Blog

Certificación de Documentos Electrónicos

By mayo 20, 2019 No Comments

Leonardo Guzmán. Técnico Profesional en Ingeniería de Sistemas. Jefe de Sistemas y responsable del proyecto tecnológico del Archivo General de la Nación de Colombia 1992-2004. Desarrollador de la versión a español del software Winisis de UNESCO y consultor en automatización de archivos de la OEA para América Latina. Miembro de la Comisión Ad Hoc del Consejo Internacional de Archivos que evaluó para Colombia la Norma Internacional General de Descripción Archivística ISAD(G). Consultor funcional para el proyecto IBERODOC: la oficina sin papeles. Actualmente se desempeña como asesor en proyectos y planes de automatización integral de gestión de documentos.

Resumen:

¿Qué es? ¿En qué consiste? ¿Cómo se aplica? Son estas algunas inquietudes que necesitan respuesta oportuna para poner en práctica una valiosa iniciativa que ayude en la reducción sistemática del uso de papel en la administración. Entendemos la necesidad y propósito de esta práctica -que orientada de forma acertada- permite avanzar en la implementación de eficacia y eficiencia administrativa, reduciendo el consumo de papel. Sin embargo, es indiscutible que se ha fallado en la orientación de uso en el entorno nacional colombiano.

Palabras clave: Certificación de Documentos Electrónicos, Firma Digital, Firma Electrónica, Cero papel.

  1. Introducción

Esta es una visión con enfoque práctico que permite argumentar de forma simple mi posición frente a la Certificación de Documentos Electrónicos. Quiero compartir apreciaciones, mecanismos de uso; interpretaciones legales y sugerir la forma de hacer realidad un uso de estas herramientas mediante un par de conclusiones. Precisamente, una conclusión anticipada es que si la Certificación de Documentos Electrónicos no es aplicada y de uso confiable en las instituciones, la iniciativa de Cero Papel, no van más allá de ser una buena intención, carente de aplicación real y sin resultados prácticos para el País.

  1. Definición

Por definición y con el objetivo de comprender el marco normativo que aplica en Colombia, el Mensaje de Datos es cualquier documento Electrónico: Un texto hecho en Word es un mensaje de datos, al igual que un Excel o que una imagen digitalizada; también una llamada telefónica que ha sido grabada de forma digital, es un mensaje de datos. Certificar significa DAR FE; creer de forma garantizada en el contenido informativo de los documentos –es decir de los mensajes de datos-, conociendo quién, cuándo y en qué contexto se han producido.  Como su nombre lo indica, una Certificación asegura que el documento es de quién dice ser; que nadie lo ha cambiado; que el productor no puede negar que él lo emitió y, por tanto, hacerse responsable de su contenido.  A estos tres aspectos la normativa colombiana los denomina: AUTENTICIDAD, INTEGRIDAD y NO  REPUDIO.

  1. Propósito

La certificación busca que exista confianza entre las partes cuando realizan transacciones que se evidencian mediante el uso de documentos electrónicos. Debido a la interpretación de fácil usurpación (vulnerabilidad -si quiere-), que afecta los documentos creados de forma electrónica, la certificación tiene, en la práctica, una función garantista para el intercambio de información, basada en métodos que permiten otorgar Autenticidad e Integridad. El propósito de certificar documentos se concreta entonces  en garantizar de alguna forma que los documentos electrónicos son auténticos e íntegros.

  1. Referencias jurídicas de Certificación de Documentos Electrónicos

Si queremos garantizar confianza entre las partes que intercambian información basada en documentos electrónicos, lo primero que tenemos que hacer es conocer las líneas jurídicas que en Colombia le confieren esa condición a los documentos. Es decir, tenemos que hablar sobre las normas que le imprimen condiciones de valor jurídico y soporte probatorio para los documentos electrónicos.

Por alguna razón que desconozco, Colombia ha utilizado dos denominaciones para un mismo tipo de funciones de garantía sobre los documentos electrónicos: Firma Digital y Firma Electrónica.  Son dos conceptos que en otros países se utilizan como Firma Electrónica Avanzada y Firma Electrónica Simple, que correspondientemente cumplen los mismos efectos, por lo que utilizaremos las denominaciones nacionales.

