Читать книгу Aspectos teórico-prácticos de la firma digital en Colombia y su referente en Latinoamérica - Erick Rincón Cárdenas - Страница 9

Nota introductoria

Оглавление

Terminando la segunda década del siglo XXI, nos encontramos en una explosión de nuevas tecnologías que, desde el punto de vista histórico, llamamos la cuarta revolución industrial (en adelante, 4RI), las cuales se han venido nutriendo de la seguridad jurídica basada en la legislación local e internacional, adoptada por cada país, que partió desde la acepción principal del valor jurídico del mensaje de datos y de la firma electrónica.

Dentro de la 4RI, la firma electrónica, y dentro de esta, de forma especial, la firma digital, que en la comunidad latinoamericana cumple, aproximadamente, veinte años en uso, y que cuenta con un marco jurídico suficiente para su adecuada apropiación, tanto en el sector privado como en el público, ha sido uno de los mayores impulsos en la generación de confianza negocial y pública, requeridos en el nuevo marco de ecosistemas digitales.

Lo anterior ha traído nuevos retos técnico-legales, que actualmente están siendo abordados en un nuevo foco de estudio jurídico llamado legaltech, cuyo propósito es la convergencia entre el derecho y la 4RI, así, esta nueva tendencia en la aplicación del derecho, busca interiorizar los avances técnicos y encontrar su asidero en un esquema de interoperabilidad normativa para la seguridad de las relaciones surgidas y basadas en la misma tecnología, a su vez, el resultado esperado del legaltech, es la consolidación de ecosistemas digitales que sirvan para el propósito para el cual fueron creados.

El estudio del legaltech, se ha abierto camino en el mundo y este fenómeno no es ajeno a Latinoamérica, por lo que una parte de este libro está dedicada en dar un primer vistazo al estado del arte como parte de la materialización de la disciplina jurídica regional.

Desde la nueva óptica legaltech, es acertado analizar las firmas electrónicas y digitales, desde sus diferentes perspectivas, y como parte de los ecosistemas digitales, ya sea como sustituto de la firma manuscrita con valor legal para cualquier documento electrónico que así lo exija, pasando por su uso en mecanismos de fiabilidad en cadenas de bloques (blockchain) o, finalmente, como parte esencial en mecanismos de interoperabilidad digital gubernamental, como lo veremos en el caso de Colombia.

Para entender la multiplicidad de usos que se le pueden dar a la firma digital, es necesario entenderla, primariamente, desde su concepción legal e inicialmente desde la perspectiva colombiana, para luego abordarla desde otros países latinoamericanos estudiados en este libro.

Haremos un breve estudio de las firmas electrónicas y digitales en Colombia; respecto de las segundas, atenderemos de forma ágil su concepción en la legislación de algunos países latinoamericanos e hispanohablantes que las acogen como firmas electrónicas avanzadas o certificadas.

Solo como parte de la lectura introductoria, damos a conocer a continuación la definición de la firma digital, que como veremos se le conoce como la firma digital certificada, la cual se encuentra en la Ley 527 de 1999 de Colombia, en su artículo 2º:

Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación.1

Al desglosar la definición antes transcrita, el funcionamiento de la firma digital se podría sintetizar en los siguientes pasos:

a. El autor firma el documento por medio de la clave privada, obteniendo un valor numérico único del documento firmado (valor hash), que será cifrado, con esto no puede negar la autoría, pues solo él es el propietario y responsable de esa clave, aminorando el riesgo por alteración y no repudio del mensaje transmitido;

b. El receptor comprueba la validez de la firma por medio de la utilización de la clave pública vinculada a la clave privada, con lo cual es posible descifrar el valor numérico único obtenido del documento firmado y verificar la integridad del mensaje;

c. La información del firmante, es decir, la identidad del firmante se podrá verificar con el certificado digital que contiene la clave pública, de esta forma, el proceso de autenticidad, integridad y no repudio queda satisfecho.

Más adelante, con mayor detalle, se tratarán los conceptos técnico-legales de la firma digital, que permitirán comprender su multiplicidad de usos.

Veremos que, en las legislaciones latinoamericanas, se establece que las firmas digitales, electrónica certificada o avanzada buscan lograr la misma fuerza y efecto que una firma manuscrita, siempre que cumpla con los siguientes requisitos: (i) sea única, (ii) sea verificable, (iii) esté bajo control exclusivo del iniciador y (iv) esté ligada a la información del mensaje. En ese orden de ideas, las legislaciones latinoamericanas han plasmado distintas formas de darle cumplimiento a los requerimientos antes descritos, así como la regulación de las entidades prestadoras del servicio de certificación digital, institución que también veremos más adelante. Todo lo anterior, garantizando autenticidad, integridad y no repudio.

