Votaciones online con validez legal – ¿Cómo funcionan?

Descarga el eBook
Gracias! Esperemos que lo disfrutes!
Oops! Algo anda mal, no podemos descargar el ebook.

El voto electrónico lleva con nosotros desde 1960 y las votaciones online desde que existe internet. Pero nunca habían sido tan relevantes como ahora. Las pandemia obligó a más de 3.000 millones de personas a confinarse. En el ámbito empresarial el teletrabajo está cada vez más normalizado. Y los eventos híbridos ya son más frecuentes que los presenciales.

En este contexto, consejos de administración, juntas de accionistas, asambleas de asociaciones, elecciones sindicales, plenos de ayuntamientos o reuniones de propietarios, se ven abocados a la celebración de eventos telemáticos o mixtos. Pero ¿cómo asegurar que la validez legal de estas decisiones colegiadas? ¿Cómo evitar impugnaciones indeseadas? En este artículo te explicamos algunos conceptos básicos para que entiendas cómo funcionan las votaciones online y cómo te pueden ayudar a conseguir más participación con menos esfuerzo y a un menor coste.

Votaciones online y votaciones electrónicas

Existen muchos sistemas de voto electrónico. A grandes rasgos podemos clasificarlos en dos grupos: sistemas de emisión y sistemas de recuento de votos. Los sistemas de recuento son los más extendidos en el ámbito público. Un gran número de países los utilizan en sus elecciones generales y regionales. Los sistemas de emisión son igualmente maduros a nivel tecnológico, pero su uso se restringe sobre todo al uso privado – empresas, asociaciones, cooperativas, etc. Uno de los sistemas de emisión de voto electrónico más utilizados es el sistema de voto online; por eso en este artículo hablaremos de voto electrónico o voto online indistintamente.

La ley prevé el uso de sistemas de emisión y recuento de votos online en juntas de accionistas, consejos de administración, asambleas de asociaciones, elecciones sindicales, plenos de ayuntamientos y otros órganos de gobierno. Para poder hacerlo con todas las garantías se exigen fundamentalmente dos requisitos: garantizar debidamente la identidad del votante y acreditar la seguridad del sistema. A continuación, te contamos un poco más sobre estos dos aspectos.

Medios de identificación electrónica

La clave para asegurar la validez legal del voto online está en la manera de garantizar la identidad del votante. El marco europeo que regula los servicios de identificación electrónica es el Reglamento 910/2014, conocido como eIDAS. En este texto se define la firma electrónica como el conjunto de datos electrónicos que permiten garantizar debidamente la identidad del firmante. Aunque la palabra pueda llevar a error, una firma electrónica no es más que un medio de identificación electrónica. Por eso, en las votaciones telemáticas, el votante debe firmar (o aportar una serie de datos que le identifican) para emitir su voto online.

La mayoría de nosotros estamos familiarizados con los certificados electrónicos que usamos a la hora de firmar contratos digitalmente. Unos certificados que sólo se puede obtener personándose ante una autoridad competente como la FNMT o la Policía. A la firma que se emite con estos certificados se la conoce como firma electrónica cualificada. Pero existen otros dos tipos de firma recogidos en el reglamento eIDAS. Se trata de la firma simple y de la firma avanzada, los dos medios de identificación electrónica más usados para garantizar debidamente la identidad de los votantes en procesos de toma de decisión de organizaciones privadas.

Podemos decir entonces, que la firma electrónica – ya sea simple, avanzada o cualificada – nos permite garantizar debidamente la identidad del votante. Y, por tanto, cualquiera de las tres nos sirve para celebrar votaciones telemáticas con validez legal en el ámbito privado. La principal diferencia entre ellas es el nivel de seguridad que nos permiten alcanzar. Pero antes de entrar en los pormenores sobre los diferentes tipos de firma, debemos entender mejor cómo funciona un proceso de identificación.

