• Marc legal vigent i estat de la qüestió
• Seguretat de la informació
• Certificats i signatura digital

L'administració electrònica i el seu desplegament s'han inclòs dins la llei general que regula el procediment administratiu, la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques. Com diu al Preàmbul en justificar-ne la introducció, cal millorar l'eficiència en la gestió pública i en les garanties de seguretat jurídica a la ciutadania:

Com a part del programa de ciberseguretat, tots els departaments de la Generalitat de Catalunya tenen establerts, dissenyats, monitoritzats i auditats tots els processos que comporten fluxos d'informació. A continuació, es mostra el diagrama de flux de millora contínua del Centre d'Innovació i Desenvolupament Empresarial (CIDEM) del Departament d'Empresa de la Generalitat. A l'hora de configurar l'accés a la informació, cal tenir en compte qui són les persones responsables que tindran accés a la part de documentació corresponent.

L'art. 14 estableix que les persones físiques poden escollir en tot moment si es comuniquen amb l'Administració pública electrònicament o bé presencialment, llevat d'algunes excepcions puntuals i justificades.

Així mateix, estableix l'obligatorietat de relacionar-s'hi per mitjans electrònics als subjectes següents:

a) Les persones jurídiques.

b) Les entitats sense personalitat jurídica.

c) Els qui exerceixin una activitat professional per a la qual es requereixi la col·legiació obligatòria, per als tràmits i actuacions que portin a terme amb les administracions públiques en exercici de l'activitat professional esmentada. En tot cas, dins d'aquest col·lectiu s'hi entenen inclosos els notaris i registradors de la propietat i mercantils.

d) Els qui representin un interessat que estigui obligat a relacionar-se electrònicament amb l'Administració.

e) Els empleats de les administracions públiques per als tràmits i actuacions que efectuïn amb elles per raó de la seva condició d'empleat públic, tal com determini reglamentàriament cada Administració.

La Llei estableix l'obligació de totes les administracions públiques de disposar d'un registre electrònic general o, si escau, adherir-se al de l'Administració General de l'Estat. Aquests registres han d'estar assistits al seu torn per l'actual xarxa d'oficines en matèria de registres, que passen a denominar-se oficines d'assistència en matèria de registres, i que han de permetre als interessats, si així ho volen, presentar les seves sol·licituds en paper, les quals s'han de convertir a format electrònic.

En matèria d'arxius, s'introdueix l'obligació de cada Administració pública de mantenir un arxiu electrònic únic dels documents que corresponguin a procediments finalitzats, així com l'obligació de conservar aquests expedients en un format que permeti garantir l'autenticitat, la integritat i la conservació del document.

La creació d'aquest arxiu electrònic únic ha de ser compatible amb els diversos sistemes i xarxes d'arxius en els termes que preveu la legislació vigent, és a dir, interoperable i ha de respectar el repartiment de responsabilitats sobre la custòdia o el traspàs corresponent.

Les notificacions electròniques són preferents i s'han de fer a la seu electrònica o a l'adreça electrònica habilitada única, segons que correspongui. L'accés de cada usuari a les seves notificacions s'ha de fer a través del punt d'accés general electrònic de l'Administració, que funciona com un portal d'entrada, normalment anomenat Carpeta ciutadana o El meu espai.

Per aconseguir la comunicació entre les administracions públiques a través de mitjans electrònics, cal que els sistemes d’informació de les diverses administracions públiques es puguin comunicar entre ells i, alhora, garantir la integritat, adequació i veracitat de les dades transmeses.

La plataforma que garanteix l'intercanvi estructurat d'informació entre les administracions que operen a Catalunya s'anomena Plataforma d'Integració i Col·laboració Administrativa (PICA).

Anant a l'arrel de tot el muntatge tècnic i semàntic molt complex de la interoperabilitat, podem dir que l'emblema més comú d'aquesta interconnexió és el document pdf, ja que, d'una manera o altra, és el format de document amb què s'inicien, tramiten i es tanquen els processos administratius.

