Menú
Esp

Voto electrónico con validez legal – ¿Cómo funciona?

Voto Electrónico con Validez Legal - ¿Cómo funciona?

El voto electrónico lleva con nosotros desde 1960 pero nunca había sido tan relevante como ahora. Las pandemia global del nuevo coronavirus ha ocasionado que más de 3.000 millones de personas se hayan visto obligadas al confinamiento. A la desgracia en términos de vidas humanas hay que sumarle el enorme impacto económico y social que supondrá esta crisis. Y en el ámbito empresarial la incertidumbre es enorme.

En este contexto, la agilidad a la hora de tomar decisiones es clave. Sin embargo, para muchas organizaciones no se trata sólo de saber qué hacer, sino de llegar a acuerdos con accionistas y socios, y articularlos de forma legal y segura. Consejos de administración, juntas de accionistas, asambleas, plenos o comunidades de propietarios, se ven abocados a la celebración de eventos telemáticos. Pero ¿cómo asegurar que la validez legal de estas decisiones colegiadas? ¿Cómo evitar impugnaciones indeseadas? En este artículo te explicamos algunos conceptos básicos para que entiendas qué es el voto electrónico y cómo te puede ayudar a desbloquear este tipo de situaciones.

Sistemas de voto electrónico y voto online

Existen muchos sistemas de voto electrónico. A grandes rasgos podemos clasificarlos en dos grupos: sistemas de emisión y sistemas de recuento de votos. Los sistemas de recuento son los más extendidos en el ámbito público. Un gran número de países los utilizan en sus elecciones generales y regionales. Los sistemas de emisión son igualmente maduros a nivel tecnológico, pero su uso se restringe sobre todo al uso privado – empresas, asociaciones, cooperativas, etc. Uno de los sistemas de emisión de voto electrónico más utilizados es el sistema de voto online; por eso en este artículo hablaremos de voto electrónico o voto online indistintamente.

La ley prevé el uso de sistemas de emisión y recuento de votos online en juntas de accionistas, consejos de administración, plenos de ayuntamientos y otros órganos de gobierno. Para poder hacerlo con todas las garantías se exigen fundamentalmente dos requisitos: garantizar debidamente la identidad del votante y acreditar la seguridad del sistema. A continuación, te contamos un poco más sobre estos dos aspectos.

Medios de identificación electrónica

El Real Decreto Legislativo 1/2010 que actualiza la Ley de Sociedades de Capital, reconoce en su artículo 189 el derecho al voto electrónico en cualquier clase de junta general siempre que lo recojan los estatutos sociales de la organización y se «garantice debidamente» la identidad del sujeto con derecho a voto. Posteriormente, el Real Decreto-Ley 11/2020 extiende este derecho a cualquier empresa cotizada, incluso aunque no quede recogido en sus estatutos. Por lo que la clave para asegurar la validez legal del voto online está en la manera de garantizar la identidad del votante.

El marco europeo que regula los servicios de identificación electrónica es el Reglamento 910/2014, conocido como eIDAS. En este texto se define la firma electrónica como el conjunto de datos electrónicos que permiten garantizar debidamente la identidad del firmante. Aunque la palabra pueda llevar a error, una firma electrónica no es más que un medio de identificación electrónica. Por eso, en los procesos de voto electrónico, el votante debe firmar (o aportar una serie de datos que le identifican) antes de recibir los permisos necesarios para emitir su voto online.

La mayoría de nosotros estamos familiarizados con la firma electrónica que usamos a la hora de cerrar contratos digitalmente. Una firma que sólo se puede obtener personándose ante una autoridad competente como la FNMT o la Policía. Esto es lo que se conoce como firma electrónica cualificada. Pero existen otros dos tipos de firma recogidos tanto en el reglamento eIDAS como en la Ley 59/2003 de Firma Electrónica. Se trata de la firma simple y la firma avanzada, los dos medios de identificación electrónica más usados para garantizar debidamente la identidad de los votantes en procesos de toma de decisión de organizaciones privadas.

Podemos decir entonces, que la firma electrónica – ya sea simple, avanzada o cualificada – nos permite garantizar debidamente la identidad del votante. Y, por tanto, cualquiera de las tres nos sirve para celebrar votaciones telemáticas con validez legal en el ámbito privado. La principal diferencia entre ellas es el nivel de seguridad que nos permiten alcanzar. Pero antes de entrar en los pormenores sobre los diferentes tipos de firma, debemos entender mejor cómo funciona un proceso de identificación.