Identificación presencial vs. identificación digital

Un proceso de identificación consta de diferentes pasos. Algunos pasos son más vulnerables que otros frente a posibles fraudes. Así que podemos decir que el nivel de seguridad de todo el proceso es equivalente al nivel de seguridad del paso más vulnerable de todos. Cuando hablamos de procesos de identificación digital nos solemos obsesionar con las posibles brechas de seguridad. Pero, muchas veces, no nos damos cuenta de que los procesos de identificación presenciales son igualmente vulnerables. Veamos por qué.

La palabra identidad viene del latín idem entitas (misma entidad). Por tanto, para verificar la identidad de un individuo necesitamos dos sujetos, el individuo en sí y algún atributo emitido por un organismo oficial que nos permita realizar una comparación (un pasaporte, un carné de conducir, un documento nacional de identidad, etc.). Tradicionalmente, esta comparación la ha venido haciendo una persona cualificada – un policía, un funcionario, un notario o similares. Una persona entrenada para evitar la trampa y el engaño. Sin embargo, todos conocemos historias de hermanos gemelos que se intercambian para aprobar exámenes de conducir. Y en la deep web se puede comprar un pasaporte falso por poco más de 3.000 euros – si es alemán, los portugueses rondan los 700 euros.

Algunos proveedores de votaciones online aseguran que sus sistemas son inviolables. Pero no es cierto. El mundo digital es tan vulnerable como el mundo real. De lo que se trata es de minimizar esos riesgos máximo y siempre de acuerdo a la legislación aplicable para cada tipo de organización (administraciones públicas, empresas o asociaciones) y de transacción (no es lo mismo viajar en autobús con el carné de transporte de mi pareja que comprarme un abrigo de Louis Vuitton con su tarjeta de crédito).

Proceso de identificación en votaciones online

Hemos dicho que el nivel de seguridad de un proceso de identificación es equivalente al nivel de seguridad del paso más vulnerable. Pero ¿cuáles son los pasos de un proceso de identificación en una votación electrónica? Distinguimos cuatro pasos: registro, verificación, identificación y activación.

Imaginemos que una empresa cotizada celebra su junta de accionistas de manera telemática. El primer paso consistirá en elaborar un censo. Si existe el voto rogado, sólo podrán votar los accionistas que se registren. En caso contrario, el censo recoge a la totalidad de los accionistas. Pero antes de la votación habrá que hacer algunos ajustes para gestionar el voto delegado e identificar a los representantes autorizados de las personas jurídicas con derecho a voto. Es en este segundo paso en el que será necesario que la empresa en cuestión verifique la identidad de sus accionistas. Se les pedirá su DNI o pasaporte y, donde sea aplicable, las escrituras que vinculen su identidad a la de la persona jurídica que representan o un escrito autorizando a la persona en la que delegan su voto.

Por lo general, estos dos primeros pasos los lleva a cabo la empresa sin la intervención de un proveedor de votaciones telemáticas. Y lo ideal es que la seguridad de los siguientes pasos sea igual o superior a las de los dos anteriores. En otras palabras, un proveedor de votaciones online debe garantizar que la seguridad de su sistema de identificación y activación es menos vulnerable que el sistema de registro y verificación de su cliente. Si no, es como tener un coche de alta gama y ponerle unas ruedas de segunda mano recauchutadas.

El tercer paso, entonces, tiene lugar el día de la votación, cuando los votantes acceden a la plataforma de voto online para ejercer su derecho. Es cuando tiene lugar la identificación del votante. Para entender los distintos niveles de seguridad en este paso, es muy útil leer las Especificaciones Técnicas de Seguridad que establece la Unión Europea (Reglamento UE 2015/1502).

