Mediante Decreto No. 133 de fecha 1 de octubre de 2015, la Asamblea Legislativa de la República de El Salvador aprobó la Ley de Firma Electrónica –en lo sucesivo me referiré a ella sólo como la Ley- que entrará en vigor en 6 meses, llenando así un vacío normativo importante, ya que era el único país de Centroamérica y uno de los pocos en Latinoamérica que no contaba con regulación específica sobre la materia. La existencia de regulación sobre firmas electrónicas es uno de los tres elementos básicos en la materia, siendo los otros elementos la existencia de regulaciones sobre específicas sobre comercio electrónico y sobre protección de datos personales, materias en las que El Salvador aún no cuenta con regulaciones específicas. La Ley se inspira en la Ley Modelo sobre Firmas Electrónicas de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) aprobada en el año 2001 – en lo sucesivo me referiré a ella sólo como Ley Modelo-, pero contiene múltiples modificaciones y adiciones introducidas por el legislador salvadoreño. No obstante, los principios básicos de la Ley Modelo se encuentran contenidos en la norma en cuestión.
Distintos tipos de firma electrónica. Al igual que lo hace la Ley Modelo, la legislación salvadoreña diferencia entre firma electrónica simple y certificada. La simple es definida como: “…datos en forma electrónica, consignados en un mensaje de datos o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos, e indicar que el firmante aprueba la información recogida en el mensaje de datos.” Es una definición amplia que abarca prácticamente cualquier tipo de firma electrónica numérica o alfanumérica, desde un Personal Identification Number (PIN) o una contraseña de correo electrónico, por ejemplo. Por su parte, la firma electrónica certificada es aquella “sustentada en un método de creación y verificación confiable y seguro, de manera que aquélla sea inalterable, alertando al destinatario en caso de modificación de la información, después de ser suscrita por el signatario.” Se entiende que la certificada es aquella que se emite por medio de un certificado expedido por una entidad certificadora debidamente acreditada por la Unidad de Firma Electrónica, órgano creado en la misma Ley y adscrito al Ministerio de Economía. La Ley no es clara en cuanto a los efectos jurídicos entre ambos tipos de firmas. Dispone el artículo 6: “La firma electrónica simple tendrá la misma validez jurídica que la firma autógrafa. En cuanto a sus efectos jurídicos, la firma electrónica simple no tendrá validez probatoria en los mismos términos a los concedidos por esta Ley a la firma electrónica certificada; sin embargo, podrán constituir un elemento de convicción conforme a las reglas de la sana crítica.” Por su parte, el artículo 24, que dispone: “La firma electrónica certificada tendrá igual validez y los mismos efectos jurídicos y probatorios que una firma manuscrita en relación con los datos consignados en un documento o mensaje de datos electrónicos en que fuere empleada…” Como vemos, la Ley establece que la firma electrónica simple tiene el mismo valor que una firma autógrafa, y que la certificada el mismo valor de una firma manuscrita. El artículo 3 de la Ley define la firma autógrafa como: “Marca o signo, que una persona escribe de su propia mano en un instrumento o documento para asegurar o autenticar la identidad de una persona como prueba del consentimiento y verificación de la información contenida en dicho instrumento.” No obstante, la Ley no contiene ninguna definición sobre firma manuscrita. No obstante, en una interpretación lógica y gramatical de la norma, ambos conceptos debería ser sinónimos. La verdadera diferencia entre la firma simple y la certificada radica en las presunciones que, para la firma electrónica certificada contiene el artículo 25 de la Ley: “a) Que la firma electrónica certificada pertenece al titular de la misma. b) Que el mensaje de datos vinculado a la firma electrónica certificada no ha sido modificado desde el momento de su envío, si el resultado del procedimiento de verificación así lo indica.” Se trata de presunciones iuris tantum, en tanto admiten prueba en contrario, y que en realidad lo que implican es una modificación de la carga de la prueba, ya que quien presenta un documento con firma electrónica certificada no tiene que demostrar su autenticidad, sino que será quien lo repute falso o alterado quien deberá acreditarlo. El párrafo segundo del artículo 24 parece abrir un portillo poco deseable, al establecer: “En todo caso, al valorar la fuerza probatoria de un documento electrónico, se tendrá presente la confiabilidad de la forma en la que se haya generado, archivado, comunicado, y en la que se haya conservado la integridad de la información.” Esta disposición pareciera debilitar la presunción de autenticidad contenida en el artículo 25, dejando al operador una tarea de calificación técnica que bajo ningún supuesto debería darse ex ante, sino a lo sumo ex post ante un cuestionamiento sobre la autenticidad del documento en cuestión.
