Construíndo a identidade dixital


Ya mencioné hace unos días mi participación en el evento Construyendo la identidad digital que tuvo lugar el 26 de enero de 2011 impulsado por el Colexio Profesional de Enxeñaría en Informática de Galicia y la Xunta de Galicia.

Relacionada con aquel evento se preparó una publicación (que elaboró la consultora Bahía Software) con reflexiones de los participantes en el evento sobre la posible evolución de la firma electrónica en un país tan puntero en ese tema como es España. Lo que sigue a continuación es la sección dedicada a Albalia Interactiva y a mi persona. En el enlace de más arriba se puede obtener el documento completo.

Albalia Interactiva

Albalia Interactiva é unha empresa de Consultaría e Servizos, de capital español, creada en 1997, con experiencia en ámbitos de alta tecnoloxía bancarios e de telecomunicacións.

Entre as súas especializacións están a seguridade, sinatura electrónica, factura electrónica, Administración electrónica, banca electrónica, medios de pagamento e mobilidade.

O enfoque seguido é de “Tecnoloxía Legal”. É dicir, Albalia leva a cabo un intenso seguimento de todos os avances lexislativos que teñen implicacións tecnolóxicas no ámbito tanto das entidades financeiras coma noutros tipos de empresas nos que este enfoque sexa significativo. Deste xeito descóbrense interesantes posibilidades que poden ser aproveitadas polas entidades máis avanzadas ou máis preocupar polo servizo ao cliente e, noutras ocasións, identifícanse normas que implican obrigas para as entidades, o que se engloba nas necesidades de “Compliance” ou cumprimento normativo.

Albalia Interactiva desenvolve proxectos de Hacking Etico mystery shopping, Factura electrónica, UBL, XBRL, Siantura electrónica, Mobipay, DNI dixital, PDF intelixente, Voto electrónico, LOPD-LSSI, UNE 71502, ISO 17799, UNE 166001 e 166002, e-notario créditos persoais, e-notario hipotecario, tarxetas intelixentes, PKI, Single Sign On, Evidencias Electrónicas e Análise Forense.

Entrevista a Julián Inza

 “O noso valor engadido fundamental é a seguridade xurídica que achegamos en todos os procesos con documentos dixitais”

O presidente de Albalia Interactiva destaca como peculiaridade da compañía a sinerxía con empresas do grupo, en función das accións que realiza: de consultoría,de formación e de desenvolvemento de produtos e servizos.

Para Inza a complexidade das implementacións prácticas do uso do DNI electrónico están a atrasar o cambio esperado respecto ao descoñecemento ou indiferenza da cidadanía ante a certificación dixital.

A seguridade xurídica que ofrece Albalia Interactiva en todos os procesos nos que poida aplicarse a sinatura electrónica e certificación dixital é, segundo o presidente da entidade, Julián Inza, o valor engadido fundamental da marca. O grupo de consultoría e servizos relacionados coa certificación dixital e as novas tecnoloxías nace en 1997, como Libraría Interactiva. En 2003 créase Albalia Interactiva, enfocándose na consultoría técnica e xurídica e no desenvolvemento de solucións de seguridade, e a Libraría Interactiva transfórmase en Atenea Interactiva, a empresa do grupo especializada en formación. Albalia especialízase na seguridade, sinatura, factura, administración, comercio e banca electrónicas, así como en medios de pagamento e mobilidade. En 2009 nace EADTrust, a terceira empresa do Grupo, como PSC, Prestador de Servizos de Certificación. Especialmente dende 2003 o seu perfecto coñecemento da lei e da súa aplicación foi a clave da empresa, que ofrece aos seus clientes e usuarios esa seguridade xurídica en todas as súas accións. Ademais, outro valor que ofrece a compañía é o seu traballo como consultora e auditora en dixitalización certificada para empresas que desexan homologar as súas solucións ante a Axencia Tributaria. O proceso crea documentos dixitais a partir dos de papel e co seu mesmo valor. Ou, noutros contextos, é posible crear documentos que nacen de sinatura electrónica preservando o máximo valor probatorio, mesmo en instancias xurisdicionais centradas na presentación de probas en formato papel. “Podemos garantir que un documentoelectrónico ben xestionado iguala e supera en valor probatorio a un papel”, explica Julián Inza.
Unha das peculiaridades do Grupo Interactiva é a súa organización estruturada en función das accións que realiza. Deste xeito, Albalia céntrase na consultoría, auditoría e prestación de servizos; Atenea Interactiva oriéntase á formación; e EADTrust é un PSC que usa e comercializa en forma de servizos os produtos desenvolvidos por Albalia. Segundo explica o presidente da compañía, o coñecemento e formación que ofrece Atenea céntrase especialmente nos campos da factura, sinatura e administración electrónicas, ademais de abordar calquera novidade legal relacionada directa ou indirectamente coa certificación dixital. O extenso e intenso labor de investigación que desenvolve esta organización permite despois aproveitar os seus avances en materia de auditoría e consultoría en Albalia. Pola súa banda, EADTrust traballa no campo do timestamping para completar a sinatura electrónica; na publicación fidedigna do perfil do contratante; na custodia de documentos electrónicos; na notificación fidedigna e no voto electrónico. Así, Julián Inza apunta que o Grupo ten dúas maneiras de enfocarse ao cliente: como consultora, que achega algúns produtos tecnolóxicos de confianza dixital, a través da firma Albalia, e como prestador de servizos de eConfianza na nube TIC a travésde EADTrust.

