Known Risks
Riesgos Conocidos
Known Risks
Solutions for the management and delivery of electronic documents that DO NOT have a qualified electronic signature device.
What use is a signature to us if it is not possible to guarantee, with full legal certainty, whether it is valid or not?
When the product provider lacks this verification device, it usually gives its clients the use of Acrobat as an alternative.
The Adobe Acrobat Reader ® itself in its DISCLAIMER warns about the shortcomings of its validation system and disclaims all responsibility.
Read +
You must know that an electronic signature has a limited validity in time. The validity is not established by the expiration of the certificate that was used in its preparation, its validity is associated with the signature modality.
The legal and technical regulations determine that in order to achieve a long-term signature (more than 15 years), certain technical requirements must be met.
Must include:
- Certificates used in its preparation.
- OCSP Response
- Time Stamping
Read +
With an argument based on the lack of knowledge of many users, the concept of electronic signature is arbitrarily used.
The eIDAS Regulation establishes that it is the standards published by ETSI that can receive such a name in a field of security and legal effectiveness. By Commission Execution Decision (EU) 2014/148/EU, in the member countries of the Union, those that comply with AdES (Advanced Electronic Signature) signature formats are established as signature formats.<
Certain legal acts require the use of specific signature formats. Before using an electronic signature system, consult an expert lawyer in legal technology.
Read+
The Civil Procedure Law allows the use of almost any element as evidence. The business argument is freely used that a solution issues evidence that can be used as evidence in court, logically avoiding the use of entering into the assessment of true legal effectiveness.
True experts know that what the user really needs is evidence that offers legal effectiveness What use is evidence that lacks legal effectiveness?
Consult your lawyer before making a decision that could cause a systemic problem for your company.
Read +
This “trusted third party” figure has been repealed. Therefore, our legal system only contemplates the provision of certified delivery service when it is carried out by qualified providers of trust services that operate under the regulation of the eIDAS Regulation.
Read +
Keep in mind that sending fake SMS or WhatsApp is very easy, and computer experts know it. For example, search your app store for “free fake sms” and download one of several existing apps, one possible one is “Fake SMS”.
In order to consider these communications as an element with probative value, the High Court of Justice of Galicia, Social Chamber, nº 556/2016, of 01/27/2016, Rec. 4577/2015, has established four assumptions to accept a conversation or message of this type as a document:
- When the interlocutor of the conversation does not contest the conversation;
- When you expressly acknowledge said conversation and its content;
- When its reality is verified by comparing it with the other terminal involved (display); or,
- When an expert test is carried out that proves the authenticity and sending of the conversation, for a different assumption from the previous ones.
Read +
The legislation on data protection is clear and precise regarding the obligations of the data controller, it assumes the responsibility of exclusively using providers that have the capacity and knowledge to comply with the obligations and security measures.
Furthermore, when new technologies are used, tools that have prepared an Data Protection Impact Assessment (EIPD) with a low risk level result must be used.
Read +
Yes, as long as they have received the appropriate treatment.
As with all electronic information, audit trails must be preserved, guaranteeing their security: integrity, origin and accessibility.
Check that your supplier has the necessary security measures, for example, they are qualified to provide qualified long-term electronic document preservation services, they are certified in ISO 27001 Information Security.
Read +
You have to be very careful when you find texts that mix concepts like,
- Call dynamic signature, biometric signature;
- Qualify the biometric signature as an advanced electronic signature;
- Associate "digital signature" to the signatures of the eIDAS legal environment and use the term "electronic signature" to any other technique that has the purpose of recording an expression of consent. It is not surprising that this lack of knowledge is suffered even in large organizations, especially those whose parent is USA. and its legal regulations are totally different from those of the EU.
The dynamic signature, behavioral pattern capture is considered biometric data processing expressly prohibited by the RGPD.
Read +
Riesgos Conocidos
Soluciones de gestión y entrega de documentos electrónicos que NO disponen de un dispositivo cualificado de firma electrónica.
¿De qué nos sirve una firma si no es posible garantizar, con plena seguridad jurídica, si es o no válida?
Cuando el proveedor de producto carece de este dispositivo de verificación suele dar como alternativa a sus clientes el uso de Acrobat.
El propio Adobe Acrobat Reader ® en su DISCLAIMER apercibe sobre las carencias de su sistema de validación y se exime de toda responsabilidad.
Leer +
Vd. tiene que saber que una firma electrónica tiene una validez limitada en el tiempo. La vigencia no viene establecida por la caducidad del certificado que se utilizó en su elaboración, su vigencia está asociada a la modalidad de firma.
