Informe firma biometrica smartaccess agosto2011 by Israel Garcia

INFORME FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

Plza. del Marqués de Salamanca 3-4, 28006 Madrid. Tel.: +34 91 781 61 60; Av. Diagonal 458, 8ª Planta, 08006 Barcelona. Tel.: +34 93 380 82 55 www.ecija.com

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

ÍNDICE

1. INTRODUCCIÓN ............................................................................................................................................ 2 2. ESCENARIO ................................................................................................................................................... 3 2.1. CONCEPTO ................................................................................................................................................ 3 2.2. DISPOSITIVOS ............................................................................................................................................ 5 2.3. INFORMACIÓN ........................................................................................................................................... 6 2.4. FINALIDADES ............................................................................................................................................. 7 3. NORMATIVA................................................................................................................................................. 8 4. REQUISITOS .................................................................................................................................................. 9 4.1. CAPTURA.................................................................................................................................................. 9 4.2. ALMACENAMIENTO ................................................................................................................................... 14 4.3. VERIFICACIÓN .......................................................................................................................................... 18 5. CONCLUSIONES .......................................................................................................................................... 23

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

1. Introducción El presente Informe recoge el análisis de carácter estrictamente jurídico sobre la denominada “Firma biométrica”. En concreto, se pretende identificar los requisitos que debe reunir tal Firma biométrica para permitir que surjan los efectos que se pretenden de la misma, que en definitiva, con relación al escenario planteado en este Informe, son los mismos que los que se vienen pretendiendo para la firma manuscrita cuando se utiliza en cualquier tipo de documentos como contratos, declaraciones, etc. En este sentido, se considerarán aquellos aspectos necesarios para que tales fines se cumplan igualmente cuando se pretenda la aportación en un procedimiento judicial de un documento firmado mediante algún tipo de firma biométrica entendida en el sentido expresado anteriormente. A tal fin, el Informe se estructura como sigue: 

En una primera parte, se hará una aproximación teórica al uso de la firma biométrica, de cara a fijar un supuestos o supuestos de hecho para el Informe, y establecer los conceptos que se utilizarán a lo largo del mismo.



En una segunda parte, se recogerá la normativa de referencia con relación a la materia que se plantea.



Una vez esto, en una tercera parte, se tratará de identificar los requisitos jurídicos a tener en cuenta en cada una de las fases del ciclo de vida de la Firma biométrica.



Por último, se fijarán las conclusiones del Informe.

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

2. Escenario 2.1. Concepto Dice el Diccionario de la Real Academia de la Lengua (en adelante DRAE) que “Firmar”, en su primera acepción, es “Dicho de una persona: Poner su firma”. Por lo tanto, debemos averiguar qué indica el mismo Diccionario sobre la palabra “Firma”, y con relación a la misma indica, también en su primera acepción, que es “Nombre y apellido, o título, que una persona escribe de su propia mano en un documento, para darle autenticidad o para expresar que aprueba su contenido.” Más allá de que podamos el inicio del concepto de “Firma” pueda resultar algo extraño con relación a la realidad cotidiana del mismo (de hecho, podríamos añadir el concepto de “Rúbrica” como “Rasgo o conjunto de rasgos de forma determinada, que como parte de la firma pone cada cual después de su nombre o título, y que a veces va sola, esto es, no precedida del nombre o título de la persona que rubrica.”), lo cierto es que la segunda es realmente significativa y se incardina directamente con los aspectos que se tratarán a lo largo de este informe. Y ello por cuanto que indica que la Firma: -

La escribe una persona de su propia mano en un documento.

Tiene una de las dos siguientes finalidades:

Dar autenticidad al documento firmado.

Expresar que aprueba el contenido del mismo.