Otro concepto que deberemos apropiar será el de terceros de confianza, cuya función es la de facilitar el valor probatorio y asegurar la presunción de autenticidad, integridad y no repudio, dada por la ley a aquellos mensajes de datos que tienen como propósito sustituir la firma manuscrita.

Esta figura de nacimiento internacional ha sido acogida en forma parecida por los distintos países y, para el interés de estudio de este libro, en el conglomerado latinoamericano nace inicialmente como una forma ambiciosa de certificar todos los mensajes de datos en el tráfico global de estos, sin embargo, sus efectos se ven modulados a la especie de firma digital, por considerarlo oportuno y mesurado, para un tráfico escalable y acelerado de mensajes de datos.

Para comprender mejor la función de certificación de mensajes de datos firmados, respecto del valor legal y probatorio de los mismos, en este punto es necesario diferenciar distintas cualidades de la seguridad jurídica, ya que una es la de darle el mismo valor legal a los mensajes de datos y otra distinta es la de facilitar o asegurar su valor probatorio, por cuanto la segunda, como veremos brevemente en el caso colombiano, obedece a la posibilidad de trasladar la carga probatoria a la contraparte o a un tercero.

Cuando se traslada la carga de la prueba a un tercero, ello quiere decir que será el proveedor tercero de confianza, quien, por medio de un certificado digital, emita concepto previo de la integridad, autenticidad y no repudio de la firma digital empleada en un documento electrónico.

Ahora bien, la carga de la prueba podrá ser objeto de traslado a la contraparte, ya sea como consecuencia de la certificación hasta el momento enunciada, o como consecuencia de las ficciones legales que para ello establezcan cada uno de los países.

Para la muestra, podemos evidenciar en la legislación colombiana que, a falta de certificación, el artículo 7º del Decreto 2364 de 2012 establece la posibilidad de que en el pacto de firma se acuerde el cumplimiento de requisitos de la firma electrónica, como vemos a continuación:

Artículo 7º. Firma electrónica pactada mediante acuerdo. Salvo prueba en contrario, se presume que los mecanismos o técnicas de identificación personal o autenticación electrónica según el caso, que acuerden utilizar las partes mediante acuerdo, cumplen los requisitos de firma electrónica.

Visto lo anterior, es menester poner de presente que, aunque la autenticidad de la firma se pueda pactar, el mismo decreto nos dice que la seguridad de la firma siempre estará a cargo de la parte que suministra la firma electrónica, veámoslo a continuación:

Parágrafo. La parte que mediante acuerdo provee los métodos de firma electrónica deberá asegurarse de que sus mecanismos son técnicamente seguros y confiables para el propósito de los mismos. A dicha parte le corresponderá probar estos requisitos en caso de que sea necesario.2

Así mismo, acto seguido el citado decreto pone de manifiesto las formas de probar la confianza y seguridad de la firma.

Artículo 8º. Criterios para establecer el grado de seguridad de las firmas electrónicas. Para determinar si los procedimientos, métodos o dispositivos electrónicos que se utilicen como firma electrónica son seguros, y en qué medida lo son, podrán tenerse en cuenta, entre otros, los siguientes factores:

1. El concepto técnico emitido por un perito o un órgano independiente y especializado.

2. La existencia de una auditoría especializada, periódica e independiente sobre los procedimientos, métodos o dispositivos electrónicos que una parte suministra a sus clientes o terceros como mecanismo electrónico de identificación personal.3

Por lo que debemos entender, los retos legales de la firma electrónica, como género, y la firma digital, electrónica avanzada o certificada, como especie, son distintos y así mismo deberemos comprender su desarrollo doctrinal y jurisprudencial.

Nuevamente, en este punto debemos referirnos a la necesidad de comprender que esto no es creación completamente autónoma del Estado colombiano, sino que obedece a la réplica instrumentada de la CNUDMI, en su Ley Modelo sobre las Firmas Electrónicas del año 2001, y que, a razón de ello, los modelos sobre firmas pactadas mediante acuerdo, en otras legislaciones latinoamericanas, cumplen efectos legales más o menos parecidos.

Dejando de lado, momentáneamente, el desarrollo jurídico de la firma electrónica general y abordando, nuevamente, la firma digital certificada, es pertinente entender un poco mejor en qué consiste el proceso de certificación digital prestado por los terceros de confianza, respecto de lo cual podemos decir que su actividad está reglada por la ley, y así lo evidenciamos tanto en Colombia como en otras naciones latinoamericanas.