El PDF, acrònim de l'anglès Portable Document Format (Format de Document Portàtil), és un format

• multiplataforma: s'obre en tots els sistemes operatius;
• multimèdia: admet tota mena d'elements textuals i gràfics;
• fiable pel que fa a l'adequació de les dades transmeses: conserva totes les dades íntegrament i tal com les ha introduït l'usuari sense desordenar-ne els elements (paràgrafs, pàgines, disposició…);
• obert: el codi es pot adaptar tant a eines de programari comercial (Microsoft Office o Page d'Apple) com a altres de programari lliure (OpenOffice, LibreOffice), per això tots els processadors de text disposen de la icona (funció) corresponent per a l'exportació en .pdf;
• segur: els continguts poden ser xifrats i signats digitalment;
• independent del dispositiu: s'obre correctament en mòbils, tauletes, ordinadors…
• Respon als estàndards de qualitat (ISO 19005-1:2005)

Molts usuaris ja inicien electrònicament els seus expedients a través de formularis en forma PDF que es troben a les diferents carpetes ciutadanes de les administracions públiques.

Un cop els emplenen, els formularis fan el seu camí d'acord amb els diagrames de flux establerts i arriben a les pantalles dels treballadors públics competents en la matèria sense sortir de la xarxa corporativa. Un cop el treballador públic ha fet la feina que li pertoca el document s'emmagatzema també a la xarxa corporativa i continua el seu camí fins a arribar a la resolució sense sortir de la xarxa corporativa.

El Decret 76/2020, de 4 d'agost, d'Administració digital va més enllà del concepte d'administració electrònica, ja que se centra en el govern de les dades, és a dir, no només en l'ús dels mitjans electrònics com a sistema de relació amb la ciutadania i garantia dels seus drets davant la supremacia de l'Administració pública, sinó que situa l'anàlisi de dades al bell mig de la presa de decisions i les polítiques de transparència.

Si seguim l'evolució d'Internet, des de l'aparició del web, es dibuixa una història de decepció. L'accés massiu i lliure al coneixement havia de millorar l'educació arreu, la possibilitat de col·laborar i crear es veia com una garantia de coneixement neutral, les xarxes socials obrien les portes a tota mena de moviments socials de base. Però l'urpa dels poders fàctics es va abatre sobre l'albada que Internet havia promès.

El que havia de permetre passar d'una democràcia representativa, on la ciutadania tenia un paper indirecte, no s'ha convertit en una democràcia participativa, sinó més aviat en una democràcia informada.

En aquest context, l'Administració pública ha adquirit el compromís positiu de transparència, en concret amb la publicació de les dades obertes de què disposa.

Fins ara, hem parlat de l'obligació que tenen les administracions públiques i els qui hi treballen de preservar les dades personals dels administrats.

Ara tractarem l'altre vessant: la d'obrir les dades de què disposa l'Administració perquè els ciutadans se'n puguin servir o, simplement, utilitzar-les per fer de ciutadans: valorar què es fa, per què, on, quant costa… i poder tenir una opinió (in)formada sobre les actuacions públiques.

Evidentment, les dades que obre l'Administració han de ser anonimitzades.

La Generalitat de Catalunya té un programa de dades obertes que ha anat evolucionant de la mà de les necessitats polítiques més immediates, per exemple, la sequera.

Com ja hem dit a l'apartat anterior, conditio sine qua non per què les dades obertes de les administracions públiques arribin a la ciutadania és que estiguin en formats interoperables. Al cas de les dades obertes, com que són moltes, el format que s'exigeix és l'XML (Extensible Markup Language per a transferències de dades en web) o el CSV (Comma-Separated Values, base dels fulls de càlcul). Si ens descarreguem, per exemple, un arxiu amb dades dels embassaments de Catalunya en format .csv des d'aquest Portal, podrem incorporar-lo en un full de càlcul i fer les visualitzacions gràfiques que més ens convinguin.