Por lo tanto, de acuerdo con el DRAE, y a los efectos del presente Informe, la Firma es aquello que una persona escribe de su propia mano en un documento no sólo para identificarse, sino aun más para acreditar que es quien dice ser (autenticarse) o (aunque quizá sería mejor decir “y/o”) para expresar su consentimiento o aquiescencia con el contenido de tal documento. Excluimos por tanto del concepto (aun sin añadirle el adjetivo de “biométrica”) otros datos identificativos que, en ocasiones, también se quieren poner bajo el mismo

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

concepto, como los obtenidos por el gesto y movimiento corporal, dinámica de tecleo, voz, etc. Resulta interesante que aun siguiendo al pie de la letra el concepto establecido en el DRAE, en modo alguno podemos excluir del mismo a la Firma biométrica, es decir, no podremos decir que sólo es firma la entendida en concepto “clásico” como la realizada con tinta y un bolígrafo, pluma o similar, sobre papel. En todo caso, de cara a tener una definición de Firma biométrica, debemos volver al DRAE, que define el adjetivo “Biométrico”, como “Perteneciente o relativo a la biometría”. En consecuencia, debemos considerar el concepto de “Biometría”, definida por el mismo diccionario como “Estudio mensurativo o estadístico de los fenómenos o procesos biológicos.” Por tanto, basándonos en las diferentes definiciones extraídas del DRAE podríamos llegar a una definición de Firma biométrica como la que se propone a continuación: -

Información (nombre, apellido, título) y/o rúbrica;

Que escribe una persona de su propia mano en un documento (entendido éste en sentido amplio);

Que tiene una de las dos siguientes finalidades: o

Dar autenticidad al documento firmado.

Expresar que aprueba el contenido del mismo.

A la que se añade el resultado de medir fenómenos o procesos biológicos asociados al proceso de generación de la firma o rúbrica, con el objetivo de asociar la firma a su autor.

Conviene, antes de cerrar este apartado, diferenciar dos método de captura de firma biométrica, adelantando ya que en este Informe nos referimos únicamente al segundo de ellos, el Método dinámico. En concreto, en concreto, existen dos métodos de captura y comprobación de firmas biométricas, dependiendo de su modo de adquisición: 

Métodos

estáticos

(off-line):

Permiten

verificar

características

estáticas

biométricas que no varían con el tiempo. Se basan en el reconocimiento de patrones. Esta modalidad corresponde a la digitalización de una firma manuscrita a partir de una muestra obtenida en papel.

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO



Métodos

dinámicos

(on-line):

Permiten

verificar

características

dinámicas

biométricas que pueden variar con el tiempo. La inscripción o clasificación de las muestras se realiza en el momento en que es capturada la(s) misma(s). El almacenamiento de datos biométricos durante el proceso, permite procesarlos posteriormente, en caso de ser necesario (p.e. cotejo).

2.2. Dispositivos Con el concepto “Dispositivos”, nos referiremos a aquellos elementos tecnológicos que se utilizan para la captura de la Firma biométrica. A los efectos del presente Informe, los dispositivos que se considerarán serán tabletas gráficas o digitalizadoras. Dicha tabletas, son dispositivos que permiten al usuario introducir gráficos o dibujos a mano, tal como lo haría con lápiz y papel. Consiste en una superficie plana sobre la que el usuario puede dibujar una imagen utilizando un lápiz o bolígrafo específico para esta función. También a los efectos de este Informe, podemos diferenciar dos tipos de tabletas, en función de la pantalla táctil donde se realiza la captura: 

Tabletas con pantalla resistiva. Su pantalla esta formada por varias capas, las más importantes son dos finas capas de material conductor entre las cuales hay una pequeña separación. Cuando algún objeto toca la superficie de la capa exterior, las dos capas conductoras entran en contacto en un punto concreto. De esta forma se produce un cambio en la corriente eléctrica que permite a un controlador calcular la posición del punto en el que se ha tocado la pantalla midiendo la resistencia. Permiten capturar la presión y la velocidad en los ejes X e Y.



Tabletas con pantalla capacitiva. Necesitan ser manejadas mediante el dedo o un objeto

que

disponga

capacitancia.

