Algunas apreciaciones sobre la firma electrónica y su prueba

 La Firma ológrafa, la firma digital y la firma electrónica.

La Firma ológrafa o manuscrita. La firma, en su sentido natural y obvio, tiene las siguientes acepciones dadas por el Diccionario de la Real Academia de la Lengua Española:

1. f. Nombre y apellidos escritos por una persona de su propia mano en un documento, con o sin rúbrica, para darle autenticidad o mostrar la aprobación de su contenido.

2. f. Rasgo o conjunto de rasgos, realizados siempre de la misma manera, que identifican a una persona y sustituyen a su nombre y apellidos para aprobar o dar autenticidad a un documento[1].

De ambas acepciones se coligen ya las características propias de toda firma que veremos más adelante.

Desde una aproximación jurídica podemos citar a los civilistas franceses Planiol y Ripert (1925) que la conceptúan como:

"la firma es una inscripción manuscrita que indica el nombre de una persona que entiende hacer suyas las declaraciones del acto."[2]

 Para Baltierra Guerrero (1982)[3] la naturaleza jurídica de la firma ológrafa es la expresión de voluntariedad, pues con la imprimación manual de la misma adquiere responsabilidad sobre su contenido particular. Asimismo menciona que “algunos autores, consideran que la naturaleza jurídica de la Firma también se encuentra, precisamente en la expresión de individualidad”, mas considera que es un aditamento accesorio al componente voluntario, pues esta se manifiesta de manera propia e individualizante.

De tal manera podemos intentar caracterizar a la firma ológrafa por los siguientes efectos:

 a). Es una expresión de la personalidad del individuo, pues por sus distintas notas grafológicas nos da información sobre la persona que la imprime de su puño y letra.

b). Individualiza a la persona, en la medida que es legible y dentro del marco en que se realiza. Aquí existe la investidura de la buena fe como elemento para generar confianza social en que el documento proviene del propio emisor de la firma.

c). Tiene por fin autenticar el contenido del documento del que forma parte, es decir que es acreditado como cierto y verdadero por los caracteres o requisitos que en ella concurren.

d). Es un dato personal, en cuanto identifica a la persona, en cuanto concierne a una persona física identificada o identificable, y esto porque a través de la grafía el titular exterioriza su voluntad o consentimiento para la autorización de actos en la vida social[4]. 

 El DFCR de la Unión Europea define a la firma manuscrita como “el nombre de una persona o el signo que lo representa, escrito a mano, por esa persona con la finalidad de autenticación”.

 

Las Firmas electrónicas.

Antes de referirnos a la firma electrónica propiamente dicha, debemos hacerlo de conceptos que suelen utilizarse indiferenciadamente con relación a ella, pero que no son lo mismo en virtud de sus distintos niveles de seguridad. 

El eIDAS Europeo[5] indica que “la referencia a la firma de una persona comprende su firma manuscrita, la firma electrónica y la firma electrónica avanzada, y la referencia a documentos firmados por una persona se interpretará de acuerdo con tales definiciones”. Señala igualmente que la firma electrónica es un “conjunto de datos en forma electrónica que están anexos o asociados de forma lógica a otros datos electrónicos y que sirven como medio o método de autenticación de la identidad de una persona”[6].

En nuestra Ley de Comercio Electrónico (2002) se define a la firma electrónica manera general cuando se dice:

“Art. 13.-Firma electrónica.-Son los datos en forma electrónica consignados en un mensaje de datos, adjuntados o lógicamente asociados al mismo, y que puedan ser utilizados para identificar al titular de la firma en relación con el mensaje de datos, e indicar que el titular de la firma aprueba y reconoce la información contenida en el mensaje de datos”.

 Firma electrónica, firma digital y firma digitalizada.

Podemos afirmar que la firma electrónica es un género determinado por la definición jurídica que da la Ley y en la medida en que estemos frente a los siguientes elementos:

a). Unos datos (documento electrónico) asociados a otros (firma electrónica) que tengan una asociación dada por un medio lógico, como puede ser internet o un token.

b). Que tales datos asociados constituyan datos personales, es decir, que permitan identificar o volver identificable a su emisor.

c). Que en cuanto consigna su seña en el mensaje de datos se entiende que aprueba su contenido.

