Saltar al contingut principal

De l'administració en paper a l'administració digital

Nombre de lectures: 0

← Preguntes més rellevants | ← Mòdul 5 | ← Inici del curs

Preguntes més rellevants

5. La identificació i la signatura electrònica

5.1 Nivells de seguretat i tipus de certificats/signatures electròniques

Em podríeu aclarir a quin nivell de seguretat pertanyen els diferents tipus de signatura o certificats electrònics? Per exemple:

  • La T-CAT (signatura electrònica com a empleat públic), quin nivell de seguretat té? És el mateix que tindria l'idCAT o el DNI-e?
  • L'idCATMòbil quin nivell de seguretat té?
  • És possible formular sol·licituds, presentar declaracions responsables, interposar recursos, desistir d'accions o renunciar a drets amb l'idCATMòbil?
  • Hi ha algun web o manual d'alguna entitat que expliqui amb una llista clara quin nivell de seguretat té cada tipus de certificat o signatura electrònica que els ciutadans puguin utilitzar? Per exemple, el Protocol d’Identificació i Signatura Electrònica de Catalunya no explica (o no he sabut veure-ho) quin nivell de seguretat té l'idCATMòbil.

Crec que la qüestió de la signatura digital ha estat massa temps en mans de tecnòlegs i la ciutadania (i part dels empleats públics) tenen dificultats per entendre per a què serveixen i quines es poden utilitzar i per a quins tràmits.

Considero que seria molt necessari que en aquesta matèria s'empressin els estàndards del https://www.plainlanguage.gov/ per tal que la ciutadania entengui i pugui utilitzar amb seguretat i tranquil·litat les possibilitats que ofereix l'administració digital.

Pots trobar aquesta informació a l’Esquema Nacional de Seguretat i al Protocol d’Identificació i Signatura Electrònica de Catalunya.

En particular, segons el Protocol, per als tràmits classificats de categoria mitjana o substancial s’admeten els sistemes d’identificació electrònica de nivell de seguretat mitjana o substancial, entre els quals s’inclou el T-CAT i l’IDCAT-SMS.


↑ Tornar a dalt

5.2 Identitat digital i protecció de dades personals dels empleats públics

En el temari del curs, Marga Bonmatí ens explica que el consorci AOC proveeix la identitat digital i Agustí Cerrillo ha comentat el tema de la protecció de dades.

Hi ha un tema que preocupa molt a la meva administració, que és la principal resistència al canvi: la protecció de dades personals (no professionals) dels empleats públics. En concret, em refereixo a la cessió de dades personals dels empleats públics en l'actuació com a tals (i no en l'actuació com a persones individuals).

En la provisió d'identitat digital per part del Consorci AOC (la targeta de signatura), resulta que quan se signa un document digitalment (com a empleat públic), s'estan donant dades personals als ciutadans, cosa que en paper no passa. Quan se signa un document amb la targeta d'identificació d'empleat públic, se cedeixen nom, cognoms, adreça de correu electrònic i el número de DNI (!). El DNI és un número d'identificació personal, que no cal anar repartint a tothom a qui li hagi d'entregar un informe.

És més, hi ha moltes situacions en les quals es posa el meu número de DNI per evitar posar noms i cognoms i així evitar que m'identifiquin. Però si comencem a repartir-lo a tothom, aquesta protecció desapareix. Així, qualsevol ciutadà amb el qual haguem intercanviat una signatura digital, pot fer recerques amb el nostre número de DNI i començar a saber si m'he presentat a un concurs, si he apuntat el meu fill a no se quina escola, etc.

