Artículos de Opinión

Uso de firmas electrónicas por los órganos del Estado y sus funcionarios.

La ley exige que los instrumentos públicos de los órganos del Estado se firmen con criptografía asimétrica, con certificados o software de firmado electrónico o avanzadamente; tal opción, porque en el hecho no posee y nunca se genera lo que la ley llama "plena prueba" de lo firmado, nos sigue  pareciendo una opción legal equivocada.

1.-Comentados algunos conceptos de firmas y documentos electrónicos[i], y esquematizados después aspectos esenciales de los Sistemas de Gestión de Seguridad de la Información en los servicios públicos[ii], toca ahora comentar el marco normativo y práctico del uso de mecanismos de autenticación de identidades y de firmado de documentos electrónicos en los órganos del Estado, en especial en la Administración. Hecho, y si se entiende que el uso de criptografía -asimétrica en el caso de la FEA- es esencialmente un tema de autenticación de identidad de los funcionarios públicos firmantes y uno de los 14 Dominios de seguridad de la ISO 27001, procede luego analizarse las responsabilidades administrativas, civiles (perjuicios) e incluso penales que pueden estar involucradas[iii].
2.-Se trata de responder a la pregunta acerca de cómo acreditar la identidad digital de un funcionario público que firma un documento electrónico, con el respaldo jurídico de qué entidad -a priori, de su mismo servicio público-, cómo lograr que el documento firmado sea íntegro, auténtico, quizás confidencial, permanezca disponible en un expediente y en un repositorio electrónico y no sea repudiable o desconocido después de su envío, todo en beneficio del ciudadano o administrado.
¿Barreras de entrada?: la más importante es que la ley exige que los instrumentos públicos de los órganos del Estado se firmen con criptografía asimétrica, con certificados o software de firmado electrónico o avanzadamente; tal opción, porque en el hecho no posee y nunca se genera lo que la ley llama «plena prueba» de lo firmado, nos sigue  pareciendo una opción legal equivocada. Y más equivocada si de manera obligatoria se agrega tener que pagarse adicionalmente por el uso de sellado de tiempo.
3.-Téngase presente. Además de las definiciones de la ley 19.799, este ámbito de la FE -dicho genéricamente- en los Órganos del Estado (i) se analiza y se resuelve únicamente en el contexto del Título II de la ley 19.799, heredero de un antiguo Decreto 81 sobre uso de firma electrónica en los servicios públicos; (ii) tiene como único objeto respaldar la identidad de los funcionarios públicos del Legislativo, del Poder Judicial y de la Administración, no de los ciudadanos; (iii) es un contexto donde el Ministerio de Economía tiene cero o ninguna ingerencia, porque así lo dice la ley, lo han ratificado dos Dictámenes de la CGR y un fallo de la Corte Suprema; (iv) se establece el uso de sistemas y la necesidad de dictarse normas reglamentarias privativas de cada servicio público, y (v) deben cumplirse similares estándares (no idénticos) que los que en otro contexto, el del resto de los artículos de la ley 19.799, se establecen para cuando empresas certificadoras (CA) particulares respaldan la identidad de personas naturales.
Para quienes insisten en otras conclusiones, sólo recordar que se trata de materias de Derecho Público y de orden público económico, donde las interpretaciones particulares e interesadas en entrar potestativa o comercialmente al nicho en análisis, no proceden. Si la ley no lo estableció, hay una puerta cerrada, que se abre también por ley. Y si se quiere que un órgano del Estado «salga» al mercado para ahora respaldar o «certificar» la identidad de los ciudadanos, nos salimos también del contexto de los artículos 9° y 10°, nos movemos a las definiciones del artículo 11° y al resto del articulado de la ley 19.799 y tendrán que competir con las CA o autoridades certificadoras particulares, pero eso es tema para otros comentarios.
4.-Son cosas muy diferentes:
(i) la simple autenticación de identidades, para lo cual un funcionario puede operar internamente, en su calidad de tal, asociando su rut con una clave o con la clave única -lo hacen también  cuando ingresan al trabajo usando un lector de huella dactilar-;
(ii) el uso de mecanismos de autenticación pero «para firmar o entenderse firmados» documentos, que es lo único regulado por la firma simple del artículo 2° de la ley 19.799, como cuando firman la declaración anual de patrimonio o una solicitud de licencia o permiso y del acto de voluntad queda un log de registro;
(iii) el usar certificados de PKI/FE adquiridos a empresas certificadoras no acreditadas por Economía, donde técnicamente se tendrá integridad, autenticación y no repudio (opcionalmente confidencialidad si además de firmarse se encripta o codifica con la llave pública del destinatario), que son las mismas propiedades de la FEA pero sin el manto jurídico de la «plena prueba»;