Para ello puede realizarse de forma autónoma o por medio de un tercero, que puede o no ser un Entidad Certificadora.

1. La firma digitalizada es la conversión a mapa de bits o imagen digital del trazo de la firma, como cuando se utilizan almohadillas electrónicas o “pads” de firma o dibujo que permiten escribir sobre ellos al tiempo que digitalizan a firma en formatos pdf, jpeg., png., etc. Por ejemplo, una firma estampada en un documento facsímil o en un correo electrónico.

2. La firma digital se define como aquella que utiliza tecnología criptográfica en un mensaje o documento con el objetivo de autenticar que el emisor es quien dice ser, es decir, que es real, de manera que genera certeza ante terceros, en cuanto no puede negar que fue él quien envió el mensaje y que el documento electrónico no ha sido alterado, de donde devienen los principios de no repudio e integridad.[8] Una firma digital puede ser tanto un cuadro de constatación de identidad, como aquellos que se generan en línea y que consisten en rellenar “pines”, casillas de verificación o de identificación de figuras para determinar que la persona es real y no un robot; o una firma digital en un token certificado por una agencia aprobada por el Estado. Son firmas digitales en cuanto identifican al usuario al parear la identidad del computador, dirección IP con la información personal que se ingresa “on-line”.

Firma electrónica simple, avanzada y cualificada.

El concepto de firma electrónica, conocido como firma electrónica simple, se relaciona, como vimos, con el concepto jurídico en la medida que cumpla con sus elementos, sin ningún condicionante extraordinario con respecto a requisito de seguridad o legitimidad, pues goza de una seguridad informática elemental. Ejemplos de esta modalidad son la consignación del nombre de una persona al final de un correo electrónico, una huella digital escaneada con un dispositivo especial, la imagen escaneada de una firma manuscrita, inclusive la firma digitalizada que se incluye en la cédula de ciudadanía[10].

Cuando hablamos de firma electrónica avanzada ya estamos frente a elementos que permiten garantizar integridad, autenticidad y no repudio. Tiene estas características que indica elDAS:

(a) Está vinculada únicamente al signatario;

(b) Permite identificar al signatario;

(c) Ha sido creada por medios que pueden mantenerse bajo el exclusivo control del signatario; y

(d) Está vinculada a los datos a los que se refiere de tal manera que es posible detectar cualquier modificación posterior de éstos, asegurando que tanto el documento firmado como la firma en sí misma están protegidos de tal forma que no pueden modificarse, o que algún tipo de modificación será evidente y registrada[11].

Finalmente, la firma electrónica cualificada o acreditada reúne un elemento que suma para acreditar los elementos anteriores y es el certificado emitido por un tercero distinto al firmante que es una entidad de acreditación que el Estado califica previamente.

Tanto la definición del IDas como la de nuestra Ley de Comercio Electrónico consignan de su texto similares condiciones, de manera que considero que la crítica de aquel es extrapolable a nuestro caso. 

The Digital Signature Act de Utah (1995) se encuentra la siguiente concepción sobre la firma electrónica:

"…es una secuencia de bits que una persona que intenta firmar crea en relación con un mensaje claramente delimitado, ejecutando el mensaje a través de una función unidireccional, luego encriptando el resumen del mensaje resultante usando un criptosistema asimétrico y la clave privada de la persona."[9]

De tal modo que en dicho Estado de la Unión Norteamericana, la firma electrónica no está dada por la firma digitalizada, sino solo por la avanzada y la cualificada, en cuanto al referirse ala asimetría del código utilizado ya nos estamos refiriendo a una forma avanzada de encriptamiento que sólo utilizan las dos últimas categorías analizadas.

Efectos jurídicos de la firma electrónica.

El efecto de la firma electrónica es que la misma “tendrá igual validez y se le reconocerán los mismos efectos jurídicos que a una firma manuscrita en relación con los datos consignados en documentos escritos, y será admitida como prueba en juicio” (Ley de Comercio Electrónico, LCE, Art. 14).

La firma digital cualificada es la única a la que se asigna el efecto antes indicado, en cuanto reúne evidentemente todos los requisitos establecidos por la LCE[12], y de ahí que la norma genere un principio de autenticidad.