Pueden

detectar

varias pulsaciones

simultáneas o gestos. Las pulsaciones o gestos no requieren presión, basta con deslizar el dedo para controlar la pantalla del dispositivo. No permiten medir la presión, pero sí el grosor, a partir del cual es posible obtener información relativa a la presión. Permiten medir la velocidad en los ejes X e Y.

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

2.3. Información En esta apartado trataremos el tipo de información biométrica que se viene recogiendo asociada a una firma. La finalidad última de la recogida de tal información no es sino poder utilizarla, principalmente y si fuera necesario, para comprobar si una determinada firma ha sido realizada por una determinada persona o no, o para comprobar si la firma reflejada en un documento o en una copia del mismo es la misma que en su día se realizó o ha sido alternada. No obstante, cabe adelantar que la diversa información que se indicará que se puede recoger de una firma biométrica, no es toda ella necesaria para realizar las comprobaciones indicadas, de modo que no se podrían realizar en otro caso. El número de factores biométricos que se recojan no es más garantista por ser mayor. Sino que la garantía de eficacia de tales factores, para los fines señalados, dependerá de la fortaleza de las metodologías y algoritmos de obtención y análisis, de la capacidad para limitar errores o falsos positivos y otros factores, entre ellos uno fundamental: en el caso de procedimiento judicial, de la pericia, herramientas, metodología y expertise del perito encargado de su cotejo. Por tanto, la Firma biométrica no es “mejor” cuantos más factores biométricos se capturen, sino que lo será por la fortaleza y resistencia a errores de aquellos factores, muchos o pocos, que se utilicen. En todo caso, como parámetros de estudio habituales suelen estar presentes los siguientes: 

Presión



Velocidad de escritura máxima, mínima y media



Velocidades de escritura en los distintos ejes



Duraciones globales y locales



Posición (ejes X e Y)



Orientación (ejes X e Y)



Fuerza

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

2.4. Finalidades El DRAE define “Símbolo”

como “Representación sensorialmente perceptible de una

realidad, en virtud de rasgos que se asocian con esta por una convención socialmente aceptada.” La firma (biométrica o no) es un símbolo, que además tiene un significado no sólo por convención socialmente aceptada, sino porque esa convención se ha convertido en norma jurídica vinculante. Pero es importante que no deja de ser un símbolo, como lo es el sello de empresa en una factura, la entrega de llaves de un inmueble, levantar la mano en determinadas subastas o otras muchas representaciones a las que se ha dotado de efectos jurídicos. En este caso, la Firma biométrica no deja de ser un símbolo, con el que se buscan ciertas finalidades o efectos, que son los que se han indicado anteriormente, al menos: -

Que se pueda demostrar que el autor de la firma es quien dice haberla hecho, lo que dotará de autenticidad a lo firmado.

Que sirva como método o forma de mostrar la aprobación o consentimiento sobre lo firmado, de modo que pueda producir sus efectos frente al firmante o frente a los terceros que puedan estar afectados.

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

3. Normativa Para la elaboración de la presente Nota se han considerado las disposiciones normativas que se detallan a continuación: -

Ley 59/2003, de 19 de diciembre, de firma electrónica (en adelante LFE).

Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (en adelante, LECi)

Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD).

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en adelante RLOPD).

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio electrónico (en adelante LSSI).

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

4. Requisitos Una vez fijados los conceptos fundamentales a efectos del presente Informe, los objetivos del mismo y la normativa a considerar, en los próximos apartados se tratarán de fijar los requisitos de cumplimiento normativo que se considera que se deben observar en cada una de las fases en que se ha dividido el ciclo de vida de la Firma biométrica.