La Firma Digital está definida en la Ley 527 de 1999 (hace 15 años) y establece las condiciones de regulación para que los documentos electrónicos gocen de Autenticidad, Integridad y No Repudio. Una característica importante de esta norma, es que establece una Entidad de Certificación como garante de las transacciones documentales, siendo esa entidad quien inserta la fe y da garantía irrefutable sobre los documentos. Es decir, aquí operan tres actores: La Parte 1, la Parte 2 y el Tercero que certifica, en el que ambas partes confían.

Por otra parte, la facultad de uso de la Firma Electrónica es el resultado del Decreto 2364 del Ministerio de Comercio, Industria y Turismo, de diciembre de 2012 (hace 2 años). A diferencia de la Firma Digital, la Firma Electrónica simplifica los aspectos técnicos y establece la misma validez y efectos jurídicos que la firma tradicional, tomando como base acuerdos directos entre las partes. Llama especial atención que el contenido de esta norma cita el documento Conpes 3620 de 2009, recomendando promover el uso de la Firma Electrónica, como esquema alternativo de la Firma Digital, con lo que se simplifica una implementación y se reducen de forma drástica los costos.  Mientras la Firma Digital involucra un Tercero de Confianza, que hace las veces de Entidad de Certificación;  la Firma Electrónica faculta acuerdos entre las partes, para garantizar la confianza, mediante el uso de claves y contraseñas como mecanismos de transacción documental.

En concreto, Colombia dispone de dos (2) alternativas jurídicamente válidas para Certificar Documentos Electrónicos: La Firma Digital y La Firma Electrónica. Las dos se basan en medios tecnológicos de aceptación generalizada, confiable y apropiada para los fines con los cuales se generó y comunicó el mensaje de datos.

Con un marco jurídico definido como mecanismos de certificación de documentos electrónicos, basado en dos opciones alternativas, resta toda una gestión documental y archivística técnica que defina de forma apropiada y particular a cada caso, cuál deberá ser el grado de aplicación en entornos particulares.

  1. Estado del Arte en Colombia

La Certificación de Documentos Electrónicos no es un problema de carácter tecnológico. Esto está técnicamente resuelto a través de mecanismos criptográficos, sistemas de llave pública/privada y soluciones de cifrado complejo, que basados en estándares técnicos, son de aceptación universal. Primera consideración: Certificar documentos electrónicos, entonces, no es un problema tecnológico! Tampoco es un problema jurídico! Como hemos visto, el País se encuentra alineado con los ejercicios de mejores prácticas internacionales, teniendo legalmente válidos dos sistemas de firma para documentos electrónicos: La Firma Digital y la Firma Electrónica.

Si la comunidad dispone de un marco jurídico nacional y existen medios tecnológicos para la certificación de documentos electrónicos, vale la pena entonces preguntar por qué la implementación del Cero Papel y las iniciativas gubernamentales no han logrado eco de aplicación práctica y real en el mundo de la gestión documental en Colombia? Basta preguntar por casos en donde la gestión documental haya cambiado radicalmente del mundo físico al mundo electrónico, en el corto plazo. Qué entidad ha puesto en práctica la Directiva Presidencial 04 de 2012 que estableció tiempo de 6 meses para su aplicación (llevamos año y medio de retraso)? Por qué continúa el Estado produciendo inmensas cantidades de papel cuando todo, absolutamente todo, se genera electrónicamente?

Aquí unas respuestas a estos interrogantes:

  • LA CULTURA DEL PAPEL. De manera infortunada para los propósitos de la certificación de documentos electrónicos, tengo que decir que nos gusta, a todos, sentir el documento. Tenemos la concepción –errada- que si no hay un documento tangible de por medio, corremos un enorme riesgo en nuestra transacción. Desconfiamos –no sin algo de razón- de la seguridad informática que nos brindan los sistemas actuales. Conozco de proyectos en donde los Email se imprimen, es decir se bajan a papel y sobre éstos se aplican técnicas de organización. Tengo que mencionar de forma especial, mi percepción cuando veo que muchos archivistas requieren del papel para aplicar Procedencia y Orden Original, pasando por Clasificar y Describir. Es como si la teoría archivística se debilitara conceptualmente cuando el papel desaparece, llegando incluso a preguntarnos cuál es el tiempo de retención de un documento, por el solo hecho de estar soportado electrónicamente. Lo sabemos si tenemos el papel; pero si el soporte es electrónico, dudamos frente a la retención y/o valoración. Lo más preocupante de esta respuesta no es la cultura y el tiempo que tardemos en asimilar la nueva forma en que se manifiesta la información, sino lo dispuestos que estamos para asumir la realidad de producción y salir de la “comodidad del manejo del papel, dejando de lado los argumentos que usamos para NO trabajar con documentos electrónicos: la información no es segura; los documentos se pueden cambiar; nadie puede garantizar la permanencia de la información; los entes de control solo piden papel; los jueces creen únicamente en el soporte físico, etc.
  • MITIFICACIÓN DEL FIRMADO ELECTRÓNICO. El uso de firmas (digitales/electrónicas) se ha convertido desde sus inicios en un mito que no hemos podido asimilar de manera concreta y práctica. Muchos desconocemos la forma en que se hace y por consiguiente no entendemos cómo aplicar principios seguros de uso. La reducida oferta de mercado de Entidades de Certificación desde 1999; la poca o nula comprensión por parte de los responsables de la toma de decisiones corporativas para ir hacia la Oficina Sin Papeles; el bajo nivel de uso de técnicas criptográficas en la gestión documental tradicional, hace excepcionalmente útiles los ejemplos del sector financiero, que sí pudo enfrentar, culturizar e instrumentar sus transacciones, de modo tal que hoy por hoy, cualquier usuario, de cualquier nivel, tiene un dispositivo y un mecanismo de firma válido jurídicamente para interactuar con su respectivo banco. En el sector documental y archivístico, especialmente de la línea Estatal, seguimos siendo cautos –mucho para mí gusto-y faltos de osadía para incursionar en un mundo de gestión electrónica, que es la realidad documental que vive nuestro país desde hace casi tres décadas. La firma electrónica/digital es un mito al que le tenemos miedo o prevención, desde las propias instituciones, hasta los usuarios finales. No entiendo por qué si funciona en el sector financiero?
  • PROPOSITOS COMERCIALES. De cara a la firma electrónica de documentos el tema es polémico porque está mitificado. Pienso que en Colombia han existido afanes comerciales, que benefician el sector de oferta para firmas, que mal contadas son tres entidades a nivel nacional. A esto se suma la redacción genérica de las normas, que aparentemente “obligan” que los mensajes de datos  -todos-, es decir TODOS los documentos, deben estar firmados digitalmente. Esta tesis ha persistido, incluso luego de la expedición del Decreto 2364 de 2012, con lo que las Entidades interesadas y las necesidades obligadas, tienen un solo camino de opción y es pagar por cada firma asociada a un documento. Solo pido que piensen en la cantidad de documentos que puede producir el Estado en un día y multipliquen por el valor de cada firma asociada a un documento, para que puedan entender un propósito comercial en manos de particulares. Siempre me he preguntado Dónde está la Entidad de Certificación Estatal? Tienen las Entidades  la posibilidad de autocertificarse? Porqué un Tercero de Confianza de carácter privado tiene que “avalar” las transacciones documentales entre el mismo Estado? Creo que estas preguntas requieren respuestas concretas y oportunas, es decir, inmediatas.
  • CICLO DE LO ABSURDO. Desde hacer más de 30 años, la producción documental en Colombia es de carácter electrónico, o como se dice ahora, “nacido digital”. El ambiente público y privado, está creando sus documentos con base en sistemas informáticos: Los Contratos; las Actas; los Recibos; los Estudios; los Proyectos, todo se genera electrónicamente. Del mismo modo, la totalidad de las entidades lo imprime para darle trámite y organización documental. El documento entonces, se firma tradicionalmente en papel y toma un flujo de actividad hasta que finaliza y se traslada como documento en fases archivísticas precauciónales quedando en Archivos de Gestión o Archivos Centrales. Las Entidades, al ver el cúmulo de documentos en papel, optan por digitalizarlos, invirtiendo grandes cantidades de recursos. Si esta consideración es cierta, que lo es, observen que el documento nació digital; se imprimió por alguna razón; tramitó y se archivó en papel, para tiempo después pagar a un tercero para que lo vuelva a la forma original, es decir digital. Cuál es el sentido de existencia, entonces, de la certificación electrónica? La posibilidad de firma está disponible jurídica y tecnológicamente desde 1999, pero a la fecha actual, seguimos trabajando en este ciclo de lo absurdo.
  • NORMATIVIDAD y GUIAS. La normativa existente es ambigua y difícilmente aplicable a la realidad documental del País. La falta de claridad confunde a los potenciales interesados y la postergación reglamentaria deja en suspenso la forma en que se debe hacer la implementación. Las directrices impartidas hablan de tiempos para su aplicación, pero nunca escapan de los comodines de reglamentación que vendrá. Esto genera incertidumbre en las Entidades y perentoriedad en el cumplimiento, obligando a que cada cual haga lo que considere oportuno, todos con las mejores intenciones de cumplir los mandatos normativos.