O enfoque de Albalia Interactiva é de tecnoloxía legal, é dicir, dende a empresa realízase un intenso seguimento de todos os avances lexislativos que teñen implicacións tecnolóxicas no ámbito das entidades financeiras, das administracións públicas e doutro tipo de empresas nos que este enfoque sexasignificativo. Deste xeito encóntranse posibilidades interesantes que poden ser aproveitadas polas entidades máis avanzadas ou máis preocupadas polo servizo ao cliente, ao tempo que se identifican normas que implican obrigas para as entidades, o que se engloba nas necesidades de cumprimento normativo.

Usos do certificado dixital

Respecto ao uso da certificación dixital, o presidente de Albalia Interactiva teno claro, é a Administración Pública “a que está a tirar do carro” e onde máis se impulsou esta nova tecnoloxía. “Os cidadáns aínda non son conscientes da versatilidade da sinatura electrónica”, asegura Julián Inza, quen considera que a Administración Pública está sendo o tractor que impulsa o desenvolvemento destatecnoloxía e doutras conexas, como a custodia dixital representada pola sede electrónica e o código localizador CSV (Código Seguro de Verificación). De feito, para Inza a lenta adopción destas novas tecnoloxías entre a cidadanía explícanse tamén polo xeito tan complexo co que os implementadoresde solucións como o rexistro electrónico ou os sistemas de interlocución telemática tratan o DNIelectrónico, que provoca o rexeitamento ou indiferenza da poboación ante esta nova tecnoloxía. “Haique facelo máis sinxelo para o usuario, cos medios actuais pódense evitar fallos exasperantes ou tarefas repetitivas sen valor” insiste Inza.

Nesta liña, Julián Inza apunta a outros campos onde o uso do certificado dixital será interesante e terá grande importancia no futuro, como son a banca, a sanidade, a universidade e as empresas denominadas “de utilities”, é dicir, que ofrecen servizos de telecomunicacións, luz, auga ou gas, entre outros. Son as entidades coas que os cidadáns interactúan frecuentemente e están obrigadas a dispoñer de sistemas de “interlocución telemática” ou a garantir o dereito dos cidadáns a relacionarse con elas por medios electrónicos.

Consultado sobre a transición do mundo do papel ao mundo electrónico, o presidente de Albalia Interactiva explica que ata o momento o mecanismo básico da xestión da sinatura está sustentado en “parábolas” dixitais do mundo físico, onde o paradigma é o formato PDF, ” e practicamente o pouco que se fixo no sector privado é a sinatura de ficheiros PDF”. Así, recorda que estes documentos enPDF teñen moitas carencias, que os do mundo do papel non teñen, e é que dependen do concepto de documento orixinal, que non existe no mundo dixital senón como convencionalismo. E é que, segundo explica Inza, cando tes un papel orixinal ese documento ten unha serie de calidades que o transcenden: a obliterabilidade; a endosabilidade e a completitude. Nos documentos electrónicos esas calidades desvincúlanse do concepto de orixinal e xestiónanse separadamente con sistemas decustodia dixital e unha definición intelixente dos metadatos axeitados, máis próxima á xestión informática transaccional, que á documental.

