Instrumentos para el acceso electrónico a las Administraciones Públicas: sedes electrónicas, canales y punto de acceso, identificación y autenticación. Flashcards
¿Qué es y para qué sirve la sede electrónica?
Debe hacerse hincapié en la trascendencia capital que corresponde a la sede electrónica en aras a garantizar el buen funcionamiento electrónico del sector público. No en vano, se erige en instrumento esencial para hacer efectivo el derecho y, sobre todo, en su caso, tras la reforma operada en 2015, el auténtico deber que puede recaer sobre los ciudadanos de relacionarse electrónicamente con la Administración pública.
Y así, su regulación responde a la necesidad de identificar con precisión el medio concreto a través del cual se establecen estas relaciones electrónicas entre ciudadano y Administración. A este respecto, el artículo 38 LRJSP, siguiendo el precedente del artículo 10 Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP), define a la sede electrónica como “aquella dirección electrónica, disponible para los ciudadanos a través de redes de telecomunicaciones, cuya titularidad corresponde a una Administración pública, o bien a una o varios organismos públicos o entidades de Derecho público en el ejercicio de sus competencias”. Se ha destacado por la doctrina el error de identificarla con una dirección electrónica, en cuanto esta última no es más que un identificador del equipo o sistema electrónico desde el que se permite acceder, a través de las redes de telecomunicaciones, a información o servicios disponibles en una web o en un conjunto de páginas web, esto es, en un sitio en internet, mientras que la sede electrónica es aquella herramienta más amplia que sirve al ciudadano para acceder a la información y los servicios electrónicos que pone a su disposición la Administración pública correspondiente. Su función, por tanto, es la de servir de portal al ciudadano para la interacción electrónica con la Administración. Por ello, habría sido deseable que el artículo 38 LRJSP definiera no sólo su contenido mínimo sino aquellos trámites que forzosamente hayan de realizarse a través de la sede correspondiente.
¿A quién corresponde la titularidad de la sede electrónica?
Conforme al artículo 38.1 LRJSP la titularidad de la sede electrónica “corresponde a una Administración pública, o bien a una o varios organismos públicos o entidades de Derecho Público en el ejercicio de sus competencias”. No cabe duda de la imprecisión con que ha empleado el legislador estos conceptos a la vista del artículo 2 de la Ley, un mal que no es exclusivo de este artículo concreto sino que cabe apreciar, de forma general, en el enunciado de todo el Capítulo V del Título Preliminar LRJSP, referido al funcionamiento electrónico del sector público.
En todo caso, llama la atención la posibilidad alumbrada por la reciente reforma en el sentido de posibilitar que puedan ser varios los titulares de la sede electrónica, opción que se reserva, en todo caso, a la titularidad colectiva por parte de varios organismos públicos o entidades de Derecho público vinculados o dependientes de las Administraciones públicas. Resulta asimismo significativo el silencio de la nueva Ley acerca de la gestión y administración de la sede electrónica, de forma que si su titularidad queda confiada a una Administración pública, podrán intervenir ahora en su gestión y administración personas y entidades privadas. Se trata de un enunciado mejor adaptado, qué duda cabe, a la propia realidad y a la práctica de un sector electrónico no solo complejo sino sumamente cambiante.
Al establecer la sede electrónica, su titular asume la responsabilidad, conforme al artículo 38.2, respecto de la “integridad, veracidad y actualización de la información y los servicios a los que pueda accederse a través de la misma”. Corresponde, por lo demás, a cada Administración pública, de acuerdo con el apartado tercero, determinar las condiciones e instrumentos de creación de las sedes electrónicas, si bien deberá quedar debidamente garantizada la “identificación del órgano titular de la sede“. Queda abierto así el interrogante acerca de su posible titularidad por parte de órganos o entidades administrativas, admitida hasta ahora por la LAECSP, pero silenciada por el artículo 38.1 LRJSP.
¿Cómo funcionan las sedes electrónicas?
La LRJSP no se muestra demasiado exigente con las condiciones e instrumentos de creación de las sedes electrónicas. Su artículo 38.3 se limita a derivar a cada Administración pública la determinación de las condiciones e instrumentos precisos al efecto, si bien “con sujeción a los principios de transparencia, publicidad, responsabilidad, calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad”. Por lo demás, el precepto requiere in fine que se garantice en todo caso la identificación del órgano titular de la sede, así como los medios disponibles para la formulación de sugerencias y quejas.