Por otra parte, me parece poco acertado el enfoque diferencial que se está presentando en el tratamiento de los documentos tradicionales, confrontado con el tratamiento de los documentos electrónicos. Me llego a confundir si es que hay dos formas técnicas de organizar archivísticamente la documentación. El PGD –Programa de Gestión Documental-  es el mismo, sean documentos físicos o documentos electrónicos. La organización de los expedientes obedece a los mismos criterios técnicos, sean los documentos físicos o electrónicos. Por naturaleza el soporte le es indiferente a la definición de archivo. El reto actual es, precisamente, aprender a administrar y controlar los documentos como se están produciendo en la realidad, es decir, en formato electrónico y/o soporte informático. A eso es a lo que se tienen que enfrentar los archivistas actuales. Los expedientes ahora son híbridos: están conformados por papel y otros soportes, entre ellos los electrónicos. Nadie va a imprimir todo; ni nadie va a digitalizar todo. Los principios archivísticos subsisten a la naturaleza de los soportes y no deben existir enfoques diferenciales para la organización conceptual de los documentos, sean estos físicos o electrónicos.

  1. Conclusiones

Mientras no entendamos, no vamos a hacer uso de las funcionalidades de la Certificación de Documentos Electrónicos. Mientras no hagamos uso de la certificación de documentos electrónicos, tendremos argumentos válidos para seguir imprimiendo y manejando tradicionalmente los documentos, con lo que se hace inviable la iniciativa del Cero Papel y las consecuencias lógicas de Eficiencia y Eficacia administrativa.

Colombia dispone de marco jurídico y tecnología que permite aplicar la certificación de documentos, pero esta no es una realidad de uso en la gestión documental cotidiana de las entidades.

La aplicación de Certificación de Documentos Electrónicos es absolutamente baja, comparada con el tiempo de disponibilidad tecnológica y expedición de la normativa legal.

Vendría bien analizar los tiempos de utilidad de la firma, porque podemos estar enfocados en una complejidad de preservación innecesaria, aunque tecnológicamente viable.

Puede resultar útil privilegiar el uso de metadatos, trazabilidad y auditoría, en lugar del cifrado y encriptación de documentos, especialmente si ya se ha concluido el trámite.

Creo firmemente en la necesidad de modernizar los instrumentos archivísticos, especialmente el de Tabla de Retención Documental, como mecanismo para tipificar los documentos y determinar la clase de firma que aplica en cada uno de ellos.

La iniciativa del Cero Papel no tendrá posibilidades mientras haya desconfianza y poca claridad en el proceso.  A este propósito ayudaría mucho la expedición de una normatividad simple, práctica y de rápida aplicación.

  1. Consecuencias para los archivos históricos

A pesar de la existencia tecnológica que habilita la existencia de firmas electrónicas longevas (XAdes PAdes, CAdes), y más allá del  beneficio que representan para hacer de la iniciativa Cero Papel una realidad, me permito proponer, en relación a la documentación con valor permanente que actualmente se genera en formatos electrónicos, se analice la posibilidad de no llevar firmas (de ninguna naturaleza) al Archivo Histórico. Si bien la firma es un componente importante en ciertos documentos y para determinadas transacciones, lo cierto es que la utilidad y conveniencia se presenta en un momento de tiempo determinado, que no es precisamente el de archivo; por el contrario es en la etapa transaccional cuando resulta útil a los intereses de las partes. Una vez ésta etapa finaliza y existen decisiones y acuerdos, la firma pierde un alto grado de relevancia frente al documento. La información relativa a firma y cifrado de documentos bien pueden almacenarse como metadatos que evidencien esa gestión administrativa, y que en su momento garantizó la autenticidad e integridad en el trámite, pero no es estrictamente necesaria la conservación activa y validación de firmas, dados los altos riesgos de accesibilidad que pueden representar en el futuro de custodias archivísticas permanentes.

tel+57 1 295 03 05