Habitualmente, la facilidad de uso de una aplicación se opone a su seguridad y, en concreto, a la relativa a la privacidad del usuario. Un ejemplo de ello se puede encontrar en la aplicación WhatsApp: ¿Puede WhatsApp basar de forma segura la identificación de usuario exclusivamente en su número telefónico, como ha hecho de forma ineludible hasta fecha muy reciente? Sin duda, la respuesta es no, ya que el usuario al que un operador de red asigna un determinado número de teléfono puede dejar de tenerlo asignado y, de hecho, lo deja de tener frecuentemente. Por ejemplo, cuando el usuario se da de baja en el operador sin ejercer su derecho a la portabilidad o cuando una tarjeta SIM de prepago se deja de recargar durante un periodo superior al admitido por el operador.

Al quedar libre por cualquier razón el número asignado al usuario, el operador de red lo asignará de nuevo en un periodo de tiempo probablemente no muy grande, dada la escasez de numeración disponible.

Una de las consecuencias negativas que se derivan de ello, dada la implementación de la aplicación WhatsApp, es que, si el usuario anterior no ha tenido la precaución de darse de baja en dicha aplicación, cuando el nuevo usuario se dé de alta en ella sin activar la verificación opcional de la identidad mediante código de 6 dígitos recientemente introducida (verificación en dos pasos), WhatsApp no tendrá manera de saber que se trata de un nuevo usuario y le descargará datos personales del anterior, tales como su foto, sus chats o los contactos participantes en estos chats, con los que el nuevo usuario podría, si quisiese, seguir manteniendo conversaciones sin que aquellos advirtieran que el usuario real ha cambiado[1]. Esto, además de ser una cesión no consentida de datos por parte de WhatsApp, de cuya posibilidad desde luego no advierte en su Política de Privacidad, lo que sería sancionable ya con la legislación actual, supone un ejemplo evidente de negación de los principios de protección de datos desde el diseño y por defecto del RGPD, ya que no es admisible semejante agujero de privacidad sin haberlo advertido en un mínimo análisis durante la fase de diseño de la aplicación.

Es evidente que un número telefónico no puede ser un identificador único de usuario, máxime teniendo en cuenta que la aplicación es de uso global y que la asignación de números telefónicos está sometida a las diferentes condiciones existentes en la normativa de cada país. Si se prioriza la protección de datos desde que se comienza el diseño de una aplicación, como es preceptivo según el nuevo RGPD, es necesario establecer un método suficientemente robusto para evitar la suplantación de identidad, incluso inadvertida para el propio “suplantador”. Por ello, la verificación en dos pasos de la identidad debería ser preceptiva, en lugar de ser opcional como lo es actualmente.

Otra consecuencia negativa para el funcionamiento de WhatsApp, también derivada de identificar al usuario únicamente por su número telefónico, consiste en la posibilidad de mantener inadvertidamente conversaciones con alguien desconocido a quien hayan asignado el número telefónico de un contacto nuestro que ha abandonado dicho número sin darse de baja en WhatsApp. Sería de nuevo aplicable la anterior nota a pie de página si se ha habilitado la detección.

Durante el año pasado hemos asistido a una intensa campaña por parte de WhatsApp para ser percibido como un adalid de la privacidad en base a la inclusión del protocolo Signal para el cifrado de mensajes extremo a extremo, manifestando que nadie al margen de los interlocutores de un mensaje, ni siquiera el propio WhatsApp, puede acceder a su contenido. Esto, visto lo anterior, además de tratarse de una pura cuestión de fe mientras su software cliente no sea abierto, ya que ese software presenta el contenido del mensaje en la pantalla del terminal y por tanto existe la posibilidad de que lo cifre también con otra clave, lo transmita donde quiera, o haga lo que le venga en gana sin advertir de todo ello al usuario, es como tener una caja fuerte con otra puerta a la calle sin cerradura.

[1] Tan sólo podrían percibir que el usuario ha cambiado de terminal, siempre que haya habilitado en la configuración de su app esa opción que no lo está por defecto.

Del uso tan dispar de la firma electrónica en uno y otro ámbito surgen situaciones paradójicas, como aquellas en las que se realiza una presentación telemática ante la Administración de documentos que atañen a relaciones jurídicas de índole privada. Tal es el caso de la legalización de los libros correspondientes al ejercicio social que todo empresario debe realizar anualmente en el Registro Mercantil. Actualmente, ya es obligatoria la presentación telemática de dichos libros mediante la firma electrónica cualificada del empresario, llevada a cabo tanto sobre la instancia de presentación, como sobre el archivo en formato zip que contiene los ficheros con los libros a legalizar. Entre éstos, además de los libros contables del ejercicio finalizado, se incluyen los libros de actas de las reuniones mantenidas por los órganos colegiados de la sociedad, que obviamente deberán cumplimentarse en formato electrónico para permitir su envío de forma telemática. Hay que tener en cuenta que estas actas, en el caso de un consejo de administración, deben ser firmadas, según la Ley de Sociedades de Capital, por el presidente y el secretario del consejo y, en el caso de una junta universal, según el Reglamento del Registro Mercantil, por todos los socios.

La cuestión es cómo se incluyen estas firmas en el documento electrónico privado. El Registro Mercantil admite como documento electrónico a legalizar la imagen escaneada del acta firmada de forma manuscrita. Se podría argumentar que, al escanearse, estas firmas son ya firmas electrónicas, pero evidentemente no se trata de firmas electrónicas cualificadas, ni siquiera son avanzadas, y no resultan equiparables a efectos de prueba a la firma manuscrita original.

