Semnături avansate vs. calificate în relațiile de muncă. Ce trebuie să știe angajatorii înainte de a alege un anumit tip de semnătură

Conform OUG nr. 36/2021, actul normativ care a modificat la începutul lunii mai Codul muncii, actele de muncă pot fi semnate atât cu semnătura electronică avansată, cât și cu cea calificată. Într-o formă inițială a ordonanței, actele de muncă ar fi urmat să fie semnate doar cu semnături calificate, însă ulterior autoritățile s-au răzgândit și au stabilit că și semnăturile avansate pot fi folosite în acest proces. Prin această extindere, statul acordă practic, în domeniul relațiilor de muncă, valoarea de semnătură olografă și semnăturilor avansate, însă această recunoaștere se aplică exclusiv pe teritoriul României, ceea ce înseamnă că actele de muncă semnate cu aceste instrumente nu vor fi recunoscute implicit și în afara țării.

Semnăturile electronice sunt reglementate la nivel european prin Regulamentul eIDAS (910/2014), care stabilește toate condițiile tehnice prin care semnăturile electronice pot căpăta valoare legală. Regulamentul definește trei tipuri de semnături electronice: unele simple (cu un nivel scăzut de încredere), unele avansate (cu un nivel mediu de încredere) și unele calificate (cu un nivel ridicat de încredere).  O comparație detaliată a celor trei tipuri de semnături electronice puteți citi aici. 

Potrivit Regulamentului eIDAS, semnăturile avansate sunt cele care îndeplinesc concomitent patru cerințe esențiale, detaliate la art. 26 din acest act normativ european:

• fac trimitere exclusiv la semnatar;
• permit identificarea semnatarului;
• sunt create folosind date de creare a semnăturilor electronice pe care semnatarul le poate folosi, cu un nivel ridicat de încredere, exclusiv sub controlul său; și
• sunt legate de datele folosite la semnare, astfel încât orice modificare ulterioară a datelor poate fi detectată.

Semnăturile avansate se emit în baza unui certificat digital simplu, iar, pentru ca aceste semnături avansate să poată fi valide și opozabile, cei care le folosesc trebuie să poată demonstra că modalitatea tehnică prin care au emis aceste semnături respectă toate cele patru cerințe detaliate de Regulamentul eIDAS. Semnăturile electronice avansate pot fi emise de state sau organizații private, iar ele nu au implicit valoare legală, aceasta trebuind să fie dovedită. Mai mult, așa cum spuneam mai sus, semnăturile avansate nu sunt recunoscute automat și implicit ca echivalent al semnăturilor olografe pe tot teritoriul UE, ci doar pe teritoriul statului care le investește cu această valoare legală.

De cealaltă parte, semnăturile electronice calificate sunt un tip de semnătură avansată, care prin felul în care sunt emise (cu ajutorul unui certificat calificat și a unui dispozitiv calificat de emitere a semnăturii), asigură implicit că cele patru condiții de la art. 26 din Regulament sunt îndeplinite atât la momentul semnării, cât și ulterior. Aceste două instrumente suplimentare (certificatul calificat și dispozitivul calificat de emitere a semnăturii) asigură o legătură directă și indubitabilă între identitatea reală și identitatea electronică a unei persoane, astfel că aceste tipuri de semnături electronice asigură implicit valoare legală și sunt considerate echivalentul semnăturilor olografe, nemaifiind necesare alte dovezi suplimentare care să ateste acest lucru. Semnăturile calificate sunt emise doar de furnizori calificați de servicii de încredere, listați într-un registru european, iar semnăturile calificate sunt recunoscute ca echivalent al semnăturilor olografe oriunde în UE.

Simplist spus, orice semnătură calificată este avansată, însă nu și orice semnătură avansată este calificată. În timp ce, pentru semnătura calificată, modul ei de emitere (cu certificat și dispozitiv, ambele calificate) asigură implicit, fără nicio urmă de dubiu, că semnatarul este cel care a și semnat documentul respectiv, nemaifiind nevoie de alte dovezi, același lucru nu se întâmplă în cazul semnăturii avansate, pentru acest tip de semnare fiind necesare dovezi suplimentare că acea semnătură avansată aparține cu adevărat persoanei care apare ca semnatar.

