Autor: Guini, Leonor
Fecha: 26-03-2025
Colección: Doctrina
Cita: MJ-DOC-18204-AR||MJD18204
Voces: DERECHO – INFORMÁTICA – TECNOLOGÍA – DERECHO INFORMÁTICO – FIRMA DIGITAL – DERECHO A LA PROTECCIÓN DE LOS DATOS PERSONALES
Doctrina:
Por Leonor Guini (*)
Resumen: La facilidad de uso de firma digital en forma no presencial conforme lo permite el Decreto N° 743/24 del Poder Ejecutivo Nacional y, la sanción de la Resolución N° 11/25 de la Secretaría de Innovación Ciencia y Tecnología de la Jefatura de Gabinete de Ministros que procede a la actualización de la normativa relativa al marco de la Infraestructura de Firma Digital de la República Argentina; provocará una gran transformación en el mercado de firma digital en la Argentina.
En este artículo se analizarán los cambios establecidos por dicha normativa y sus consecuencias para el mercado de firma digital, para las empresas y para el usuario.
Introducción -Breves nociones para el entendimiento de la nueva estructura
Las modificaciones substanciales introducidas al régimen de firma digital por el Decreto N°743/24 se ponen finalmente en marcha mediante el dictado de la Resolución N° 11/25 de la Secretaría de Innovación Ciencia y Tecnología de la Jefatura de Gabinete de Ministros que procede a actualizar el marco normativo de firma digital en Argentina.
El mercado de firma digital en Argentina se desarrolló ampliamente en el Estado pero no logró su expansión en el sector privado debido a que la tecnología de clave pública es poco amigable desde el punto de vista del usuario y, por la exigencia de la presencia del solicitante ante una autoridad de Registro al momento de iniciar el proceso de solicitud de un certificado de firma digital.Sancionado el Decreto N° 473/24 y la Resolución N° 11/25 de la Secretaría de Innovación Ciencia y Tecnología de la Jefatura de Gabinete de Ministros, el requisito de la presencialidad pasa a ser opcional y todas las autoridades de Certificación tienen la obligación de adaptar sus Políticas de Certificación a lo establecido en las mencionadas normativas.
Esto cambia las reglas de juego del mercado de firma digital en Argentina, país en el cual el Estado cumple un doble rol, por un lado, identifica contra la base de datos del Renaper y por otro lado emite certificados de firma digital.
Todo parece indicar que, con el dictado de las referidas normativas, el Estado se corre de su posición monopólica, decide dejar de emitir certificados de firma digital a través de sus dos autoridades certificantes (AC Modernización) y (AC ONTI) y, sólo se reserva la función de identificar biométricamente a todo solicitante de firma digital sea en modalidad presencial o bien a distancia en tiempo real y sin presencialidad.
En síntesis sólo el estado va a llevar a cabo en forma exclusiva la función de identificación y validación de identidad, no permitiéndose utilizar ninguna otra aplicación en la tarea de identificación y autenticación previa a la solicitud de un certificado de firma digital, que no sea el SID (1) o Sistema de Identidad Digital y validación remota de identidad en tiempo real con el Renaper, mediante factores de autenticación biométrica (reconocimiento facial) y fotografía del DNI.
No debemos olvidar que todo proceso de solicitud de un certificado de firma digital comienza con la identificación y autenticación del usuario, si la misma es positiva contra la base de datos del Renaper, se emite el certificado de firma digital solicitado, previa aceptación del llamado acuerdo con el suscriptor.
El estado se centra ahora en la tarea de identificación y administración de los certificados ya emitidos siendo los certificadores privados licenciados los que deben impulsar el mercado de firmadigital e imponer al Sector privado el uso de firma digital en sus distintas modalidades.
Antes de seguir adelante con la explicación detallada de la nueva normativa, me gustaría recordar que a la fecha los Certificadores Licenciados están autorizados a emitir distintos tipos de certificados a saber:
Certificados de persona física: son lo que identifican a una persona humana.
