Erick Rincón Cárdenas

Doctor en Derecho. Experto en Derecho y TIC

 

Siguiendo nuestra anterior columna Uso de medios electrónicos (II). La Ley 527 de 1999 como instrumento normativo suficiente, otro “mito” con el que se asocia la Ley 527 tiene que ver con su supuesta ausencia de “neutralidad tecnológica”, por la adopción de la firma digital como un mecanismo de autenticación en las comunicaciones electrónicas. Al respecto, es importante decir que esa afirmación resulta también infundada, pues basta con la lectura de la definición de firma digital que la misma ley ofrece, y se puede concluir que en ningún momento se asocia o vincula con una tecnología en particular. Es así como la firma digital es un mecanismo que parte de un procedimiento matemático conocido y permite garantizar la autoría de un mensaje de datos, así como la verificación de la integridad por parte del destinatario de la misma. La firma digital, entonces, no es una tecnología y la ley no atenta contra el principio de neutralidad. Ahora bien, el procedimiento matemático al que alude la norma puede utilizar diversa tecnología, y en la actualidad la que resulta idónea para garantizar el resultado perseguido por la norma es la denominada “Infraestructura de Llave Pública”, o por su sigla en ingles PKI, pero el avance tecnológico permite y permitirá la utilización de otro tipo de instrumentos. La norma es abierta en la incorporación de tecnologías.

 

No hay figura más controversial en la Ley 527 que la de la firma digital. De ello no cabe duda, pues desde diferentes puntos de vista se ha venido criticando su aplicabilidad, exponiendo fundamentalmente que la misma resulta onerosa, atenta contra la neutralidad tecnológica y, adicionalmente, impide que exista libertad de elección en los mecanismos de autenticación desarrollados por el legislador.

 

Partiendo del texto legal, podemos afirmar que la Ley 527 reconoce dos tipos de firma, la denominada firma electrónica y la firma digital. Sobre la firma electrónica, la ley hace referencia a ella como aquel mecanismo técnico que permite identificar a una persona ante un sistema de información, siempre y cuando dicho mecanismo sea confiable y apropiado. Se trata, pues, del género de los mecanismos de autenticación que se encuentran reconocidos en nuestro ordenamiento jurídico, y su aplicabilidad se puede ejemplificar de manera simple: en los contratos bancarios, como el de depósito en cuenta corriente, se dispone la posibilidad para el cuentacorrentista de utilizar un PIN o clave para autenticarse ante los sistemas de información del banco, esto es la clave que se utiliza en un cajero electrónico. Así, dicha clave es una firma electrónica, pues se trata de un mecanismo técnico, que permite a los clientes financieros autenticarse ante los sistemas de información del banco; sin embargo, la validez de dicha firma se encuentra diferida a la confiabilidad y apropiabilidad del mecanismo, algo que resuelven sencillamente los bancos al incorporar dentro del clausulado general al que adhieren sus clientes, que dicho mecanismo (la clave) se considera para efectos del acuerdo de voluntades como confiable y apropiable.

 

La confiabilidad y apropiabilidad son dos características técnicas que no tienen definición legal, y que, por lo tanto, no tienen un referente objetivo para determinar si se presentan o no en un mecanismo de autenticación. Por ello es que las partes de una relación jurídica donde se utilice firma electrónica deben definir previamente en el acuerdo de voluntades que estiman como confiable y apropiable para autenticar a una persona ante un sistema de información. Así lo hacen los bancos, y el mecanismo es válido tanto jurídica como probatoriamente, sin embargo, quien alegue la presencia de las dos condiciones descritas deberá probarlas, asumiendo entonces toda la carga probatoria.

 

Es decir, la disposición del artículo 7º de la Ley 527 cuando se refiere a la firma electrónica, lo hace en términos amplios y, por supuesto, dentro de esa definición se cubrirían mecanismos como nombres de usuario y contraseñas, claves, firmas biométricas, entre otros.

 

Es así como la firma electrónica tiene toda la eficacia y aplicabilidad en relaciones donde existen acuerdos previos que permitan definir que los mecanismos de autenticación utilizados por las partes son confiables y apropiables y se establezcan las condiciones mínimas de confiabilidad y apropiabilidad de los mismos. Pero la práctica de la utilización de medios electrónicos nos lleva a la conclusión de que muchas relaciones donde se requieren mecanismos de autenticación electrónicos no se encuentran precedidas por acuerdos o contratos –por ejemplo, actuaciones administrativas electrónicas o los títulos valores electrónicos–, y es allí donde las condiciones de confiabilidad y apropiabilidad no pueden estar indefinidas, pues generarían gran inseguridad jurídica. Frente a esa problemática, el legislador, con buen criterio, estableció adicional a la firma electrónica una de sus especies más destacadas, esto es la firma digital.

