¿Está en riesgo la infraestructura de firma digital en Argentina? Desafíos ante acuerdos internacionales

Publicado por el
¿Está en riesgo la infraestructura de firma digital en Argentina? Desafíos ante acuerdos internacionales


Más contenido jurídico en   elDial.com. 

Por Leonor Guini

¿Podemos firmar un acuerdo de cooperación internacional con USA sin reconocimiento recíproco de certificados o sea sin una infraestructura legal atrás que nos garantice un alto nivel de seguridad? Lo que se observa de acuerdo con todo lo arriba descripto es que Argentina opera con una infraestructura jerárquica única y centralizada, mientras que Estados Unidos funciona con múltiples raíces privadas sin control unificado. Si nos atenemos a lo que dice literalmente el art.16 de la Ley N° 25506 definitivamente no. ¿Cuál es el camino entonces?”


“Si bien todavía no conocemos el texto del acuerdo, a los efectos de no tirar abajo nuestra infraestructura jerárquica única y centralizada, la cual tiene una base sólida y reconocida en los países con los cuales hemos firmado acuerdos de reconocimiento recíproco de certificados y, lograr que nuestra normativa sea coherente con el acuerdo próximo a firmarse, se podría pensar en utilizar el reconocimiento de la firma electrónica de USA en base a estándares internacionales, alineados con las mejores prácticas y recomendaciones de la Unión Europea y del Instituto Nacional de Estándares y Tecnologías (NIST) de Estados Unidos o bien crear un mecanismo de certificación llevado a cabo por un Organismo internacional a los fines de aprobar la firma electrónica de máxima seguridad que se utilice en USA, conforme estándares internacionales. De tal forma que dicha firma electrónica sea capaz de demostrar indudablemente la autoría y la inalterabilidad del documento electrónico, resguardando los derechos personales de todos aquellos que acceden a servicios digitales en USA.

¿Está en peligro nuestra infraestructura de firma digital?

I.-Firma electrónica y firma digital:

 

II Régimen de la Ley 25506

 

Como consecuencia de existir procedimientos técnicos que permiten la creación y verificación de firmas digitales, la Ley de Firma Digital en Argentina (Ley N° 25506) reconoce dos elementos pasibles de ser utilizados por el signatario como medio de identificación: la firma digital y la firma electrónica.

 

En dicho marco normativo, se define la firma electrónica en su artículo 5ª como “el conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizados por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital”

 

Se podría decir por esta última acotación que hace la ley en el artículo citado, implica que la firma electrónica no es el género que engloba a la firma digital, sino el complemento que llena el universo, ya que todo lo que no reúne los requisitos legales para ser firma digital es firma electrónica.

 

La Ley N°25.506 no aplica el concepto contenido en la ley modelo de UNCITRAL. Esta última se refirió a la firma electrónica como concepto general, dejando a cada legislador nacional o al juez la determinación de los requisitos o valoración de cada tipo de firma electrónica.

 

Brasil: Utiliza “firma electrónica avanzada" y "firma electrónica cualificada", Uruguay: Utiliza “firma electrónica avanzada" y Paraguay usa "firma electrónica cualificada" siguiendo el régimen de la Unión Europea.

 

Argentina se aparta del resto e incorpora un concepto particular de firma digital estableciendo algunos requisitos para su reconocimiento como tal: a) que utilice tecnología de criptografía asimétrica y b) que el certificado de firma digital sea emitido por una entidad previamente licenciada por el estado.

 

El único precedente de clasificación de firmas de acuerdo con su nivel de seguridad en Argentina ha sido el artículo 1ª del Decreto 2628/02 reglamentario de la ley de firma digital actualmente derogado por el Decreto N° 182/19, el que establecía los distintos métodos de comprobación de autoría e integridad, los que se citan a continuación:

 

Artículo 1° — Objeto. La presente reglamentación regula el empleo de la firma electrónica y de la firma digital y su eficacia jurídica.

 

a) Firma electrónica,

b) Firma electrónica basada en certificados digitales emitidos por certificadores no licenciados en el marco de la presente reglamentación.

c) Firma digital basada en certificados digitales emitidos por certificadores licenciados en el marco de la presente reglamentación.

d) Firma digital basada en certificados digitales emitidos por certificadores extranjeros que hayan sido reconocidos en los siguientes casos:

 

1. En virtud de la existencia de acuerdos de reciprocidad entre la República Argentina y el país de origen del certificador extranjero.

