Aspectos teórico-prácticos de la firma digital en Colombia y su referente en Latinoamérica. Erick Rincón Cárdenas
documento firmado (valor hash), que será cifrado, con esto no puede negar la autoría, pues solo él es el propietario y responsable de esa clave, aminorando el riesgo por alteración y no repudio del mensaje transmitido;
b. El receptor comprueba la validez de la firma por medio de la utilización de la clave pública vinculada a la clave privada, con lo cual es posible descifrar el valor numérico único obtenido del documento firmado y verificar la integridad del mensaje;
c. La información del firmante, es decir, la identidad del firmante se podrá verificar con el certificado digital que contiene la clave pública, de esta forma, el proceso de autenticidad, integridad y no repudio queda satisfecho.
Más adelante, con mayor detalle, se tratarán los conceptos técnico-legales de la firma digital, que permitirán comprender su multiplicidad de usos.
Veremos que, en las legislaciones latinoamericanas, se establece que las firmas digitales, electrónica certificada o avanzada buscan lograr la misma fuerza y efecto que una firma manuscrita, siempre que cumpla con los siguientes requisitos: (i) sea única, (ii) sea verificable, (iii) esté bajo control exclusivo del iniciador y (iv) esté ligada a la información del mensaje. En ese orden de ideas, las legislaciones latinoamericanas han plasmado distintas formas de darle cumplimiento a los requerimientos antes descritos, así como la regulación de las entidades prestadoras del servicio de certificación digital, institución que también veremos más adelante. Todo lo anterior, garantizando autenticidad, integridad y no repudio.
Otro concepto que deberemos apropiar será el de terceros de confianza, cuya función es la de facilitar el valor probatorio y asegurar la presunción de autenticidad, integridad y no repudio, dada por la ley a aquellos mensajes de datos que tienen como propósito sustituir la firma manuscrita.
Esta figura de nacimiento internacional ha sido acogida en forma parecida por los distintos países y, para el interés de estudio de este libro, en el conglomerado latinoamericano nace inicialmente como una forma ambiciosa de certificar todos los mensajes de datos en el tráfico global de estos, sin embargo, sus efectos se ven modulados a la especie de firma digital, por considerarlo oportuno y mesurado, para un tráfico escalable y acelerado de mensajes de datos.
Para comprender mejor la función de certificación de mensajes de datos firmados, respecto del valor legal y probatorio de los mismos, en este punto es necesario diferenciar distintas cualidades de la seguridad jurídica, ya que una es la de darle el mismo valor legal a los mensajes de datos y otra distinta es la de facilitar o asegurar su valor probatorio, por cuanto la segunda, como veremos brevemente en el caso colombiano, obedece a la posibilidad de trasladar la carga probatoria a la contraparte o a un tercero.
Cuando se traslada la carga de la prueba a un tercero, ello quiere decir que será el proveedor tercero de confianza, quien, por medio de un certificado digital, emita concepto previo de la integridad, autenticidad y no repudio de la firma digital empleada en un documento electrónico.
Ahora bien, la carga de la prueba podrá ser objeto de traslado a la contraparte, ya sea como consecuencia de la certificación hasta el momento enunciada, o como consecuencia de las ficciones legales que para ello establezcan cada uno de los países.
Para la muestra, podemos evidenciar en la legislación colombiana que, a falta de certificación, el artículo 7º del Decreto 2364 de 2012 establece la posibilidad de que en el pacto de firma se acuerde el cumplimiento de requisitos de la firma electrónica, como vemos a continuación:
Artículo 7º. Firma electrónica pactada mediante acuerdo. Salvo prueba en contrario, se presume que los mecanismos o técnicas de identificación personal o autenticación electrónica según el caso, que acuerden utilizar las partes mediante acuerdo, cumplen los requisitos de firma electrónica.
