Desde hace unos años, Odoo propone un módulo Enterprise para poder gestionar documentos a firmar de forma senzilla integrado con la herramienta. Cuando lo estudiamos a fondo, surgen dudas que consideramos necesario abordar en este momento.
Normativa legal de las firmas
En el ámbito de la firma digital, existen varias normativas, siendo las más relevantes eIDAS (en Europa) y el Acta US ESIG (en Estados Unidos). Intentaremos explicar de forma más específica el eIDAS, ya que es más restrictiva y, por lo tanto, englobaría el Acta US ESIG.
El Reglamento (UE) Nº 910/2014, conocido como eIDAS (Electronic Identification, Authentication and Trust Services), es una legislación de la Unión Europea que establece un marco para la identificación electrónica y servicios de confianza en las transacciones electrónicas. Este reglamento entró en vigor el 1 de julio de 2016 y reemplazó a la Directiva 1999/93/CE sobre firmas electrónicas. De hecho, propone tres tipos de firma distintos:
- Firma Electrónica Simple (SES): La firma electrónica simple es el nivel más básico de firma según eIDAS. Se trata de datos en forma electrónica adjuntos a un mensaje o documento que sirven como método para identificar al signatario. La firma electrónica simple no tiene requisitos específicos en cuanto a su seguridad, pero su uso es generalmente aceptado en transacciones electrónicas.
- Firma Electrónica Avanzada (AEA): La firma electrónica avanzada es un nivel intermedio que incorpora medidas adicionales de seguridad para garantizar la autenticidad del signatario y la integridad del documento firmado. Para considerarse una firma electrónica avanzada, debe estar vinculada de manera única al signatario, ser capaz de identificar a este último, y cualquier cambio posterior en los datos firmados debe ser detectable.
- Firma Electrónica Cualificada (QES): La firma electrónica cualificada es el nivel más alto de firma según eIDAS y tiene la misma validez legal que una firma manuscrita. Para ser considerada cualificada, la firma electrónica debe cumplir con ciertos estándares y estar respaldada por un dispositivo cualificado de creación de firmas electrónicas. Además, debe estar basada en un certificado cualificado de firma electrónica emitido por un prestador de servicios de confianza cualificado.
Debemos tener en cuenta que la Firma Electrónica Qualificada, aunque es la más restrictiva sólo tiene sentido en entornos de extrema seguridad. De hecho, el propio reglamento nos dice en su artículo 25:
"No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada."
Por lo tanto, podemos usar en la mayoría de los supuestos este tipo de firmas avanzadas.
Firma electrónica Avanzada: requerimientos
Para que una firma electrónica se considere avanzada de cumplir lo siguiente:
- Estar vinculada al firmante de manera única.
- Permitir la identificación del firmante.
- Haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo.
- Estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
En resumen, debemos poder asegurar que la persona que firma es la que firma, que tienen cierto control sobre la herramienta para evitar que les suplantemos o les ocultemos información y que no se podrá modificar la información firmada.
Odoo y la firma electrónica avanzada
Odoo nos propone en su versión enterprise un sistema para poder enviar documentos para firmar. Desglosaremos ahora cada uno de los puntos para ver exactamente como funciona.
- Identificación única del firmante: A priori, Odoo nos propone un sistema para añadir una firma manuscrita, pero dicha firma está almacenada como imagen y no almacena los datos mínimos para ser considerada biométrica, también solicita geolocalización, pero dicha información no tiene por que ser exacta. De todas formas, podríamos asegurar la identificación del usuario usando un sistema OTP.
- Control de la herramienta: Al permitir hacerlo desde su ordenador o teléfono móvil estamos abriendo dicha funcionalidad.
- No modificación posterior: Odoo recoge todos los cambios y crea un sistema de hashing en el que si alteramos los datos nos encontraremos que todos los datos quedaran marcados. Además, al enviar las marcas de tiempo al usuario nos aseguramos que no podemos trucar los datos anteriores.
Por lo tanto, la firma de Odoo Enterprise es válida siempre y cuando utilicemos un sistema OTP. Es decir, que se le envíe al usuario un SMS con un código que luego ellos nos escribirán en el sistema. Esta forma de identificación solo sirve en países en los que para obtener un tarjeta SIM requieran un identificador personal, ya que estamos traspasando la identificación al número de teléfono.
OCA y la firma electrónica avanzada
Durante los últimos meses, la OCA ha estado trabajando en la creación de módulos alternativos a Odoo Enterprise que también pudieran ser considerado Firma Electrónica Avanzada. De inicio no cumplía todos los requisitos y debería ser considerado Firma Electrónica Simple. De todas formas, en los últimos tiempos se está trabajando en mejoras sustanciales que podrían permitir afirmar que son firmas electrónicas avanzadas. En próximos posts intentaremos profundizar en la solución propuesta por la OCA.