En resumidas cuentas, para tener un nivel de seguridad alto es importante llevar a cabo una autenticación de doble factor. El típico proceso en el que se pide al usuario un dato que posee (como su número de pasaporte o su clave personal) y un dato dinámico que se le envía en ese momento (por ejemplo, un código de verificación por SMS). Éste es el nivel de seguridad que exigen los bancos para autorizar las transacciones financieras online a sus clientes y, del mismo modo, es un nivel de seguridad razonable para el tipo de votaciones que estamos tratando en este artículo.

El cuarto y último paso consiste en activar (o autorizar) al votante para que emita su voto online. Aquí, ya hemos garantizado debidamente su identidad. De lo que se trata ahora es de acreditar la integridad de los datos. Es decir, garantizar que los datos, una vez registrados, no pueden ser alterados por nadie. Para hacer esto, se suele recurrir a los llamados sellos de tiempo; sistemas en los que un tercero de confianza genera una clave alfanumérica (o hash) que va ligada a la fecha y hora de emisión del voto, así como a otros datos asociados al votante (datos personales, dirección IP y dispositivo desde el que vota, etc.). Si los datos se alteran, al pedirle al tercero de confianza que vuelva a generar la clave alfanumérica, ésta no coincide con la inicial y, por tanto, los datos han sido alterados.

Una alternativa a los sellos de tiempo generados por terceros de confianza es la tecnología blockchain, que nos permite hacer algo similar prescindiendo de la autoridad certificadora.

Firma electrónica simple, avanzada y cualificada

Ahora que ya entendemos bien el proceso completo de identificación y voto electrónico, es más sencillo distinguir entre la firma electrónica simple y avanzada. La primera nos permite garantizar debidamente la identidad del votante, generalmente gracias a una autenticación segura de doble factor. La segunda, además, nos garantiza la integridad de los datos, gracias a un sello de tiempo cualificado.

La firma electrónica simple es, en consecuencia, menos segura que la avanzada, pero igualmente legal en función del tipo de organización y que la emplee y la importancia de la decisión que esté en juego. El resultado de una votación electrónica con firma simple es un registro de votos. Mientras que con la firma avanzada se generan documentos que recogen todas las evidencias de identificación y llevan un sello de tiempo cualificado. Estos documentos son admisibles a juicio como prueba documental y, por tanto, hacen más difícil que una potencial impugnación progrese.

Por último, como hemos comentado antes, además de la firma electrónica simple y avanzada, existe la firma cualificada. Para que una firma sea cualificada, los dos primeros pasos del proceso descrito los debe llevar a cabo un prestador de servicios de certificación reconocido (Policía, FNMT, etc.) de manera presencial, emitiendo un certificado de firma cualificada. Si bien es la firma más segura de todas, no nos permite llevar a cabo un proceso completamente telemático.

¿Qué sistema de votaciones online debo escoger?

Para saber si tu proceso de votación online (o electrónica) es completamente legal, primero debes conocer qué marco regulatorio aplica a tu organización y al tipo de decisión que se va a tomar. Esa norma – ya sea la Ley de Sociedades de Capital o los Estatutos Sociales de tu organización – va a exigir que, como mínimo, se garantice debidamente la identidad de los votantes. Y para ellos, según la Ley de Firma Electrónica, puedes optar por una firma simple, avanzada o cualificada. Elijas la firma que elijas, asegúrate de que tu proveedor ofrezca una autenticación segura de doble factor y que cumpla con el Esquema Nacional de Seguridad y con la ISO27001 de Seguridad de la Información. Y si en tu caso es imprescindible garantizar la integridad de los registros de votación, opta por una firma avanzada con un sello de tiempo cualificado.

Sabemos que el vocabulario técnico no es muy intuitivo. Pero si relees este artículo con calma, verás que en realidad es más sencillo de lo que parece. En Kuorum llevamos desde 2013 ayudando a clientes públicos y privados en siete países con sus votaciones telemáticas. Si tienes alguna duda, contáctanos sin compromiso.

Compartir
Articulos recomendados
Ver todo
March 22, 2023
4
min read
March 22, 2023
4
min read