Neste contexto hai que sinalar o significado destes termos. A obliterabilidade implica a posibilidade de que un documento represente un dereito e deba quedar rexistrado se se fixo uso ou non do derei to. Por exemplo, un billete de autobús cancélase ao montar no autobús e non se pode reutilizar nofuturo. A endosabilidade implica a posibilidade de transferir a outro o dereito que reflicte un documento, algo relativamente doado de xestionar nos documentos nominativos e máis complexo nosdocumentos ao portador. O exemplo típico é o da letra de cambio ou os títulos valores (accións). A completitude é a capacidade de engadir anotacións á marxe, nos espazos libres ou engadindo follas,ou mesmo reflectindo elementos doutros documentos. Un exemplo é o dun contrato que reflicta aexistencia dun anexo posterior ou un poder no que se anote posteriormente que se revogou e se asocie a unha inscrición rexistral.

Para Inza, cando só queremos dar certeza de que un documento se asinou entre as partes un PDF é un documento válido. Por iso estamos a ver que o paso do mundo do papel ao electrónico e viceversa, por exemplo no ámbito da compulsa, se está a empezar a realizar través do PDFs asinados. Pero ad mite que no ámbito privado aínda falta un mecanismo que permita aos particulares exercer o dereitoá proba cando se trata da súa intervención en documentos electrónicos, que si poden xestionar os organismos e institucións que poñen en marcha os sistemas de relación telemática. Neste sentido, Inza destaca a interesante proposta posta en marcha poloGoberno Vasco, denominada Metaposta.Segundo a súa opinión, esta iniciativa pode evolucionar nun futuro cara a un sistema de correos electrónicos con mecanismos de custodia ou pode converterse nun dispositivo para centralizar asevidencias dos asinantes, “un modelo moi valioso”. A dificultade, para Julián Inza, é que os cidadáns “aínda non interiorizaron o que supón unha sinatura electrónicano ámbito público e/ou privado”.

Neste punto, Julián Inza recorda que o modelo electrónico de xestión de documentos require dous instrumentos: a sinatura electrónica e a custodia dixital. Segundo explica, a custodia dixital é esixente e complexa, xa que require a certeza a protección da información a longo prazo, e a súa dispoñibilidade ante instancias xurisdicionais, o que esixe a implantación de maiores mecanismos de seguridade; e implica a responsabilidade de organismo relacionado coa autenticidade do documento, deaí o concepto de sede electrónica. Os documentos precisan un control rigoroso de metadatos que reflicten a traza de anotacións ou vinculacións a identidades ou a outros documentos para garantir aobliterabilidade, a endosabilidade e a completitude. “A custodia dixital é máis complexa de xestionarque a sinatura electrónica que, aínda que tamén ten a súa complexidade, é unha materia na que todostemos máis experiencia”, apostila.

No referente á introdución do certificado dixital no día a día dos cidadáns, o presidente de Albalia Interactiva considera que son “as xeracións novas as que realmente fomentarán o uso do certificado dixital de xeito habitual”. A pesar desta optimista perspectiva de futuro, Inza tamén é consciente deque aínda “queda un tempo para madurar” e recoñece que hoxe en día só as persoas que teñen a obriga ou necesidade de utilizar o documento dixital no seu día a día o fan.

Documento notarial electrónico

No referente ao documento notarial electrónico, o presidente de Albalia Interactiva explica que esta tecnoloxía está considerada tanto no actual regulamento notarial, cuxa modificación foi moi recente,en 2007, como na Lei de Acompañamento dos presupostos doano 2002, Lei 24/2001. Así, explicaque este documento está pensado para determinadas comunicacións que se realizan entre notarios e rexistros, “que é onde teñen a súa maior virtualidade”. Nesta liña tamén se enmarca o concepto de protocolo electrónico, que ofrece os parámetros básicos de como se debe facer unha custodia dundocumento dixital, “porque os conceptos de costura e de índice do protocolo son os mesmos que,aplicándoo ao mundo electrónico permiten a boa “levanza” da custodia dixital”. Ademais, neste proceso, tal como recorda Julián Inza, os notarios,xuíces e secretarios xudiciais son figuras clave á hora de entender que é un documento electrónico, xa que son os profesionais do ámbito xurídico que máis claramente entenden o significado deste documento e os seus elementos básicos.