Presunción Legal de Autenticidad. ¿Se trata lo anterior de un criterio absoluto? No. En este asunto nos encontramos dentro del terreno de las presunciones legales, ficciones jurídicas que crea el Legislador a fin de generar una situación de certeza por un principio de orden público. Pero, como sabemos, existen dos tipos de presunciones legales: las de Derecho (Iure Et de Iure) y las de facto (Iure Tantum). Las primeras son absolutas, porque no admiten prueba en contario, verbigracia, el caso del principio del principio de imperio de la Ley (la ignorancia de la Ley no excusa a nadie); mientras que las segundas son relativas, y así, admiten prueba en contrario que recae sobre quien la alega. La presunción de autenticidad de la firma electrónica es de este último tipo y está establecida con fines procesales. La presunción legal que la inviste busca generar confianza ante la sociedad.

En todos los demás casos incumbe probar la autenticidad de la firma, por cuanto las mismas no se encuentran investidas de este beneficio, claro está, siempre que su legitimidad sea controvertida.  De ahí que el art. 152 COGEP establezca que la finalidad de la prueba es "llevar a la o al juzgador al convencimiento de los hechos y circunstancias controvertidos" (el subrayado me pertenece).

Podemos recordar para el caso que el reconocimiento de un documento se realiza por vía de diligencia preprocesal (art. 122 #3 COGEP) y dentro del propio juicio, sea por pedido de reconocimiento expreso (art. 217 COGEP) o porque se entiende admitido debido al silencio de la contraparte

Vale decir que, bajo el principio de buena fe, la firma debe ser tomada como cierta, y en la medida en que su validez no sea discutida, incluso para el caso de una firma electrónica simple, porque el COGEP trae un principio de validez del documento electrónico (art. 202), el cual bebe a su vez del principio del validez de los mensajes de datos que contiene el art. 2 de la Ley de Comercio Electrónico, firmas electrónicas y mensajes de datos. En caso de presentarse en juicio el documento electrónico con dicha signatura, precluido el momento procesal para controvertir su validez (art. 151, inciso segundo, COGEP), el documento pasa a ser tenido como auténtico, en cuanto no fue tachado oportunamente. Con respecto a la tacha de un mensaje de datos y a la presunción legal que también le asiste, la LCE indica del art. 54, lo siguiente:

Con relación a la presentación del documento contentivo de la firma en proceso, el artículo de referencia indica que "al presentar un mensaje de datos dentro de un proceso judicial en los juzgados o tribunales del país, se deberá adjuntar el soporte informático y la transcripción en papel del documento electrónico, así como los elementos necesarios para su lectura y verificación, cuando sean requeridos" (LCE, Art. 54, letra a).

Y en tal sentido, debemos tener en cuenta que la Ley de Comercio Electrónico le da valor probatorio a las firmas electrónicas simples y avanzadas, como se advierte de dicho cuerpo legal. A las avanzadas se les debe asignar, según el caso, la letra b Ibíd., que indica:

"En caso de que alguna de las partes niegue la validez de un mensaje de datos, deberá probar, conforme a la ley, que éste adolece de uno o varios vicios que lo invalidan, o que el procedimiento de seguridad, incluyendo los datos de creación y los medios utilizados para verificar la firma, no puedan ser reconocidos técnicamente como seguros. Cualquier duda sobre la validez podrá ser objeto de comprobación técnica”.

Interesante resulta la validez jurídica del facsímil como mensaje de datos, como se osberva de la norma en la letra c: "c) El facsímile, será admitido como medio de prueba, siempre y cuando haya sido enviado y recibido como mensaje de datos, mantenga su integridad, se conserve y cumpla con las exigencias contempladas en esta ley.

En caso de tratarse de una firma electrónica avanzada o cualificada, debe requerirse a la empresa que la otorga toda la documentación generada para su obtención:

"En el caso de impugnación del certificado o de la firma electrónica por cualesquiera de las partes, el juez o tribunal, a petición de parte, ordenará a la entidad de certificación de información correspondiente, remitir a ese despacho los certificados de firma electrónica y documentos en los que se basó la solicitud del firmante, debidamente certificados" (Ibíd, art. 54, letra b).

