En Confianza en la red hemos hablado de la validez legal del correo electrónico con Jacobo van Leeuwen, consejero Delegado y fundador de Evicertia, empresa dedicada a la certificación de evidencias en Internet. Jacobo lleva 15 años trabajando en seguridad y firma electrónica, dedicándose los últimos años a buscar aplicaciones prácticas a los distintos mecanismos de seguridad que habiliten el paso a electrónico de procesos de negocio.
Puede escuchar la entrevista completa con el siguiente reproductor:
El correo electrónico ha pasado a ser algo “normal” pero no “formal”…. salvo que se asuman riesgos ya que la fuerza probatoria es nula con una buena impugnación entonces ¿cómo usarlo de forma formal con validez legal?
¿Qué tiene de nuevo el correo electrónico?
Está claro que no parece un tema de moda y que empezamos oír cosas como que la gente más joven ya ni siquiera tiene email, y que solo se comunica a través de redes sociales.
Pero, mientras tanto, ocurren fenómenos como Groupon, que adelantan por la derecha a gigantes como Google o Facebook, basándose sólo en correo electrónico. Por otro lado, Facebook, para nada se olvida del correo electrónico, con el que en parte compite para que pases más tiempo mirando Facebook que la bandeja de entrada de Gmail.
Pero si salimos del sensacionalismo y la noticia, lo cierto es que hace unos años, el email era lo “nuevo”, pero ahora que ha dejado de serlo ¿quién no tiene ya un email en su tarjeta de visita? ¿qué impresión da ver un número de fax? y ¿cuántos tienen su id de Twitter?
Esta nueva sensación de que el correo electrónico es un medio “normal” abre posibilidades que antes eran más complicadas.
¿Qué posibilidades?
Las que implican dar un siguiente paso, por ejemplo, pensar en el email como un medio de comunicación formal, entendido como fehaciente, con suficiente carga probatoria o prueba suficiente de voluntad. Es ahí donde los que trabajamos en dar confianza empezamos a ver grandes posibilidades.
Por ejemplo usarlo para temas mercantiles: todo lo que ocurre desde el contrato hasta el pago, utilizando correo electrónico certificado.
Pero ¿se puede certificar el correo electrónico?
Cuando confirmo que es posible certificar correo electrónico, es muy habitual hacer la pregunta de que si eso es posible o de si es válido legalmente; queriendo decir en la mayoría de las ocasiones que ya les gustaría dado que lo usan mucho… pero que cuando pasan a dejar las cosas por escrito no piensan precisamente en correo electrónico
Es también muy habitual que me pregunten ¿puedes certificar correos que ya tengo?
¿Es legal?
Cuando hablamos de validez legal, el correo electrónico, no deja de ser una evidencia electrónica más. Cuando vamos a analizar requisitos concretos para saber qué hace válida legalmente una evidencia o un documento electrónico, solo encontramos regulación específica para algunos casos concretos, por ejemplo, la digitalización de una factura.
Por tanto depende del ámbito de aplicación. En el caso de una relación mercantil aplica legislación distinta a la de una relación con la administración pública, pero en general hay que acudir a la Ley de Enjuciamiento Civil, donde en resumidas cuentas, se admite cualquier documento electrónico salvo que la otra parte lo impugne y es entonces donde se abre el debate de la fuerza probatoria.
¿Crees que debería entonces regularse más?
Mi opinión es que no. Siempre que aparece una regulación de este tipo (incluso la propia de firma electrónica) aparecen quejas por exceso o por defecto, algo obvio cuando pensamos que en realidad nunca llueve a gusto de todos cuando hablamos de qué nivel de riesgo se debe asumir.
¿Quieres decir que debemos dejar que sea una decisión de riesgo?
Antes de responder, preguntaría ¿cómo se firman ahora los contratos? generalmente recibo respuestas como la de escanear el documento firmado y mandarlo por fax, mandarlo firmado por correo postal o simplemente dar por bueno una respuesta a un email normal, o confiar en el medio de pago, con lo que la realidad es que se asume un riesgo (a gusto del consumidor) y es algo que va en contra con la necesidad de tener bien definido qué es “válido”.
La realidad es que cuando hablamos de riesgo, entran en juego otras cosas, como el coste, la posibilidad de vender más, etc… y no existe un blanco o negro en lo que a validez se refiere: simplemente se busca elevar la carga de la prueba cuando es demasiado tarde.
