prestación de servicios de confianza utilizados exclusivamente dentro de sistemas cerrados resultantes del Derecho nacional o de acuerdos entre un conjunto definido de participantes”, únicamente los servicios de confianza prestados al público que tengan efectos en terceros deben cumplir las obligaciones establecidas en el Reglamento (UE) 910/2014, para los cuales, el Reglamento establece un marco jurídico general para la utilización de dichos servicios de confianza.

Las firmas electrónicas están reguladas en la SECCIÓN 4 del Reglamento (UE) 910/2014. Ya en el primer artículo de la SECCIÓN, el artículo 25, se establece que:

“1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada”.

Por lo tanto, cualquier firma electrónica no deja de gozar de efectos jurídicos o admisibilidad en procedimientos judiciales por el mero hecho de ser electrónica.

3 - Obligaciones de las firmas electrónicas

El Reglamento (UE) 910/2014 detalla las obligaciones que deben cumplir las firmas electrónicas avanzadas y las firmas electrónicas cualificadas. La plataforma Sinatura genera firmas electrónicas avanzadas conforme al Reglamento (UE) 910/2014, tal y como se detalla a continuación.

El Artículo 26 del Reglamento (UE) 910/2014 establece los requisitos para las firmas electrónicas avanzadas:

“Una firma electrónica avanzada cumplirá los requisitos siguientes:

a) estar vinculada al firmante de manera única;

b) permitir la identificación del firmante;

c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y

d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.”

Se establecen por lo tanto 4 requisitos para que una firma electrónica sea considerada firma electrónica avanzada:

El primero, que la firma electrónica debe “estar vinculada al firmante de manera única”. Con Sinatura, el firmante no firma con una tarjeta de coordenadas, con un certificado electrónico instalado en su ordenador o en su dispositivo móvil, sino que firma con su propia mano, por lo que la vinculación con él es directa, al igual que con cualquier sistema de firma biométrica de documentos o firma manuscrita en papel. Sinatura, opcionalmente, permite el envío de un código de autenticación de un solo uso (OTP – One Time Token), generado aleatoriamente por la propia plataforma Sinatura, que el firmante recibe por SMS en su teléfono móvil, y que ha de introducir durante el proceso de firma, lo que refuerza la vinculación.

El segundo requisito es que “la firma electrónica ha de permitir la identificación del firmante”. Al tratarse de una firma manuscrita, al igual que en el caso de las firmas en papel, la vinculación con el firmante, de ponerse en duda, se realiza mediante análisis caligráfico, con la ventaja de que en el caso de las firmas electrónicas de Sinatura se cuenta con información tales como la velocidad, los tramos de firma y su secuencia temporal, no presentes en las firmas en papel. Adicionalmente, la plataforma Sinatura recaba evidencias electrónicas adicionales sobre el proceso de firma, tales como direcciones IP, datos sobre el dispositivo de firma o información de geo-localización, que facilitan la labor del perito de cara a establecer la vinculación con el firmante, o la valoración del tribunal conforme a las reglas de la sana crítica, de acuerdo con el Artículo 326.2 del la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Tal y como se ha comentado en el párrafo anterior, Sinatura, opcionalmente, permite el envío de un código de autenticación de un solo uso (OTP), generado aleatoriamente por la propia plataforma Sinatura, que el firmante recibe por SMS en su teléfono móvil, y que ha de introducir durante el proceso de firma, lo que facilita la identificación del firmante.

El tercer requisito es que la firma debe “haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo”. La firma electrónica en Sinatura se realiza en la aplicación web Sinatura (https://www.sinatura.es), identificada con un certificado de servidor SSL para correcta identificación y confianza del firmante, a la que se accede mediante un navegador web de un smartphone o táblet, donde el firmante podrá visualizar con gran detalle el documento a firmar, decidir si firma o no el documento, firmar con su propia mano, y decidir finalmente si envía el documento firmado, o no, a la plataforma Sinatura. El proceso y entorno tecnológico de Sinatura aportan, por lo tanto, los más altos niveles de confianza y control a los firmantes.

El cuarto y último requisito es que la firma electrónica debe “estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.” Una vez que el firmante ha firmado un documento electrónico, Sinatura realiza el siguiente proceso:

  1. Encripta los datos de la firma biométrica del firmante, para asegurar su privacidad y evitar la reutilización de los datos de la firma en otros documentos electrónicos.
  2. Inserta, como metadatos del documento PDF firmado, los datos de la firma biométrica encriptados. De este modo, se cumple con el requerimiento de que “la firma debe estar vinculada con los datos firmados”, en este caso el documento PDF.
  3. El documento PDF con los datos de la firma manuscrita biométrica encriptados se firma electrónicamente con un certificado cualificado de firma electrónica, conformando una firma electrónica Pades con el nivel de conformidad B o T conforme al estándar ETSI TS 102 778-3.

Con la firma electrónica de ambos contenidos se da cumplimiento a la obligación de que “cualquier modificación ulterior de los datos firmados sea detectable”, puesto que cualquier modificación de los datos impedirá la verificación de la firma, lo cual, puede ser comprobado con cualquiera de las múltiples aplicaciones gratuitas o de pago que permiten verificar firmas Pades, como por ejemplo los productos de Adobe.