El precepto recoge, asimismo, algunas reglas esenciales para el funcionamiento de las sedes electrónicas en sus apartados 4, 5 y 6. Así, deberán disponer de sistemas que permitan el establecimiento de comunicaciones seguras con los ciudadanos siempre que se precisen necesarias. Del mismo modo, al publicar informaciones o posibilitar el acceso a servicios y transacciones deberán respetar los “principios de accesibilidad y uso”, de acuerdo con las normas establecidas al respecto, estándares abiertos y, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos. Quizá hubiera sido mejor hacer referencia al principio de facilidad de uso o de inteligibilidad de la información en la sede electrónica, en detrimento del aludido y un tanto extraño principio de uso.
El apartado 6 del precepto obliga, en fin, a que las sedes electrónicas utilicen, para identificarse y garantizar una comunicación segura con las mismas, certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente, modificando con ello lo dispuesto hasta el momento por el artículo 17 LAECSP, que exigía, por el contrario, sistemas de firma electrónica basados en certificados de dispositivo seguro o medio equivalente.
¿Qué es el portal de internet y para qué sirve?
Dispone el artículo 39 LRJSP que “se entiende por portal de internet el punto de acceso electrónico cuya titularidad corresponda a una Administración pública, organismo público o entidad de Derecho público que permite el acceso a través de internet a la información publicada y, en su caso, a la sede electrónica correspondiente”.
Se trata de un concepto ciertamente innovador, introducido por la reforma de 2015, planteándose, en consecuencia, la duda, por no decir cierta confusión, acerca del deslinde y el alcance concreto tras la reforma legislativa operada en 2015 de términos tan próximos y, sin embargo, diversos como los de sede electrónica, portal de internet y punto de acceso electrónico. Una operación que alcanza una complejidad aún mayor si se toma en consideración que la Ley de Régimen Jurídico del Sector Público se encuentra salpicada, por lo demás, de referencias expresas al portal de acceso, portal de entrada o portal web, sin especificar adecuadamente el contenido o las implicaciones concretas de tales términos.
Resulta poco clarificador al respecto el artículo 39 de la Ley, cuyo enunciado, relativo al portal de internet, resulta insuficiente no solo desde la perspectiva concreta de la confusión terminológica aludida, sino también desde el punto de vista relativo al régimen jurídico concreto que habrá de resultarle de aplicación. Así, establece de forma clara que habrá de permitir el acceso a través de internet a la información publicada por su titular, enunciando de forma potestativa la posibilidad de que facilite, además, la entrada a la sede electrónica correspondiente. Nada dice, en cambio, sobre los fines generales que se persiguen con la articulación del portal en cuestión, ni sobre el tipo de información que deberá o podrá ser publicada en el mismo, la implementación y el uso por los ciudadanos de los medios de contacto con la Administración accesibles en el propio portal a través de correos electrónicos y redes sociales o la posible responsabilidad del titular del portal por los contenidos que allí se incluyan y ofrezcan a los ciudadanos.
¿Cómo se identifican electrónicamente las Administraciones públicas?
Procura el legislador simplificar los trámites de identificación y firma electrónica de las Administraciones públicas, adecuando su regulación al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE. De esta forma, la LRJSP, distingue en función de que la Administración pública se erija en receptora de la actuación electrónica o, por el contrario, emisora de contenido electrónico, exigiendo, para el primer supuesto, su adecuada identificación electrónica y requiriendo para el segundo la firma electrónica que habrá de acreditar, además, la voluntad del órgano que actúa o de la Administración pública que corresponda en caso de tratarse de una actuación administrativa automatizada.