Así aunque pueda parecer que lo mejor es tener definido qué es válido, pienso que es mejor aliarte a esta realidad que varia según el contexto a pretender que exista un marco regulatorio de “café para todos”.
La propia administración pública asume riesgos, muchos trámites se pueden hacer con dispositivo seguro de creación de firma, con certificado software o simplemente con un desafío… ya es una realidad que existen distintas formas de autenticar al ciudadano en función del trámite.
¿Pero eso implica complicar las discusiones sobre qué es válido?
No necesariamente. Si existen expertos que precisamente valoran las pruebas electrónicas para definir los mecanismos necesarios para cada nivel de riesgo.
Entonces cómo saber ¿qué nivel de riesgo es asumible y qué mecanismos?
Todo depende de qué queremos demostrar y de nuestra aversión al riesgo. También aplica la fábula de las gacelas: no importa correr más que el león, lo importante es no ser la última. Y por último, también hay que tener en cuenta el nivel de amenaza, y aquí hablo de que pasamos de las estadísticas a los ataques intencionados: existen profesionales dedicados a explotar vulnerabilidades en procesos de confianza.
Por ejemplo asumimos que la firma manuscrita de un contrato es válida, pero ¿comprobamos que el garabato que ha puesto el cliente en el contrato es su firma? ¿se firman todas las hojas? ¿tiene poderes el que firma? si aparecen varias versiones del contrato firmado ¿se sabe cuál es la última versión, la buena? si se firman dos copias ¿comprobamos que dicen lo mismo? las respuestas suelen ser no salvo raras situaciones de alto riesgo, por lo que hay una decisión de riesgo involucrada, y suele haber una regulación que diga claramente qué es válido.
Por otro lado, depende mucho de lo que se quiera poder demostrar. Es muy diferente querer demostrar que alguien estaba de acuerdo con un contrato, a que se le hizo entrega de un email.
¿Y que pasa con la firma electrónica?
Los certificados y la firma son mecanismos muy potentes pero no por eso son infalibles. La propia Ley de firma ampara la impugnación y define distintos tipos de firma (de distinta fuerza probatoria pero perfectamente válidas).
Por otro lado, como he dicho, la propia administración pública o las entidades financieras vemos que utilizan distintos mecanismos. Con lo que no siempre es lo más usable o lo más idóneo.
Con esto quiero decir que la firma electrónica simplemente otro mecanismo más adecuado según el nivel de riesgo, pero usar certificados no deja de tener sus problemas.
¿Qué problemas tiene el certificado? ¿Cómo se puede impugnar una firma electrónica?
La posibilidad de que un certificado haya dejado de ser válido (revocación) implica que sea necesario validarlo si lo que queremos
En la gran mayoría de implementaciones de firma electrónica, no se valida el certificado en el momento de la firma, sino en un momento posterior cuando se valida la firma.
Eso hace que puedas firmar a la vez que solicitas la revocación de tu certificado. Que a fin de cuentas es como pagar a la vez que denuncias que has perdido la tarjeta de crédito. ¿quién paga el pato?
Para que la firma electrónica sea reconocida es necesario que exista pleno y exclusivo control sobre el mecanismo de firma. Si siempre dejo mi DNI encima de la mesa con un postit con el PIN ¿ podríamos decir que las firmas de ese DNI no son reconocidas?
¿Entonces qué solución es recomendable?
Certificar por una tercera parte que con la experiencia suficiente pueda establecer protocolos de actuación adecuados al nivel de riesgo y a lo que se quiera demostrar.
En el caso del correo electrónico, existen muchas cosas que demostrar y distintas maneras de hacerlo (pericialmente hablando), contenido, fechado, entrega, lectura, recepción, aceptación, etc….
Valora en Bitacoras.com: Confianza en la red 126 En Confianza en la red hemos hablado de la validez legal del correo electrónico con Jacobo van Leeuwen, consejero Delegado y fundador de Evicertia, empresa dedicada a la certificación de evidencias en …..
Información Bitacoras.com…
Valora en Bitacoras.com: Confianza en la red 126 En Confianza en la red hemos hablado de la validez legal del correo electrónico con Jacobo van Leeuwen, consejero Delegado y fundador de Evicertia, empresa dedicada a la certificación de evidencias en …..