Para hacernos una idea de su construcción legal, el caso colombiano, durante el periodo comprendido entre el 2000 y el 2011, la actividad de acreditación de las entidades de certificación digital abiertas y cerradas fue administrada en forma directa por la Superintendencia de Industria y Comercio; a partir del año 2012, dicha actividad se encuentra en cabeza del Organismo Nacional de Acreditación de Colombia (ONAC).

Siguiendo con el caso colombiano, la actividad de los terceros de confianza gira esencialmente alrededor de la emisión de certificados digitales de cualquiera de las actividades que previamente hayan acreditado ante el ONAC y que estén dentro del marco del artículo 30 de la Ley 527 de 1999.

Artículo 30. Actividades de las entidades de certificación. Las entidades de certificación acreditadas por el Organismo Nacional de Acreditación de Colombia para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades:

1. Emitir certificados en relación con las firmas electrónicas o digitales de personas naturales o jurídicas.

2. Emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos y de documentos electrónicos transferibles.

3. Emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos enunciados en los literales f) y g) del artículo 26 de la Ley 527 de 1999.

4. Ofrecer o facilitar los servicios de generación de los datos de creación de las firmas digitales certificadas.

5. Ofrecer o facilitar los servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos.

6. Ofrecer o facilitar los servicios de generación de datos de creación de las firmas electrónicas.

7. Ofrecer los servicios de registro, custodia y anotación de los documentos electrónicos transferibles.

8. Ofrecer los servicios de archivo y conservación de mensajes de datos y documentos electrónicos transferibles.

9. Cualquier otra actividad relacionada con la creación, uso o utilización de firmas digitales y electrónicas.

En general, los certificados digitales son “documentos electrónicos” expedidos por una “entidad de certificación” los cuales identifican al suscriptor (firmante) y le permiten firmar digitalmente mensajes de datos. La ventaja jurídica de las firmas digitales es que permiten presumir que quien la impuso en un mensaje de datos tenía la intención de “acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo”. Este es el efecto jurídico de la propiedad del no repudio de mensajes de datos que tiene la certificación digital. Esta presunción garantiza que quien observe una firma digital en un mensaje de datos puede suponer, válidamente y de manera inequívoca, que el firmante es quien dice ser y que se vincula con el contenido del mensaje.

Sobre las posibilidades de uso de la certificación digital, en primer término, se puede afirmar que los certificados digitales cumplen la función de informar sobre la autenticidad del firmante, en compañía de la evidencia de una cadena de confianza, que informa que una autoridad o entidad ha verificado la posesión de la firma y que dicha firma le pertenece a una persona real, existente y determinada. Esto se explica por la necesidad de conservar las propiedades auténticas de los documentos físicos que requieren un valor jurídico otorgado por la firma manuscrita, tales como estados financieros, autorizaciones, órdenes de compra, certificación de disponibilidad presupuestal, títulos valores y cualquier comunicación escrita que involucre el uso de una firma o que trate de garantizar la seguridad en el origen y la integridad de la información.

La certificación digital se puede aplicar en sistemas de correo electrónico seguro. En este escenario, la utilidad radica en el aseguramiento entre el envío y la recepción de comunicaciones mediante correo electrónico, implementando una garantía de autenticidad del origen de los mensajes, de su integridad y el no repudio de la comunicación.

Otra aplicación está constituida por el aseguramiento de transacciones web, mediante firmas digitales para la protección de transacciones instrumentadas a través de Internet. La firma digital de formularios web soluciona problemas propios de estas aplicaciones, como son la suplantación, el repudio de la transacción o la adulteración de la información, que se pueden generar en transacciones financieras, sistemas de aprobación o autorización, sistemas de workflow, de operaciones y, en general, de cualquier aplicación que requiera: (i) control de identidad, (ii) integridad en el manejo de la información y (iii) un soporte jurídico para la validación de la operación.

De igual forma —en este tercer escenario—, con la utilización de certificados digitales para el aseguramiento de sitios web, se puede determinar la identidad de un sitio en Internet y emplear el ciframiento de los datos con el propósito de garantizar la confidencialidad de la información intercambiada entre la aplicación web y sus usuarios.

En las fintech, término procedente del inglés, que une la primera sílaba de las palabras finance y technology, industria que en el campo de transformación digital de servicios financieros, se emplean las firmas electrónicas y digitales para recrear ambientes de seguridad jurídica, también como canales seguros de comunicación entre el cliente y su fintech, sin necesidad de concurrir en espacios físicos que resultan costosos e innecesarios, versatilidad aplicada, por supuesto, desde ecosistemas digitales edificados para tal fin.

