Firma digital cualificada para trámites con la Unión Europea

Hace unos días, el responsable jurídico de una multinacional nos llamaba preocupado porque estaban en medio de un trámite muy importante con la Unión Europea, y les habían devuelto parte de la documentación entregada porque no estaba firmada electrónicamente con el máximo nivel, la firma cualificada. 

Este responsable jurídico no entendía lo que podía pasar, ya que ellos estaban usando un certificado cualificado software de los que ya tenían en la empresa, y por ello pensaban que ya estaban obteniendo ese nivel de firma. 

Nosotros entendimos y resolvimos el problema sin mayor dificultad, y queremos compartir el caso para ayudar a otras empresas que puedan estar en una situación similar. 

¿Qué es la firma cualificada? 

Dentro del Reglamento eIDAS, que es la legislación europea que rige la firma electrónica y los servicios de confianza, una firma electrónica cualificada es aquella que:

  • Ha de realizarse con un certificado digital cualificado, que es aquel emitido por una entidad de confianza reconocida oficialmente (Prestador Cualificado de Servicios de Confianza)
  • La firma electrónica ha de realizarse con un dispositivo cualificado para la creación de firmas electrónicas. Este tipo de dispositivos garantiza que el proceso de firma es seguro y que la clave privada utilizada para firmar está protegida adecuadamente.

Esta segunda parte es muy relevante, ya que excluye muchas de las firmas que habitualmente hacemos con certificados y que podemos creer que ya son cualificadas. Aun cuando el certificado utilizado sea cualificado no implica que la firma realizada con él lo sea.

A modo práctico, si el certificado que utilizas habitualmente lo tienes instalado en el navegador o en el PC y puedes exportarlo para instalarlo en otro ordenador, entonces las firmas realizadas con él serán avanzadas, no cualificadas.

Otra forma de conocer el nivel real de firma en un documento es utilizando el validador europeo que hay para ello. 

¿Qué usos tiene la firma cualificada?

La firma cualificada es la que tiene un nivel probatorio más alto. Si una parte firmante repudia una firma cualificada, la carga de la prueba está en ella. Por ello, esta firma es la más robusta legalmente, y la que se usa en aquellos procesos que tratan documentación más valiosa y relevante (desde informes de auditoría, hasta documentos transfronterizos, pasando por acuerdos mercantiles relevantes). 

Además, las propias administraciones exigen en ciertos trámites específicos el uso de firma cualificada. 

De hecho, este es el caso que comentábamos al principio del artículo. Nuestro cliente estaba usando un certificado en software para firmar los documentos, creyendo que era firma cualificada, pero la administración no aceptó esa firma, apelando a que de verdad no era cualificada. 

Para solucionar este problema, le emitimos un certificado (gracias a que en Docuten somos Prestador Cualificado de Servicios de Confianza o Qualified Trust Service Provider (QTSP)) que les permitiese firmar adecuadamente. La diferencia entre nuestro certificado y uno de software, es que el de software puede ser descargado y compartido, mientras que el nuestro nunca sale de la nube en la que fue creado, y sólo se puede usar conectándose a esa nube de manera segura. Esto permite realizar firmas cualificadas de manera totalmente legal, segura y fácil de usar.

Para comprobar las diferencias que implica en la firma entre el uso de los dos tipos de certificados, el de software y el que emitimos nosotros, no hay más que subir un mismo documento firmado de las dos maneras al validador europeo y ver los resultados:

Imagen 1: Resultado del Validador Europeo de Firma con Documento firmado con certificado en software. 

Este es el resultado obtenido al firmar un documento de prueba con un certificado de software emitido por la FNMT. Como se puede ver en el campo Qualification, esta firma es calificada como AdESig-QC, que viene a significar “Advanced Electronic Signature supported by a Qualified Certificate”. Esto quiere decir que hemos hecho una firma con certificado cualificado que ha resultado ser una firma avanzada (no cualificada).

Imagen 2: Resultado del Validador Europeo de Firma con Documento firmado con certificado de Docuten. 

En cambio, en esta segunda figura vemos el resultado al usar un certificado emitido por Docuten. En este caso, en el campo Qualification aparece QESig, que significa “Qualified Electronic Signature”, por lo que, esta vez sí, tenemos nuestro documento firmado con el máximo nivel, firma cualificada.

Esta fue la manera en que ayudamos a esa multinacional a entregar sus documentos a la Unión Europea con firma cualificada. Si tú estás en una situación parecida, te invitamos a hablar con nosotros para resolverlo.