SER Blog Conformidad
El reglamento eIDAS
Explicación sencilla del marco jurídico de la UE relativo a la identificación electrónica y los servicios de confianza
El reglamento eIDAS entró en vigor en 2016 para establecer unos estándares unificados sobre la firma de documentos electrónicos dentro de la Unión Europea y proporcionar un marco común para el uso transfronterizo de las identificaciones electrónicas y los servicios de confianza en Europa. Queremos aprovechar este artículo para analizar en detalle el reglamento eIDAS y la forma en la que los sistemas de gestión de contenidos empresariales (ECM, por sus siglas en inglés) pueden ayudar a garantizar el cumplimiento de los requisitos legales sobre procesos de identificación electrónica por parte de tu empresa.
¿Qué es el reglamento eIDAS?
El reglamento eIDAS (sobre identificación electrónica y servicios de confianza) ofrece unas pautas estandarizadas para el uso de identificaciones electrónicas y servicios de confianza en la UE. De esta forma, posibilita el reconocimiento de las firmas electrónicas como pruebas legalmente vinculantes en los tribunales y define el tipo de firmas electrónicas cuya condición jurídica es idéntica a la de las firmas escritas a mano.
¿Quién debe cumplir con el reglamento eIDAS?
Puesto que se trata de un reglamento de la UE, se deben acoger a él los 27 Estados miembros de la Unión Europea, así como Reino Unido, Islandia, Noruega y Liechtenstein. El ámbito de aplicación engloba todos los organismos de la administración pública y en su contenido se establece que todos los procesos de identificación transfronterizos deben estar basados en el reconocimiento mutuo de los sistemas de identificación electrónica de los distintos Estados miembros.
¿Qué tipo de firmas electrónicas existen?
Una firma electrónica (también conocida en inglés como eSignature) permite confirmar la firma de un documento electrónico, sirve como prueba de identidad y, de acuerdo al reglamento eIDAS, se puede admitir como prueba ante los tribunales de la Unión Europea. Las empresas las utilizan para, entre otras cosas, procesar órdenes de compra, pedidos y facturas online, crear contratos y avisos de rescisión y otro tipo de documentos digitales.
El reglamento eIDAS diferencia varios tipos de firmas electrónicas:
La firma electrónica sencilla
En el contexto del reglamento eIDAS, el término «firma electrónica» hace referencia a la versión digital de una firma (escaneada, por ejemplo) que la persona firmante emplea para confirmar o autorizar un documento. Esto sirve para documentar al autor de la firma, si bien no se comprueba su identidad. Como resultado de ello, se obtiene la denominada «firma electrónica sencilla».
La firma electrónica avanzada
Las firmas electrónicas avanzadas deben estar claramente vinculadas a la persona firmante, permitir su identificación, usar datos de creación de la firma y estar asociadas con los datos firmados de modo tal que cualquier modificación posterior sea detectable.
La firma electrónica cualificada
Las firmas electrónicas cualificadas tienen un significado jurídico especial dentro de los Estados miembros de la UE y equivalen a la firma tradicional escrita a mano. Su uso requiere de un meticuloso proceso de identificación y su correspondiente certificación.
Nota: Además de las firmas electrónicas cualificadas, es posible añadir a los documentos un sello de tiempo cualificado que permite verificar la creación de dicho documento a la hora especificada.
Consejo: En el artículo de blog «Firmas electrónicas: una tecnología de gran valor» puedes obtener más información sobre la descripción y el uso de los distintos tipos de firmas electrónicas.
¿Cuándo se utiliza un sello electrónico?
Además de las firmas electrónicas, existen los denominados sellos electrónicos. La principal diferencia reside en que el sello solo se puede vincular a entidades legales y se utiliza únicamente como prueba de origen del documento. De este modo, se emplea en casos en los que no es necesaria una firma personal pero se desea obtener una verificación de autenticidad, como puede ocurrir con las notificaciones oficiales, por ejemplo.