Para efectos prácticos actualmente aínda non se pode solicitar nunha notaría unha copia autorizada asinada electronicamente, salvo para o seu traslado a outro notario, a un rexistrador ou unha Administración pública, aínda que si unha copia simple, se o notario aprecia interese lexítimo, e esta posibilidade existe dende finais do ano 2001. É unha cuestión que, para Julián Inza, necesita aínda un tempo para a súa implantación, aínda que destaca o feito de que a día de hoxe”todos os notarios de España dispoñen da sinatura electrónica recoñecida”.

Lexislación europea

O presidente de Albalia Interactiva é tallante en materia de lexislación e afirma rotundo que existe un déficit “moi grande” na Unión Europea procedente da mala aplicación do artigo 11 da Directiva 1999/93/CE do Parlamento Europeo e do Consello, pola que se establece un marco comunitario para a sinatura electrónica. Neste artigo esíxeselles aos países membros a comunicación á Comisión Europea do estado de supervisión dos prestadores de certificación dixital do seu ámbito. Malia esta obriga, Julián Inza lamenta que non se especificase de xeito claro a estrutura da información a subministrar, o que provocou que cada país o defina de xeito unilateral e envíe posteriormente a documentación á Comisión Europea. De feito, apunta que dúas cuestións clave na información a subministrar serían o certificado root da autoridade de certificación e o lugar onde consultar a validez dos certificados, o servizo OCSP (Online Certificate Status Protocol). Ademais, critica que, once anos despois de emitir esta directiva, se publicasen os protocolos TSL (Trust-service Status List), que deberían ter servido para facilitar o cumprimento da normativa e a elaboración dun listado común de prestadores de servizo, pero que, moi ao contrario, aínda manteñen carencias básicas, xa que, por exemplo, non inclúen información sobre os servizos de validación de cada un.

A falta de concreción da normativa europea provocou que actualmente non exista un listado común de todos os prestadores de servizos de certificación dixital de Europa, senón un simple listado de países e, dentro de cada un e nos seus respectivos idiomas, as indicacións de como encontrar cada undos prestadores nas súas propias páxinas web. Para Inzasería necesario dispoñer dun listado normalizado para que as ferramentas, por exemplo os navegadores, teñan o camiño máis doado para buscar a informaciónde prestadores de confianza e da validez de cada un dos seus certificados emitidos eredunde nunha mellor experiencia do usuario.

Nesta liña, o máximo representante de Albalia Interactiva apunta a unha alternativa a esta iniciativa da Unión Europea, e que consistiría nunha plataforma para acceder á lista de certificados revogadosdun xeito sinxelo. Nesta cuestión “España é pioneira e está a dar un exemplo a seguir”, ao que axuda o feito de que sexa o país con máis prestadores de servizos de certificación daUnión Europea e,despois de Estados Unidos, o que máis prestadores de servizos de certificación ten rexistrados nosnavegadores.

Marco lexislativo español

“O ámbito de lexislación español está moito máis desenvolvido que o da maior parte doutros países do noso ámbito, é un dos mellores de Europa” “nestes momentos”, expresa o presidente de Albalia Interactiva, ao tempo que concreta que este marco lexislativo está moi por diante do dos países anglosaxóns, e non tanto dos países de orixe latina, onde a necesidade da sinatura electrónica está máis clara e asumida. Aínda así, matiza que, a pesar de que hai un “bo nivel” en canto á cantidade de normativa referente a certificación dixital, se debería mellorar no referente á calidade. “Faría faltadesenvolver máis os conceptos do documento electrónico, incidindo na sistemática do documento”,apunta Julián Inza. Ademais, lamenta a descompensación lexislativa que existe para o sector público, con maior normativa, e para o sector privado, con menor detalle nas leis que impoñen o uso da sinatura electrónica.

Comunidades autónomas e certificación

Consultado sobre a decisión de determinadas comunidades autónomas de converterse en entidades de certificación ou prestadoras de servizos de certificación dixital, o presidente de Albalia Interactivadestaca con rotundidadea actitude que Andalucía tomou ao respecto. A pesar de non contar cunha autoridade de certificación dixital, ao seu xuízo, Andalucía entendeu ben a problemática da xestióndocumental electrónica, máis alá da relevancia que pode ter entre os seus organismos un prestadorde certificación propia ou non.