Certificados de persona jurídica: identifican a una persona jurídica a través de la persona de su representante legal.
Certificados de aplicaciones: definidos como aquellos que tienen la finalidad de identificar a la aplicación o servicio que firma documentos digitales o registros en forma automática mediante un sistema informático programado a tal fin.
Certificados de sello de tiempo: definidos como los que indican fecha y hora cierta asignada a un documento o registro electrónico.
Certificados de autoridad de sellos de Competencia: Entidad que acredita competencias, roles, funciones o relaciones laborales del titular de un certificado de firma digital.
Todos estos certificados se pueden emitir en distintas modalidades:
1) Firma digital con dispositivo criptográfico del solicitante o también llamada firma digital en hardware, es una firma de alta seguridad, donde se utiliza un token dispositivo físico que se usa para almacenar y generar firmas digitales.
2) firma digital en software que es aquella donde el certificado se puede guardar en una memoria USB, en un ordenador (en el almacén de certificados) o en el disco duro.3) firma digital en la nube o firma digital remota, en esta modalidad el certificado digital se almacena en la nube del proveedor o Certificador en un servidor seguro, y el usuario accede a él cuando quiere firmar un documento digitalmente, previa autenticación de su identidad de manera robusta.
Nueva normativa -Resolución N° 11/25 de la Secretaría de Innovación Ciencia y Tecnología de la Jefatura de Gabinete de Ministros.
La referida Resolución deroga la Resolución Nº 946/21de la Secretaría de Innovación Pública de la Jefatura de Gabinete de Ministros, la que establecía como única forma de identificación y autenticación, la presencia física del solicitante y del suscriptor ante una Autoridad de Registro habilitada de un Certificador Licenciado.
La nueva Resolución N° 11/25 consta de 6 anexos a saber:
1) «Procedimientos y pautas técnicas complementarias del marco normativo de Firma Digital para certificadores licenciados».
2) Requisitos para el licenciamiento de Certificadores Licenciados para operar con Firma Digital».
3) Modelo de «Política Única de Certificación» formato que obligatoriamente deben seguir todos los certificadores licenciado.
4) «Perfiles de los Certificados y de las Listas de Certificados Revocados».
5) «Contenidos Mínimos de los Acuerdos con Suscriptores».
6) «Contenidos Mínimos de los Términos y Condiciones con Terceros Usuarios».
7) «Montos de aranceles y Seguros de Caución.
8) «Contenidos Mínimos de la Política de Privacidad».
El Anexo I establece la composición de la Infraestructura de firma digital de la República Argentina la cual queda compuesta por:
a) La Autoridad Certificante Raíz de la REPÚBLICA ARGENTINA.
b) El Ente Licenciante.
c) Los Certificadores Licenciados, incluyendo sus Autoridades Certificantes yy sus Autoridades de Registro, según los servicios que presten.
d) Las Autoridades de Sello de Tiempo.
e) Los suscriptores de los certificados.
f) Los Terceros Usuarios.
g) Los Certificadores reconocidos por la Autoridad de Aplicación.
h) Los Prestadores de Servicios de Confianza.
i) El Organismo Auditante establecido en el artículo 34 de la Ley N° 25.506 y y su modificatoria.
Como podemos observaren este Anexo, dentro de la infraestructura de firma digital encontramos un nuevo elemento, los «Prestadores de Servicios de Confianza» enumerados en el Decreto N° 182/19 arts 36 y 37 (2), los que no necesariamente deben estar licenciados para prestar los servicios que enumeran los referidos artículos. Por lo que podemos sacar como conclusión que la infraestructura de firma digital se amplía hacia otros servicios que no necesariamente requieren para su prestación la emisión de firma digital.
