Validez Jurídica de las firma biométricas de Sinatura

En este artículo determinaremos la eficacia jurídica y la admisibilidad en procedimientos judiciales de las firmas biométricas y los documentos electrónicos firmados con la plataforma Sinatura.

1 - Marco legal


Para determinar dicha eficacia jurídica y admisibilidad en procedimientos judiciales, debe recurrirse al siguiente marco legal:

2 - Firmas electrónicas, Documentos electrónicos y Contratación Electrónica


La validez y efectos legales de las firmas electrónicas a nivel europeo se encuentran regulados por el Reglamento (UE) 910/2014, de 23 de julio, regulador de la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.

El Reglamento (UE) 910/2014, de aplicación directa a España dado su estatus de Reglamento, se aprobó con el firme propósito de reforzar la confianza en las transacciones electrónicas en el mercado interior, proporcionando una base común para lograr interacciones electrónicas seguras entre los ciudadanos, las empresas y las administraciones públicas, e incrementando, en consecuencia, la eficacia de los servicios en línea públicos y privados, los negocios electrónicos y el comercio electrónico en la Unión.

El Objeto del Reglamento (UE) 910/2014 se define en el Artículo 1 del siguiente modo:

“Con el objetivo de garantizar el correcto funcionamiento del mercado interior aspirando al mismo tiempo a un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza, el presente Reglamento:”

“b) establece normas para los servicios de confianza, en particular para las transacciones electrónicas.”

“c) establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.”

El Reglamento (UE) 910/2014 extiende el ámbito de aplicación a todos los prestadores de servicios de confianza de la Unión:

“1. El presente Reglamento se aplica a los sistemas de identificación electrónica notificados por los Estados miembros y a los prestadores de servicios de confianza establecidos en la Unión.”

Aunque, en virtud del punto 2 del Artículo 2, “El presente Reglamento no se aplica a la prestación de servicios de confianza utilizados exclusivamente dentro de sistemas cerrados resultantes del Derecho nacional o de acuerdos entre un conjunto definido de participantes”, únicamente los servicios de confianza prestados al público que tengan efectos en terceros deben cumplir las obligaciones establecidas en el Reglamento (UE) 910/2014, para los cuales, el Reglamento establece un marco jurídico general para la utilización de dichos servicios de confianza.

Las firmas electrónicas están reguladas en la SECCIÓN 4 del Reglamento (UE) 910/2014. Ya en el primer artículo de la SECCIÓN, el artículo 25, se establece que:

“1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada”.

Por lo tanto, cualquier firma electrónica no deja de gozar de efectos jurídicos o admisibilidad en procedimientos judiciales por el mero hecho de ser electrónica.

Prácticamente la misma redacción se encuentra en el apartado 9 de la Ley 59/2003 de firma electrónica, que versa “no se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.”

3 - Obligaciones de la firmas electrónicas

El Reglamento (UE) 910/2014 detalla las obligaciones que deben cumplir las firmas electrónicas avanzadas y las firmas electrónicas cualificadas. La plataforma Sinatura genera firmas electrónicas avanzadas conforme al Reglamento (UE) 910/2014, tal y como se detalla a continuación.

El Artículo 26 del Reglamento (UE) 910/2014 establece los requisitos para las firmas electrónicas avanzadas:

“Una firma electrónica avanzada cumplirá los requisitos siguientes:

a) estar vinculada al firmante de manera única;

b) permitir la identificación del firmante;

c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y

d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.”

La misma definición de firma electrónica avanzada se encuentra en la Ley 59/2003 de Firma Electrónica en su Artículo 3.

Se establecen por lo tanto 4 requisitos para que una firma electrónica sea considerada firma electrónica avanzada:

El primero, que la firma electrónica debe “estar vinculada al firmante de manera única”. Con Sinatura, los firmantes no firman con una tarjeta de coordenadas, con un certificado electrónico instalado en su ordenador o en su dispositivo móvil, si no que firma con su propia mano, por lo que la vinculación con el firmante es directa, al igual que con cualquier sistema de firma biométrica de documentos.

El segundo requisito es que “la firma electrónica ha de permitir la identificación del firmante”. Al tratarse de una firma manuscrita, al igual que en el caso de las firmas en papel, la vinculación con el firmante, de ponerse en duda, se realiza mediante análisis caligráfico, con la ventaja de que en el caso de las firmas electrónicas de Sinatura se cuenta con información tales como la velocidad, los tramos de firma y su secuencia temporal, no presentes en las firmas en papel. Adicionalmente, la plataforma Sinatura recaba evidencias electrónicas adicionales sobre el proceso de firma, tales como direcciones IP, datos sobre el dispositivo de firma o información de geo-localización, que facilitan la labor del perito de cara a establecer la vinculación con el firmante.