 

Como se dijo anteriormente, la firma digital se encuentra definida en el artículo 2º de la Ley 527, como un procedimiento matemático conocido que permite garantizar dos atributos propios de las comunicaciones electrónicas: la autenticidad y la integridad, y derivan por ello en un tercero que tiene también gran trascendencia jurídica: el no repudio. Las características de la firma digital hicieron que el legislador le confiriera una presunción de confiabilidad y apropiabilidad, que no hace necesario el acuerdo previo entre las partes para que se definan, pues se dan de manera automática. La razón es también simple, pues para que se entienda válidamente emitida una firma digital en Colombia, se requiere de la intervención de un tercero de confianza denominado “entidad de certificación”, que avala, precisamente, la identidad de quien aparece como titular de la firma digital. Es así como, entonces, existe en este modelo un tercero, que a través de procedimientos idóneos verifica de manera exhaustiva la identidad de las personas.

 

La intervención del tercero (prestador de servicios de certificación) resulta fundamental, pues permite garantizar la identidad de los firmantes y, por ello, teniendo en cuenta el procedimiento de generación de la firma, la ley estableció a su favor tres atributos fundamentales en el aseguramiento jurídico de la información electrónica, a saber: (i) la autenticidad, en la medida que se puede verificar en un mensaje de datos firmado digitalmente quién es su autor, que se compromete jurídicamente; (ii) la integridad, pues el destinario de ese mensaje de datos podrá verificar si la información ha sido o no alterada en el proceso de comunicación electrónica y esto, incluso, es muy útil para determinar la originalidad electrónica del mensaje de datos, a las luces de los artículos 8º y 9º de la Ley 527; y (iii) el no repudio, pues quien firma digitalmente se compromete con la suscripción respectiva y posteriormente no le es dado retractarse o refutar dicho acto. Recuérdese que el legislador le ha conferido a la firma digital estas especiales características probatorias, porque en el medio de la emisión se encuentra un tercero que avala la identidad del titular de la firma.

 

De conformidad con lo anterior, puede concluirse que en Colombia se encuentran reconocidas tanto la firma electrónica como la firma digital, y que, si bien las dos pueden producir los mismos efectos jurídicos como mecanismos de autenticación, también es cierto que existen profundas diferencias en la carga probatoria de los atributos de seguridad jurídica arriba explicados, por la intervención del tercero denominado entidad de certificación. La diferencia entonces es fundamentalmente probatoria, pues si bien la firma digital de manera automática incorpora la autenticidad, integridad y no repudio, en la firma electrónica es necesario probarla, además de determinar que se trata de un mecanismo confiable y apropiable.

 

Sin embargo, los dos mecanismos coexisten en nuestro ordenamiento jurídico, teniendo entonces una utilidad distinta, pues la firma electrónica será apropiable cuando estemos en presencia de un acuerdo previo entre las partes, relaciones de permanencia, de confianza; mientras que la firma digital tiene especiales características probatorias, es un mecanismo que elimina la discusión sobre la presencia de atributos de seguridad jurídica y no requiere de acuerdo para su utilización. Su aplicabilidad estará dada por el análisis de riesgos de la información que haga cada entidad, empresa u organización (riesgos de suplantación, de alteración o de repudio), y por la naturaleza misma del documento o del trámite que se realice por medios electrónicos. Por ejemplo en el caso de títulos valores electrónicos, que tienen dentro de sus características la libre circulación, el pretender utilizar un mecanismo distinto a la firma digital, resulta completamente inapropiado, pues este tipo de documentos electrónicos que se pueden endosar tantas veces se quiera, deben garantizar el equivalente idóneo de la firma y adicionalmente deben permitir que los destinarios del mismo puedan comprobar de manera confiable y apropiable la autenticidad e integridad del instrumento negocial.

 

Para responder a la pregunta, sobre si la firma digital es un propulsor o un freno del comercio electrónico, no cabe duda que su utilización dependerá del análisis de riesgos de la información electrónica y de las características del documento o trámite por medios electrónicos, pues si se quieren garantizar de manera inequívoca los atributos de seguridad jurídica de las comunicaciones electrónicas, su uso resulta fundamental. Sus especiales consideraciones probatorias se justifican por la intervención del tercero de confianza. En ese orden de ideas, y partiendo de una premisa, y es que la principal objeción que tienen aún muchos comerciantes y usuarios en la utilización de medios electrónicos es la seguridad, pues la firma digital no es otra cosa que un importante propulsor del comercio electrónico, pues le brinda seguridad tanto técnica como jurídica a las transacciones electrónicas.

 

Las críticas son infundadas, pues en la actualidad es posible acceder a este tipo de mecanismo a precios competitivos dentro de los referentes internacionales y en condiciones de servicio óptimas para la masificación de diversas actuaciones y trámites por medios electrónicos. Incluso ya hay varias entidades de certificación acreditadas en el país por la Superintendencia de Industria y Comercio, con lo cual se ha generado un importante impacto hacia los consumidores de este tipo de mecanismos.

 

Algo también de importancia superlativa es que el uso de una firma digital emitida por una entidad de certificación abierta autorizada es completamente transversal, pues se puede utilizar por el firmante para todo tipo de actuaciones y trámites, con independencia del sistema de información del destinatario.