La Ley establece tres vías diversas por las que acreditar debidamente la identificación del órgano o Administración actuante y la seguridad de la comunicación que pudiera establecerse, en su caso, con el ciudadano. En primer lugar, el artículo 40.1 permite la identificación de las Administraciones públicas “mediante el uso de un sello electrónico basado en un certificado electrónico reconocido o cualificado que reúna los requisitos exigidos por la legislación de firma electrónica”. Será pública la relación concreta de los sellos utilizados por cada Administración, incluyendo las características de los certificados electrónicos correspondientes y de los prestadores que los expiden, debiendo garantizarse su accesibilidad por medios electrónicos. Con esta finalidad, se impone a cada Administración el deber de adoptar las medidas adecuadas para facilitar la verificación de sus sellos electrónicos. En segundo lugar, el artículo 40.2 de la Ley entiende identificada a la Administración pública respecto de la información que publique como propia en su portal de internet, simplificando, en consecuencia, el régimen y los requisitos de identificación electrónica al respecto. Y, en última instancia, el legislador impone a las sedes electrónicas el empleo de “certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente” para su identificación y la garantía de una comunicación segura con las mismas, sin especificar, no obstante, qué medios son considerados equivalentes a tal fin o los caracteres mínimos que debe reunir tal “equivalencia”.
¿Qué es la actuación administrativa automatizada?
Conforme al artículo 41 LRJSP, “se entiende por actuación administrativa automatizada, cualquier acto o actuación realizada íntegramente a través de medios electrónicos por una Administración pública en el marco de un procedimiento administrativo y en la que no haya intervenido de forma directa un empleado público”. Se trata, en definitiva, de una definición muy amplia, que abarca tanto la producción de actos administrativos de trámite y resolutorios como simples actos de comunicación, siempre que se produzcan en el marco de un procedimiento administrativo y por medio de un sistema debidamente programado que obvie la intervención en el acto singular de un empleado público en nombre y representación de la Administración correspondiente.
Por su propia naturaleza, el artículo 41.2 exige la definición e identificación de varios órganos administrativos claves para el desarrollo adecuado de la actuación administrativa automatizada. De un lado, el órgano u órganos competentes, según los casos, “para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente”, esto es, reputados responsables de la actuación automatizada desde una perspectiva propiamente técnica, en cuanto al cauce electrónico por el que se tramita y sustancia la actuación administrativa correspondiente, a fin de garantizar su regularidad y objetividad. De otro lado, el órgano responsable, en cambio, “a efectos de impugnación”, esto es, en cuanto al fondo de la actuación administrativa en cuestión, su tramitación, contenido y sentido respecto de los intereses y pretensiones del administrado en el procedimiento administrativo de que se trate. De esta forma se reconduce la responsabilidad final del acto administrativo a un órgano concreto, compatibilizando así la automatización de la actuación administrativa con la teoría del órgano y el concepto clásico de acto administrativo.
¿Qué sistemas de firma electrónica cabe emplear para la actuación administrativa automatizada?
El artículo 42 LRJSP, conserva como sistemas de firma electrónica para la actuación administrativa automatizada los contemplados por el artículo 18 LAECSP.
Corresponde así a cada Administración pública optar entre dos alternativas. De un lado, el sello electrónico del firmante basado en certificado electrónico reconocido o cualificado que reúna los requisitos exigidos al respecto por la legislación vigente en materia de firma electrónica. A este respecto, la Ley de Régimen Jurídico del Sector Público se limita a añadir al enunciado hasta ahora vigente la exigencia de que el sello se base en certificado electrónico “reconocido o cualificado”.
De otro, el código seguro de verificación vinculado al firmante, permitiendo en todo caso la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente. Cierto es que ha desaparecido la confusa referencia del artículo 18.1 b) LAECSP, a la vinculación del código seguro de verificación “a la persona firmante del documento”, que, en puridad, no existe en el ámbito de la actuación administrativa automatizada, pero no lo es menos que continúan en pie tras la reforma de 2015 las críticas a un sistema de firma electrónica que no reúne, como tal, los requisitos mínimos de garantía al respecto, en cuanto lo único que permite es verificar la autenticidad e integridad de un documento por comparación con el documento electrónico original en la sede electrónica correspondiente, sin acreditar, no obstante, su legitimidad o la ausencia de alteración en el mismo.
¿Cómo funciona la firma electrónica del personal al servicio de las Administraciones públicas?
Siguiendo el modelo inaugurado por el artículo 19 LAECSP, corresponderá a cada Administración pública proveer a su personal de sistemas de firma electrónica, determinando los que deban utilizar sus empleados públicos. En todo caso, podrán identificar de forma conjunta tanto al titular del puesto de trabajo o cargo como a la Administración u órgano en que presta sus servicios.
