Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(páginas 55 y 56)
Firma electrónica
La ley sólo complementa el Reglamento y de hecho así lo especifica en su artículo
primero al decir que esta ley tiene por objeto ser un “complemento” del
Reglamento. Por lo tanto, nuestra principal fuente en esta materia es el Reglamento
y es, de hecho, allí donde se establece que se entiende por firma electrónica “los
datos en formato electrónico anejos a otros datos electrónicos o asociados de
manera lógica con ellos que utiliza el firmante para firmar”.
Así, podemos afirmar que una firma electrónica es un proceso que identifica a un
equipo informático o a una persona en la gestión y tramitación de documentos
electrónicos a través de métodos criptográficos que aseguran su seguridad y
autenticidad. Lo que a efectos prácticos permite que:
- Se pueda asegurar la integridad del documento firmado. Es decir, nos
asegura que el documento firmado es exactamente el mismo que el original
y que no ha sufrido alteración o manipulación.
1
- Se pueda asegurar el no repudio del documento firmado. Es decir, como los
datos que utiliza el firmante son únicos y exclusivos posteriormente este no
puede decir que no firmó el documento.
Huelga decir, que una firma electrónica tiene los mismos efectos jurídicos que una
firma manuscrita y que no se le negarán efectos jurídicos ni admisibilidad como
prueba en procedimientos judiciales a una firma electrónica por el mero hecho de
ser una firma electrónica. Es decir, la firma electrónica tiene el mismo valor que la
firma manuscrita en formato papel.
Además de la firma electrónica “ordinaria”, existen dos tipos más de firmas
electrónicas, la firma electrónica avanzada y la firma electrónica cualificada.
- Firma electrónica → Es la más básica. Es la más básica. Se trata de un
conjunto de datos en forma electrónica que pueden ser utilizados como
medio de identificación del firmante
Dentro de este tipo de firmas encontramos, por ejemplo, la denominada
firma simple, que se basa en el acepto o rechazo de la información (es la que
se utiliza comúnmente cuando se aceptan unas condiciones de uso o una
política de privacidad)
- Firma electrónica avanzada → Es la firma electrónica que cumple con los
requisitos contemplados en el artículo 26 del Reglamento (estar vinculada al
firmante de manera única, permitir la identificación del firmante, haber sido
creada utilizando datos de creación de la firma electrónica que el firmante
puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
2
estar vinculada con los datos firmados por la misma de modo tal que
cualquier modificación ulterior de los mismos sea detectable). Permite
identificar al firmante y además es capaz de detectar cualquier cambio
producido a posteriori en los datos firmados.
Dentro de este tipo de firmas encontramos, por ejemplo, las denominadas
firma avanzada por OTP (SMS), en la que el firmante recibe en su dispositivo
móvil un código que debe marcar en el momento de firmar el documento o
la firma biométrica avanzada, en la que se dibuja una firma sobre un aparato
electrónico, normalmente una tablet (se recogen datos biométricos como la
presión, inclinación y posición del bolígrafo con el que firma el usuario)
- Firma electrónica cualificada → Es una firma electrónica avanzada que se
crea mediante un dispositivo cualificado de creación de firmas electrónicas y
que se basa en un certificado cualificado de firma electrónica. Solo una
Autoridad de Certificación puede emitirla, ya que así se comprueba la
identidad del certificado y se genera en un dispositivo seguro para firmar.
Dentro de este tipo de firmas encontramos, por ejemplo, las denominadas
firma con certificado, en la que se emplea un certificado digital para firmar el
documento (por ejemplo, el DNI electrónico) o la firma con certificado
centralizado en la nube (el certificado digital se aloja en un servidor seguro
(HSM), y el usuario accede a él cuando quiere firmar un documento
digitalmente, previa autenticación de su identidad)
3
Aparte de los efectos prácticos vistos anteriormente (identificación, integridad de
los datos y no repudio), las aplicaciones prácticas de la firma electrónica son
muchas y variadas, como por ejemplo:
Otro documento necesario para realizar trámites online con validez jurídica es el
certificado de firma electrónica. Este certificado es una declaración electrónica que
contiene unas claves criptográficas que vinculan los datos de validación de una
firma con una persona física y confirma, al menos, el nombre o el seudónimo de esa
persona.
Se trata, por tanto, de un documento digital mediante el cual se identifica a una
persona en internet, permitiendo acceder a sedes electrónicas o firmar documentos
digitales. El mejor ejemplo de estos ejemplo es el DNI electrónico (DNIe), pero hay
muchos otros (como los certificados electrónicos para empresas).
Son documentos muy seguros porque son las autoridades de certificación (los
prestadores de servicios de confianza) quienes verifican la identidad del usuario y
avalan su autenticidad. Además, las autoridades de certificación son las
responsables de emitir y revocar los certificados.
