Adicionalmente, es en la bolsa en donde se firma, como si tuviera una etiqueta con información de quien firma, la fecha, quien da fe de la persona que firma y hasta la imagen de la firma electrónica. Ésta etiqueta está inteligentemente “pegada” a la bolsa, pero por la cara interior, si se quisiera modificar la etiqueta, también se rompe la bolsa.

Entonces, para saber si el contenido de la bolsa ha sido modificado, basta con analizar la bolsa, si no está rota, entonces el contenido está intacto.

El funcionamiento de la bolsa es con una serie de métodos matemáticos de cifrado en el que se generan claves públicas y privadas – una especie de contraseñas muy largas -, éstas se emiten por medio de un computador o hasta dispositivo móvil, el problema es entonces que cualquier persona que conozca el mecanismo podría suplantarme para firmar un documento que yo no he firmado.

Esto se soluciona generando una cadena de confianza, es decir, una serie de empresas reconocidas globalmente, que confían en otras a nivel regional país y así hasta que finalmente alguna de esas empresas dice que me conoce y ha verificado quien soy yo con unos procedimientos de verificación de identidad aceptados en la legislación del país.

Esas empresas se llaman “Autoridades o entidades de certificación” CA (Certification Authority) y se encargan de realizar la validación de identidad de los firmantes (empresas o personas naturales) y lo hacen por medio de un “Certificado de firma digital” que contiene por una parte la clave privada que solo debe conocer quién firma, y la clave pública, con la que por medio de un método matemático se compara el contenido del archivo firmado (contenido y bolsa incluidos), si coinciden, la bolsa no se ha roto y por lo tanto el contenido es válido. Al validar con la clave pública del emisor, también se verifica si el contenido es firmado por quien posee la clave privada.

Eso garantiza que el contenido no se ha modificado y que fue firmado por la persona titular del certificado de firma digital, pero aún falta el tema de la fecha de la firma.

Un ejemplo de cómo funciona sería, generar un contrato manualmente en Word, luego guardarlo en PDF y enviarlo a cada una de las partes para su revisión y cuando por fin se tenga una versión aprobada por todos, se usa un programa en el PC para firmar, se carga el documento manualmente PDF, luego se carga el certificado de firma digital emitido por la entidad certificadora (normalmente es un archivo con extensión .pfx o .p12, aunque hay otros), luego se aplica la clave del firmante, la cual es normalmente entregada por la entidad certificadora al momento de emitir el certificado. Así se aplica la primera firma, se envía por correo electrónico a las otras partes en estricto orden para que se tenga un único documento firmado, cada uno aplica el procedimiento de firma por su cuenta y con sus propias herramientas y finalmente se envía una copia con todas las firmas a los interesados.

Se recomienda automatizar todos estos pasos con un sistema documental o de automatización de procesos ya que manualmente es muy susceptible a errores y dificultades en la aplicación de la firma haciendo que sea muy difícil garantizar que las ventajas de la firma digital se obtengan correctamente y que además sea un proceso ágil y cómodo para todos.

La fecha normalmente se toma de la fecha y hora del equipo (servidor, computador o dispositivo móvil) con el que la firma es aplicada y por lo tanto, si alguien la cambia, la firma aplicada a la fecha no sería certificada, ese es el comportamiento normal pero se puede mejorar por medio de la “estampa cronológica”, un proceso matemático muy similar en el que además de certificar a la persona, se le pregunta a un servidor de tiempo de la entidad certificadora, la fecha y hora actual y se firma con el certificado digital de la CA (como colocando otra etiqueta pegada en la cara interna de la bolsa, pero esta vez no con los datos del firmante sino con la fecha y hora exacta y los datos del servidor que autentica esa fecha y hora). Normalmente es un procedimiento adicional, que, si bien toma menos de un segundo, suele tener un costo adicional por cada estampa cronológica aplicada.

Ahora vamos a dar algunos ejemplos de uso según nuestra experiencia con cientos de casos diferentes.