Es de notar, también, que el Legislador hace una distinción entre firma electrónica y certificado, de manera que no son dos documentos que estén insoslayablemente unidos, lo que a mi criterio debe interpretarse como la implícita referencia a firmas que ostentan certificados de terceros, como a las que no: La Ley permite, entonces, impugnar uno u otro, o ambos, e inclusive, se entiende, que se admite que falte el certificado y que la firma exista sin el mismo, pues como corolario se dice que “…Cualquier duda sobre la validez podrá ser objeto de la comprobación técnica”.

Y siendo así, comprobada técnicamente en juicio la seguridad de la firma, de su emisión, de que reúne los requisitos propios que denoten certeza documental, se probará la existencia de un nexo jurídico cuyo efecto son derechos y obligaciones, dependiendo del tipo de acto jurídico al que acceda la misma. Cabe decir lo mismo, en cuanto a que, siendo sometido el documento o la obligación a los fragores del proceso, sin impugnación de la legitimidad de la firma, la misma terminará por generar certeza jurídica.

Por supuesto se da que la existencia de una firma electrónica cualificada trae aparejada la presunción de integridad documental y de suscripción, y con ello, las posibilidades de triunfo del argumento propio.

[1] REAL ACADEMIA ESPAÑOLA: Diccionario de la lengua española, 23.ª ed., [versión 23.4 en línea]. <https://dle.rae.es> [9 de junio de 2021], definiciones 1 y 2.

[2] Planiol y RIPERT (1925), Traité Pratique de Droit Civil Francaise. París, Francia.

[3] Baltierra Guerrero, A. (1982), La firma autógrafa en el Derecho Bancario. Revista de la Facultad de Derecho de México. Tomo XXXII, Publicación En-Jun. Núms. 121-122-123. México D.F. Ed. UNAM.

[4] La Corte Constitucional en sentencia 1868-13-EP/20 se pronunció de la siguiente manera: “Esta Corte considera que los ‘datos personales e información sobre una persona´, tal como  se  encuentran  recogidos  en  nuestra  Constitución  y  en función  de  una interpretación conforme al principio pro homine, deben ser entendidos en su forma más amplia, en el sentido de toda información que haga referencia de forma directa o indirecta a cualquier aspecto relativo a una persona o sus bienes, en sus distintas esferas o dimensiones; susceptible de ser exigida a través de la garantía de hábeas data. Así se advierte que basta que la información –más allá de la forma en que esté contenida–incluya o comunique un aspecto de la persona –objetivo o subjetivo–; o guarde relación con ella, en función de su contenido, finalidad o resultado, para ser considerada como ‘dato personal´.

 

Por otra parte, el Reglamento General de Protección de Datos europeo (2016), los define como: “…’datos personales´: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

 

[5] The Draft Common Frame of Reference of the European Private Law es producto del trabajo conjunto de dos paneles académicos: El Grupo de Estudio para unCódigo Civil Europeo (The Study Group on a European Civil Code) y el Acquis Group (Grupo de Investigación de Derecho Privado de la Unión Europea). A su vez, tiene su antecedente en los Principios del Derechos Europeo de Contratos, y el Marco Común busca ser el molde de referencia para la construcción del Derecho Contractual Europeo. 

[6] (I.–1:107: «Firma» y expresiones similares:

I.–1:107: «Firma» y expresiones similares: (1) La referencia a la firma de una persona comprende su firma manuscrita, la firma electrónica y la firma electrónica avanzada, y la referencia a documentos firmados por una persona se interpretará de acuerdo con tales definiciones. (2) Una «firma manuscrita» es el nombre de una persona o el signo que lo representa, escrito a mano por esa persona con la finalidad de autenticación. (3) Una «firma electrónica» significa datos en forma electrónica que están anexos o lógicamente asociados otros datos electrónicos y que sirven como método de autenticación. (4)Se entiende por «firma electrónica avanzada» aquella firma electrónica que:(a)está vinculada únicamente al signatario;(b)permite identificar al signatario;(c)ha sido creada por medios que pueden mantenerse bajo el exclusivo control del signatario; y(d)está vinculada a los datos a los que se refiere de tal manera que es posible detectar cualquier modificación posterior de éstos. (5) En el presente Artículo, «electrónico» significa relacionado con la tecnología eléctrica, digital, magnética, inalámbrica, óptica, electromagnética o de similares características.