Por outra parte, para Julián Inza o peso que a identidade propia ten no ámbito das competencias é o que levou a comunidades como o País Vasco, a Comunidade Valencia ou Cataluña a desenvolver autoridades autónomas de certificación dixital. Neste aspecto Inza considera que en España existeniniciativas e experiencias “moi interesantes”, así como profesionais altamente cualificados á frontedestas entidades autónomas. Non obstante, considera que o máis importante non é a capacidade paraprestar servizos de certificación, senón a capacidade de xestionar documentos electrónicos cos servizos de certificación que xa existen, ” e aí o labor máis notable foi a que desenvolveu a AdministraciónPública andaluza”.

Retos de futuro

O presidente de Albalia Interactiva ve como “case imprescindible” o feito de que no futuro todas as Administracións Públicas dispoñan de mecanismos de xestión de documentos electrónicos e de axuda no despregamento da administración electrónica. No referente á convivencia das entidades públicas e privadas de certificación dixital, Julián Inza consideraque o modelo de negocio da Fábrica de Moneda y Timbre (FNMT) debería cambiar e permitir o acceso sen custo á información decertificados revogados, o que implicaría tamén un cambio no seu mecanismo de financiamento. Por exemplo, cre que un cambio estratéxico sería incluír a CERES transitoriamente como parte da infraestrutura do Ministerio de Política Territorial e Administración Pública, o que lle proporcionaría unvalor engadido moi importante a un ministerio que, segundo destaca Inza, “está a facer un labor moi interesante na súa responsabilidade de dinamizador da modernización administrativa e na aperturado mercado da certificación”.

“A longo prazo tería sentido que desaparecesen as iniciativas públicas de expedición de certificados dixitais”, apunta tamén Julián Inza, quen considera que as necesidades de xestión de identidades dixitais de carácter público se cubrirán co DNIe, que permitirá xestionar a maior parte das necesidades de identificación a nivel persoal. Neste punto, Inzaexplica que en España existen na actualidadeao redor de 26 prestadores de servizos de certificación privados e públicos, polo que “sería interesante formularse se é necesario financiar con presupostos públicos iniciativas que teñen suficienteresposta por parte do sector privado, que pola súa banda se encontra en condicións de competencia desvirtuada polas iniciativas públicas”.

Neste punto, o presidente de Albalia Interactiva considera que o principal reto do futuro dixital é rematar co problema da interoperabilidade das sinaturas electrónicas en Europa, o que se alcanzaría mediante a adopción xeneralizada de formatos baseados en XML; o uso de sinaturas XADES-XL; a inclusión de áncoras de confianza, dos certificados root dos PSC e URL dos servizos de consultas derevogación dos PSC nas TSL s; e a codificación correcta do campo de consulta de certificados revogados por parte dos prestadores de servizos de certificación. E nesta mesma liña, sería tamén necesario abordar o problema da interoperabilidade dos documentos electrónicos, un reto ao seu xuízo “moi difícil” cuxa solución pasaría por crear un repositorio sincronizado de formularios XML onde todos os formatos sexan subidos polo seu creador e modificado polos usuarios que os utilicen , se detectan carencias.

Unido a esta perspectiva de futuro dixital, o responsable de Albalia Interactiva recoñece que actualmente a implantación real da factura electrónica é outro dos grandes retos aos que se enfronta o cam po da certificación dixital e un avance tecnolóxico que supoñería importantes melloras de eficienciapara as empresas.

Albalia ante o futuro

Dende a súa creación, Albalia Interactiva formúlase como reto ir un paso por diante en materia de certificación dixital. Así, no plan estratéxico de futuro a compañía está a traballar a idea de crear unselo de calidade para o ámbito da dixitalización de sinaturas manuscritas, co que distinguir soluciónsque merecen ou non confianza, de tal xeito que se audite o sistema e avalen as solucións de xestióndocumental que asocian sinaturas dixitalizadas que cumpran certos principios, como a imposibilidade de reutilizar as sinaturas capturadas por parte das entidades que as captan, con comprimidos dixitalizadores ou por outros procedementos.

Ademais, entre os labores de Albalia Interactiva, Julián Inza formula a necesidade de estudar de que forma se recollen as evidencias para que a sinatura dixital teña o valor que lle outorga a lei, porque “calquera sinatura dixital non é válida”. “O problema é que os usuarios non saben distinguir candohai por detrás sistemas que ofrecen confianza ou non”, lamenta.

“A Administración Pública está facendo esforzos para inculcar no cidadán esa forma de exercer os seus dereitos a través da tecnoloxía, e o sector privado poderá subirse á onda e beneficiarse diso”, conclúe Inza.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s