Equivalencia funcional. Quizá el principio más importante en materia de firma electrónica es el de equivalencia funcional, que confiere a los documentos electrónicos y a los firmados electrónicamente el mismo valor que aquellos que cuentan con firmas manuscritas. Este es un requisito básico si se quiere fomentar el uso de la firma electrónica y conferir seguridad jurídica a sus usuarios. Este principio se recogió en el artículo 8 de la Ley, que dispone: “Los documentos en soporte electrónico utilizando firma electrónica, tendrán el mismo valor que los consignados de manera tradicional. Quedan excluidas aquellas actuaciones que para su perfeccionamiento requieren formalidades y solemnidades especiales.” No obstante lo anterior, el artículo 7 de la Ley parece limitar la aplicación de la equivalencia funcional a la firma electrónica certificada al disponer: “El mensaje de datos utilizando firma electrónica certificada, cualquiera que sea su medio de transmisión o de almacenamiento, tendrá la misma validez jurídica equivalente al contenido de aquéllos emitidos de manera convencional…” aunque el artículo 8 dispone: “Los documentos en soporte electrónico utilizando firma electrónica, tendrán el mismo valor que los consignados de manera tradicional.”, sin hacer ninguna distinción entre el tipo de firma.
Neutralidad tecnológica. Este principio, consagrado en el artículo 4 f) de la Ley, procura que la legislación no sucumba a los vaivenes de la obsolescencia tecnológica, sin matricular la legislación a un tipo específico de tecnología, sino que cualquier tecnología presente o futura que cumpla con los objetivos, principios y requisitos de la Ley pueda suplir los efectos de la firma electrónica.
Datos personales. Pese a no ser un instrumento específico en materia de protección de datos personales, el legislador salvadoreño incorporó disposiciones relativas a éstos en el artículo 3 de la Ley, dedicado a definiciones. Se establece que dato personal es: “Cualquier información numérica, alfabética, gráfica o fotográfica o de cualquier otro tipo, concerniente a personas naturales identificadas o identificables.” Esta definición nos parece incorrecta. Técnicamente, un dato personal es cualquier dato numérico, alfabético, gráfico, fotográfico, etc. que identifique o haga identificable a una persona. El elemento que implica la protección del dato personal es precisamente el que identifique o permita identificar a una persona, no simplemente el que le pertenezca. Así por ejemplo, de acuerdo a la legislación salvadoreña, el año de nacimiento o el nombre de pila de una persona son datos personales, aunque estos por sí solos, no identifican ni hacen identificable a una persona. Se define también dato personal de alcance público como: “Datos que no afectan la intimidad del titular de la misma, como los datos relativos al estado familiar de la persona entre otros, y que pueden estar contenidos en registros públicos.” En la mayoría de las legislaciones los datos relativos al estado familiar o estado civil son considerados como datos íntimos y de acceso restringido, ya que no existe un interés público en que estos sean de acceso irrestricto a la colectividad y pueden prestarse para algún tipo de discriminación relacionada con la filiación o estado civil de las personas. El hecho de que un dato esté contenido en un registro público no lo debería convertir, por sí mismo, en un dato de alcance público, ya que por ejemplo se contienen en este tipo de registros datos relacionados con la salud, como el expediente clínico, o con la condición económica, como en los registros tributarios. Por último, el artículo 5 de la Ley establece la imposibilidad de cesión de los datos personales de los usuarios y el deber de confidencialidad de los mismos, y se establece como falta muy grave con multa de 51 a 100 salarios mínimos, la revelación de información personal sin el consentimiento expreso del titular (Art. 65 inciso 3 b)
Entidades públicas. Sin duda, gobierno electrónico es uno de los usos que más impacto puede generar en la población salvadoreña. La Ley faculta a las autoridades y funcionarios públicos a suscribir actos por medio de firma electrónica simple, salvo actos administrativos que otorguen derechos, sancionen constituyan información confidencial o instrumento público, casos en los que la firma deberá ser certificada, o aquellos en los que la Constitución o las leyes exijan alguna solemnidad no susceptible de ser suplida por medio de firma electrónica. Se establece que los administrados podrán relacionarse o comunicarse electrónicamente con las instituciones del Estado por medio de firma electrónica certificada. Esta disposición abre la posibilidad de que los salvadoreños puedan realizar trámites administrativos o hasta judiciales por medio de la firma electrónica certificada, lo cual se ve potenciado por el artículo 24, que establece la posibilidad de que se realizan comunicaciones, citaciones y notificaciones por medio de firma electrónica simple, siempre que el administrado hubiera autorizado ese medio de comunicación. Por último, se estable que las instituciones podrán disponer la conservación, registro y archivo de cualquier actuación bajo su competencia por medio de sistemas electrónicos que sustituyan los registros físicos, lo cual abre también la posibilidad de digitalizar una gran cantidad de registros públicos, como los de comercio, los tributarios, los expedientes médicos, etc. Sin duda esta Ley es un importante paso para El Salvador en materia de gobierno digital y comercio electrónico que ha sido esperada por muchos salvadoreños que impulsaban estos temas desde hace ya varios años. Si bien la legislación contiene algunas contradicciones y vacíos normativos, muchas de estas oportunidades de mejora pueden ser subsanadas por medio del reglamento que deberá dictarse. Esperamos que en los próximos años el hermano país complete la triada regulatoria en la materia mediante la aprobación de una ley de protección de datos personales y otra de comercio electrónico, pero sobre todo que el Estado salvadoreño impulse políticas que fomenten y divulguen el uso de tales herramientas.