El Anexo I incorpora en el ARTÍCULO 33 la prestación de otros servicios en relación con la Firma Digital los que consisten en la emisión de:
a) Certificados de Aplicaciones, b) Sellos de Tiempo, c) Sellos de Competencia d) Servicios de Integración de Aplicaciones. Los últimos son los que permiten integrar sistemas o aplicaciones de terceros con la infraestructura de firma digital de un Certificador Licenciado (especialmente con el software o HSM que permite emitir firma digital. e) Servicios de Firma Digital con Custodia Centralizada de claves criptográficas.Este servicio implica que los Certificadores licenciados privados pueden emitir certificados de firma digital en la nube tal como lo autoriza la Resolución N° 86/20 de la Secretaría de Innovación Pública de la Jefatura de Gabinete de Ministros.
Respecto al Anexo II «requisitos para los Certificadores Licenciados» no existen variantes ya que los lineamientos normativos indican que la infraestructura de firma digital (sitio principal y de contingencia) debe encontrarse en Argentina bajo el control absoluto del certificador cuya licencia es intransferible.
El Anexo 3 referido al modelo de Política Única de Certificación, si ofrece variantes, en línea con la nueva normativa en vigencia.
El cambio fundamental es el relativo a las Autoridades de Registro.
Conforme lo autoriza el Decreto N° 743/24, las autoridades de Registro pueden identificar y validar la identidad de los suscriptores de certificados de firma digital en forma presencial o bien sin presencialidad, lo que implica describir en la Política de Certificación el procedimiento de solicitud de un certificado de firma digital ante un Oficial de Registro virtual, que realice las funciones de identificación de identidad y validación de identidad contra la base de datos de Renaper.
Validación de identidad sin presencialidad
Es la validación de identidad del solicitante o suscriptor de un certificado de firma digital en forma no presencial, mediante el empleo de servicios de reconocimiento facial y validación de identidad en tiempo real y a distancia, a través del uso de aplicaciones creadas al efecto que impactan y confrontan los datos biométricos obtenidos, contra la base de datos del REGISTRO NACIONAL DE LAS PERSONAS (RENAPER) o la que en un futuro se establezca por la Autoridad de Aplicación.
El sistema de validación de identidad virtual verifica y valida de manera telemática el DNI del solicitante y los datos biométricos de la persona humana que solicita un certificado digital cualquiera sea su tipo.
Para dicha verificación y validación de la identidad del solicitante, el sistema realiza la captura de la imagen del rostro del solicitante, cuya consulta impacta enla base de datos del RENAPER, mediante los servicios que éste presta al efecto. El RENAPER devuelve la consulta, validando o no la identidad del solicitante.
Asimismo, en el caso de la emisión de certificados sin presencia física, se deberán tomar en consideración las recomendaciones específicas sobre la toma y validación de rostro. (PAUTAS TÉCNICAS Y PROCEDIMIENTOS PARA LA TOMA DE DATOS BIOMÉTRICOS).
En el Anexo IV se describen los perfiles de los certificados que se pueden emitir y la validez que tendrá cada uno de los descriptos:
– CERTIFICADOS DE CERTIFICADOR: DIEZ (10) años.
– CERTIFICADOS DE APLICACIONES: TRES (3) años.
– CERTIFICADOS DE PERSONAS HUMANAS: DOS (2) años.
– CERTIFICADOS DE PERSONAS JURÍDICAS PÚBLICAS O PRIVADAS: DOS (2) años.
– CERTIFICADOS DE AUTORIDAD DE SELLO DE COMPETENCIA: DOS (2) años.
– CERTIFICADOS DE AUTORIDAD DE SELLO DE TIEMPO: DOS (2) años
Ahora bien, tal como lo exprese anteriormente todos estos certificados y sus claves pueden ser almacenados
a) por «software»,
b) por «hardware»,
c) a través de un «servicio de custodia centralizada de claves criptográficas» (Firma Nube).