(iv) la FEA privativa de los artículos 9° y 10° de  la ley 19.799, emitiendo sus propios certificados (caso SII), siendo coadyuvados previo convenio por Minsegpres[iv] o comprándole certificados a empresas acreditadas (inciso cuarto, artículo 9°), todas las cuales tienen plena prueba y cumplen con la exigencia del artículo 4°;
(v) la FEA que resulta de sólo comprarle un certificado, como cualquier usuario, a una empresa acreditada por Economía; y,
(vi) la simple digitalización de la fotocopia electrónica de una firma manual, que como ha resuelto la Jurisprudencia comparada, no es de modo alguno funcionalmente una firma electrónica, porque es insegura y porque depende de un tercero que intermedia.
5.-Dicho todo lo anterior, si se leen ahora los artículo 9° y 10° de la ley 19.799, y si se tiene presente que toda «certificación» de la identidad de un funcionario público firmante, porque no se respalda la firma concreta aplicada a un documento, siempre posee dos etapas copulativas, a saber, la RA de verificación de antecedentes y la CA de emisión tecnológica del software/certificado de firma, se entiende:
(i) que la  RA de cada servicio es su propio Ministro de Fe;
(ii) que la emisión concreta del certificado (CA) puede ser propietaria, convenida con Minsegpres o contratada a una empresa particular;
(iii) que los efectos probatorios «son equivalentes» a los del otro caso diferente de usarse software de firmado directamente comprados a empresas acreditadas; y,
(iv) que cada órgano del Estado si o si debe dictar sus normas propias de aplicación concreta y específica, para cualquiera de los tres casos anteriores, porque a ello lo obliga el artículo 10° expresamente.
6.-Es contrario a la normativa que una empresa extranjera no establecida en Chile, no auditada material, presencial y físicamente y cuyos certificados no son formalmente homologados por una empresa acreditada ante el Ministerio de Economía, a esta fecha respalde la identidad de los funcionarios públicos. Es por ende reparable desde toda perspectiva el que así se haya permitido en Chile, creyendo la autoridad acreditadora además poseer competencias técnicas de derecho público que pueden ejercerse telemáticamente, en el extranjero o fuera de Chile y delegándosela a entidades extranjeras, y no cumpliendo con exigencias concretas de fiscalización presencial, legales y reglamentarias. A quienes lo creen, lo interpretan, lo declaran y lo informan, sólo recordarles que el TC y la CGR han sostenido reiteradamente que las competencias de Derecho Público son indelegables y que, si nada se dice excepcionalmente por ley, el derecho chileno no admite aplicación extraterritorial.
7.-El mejor ejemplo de aplicación del artículo 10°, fuera de la Administración del Estado, son los Autos Acordados del 2006 y del 2008 sobre uso de FE por los jueces, notarios y conservadores. Son normas restrictivas, y si estos funcionarios públicos quieren crear una empresa propia, para comprarse ellos mismos o salir a ofrecerle el servicio a los ciudadanos, tendrían que acreditarse en forma por el artículo 11 y ss. de la ley 19.799, deben tener póliza de seguro, definiciones técnicas, CPS, contratos, el laboratorio de PKI y pagar los aranceles respectivos. Es un proceso árido y engorroso, lo enseña la práctica profesional, pero habiendo ya en Chile 6 empresas acreditadas es un nicho de mercado saturado además, donde tendría la Corte Suprema que determinar si es compatible con sus funciones registrales y así autorizarlo.
8.-También referido al uso de FEA por los particulares, el mito de la FEA debe caer, porque técnicamente ella solo otorga plenitud formal pero controvertible de la identidad del que habría firmado un documento, sin saberse si estaba en sus cabales y sin validación del contenido de un documento que el PSC nunca ve. Dicho de otra forma, el uso de FEA no tiene que ver con una gestión presencial, que opere caso a caso y revise contenidos documentales, por lo que haberle asignado “plena prueba” jurídica a una tecnología que no la genera y que sólo permite verificar en el documento o en línea la identidad de un supuesto firmante, fue un grave error jurídico, y así consta que se dijo e informó en las Actas del debate de la ley 19.799. (Santiago, 23 septiembre 2020)
[i] Véase la URL https://www.diarioconstitucional.cl/articulos/firma-electronica-avanzada-fea-y-documentos-electronicos/
[ii] Véase la URL https://www.diarioconstitucional.cl/articulos/seguridad-de-la-informacion-y-derecho-en-los-servicios-publicos-un-problema-de-gestion-prevencion-y-estandares/
[iii] Y claro, si se entiende, que sirva para los juristas que literalmente interpretan en Informes en Derecho y publicaciones, afirmando que escribir un nombre al final de un correo o pegar un jpg de una firma olográfica en un Word son sistemas idóneos de FE, todo, porque material pero no funcionalmente no «se hacen a mano».
[iv] Véase la URL https://www.youtube.com/watch?v=sNGiiha2sSI
 

Agregue su comentario

Agregue su Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad