Firma Digital: la vía para la equivalencia funcional del documento electrónico público (enfoque técnico–legal, Costa Rica)

En la administración pública costarricense, el paso de “documento que se ve digital” a documento electrónico con valor probatorio no lo determina el lector de PDF ni la buena fe de las partes. Lo determina la firma digital certificada exigida por la Ley N.° 8454 y desarrollada en su Reglamento: el medio autorizado que confiere la equivalencia funcional respecto del papel. Todo lo demás —firmas escaneadas, trazos en pantallas táctiles o correos “de confirmación”— puede facilitar la operación diaria, pero no sustituye ese estándar legal.

Equivalencia funcional: lo que la ley realmente garantiza

La equivalencia funcional no es un adjetivo comercial; es una garantía jurídica: cuando un documento público electrónico está firmado con firma digital certificada, obtiene el mismo valor y eficacia probatoria que su equivalente manuscrito. La Ley 8454 así lo dispone de forma expresa y exige la utilización de certificadores debidamente registrados y una infraestructura de clave pública que permita identificación del firmante, integridad del contenido y no repudio. Dicho en simple: si es público y electrónico, debe estar firmado digitalmente con certificado válido.

El Reglamento a la Ley 8454 “aterriza” esa promesa: define conceptos, roles y parámetros técnicos, y afirma su carácter de reglamento general frente a normas sectoriales. Para los decisores, esto significa que ninguna instrucción interna puede rebajar el listón de la firma certificada cuando corresponda aplicarla.

Lo que no es equivalencia: atajos operativos y sus riesgos

La digitalización masiva de expedientes resolvió problemas de archivo, pero no convierte una imagen escaneada en un documento electrónico con la misma fuerza probatoria. La firma manuscrita escaneada, los “garabatos” en tablet o las validaciones por correo no otorgan la equivalencia funcional prevista por la Ley 8454. En contextos de auditoría o litigio, estos atajos suelen quebrarse: falta vinculación criptográfica del firmante, no hay integridad garantizada, y la evidencia es impugnable. El costo real aparece después.

Aquí conviene distinguir entre autenticación (saber quién accede o aprueba en un sistema) y firma digital certificada (acto jurídico que se adhiere al documento). Un flujo puede usar autenticación fuerte para tareas internas de bajo riesgo, pero los actos administrativos y documentos con efectos externos o patrimoniales deben cerrarse con firma certificada para blindar su validez. Esa es la diferencia entre “gestionar” y “probar”.

Formatos oficiales: la técnica que sostiene la validez en el tiempo

La validez de hoy debe validarse también mañana. Por eso existen los formatos oficiales para documentos firmados digitalmente: PAdES (PDF), XAdES (XML) y CAdES (CMS). La Política de Formatos Oficiales fijó desde 2012 las características que firmantes, receptores y validadores deben incorporar en la generación y verificación de la firma digital. En 2025, esa política se actualizó para incluir el JSON firmado digitalmente mediante JWS (JSON Web Signature) como opción complementaria, útil para APIs, servicios web y aplicaciones móviles. La idea central es que el resultado —no solo el sistema— sea verificable por terceros, hoy y a futuro.

Elegir el formato no es cosmética. Si una institución firma en PAdES y luego convierte el documento para “integrarlo” a otro sistema, puede romper la firma y perder la evidencia criptográfica. La decisión de formato debe responder a cómo se consumirá y quién lo verificará (p. ej., ciudadanía, proveedor, auditoría, juez) dentro de cinco o diez años. PAdES ofrece verificabilidad amplia para PDF; XAdES/CAdES favorecen contextos con datos estructurados o integraciones profundas; JWS habilita transacciones API-nativas donde el “documento” es una carga JSON firmada.

Del documento al expediente: preservación y cadena de custodia

La validez no termina en la firma. Un documento probatorio necesita un expediente electrónico con metadatos, trazabilidad y repositorios confiables. El Archivo Nacional ha emitido normas técnicas y lineamientos que cubren digitalización (incluida la sustitutiva), administración del documento electrónico y prácticas de preservación alineadas con modelos de referencia como OAIS. Para efectos de control interno y rendición de cuentas, esto implica definir políticas de migración, sellos de tiempo, estrategias para renovar o extender la validación y reglas estrictas para evitar “pérdidas” de integridad en el ciclo de vida.

En términos prácticos: el expediente debe conservar el archivo firmado, su firma y sellos, la cadena de certificación, los metadatos mínimos (quién firma, cuándo, huellas criptográficas) y, cuando sea pertinente, evidencia de notificación. Guardar “copias” sin la evidencia es como archivar solo la portada de un acto administrativo.

El MICITT concentra información de referencia sobre certificadores y servicios del Sistema Nacional de Certificación Digital; además, el portal FirmaDigital.go.cr sirve como puerta de entrada para verificación y orientación al usuario. Para los decisores, esto es clave al redactar políticas internas, seleccionar proveedores y planificar integraciones: hay un ecosistema oficial al cual alinearse.

Una hoja de ruta para decisores (en cuatro decisiones)

a) ¿Qué debe firmarse con firma digital certificada?

Parta de una matriz de riesgo por trámites y actos: resoluciones, adjudicaciones y órdenes de compra; actos con impacto presupuestario o de personal; certificaciones y constancias con efectos ante terceros; notificaciones que abren plazos. Allí la firma certificada no es negociable. En trámites internos de bajo riesgo y sin efecto externo, puede bastar autenticación fuerte y registro de auditoría, siempre que la normativa específica no exija firma.

b) ¿Qué formato oficial corresponde?

• PAdES (PDF): cuando el resultado circulará en PDF y deba ser verificable por cualquier tercero, con herramientas estándar.
• XAdES/CAdES: cuando el documento sea estructurado (XML) o existan requerimientos de encapsulado CMS, sellos y metadatos a nivel de lote o transacción.
• JSON/JWS: para interoperabilidad en servicios y APIs; aquí el “documento” es la carga JSON firmada que viaja entre sistemas.
  La regla de oro: elegir lo que preserva la verificabilidad del resultado final, no lo que “acomoda” al desarrollo de turno. c) ¿Cómo se preserva la evidencia?

Defina metadatos obligatorios, sellos de tiempo y políticas de renovación si el horizonte de conservación excede la vigencia de los algoritmos o certificados. A nivel de repositorio, adopte prácticas documentadas por el Archivo Nacional, incluyendo migraciones controladas y pruebas periódicas de validación sobre muestras representativas del acervo.

d) ¿Quién firma y con qué control?

No se “licencia” a toda la planilla. Se asignan certificados a roles críticos (jerarcas, ordenadores de gasto, titulares subordinados, responsables de control interno). Separamos autorización del sistema (quién puede iniciar o preparar) de la firma certificada (quién asume el acto). Esto reduce costos y, sobre todo, enfoca la responsabilidad donde corresponde.

Casos típicos y decisiones sensatas

• Contratación pública: plicas, adjudicaciones y órdenes deben cerrarse con firma certificada. Los intercambios preliminares en plataforma pueden autenticarse; el acto final se firma.
• RR. HH. (vacaciones, permisos, sanciones): la regla depende del efecto jurídico. Solicitudes internas podrían autenticarse; resoluciones que alteran derechos u obligaciones, firmarse.
• Certificaciones y constancias: si producen efectos ante terceros, deben emitirse en formato oficial y con firma certificada para que cualquier receptor externo valide sin depender del sistema emisor.
• Notificaciones: si abren plazos o ejecutan actos, el soporte documental debe ser firmado y preservado con trazabilidad.

Estas decisiones reducen el “todo con firma” (caro e innecesario) y el “nada con firma” (arriesgado), y conducen a un criterio de riesgo que la ley y el reglamento soportan.

Errores que suelen costar caro

Tres fallos se repiten:

1. Convertir un PDF firmado PAdES para “ajustarlo” al expediente: se rompe la firma.
2. Compilar expedientes mezclando originales firmados con copias o “impresiones a PDF” sin firma: se diluye la evidencia.
3. Guardar solo la “vista” y no el artefacto firmado con su cadena de certificación y metadatos.

Todos se evitan con una política de formatos oficiales, controles de validación y reglas de preservación documentadas.

Costa Rica arrastra una adopción más lenta de lo deseable en la emisión de certificados para toda la fuerza laboral pública. Aun así, el camino no es renunciar al estándar, sino dirigir la firma certificada a los puntos de riesgo y combinarla con autenticación robusta donde la ley lo permita. El portal del MICITT y el ecosistema FirmaDigital.go.cr brindan insumos para planificar el despliegue, la relación con certificadores y la verificación ciudadana.

Conclusión: del acto de firmar a la evidencia que perdura

En el sector público, firmar no es un botón; es un acto jurídico que crea evidencia. La única vía para que el documento electrónico sea equivalente al papel —y por tanto, prueba— es la firma digital certificada de la Ley 8454. Esa equivalencia se consolida cuando el resultado vive en formatos oficiales verificables y se preserva con criterios archivísticos que resisten el paso del tiempo. Lo demás podrá resolver emergencias operativas, pero no construye seguridad jurídica.

Qué hacer mañana

• Identificar actos críticos y mapear su nivel de riesgo.
• Elegir formato oficial por caso de uso (PAdES, XAdES, CAdES, JWS).
• Implementar validación y preservación con lineamientos del Archivo Nacional.
• Asignar certificados a roles críticos, con controles y auditoría.

Con ese enfoque, la transformación digital deja de ser “digitalización de lo mismo” y se convierte en gestión de evidencia: documentos que no solo circulan, prueban.