Por tanto, cualquier acta del libro de actas legalizado, que debe de servir como elemento probatorio en sede judicial conforme al artículo 327 de la LEC, sería susceptible de ser impugnada por alguien que negara que alguna de las firmas de la imagen escaneada del acta, por muy legalizada que esté por el Registro Mercantil, sea legítima, de forma que la carga de la prueba de la legitimidad de la firma va a recaer sobre la sociedad mercantil, por lo que ésta debería, para tener éxito en su acción probatoria, conservar el original en papel con las firmas manuscritas, lo que no deja de resultar paradójico en un entorno completamente digitalizado. Hay que tener en cuenta a este respecto, que no son infrecuentes los casos de falsificación de actas mercantiles y que resulta de una enorme facilidad escanear una firma a partir de otro documento legítimo y pegarla sobre la imagen escaneada y editada del acta.

La solución evidente a esta problemática es sustituir en estos documentos privados, como las actas del ejemplo anterior o cualquier otro documento o contrato entre personas físicas y/o jurídicas, la firma escaneada por la firma electrónica cualificada. Teniendo esto en cuenta, cabría preguntarse por qué ésta última no se está utilizando apenas en este tipo de documentos, máxime en el caso del ámbito mercantil en el que la utilización de los certificados electrónicos es obligatoria, entre otros, en los trámites tributarios. La respuesta a esta pregunta puede atribuirse a muchas y variadas razones, unas jurídicas, otras técnicas y algunas culturales y sociales, como la inveterada inercia al cambio en la manera de hacer las cosas.

Entre las razones técnicas, cabe destacar, en mi opinión, la escasa disponibilidad de lectores de tarjeta para acceder al DNI-e o a cualquier otra tarjeta criptográfica con capacidad para realizar firmas electrónicas cualificadas, así como la dificultad de consensuar y de acostumbrarse a utilizar entornos software de amplia aceptación para la realización de firmas electrónicas en cualquier tipo de documento privado. En este sentido, hay que tener en cuenta que, a diferencia de los documentos privados, en los trámites administrativos se acepta entre otros sistemas, conforme a la Ley 11/2007, la firma electrónica avanzada, evitándose así la necesidad de usar lectores de tarjetas, y el entorno software de realización de firma viene dado por la propia aplicación web proporcionada por la Administración.

Además, una vez realizado el trámite administrativo, no es necesario volver a validar la firma electrónica, ya que el órgano de la Administración certifica la realización del trámite con su fecha y hora mediante la inserción en el documento electrónico de un código seguro de verificación. En contraposición a ello, los documentos privados se suelen firmar con vocación de permanencia en el tiempo, necesitándose habitualmente validar la firma en momentos muy posteriores a su realización.

Debido a esto último, hay otra razón que implica una dificultad de implantación de la firma electrónica en el ámbito privado, desde mi punto de vista, mayor, ya que afecta a la confianza de los firmantes en la validez de sus firmas electrónicas, y que tiene una raíz de índole jurídica: la Ley de Firma Electrónica, aunque en su artículo 20.1.f obliga a los prestadores de servicios de certificación que expiden certificados reconocidos a conservar durante 15 años, contados desde su expedición, los datos de un certificado reconocido, sin embargo, en su artículo 10.4 sólo obliga a mantener accesible el servicio de consulta sobre la vigencia de un certificado hasta la fecha en que hubiera finalizado su período inicial de validez. La consecuencia de ello, es la imposibilidad práctica de validar online una firma electrónica cualificada después de que el certificado con el que se firmó haya caducado y, en cualquier caso, la imposibilidad absoluta de tener la garantía de validarla transcurridos 15 años desde la emisión del certificado electrónico. Una forma de superar este impedimento y permitir que una firma electrónica cualificada perdure en el tiempo, consiste en la realización de la firma conforme al estándar PAdES LT (Long-Term) de ETSI (European Telecommunications Standards Institute). Pero para ello resulta necesario, entre otros requisitos, la incorporación de servicios de marcas o sellos de tiempo por parte de un proveedor de servicios de confianza, servicios que no suelen ser fácilmente accesibles ni gratuitos.

Como un posible remedio a la anterior dificultad, el Reglamento Europeo 910/2014 o eIDAS, que va a ser ya aplicable en su mayor parte a partir del próximo 1 de julio, dejando inaplicable, que no derogada, la Ley de Firma Electrónica en todo aquello que contradiga al Reglamento, obliga en su artículo 24.4 a los prestadores cualificados de servicios de confianza que expidan certificados cualificados, a proporcionar a cualquier parte usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos “en cualquier momento y con posterioridad al periodo de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente”. De esta forma, debería resultar factible sin mayor dificultad la validación de una firma electrónica cualificada, que se haya realizado con un certificado cualificado expedido con arreglo a dicho Reglamento, en cualquier momento, incluso posterior a la vigencia del certificado.

El tiempo dirá si la aplicación del Reglamento eIDAS, además de favorecer el uso transfronterizo interno a la UE de la identificación electrónica y de los servicios de confianza, que es su principal objetivo, resulta o no decisiva para incrementar significativamente la utilización de estos servicios en el marco de las relaciones jurídicas privadas.