• Lo más común es la firma de contratos entre 2 o más partes, no solo contratos comerciales sino también laborales, acuerdos de confidencialidad y hasta contratos de compraventa de inmuebles. Para que se haga por firma digital, todas las partes deben haber adquirido un certificado de firma digital válido en el país en donde el documento es firmado, por ejemplo para Colombia, deben ser entidades certificadoras avaladas por el Organismo Nacional de Acreditación y Certificación – ONAC. Este tipo de uso normalmente se realiza con herramientas que permitan automatizar la secuencia de revisión y aplicación de las firmas y luego notifique automáticamente el resultado final cuando todas las partes hayan firmado, de lo contrario la posibilidad de que una parte haya firmado y luego la otra solicite un cambio es alta (haciendo que se tenga que repetir todo el proceso) o que no se tenga certeza de si una parte ya firmó o no el documento o se les notificó en debida forma.

• También se pueden firmar digitalmente certificados de trámites, de extractos, saldos de cuenta, apostille de documentos emitidos por el estado (en Colombia lo hace la Cancillería), certificados de pensión y en general documentos emitidos y firmados por una entidad que tengan un alto impacto o sean susceptibles de falsificación, son buenos candidatos para emitirse con firma digital. En este caso solo se requiere tener una firma digital de la entidad que emite el documento o del representante legal o funcionario responsable, que actúa como miembro de la organización que emite el documento. En esta opción se pueden firmar documentos de manera automatizada y masiva (hasta millones de archivos firmados) con el uso de herramientas de automatización. En este caso de uso también se incluyen archivos electrónicos de importante valor de preservación para la entidad, como grabaciones testimoniales en audio o video, información biométrica, informes de certificación de calibración de equipos médicos y cientos de usos en donde preservar de manera inmutable la información es fundamental para reducir riesgos jurídicos, de cumplimiento o de negocio.

• Contratos y documentos laborales. Un caso de uso muy común es también la firma de documentos laborales, desde el contrato, retiro, certificaciones, sanciones y todos los productos de trabajo de las áreas de talento humano ya que por el alto riesgo de costos de demandas se requiere garantizar que los atributos de calidad y seguridad del documento se cumplan. Un ejemplo es la firma del contrato laboral, se genera el documento ojalá de manera automatizada con los datos del candidato, datos del cargo, remuneración y todas las cláusulas genéricas de la empresa y específicas del cargo a desempeñar, luego se le envía notificación por correo electrónico, SMS o WhatsApp para que lo lea y si está de acuerdo lo firme o lo devuelva indicando la corrección, finalmente se firma digitalmente por el representante legal uno por uno o masivamente y al final se envía notificación formal y vinculante al correo electrónico como prueba de notificación. Aquí el uso de la firma digital depende directamente de la cantidad de firmas y la importancia de los cargos, ya que, en contratación de cargos de riesgo, gerenciales o de manejo, el precio de la firma digital emitida para el empleado a contratar es justificable, sin embargo, en contratación masiva, personal en misión para empresas temporales, personal con muy alta rotación o de áreas operativas, el costo puede ser un reto. En ese caso, la firma electrónica juega un papel importante sin perder de ninguna manera validez legal o vinculante entre las partes, siempre que se cumplan los preceptos de ley, hablaremos de eso en detalle en otro artículo.

Hemos visto entonces que las principales ventajas de la firma digital son:

• Permiten garantizar que el contenido de los archivos electrónicos no se ha alterado desde la aplicación de la firma.

• Garantizan la identidad de cada uno de los firmantes por medio de técnicas matemáticas y legales aplicadas en cada país.

• Funcionan para documentos PDF y cualquier otro tipo de archivos electrónicos, incluyendo imágenes, audio y video.

• La relación de costo/beneficio es muy buena cuando se usa un mismo certificado de firma digital para firmar muchos archivos electrónicos.

• Agilizan los trámites legales si se automatiza correctamente el proceso de generación del documento y de cada una de las firmas por medio de un sistema de automatización de procesos que ejecute cada uno de los pasos que la empresa requiera para generar el contenido de cada documento, realizar los flujos de aprobación del documento y las correcciones que apliquen (como devolver el documento a un área cuando un aprobador requiera corrección), luego enviar correos electrónicos o tareas en la bandeja para quienes deben firmar y finalmente notificar a todas las partes por correo o WhatsApp con el documento firmado.