Las normas legales y técnicas determinan que para lograr una firma de larga vigencia (superior a 15 años) se tienen que cumplir determinados requerimientos técnicos.
Debe incluir:
- Certificados empleados en su elaboración.
- Respuesta OCSP
- TimeStamping
Leer +
Con un argumento basado en la falta de conocimiento de muchos usuarios, se llega a utilizar de forma arbitraria el concepto firma electrónica.
El Reglamento eIDAS establece que son las normas publicadas por ETSI lo que puede recibir tal denominación en un ámbito de seguridad y eficacia jurídica. Por Decisión de Ejecución de la Comisión (UE) 2014/148/UE, en los países miembros de la Unión se establece como formatos de firma aquellos que cumplen con AdES (Advanced Electrónic Signature) de firma.
Determinados actos jurídicos requieren el empleo de formatos específicos de firma. Antes de utilizar un sistema de firma electrónica consulta a un abogado experto en tecnología legal.
Leer +
La Ley de Enjuiciamiento Civil permite utilizar casi cualquier elemento como prueba. Se utiliza libremente el argumento comercial que una solución emite evidencias que pueden ser utilizadas como prueba en juicio, obviando lógicamente emplear entrar en la valoración de la verdadera eficacia jurídica.
Los verdaderos expertos sabemos que el usuario lo que realmente necesita es una evidencia que ofrezca eficacia legal ¿De qué servirá una prueba que carece de eficacia legal?
Consulta a tu abogado antes de tomar una decisión que te puede causar un problema sistémico para tu empresa.
Leer +
Esta figura “terceros de confianza” ha sido derogada. Por tanto, nuestro ordenamiento jurídico solo contempla la prestación de servicio de entrega certificada cuando es realizada por prestadores cualificados de servicios de confianza que operan bajo la regulación del Reglamento eIDAS.
Leer +
Ten en cuenta que enviar SMS o WhatsApp falsos es muy sencillo, y los peritos informáticos lo saben. Por ejemplo, busca en tu app store “sms falso gratis” y descarga una de las diversas aplicaciones existente, una posible es “Fake SMS”.
Para considerar estas comunicaciones como elemento con valor probatorio, el Tribunal Superior de Justicia de Galicia, Sala de lo Social, nº 556/2016, de 27/01/2016, Rec. 4577/2015, ha establecido cuatro supuestos para aceptar como documento una conversación o mensaje de este tipo:
- Cuando la parte interlocutora de la conversación no impugna la conversación;
- Cuando reconoce expresamente dicha conversación y su contenido;
- Cuando se compruebe su realidad mediante el cotejo con el otro terminal implicado (exhibición); o,
- Cuando se practique una prueba pericial que acredite la autenticidad y envío de la conversación, para un supuesto diferente de los anteriores.
Leer +
La legislación en materia de protección de datos es clara y precisa en lo concerniente a las obligaciones del responsable de tratamiento de datos, asume la responsabilidad de utilizar exclusivamente proveedores que tienen la capacidad y el conocimiento de cumplir con las obligaciones y medidas de seguridad.
Además, cuando se emplean nuevas tecnologías se deben de utilizar herramientas que han elaborado una Evaluación de Impacto en Protección de Datos (EIPD) con resultado de nivel de riesgo bajo.
Leer +
Sí, siempre y cuando hayan recibido el tratamiento adecuado.
Como toda información electrónica, las trazas de auditoría deben de mantenerse conservadas garantizando su seguridad: integridad, origen y accesibilidad.
Comprueba que tu proveedor dispone de las medidas de seguridad necesarias , p.ej. está cualificado para prestar servicio de conservación cualificado de documentos electrónico a largo plazo, está certificado en ISO 27001 Seguridad de la Información.
Leer +
Tienes que ser muy cauto cuando te encuentras textos que mezclan conceptos como,
- Llamar a la firma dinámica, firma biométrica;
- Calificar a la firma biométrica como firma electrónica avanzada;
- Asociar “firma digital” a las firmas del entorno legal eIDAS y, utilizar el término “firma electrónica” a cualquier otra técnica que tenga como fin dejar constancia de una expresión de consentimiento. No es de extrañar que esta carencia de conocimiento se padezca incluso en grandes organizaciones, especialmente en aquellas cuya matriz es EE.UU. y su normativa legal es totalmente distinta a la de UE.
La firma dinámica, captura del patrón conductual está considerado tratamiento de datos biométricos expresamente prohibido por el RGPD.
Leer +