Identificación presencial vs. identificación digital

Un proceso de identificación consta de diferentes pasos. Algunos pasos son más vulnerables que otros frente a posibles fraudes. Así que podemos decir que el nivel de seguridad de todo el proceso es equivalente al nivel de seguridad del paso más vulnerable de todos. Cuando hablamos de procesos de identificación digital nos solemos obsesionar con las posibles brechas de seguridad. Pero, muchas veces, no nos damos cuenta de que los procesos de identificación presenciales son igualmente vulnerables. Veamos por qué.

La palabra identidad viene del latín idem entitas (misma entidad). Por tanto, para verificar la identidad de un individuo necesitamos dos sujetos, el individuo en sí y algún atributo emitido por un organismo oficial que nos permita realizar una comparación (un pasaporte, un carné de conducir, un documento nacional de identidad, etc.). Tradicionalmente, esta comparación la ha venido haciendo una persona cualificada – un policía, un funcionario, un notario o similares. Una persona entrenada para evitar la trampa y el engaño. Sin embargo, todos conocemos historias de hermanos gemelos que se intercambian para aprobar exámenes de conducir. Y en la deep web se puede comprar un pasaporte falso por poco más de 3.000 euros – si es alemán, los portugueses rondan los 700 euros.

Algunos proveedores de voto electrónico aseguran que sus sistemas son inviolables. Pero no es cierto. El mundo digital es tan vulnerable como el mundo real. De lo que se trata es de minimizar esos riesgos máximo y siempre de acuerdo a la legislación aplicable para cada tipo de organización (administraciones públicas, empresas o asociaciones) y de transacción (no es lo mismo viajar en autobús con el carné de transporte de mi pareja que comprarme un abrigo de Louis Vuitton con su tarjeta de crédito).

Proceso de identificación en votaciones electrónicas

Hemos dicho que el nivel de seguridad de un proceso de identificación es equivalente al nivel de seguridad del paso más vulnerable. Pero ¿cuáles son los pasos de un proceso de identificación en una votación electrónica? Distinguimos cuatro pasos: registro, verificación, identificación y activación.

Imaginemos que una empresa cotizada celebra su junta de accionistas de manera telemática. El primer paso consistirá en elaborar un censo. Si existe el voto rogado, sólo podrán votar los accionistas que se registren. En caso contrario, el censo recoge a la totalidad de los accionistas y lo normal es que ya exista. Pero antes de la votación habrá que hacer algunos ajustes para gestionar el voto delegado e identificar a los representantes autorizados de las personas jurídicas con derecho a voto. Es en este segundo paso en el que será necesario que la empresa en cuestión verifique la identidad de sus accionistas. Se les pedirá su DNI o pasaporte y, donde sea aplicable, las escrituras que vinculen su identidad a la de la persona jurídica que representan o un escrito autorizando a la persona en la que delegan su voto.

Por lo general, estos dos primeros pasos los lleva a cabo la empresa sin la intervención de un prestador de servicios de identificación digital y voto electrónico. Y lo ideal es que la seguridad de los siguientes pasos sea igual o superior a las de los dos anteriores. En otras palabras, un proveedor de voto electrónico debe garantizar que la seguridad de su sistema de identificación y activación es menos vulnerable que el sistema de registro y verificación de su cliente. Si no, es como tener un coche de alta gama y ponerle unas ruedas de segunda mano recauchutadas.

El tercer paso, entonces, tiene lugar el día de la votación, cuando los votantes acceden a la plataforma de voto online para ejercer su derecho. Es cuando tiene lugar la identificación del votante. Para entender los distintos niveles de seguridad en este paso, es muy útil leer las Especificaciones Técnicas de Seguridad que establece la Unión Europea (Reglamento UE 2015/1502). En resumidas cuentas, para tener un nivel de seguridad sustancial es importante llevar a cabo una autenticación de doble factor. El típico proceso en el que se pide al usuario un dato que posee (como su número de pasaporte o su clave personal) y un dato dinámico que se le envía en ese momento (por ejemplo, un código de verificación por SMS). Este es el nivel de seguridad que exigen los bancos para autorizar las transacciones financieras online a sus clientes y, del mismo modo, es un nivel de seguridad razonable para el tipo de votaciones que estamos tratando en este artículo.

