Cómo asegurar la identidad digital de los contratos firmados electrónicamente
La falta de un certificado no determina la invalidez del pacto
En un mundo cada vez más digital las transacciones a distancia han ido ganando terreno frente a la contratación presencial. La crisis por el Covid-19 no ha hecho más que dar el espaldarazo definitivo al uso de diferentes softwares para agilizar estos negocios. Sin embargo, no todas las herramientas ofrecen las mismas garantías. Cuantas más medidas de seguridad incorporen, menos peligro existirá de usurpación de identidad y de que termine anulándose el contrato. Precisamente esto es lo que sucedió en un reciente caso sentenciado por la Audiencia Provincial de Lleida (cuyo texto puede consultar aquí). El tribunal rechazó la validez de un crédito formalizado mediante DocuSign porque la prestamista no probó que la firma que constaba en el contrato fuera real.
Como explica Natalia Martos, CEO de Legal Army, la Audiencia consideró que, en realidad, no se trataba de una firma electrónica con fuerza probatoria, sino de una firma manual escaneada e incorporada al documento. Y aunque ello no quiere decir que, a priori, no fuera válida, la Sala entiende que no se utilizó un sistema suficientemente garantista, pues “no contaba con un certificado reconocido ni se ajustaba a las exigencias de la normativa vigente”.
Exigencias legales
A la hora de valorar si un documento electrónico es nulo, explica Héctor Oliver, abogado especializado en comercio electrónico en Audens, “un juez se basará en los mismos criterios que para determinar la validez de un documento firmado en soporte papel”. Es decir, se debe probar la concurrencia de tres elementos esenciales: la identidad de las partes, la integridad del documento y su aceptación a través de la firma.
El reglamento europeo sobre identificación electrónica (eIDAS, por su abreviatura en inglés), distingue dos tipos de firma electrónica, la “avanzada” y la “cualificada”. Esta última, equivalente a la manuscrita, debe basarse en un certificado regulado que la vincule de forma inequívoca con la persona. No solo se limitan a determinados prestadores de servicios de confianza, sino que también se establecen requisitos para los dipositivos de creación de estas firmas. Por eso, para impugnarla habría que probar que dicho certificado no ha funcionado correctamente. Pero esta firma, a pesar de ser recomendable, “no es obligatoria en el ámbito privado”, señala Martos, por lo que las partes pueden elegir el tipo de sistema que quieren usar, “y el contrato que suscriban será perfectamente válido si ninguna lo reclama”.
Hay que tener en cuenta que no todas las tecnologías disponibles ofrecen el mismo nivel de confianza. “Factores como el precio o la facilidad de uso tienen peso en el mercado: de ahí que convivan herramientas muy seguras con otras mucho menos sólidas”, apunta Oliver. En consecuencia, “la fortaleza probatoria va a depender del proceso que diseñe cada proveedor y con qué evidencias lo acompañe”, explica.
De hecho, añade el abogado, “la falta de un certificado electrónico no determina, por sí misma, la invalidez del proceso de contratación”. Según apunta, hay prestadores de servicios de confianza que emplean otras soluciones para garantizar la identidad de los firmantes, como la video identificación, reforzando el proceso con el cotejo del documento de identidad, la intervención de un agente o la biometría.
Consumidores
Uno de los principales problemas que pueden derivarse del uso de herramientas poco seguras es la posible suplantación de identidad y quién debe responsabilizarse. En opinión de Rosana Pérez Gurrea, abogada y profesora de Derecho Civil de la UOC, las cláusulas de exención de responsabilidad por el uso indebido de la firma electrónica que incorporan los contratos de la banca online no suponen una dispensa total. “Máxime cuando son estas las que ofrecen el sistema y establecen los mecanismos de seguridad y autenticación que consideran convenientes”, afirma.
Según Pérez Gurrea, “no parece justo que los consumidores que han sido objeto de fraude tengan que sufrir la totalidad de sus consecuencias, salvo que haya indicios de negligencia”. A esta misma conclusión llegó la Audiencia Provincial de Las Palmas al fallar, en marzo de 2020, a favor de un cliente que reclamó cerca de 400.000 euros por daños y perjuicios a su banco por unas operaciones financieras no autorizadas.
Trabajadores
En el ámbito de la contratación laboral “es especialmente importante usar una firma electrónica cualificada”, señala Martos. De esta forma, se garantiza la autoría, identidad y autenticidad del consentimiento prestado. Por ello no vale, advierte, la firma escaneada de un trabajador “tal como declaró una sentencia del Juzgado de lo Social número 3 de Pamplona que en 2017 exoneró a un futbolista de pagar 12 millones de euros por supuesto incumplimiento contractual”.
Niveles de seguridad
Básica. Este tipo de firma puede adjuntarse al documento electrónico bien a través de una pantalla que la guarda digitalmente, mediante la copia del autógrafo escaneado, o de un simple clic en un botón de “acepto”. Es el método utilizado para actos cotidianos como aceptar la entrega de un paquete. Sin embargo, puede plantear problemas de prueba sobre la identidad del firmante.
Avanzada. Permite identificar al firmante y detectar cualquier cambio posterior. El nivel de seguridad aumenta al cumplir cuatro requisitos legales. En primer lugar, debe estar vinculada de manera única con el signatario. En segundo lugar, es necesario que este pueda ser identificado. Además, la firma debe insertarse con un mecanismo que permita garantizar que este individuo es el único que puede suscribir el documento. Por último, cualquier cambio de datos posterior a la rúbrica debe ser detectable. Algunos ejemplos son las firmas biométricas en una tableta Wacom o la identificación por SMS.
Cualificada. Es el tipo de firma electrónica capaz de identificar plenamente al firmante porque exige una comprobación inicial, bien en persona o mediante un procedimiento equivalente. Tiene el mismo valor legal que la manuscrita. La identidad del signatario se vincula a su rúbrica digital mediante un certificado emitido por un prestador de servicios de confianza cualificado. Un ejemplo es el DNI electrónico.