Într-o conferință recentă pe tema comerțului electronic, organizată de avocatnet.ro, unde s-a atins și subiectul semnăturilor digitale, avocatul Bogdan Halcu, Managing Associate la Țuca Zbârcea și Asociații, un profesionist cu peste 15 ani de experiență în probleme juridice ce vizează comunicațiile electronice, preciza că semnăturile avansate atestă doar o identitate electronică (care nu e totuna cu identitatea fizică a unui semnatar) – adică se poate afirma, spre exemplu, că o adresă de e-mail a semnat documentul respectiv, însă trebuie dovedit apoi, dacă este necesar, că respectiva adresa de e-mail aparține și este folosită exclusiv de persoana fizică ce o deține. Din perspectiva semnăturilor calificate, lucrurile sunt mai clare, în sensul în care, prin modul lor de emitere, semnăturile calificate asigură direct și implicit și legătura dintre un document semnat și identitatea fizică a unei persoane, deoarece atunci când emit semnături calificate, furnizorii de astfel de servicii fac verificări suplimentare și identifică în mod direct persoanele fizice respective (știindu-se clar și fără urmă de îndoială, practic, că acea semnătură calificată aparține unei anumite persoane identificate în mod unic).

Semnătura electronică în relațiile de muncă, din perspectiva riscurilor pentru companii

În acest moment, angajatorii pot opta să utilizeze oricare dintre cele două tipuri de semnături electronice (avansată sau calificată), dar, indiferent de tehnologia folosită, este necesar să obțină și acordul salariaților pentru utilizarea acestui mod de semnare de la distanță a actelor de muncă. Faptul că acum avem în Codul muncii specificată posibilitatea de a folosi semnătura electronică în raporturile de muncă nu obligă nici pe angajator, nici pe angajat să o folosească. Un angajator va putea folosi cu unii dintre angajați semnătura electronică și cu alții va putea continua să folosească semnătura olografă, neexistând niciun impediment să le folosescă concomitent.

O detaliere a principalelor proceduri birocratice pe care le trebuie să le bifeze angajatorii care vor să treacă la semnarea electronică a documentelor de muncă poate fi citită aici.

Deși OUG nr. 36/2021 nu obligă la folosirea unui tip de semnătură electronică în defavoarea altuia, companiile ar trebui să facă totuși o analiză atentă și detaliată a celor două tehnologii de semnare, pentru că riscurile nu sunt distribuite în mod egal din perspectiva gradului de securitate și încredere. Dacă la folosirea semnăturilor calificate, există o sumă de elemente care certifică semnătura respectivă, asumate de furnizorul de certificate calificate , în cazul celor avansate, sunt necesare măsuri de precauție suplimentare pe care firmele însele trebuie să și le ia și să și le asume.

Spre exemplu, un element important în verificarea semnăturii electronice de orice fel este identitatea celui ce semnează. Dacă în cazul certificatului calificat această identitate este garantată de un prestator de servicii de încredere calificat, pentru semnătura avansată care nu este creată cu un certificat calificat această identitate trebuie demonstrată și este necesară prezentarea unor dovezi clare care să facă legătura dintre acea semnătură avansată și persoana reală care a semnat documentele respective.

„În cazul unui litigiu de muncă, pentru un angajat poate fi greu să demonstreze că un angajator care nu recunoaște o semnătură electronică avansată chiar este cel care a semnat documentele, deoarece nu are control asupra sistemelor informatice ale angajatorului. De asemenea, dacă semnătura avansată a angajatului este creată prin mecanisme controlate de angajator (ex. angajatorul are acces la e-mailul angajatului și nu există un mecanism suplimentar de autorizare a semnăturii) angajatul poate fi impersonat și se poate semna în numele său”, a explicat pentru avocatnet.ro, avocatul Rareș Răducanu, Senior Partner la STOICA și Asociații.

Discuția este una și mai amplă de atât, având în vedere că, la verificarea unei semnături avansate, trebuie demonstrat că aceasta îndeplinește toate cele patru cerințe ale art. 26 din Regulamentul eIDAS. Această verificare nu trebuie făcută numai în instanță, în cazul relațiilor de muncă, ci verificarea trebuie să se poată face oricând, pe diferite paliere:

• Angajatul trebuie să aibă încredere în semnătura avansată a angajatorului și să o poată verifica;
• Angajatorul are nevoie și el să poată verifică semnătura avansată a angajatului;
• Autoritățile care verifică documentele de muncă, de exemplu ITM, trebuie să poată verifica semnăturile avansate ale angajatului și angajatorului.