El Ministerio de Asuntos Económicos y Transformación Digital es el encargado de
elaborar la denominada “lista de confianza” con los prestadores de servicios
electrónicos de confianza cualificados, entre los que podemos encontrar tanto
prestadores cualificados públicos de las Administraciones Públicas como privados
(por ejemplo, la FNMT, Camerfirma, Signaturit o Ivnosys por nombrar algunos)
4
El Reglamento los denomina como certificados de firma electrónica y distingue dos
tipos:
Sin embargo, la ley española los denomina certificados electrónicos (normales y
cualificados) y es así como la mayor parte de las personas los conocen.
Decimos que es un documento necesario porque en necesario disponer de él para
firmar un documento de forma electrónica, aunque también puede bastar, en
muchas ocasiones, el DNI electrónico. A la hora de utilizarlos no hay mucha
diferencia y en las páginas de las Administraciones Públicas permiten el uso de
ambos, según lo que sea más conveniente para el usuario, aunque es verdad que sí
que hay algunas diferencias y limitaciones de uno respecto a otro. Por ejemplo, el
DNI electrónico sólo puede ser usado por ciudadanos españoles que sean personas
físicas (se necesita el DNI), mientras que el certificado puede ser usado también por
extranjeros (usando el NIE) o por personas jurídicas, ya que existen varios tipos de
certificados electrónicos (como el certificado de representante o de sello de
empresa, entre otros).
Los certificados electrónicos son documentos expedidos por una autoridad de
certificación (el servicio de confianza) que sirven para identificar a una persona
(física o jurídica) mediante un par de claves (denominadas claves digitales, la clave
privada y la clave pública, que trabajan de forma complementaria) y tienen como
misión validar y certificar que una firma electrónica se corresponde con una persona
o entidad concreta.
Los certificados electrónicos contienen toda la información necesaria para firmar
electrónicamente e identificar a su propietario con sus datos: nombre, NIF,
algoritmo y claves de firma, fecha de expiración y organismo que lo expide.
Además, la autoridad de certificación da fe de que la firma electrónica se
corresponde con un usuario concreto. Esa es la razón por la que los certificados
están firmados, a su vez, por la autoridad de certificación.
5
Proceso de obtención del certificado de persona física ante la Fábrica Nacional de
Moneda y Timbre - Real Casa de la Moneda (FNMT-RCM)
El certificado digital FNMT de Persona Física es la certificación electrónica expedida
por la FNMT-RCM, una entidad pública empresarial adscrita al Ministerio de
Hacienda, que vincula a su suscriptor con unos datos de verificación de firma y
confirma su identidad. Cualquier ciudadano español o extranjero, mayor de edad o
menor emancipado que esté en posesión de su DNI o NIE, puede solicitar y
obtener su certificado digital de forma gratuita para firmar y acreditar su identidad
de forma segura en Internet.
a. Configuración previa instalando el software que nos indica la sede
electrónica de la FNMT.
b. Solicitud vía internet del certificado. Al terminar la solicitud se genera
un código de solicitud que será necesario para acreditar la identidad y
descargar el certificado.
c. Acreditación de la identidad ante una Oficina de Acreditación de
Identidad.
d. Descarga del certificado de persona física con el código de solicitud.
2. Como archivo descargable en un dispositivo Android. Si bien esta opción
todavía no está disponible porque se está ultimando la versión final. Cuando
esté disponible lo anunciarán en la la sede electrónica de la FNMT.
a. Configuración previa instalando el software que nos indica la sede
electrónica de la FNMT.
b. Solicitud con certificado electrónico para comprobar la identidad de la
persona. Una vez confirmada se genera un código de solicitud, que
será necesario para descargar el certificado.
c. Descarga del certificado de persona física con el código de solicitud.
6
3.7.1. Certificados electrónicos para empresas
Sin pretender ser exhaustivos, a continuación, se enumeran algunos de los tipos de
certificados reconocidos por el Reglamento eIDAS emitidos por las entidades que
operan como autoridades de certificación:
- Certificado de firma: Orientado a la firma de personas físicas. La firma
implica la garantía de origen e integridad de los datos firmados, así como la
conformidad/consentimiento con dichos datos y obligación legal respecto al
contenido.
- Certificado de sello: Orientado al sello de personas jurídicas, vincula los
datos de validación de un sello con una persona jurídica y confirma el
nombre de esa persona.
- Certificado de autenticación web: Orientado a vincular el sitio web con la
persona física o jurídica titular del certificado.
- Certificado de Factura Electrónica: es un certificado reconocido de persona
física con poderes de representación de una organización únicamente para
firmar Facturas Electrónicas.
PRINCIPAL NORMATIVA
- REGLAMENTO (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de
23 de julio de 2014 relativo a la identificación electrónica y los servicios de
confianza para las transacciones electrónicas en el mercado interior (el
“Reglamento eIDAS”) →
https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32014R091
0&from=IT
- Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de
los servicios electrónicos de confianza (la “LSEC”) →
https://www.boe.es/buscar/act.php?id=BOE-A-2020-14046