En el mes de febrero de 2022, la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) publicó una nota aclaratoria sobre la utilización de certificados electrónicos por personas diferentes del titular o firmante.
Aunque pueda parecer obvio que el certificado sólo puede ser utilizado por el titular del mismo, en determinados casos es relativamente habitual que los particulares o empresas deleguen el uso de sus certificados electrónicos a un tercero autorizado para que realice trámites en su nombre.
Por ejemplo, es frecuente que los titulares de certificados electrónicos cualificados entreguen a entidades de gestión o tramitación (gestorías, por ejemplo) sus propios certificados (de firma o de sello), y los medios para el acceso y utilización de los datos de creación de firma (claves privadas), todo ello amparado, en el mejor de los casos, en un contrato privado de cesión de medios para firma, con lo que la entidad tramitadora puede firmar todos los documentos como si se tratara del titular del certificado.
¿Es esto legal? ¿Tienen validez legal los documentos y trámites firmados de este modo? Analizaremos esta situación con la ayuda de nuestro experto Carlos Galán, Doctor en Informática, Abogado especialista en Derecho de las Tecnologías de la Información
No es ilegal, pero carece de eficacia jurídica.
Según palabras de Carlos Galán, “Esta realidad es a la que pretende poner coto la referida Nota, que recuerda que, pese a la posibilidad de que los datos de creación de firma sean gestionados por un tercero en nombre del firmante, se garantizará siempre que el entorno se utilice bajo el control exclusivo del titular del certificado, custodiando y protegiendo adecuadamente dichos datos de creación de firmas o sellos, tal y como nos recuerda la Ley 6/2020, de 11 de noviembre.”
“La Nota concluye señalando que los certificados electrónicos son de uso personal e intransferible, y la posibilidad de que el titular/firmante de un certificado electrónico expedido a su nombre transfiera su posesión y revele sus claves de acceso a cualquier tercero, no es conforme con la legislación vigente en materia de servicios electrónicos de confianza. Lo que en nuestra opinión no significa que sea necesariamente ilegal tal comportamiento, sino que los efectos jurídicos que pudieran derivarse de tales acciones serían, consiguientemente, nulos.”
¿Puedo “delegar una firma electrónica” con validez legal?
Para que dicha “delegación” sea conforme con la legislación aplicable han de cumplirse determinados requisitos.
El Reglamento eIDAS señala claramente que es posible que el titular de un certificado confíe a un tercero los dispositivos cualificados de creación de firmas electrónicas siempre que se apliquen los procedimientos y mecanismos adecuados para garantizar que el firmante tiene el control exclusivo del uso de sus datos de creación de la firma electrónica y la utilización del dispositivo cumple los requisitos de la firma electrónica cualificada.
Esto tiene especial incidencia en lo que se ha denominado “firma electrónica centralizada” o “firma electrónica remota”, por la que es posible la creación de firmas electrónicas a distancia en un entorno de creación de firma electrónica gestionado por un prestador de servicios de confianza en nombre del firmante.
Así, según la opinión de nuestro experto, ante esta situación, las entidades de gestión o tramitación tienen dos posibilidades:
- Obtener un certificado cualificado de representante de cada uno de sus clientes y utilizarlo conforme al mandato o poder de representación conferido, o
- Mantener la gestión de los certificados cualificados de sus clientes (y, lo que es más importante, de sus datos de creación de firmas o sellos), CON mecanismos organizativos y técnicos que garanticen:
-
- La seguridad de la gestión de dichos datos, de modo que la utilización del dispositivo cumpla los requisitos de la firma electrónica cualificada.
- Un entorno de creación de firmas electrónicas fiable, incluidos canales de comunicación electrónica seguros, donde el firmante tenga el control exclusivo del uso de sus datos de creación de la firma electrónica. Es decir, que el proceso de firma (o sello) se arranca únicamente a instancia del titular del certificado, no a instancia de la entidad de gestión (que adoptará la condición de prestador de servicio de confianza en el caso de participar de la consignación de firmas electrónicas a distancia, tal como señala el Reglamento eIDAS).
Entonces ¿Pueden mis clientes firmar en remoto con su certificado?
Si. Siempre que se utilice un sistema que garantice la seguridad de los datos y que el titular tiene el control exclusivo de lo que se realiza con su certificado y, especialmente, con sus datos de creación de firma/sello (claves privadas).
Una opción ágil y segura es utilizar entornos como nuestra solución GoodOK Firmas, que cumple dichos requisitos pues:
- Utiliza certificados creados directamente en la nube segura del proveedor de servicios de confianza.
- Establece mecanismos para que el titular del certificado autorice las operaciones que se realizan con su certificado (alta y/o creación de firma)
- Tras el proceso de alta, el gestor o representante NO tiene acceso al certificado ni a sus datos de acceso, ni a sus datos de creación de firmas/sellos pues sólo solicita la firma al titular del certificado. Esta solicitud se realiza por canales de comunicación electrónica seguros.
- La plataforma GoodOK Firmas realiza la firma con el certificado del titular sólo cuando el titular lo autoriza expresamente, dejando traza de todas las comunicaciones y evidencias obtenidas en el proceso.
Y todo ello, en un entorno web móvil, sin desplazamientos y sin necesidad de instalar ninguna aplicación.
Nota sobre legislación aplicable:
- Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (conocido como Reglamento eIDAS)
- Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.