El Artículo 27 del Reglamento (UE) 910/2014 en su apartado 1, establece que “si un Estado miembro requiere una firma electrónica avanzada con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas”, “por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5”.

El citado apartado 5, establece que “a más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión existentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o métodos de referencia cuando se utilicen formatos alternativos.”

Los formatos de referencia de las firmas electrónicas avanzadas citados en el apartado 5, se definen en la Decisión de Ejecución (UE) 2015/1506 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público de conformidad con los artículos 27, apartado 5, y 37, del Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior”.

En concreto, en su Artículo 1 establece que “los Estados miembros que requieran una firma electrónica avanzada o una firma electrónica avanzada basada en un certificado cualificado como se prevé en el artículo 27, apartados 1 y 2, del Reglamento (UE) no 910/2014, reconocerán la firma electrónica avanzada XML, CMS o PDF en el nivel de conformidad B, T o LT o con un contenedor con firma asociada donde las firmas cumplan las especificaciones técnicas que figuran en el anexo”.

Sinatura genera firmas electrónicas avanzadas en formato PDF con los niveles de conformidad B o T, por lo que se da cumplimiento a esta parte de la normativa en referencia a los formatos de firma electrónica en los servicios públicos.

4 - Documentos Electrónicos

El Artículo 46 del CAPÍTULO IV del Reglamento (UE) no 910/2014 , titulado “DOCUMENTOS ELECTRÓNICOS”, establece la eficacia jurídica y admisibilidad como prueba en procedimientos judiciales a los documentos electrónicos:

“No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un documento electrónico por el mero hecho de estar en formato electrónico.”

Por lo tanto, los documentos electrónicos generados por Sinatura poseen plena eficacia jurídica.

Además, el Artículo 3 de la Ley 6/2020, titulado “Efectos jurídicos de los documentos electrónicos”, en su apartado 1, remite en cuanto al valor probatorio y eficacia jurídica de los documentos electrónicos, a la norma procesal aplicable según la naturaleza del documento: “Los documentos electrónicos públicos, administrativos y privados, tienen el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable”.

El apartado 2 del citado Artículo 3, establece “la prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado se regirá por lo dispuesto en el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.” El citado aparatado 3 del artículo 326 de la Ley 1/2000, versa: “Cuando la parte a quien interese la eficacia de un documento electrónico lo solicite o se impugne su autenticidad, integridad, precisión de fecha y hora u otras características del documento electrónico que un servicio electrónico de confianza no cualificado de los previstos en el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, permita acreditar, se procederá con arreglo a lo establecido en el apartado 2 del presente artículo y en el Reglamento (UE) n.º 910/2014”.

Por lo tanto, los documentos firmados generados por el servicio Sinatura, como documentos electrónicos, poseerán todo el valor probatorio y la eficacia jurídica que le otorgue su naturaleza, independientemente del hecho de que hayan sido conformados por medios electrónicos.

5 - Contratos electrónicos

En el caso específico de la firma de contratos por vía electrónica, estaríamos simplemente limitados a las obligaciones del Código Civil al respecto, que establece en sus Artículos 1261 y 1262 que:

Artículo 1261:

“No hay contrato sino cuando concurren los requisitos siguientes:

1.º Consentimiento de los contratantes.

2.º Objeto cierto que sea materia del contrato.

3.º Causa de la obligación que se establezca”.

Artículo 1262:

“El consentimiento se manifiesta por el concurso de la oferta y de la aceptación sobre la cosa y la causa que han de constituir el contrato.

Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta.

En los contratos celebrados mediante dispositivos automáticos hay consentimiento desde que se manifiesta la aceptación.”

Por lo tanto, la validez de los contratos conforme al Código Civil no presenta relación con si su aceptación es electrónica o impresa.

En relación a la Contratación por vía electrónica, es obligatorio citar los Artículos 23 y 24 de la La Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), que incorpora al ordenamiento legislativo español la Directiva 2000/31/CE del Consejo y del Parlamento Europeo en la que se regulan determinados aspectos jurídicos de los Servicios de la Sociedad de la Información, en particular los relativos al comercio electrónico.

El Artículo 23 establece que:

“1. Los contratos celebrados por vía electrónica producirán todos los efectos previstos por el ordenamiento jurídico, cuando concurran el consentimiento y los demás requisitos necesarios para su validez.”

“2. Para que sea válida la celebración de contratos por vía electrónica no será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos.”

“3. Siempre que la Ley exija que el contrato o cualquier información relacionada con el mismo conste por escrito, este requisito se entenderá satisfecho si el contrato o la información se contiene en un soporte electrónico.”

Por lo tanto, la contratación electrónica posee plena validez jurídica desde el año 2002. Además, el Artículo 24 de la Ley LSSI indica que:

“En todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental”.