[7] The Draft Common Frame of Reference of the European Private Law es producto del trabajo conjunto de dos paneles académicos: El Grupo de Estudio para unCódigo Civil Europeo (The Study Group on a European Civil Code) y el Acquis Group (Grupo de Investigación de Derecho Privado de la Unión Europea). A su vez, tiene su antecedente en los Principios del Derechos Europeo de Contratos, y el Marco Común busca ser el molde de referencia para la construcción del Derecho Contractual Europeo. 

[8] En la Ley 529-99 o “Ley de Comercio Electrónico y Mensajes de Datos” colombiana se manifiesta del art. 28 lo que sigue: “ARTÍCULO 28. Atributos jurídicos de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo”. La norma no establece condiciones de entidad certificadora para dicha presunción.

[9] Digital signatura "is a sequence of bits which a person intending to sign creates in relation to a clearly delimited message by running the message through a one-way function, then encrypting the resulting message digest using an asymmetrical cryptosystem and the person's private key”.

[10] En la página web del Registro Civil se lee, entre los mecanismos de seguridad informática que incluye la cédula, la siguiente: “Firma, foto y huella se almacenan en una base de datos biométrica. Disponemos del sistema AFIS que permite la identificación y almacenamiento de huellas dactilares que se capturan a través de un scanner. Ahora los ciudadanos ya no se manchan los dedos con tinta y la información ingresada se almacena en el chip interno del documento de identidad”.

 

[11] Un ejemplo sería la firma de Adobe o Reader: “Una firma basada en certificado, al igual que una firma manuscrita convencional, identifica a la persona que firma un documento. A diferencia de una firma manuscrita, una firma basada en certificado es difícil de falsificar porque contiene información codificada que es exclusiva del autor de la firma. Se puede verificar con facilidad e informa a los destinatarios si el documento se ha modificado tras la firma inicial del documento por el autor de la firma…Para firmar un documento con una firma basada en certificado, debe obtener un ID digital o crear un ID digital con firma personal en Acrobat o Adobe Reader. El ID digital contiene una clave privada y un certificado con una clave pública, entre otros elementos. La clave privada se utiliza para crear la firma basada en certificado. El certificado es una credencial que se aplica de manera automática al documento firmado. La firma se comprueba cuando los destinatarios abren el documento…Cuando se aplica una firma basada en certificado, Acrobat usa un algoritmo hash para generar un compendio de mensajes que codifica con la ayuda de su clave privada. Acrobat incrusta el compendio de mensajes codificado en el PDF, los detalles del certificado, la imagen de firma y una versión del documento cuando se firmó”.

 

Viafirma es otra empresa que ofrece firmas digitales avanzadas. Su página web dice: “…se puede firmar un documento sin certificado digital pero se necesitará de alguna evidencia para que se cumplan los requisitos de la firma electrónica avanzada, como el OTP SMS que se enviará al móvil del firmante de forma que permite su identificación o mediante la firma biométrica a través de dispositivos externos aptos para la captura de datos biométricos…Por tanto, se puede firmar un documento sin certificado digital. Con cualquiera de estas modalidades de firma se capturan, generan y almacenan suficientes datos para garantizar los principios básicos de una firma electrónica avanzada…La suite de productos de Viafirma permiten todas estas modalidades de firma, incluso da la opción de añadir más evidencias, como pueda ser la situación geográfica en el momento de la firma, fotografías, incluir anexos, sello de tiempo… De esta forma se aporta carga probatoria para darle una mayor legitimidad a la firma en caso de repudio”.

[12] Art. 15.-Requisitos de la firma electrónica.-Para su validez, la firma electrónica reunirá los siguientes requisitos, sin perjuicio de los que puedan establecerse por acuerdo entre las partes: a) Ser individual y estar vinculada exclusivamente a su titular; b) Que permita verificar inequívocamente la autoría e identidad del signatario, mediante dispositivos técnicos de comprobación establecidos por esta ley y sus reglamentos; c) Que su método de creación y verificación sea confiable, seguro e inalterable para el propósito para el cual el mensaje fue generado o comunicado; d) Que al momento de creación de la firma electrónica, los datos con los que se creare se hallen bajo control exclusivo del signatario, y, e) Que la firma sea controlada por la persona a quien pertenece.