De tal modo que cuando se ingresa a la plataforma del certificador a solicitar alguno de estos certificados, lo primero que se debe determinar es si se solicita ante una autoridad de registro en forma presencial o sin presencialidad, luego la aplicación debe permitirnos elegir el tipo de certificado que preferimos y su forma de almacenamiento, para luego continuar con el proceso de identificación y validación de identidad contra la base de datos de Renaper. Si el proceso de validación de identidad es positivo el proceso continúa con la emisión del certificado previa aceptación del acuerdo con suscriptores.
En caso de elección de almacenamiento por software las claves deben ser resguardadas con un PIN de seguridad para su acceso.No se permitirá la exportación de éstos certificados con su correspondiente clave privada.
En el caso de elección de almacenamiento por hardware, el dispositivo criptográfico debe estar dentro de los modelos especificados en la lista de los dispositivos validados y homologados por el NIST: National Institute of Standards and Technology.
En caso de utilizar un «Servicio de custodia centralizada de claves criptográficas» (Firma Nube), éste deberá estar integrado con los servicios de la Autoridad Certificante del Certificador Licenciado, cumpliendo los requisitos de seguridad de la información que permitan resguardar contra la posibilidad de intrusión y uso no autorizado.
El anexo IV describe los perfiles técnicos de los certificados de competencia y de sellos de tiempo a los fines de su emisión.
La autoridad certificante de sello de tiempo es la que acredita fecha y hora cierta, asignada a un documento o registro electrónico de forma confiable y firmado digitalmente por dicha autoridad de sello de tiempo. Esta autoridad de sello de tiempo puede ser la misma autoridad que emite certificados de firma digital. Este tipo de certificados se deben emitir en relación a la hora Oficial de la República Argentina. Actualmente se emiten por los Certificadores licenciados en relación con una fuente de tiempo confiable.
La autoridad de sello de competencia que es la que emite los llamados certificados de competencia, para conformarse como tal necesita contar con un certificado de Autoridad de Sello de Competencia emitido por un Certificador Licenciado.
La nueva normativa reglamenta detalladamente el servicio de emisión de sellos de competencia, dado que si bien los Certificadores Licenciados privados estaban autorizados a su emisión, no se encontraban reglamentadas las condiciones para poner en funcionamiento dicho régimen ni las características técnicas relativas a su estructura, perfil y formato.
Podrán ser Autoridad de Competencia todas aquellas entidades que tengan aptitud de acreditar una matrícula, competencia, rol, función y o relación laboral con el titular de un certificado de firma digital.Dichas autoridades se conformarán mediante la celebración de un convenio u acuerdo con el Certificador Licenciado y la emisión por parte de éste del certificado de Autoridad de Sello de Competencia correspondiente o bien como Autoridades de Registro de un Certificador Licenciado.
Los Certificados de Competencia o, Sello de Competencia, tienen una estructura similar a los Certificados de Firma Digital, sólo que no contienen clave pública. El estar este tipo de Certificado X509 definido en la Resolución N° 11/25 de la Secretaría de Innovación Pública de la JEFATURA DE GABINETE DE MINISTROS, como parte de la Infraestructura de Firma Digital de la República Argentina, permite relacionarlo con el Certificado de Firma Digital del titular, lo que significa que al usarlos se pueda además validar que la persona que aplica la firma, está autorizada a firmar invocando ese rol y que sea quien dice ser y no puede negar el acto de firma.
Los demás anexos no plantean mayores novedades.
Consecuencias de la nueva normativa: Reconversión del mercado
A la fecha el mercado de firma digital es casi inexistente en Argentina dado que su desarrollo solo se produjo por y para el estado.
Como consecuencia de la imposibilidad del sector privado de competir con la gratuidad de los certificados emitidos por el Estado, Argentina al igual que la unión Europea, – país en el cual el desarrollo de la firma electrónica avanzada y cualificada es casi inexistente-, se produjo un amplio desarrollo de aplicaciones de firma electrónica que utilizan sistemas de identificación más o menos robustos.Por lo que se vislumbra que, ante la nueva normativa en análisis, aplicaciones que actualmente ofrecen servicios de firma electrónica, migren a sistemas o aplicaciones que se integren mediante APIs con la plataforma de firma digital de los Certificadores licenciados.