6 - SINATURA es un Prestador de Servicios de Confianza

El Reglamento 910/2014 define los Servicios de Confianza, en su artículo 3, como:

“El servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en:

a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o

b) la creación, verificación y validación de certificados para la autenticación de sitios web, o

c) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios;”

El reglamento define, en el mismo artículo, a los Prestadores de Servicios de Confianza como “una persona física o jurídica que presta uno o más servicios electrónicos de confianza, bien como prestador cualificado o como prestador no cualificado de servicios electrónicos de confianza”.

El Artículo 19 establece los Requisitos de seguridad aplicables a los prestadores de servicios de confianza, en concreto, dicta que los Prestadores de Servicios de Confianza:

“Adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Habida cuenta de los últimos avances tecnológicos, dichas medidas garantizarán un nivel de seguridad proporcionado al grado de riesgo. En particular, se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de cualquiera de tales incidentes.”

El Reglamento (UE) 910/2014 establece en su artículo 17 que:

“Los Estados miembros designarán un organismo de supervisión establecido en su territorio o, previo acuerdo mutuo con otro Estado miembro, un organismo de supervisión establecido en otro Estado miembro. Dicho organismo será responsable de las funciones de supervisión en el Estado miembro que efectúa la designación”.

En España, el organismo de supervisión es el Ministerio de Energía, Turismo y Agenda Digital (https://www.mincotur.gob.es/), en virtud del Artículo 14 de la Ley 6/2020, que versa: “El Ministerio de Asuntos Económicos y Transformación Digital, como órgano de supervisión, controlará el cumplimiento por los prestadores de servicios electrónicos de confianza cualificados y no cualificados que ofrezcan sus servicios al público de las obligaciones establecidas en el Reglamento (UE) 910/2014 y en esta Ley.”

El Artículo 12 de la Ley 6/2020, obliga a los prestadores de servicios de confianza a “comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses desde que la inicien, que publicará en su página web el listado de prestadores de servicios de confianza no cualificados en una lista diferente a la de los prestadores de servicios de confianza cualificados, con la descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados. En el mismo plazo deberán comunicar la modificación de los datos inicialmente transmitidos y el cese de su actividad.”

Cumpliendo con el mandato del Artículo 12, Sinatura ha comunicado su actividad en plazo y forma, y consta registrado correctamente como Prestador de Servicio de Confianza, hecho que puede ser comprobado mediante consulta en la web del Ministerio de Asuntos Económicos y Transformación Digital.

En virtud del Artículo 9 de la Ley 6/2020, Sinatura, está obligado a:

“a) Publicar información veraz y acorde con esta Ley y el Reglamento (UE) 910/2014.

b) No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.

Al respecto del apartado b anterior, Sinatura realiza encriptación de los datos de creación de firma de los firmantes, los cuales se insertan encriptados en el documento electrónico generado, sin guardar copia o almacenamiento alguno. La encriptación se realiza en base a un proceso de doble clave, para aumentar la seguridad. Adicionalmente, todas las comunicaciones se realizan por canal seguro. Todas las comunicaciones se producen por canales de comunicación electrónica seguros con certificado de servidor SSL.

Además de la obligación anterior, Sinatura está obligado a “facilitar al Ministerio de Asuntos Económicos y Transformación Digital toda la información y colaboración precisas para el ejercicio de sus funciones”, y “permitir a sus funcionarios o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.6 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa”, atendiendo al Artículo 17 de la Ley 6/2020.

Como Prestador de Servicios de Confianza, Sinatura está sujeto a las obligaciones de seguridad de la información establecidas en el Artículo 13 de la Ley 6/2020, a saber: “Notificar al Ministerio de Asuntos Económicos y Transformación Digital las violaciones de seguridad o pérdidas de la integridad señaladas en el artículo 19.2 del Reglamento (UE) 910/2014”; “tomar las medidas necesarias para resolver los incidentes de seguridad que les afecten”; y “ampliar, en un plazo máximo de un mes tras la notificación del incidente y, de haber tenido lugar, tras su resolución, la información suministrada en la notificación inicial con arreglo a las directrices y formularios que pueda establecer el Ministerio de Asuntos Económicos y Transformación Digital.”

7 - Conclusiones

Al amparo del Reglamento (UE) 910/2014 de la UE, y a la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, Sinatura es un servicio electrónico de confianza registrado en el Ministerio de Energía, Turismo y Agenda Digital, que permite a sus usuarios y terceros la firma electrónica de documentos de todo tipo con plena eficacia jurídica.

Sinatura genera firmas electrónicas avanzadas conforme al Reglamento (UE) 910/2014, las cuales poseen plena eficacia jurídica y valor probatorio conforme al citado Reglamento.

Los documentos electrónicos generados por Sinatura poseen plena eficacia jurídica conforme al marco legal europeo y español citado a lo largo del presente documento.

Prestador de Servicio de Confianza Registrado en el Ministerio de Asuntos Económicos y Transformación Digital

Prestador de Servicio de Confianza registrado en el Ministerio de Asuntos Económicos y Transformación Digital
Registrado en el catálogo de empresas y soluciones de ciberseguridad del INSTITUTO NACIONAL DE CIBERSEGURIDAD (INCIBE)
Sinatura esá registrada en el catálogo de empresas y soluciones de ciberseguridad del INSTITUTO NACIONAL DE CIBERSEGURIDAD (INCIBE)