Visto lo anterior, es menester poner de presente que, aunque la autenticidad de la firma se pueda pactar, el mismo decreto nos dice que la seguridad de la firma siempre estará a cargo de la parte que suministra la firma electrónica, veámoslo a continuación:
Parágrafo. La parte que mediante acuerdo provee los métodos de firma electrónica deberá asegurarse de que sus mecanismos son técnicamente seguros y confiables para el propósito de los mismos. A dicha parte le corresponderá probar estos requisitos en caso de que sea necesario.2
Así mismo, acto seguido el citado decreto pone de manifiesto las formas de probar la confianza y seguridad de la firma.
Artículo 8º. Criterios para establecer el grado de seguridad de las firmas electrónicas. Para determinar si los procedimientos, métodos o dispositivos electrónicos que se utilicen como firma electrónica son seguros, y en qué medida lo son, podrán tenerse en cuenta, entre otros, los siguientes factores:
1. El concepto técnico emitido por un perito o un órgano independiente y especializado.
2. La existencia de una auditoría especializada, periódica e independiente sobre los procedimientos, métodos o dispositivos electrónicos que una parte suministra a sus clientes o terceros como mecanismo electrónico de identificación personal.3
Por lo que debemos entender, los retos legales de la firma electrónica, como género, y la firma digital, electrónica avanzada o certificada, como especie, son distintos y así mismo deberemos comprender su desarrollo doctrinal y jurisprudencial.
Nuevamente, en este punto debemos referirnos a la necesidad de comprender que esto no es creación completamente autónoma del Estado colombiano, sino que obedece a la réplica instrumentada de la CNUDMI, en su Ley Modelo sobre las Firmas Electrónicas del año 2001, y que, a razón de ello, los modelos sobre firmas pactadas mediante acuerdo, en otras legislaciones latinoamericanas, cumplen efectos legales más o menos parecidos.
Dejando de lado, momentáneamente, el desarrollo jurídico de la firma electrónica general y abordando, nuevamente, la firma digital certificada, es pertinente entender un poco mejor en qué consiste el proceso de certificación digital prestado por los terceros de confianza, respecto de lo cual podemos decir que su actividad está reglada por la ley, y así lo evidenciamos tanto en Colombia como en otras naciones latinoamericanas.
Para hacernos una idea de su construcción legal, el caso colombiano, durante el periodo comprendido entre el 2000 y el 2011, la actividad de acreditación de las entidades de certificación digital abiertas y cerradas fue administrada en forma directa por la Superintendencia de Industria y Comercio; a partir del año 2012, dicha actividad se encuentra en cabeza del Organismo Nacional de Acreditación de Colombia (ONAC).
Siguiendo con el caso colombiano, la actividad de los terceros de confianza gira esencialmente alrededor de la emisión de certificados digitales de cualquiera de las actividades que previamente hayan acreditado ante el ONAC y que estén dentro del marco del artículo 30 de la Ley 527 de 1999.
Artículo 30. Actividades de las entidades de certificación. Las entidades de certificación acreditadas por el Organismo Nacional de Acreditación de Colombia para prestar sus servicios en el país, podrán realizar, entre otras, las siguientes actividades:
1. Emitir certificados en relación con las firmas electrónicas o digitales de personas naturales o jurídicas.
2. Emitir certificados sobre la verificación respecto de la alteración entre el envío y recepción del mensaje de datos y de documentos electrónicos transferibles.
3. Emitir certificados en relación con la persona que posea un derecho u obligación con respecto a los documentos enunciados en los literales f) y g) del artículo 26 de la Ley 527 de 1999.
4. Ofrecer o facilitar los servicios de generación de los datos de creación de las firmas digitales certificadas.
5. Ofrecer o facilitar los servicios de registro y estampado cronológico en la generación, transmisión y recepción de mensajes de datos.
6. Ofrecer o facilitar los servicios de generación de datos de creación de las firmas electrónicas.
7. Ofrecer los servicios de registro, custodia y anotación de los documentos electrónicos transferibles.
8.