Firma Digital: análisis del Decreto 743/24

Autor: Guini, Leonor

Fecha: 02-09-2024

Colección: Doctrina

Cita: MJ-DOC-17954-AR||MJD17954

Voces: DERECHO – INFORMÁTICA – TECNOLOGÍA – DERECHO INFORMÁTICO – FIRMA DIGITAL – DERECHO A LA PROTECCIÓN DE LOS DATOS PERSONALES

Sumario:

I. Alcance y significado de la nueva normativa. II. Conclusión.

Doctrina:

Por Leonor Guini (*)

I. ALCANCE Y SIGNIFICADO DE LA NUEVA NORMATIVA

La nueva normativa se encuentra dirigida a todos los certificadores licenciados públicos y privados, y la opción de la no-presencialidad es válida para la emisión, renovación y revocación de certificados de cualquier tipo. Esto significa que los usuarios o solicitantes pueden tramitar la emisión, renovación o revocación de sus certificados sin tener que presentarse ante una Autoridad de Registro de un Certificador Licenciado. A tales fines y efectos, la nueva normativa en su Artículo 1º, sustituye el inciso 2 del artículo 21 del Anexo del Decreto Nº 182 del 11 de marzo de 2019 y, en su artículo 2 sustituye el artículo 27 del Anexo del Decreto Nº 182/19 de la siguiente forma:

«ARTÍCULO 1º.-Comprobar, por sí o por medio de una Autoridad de Registro que actúe en nombre y por cuenta suya, la identidad y cualquier otro dato de los solicitantes o suscriptores considerado relevante para los procedimientos de verificación de identidad que se requieran para la emisión del certificado digital, su renovación o su revocación, mediante factores de autenticación biométrica, según se especifiquen en la Política Única de Certificación. Dicha verificación de identidad puede o no hacerse de manera presencial, para lo cual se deberán emplear servicios de validación de identidad en tiempo real que utilicen el confronte de datos del REGISTRO NACIONAL DE LAS PERSONAS».

«ARTÍCULO 2 – Autoridades de Registro. Los Certificadores Licenciados podrán delegar en Autoridades de Registro las funciones de validación de identidad y otros datos de los suscriptores de certificados y de registro de las presentaciones y trámites que les sean formuladas, bajo la responsabilidad del Certificador Licenciado, cumpliendo las normas y procedimientos establecidos por la presente reglamentación.La presencia física del solicitante o suscriptor ante el Certificador Licenciado o sus Autoridades de Registro no será condición ineludible para el cumplimiento de los trámites necesarios para la emisión, renovación o revocación del correspondiente certificado digital».

Conforme los artículos citados, se entiende que, ya sea la identificación del solicitante presencial o no, se establece un sistema de autenticación biométrica en tiempo real debiendo ser llevada a cabo contra la base de datos del Registro Nacional de las Personas (Renaper). Para todos aquellos certificadores licenciados que decidan operar de las dos formas, implicará otorgar firma digital en un dispositivo criptográfico (modalidad presencial), y firma digital en la nube o remota (con modalidad presencial o no presencial).

Para comprender la nueva normativa tenemos que partir de los principios en que se basa nuestra normativa de firma digital

El sistema de la Ley Nº 25.506 descansa sobre la presencialidad del solicitante ante la Autoridad de Registro y en la confidencialidad de su clave privada. Dicha clave sólo puede ser generada y almacenada en un dispositivo criptográfico homologado por la Autoridad de Aplicación, y utilizada por su titular, lo cual impide su exportación. El usuario tiene que tener el control absoluto de sus datos de creación de firma y no puede compartirlos, por lo cual debe impedir su divulgación. De forma tal que el Certificador no puede generar los datos de creación de firma; las claves siempre tienen que ser generadas por el solicitante; ni el certificador ni las Autoridades de Registro pueden tomar conocimiento o acceder a dichas claves.Por estos motivos, al no contarse con copia de la clave privada del suscriptor, en caso de que dicha clave se pierda, nunca podrá ser restaurada, y no quedará otra alternativa más que proceder a la revocación del certificado correspondiente.

a) La Firma digital con dispositivo criptográfico o token siempre requiere la presencia del solicitante ante la Autoridad de Registro.

Firma digital por hardware (token). Funciona mediante la utilización de un dispositivo criptográfico (token) que cumpla con el estándar FIPS 140-2 nivel 2 o superior, que soporte claves RSA de 2048 bits. Estos deberán estar homologados por el NIST (National Institute of Standards and Technology) de acuerdo con lo establecido en la Política Única de Certificación de la Autoridad Certificante.

