Entendiendo la validez de las firmas digitales y electrónicas en Colombia

La transformación tecnológica en las empresas pasa por la eliminación del papel y los archivos físicos en las transacciones cotidianas, lo que genera la necesidad de buscar alternativas para la suscripción de documentos que se tramitan bajo la tradicional firma manuscrita. En Colombia las firmas electrónicas y digitales no han logrado masificarse a pesar de que la ley que reconoce su validez data de 1999[1], situación que ha representado todo un reto para el desarrollo de los procesos de migración digital.

Para iniciar un proceso de implementación de firmas digitales o electrónicas es fundamental entender a cabalidad las características de cada una, a fin de establecer cuál es la más indicada para los objetivos perseguidos. Las firmas digitales son valores exclusivamente numéricos que viajan con los documentos electrónicos y se crean a partir de una clave pública y otra privada que dan cuenta de la identidad del firmante, para lo que generalmente se obtienen certificados otorgados por las entidades acreditadas por ONAC (Organismo Nacional de Acreditación).

Por su parte, las firmas electrónicas son mecanismos más flexibles que pueden consistir en códigos, contraseñas, claves criptográficas, datos biométricos, o cualquier otro que permita identificar al firmante de manera confiable y apropiada[2]. Es viable que estos mecanismos sean definidos por los interesados según sus necesidades siempre que el método elegido asegure que los datos de creación de la firma corresponden exclusivamente al suscriptor y que sea posible detectar cualquier alteración en el documento electrónico que se dé con posterioridad a su suscripción.

Por ejemplo, La Dirección de Impuestos y Aduanas Nacionales de Colombia (DIAN) implementó en 2016 un sistema de firma electrónica para los contribuyentes que comprende dos elementos: una contraseña alfanumérica definida por el usuario y un código numérico enviado al correo electrónico del firmante[3]. La entidad definió por su cuenta cuál era el mecanismo que mejor se adaptaba a sus actividades y con base en ello creó su propio modelo tecnológico, cumpliendo con los parámetros de seguridad e integridad exigidos y permitiendo así que los trámites de los ciudadanos se puedan desarrollar de forma virtual, con la misma validez que las firmas manuscritas.

En todo caso, se debe precisar que si bien la adaptabilidad de las firmas electrónicas suma puntos que pueden generar su preferencia en relación con las firmas digitales, es fundamental tener en cuenta que la elección de una u otra depende de las circunstancias especiales en las que se van a usar, siendo posible que coexistan las dos en un mismo modelo empresarial.

La firma digital puede tener una aplicación preponderante en las relaciones con terceros que no son clientes o proveedores cercanos de la empresa, pues no requiere llegar a acuerdos sobre los mecanismos electrónicos a emplear y cuenta con el respaldo de las entidades de certificación digital.

En razón al costo asociado a la obtención de estas firmas certificadas, su implementación se centra en los cargos directivos y en aquellos que tienen una comunicación frecuentemente con entidades administrativas. Este último punto es de vital importancia pues en Colombia algunas autoridades como la Superintendencia Financiera, exigen que el envío de comunicaciones virtuales suscritas por los revisores fiscales o contadores de las empresas vigiladas, incluyan el mecanismo de firma digital respaldado por las entidades acreditadas.

Una vez se defina quiénes son las personas que deberían contar con firma digital, es ideal evaluar las políticas de uso, pues resulta ineficiente limitar su aplicación exclusivamente a las comunicaciones con entidades estatales (como ocurre en muchos casos) pasando por alto su utilidad en comunicaciones digitales con otros empresarios del sector, documentos contractuales, entre otros.

Por otra parte, la versatilidad de la firma electrónica permite su adaptación a las relaciones con los clientes, usuarios o colaboradores, pues atendiendo a las situaciones particulares se puede elegir cualquier medio que permita identificar al firmante. En consecuencia, podrían emplearse datos biométricos como la huella digital para suscribir documentos electrónicos y contraer obligaciones, como ya lo hace el Depósito Centralizado de Valores (DECEVAL) con la firma de sus pagarés desmaterializados usando la huella digital.

El primer paso para la implementación de las firmas electrónicas es definir cuál es el medio idóneo según las condiciones de la empresa y los usuarios que suscribirían los mensajes de datos, siendo posible que se empleen diversos mecanismos fragmentados por sectores, como por ejemplo proveedores y clientes, entregando un token a los primeros y consolidando un mecanismo de contraseñas para los segundos.

Otro aspecto importante en este proceso es la inclusión de mecanismos tecnológicos que permitan detectar cualquier modificación de los documentos que se dé con posterioridad a su suscripción, pues de lo contrario la integridad del mensaje de datos queda en entredicho y se podría desvirtuar su obligatoriedad. Existen proveedores tecnológicos que integran todas estas medidas, pero se deben evaluar las especificaciones ofrecidas, su adaptabilidad al modelo empresarial en el que se van a usar y los estándares de seguridad; opciones como Adobe Sign pueden ser evaluadas aprovechando su interoperabilidad con programas conocidos y usados con frecuencia, como el popular lector de “pdf” de Adobe Acrobar Reader.

Es fundamental que los procesos de transformación tecnológica y las políticas “cero papel” aprovechen al máximo las firmas digitales y electrónicas, que tienen exactamente la misma validez que las manuscritas cuando se usan en cumplimiento de las directrices impartidas por las normas aplicables. Si bien es cierto que su configuración rompe con la idea convencional de otorgar el consentimiento con la inclusión de un símbolo gráfico propio, los beneficios en términos de seguridad y facilidad deberían ser suficientes para motivar su inclusión en los modelos empresariales de todos los sectores.

Natalia Tovar
Abogada – MY BRAND

  • [1] Ley 527 de 1999 publicada el 21 de agosto de 1999 para el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales.
  • [2] Decreto 2364 de 2012, artículo 1, numeral 3.
  • [3] El uso de la firma electrónica ante la DIAN se reglamentó a través de la Resolución 000070 del 3 de noviembre de 2016
  • [4] Circular externa 024 de 2015