Desaparece, sin embargo, del enunciado del artículo 43 LRJSP, cualquier referencia a la firma electrónica basada en el Documento Nacional de Identidad del empleado público, sistema poco implantado, por lo demás, en la práctica de nuestras Administraciones públicas. Recaerá, en definitiva, sobre cada Administración el deber de facilitar a sus autoridades o empleados públicos sistemas de firma basados en otros certificados, a los que se refiere actualmente como “certificados electrónicos de empleado público” el artículo 22.3 del Reglamento de desarrollo parcial de la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, aprobado por Real Decreto 1671/2009, de 6 de noviembre.
Debe destacarse, en fin, la posibilidad alumbrada por la reciente reforma de 2015 que permite restringir por razones de seguridad pública los datos de identificación personal del empleado público que hayan de constar en el sistema de firma electrónica correspondiente, quedando limitados exclusivamente, en tal caso, a su número de identificación profesional. Se trata de una posibilidad plenamente acorde a los requisitos de los certificados cualificados de firma electrónica enunciados por el Anexo I del Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.
¿Cómo se sustancia el intercambio electrónico de datos en entornos cerrados de comunicación?
El artículo 44.1 LRJSP dispone que “los documentos electrónicos transmitidos en entornos cerrados de comunicaciones establecidos entre Administración públicas, órganos, organismos públicos y entidades de Derecho público, serán considerados válidos a efectos de autenticación e identificación de los emisores y receptores en las condiciones establecidas en este artículo”.
Se desprende de este enunciado cierta confusión entre los requisitos de validez del documento electrónico, regulados por el artículo 26 LPAC, y la seguridad del medio de comunicación empleado. En todo caso, el precepto exige ciertos requisitos adicionales para considerar estos documentos electrónicos válidos precisa y exclusivamente a los citados “efectos de autenticación e identificación de los emisores y receptores”.
Y así, deberá asegurarse en todo caso la seguridad del entorno cerrado de comunicaciones, así como, en particular, la protección de los datos que se transmitan, a cuyos efectos resulta esencial la regulación de las transmisiones de datos entre Administraciones públicas que establece el artículo 155 de la propia Ley de Régimen Jurídico del Sector Público, diferenciando, en todo caso, el artículo 44 entre dos supuestos diversos en función de que los participantes en las comunicaciones en entornos cerrados pertenezcan o no a una misma Administración pública. En el primer caso, esta determinará las condiciones y garantías por las que se regirá el intercambio, comprendiendo, al menos, la relación de emisores y receptores autorizados y la naturaleza de los datos a intercambiar. En el segundo, las condiciones y garantías citadas deberán establecerse mediante convenio suscrito entre las distintas Administraciones participantes.
¿Cómo se asegura la firma electrónica y se garantiza su interoperabilidad?
El artículo 45 de la Ley recoge ciertas previsiones mínimas con miras a garantizar el aseguramiento y la interoperabilidad de la firma electrónica, confiando a cada Administración pública la determinación exacta de aquellos trámites e informes que habrán de incluir “firma electrónica reconocida o cualificada y avanzada basada en certificados electrónicos reconocidos o cualificados de firma electrónica”.
En la documentación electrónica excluida de la relación anterior, esto es, en la que vaya a utilizarse firma electrónica avanzada basada en certificado no cualificado o firma no avanzada, se podrá superponer un sello electrónico basado en un certificado electrónico reconocido o cualificado a fin de favorecer la interoperabilidad y posibilitar la verificación automática de la firma electrónica en aquellos supuestos en que deba ser remitida o puesta a disposición de otros órganos o Administraciones públicas. Se hace con ello especial hincapié en el principio de interoperabilidad de los sistemas y soluciones adoptados por cada Administración pública, sancionado con carácter general por el artículo 3.2 de la Ley de Régimen Jurídico del Sector Público.
Aunque pudiera parecer que el tenor literal del precepto sanciona una decisión discrecional al respecto por parte de cada Administración pública, debe subrayarse que tal catalogación de supuestos y, en definitiva, el aseguramiento y la interoperabilidad de la firma electrónica, se encuentran sujetos en realidad a las exigencias que establecen al respecto el Esquema Nacional de Seguridad, regulado en el ámbito de la Administración electrónica por Real Decreto 3/2010, de 8 de enero, y el Esquema Nacional de Interoperabilidad, regulado, asimismo, por el Real Decreto 4/2010, de 8 de enero.
