La Importancia de la NOM 151 para las Firmas Electrónicas

Camilo Méndez,

La digitalización, también llamada transformación digital, ha llevado a México y muchos otros países a legislar sobre los documentos digitales y las firmas electrónicas. Así es como la Norma Oficial Mexicana sobre NOM-151-SCFI-2016 fue publicada en el diario oficial de la federación. Esta norma es mejor conocida como NOM 151, e incluye “requisitos que deben observarse para la conservación de mensajes de datos y digitalización de documentos”.

En general, este estándar ayuda a evaluar si los documentos electrónicos que incluyen una firma electrónica han sido alterados o no después de haber sido firmados electrónicamente. Para hacerlo, hay determinados terceros debidamente autorizados por el Ministerio de Economía (conocidos como Prestadores de Servicios de Certificación o PSC) que participan en el proceso de firma electrónica emitiendo un Certificado de Conservación. Si los tribunales o reguladores que examinan una transacción específica más adelante descubren que se ha emitido un Certificado de Conservación en relación con un documento electrónico firmado, deben concluir que dicho documento electrónico no ha perdido integridad después de ser ejecutado.

¿Qué es una NOM y por qué surge la NOM 151?

Las NOM, son regulaciones técnicas obligatorias, que se expiden por diferentes dependencias según les sea competente. Su nombre se compone por las siglas de Norma Oficial Mexicana (NOM), el código numérico de la norma, las siglas de la dependencia que la emite, y el año en el que fue emitida. En el caso de la NOM 151, fue emitida por la Secretaría de Comercio y Fomento Industrial, por lo que lleva las siglas SCFI en su nombre oficial (NOM-151-SCFI-2016).

En 2002, la NOM 151 se emitió como NOM-151-SCFI-2002. Fue creada como resultado de la necesidad de tener un procedimiento mediante el cual los documentos impresos pudieran digitalizarse y conservarse sin perder su valor como originales. Desde su actualización de 2016, publicada en 2017, las firmas electrónicas también están cubiertas.

El artículo 89 del Código Comercial define un "mensaje de datos" como "información generada, enviada, recibida o archivada por medios electrónicos u ópticos, o por medio de cualquier otra tecnología". En ese mismo artículo, se define "digitalización" como "migración de documentos impresos a mensaje de datos, de acuerdo con lo dispuesto en la norma oficial mexicana sobre digitalización y conservación de mensajes de datos".

Estas definiciones son importantes para comprender la importancia de la NOM 151. Primeramente, porque define cualquier documento electrónico como “mensaje de datos”, pero también, la digitalización había creado nuevos certificados de datos personales que servían como documentación oficial y se requerían reglas generales y adecuadas para ellos, de manera que su uso fuera claro, así como beneficioso para todas las partes. Plantear requisitos para observar la conservación de estos mensajes de datos y la digitalización de documentos resultó crucial.

Hasta hace unos años, los negocios funcionaban sin necesidad de la digitalización de documentos, firmas y contratos. Viajes, gastos en viáticos, reuniones y negociaciones en persona, y un sinfín de posibilidades. Aunque aún se maneja así en algunos casos, con la digitalización hemos creado diferentes formas de hacer negocios y es importante legislar para su correcto funcionamiento. Muchos de los viajes o reuniones que se hacían, tenían el único propósito de firmar un documento y ya es una realidad que el traslado no sea necesario, gracias a estas regulaciones para hacerlo oficial y legal.

La firma autógrafa escrita es aún bastante común en documentos o acuerdos escritos, ya que sirve como representación visual del acuerdo entre las partes involucradas. Sin embargo, se permite capturarla mediante un dispositivo electrónico y hacerla válida, si ambas partes están de acuerdo. Los documentos que se ejecutan a distancia podrán firmarse mediante firmas electrónicas respaldadas por un certificado digital individual emitido por aun Proveedor de Servicios de Certificación (PSC) autorizado para hacerlo.

En México existen al menos 3 entidades reconocidas por ley como Autoridades de Certificación, o por PSC autorizados por Autoridades de Certificación, entre ellas:

  • El Sistema de Administración Tributaria (SAT), conocido como e.firma
  • Prestadores de Servicios de Certificación acreditados por la Secretaría de Economía y debidamente publicados en el Diario Oficial de la Federación
  • Poder Judicial de la Federación (POJ) a través de su certificado conocido como FIREL

La NOM 151 asegura el cumplimiento de las leyes comerciales, en cuanto a normas técnicas que las empresas deben cumplir para garantizar que un documento electrónico original haya sido almacenado y conservado de manera adecuada. También asegura un estándar de digitalización según el cual un documento impreso firmado (que es un el equivalente a un "original") puede ser digitalizado en una fecha posterior sin perder su valor como original. Esto es aplicable a cualquier empresa u organización que utilice documentos o firmas digitales..