 

2. Por un certificador licenciado en el país en el marco de la presente reglamentación y validado por la Autoridad de Aplicación.

 

Este artículo desafortunadamente desapareció del actual Decreto Reglamentario de firma digital N° 182/19, este último establece: …ARTÍCULO 10.- Validez de los certificados digitales emitidos por certificadores no licenciados. Los certificados digitales emitidos por certificadores no licenciados serán válidos para producir los efectos jurídicos que la Ley otorga a la firma electrónica.

 

En síntesis, al no existir reglamentación de la firma electrónica en Argentina, nos encontramos con un sistema que privilegia el uso la firma digital.

 

 

II Infraestructura de firma digital

 

En nuestro país la iniciativa de Firma Digital nace en el seno del Estado Nacional hace aproximadamente una década.

 

En diciembre del año 2001, el proceso se consolida a partir de la promulgación de la Ley Número 25.506 de Firma Digital, que promueve la utilización de esta tecnología en el ámbito interno del Estado y en sus relaciones con los administrados (artículo 47, Capítulo XI, “Disposiciones Complementarias”) y establece un plazo máximo de cinco años para que sea aplicada a la totalidad de las leyes, decretos, decisiones administrativas, resoluciones y sentencias emanadas del Sector Público Nacional, propendiendo a su progresiva despapelización (artículo 48).

 

La conjunción entre aplicaciones y despapelización, son los pilares desde los cuales se estimula la utilidad de la firma digital y el destacable papel que esta herramienta puede cumplir no sólo en términos de eficacia sino más bien de eficiencia administrativa.

 

A partir del marco legal, complementado por una serie de decretos reglamentarios y concordantes a la ley 25.506, que establecen la organización institucional de todo lo referido a la Firma Digital (infraestructura, autoridad de aplicación, auditoria, comisión asesora), definen sus diversos componentes (firma, documento y certificado digital, titular del certificado y certificador licenciado), además de la responsabilidad y el régimen de sanciones; se sentaron las bases para la implementación y difusión de esta herramienta en el país.

 

Aprobada la Decisión Administrativa N° 6/2007 de la Jefatura de Gabinete de Ministros, se comenzaron a otorgar certificados a certificadores licenciados desde una Autoridad de Certificación Raíz Nacional.

 

En nuestro país se denomina "Infraestructura de Firma Digital" (IFD RA) al conjunto de leyes, normativa legal complementaria, obligaciones legales, hardware, software, bases de datos, redes, estándares tecnológicos y procedimientos de seguridad que permiten que distintas entidades (individuos u organizaciones) se identifiquen entre sí de manera segura al realizar transacciones en redes (por ej. Internet).

 

Realmente esta definición es conocida mundialmente con las siglas PKI que significan “Public Key Infraestructura” o Infraestructura de Clave Pública.

 

Nuestra IFD RA está integrada conforme Resolución N°11/2025 por el ente licenciante y su Autoridad Certificante Raíz, los certificadores licenciados incluyendo sus autoridades certificantes y sus autoridades de registro, los suscriptores de certificados digitales de esas autoridades certificantes y los terceros usuarios de dichos certificados, los certificadores licenciados, la autoridad auditante y los llamados terceros de confianza.

 

La Autoridad Certificante Raíz de la República Argentina (ACR RA), administrada por el ente licenciante, es la que emite luego de la culminación y aprobación del proceso de licenciamiento un certificado a favor de la Autoridad Certificante del certificador licenciado conforme a su Política de Certificación aprobada.

 

De esta manera la Decisión Administrativa Nº 6/2007 pone fin a un largo período en el cual, si bien se aplicaba y existía la tecnología de firma digital, los efectos del uso de esta tecnología legalmente hablando no eran aquellos establecidos por los artículos 7, 8 y 9 de la ley N° 25506, dada la inexistencia de certificadores licenciados.