¿Qué papel desempeñan los proveedores de servicios de confianza en la identificación electrónica?
En casos de gran relevancia jurídica es necesario obtener un servicio de certificación por parte de un proveedor de servicios de confianza acreditado por el gobierno. Tras el registro, que suele ir acompañado de una identificación precisa realizada mediante métodos como la identificación por vídeo, se otorga acceso al sistema a la persona correspondiente para que pueda firmar los documentos de forma electrónica a través de un software especial.
Nota: Idealmente, los sistemas de gestión documental (DMS, por sus siglas en inglés) deben disponer de una interfaz asociada al software de firma que permita firmar los documentos directamente desde ellos.
¿Qué regula la Ley de Servicios de Confianza?
La Ley de Servicios de Confianza (VDG) representa el núcleo central del reglamento eIDAS y permite regular los diversos servicios electrónicos de confianza, incluida la emisión de certificados eIDAS para las firmas avanzadas y cualificadas. Los proveedores que ofrecen servicios de confianza para transacciones electrónicas deben obtener la cualificación correspondiente por parte del organismo de supervisión responsable. DocuSign y Adobe Acrobat Sign son dos ejemplos de proveedores de servicios de confianza cualificados.
¿Qué aspectos no recoge el reglamento eIDAS?
Si bien el reglamento eIDAS establece el reconocimiento de las firmas electrónicas y los servicios de confianza en la UE, no regula ni los requisitos específicos ni los tipos de firmas. Estos dos aspectos se rigen por la legislación nacional de cada uno de los Estados miembros.
- En Alemania, la ley sobre las condiciones generales de las firmas electrónicas y el cambio de otros reglamentos (Ley de Firma Electrónica o SigG) es la que regula las firmas dentro del país. Además de cumplir con las estipulaciones del reglamento eIDAS, define los requisitos necesarios para los distintos tipos de firmas y los proveedores de servicios de confianza y establece las reglas para el reconocimiento jurídico y el uso de las firmas electrónicas.
- Por otra parte, en Suiza se regula el uso de las firmas electrónicas y los servicios de confianza a través de la Ley Federal sobre Firmas Electrónicas (ZertES). En ella se definen los distintos tipos de firmas y, además, se especifican los requisitos de uso para garantizar el reconocimiento jurídico y la interoperabilidad de los servicios de confianza.
- Por último, en Austria es la Ley Federal sobre Firmas Electrónicas la que rige el uso de las firmas electrónicas y los servicios de confianza.
¿Qué ventajas ofrecen las soluciones de ECM de cara a las firmas electrónicas?
El reglamento eIDAS relativo a las transacciones electrónicas realizadas en la UE establece unos estrictos requisitos de cumplimiento destinados a identificar a las personas firmantes y garantizar la autenticidad de los documentos firmados. En el caso de las firmas electrónicas avanzadas y cualificadas, por ejemplo, es importante que exista la posibilidad de determinar con precisión quién ha firmado el escrito, cuándo lo ha hecho y si se han realizado modificaciones posteriores en él.
Los software de ECM ayudan, en gran medida, a cumplir con todas estas obligaciones. Esto se debe a que incluyen funciones con las siguientes capacidades:
- Garantía de transparencia en todo el proceso de creación y firma.
- Protección de documentos y datos frente a cambios, sobrescrituras y eliminaciones no autorizados.
- Promoción de la seguridad de los documentos a través del acceso diferenciado.
- Intercambio seguro de los datos y los documentos firmados.
El reglamento eIDAS simplifica los procesos electrónicos
La introducción de las firmas eIDAS ha permitido unificar las normas europeas sobre identificación electrónica y servicios de confianza. De esta forma, permite el reconocimiento de las firmas electrónicas como pruebas jurídicamente vinculantes y las equipara a las firmas escritas a mano. Un sistema de ECM moderno permite respaldar el cumplimiento de estas regulaciones y garantizar la transparencia, la protección de los documentos y el intercambio seguro de los datos.