Las técnicas de criptografía asimétrica en certificados de sitios web garantizan la identidad de los dos extremos de la comunicación y dejan sin utilidad páginas web falsas. Así, de la seguridad en la red no solo se benefician los clientes, sino también sus contrapartes comerciales.

Otra ventaja asimilable a una forma de aplicación son los sistemas de gestión de identidad, mediante la implementación de certificados digitales para la autenticación de usuarios ante sistemas de información y aplicaciones en general. Esta solución está enfocada a la gestión de identidad, contando con uno o varios factores de identificación y/o autenticación que añaden seguridad jurídica a las operaciones desplegadas o la certeza de los actores intervinientes para control de acceso, permisos, movilidad digital y física, sin perjuicio de la evolución de mecanismos de identidad digital basados en factores biométricos y bases de datos gubernamentales, así como la gestión de documentos de identidad electrónicos o totalmente digitales y sus productos de data analytics que de allí se derivan.

Por último, pero sin limitarnos a las diferentes formas de empleo de firmas electrónicas, se encuentra la posibilidad de aplicación de la certificación digital de usarla en mecanismos de seguridad de criptoactivos, transacciones y documentos almacenados en sistemas descentralizados como blockchain, así como usar dichas firmas en protocolos de arbitraje técnico dentro de las mismas cadenas de bloques.

Teniendo en cuenta lo anterior, las especiales funcionalidades de la certificación digital en los entornos electrónicos y los atributos de seguridad técnica y jurídica que las legislaciones le confieren, en el presente texto se expresan las más importantes características de la firma digital certificada, electrónica avanzada o certificada, partiendo de la experiencia colombiana y analizando la normativa legal técnica de distintas legislaciones latinoamericanas o de países hispanoparlantes.

Como se mencionó, si bien la firma digital o electrónica avanzada o certificada es una especie dentro de la firma electrónica, es importante tener claridad sobre su principal diferencia, ya que las primeras involucran un marco legal y técnico reglamentario, apoyado en autoridades o entidades que tienen roles de terceros de confianza; mientras que la firma electrónica por fuera del marco de alguna certificación es un acuerdo entre las partes que tiene por tal validez entre los involucrados, que puede o no usar certificados digitales, en este caso sin contar con el tercero de confianza y asumiendo las cargas previas o probatorias de autenticidad e integridad.

Ahora bien, todo lo anterior juega un papel importante dentro de la armonización que para Colombia trajo consigo el Código General del Proceso (Ley 1564 de 2012), en cuanto al examen de la prueba judicial del mensaje de datos, por cuanto dicha norma recoge de forma sabia las posiciones doctrinales y jurisprudenciales sobre la materia y da fuerza de ley al valor probatorio de los mensajes de texto, en líneas sencillas que dan claridad a estos aspectos, como a continuación, a modo de ejemplificación, se muestra:

Artículo 247. Valoración de mensajes de datos. Serán valorados como mensajes de datos los documentos que hayan sido aportados en el mismo formato en que fueron generados, enviados, o recibidos, o en algún otro formato que lo reproduzca con exactitud.

La simple impresión en papel de un mensaje de datos será valorada de conformidad con las reglas generales de los documentos.

De forma resumida, podríamos afirmar que las anteriores líneas extraídas del Código General del Proceso, hoy vigentes y con fuerza de ley, arrojan la suficiente claridad sobre el valor probatorio de los mensajes de datos y, a su vez, desdibujan cualquier asomo de duda sobre la pertinencia de la prueba judicial contenida en mensajes de datos.

Al respecto, y en hilo de lo anterior, la mayoría de las comunicaciones públicas y privadas, negocios, consumo de bienes y servicios se ejecutan o tienen interacción en algún punto con tecnologías de la información, lo que conlleva a concluir que actualmente la mayoría de las pruebas judiciales son mensajes de datos.

Como parte final de esta nota introductoria general, queremos manifestar que esta obra nace de la necesidad de tejer un puente renovado entre el derecho y la tecnología, ahora desde la óptica legaltech, en la que se busca crear un diálogo fluido legal, social, cultural y semántico para el entendimiento de la legislación latinoamericana, buscando la apropiación de las firmas digitales, electrónicas avanzadas o certificadas, en los sistemas de comercio regional latinoamericano como generadoras de valor en los ecosistemas digitales, desbordando las fronteras políticas y, lo más importante, proponiendo la interoperabilidad legal y técnica entre sistemas informáticos de distintos países, para afrontar de forma más eficiente y práctica los retos de la cuarta revolución industrial.

1 Ley 527 de 1999, artículo 2°.

2 Decreto 2364 de 2012.

3 Ídem.

Aspectos teórico-prácticos de la firma digital en Colombia y su referente en Latinoamérica

Подняться наверх