Por otro lado, la presencia de nuevos servicios de confianza implica la creación de nuevos mercados y productos por empresas que en algunos casos necesitaran adquirir firma digital integrando sus aplicaciones a la infraestructura de los certificadores licenciados.
Ahora bien, ¿en qué sectores la repercusión será más notoria? Entiendo que la gestión de la identidad digital se proyecta como un pilar fundamental para la banca sector en el cual la tendencia es utilizar una firma electrónica robusta que no requiera del reconocimiento presencial del usuario. Este proceso ahora se podrá llevar a cabo de la misma forma, pero con la seguridad que ofrece el «no repudio».
Para que los bancos puedan consolidarse como actores confiables y extender su influencia más allá del ámbito bancario tradicional, deben encontrar el equilibrio adecuado entre sencillez de uso y seguridad. La adopción exitosa de estos servicios de firma digital no presencial permitirá ofrecer una experiencia de usuario fluida y segura, evitando el abandono de usuarios y protegiendo contra ciberataques.
En el sector salud el sello o certificado de autoridad de competencia se adjunta a la firma del médico (en caso de validar la vigencia de la matrícula) y de esta forma se establece que el ejercicio de la profesión es legal y se adapta al marco normativo. Este es un producto que seguramente redimensionará el mercado de firma digital, siempre que los Colegios y Consejos Profesionales lo impulsen debidamente, para lo cual en primer lugar será necesario que los colegios y los matriculados entiendan su necesidad mediante la correspondiente capacitación.Del lado del matriculado el procedimiento deberá ser muy sencillo, debiendo éste sólo ingresar a la plataforma del Colegio que valida su matrícula, elegir aplicar certificado de competencia y firmar digitalmente pudiendo luego descargar el documento firmado.
Beneficios que implica utilizar sellos de competencia
– controlar el gobierno de la matrícula por parte de los consejos y Colegios profesionales.
– Una de las ventajas de sellar documentos electrónicos en nombre de empresas es evitar el fraude ya que si se utiliza un sello digital emitido por un Certificador Licenciado el certificado digital involucrado en la creación del sello sirve para acreditar origen e integridad de los datos.
– Lograr el Control medicamentos
– establecer Rol en empresa privada
– Establecer la Autenticidad de comprobantes emitidos por empresas al ser verificable dicho sello de competencia todo lo que implica una mayor accesibilidad
– En materia de salud con la introducción del sello de competencia la misma receta no podría ser empleada en distintos puntos de venta y se podría ejercer mayor control sobre el que firma la receta
– El profesional de la salud tiene de esta forma firma registrada y competencia para emitir prescripción
– En síntesis, el sello de competencia permitiría el Control paciente, reducción de errores por mala interpretación de la letra del médico, un sistema de seguimiento más eficiente para la gestión de prescripciones y una mejor coordinación entre los profesionales de la salud, las farmacias y los pacientes.
Conclusión
La facilidad o usabilidad de la firma digital no presencial desde cualquier plataforma es el elemento clave que generará una nueva estrategia de venta de distintos productos, tales como Firma Digital y Firma Electrónica, Servicios relacionados a firma digital y Servicios de confianza.
Es fundamental encontrar en el proceso de solicitud de un certificado de firma digital sin presencialidad un justo equilibrio entre la seguridad y la experiencia de usuario.Si bien la protección de los datos es esencial, una autenticación demasiado compleja puede llevar a crear fricciones que desencadenan en la frustración del usuario y, en última instancia, al abandono de los servicios. Por ello, las soluciones deben ser a lo sumo de tres pasos seguras y sencillas de utilizar para garantizar una experiencia fluida.
