Las firmas electrónicas, ¿tienen validez jurídica indefinida?

Electronic signatures legally valid

Se ha discutido mucho sobre la validez a largo plazo de las firmas electrónicas. Por ejemplo, ¿un documento que firme hoy, seguirá surtiendo efecto dentro de diez o incluso cincuenta años?

En este artículo, exploraremos los factores que convierten la firma electrónica en un instrumento jurídicamente vinculante, por cuánto tiempo se puede validar la misma y por qué la tecnología es fundamental en ello.

 

¿Por cuánto tiempo debe ser válida su firma electrónica?

Una de las primeras preguntas que debe hacerse es obvia: ¿Por cuánto tiempo necesita que su firma electrónica sea válida? Al fin y al cabo, no tiene mucho sentido tratar de preservar su validez si el plazo se reduce a unos pocos años.

Con esto en mente, es importante tener en cuenta el tipo de documento que está firmando, ya que los periodos de retención variarán en consecuencia. También deberá cumplir con las leyes (inter)nacionales, regionales y locales sobre la conservación de documentos. Así que, se trate de un contrato de trabajo, de unas condiciones de servicio, de unos documentos bancarios o de un historial médico, compruebe cuál es la normativa aplicable. Además, tenga en cuenta las políticas internas de su organización en materia de litigios, prescripción, impuestos o informes financieros.

 

¿Qué hace que una firma electrónica sea jurídicamente vinculante?

Las firmas electrónicas gozan de reconocimiento jurídico en la mayor parte del mundo, aunque cada país aplica su propio reglamento. De este modo, las firmas electrónicas en Estados Unidos se rigen por las leyes eSIGN Act y UETA, mientras que en el Reino Unido se aplica la Electronic Communications Act 2000 y la normativa Electronic Signatures Regulations 2002. En la UE, la condición legal de las firmas electrónicas es regulada por la normativa eIDAS.

Sin embargo, aunque las firmas electrónicas tienen valor jurídico vinculante, su validez queda limitada por el certificado de firma electrónica que las acompaña. Estos certificados se conocen bajo nombres diferentes (como certificado de firma y certificado digital), pero todos son emitidos por una Autoridad de Certificación (AC), la que avala su autenticidad e integridad. En otras palabras, un certificado emitido por una AC de confianza implica que la persona que firma el documento es quien dice ser.

 

¿Qué ocurre si el certificado caduca o la AC deja de existir?

Los certificados digitales emitidos por una AC solo son válidos durante un tiempo determinado, que suele abarcar un período de entre uno y tres años. ¿Qué ocurre entonces si un documento precisa de una validez de cinco años y el certificado caduca a la mitad de ese período? Del mismo modo, ¿qué ocurre si la Autoridad de Certificación emisora se vuelve repentinamente inactiva?
Para asegurarse de que su firma electrónica sigue siendo válida independientemente de que los certificados caduquen o de que las AA. CC. dejen de prestar sus servicios, necesitará dos componentes integrados en ella. Estos son: una marca de tiempo oficial emitida por una autoridad de marca de tiempo de confianza y la verificación del certificado de firma original. A continuación, le explicamos por qué son importantes.

 

Sello de tiempo de su firma electrónica

Las firmas electrónicas de larga duración incluyen una marca de tiempo que demuestra cuándo se creó la firma. Si la marca de tiempo indica que el documento se firmó cuando el certificado digital de la AC aún era válido, también lo será la firma electrónica. Aunque la AC ya no esté activa, el documento seguirá surtiendo efecto mientras haya sido firmado en un momento en que la AC era plenamente operativa.

La marca de tiempo en sí misma es proporcionada y asignada por una parte independiente de confianza denominada la Autoridad de Sellado de Tiempo (TSA, por sus siglas en inglés). Esto dota a las firmas electrónicas de una mayor integridad y garantiza que no puedan manipular o antedatarse con facilidad.

 

Verificación del certificado de firma

Además de la marca de tiempo, las firmas electrónicas de larga duración también contienen datos que demuestran la validez de los certificados digitales en el momento de la firma. Esto se suele hacer con una lista de revocación de certificados o un protocolo de estado de certificados en línea (respectivamente, CRL y OCSP por sus siglas en inglés). Cuando está disponible, el método OCSP es el preferido para llevar a cabo la verificación. La razón principal es que este método requiere menos datos y reduce el espacio global de almacenamiento.

Básicamente, mientras el certificado fuera válido en el momento de la firma (y así lo verifica la marca de tiempo), la firma electrónica también lo será.

 

¿Cuál es el mejor formato de documento para la firma electrónica con validez a largo plazo?

Se recomiendan los formatos de documentos que incrustan datos, como los formatos PDF/A. Los documentos PDF/A no solo incrustan datos, sino que ofrecen un formato estandarizado y cumplen con la norma ISO 19005. Además, funcionan con un formato de documento abierto que puede ser descargado y abierto por muchos programas informáticos.

En resumen, los documentos PDF/A son autónomos, se documentan por sí mismos y son independientes de cualquier tipo específico de hardware y software, por lo que son ideales para la accesibilidad a largo plazo.

 

¿Qué ocurre si el software es pirateado?

La ventaja de los programas de firma electrónica es que utilizan algoritmos seguros para cifrar los datos, lo que en teoría dificulta el pirateo informático. Sin embargo, la firma electrónica es una solución basada en la tecnología. O sea, en algún momento, el software y los algoritmos sucumbirán a la obsolescencia tecnológica.

Para mitigar ese riesgo e ir un paso por delante, se deben ir aplicando los nuevos estándares de cifrado conforme salgan al mercado. Un ejemplo de ello es el sellado de tiempo periódico con un algoritmo actualizado antes de que se vuelva tecnológicamente débil y vulnerable al hackeo.

 

Entonces, ¿tienen validez indefinida las firmas electrónicas?

En última instancia, el hecho de que su firma electrónica tenga validez indefinida o no, siempre dependerá de cómo esté configurada. Para que surta efecto por período indefinido, deberá estar provista de una marca de tiempo y un certificado digital de verificación activo. Además, deberá estar protegida por marcas de tiempo periódicas que mantengan los niveles de complejidad algorítmica y eviten la obsolescencia.

Para nosotros en Connective, habilitar la seguridad a largo plazo es una parte fundamental de nuestra oferta. Con nuestra solución de firma electrónica estará seguro de que sus documentos vitales estén a salvo y de que surtirán efecto durante todo el tiempo que necesite.

 

¿Preguntas sobre las firmas electrónicas? No dude en contactarnos!