4.1. Captura Anteriormente se ha tratado lo relativo a los dispositivos de recogida y la información relativa a datos biométricos que puede recogerse (y que en cada caso será la que se decida). En este apartado se recogerán las cuestiones jurídicas que se entienden aplicables al momento de la generación propiamente dicha de la firma biométrica y la captura de los correspondientes datos biométricos que después serán almacenados, enviados al firmante, enviados y/o almacenados por terceras partes. Todo ello con dos objetivos: 1. Que se obtengan garantías de que la firma biométrica generada no se puede reproducir, en su totalidad o de manera parcial, con el fin de evitar el riesgo de su utilización por personas diferentes a su autor legitimo, con fines fraudulentos o no. 2. Que los datos biométricos se obtengan con garantías de integridad y no alteración, ni por su autor ni por ningún tercero, con fines fraudulentos o no, con el objetivo de que en caso de conflicto planteado en sede judicial (o a lo sumo en sede administrativa) en que se vean implicados, puedan utilizarse en una hipotética pericial en que pudieran ser necesarios. A tal fin, y con relación al proceso de captura de lo que hemos venido denominando como Firma biométrica, los aspectos que interesan son los siguientes: A. Generación de la firma biométrica: obtención de los datos biométricos. 9

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

En el momento en que el autor de la firma la realice sobre el dispositivo de captura habilitado a tal fin, se debe garantizar que los datos biométricos se generan de una manera correcta. Estos implica dos cuestiones: 

Que el dispositivo y el lápiz utilizado estén configurados y, en su caso, calibrados de manera adecuada, debiéndose hacer los controles adecuados a tal fin.



Que los datos biométricos no sufran alteraciones por ninguna causa desde el mismo momento de su obtención, ya se graben en ese primer momento en el propio dispositivo de recogida o ya, por ejemplo, se transmitan automáticamente

servidor

ficheros

servicio

almacenamiento en modo cloud computing. En cuanto a los datos biométricos capturados, como se ha indicado anteriormente, son varios y variados aquellos que se pueden recoger. Desde el punto de vista jurídico, no es una cuestión relevante los parámetros seleccionados. La cuestión es que con los mismos, y con la metodología que se utilice para obtenerlos y custodiarlos, se pueda garantizar de una manera demostrable que se alcanzan los objetivos de la Firma biométrica. En todo caso, se debe garantizar que con los datos biométricos obtenidos no es posible reproducir, copiar, deducir o de algún modo volver a generar en su totalidad y con idéntica información la firma realizada. B. Generación de la firma biométrica: consideración como firma electrónica. Establece la LFE en su artículo 3 los siguientes tipos de Firma electrónica: “1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. 2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. 4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel. (…) 10. A los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.” Si consideramos la firma biométrica a la luz de tal precepto, está claro que la misma a lo sumo puede ser considerada como Firma electrónica “simple”, es decir la fijada en el apartado 1 del citado artículo 3 LFE. A lo sumo, podríamos considerar lo dispuesto en el apartado 10 del artículo, pero se trata de una regulación residual que en la práctica sólo aplica en entornos cerrados tipo EDI con ciertas firmas electrónicas no basadas en certificados electrónicos (cada vez menos habituales). Por lo tanto, los datos biométricos así considerados estarían bajo el mismo concepto de firma electrónica que la firma a pie de página de un correo electrónico o los certificados electrónicos que se emiten sin la comprobación de la identidad de su solicitantes y titular. Por lo tanto, sería un tipo de firma, de entre las reguladas en la LFE, que difícilmente va a reunir garantías de eficacia, en cuanto a lograr los objetivos de una firma que hemos indicado al principio del Informe, en caso de utilización en juicio. Y ello por cuanto si no logramos una mínima garantía de integridad de los datos biométricos una vez generados, difícilmente vamos a poder evitar que su autor niegue serlo o que la contraparte de un proceso judicial niegue su validez por haber podido ser alterados sin que quede constancia de ello. C. Generación de la firma biométrica: representación gráfica. Habitualmente, durante el proceso de generación de la Firma biométrica, se va a querer guardar su representación gráfica, es decir, la rúbrica como tal, a efectos d que, por un lado, el documento donde se plasme (p.e. un PDF) contenga de 11

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

manera visible aquello que de manera común se denomina como firma, y por otro lado, porque probablemente no sería lo más adecuado de cara al firmante que su no apareciera tal gráfica, sino sólo por ejemplo, los indicadores de los datos biométricos guardados. En todo caso, con relación a esta representación gráfica, lo más recomendable sería: 

Considerarla como una firma electrónica

“simple”, en

concepto

expresado anteriormente. 