↑ Torna a l'inici del bloc

En qüestions de seguretat, sempre cal tenir present el cicle de conjuració dels riscos i les seves fases.

Pel que fa a la ciberseguretat, aquestes fases, les cinc regulars en la gestió de qualsevol risc, es concreten en la gràfica següent:

De les cinc fases, com a simples treballadors públics, on tenim més responsabilitat és en la de protecció. També podem ajudar a detectar el risc, per exemple, al cas dels correus maliciosos, o bé a respondre-hi, per exemple, no obrint cap enllaç amb components estranys a l'URL i avisant el responsable informàtic de la unitat.

Tot seguit, trobareu unes indicacions per gestionar els riscos en la fase preventiva.

En aquest apartat, farem un repàs de les principals actuacions que, com a treballadors públics, hem de tenir presents amb relació al tractament de la informació que se'ns confia.

1. Apliqueu els fluxos d'informació establerts i no mogueu els documents d'aquests circuits

Com a treballadors públics, si gestionem documentació dels ciutadans, som responsables d'aplicar els processos descrits a la nostra unitat de treball, en especial no fent-ne còpies i mirant de no conservar innecessàriament aquests documents en l'ordinador local, no transportar-los en dispositius usb.

Sempre que pugueu heu de treballar als aplicatius de l'organització al núvol i/o xarxa interna corporativa. Si els rebeu, els hi heu d'enviar immediatament per tal que segueixin el seu camí i, si cal fer-hi alguna intervenció, sempre des de la xarxa perquè quedin tots els passos enregistrats.

2. Escolliu contrasenyes segures i no les tingueu en llocs accessibles

Les contrasenyes d'accés als aparells informàtics que se us hagin confiat no han de ser simples ni fàcilment deduïbles (per exemple, noms i dates de naixement dels vostres fills .

Tampoc les heu de conservar en llocs accessibles i molt menys visibles per part del gran públic. Cal tenir present l'anomenada política de 'taules netes' i vetllar per no deixar a la vista cap document confidencial o que pugui facilitar-hi l'accés.

3. Llegiu amb cura els missatges de correu electrònic i no obriu enllaços externs d'URL incert

L'atenció al correu electrònic ha de ser atenta, per això es recomana de dedicar-hi un temps fix dins l'horari laboral i no excedir-se, si cal, repartir el temps en tongades. Els missatges s'han de llegir amb molta cura i, en cas de sospita, estudiar-ne els components de l'adreça. Si no s'hi identifica el de cap organisme fiable, més val deixar-los de banda i avisar el responsable de seguretat informàtica del vostre lloc de treball.

No s'han d'obrir enllaços externs amb noms de domini dubtosos i, menys encara, emplenar-ne formularis, en cas que us ho demanessin.

Per defecte, el programa de correu electrònic que teniu instal·lat disposa de filtre de correu brossa, però, així i tot, sempre pot arribar un missatge enverinat a la vostra bústia.

4. Bloqueu les pantalles quan no sigueu davant dels dispositius informàtics. No han de quedar mai desatesos en funcionament.

Als ordinadors, per blocar-ne l'accés cal prémer les tecles Win + L (de Lock). Als mòbils, cal prémer el botó lateral.

Addicionalment, és bo d'establir un temps automàtic de desconnexió d'accés autoritzat a través de la configuració general dels aparells i que aquest sigui inferior als 5 minuts als dispositius fixos i d'1 minut als portables (mòbils, tauletes, portàtils…).

5. L'adreça de correu amb domini @gencat.cat és personal vostra i corporativa, alhora. No l'heu de fer servir en contextos no lligats a les funcions professionals.

L'organització on treballeu, gencat, us confia uns instruments per fer la vostra feina. Un d'ells és l'anomenat 'correu corporatiu'. N'heu de fer un ús correcte, ajustat a les funcions encomanades i ètic.

6. Respecteu els accessos informàtics que se us han facilitat per dur a terme les vostres tasques. No compartiu les contrasenyes d'altres persones.