¿Qué implicaciones tiene la nueva regulación de la Administración electrónica desde la perspectiva del archivo por medios electrónicos de los documentos utilizados en las actuaciones administrativas?
La reciente reforma de 2015 sanciona la electronificación absoluta del procedimiento administrativo. Los actos administrativos se producirán, como regla general, por escrito a través de medios electrónicos, a menos que su naturaleza exija otra forma más adecuada de expresión y constancia. La Resolución se dictará electrónicamente, garantizando la “identidad del órgano competente, así como la autenticidad e integridad del documento que se formalice mediante el empleo de alguno de los instrumentos previstos en esta Ley”.
De forma correlativa, la regulación del iter procedimental se encuentra salpicada de referencias expresas a la incorporación de medios electrónicos a sus diversas fases y trámites. Y así, el legislador establece el formato electrónico de los expedientes, que “se formarán mediante la agregación ordenada de cuantos documentos, pruebas, dictámenes, informes, acuerdos, notificaciones y demás diligencias deban integrarlos, así como un índice numerado de todos los documentos que contenga cuando se remita”, debiendo constar en el mismo “copia electrónica certificada de la resolución adoptada”. Su remisión se hará, por lo demás, de acuerdo con lo previsto en el Esquema Nacional de Interoperabilidad y en las correspondientes Normas Técnicas de Interoperabilidad que establece, regulado por Real Decreto 4/2010, de 8 de enero.
La obligación de emplear medios electrónicos no se extingue, en todo caso, con la finalización del procedimiento, debiendo mantener cada Administración un archivo electrónico único de los documentos electrónicos que correspondan a procedimientos finalizados, en los términos que establezca la normativa reguladora aplicable y, por tanto, el desarrollo reglamentario de la Ley.
¿Cómo se archivan por medios electrónicos los documentos utilizados en las actuaciones administrativas?
El apartado primero del artículo 46 LRJSP, dispone que “todos los documentos utilizados en las actuaciones administrativas se almacenarán por medios electrónicos, salvo cuando no sea posible”, superando así la mera habilitación legal anterior. No admite excepción alguna en relación con el archivo de los documentos electrónicos que contengan actos administrativos que afecten a derechos o intereses de los particulares, imponiéndose su conservación “en soportes de esta naturaleza, ya sea en el mismo formato a partir del que se originó el documento o en otro cualquiera que asegure la identidad e integridad de la información necesaria para reproducirlo”.
El artículo 46.3 LRJSP exige, por lo demás, que los medios o soportes empleados para el almacenamiento de documentos cuenten con las pertinentes medidas de seguridad, de acuerdo con las previsiones del Esquema Nacional de Seguridad, regulado por Real Decreto 3/2010, de 8 de enero, garantizando, en particular, “la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos almacenados” y asegurando, por otra parte, la identificación de los usuarios, el control de accesos y el cumplimiento de las garantías previstas en la legislación de protección de datos. Como novedad incorporada a raíz de la reforma, se requiere que aseguren, además, la “recuperación y conservación a largo plazo de los documentos electrónicos producidos por las Administraciones públicas que así lo requieran, de acuerdo con las especificaciones sobre el ciclo de vida de los servicios y sistemas utilizados”. Pensando seguramente en el riesgo cierto de obsolescencia de formatos y soportes electrónicos, el legislador exige, además, el aseguramiento del posible traslado de los datos que contengan “a otros formatos y soportes que garanticen el acceso desde diferentes aplicaciones”.
El archivo electrónico de documentos se erige así en un instrumento que permite gestionar el ciclo de vida completo de cada documento desde su creación y registro hasta su archivo definitivo, facilitando, a efectos prácticos, su recuperación y consulta tanto por parte de los empleados públicos de la Administración como de los interesados en el procedimiento “con independencia del tiempo transcurrido desde su emisión”.
¿Dónde tienen que estar ubicados los sistemas de información y comunicaciones para el registro de datos?
Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deben estar ubicados y prestarse dentro del territorio de la Unión Europea.