No vincularla ni hacer que contenga en medida alguna los datos biométricos, sino que debe estar separado de ellos para evitar confusiones y utilización inadecuada de ambos elementos en conjunto.

D. Integridad de los datos biométricos: utilización de la Firma electrónica. Dado que los datos biométricos, como hemos indicado, no alcanzan una categoría de firma electrónica con lo que deberían ser unas garantías mínimas de eficacia y fortaleza en caso de conflicto, se debe buscar soluciones que se añadan o “recubran” tales datos biométricos con un fin fundamental: garantizar su integridad. A tal fin, se pueden utilizar soluciones de firma electrónica con las que se firmen los propios datos biométricos. No obstantes, aquí de nuevo se deberá considerar el tipo de firma a utilizar de entre los propuestos en la LFE1, y que se han indicado anteriormente. En este sentido, lo más recomendable es que los datos biométricos sean firmados con Firma electrónica Reconocida, y en todo caso al menos con Firma electrónica avanzada, en los conceptos establecidos en la LFE y que se han recogido anteriormente. El titular de los certificados de firma utilizados a tal fin podrá ser alguno de los participantes en el documento que se firma o un tercero específico y

Desde el punto de vista comercial, son múltiples los tipos de certificados que ofrecen las Autoridades de

Certificación en España. Sin embargo, en este punto no se considera tal oferta comercial, sino los tipos de firma de la LFE, por lo que en la elección de productos comerciales se deberá verificar que alcanzan los requisitos del tipo de firma de las fijadas en la LFE que se pretenda.

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

especializado, que aporte entre sus servicios el generar garantías de integridad de datos electrónicos mediante aplicación de su firma electrónica. Además, es conveniente la utilización de un tipo específico de firma electrónica como son los Sellos de tiempo (que también podrán generarse con Firma electrónica Avanzada o como Firma electrónica Reconocida, en función del certificado y dispositivo de creación que se utilice). En este caso, una Autoridad de Sello de Tiempo utiliza una Fuente Segura de Tiempo para garantizar que, por ejemplo,

unos

datos

biométricos

firmados

electrónicamente

tenían

determinado contenido desde un determinado momento y hacia el futuro. E. Remisión al servicio de custodia de los datos biométricos: utilización de terceros. Por último, los tres elementos señalados (datos biométricos no firmados electrónicamente,

representación

gráfica

de la

firma

biométrica,

datos

biométricos firmados electrónicamente) han de ser almacenados y custodiados, normalmente de manera conjunta con el documento firmado. A tal fin, se podrá utilizar los servicios del denominado Tercero de confianza, regulado en el artículo 25 de la LSSI, que indica que “1.Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública. 2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.” Los Terceros de confianza, además, suelen incorporar servicios de firma electrónica, que pueden ser útiles en este caso tanto para la firma electrónica de la firma biométrica, como para la generación de los sellos de tiempo, la custodia segura de documentos firmados (p.e. en caso de custodia y firmas de larga duración), y el acceso controlado y con garantías de integridad a los objetos custodiados.