El cuarto y último paso consiste en activar (o autorizar) al votante para que emita su voto online (o electrónico). Aquí, ya hemos garantizado debidamente su identidad. De lo que se trata ahora es de acreditar la integridad de los datos. Es decir, garantizar que el votante no pierde el control sobre su cuenta y que los datos, una vez registrados, no pueden ser alterados por nadie. Para hacer esto, se suele recurrir a los llamados sellos de tiempo; sistemas en los que un tercero de confianza genera una clave alfanumérica (o hash) que va ligada a la fecha y hora de emisión del voto, así como a otros datos asociados al votante (datos personales, dirección IP y dispositivo desde el que vota, etc.). Si los datos se alteran, al pedirle al tercero de confianza que vuelva a generar la clave alfanumérica, ésta no coincide con la inicial y, por tanto, los datos han sido alterados. Una alternativa a los sellos de tiempo generados por terceros de confianza es la tecnología blockchain, que nos permite hacer algo similar prescindiendo de la autoridad certificadora.

Firma electrónica simple, avanzada y cualificada

Ahora que ya entendemos bien el proceso completo de identificación y voto electrónico, es más sencillo distinguir entre la firma electrónica simple y avanzada. La primera nos permite garantizar debidamente la identidad del votante, generalmente gracias a una autenticación segura de doble factor. La segunda, además, nos garantiza la integridad de los datos, gracias a un sello de tiempo autorizado.

La firma electrónica simple es, en consecuencia, menos segura que la avanzada, pero igualmente legal en función del tipo de organización y que la emplee y la importancia de la decisión que esté en juego. El resultado de una votación electrónica con firma simple es un registro de votos. Mientras que con la firma avanzada es posible emitir lo que se conoce como certificado digital de firma avanzada. Este certificado puede ser cualificado o no cualificado en función del prestador de servicios de certificación que lo emita. A nivel tecnológico no hay ninguna diferencia entre los dos. Y ambos son admisibles a juicio como prueba documental. La diferencia está en la carga de la prueba. Los prestadores de servicios no cualificados deben correr con los gastos de las pruebas periciales en caso de que la otra parte refute su validez.

Por último, como hemos comentado antes, además de la firma electrónica simple y avanzada, existe la firma cualificada. Para que una firma sea cualificada, los dos primeros pasos del proceso de identificación los debe llevar a cabo un prestador de servicios de certificación reconocido (Policía, FNMT, etc.) de manera presencial. Si bien es la firma más segura de todas, no nos permite llevar a cabo un proceso completamente telemático.

¿Qué sistema de voto electrónico debo escoger?

Para saber si tu proceso de votación online (o electrónica) es completamente legal, primero debes conocer qué marco regulatorio aplica a tu organización y al tipo de decisión que se va a tomar. Esa norma – ya sea la Ley de Sociedades de Capital o los Estatutos Sociales de tu organización – va a exigir que, como mínimo, se garantice debidamente la identidad de los votantes. Y para ellos, según la Ley de Firma Electrónica, puedes optar por una firma simple, avanzada o cualificada. Elijas la firma que elijas, asegúrate de que tu proveedor ofrezca una autenticación segura de doble factor y que cumpla con el Esquema Nacional de Seguridad. Y si en tu caso es imprescindible garantizar la integridad de los registros de votación, opta por una firma avanzada con un sello de tiempo autorizado y pídele a tu proveedor los certificados de firma avanzada una vez finalizado el proceso.

Sabemos que el vocabulario técnico no es muy intuitivo. Pero si relees este artículo con calma, verás que en realidad es más sencillo de lo que parece. En Kuorum llevamos desde 2013 ayudando a clientes públicos y privados en siete países con sus votaciones electrónicas. Si tienes alguna duda, contáctanos sin compromiso.

Agradecemos a Borja Adsuara Varela su inestimable colaboración en la redacción de este artículo.

Sobre nuestras cookies

Las rosas son rojas, las violetas azules y las webs como ésta usan cookies para mejorar la experiencia de usuario. No rima pero es cierto. Si continúas, entendemos que conoces nuestra Política de Cookies y estás de acuerdo con su uso.

Cerrar