 

 

III.- Infraestructura jerárquica de un solo nivel

 

Nuestra infraestructura de firma digital está estructurada de tal forma que el Nivel Superior de Autoridad Certificante (CA) está administrada por el ente licenciante y se llama (CA RAIZ). Los certificadores licenciados funcionarán como autoridades certificantes de nivel medio. En el nivel inferior de la estructura podremos observar a los distintos usuarios de certificados que interactúan entre sí intercambiando información firmada digitalmente.

 

El ente licenciante no puede emitir certificados a usuarios particulares, no puede actuar como certificador licenciado, su única función es emitir licencias a los certificadores licenciados.

De tal forma que para validar la firma digital siempre lo debemos hacer contra el certificado de la autoridad certificante raíz que se encuentra en la cima de la cadena de confianza.

 

 

IV.-Reconocimiento recíproco de certificados

 

Cada país de la región en materia de gobierno digital crece en infraestructura público- privada y servicios digitales de manera distinta, no existe entre los países de la región interoperabilidad, cada uno crea su política, su infraestructura con distintos estándares; esto hace que a partir de 2017 se inicien acuerdos de reconocimiento recíproco de firma digital, lo que implicó mucho esfuerzo y trabajo conjunto todo lo que se podía haber ahorrado en caso de haber utilizado estándares comunes desde un principio a fin de utilizar todos la misma firma digital en la región.

 

 

V.-Reconocimiento Transfronterizo Nacional:

 

La legislación argentina (Ley N° 25.506, art. 16) reconoce la validez de certificados extranjeros si cumplen con los requisitos de la ley y si existe un convenio de reciprocidad o bien dichos certificados son reconocidos por un Certificador Licenciado Argentino y validados por la autoridad de aplicación.

 

Su objeto es el reconocimiento mutuo de certificados de firma digital para otorgar a la firma digital el mismo valor jurídico y probatorio que a la firma manuscrita.

 

Este artículo establece que los certificados emitidos en un Estado tendrán la misma validez jurídica en otro, siempre que sean emitidos por un prestador de servicios de certificación acreditado bajo el sistema nacional respectivo y respondan a estándares reconocidos internacionalmente.

 

 

VI.-Porque se firman acuerdos internacionales

 

Para lograr confianza y seguridad en los documentos digitales y servicios conexos; porque las firmas digitales basadas en certificados reconocidos permiten lograr un mayor nivel de seguridad. La asimetría en los marcos jurídicos sobre la materia hace necesario suscribir acuerdos basados en estándares internacionales a fin de promover un entendimiento de las estructuras legales y técnicas de ambas partes.

 

La base de nuestro sistema es que los certificados emitidos en un Estado tendrán la misma validez jurídica en otro, siempre que sean emitidos por un prestador de servicios de certificación acreditado bajo el sistema nacional respectivo y respondan a estándares reconocidos internacionalmente.

 

 

VII.-Autenticación segura en América latina y el Caribe

 

En su fase inicial, se está trabajando con Argentina, Brasil, Chile, Paraguay, Perú, Costa Rica y República Dominicana para desarrollar el sistema e implementarlo en los primeros países, con el fin de lograr nuevos casos de integración.

 

Un proyecto revelador en materia de integración y la interoperabilidad regional, se centra en la implementación de la autenticación federada, el uso de estándares abiertos y el establecimiento de un marco de confianza regional que asegura la privacidad y protección de los datos, mientras facilita la integración técnica. Para ello, se creó un grupo de trabajo liderado por Uruguay, encargado de elaborar los requisitos técnicos para implementar el sistema de autenticación transfronteriza, también conocido como broker regional.

 

El bróker regional es un proyecto de la Red Gealc con el apoyo del Banco Interamericano de Desarrollo (BID), el Banco Mundial (BM) y Co-Develop. Se inspira en la experiencia entre ID Uruguay y Gov.br, como la primera identificación digital transfronteriza en la región. Este avance permite que una persona brasileña o representante legal de una empresa de Brasil accedan a 40 servicios digitales en Uruguay utilizando su identificación digital nacional. Tanto ID Uruguay como el sistema Gov.br cumplen con estándares internacionales, alineados con las mejores prácticas y recomendaciones de la Unión Europea y del Instituto Nacional de Estándares y Tecnologías (NIST) de Estados Unidos.