Validarea semnăturilor electronice în timp, principala problemă pentru cei care aleg semnături avansate

Una dintre chestiunile cele mai importante când vine vorba de semnarea electronică a actelor de muncă este validarea și verificarea semnăturilor în timp, mai ales dacă ținem cont că Legea arhivelor obligă angajatorii să păstreze timp de 75 de ani dosarele de personal ale angajaților (constituite din contractele de muncă și toate actele necesare în derularea relației de muncă: actele adiționale la CIM, fișe de post, cereri de concediu, evaluările etc.). În toată această perioadă, actele de muncă trebuie să fie disponibile pentru consultare, atât în caz de control al autorităților, când și în cazul unui eventual litigiu, iar validitatea unui act semnat electronic trebuie să poată fi demonstrată dincolo de orice dubiu.

Cristian Driga, expert în securitate cibernetică și fost avocat pledant în cazuri de cybercrime, explica pentru avocatnet.ro că, în cazul unor litigii de muncă unde vor trebui dovedite semnăturile electronice, păstrarea tehnicii și elementelor care dovedesc modul de semnare devin esențiale, iar astfel de dispute vor genera costuri atât de bani, cât și de timp pentru că vor fi necesare expertize tehnice informatice amănunțite. 

În cazul semnăturilor calificate, aceste dovezi există implicit, prin însuși modul de emitere a semnăturilor, iar lucrurile sunt destul de simplu de demonstrat pentru că există atât mecanisme centralizate la nivelul UE de validare automată și pe termen lung, cât și o infrastructură tehnică ce permite oricui sa verifice validitatea unei semnături calificate. În privința semnăturilor avansate, situația se complică deoarece tehnologiile de creare a acestor semnături nu pot fi verificate centralizat, iar semnatarii trebuie să păstreze pe termen lung dovezi și informații complete despre modul de validare pentru a putea demonstra acea semnătură electronică oricând este necesar. Validarea semnăturilor avansate se face individual prin metode specifice emiterii acelei semnături, astfel că utilizatorii sunt obligați să păstreze și să prezinte informații complete despre cum a fost emisă semnătura respectivă, ce metode tehnice s-au folosit, ce precauții de securitate s-au luat ca să se asigure că cel care a semnat a fost chiar persoana fizică ce trebuia să semneze documentul respectiv etc., căci în cazul în care pierd aceste dovezi nu vor mai putea demonstra respectiva semnătură.

„O organizație care își propune să accepte/utilizeze semnătura avansată trebuie să precizeze și tehnologia/tehnologiile cu care se creează și modalitatea prin care aceste tehnologii îndeplinesc cele patru cerințe din art. 26 al Regulamentului eIDAS. Aceste tehnologii trebuie cunoscute atât de cei care semnează, cât și de cei care verifică un document semnat și sunt esențiale atât în ceea ce privește crearea semnăturilor electronice, cât mai ales, în verificarea acestora. Fiind specifice unei organizații, aceste tehnologii de creare a semnăturilor avansate nu pot fi verificate centralizat și nu pot fi recunoscute automat. Pentru fiecare semnătură ce trebuie să fie demonstrat că este semnătură avansată trebuie descrise modalitățile prin care ea îndeplinește cerințele art. 26 din Regulament. Ori de câte ori este invocată o astfel de semnătură, trebuie ca cele patru cerințe să fie demonstrate”, a punctat Veronica Mitroi, director Business Unit Servicii de Încredere la certSIGN.

De cealaltă parte, semnăturile calificate vin cu „o infrastructură tehnică ce permite oricui sa verifice validitatea unei semnături calificate – listele de încredere care conțin toți prestatorii de servicii de încredere calificați din UE. În acest fel, orice persoană dar, și mai important, o aplicație, poate verifica automat validitatea unui document semnat electronic”, a mai precizat directorul certSIGN.

Important! Toate informațiile legate de integritatea documentului și semnarea lui trebuie să poată fi probate și în cazul semnăturilor avansate.

Veronica Mitroi atrage atenția că, în privința semnăturilor avansate, aplicațiile de validare a semnăturii pot afișa erori de verificare a semnăturii, ceea ce împământenește o practică periculoasă pentru că utilizatorii vor fi nevoiți să considere corecte și documente cu erori. Unele erori pot fi catalogate „bune” (în sensul în care sunt erori care nu afectează integralitatea documentului semnat și nu pun probleme în materie de corectitudine a semnăturii), dar sunt și erori în care utilizatorii n-ar trebui să aibă încredere tocmai pentru că vizează probleme ale acelei semnături avansate. Or, neputând spune cu precizie care sunt erorile „bune” și care sunt erorile „riscante”, acest lucru îi poate expune pe utilizatori și îi poate face să considere corecte documente în care n-ar trebui să aibă încredere.