En cuanto a la digitalización de documentos, la NOM 151 hace referencia a la manera adecuada de digitalizar un documento con soporte físico. Principalmente se debe tomar en cuenta:

  • Claridad del proceso de migración del documento físico a un archivo digital.
  • Formato del documento: Debe ser posible verlo en algún software actual.
  • Calidad: Se especifica la calidad necesaria en representaciones gráficas, de audio y de video.
  • El nuevo mensaje de datos debe ser fiel a su documento en soporte físico, respetando la geometría o aspecto de origen en tamaño y proporción. Esto quiere decir que el formato en el que se digitalice debe parecerse lo más posible a su original.

También se definen dentro de la NOM 151, los elementos que se deben utilizar para garantizar esta regulación. Además de varios medios electrónicos, algunos de estos elementos son las constancias de conservación de mensajes de datos y el sello digital de tiempo.

La principal función del Prestador de Servicios de Certificación es expedir certificados electrónicos que comprueben la identidad del firmante, sin embargo, no es la única. También son éstos los que pueden emitir constancias de conservación de mensajes de datos y sellos digitales de tiempo. Estos dos elementos son esenciales para que las empresas demuestren que el documento electrónico fue almacenado usando un método confiable y, por lo tanto, que dicho documento debe tener pleno valor probatorio en los tribunales.

La constancia de conservación —sin importar si se firma como persona física o moral— sirve para acreditar o amparar ante la autoridad (aunque también a algún tercero que lo requiera) que cierto documento se ha conservado íntegro y sin cambios desde que se creó. El cumplimiento de la NOM 151 se puede garantizar bajo esas condiciones.

La estampilla o sello de tiempo (a veces usado el término en inglés time stamp o time stamping), ampara la existencia de un contenido a una determinada fecha y hora. También con él se demuestra la integridad del documento desde esa fecha y hora particular, y tiene información sobre el momento de su creación. Es emitido por un PSC. Tanto el sello de tiempo, como la constancia de conservación, son únicos por documento. Cualquier alteración al documento se verá reflejada en estos elementos. Incluso no se permite consultar los documentos (ni los digitales ni su soporte físico) mientras se genera la constancia de conservación y el sello de tiempo.

Por lo anterior, las constancias de conservación de mensajes de datos y los sellos de tiempo, son los principales mecanismos legales y técnicos para demostrar que cierto documento:

  • Es real: Es una prueba de existencia del mensaje de datos. Al tener una constancia de conservación y un sello de tiempo, se garantiza que el documento o acuerdo existe y es válido ante la ley.
  • Se considera íntegro: Estos dos elementos garantizan que el documento es el mismo que se firmó o acordó. En el mundo digital existen muchos mecanismos y herramientas para editar o modificar un documento, por lo que es necesario poder garantizar que no suceda.
  • Es auténtico: El documento es el original y no se ha manipulado, se encuentra en las mismas condiciones en las que se creó, sin ninguna modificación.

Beneficios de la legislación en la digitalización y las firmas electrónicas

Los requisitos planteados en la NOM 151 son amplios, sin embargo, también lo son los beneficios. La tecnología abrió una nueva era para todos los aspectos en los negocios incluyendo la formalización de acuerdos.

Gracias a la NOM 151se pueden firmar documentos remotamente de manera segura, ahorrando tiempo y costos, además de uso de papel, pero también gracias a ella:

  • Se garantiza la identidad del firmante remoto. No es solamente la validez del documento en sí, sino que se puede asegurar que el firmante es quien pretende ser.
  • Tiene validez jurídica. La NOM 151 contribuye a la validez legal de los documentos firmados con firma electrónica. La constancia de conservación de mensajes de datos puede ser utilizada en una controversia legal; siempre está ahí para demostrar que es el documento original y que no ha habido alteraciones.
  • La constancia de conservación y el sello de tiempo garantizan la inalterabilidad, integridad, y autenticidad del documento. No deja lugar a dudas.
  • Se establecen lineamientos para digitalización, lo que garantiza la calidad de los documentos con soporte físico.

Se pueden obtener todos estos beneficios y más con el servicio de firma electrónica de OneSpan Sign. El marco legal para validar y certificar firmas electrónicas en México y en otros países es fuerte y sólido. Es una excelente forma de garantizar la autenticidad e integridad de los documentos y acuerdos firmados.

Camilo Méndez es un emprendedor digital y entusiasta de la tecnología, con amplia experiencia en la gestión de equipos y resolución de problemas complejos. Hoy es el Director de Transformación Digital en LATAM para OneSpan, compañía líder en el desarrollo de software de ciberseguridad para la digitalización del “Recorrido del Cliente”.