En este caso, los medios de creación de firma se encuentran bajo el exclusivo control del firmante, ya que en el dispositivo criptográfico se almacena el certificado y la clave privada correspondientes al solicitante. Con esta modalidad se puede firmar todo tipo de documento digital y transacción, permite hacerlo de a varios documentos a la vez y es posible distinguir en el documento si está firmado digitalmente.

La firma digital remota se puede emitir con o sin la presencia del solicitante ante la Autoridad de Registro

Firma digital remota en cloud (sin token): No se requiere la utilización de un Dispositivo Criptográfico (Token), funciona a través de una Plataforma de Firma Digital Remota sin Token (PFDR), y la interacción de un teléfono celular inteligente con una aplicación instalada para generar una clave OTP (One Time Password). La aplicación debe permitir generar contraseñas temporales que se utilizarán como uno de los tres (3) mecanismos de autenticación.Es posible distinguir en el documento si está firmado digitalmente.

b) Procedimiento de firma en la nube-Ventajas y Desventajas

La tecnología en la nube se extiende al campo de la autenticación y por eso se habla de firma «en cloud». En realidad, hablamos de un software como servicio «as a service» que permite al usuario trabajar con determinadas aplicaciones y programas sin necesidad de instalarlos en nuestro equipo. Así aumenta la usabilidad de la aplicación, a la cual se puede acceder desde cualquier dispositivo.

En el caso de firma digital, centralizada o en la nube el proveedor de servicio será el responsable de la gestión y custodia de los certificados de firma. Al realizar la firma, el interesado expresará su voluntad (por ejemplo, con una contraseña y un código OTP enviado a un dispositivo móvil). En ese momento se desencadenará la firma del documento en el servidor («nube») de forma tal que el certificado electrónico nunca saldrá del servidor custodio. De tal forma que el responsable de la custodia de los certificados debe ser una entidad de confianza que debe cumplir con las garantías de seguridad necesarias.

Los inconvenientes de este tipo de firma radican en que el titular pierde el control de los medios de creación de firma, los cuales se almacenan en el servidor del proveedor, por lo que dependemos técnica y jurídicamente de un único punto de control.

Otro inconveniente es que sólo podemos firmar documentos de tipo PDF y subirlos de a uno por vez a la plataforma de firma digital remota del Certificador.

Sin perjuicio de lo mencionado, la ventaja de la firma digital remota es que al no tenerse que utilizar un dispositivo criptográfico, baja considerablemente el costo del servicio de firma digital para el usuario en caso de recurrir a los servicios de un proveedor de servicios de certificación privado.

Tanto la firma digital con token como la firma digital en la nube o remota gozan de plena validez en virtud de lo dispuesto en el artículo 9 de la Ley N.º 25.506 y su modificatoria, asegurando indubitablemente la autoría e integridad del documento electrónico firmado digitalmente (Decreto 182/19 art. 13).

c) Requisitos de la firma digital en la nube

Volviendo al Decreto en estudio, el cual permite la identificación a distancia sin presencialidad, en forma optativa y, utilizando un método de autenticación biométrica provista por el Renaper, entiendo que en su reglamentación se deberá hacer hincapié en que dicha autenticación biométrica no presencial, se lleve a cabo con prueba de vida y siguiendo los lineamientos previstos por ISO 29115 o bien por el NIST, dado su carácter de estándares internacionales; a los fines de conferir seguridad al proceso de autenticación o bien utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

d) Validación remota de identidad en tiempo real con el Renaper mediante factores de autenticación biométrica (reconocimiento facial) y fotografía del DNI.

El Sistema de Identidad Digital (SID) (1) es una plataforma desarrollada íntegramente por el Estado que permite validar la identidad a distancia y en tiempo real con el Renaper mediante factores de autenticación biométrica.

Es producto de un trabajo conjunto entre la Secretaría de Interior de la Nación (ex Ministerio del Interior) y la Secretaría de Innovación Pública con el objetivo de poner la tecnología e innovación al alcance de todos los ciudadanos para que tengan la posibilidad de acceder a servicios o realizar trámites desde cualquier dispositivo electrónico con conectividad móvil.

La solución cuenta con características que garantizan su nivel de seguridad preservando los datos suministrados por el ciudadano. La preponderancia de la seguridad y de la privacidad del ciudadano al momento de transaccionar con la plataforma, sumado a políticas de privacidad, son pilares sólidos para la validación segura y confiable.