Els sistemes d'informació estan distribuïts de manera que cadascú pugui accedir a les funcions laborals que li pertoquen (principi de segregació de funcions). És una falta d'ètica i de responsabilitat accedir a informacions que no ens pertoquen mitjançant l'ús de contrasenyes compartides.

Les baixes i altes als llocs de treball han de ser comunicades i gestionades pels responsables de sistemes per tal que aquests puguin ajustar els permisos d'accés, si escau.

7. Apagueu sempre l'ordinador en acabar la vostra jornada laboral. Si no ho feu, les actualitzacions de seguretat, que són molt importants, no s'instal·laran quan calgui.

Cal apagar els ordinadors quan marxeu del vostre lloc de treball en acabar la jornada. Quan els torneu a engegar s'instal·laran les actualitzacions de seguretat que són importants i necessàries per a un manteniment segur del sistema.

8. Assegureu-vos que la configuració de privadesa i seguretat dels vostres aparells sigui la correcta. No en modifiqueu la configuració per defecte, si no és per fer-la més estricta.

Com hem vist al Bloc anterior, els navegadors permeten configurar els elements de privadesa i seguretat. Per defecte, ja han d'estar adequadament configurats

9. Elimineu historials de navegació, galetes i contrasenyes recordades dels navegadors. A Internet no esteu sols!

Aquests tres elements són portes d'entrada a presències indesitjades.

Si voleu veure qui us està seguint, instal·leu-vos el complement Disconnect al vostre navegador. Us oferirà una visualització de tots els ulls que us estan mirant i podreu comparar la intensitat d'aquesta vigilància en diversos espais web.

10. Help! Comuniqueu sempre qualsevol incident que hàgiu detectat.

Quan sospiteu d'un mal funcionament del sistema o hi hàgiu detectat algun intent d'intromissió, reporteu la situació a la persona responsable de les TIC a la vostra organització.

Informació més completa i detallada als materials del curs La supervisió del teletreball a les administracions locals de Catalunya dins de l'espai de Formacio oberta de l'EAPC.

↑ Torna a l'inici del bloc

La Llei 39/2015 distingeix entre identificació i signatura electrònica per tal de simplificar el procediment administratiu, de manera que, amb caràcter general, només cal la primera, i s'exigeix la segona quan s'hagi d'acreditar la voluntat i el consentiment de l'interessat.

La T-CAT és la targeta del personal de les administracions públiques catalanes i conté certificats digitals reconeguts i qualificats conforme el Reglament Europeu d’Identificació Electrònica i Serveis de Confiança (EIDAS) que permeten garantir la identitat d’un determinat treballador d’un organisme públic per mitjans electrònics. A més, permet produir el tipus de signatura electrònica reconeguda, recollida en la Llei 59/2003 de signatura electrònica.

Els certificats electrònics qualificats han de ser emesos per prestadors de serveis que figurin a la llista de confiança dels estats membres de la Unió Europea. Tot seguit, es mostra la pàgina d'aquesta llista on consta l'IdCAT i la informació pública de les característiques tècniques del certificat:

La signatura digital com la física és una manera d'acreditar que algú és qui diu ser.

Per tant, hi ha d'haver algun mitjà que certifiqui (doni fe) de la identitat que aportem. Això vol dir que, rere la signatura digital, hi ha un certificat d'una entitat reconeguda legalment que diu que som qui diem ser.

Al cas dels treballadors públics, es pot accedir a la signatura digital a través de:

1. la titularitat d'una targeta T-CAT que ja haurà estat instal·lada amb tots els components necessaris a l'ordinador del lloc de treball;
2. l'accés al certificat de l'empresa Adobe Acrobat Reader.

Des d'aquest URL, podeu accedir a la descripció dels passos per signar digitalment des del vostre lloc de treball en cas que disposeu d'ID digital.

↑ Torna a l'inici del bloc

← Bloc 2 | Bloc 4 →