———-
(1) El proceso de verificación es aquel mediante el cual se verifica que la imagen del rostro del ciudadano coincide en rasgos con las tomadas al momento de la generación del DNI.
Utilizando la aplicación móvil de RENAPER o implementando el SDK provisto en una aplicación móvil se podrán llevar adelante los siguientes pasos para completar el proceso de verificación:
Identificación con documento de identidad, vigencia del mismo y biometría facial
Para completar el proceso de identificación digital, el ciudadano debe realizar los siguientes pasos luego de abrir la aplicación móvil mediante la cual va a llevar adelante el proceso de verificación de su identidad digital.
Tomar una fotografía del frente de su documento de identidad
Tomar una fotografía del dorso de su documento de identidad
Obtener una fotografía del tipo SELFIE con prueba de vida, donde se le pedirá que efectúe dos gestos de forma aleatoria.
El SDK evalúa las fotografías de frente y dorso del documento, para establecer un porcentaje de veracidad del plástico del documento de identidad, realiza la consulta al servicio de biometría facial de Renaper.
Entrega el resultado de validación positivo o negativo.
Identificación con biometría facial sin tarjeta DNI
El ciudadano ingresa de forma manual el número de su documento y género en la aplicación móvil.
El ciudadano se toma una fotografía del tipo SELFIE con prueba de vida, donde se le pedirá que efectúe dos gestos aleatorios.
El SDK utiliza el número de documento y género obtenidos, y la fotografía con gesto neutral capturada, y envía la información al sistema biométrico de RENAPER para obtener el porcentajede validación exitoso o no.
Identificación mediante vigencia del documento con tarjeta DNI
El ciudadano ingresa de forma manual el número de su documento, género y número de trámite que figura en su DNI.
El SDK utiliza el número de documento, género y número de trámite obtenidos, y envía la información al sistema de datos de RENAPER para obtener la vigencia del documento de identidad.
(2) 1. La conservación de archivos digitales.
2. La custodia de declaraciones de voluntad realizadas en formato electrónico, contratos electrónicos, y toda otra transacción que las partes decidan confiar a un tercero depositario.
3. La notificación fehaciente de documentos electrónicos.
4. El depósito de declaraciones de voluntad realizadas en formato electrónico.
5. La operación de cadenas de bloques para la conservación de documentos electrónicos, gestión de contratos inteligentes y otros servicios digitales.
6. Los servicios de autenticación electrónica.
7. Los servicios de identificación digital.
8. Otras prestaciones que determine el Ente Licenciante.
Podrán brindar servicios de confianza las personas humanas, jurídicas, consorcios, entes públicos, entes públicos no estatales, de acuerdo a los procedimientos, estándares y condiciones que determine la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS.
(*) Abogada, UBA, Obtuve mi título de posgrado como abogada especialista en Derecho de la Alta Tecnología en la UCA (2005), con amplia trayectoria en el desarrollo de proyectos jurídico tecnológicos en el ámbito público y privado. He desarrollado proyectos de regulación compleja en seguridad tales como los relacionados con la Autoridad Certificante Raíz de la República Argentina y el licenciamiento de Prestadores de Servicios de infraestructura de clave pública del Sector Privado. He participado como asesora legal en proyectos tecnológicos relacionados con temas de firma electrónica/digital, protección de datos, historia clínica digital y en temas relacionados con Propiedad Intelectual.Realicé relevamientos y Auditorías integrales relacionados con la implementación de infraestructuras de firma digital. Me encuentro certificada por la Asociación Española de Calidad como Delegada en Protección de Datos, cargo que desempeño actualmente en Gire SA como DPO Externa. Actualmente me desempeño como adjunta del Posgrado de «Derecho Informático» de la UBA y asimismo en la actividad privada como Consultora en temas relacionados con el Derecho de las Nuevas Tecnologías de la Información.
%20-%20copia%20-%20copia%20-%20copia%20-%20copia%20-%20copia.png)
No hay comentarios:
Publicar un comentario