Principios

La firma digitalizada es una técnica que captura una firma manuscrita sobre un documento electrónico.

A menos que se cumplan ciertos requisitos, los sistemas de firma digitalizada no son válidos legalmente para demostrar la vinculación de un firmante a un documento electrónico.

Sin embargo, si se cumplen ciertos principios, un sistema de firma digitalizada puede ser aceptable por los usuarios y ante terceros (por ejemplo, en caso de juicio), la firma gestionada por ese sistema ser considerados como firma avanzada tal y como se define en la normativa (Reglamento Europeo UE 910/2014) y contar con el máximo valor legal.

Los sistemas idóneos para gestionar firmas manuscritas digitalizadas pueden ser auditados para certificar el cumplimiento de los 10 principios del Esquema de Certificación de Firma Digitalizada.

A partir de 2016  se incorpora un nuevo requisito en el decálogo, como consecuencia del desarrollo de un conjunto de exigencias internacionales, en el marco de la gestión de datos de carácter personal: la cobertura de la posibilidad de notificar a la autoridad de protección de datos del país en el que se despliega la plataforma, de cualquier incidente de seguridad  que exponga datos de carácter personal custodiados por la entidad (personal data breach).

El decálogo FMDA de EADTrust para firma manuscrita digitalizada avanzada queda establecido de la siguiente manera:

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD y al RGPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.