El tercer requisito es que la firma debe “haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo”. La firma electrónica en Sinatura se realiza en la aplicación web Sinatura (https://www.sinatura.es), identificada con un certificado de servidor SSL para correcta identificación y confianza del firmante, a la que se accede mediante un navegador web de un smartphone o táblet, donde el firmante podrá visualizar con gran detalle el documento a firmar, decidir si firma o no el documento, firmar con su propia mano, y decidir finalmente si envía el documento firmado, o no, a la plataforma Sinatura. El proceso y entorno tecnológico de Sinatura aportan, por lo tanto, los más altos niveles de confianza y control a los firmantes.

El cuarto y último requisito es que la firma electrónica debe “estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.” Una vez que el firmante ha firmado un documento electrónico, Sinatura realiza el siguiente proceso:

  1. Encripta los datos de la firma biométrica del firmante, para asegurar su privacidad y evitar la reutilización de los datos de la firma en otros documentos electrónicos.
  2. Inserta, como metadatos del documento PDF firmado, los datos de la firma biométrica encriptados. De este modo, se cumple con el requerimiento de que “la firma debe estar vinculada con los datos firmados” en este caso el documento PDF.
  3. El documento PDF con los datos de la firma manuscrita biométrica encriptados se firma electrónicamente con un certificado electrónico reconocido, conformando una firma electrónica Pades con el nivel de conformidad B o T conforme al estándar ETSI TS 102 778-3.

Con la firma electrónica de ambos contenidos se da cumplimiento a la obligación de que “cualquier modificación ulterior de los datos firmados sea detectable”, puesto que cualquier modificación de los datos impedirá la verificación de la firma, lo cual, puede ser comprobado con cualquiera de las múltiples aplicaciones gratuitas o de pago que permiten verificar firmas Pades, como por ejemplo los productos de Adobe.

El Artículo 27 del Reglamento (UE) 910/2014 en su apartado 1, establece que “si un Estado miembro requiere una firma electrónica avanzada con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas”, “por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5”. 

El citado apartado 5, establece que “a más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión existentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o métodos de referencia cuando se utilicen formatos alternativos.”

Los formatos de referencia de las firmas electrónicas avanzadas citados en el apartado 5, se definen en la Decisión de Ejecución  (UE) 2015/1506 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público de conformidad con los artículos 27, apartado 5, y 37, del Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior”.

En concreto, en su Artículo 1 establece que “los Estados miembros que requieran una firma electrónica avanzada o una firma electrónica avanzada basada en un certificado cualificado como se prevé en el artículo 27, apartados 1 y 2, del Reglamento (UE) no 910/2014, reconocerán la firma electrónica avanzada XML, CMS o PDF en el nivel de conformidad B, T o LT o con un contenedor con firma asociada donde las firmas cumplan las especificaciones técnicas que figuran en el anexo”. 

Sinatura genera firmas electrónicas avanzadas en formato PDF con los niveles de conformidad B o T, por lo que se da cumplimiento a esta parte de la normativa en referencia a los formatos de firma electrónica en los servicios públicos.

4 - Documentos Electrónicos


El Artículo 46 del CAPÍTULO IV del Reglamento (UE) no 910/2014 , titulado “DOCUMENTOS ELECTRÓNICOS”, establece la eficacia jurídica y admisibilidad como prueba en procedimientos judiciales a los documentos electrónicos:

“No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un documento electrónico por el mero hecho de estar en formato electrónico.”

Por lo tanto, los documentos electrónicos generados por Sinatura poseen plena eficacia jurídica.

El apartado 6 del Artículo 3 de la Ley 59/2003 de Firma Electrónica, establece que:

“El documento electrónico será soporte de:

a) Documentos públicos, por estar firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la ley en cada caso.

b) Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica.

c) Documentos privados”.

Y en su apartado 7 le otorga la eficacia jurídica:

“Los documentos a que se refiere el apartado anterior tendrán el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.”

La Ley 59/2003 de Firma Electrónica otorga valor jurídico y admisibilidad en procedimientos judiciales a los documentos firmados electrónicamente mediante su artículo 8:

“El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio.” “Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil.”

El Artículo 10 de la Ley 59/2003 establece que:

“A los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas”.

Por lo tanto, la Ley permite que dos partes empleen cualquier tipo de firma electrónica, y por lo tanto también la firma electrónica avanzada generada por Sinatura, para la firma de los documentos que intervengan en su relación, como por ejemplo contratos o presupuestos, siempre y cuando estos documentos no estén sujetos a un requerimiento legal específico.

5 - Contratos electrónicos


Ahondando en el caso de la firma de contratos, estaríamos simplemente limitados a las obligaciones del Código Civil al respecto, que establece en sus Artículo 1261 y 1262 que:

Artículo 1261:

“No hay contrato sino cuando concurren los requisitos siguientes:

1.º Consentimiento de los contratantes.

2.º Objeto cierto que sea materia del contrato.

3.º Causa de la obligación que se establezca”.

Artículo 1262:

“El consentimiento se manifiesta por el concurso de la oferta y de la aceptación sobre la cosa y la causa que han de constituir el contrato.

Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta.

En los contratos celebrados mediante dispositivos automáticos hay consentimiento desde que se manifiesta la aceptación.”

Por lo tanto, la validez de los contratos conforme al Código Civil no presenta relación con si su aceptación es electrónica o impresa.

En relación a la Contratación por vía electrónica, es obligatorio citar los Artículos 23 y 24 de la La Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), que incorpora al ordenamiento legislativo español la Directiva 2000/31/CE del Consejo y del Parlamento Europeo en la que se regulan determinados aspectos jurídicos de los Servicios de la Sociedad de la Información, en particular los relativos al comercio electrónico.

El Artículo 23 establece que:

“1. Los contratos celebrados por vía electrónica producirán todos los efectos previstos por el ordenamiento jurídico, cuando concurran el consentimiento y los demás requisitos necesarios para su validez.”

“2. Para que sea válida la celebración de contratos por vía electrónica no será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos.”

“3. Siempre que la Ley exija que el contrato o cualquier información relacionada con el mismo conste por escrito, este requisito se entenderá satisfecho si el contrato o la información se contiene en un soporte electrónico.”

Por lo tanto, la contratación electrónica posee plena validez jurídica desde el año 2002. Además, el Artículo 24 de la Ley LSSI indica que:

“En todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental”.

6 - SINATURA es un Prestador de Servicios de Confianza


El Reglamento 910/2014 define los Servicios de Confianza, en su artículo 3, como:

“El servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en:

a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o

b) la creación, verificación y validación de certificados para la autenticación de sitios web, o

c) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios;”

El reglamento define, en el mismo artículo, a los Prestadores de Servicios de Confianza como “una persona física o jurídica que presta uno o más servicios electrónicos de confianza, bien como prestador cualificado o como prestador no cualificado de servicios electrónicos de confianza”.

El Artículo 19 establece los Requisitos de seguridad aplicables a los prestadores de servicios de confianza, en concreto, dicta que los Prestadores de Servicios de Confianza:

“Adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Habida cuenta de los últimos avances tecnológicos, dichas medidas garantizarán un nivel de seguridad proporcionado al grado de riesgo. En particular, se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de cualquiera de tales incidentes.”

El Reglamento (UE) 910/2014 establece en su artículo 17 que:

“Los Estados miembros designarán un organismo de supervisión establecido en su territorio o, previo acuerdo mutuo con otro Estado miembro, un organismo de supervisión establecido en otro Estado miembro. Dicho organismo será responsable de las funciones de supervisión en el Estado miembro que efectúa la designación”.

En España, el organismo de supervisión es el Ministerio de Energía, Turismo y Agenda Digital (https://www.mincotur.gob.es/).

El Artículo 30 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, establece que:

“1. Los prestadores de servicios de certificación, la entidad independiente de acreditación y los organismos de certificación tienen la obligación de facilitar al Ministerio de Ciencia y Tecnología toda la información y colaboración precisas para el ejercicio de sus funciones.

En particular, deberán permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.5 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. En sus inspecciones podrán ir acompañados de expertos o peritos en las materias sobre las que versen aquéllas.”

“2. Los prestadores de servicios de certificación deberán comunicar al Ministerio de Ciencia y Tecnología el inicio de su actividad, sus datos de identificación, incluyendo la identificación fiscal y registral, en su caso, los datos que permitan establecer comunicación con el prestador, incluidos el nombre de dominio de internet, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores y será objeto de publicación en la dirección de internet del citado ministerio con la finalidad de otorgarle la máxima difusión y conocimiento. ”

Los servicios de confianza prestados por la plataforma Sinatura han sido notificados al Ministerio de Energía, Turismo y Agenda Digital el día 12 de noviembre de 2019.

Asimismo, el Ministerio de Energía, Turismo y Agenda Digital, dispone de un registro de los prestadores de servicios de confianza, el cual puede ser consultado en la página web del Ministerio.

Sinatura consta registrado como Prestador de Servicio de Confianza en las categorías:

Categoría de “Otros servicios en relación con la firma electrónica-Firma Electrónica Biométrica de Documentos”.
Categoría de “Servicio no cualificado de conservación de firmas electrónicas – Custodia de documentos firmados”.

7 - Conclusiones


Al amparo del Reglamento (UE) 910/2014 de la UE, y a la Ley 59/2003 de Firma Electrónica: Sinatura es un servicio electrónico de confianza registrado en el Ministerio de Energía, Turismo y Agenda Digital, que permite a sus usuarios y terceros la firma electrónica de documentos de todo tipo con plena validez legal.

Sinatura genera firmas electrónicos avanzadas conforme al Reglamento (UE) 910/2014, las cuales poseen plena validez jurídica conforme al citado Reglamento.

Los documentos electrónicos generados por Sinatura poseen plena eficacia jurídica conforme al marco legal europeo y español citado a lo largo del presente documento.