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

4.2. Almacenamiento Se deberá suscribir un Contrato de Encargo de tratamiento del artículo 12 de la LOPD (“La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.”), en el caso de que el almacenamiento se lleve a cabo, total o parcialmente, con medios de una Entidad diferente (Encargado del tratamiento) a aquella responsable de los captura y tratamiento de los datos de Firma biométrica (Responsable del fichero). La Firma biométrica como tal (firmada electrónicamente o no) al igual que la representación gráfica de la firma realizada, dado que normalmente va a estar asociada a los datos identificativos de su autor, van a ser consideradas como dato personal, de acuerdo con la definición que de tal concepto hace el artículo 3.a de la LOPD (“cualquier información concerniente a personas físicas identificadas o identificables.”). Esta misma norma, en su artículo 9 establece la obligación de “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.” Tales medidas de seguridad vienen establecidas en el RLODP, que establece tres niveles de seguridad (básico, medio y alto) en función de la tipología de datos tratados. Se considera que la firma biométrica y su representación gráfica serían susceptibles del nivel básico de seguridad, y por lo tanto en su almacenamiento (y lógicamente durante el espacio de tiempo más o menos breve de su captura) deberán observarse las siguientes medidas de seguridad: Documento de seguridad Deberá elaborarse e implantarse la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. 14

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

El documento deberá contener, como mínimo, los siguientes aspectos: 

Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.



Medidas, normas, procedimientos, reglas

y estándares

encaminados

garantizar el nivel de seguridad exigido. 

Funciones y obligaciones del personal.



Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.



Procedimiento de notificación, gestión y respuesta ante las incidencias.



Los procedimientos de realización de copias de respaldo y de recuperación de los datos.



Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Determinación de las Funciones y obligaciones del personal Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. Deberán adoptarse las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Registro de incidencias Existirá un procedimiento de notificación y gestión de incidencias. -

Dicho procedimiento contendrá necesariamente un registro en el que se haga constar:

El tipo de incidencia;

el momento en que se ha producido;

la persona que realiza la notificación;

a quién se le comunica;

los efectos que se hubieran derivado de la misma;

medidas correctoras aplicadas, 15

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

Identificación y autenticación Existirá una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y se establecerán procedimientos de identificación y autenticación para dicho acceso. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las contraseñas se cambiarán con la periodicidad que se determine en el Documento de Seguridad y mientras estén vigentes se almacenarán de forma ininteligible. El Documento de Seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. Control de Acceso a los Datos de Carácter Personal Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. Se establecerán mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. La relación de usuarios autorizados par acceder al sistema contendrá el acceso autorizado para cada uno de ellos. Exclusivamente el personal autorizado para ello en el Documento de Seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el Responsable del Fichero como responsable del fichero. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

Gestión de Soportes y documentos que Contentan Datos de Carácter Personal Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el Documento de Seguridad. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el Documento de Seguridad. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. La identificación de los soportes que contengan datos de carácter personal que el Responsable del Fichero considere especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas. Copias de Respaldo y Recuperación de Datos Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a 17

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

grabar manualmente los datos quedando constancia motivada de este hecho en el Documento de Seguridad. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el Documento de Seguridad. Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad. Pruebas con datos reales Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

4.3. Verificación 4.3.1. Fuera de un proceso judicial La verificación de la Firma biométrica fuera de un procedimiento judicial, es decir, fuera de un conflicto en el que se vea implicada y que haya de resolverse en sede judicial, no es recomendable. Y en todo caso, tal verificación nunca debería realizarse con los datos biométricos firmados electrónicamente (si existen), sino bien con la representación gráfica de la firma, si es posible, o con los datos biométricos guardados sin firma electrónica. Es decir, el uso de los datos de firma biométrica cuya integridad venga garantizada mediante su firma con algún tipo de firma electrónica (preferentemente firma reconocida), debería quedar restringido al contexto de la elaboración del Dictamen pericial que se haya de presentar durante un juicio. Siendo que las comprobaciones fuera 18