 

 

VIII.- ¿Qué es un bróker de identificación digital?

 

Un bróker de identificación digital es un sistema que conecta proveedores de identificaciones digitales con servicios digitales, permitiendo que estos últimos utilicen todo el ecosistema de identidades disponibles. En Uruguay, ID Uruguay es la propuesta del Estado para identificarse de forma ágil y segura en más de 170 sistemas de organismos públicos y privados.

 

 

IX. La firma del acuerdo con Estados Unidos

 

¿Podemos firmar un acuerdo de cooperación internacional con USA sin reconocimiento recíproco de certificados o sea sin una infraestructura legal atrás que nos garantice un alto nivel de seguridad?

 

Lo que se observa de acuerdo con todo lo arriba descripto es que Argentina opera con una infraestructura jerárquica única y centralizada, mientras que Estados Unidos funciona con múltiples raíces privadas sin control unificado.

 

Si nos atenemos a lo que dice literalmente el art.16 de la Ley N° 25506 definitivamente no. ¿Cuál es el camino entonces?

 

Si bien todavía no conocemos el texto del acuerdo, a los efectos de no tirar abajo nuestra infraestructura jerárquica única y centralizada, la cual tiene una base sólida y reconocida en los países con los cuales hemos firmado acuerdos de reconocimiento recíproco de certificados y, lograr que nuestra normativa sea coherente con el acuerdo próximo a firmarse, se podría pensar en utilizar el reconocimiento de la firma electrónica de USA en base a estándares internacionales, alineados con las mejores prácticas y recomendaciones de la Unión Europea y del Instituto Nacional de Estándares y Tecnologías (NIST) de Estados Unidos o bien crear un mecanismo de certificación llevado a cabo por un Organismo internacional a los fines de aprobar la firma electrónica de máxima seguridad que se utilice en USA, conforme estándares internacionales. De tal forma que dicha firma electrónica sea capaz de demostrar indudablemente la autoría y la inalterabilidad del documento electrónico, resguardando los derechos personales de todos aquellos que acceden a servicios digitales en USA.

 

Ahora bien esto implica la coherencia del resto de nuestro marco normativo Recomiendo a dichos fines y efectos como medida preliminar, volver a la versión original del art.288 del CCyCN[1] a fin que se reconozca que un documento electrónico también se considera firmado aún sino se utiliza criptografía de clave pública asociada a un certificado digital expedido por un Certificador Licenciado, lo cual sería importante a fin de reconocer la validez y eficacia de ambos tipos de firma como expresión electrónica del consentimiento en virtud del principio de neutralidad tecnológica.

 

 

X.-Conclusión

 

No se trata de rechazar acuerdos internacionales. Argentina necesita modernizarse, atraer inversiones, transferir datos a USA y construir confianza global. El problema aquí no es integrarse. El problema es cómo lo vamos a hacer sin destruir todo lo que costó tanto construir durante más de 20 años.

 

Basarnos en estándares internacionales para generar oportunidades de confianza y seguridad al ciudadano y trabajar con una sola identidad digital transfronteriza es sin duda el futuro. Para lograrlo todos tenemos que trabajar en forma interoperable para no tener que pasar nuevamente por la experiencia de que cada Estado recurra a soluciones propias adaptadas sólo a su propio contexto social y político.

 

 

 


(*) Asesora legal en materia de Derecho de la Alta Tecnología -Delegada de Protección de datos-.

[1] La norma actual reconoce su fuente directa en el artículo 288 del Proyecto de Reforma y unificación de los Códigos Civil y Comercial de la Nación elaborado por la comisión creada por Decreto N°191/2011. A grandes rasgos, el artículo actual reproduce literalmente a su fuente con una única salvedad. En efecto, en el proyecto, se establecía que “…En los instrumentos generados por medios electrónicos, el requisito de la firma de una persona queda satisfecho si se utiliza un método que asegure indubitablemente la autoría e integridad del instrumento”. Como se observa del cotejo de ambos artículos el texto de la norma actual reemplazó los términos “un método”, por “una firma digital”

Se recomienda volver a la versión original a fin de reconocer validez y eficacia a la firma electrónica y a la firma digital de tal manera que su única diferencia será su validez probatoria