El estado de esta forma garantiza y valida identidad y realiza negocios con las empresas y los particulares.Este proyecto de identidad digital implementado para eliminar el fraude y la suplantación de identidad en el proceso de identificación, va a poder ser utilizado por empresas y sector financiero mediante la firma de un convenio de adhesión y cesión de datos del solicitante al Renaper y se disponibiliza como software «as a service» o bien como webservice.

El proyecto de Identificación digital único basado en la identificación biométrica de las personas físicas, se complementa con otra iniciativa del Estado disponible sólo para identificación de personas físicas, que se conoce como «f irma digital remota», regulada por Decreto N° 892/2017, Resolución N° 121/18 y Resolución N° 13/2018.-

e) Antecedentes Internacionales

El Reglamento eIDAS como marco jurídico común para los servicios de confianza y los medios de identificación electrónica en la Unión Europea (UE), introdujo esta posibilidad de la no-presencialidad, lo que representó una solución para el sector de las telecomunicaciones y el sector financiero. En dicho Reglamento se establecieron distintas posibilidades y distintos niveles de seguridad en el proceso de autenticación: ID remota sincrónica y asincrónica con tres niveles de seguridad distintos bajo, substancial y alto. De tal forma que, al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza deberá verificar, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado (2).

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad

A los fines de implementar la no-presencialidad, tenemos que tener en cuenta que lo más importante a tener en cuenta la confianza y la usabilidad de la aplicación o plataforma de firma digital remota a la hora de llevar a cabo el proceso -totalmente en línea- de registro y autenticación, el cual debe ser rápido y seguro para reducir la posibilidad de estafas o bien suplantación de identidad.

f) Requisitos de la plataforma de firma digital remota

Para la emisión de firma digital remota o en la nube, se tiene que utilizar una plataforma de firma digital que deberá operar utilizando un sistema técnicamente confiable y seguro conforme los lineamientos de la Ley º 25.506 que se enumeran a continuación:

a) resguardar contra la posibilidad de intrusión y/o uso no autorizado;

b) asegurar la disponibilidad, confiabilidad, confidencialidad y correcto funcionamiento;

c) ser apto para el desempeño de sus funciones específicas;

d) cumplir las normas de seguridad apropiada, acorde a estándares internacionales en la materia;

e) cumplir con los estándares técnicos y de auditoría establecidos por la Autoridad de Aplicación de la Ley N. º 25.506.

II.CONCLUSIÓN

La nueva normativa es sin duda una reacción al uso y al reconocimiento de la eficacia jurídica de la firma electrónica por parte de la justicia, lo que dejó en evidencia el fracaso y la poca permeabilidad de la firma digital en el sector privado. El nuevo decreto quiere implantar la firma digital masiva, la cual sin duda aporta ventajas en el tráfico comercial cotidiano, facilita el acceso de los ciudadanos a los trámites administrativos y también fomenta la evolución del gobierno digital. La desventaja es que, al mismo tiempo, profundiza la monopolización de la firma digital por parte del Estado, ya que nos obliga a depender de un software del Estado, el cual deberá tener la capacidad de procesar todas las solicitudes de autenticación que se le presenten por parte del sector público y del sector privado con la suficiente rapidez y confiabilidad, obligando al sector privado a seguir compitiendo con la gratuidad de los certificados del Estado en lo que respecta a emisión de certificados de personas físicas y aplicaciones.

———

(1) https://www.argentina.gob.ar/interior/renaper/sid-sistema-de-identidad-digital

(2) Certificado cualificado en la Unión Europea es el equivalente al expedido en Argentina por un Certificador Licenciado.

(*) Abogada UBA, Obtuve mi título de posgrado como abogada especialista en Derecho de la Alta Tecnología en la UCA (2005), con amplia trayectoria en el desarrollo de proyectos jurídico tecnológicos en el ámbito público y privado. He desarrollado proyectos de regulación compleja en seguridad tales como los relacionados con la Autoridad Certificante Raíz de la República Argentina y el licenciamiento de Prestadores de Servicios de infraestructura de clave pública del Sector Privado. He participado como asesora legal en proyectos tecnológicos relacionados con temas de firma electrónica/digital, protección de datos, historia clínica digital y en temas relacionados con Propiedad Intelectual. Realicé relevamientos y Auditorías integrales relacionados con la implementación de infraestructuras de firma digital. Me encuentro certificada por la Asociación Española de Calidad como Delegada en Protección de Datos, cargo que desempeño actualmente en Gire SA como DPO Externa. Actualmente me desempeño como adjunta del Posgrado de «Derecho Informático» de la UBA y asimismo en la actividad privada como Consultora en temas relacionados con el Derecho de las Nuevas Tecnologías de la Información.