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

de juicio que quieran hacer de la firma biométrica que se pretendan hacer por cuestiones de atención al cliente, gestión administrativa, etc., deberían realizare con los datos biométricos no firmados. En todo caso, reiterar que al hablar de datos biométricos nos referimos a aquellos que se generan con relación a una firma biométrica pero que no permiten su reproducción o copia, sino únicamente su verificación o cotejo cuando fuera necesario. Y que la representación gráfica de la firma biométrica nunca podrá sustituir o reemplazar a la misma, puesto que no va a contener los datos biométricos que la caracterizan. 4.3.2. Dentro de un proceso judicial El papel que debe jugar la Firma biométrica en un proceso judicial vendrá establecido por lo dispuesto en la LECi. Conviene decir que esta norma no tiene una regulación especial sobre la Firma biométrica. Antes bien, y considerando la Firma biométrica como un tipo de Prueba o Evidencia electrónica, se debe señalar que la LECi no establece una regulación especial sobre la misma sino que lo que hizo en su momento el Legislador, fue modificar la LECi de modo que la Prueba electrónica tuviera cabida en la misma sin que fuera necesaria una regulación especial. De este modo, debemos traer a colación el artículo 299 de la LECi, que regula los “Medios de prueba” en los siguientes términos: “1. Los medios de prueba de que se podrá hacer uso en juicio son: 1. Interrogatorio de las partes. 2. Documentos públicos. 3. Documentos privados. 4. Dictamen de peritos. 5. Reconocimiento judicial. 6. Interrogatorio de testigos. 2. También se admitirán, conforme a lo dispuesto en esta Ley, los medios de reproducción de la palabra, el sonido y la imagen, así como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

matemáticas llevadas a cabo con fines contables o de otra clase, relevantes para el proceso. 3. Cuando por cualquier otro medio no expresamente previsto en los apartados anteriores de este artículo pudiera obtenerse certeza sobre hechos relevantes, el tribunal, a instancia de parte, lo admitirá como prueba, adoptando las medidas que en cada caso resulten necesarias.” Es indudable que la Firma biométrica va a poder tener virtualidad como prueba tanto con relación a Documentos privados y Dictamen de peritos. Pero es que en el caso de que se le quisiera negar tal virtualidad, los preceptos de inclusión recogidos en los puntos 2 y 3 del artículo, nos permitirían incorporar la Firma biométrica al Procedimiento judicial sin duda alguna. En todo caso, lo más interesante con relación a la Firma biométrica cuando se pretende considerar dentro de un Procedimiento judicial, puede ser las pautas y necesidades para su aportación en el Contexto de un Dictamen de peritos. No se trata de establecer el diferencial con la pericial sobre firma manuscrita realizada con tinta sobre papel. Antes bien, se trata de establecer las pautas propias de la Firma biométrica en dos escenarios: 1. Comprobación de firmas. Se trata en este caso de verificar que la Firma biométrica incorporada a un documento es la que en su momento se realizo (autenticidad) y que no ha sido alterada (integridad). En este caso, el proceso habría de ser: a. Acceso al sistema de custodia de los datos relativos a la firma biométrica almacenada en el momento de su generación. b. Considerando que la integridad de tales datos debería haberse garantizado desde el momento de su generación, en este momento se habrían de utilizar los medios que nos permitieran acceder a los datos sin poner en riesgo tal integridad. Así por ejemplo, en el caso de haber utilizado firma electrónica, en este momento se utilizará la clave pública del firmante para acceder a los datos de la firma biométrica. c. Comprobación técnica de la correspondencia entre la firma biométrica almacenada y aquella que se pretende como la misma, con el fin de verificar tal afirmación. 20

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

En este punto, podrán utilizarse diferentes técnicas, cuyo análisis está fuera del alcance de este Informe, pero en todo caso, no parece que sea necesaria la actuación de un perito calígrafo, porque se trata de una actividad de marcado carácter técnico, aunque sí de un Perito experto en la materia. Es decir, se trata de conocer si los datos de la firma biométrica “original” se encuentren, idénticos y no más, en la que se pretende como igual, sin que hayan de considerarse otros factores exógenos o endógenos a la firma ni a su proceso de creación. 2. Comparación de firmas. Se trata de verificar la autoría de una Firma biométrica mediante su comparación con otra/s firma/s biométrica/s (muestra/s) del mismo autor. En este caso, el proceso habría de ser: a. Acceso al sistema de custodia de los datos relativos a la firma biométrica almacenada en el momento de su generación. b. Comprobación de la integridad de los datos (ver punto 1.b anterior). c. Cotejo de firmas tendente a averiguar la autoría de las mismas. En este punto, de forma similar a lo que sucede con relación a la firma manuscrita realizada en papel con tinta, existiría una firma indubitada (la almacenada en el sistema de custodia de datos de firmas biométricas) y la dubitada, que sería objeto de cotejo. En este punto, podrán utilizarse diferentes técnicas, cuyo análisis está fuera del alcance de este Informe, pero en todo caso (al contrario que el supuestos anterior) parece conveniente la actuación de un perito calígrafo que a su vez tenga los conocimientos, herramientas y experiencia adecuada con relación a la Firma biométrica. Y ello por cuanto existen circunstancias exógenas y/o endógenas que pueden hacer que un mismo autor pueda generar firmas biométricas diferentes

diferentes

momentos

circunstancia.

Estos

factores

modificadores, pueden ser ocasionales o permanentes (considerando sólo las alteraciones no fraudulentas). Los factores ocasionales pueden ser: las características del dispositivo de recogida, la postura del escribiente, el tipo 21

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

de útil empleado, enfermedades pasajeras, las condiciones climáticas y en especial la temperatura ambiental, reacciones emocionales relacionadas con el motivo del escrito o con vínculos afectivos respecto al destinatario... En

cuanto

los

factores

permanentes

cabe

citar

enfermedades

neurológicas como el parkinson, el alcoholismo crónico y las toxicomanías en general, la demencia senil, dificultades respiratorias, la pérdida de visión, por supuesto la edad, etc.

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

5. Conclusiones Tomando en consideración lo expuesto en el presente Informe, se pueden extraer las siguientes conclusiones: -

Se puede entender por Firma biométrica la información que escribe una persona de su propia mano en un documento con el fin bien de dar autenticidad al documento firmado o expresar que aprueba el contenido del mismo, y a la que se añade el resultado de medir fenómenos o procesos biológicos asociados al proceso de generación de la firma o rúbrica.

La Firma biométrica tienen como finalidades, al menos, que se pueda demostrar que el autor de la firma es quien dice haberla hecho (autenticidad), y que sirva como

método

forma

mostrar

aprobación

sobre

firmado

(consentimiento). -

En el proceso de generación y captación (para su posterior almacenamiento) de la Firma biométrica, los objetivos fundamentales a alcanzar son: 

Obtener garantías de que la firma biométrica generada no se puede reproducir, en su totalidad o de manera parcial, con el fin de evitar el riesgo de su utilización con fines fraudulentos o no.



Obtener garantías de integridad y no alteración de los datos biométricos, ni por su autor ni por ningún tercero, con fines fraudulentos o no, con el objetivo de que puedan utilizarse en sede judicial. A tal fin, lo más recomendable es firmar los datos biométricos con Firma electrónica Reconocida o al menos con Firma electrónica avanzada.

La garantía de eficacia de su eficacia, para los fines señalados, dependerá de la fortaleza de las metodologías y algoritmos de obtención y análisis, de la capacidad para limitar errores o falsos positivos y de la pericia, herramientas, metodología y expertise del perito encargado de su cotejo (en caso de juicio).

El almacenamiento de los datos de Firma biométrica podrá realizarse por medios propios o de un tercero, y en todo caso, deberá respetar las medidas de seguridad establecidas por el RLOPD. 23

FIRMA BIOMÉTRICA: ANÁLISIS JURÍDICO

La aportación en juicio de la Firma biométrica se regirá por las reglas generales de la Prueba, y normalmente requerirá de la generación de un Dictamen pericial, que no necesariamente habrá de ser de un Perito calígrafo.