La signatura digital té tots uns mecanismes, filtres, codis de seguretat i verificació, etc., que asseguren la traçabilitat i la validesa de la signatura electrònica. El que jo estic comentant és quines dades pot veure el ciutadà quan li entreguem un document signat electrònicament. En aquest sentit, amb el nom i cognoms visibles n'hi ha d'haver prou, d'igual manera que n'hi ha prou amb una signatura manuscrita perquè un contracte, informe, etc., sigui vàlid. I si cal un número, que es posi el meu número d'identificació com a empleada pública. Així mateix, si en algun cas el ciutadà ha de tenir dret a saber el meu número de DNI (no se m'acut, però si fos el cas), és més lògic que el ciutadà sol·liciti aquesta informació a la meva administració motivadament, que el responsable de protecció de dades valori si, atès el cas que s'exposa, és necessari, i aleshores cedir aquesta dada. En lloc de donar-la a tort i a dret a persones que no ho necessiten, i que, repeteixo, són dades que pertanyen a la meva identitat privada.

Si us plau, m'agradaria que l'Agustí pugui veure la importància d'aquest tema, i fer arribar als responsables de l'AOC aquesta vulneració de drets íntims, que està fent que a la meva administració no s'estigui usant la tramitació electrònica.

Així mateix, m'agradaria que altres companys i companyes d'altres administracions que estan fent servir signatura digital en la seva funció com a empleats públics, expliquin com viuen aquesta qüestió en les seves administracions.

Aquesta és una qüestió que tècnicament no està del tot ben resolta.

Des d’un punt de vista general, cal tenir present que el DNI és una dada personal i que, per tant, qualsevol tractament s'ha de fer d’acord amb els principis que disposa el Reglament general de protecció de dades (entre d’altres, el principi de limitació de la finalitat o el de minimització de dades).

En aquesta direcció, l’Agència Espanyola de Protecció de Dades, en la guia sectorial sobre protecció de dades i administració local, en valorar si era factible que en les propietats de la signatura electrònica utilitzada per treballadors públics hi constés el seu DNI, afirma que “la implantación de un sistema de firma electrónica no tiene porqué modificar el contenido de los documentos que los empleados públicos firmen en el ejercicio de sus atribuciones si dicha modificación no tiene su origen en una norma. No debe así confundirse el contenido del certificado electrónico, que debe reunir los requisitos exigidos por la normativa aplicable, con el contenido del documento resultante de la firma electrónica que deberá incluir los datos requeridos por la normativa que le resulte aplicable. Por consiguiente, la incorporación, tanto en la firma de los documentos electrónicos o en papel como en la marca de agua, del dato relativo al DNI del funcionario firmante podría constituir un tratamiento excesivo y, en consecuencia, contrario al principio de minimización de datos del artículo 5 del RGPD” (p. 44).

També cal recordar que el criteri interpretatiu 4/2015 conjunt del Consejo de Transparencia y Buen Gobierno i de l'Agencia Española de Protección de Datos, considera que cal ometre el DNI dels càrrecs i treballadors públics de la informació que es difongui en aplicació de la legislació de transparència (https://www.consejodetransparencia.es/dam/jcr:936f611d-e6f4-436f-bc3c-6e56a8e38779/C4_2015_firma_manuscrita.pdf).

D'altra banda, també es pot tenir en compte que, si bé la Llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als serveis públics, establia la possibilitat que el personal al servei de les administracions públiques utilitzés la signatura electrònica basada en el document nacional d’identitat (article 19.3), aquesta determinació ja no s’inclou en la Llei 39/2015, d’1 d’octubre.


↑ Tornar a dalt

5.3 T-CAT P i DNI

És legal que quan un empleat públic signi un expedient amb un T-CAT P apareguin identificats el nom i cognoms i el seu DNI? Veig que ho fan gairebé tots els programes de gestors d'expedients: Audifilm, ABSIS, Meana, etc. No ho veig gaire clar, no només pel tema de la LOPD sinó pel que diu el vídeo.

El DNI és una dada personal. La Llei 11/2007, de 22 de juny, d’accés electrònic dels ciutadans als serveis públics, establia la possibilitat que el personal al servei de les administracions públiques podia utilitzar la signatura electrònica basada en el document nacional d’identitat per a la identificació i l'autenticació de l’exercici de la competència de l’Administració pública. Aquesta opció ha desaparegut en la Llei 39/2015.

D'altra banda, cal tenir en compte que el criteri interpretatiu 4/2015, de 23 de juliol, del Consejo de Transparencia y Buen Gobierno, entén que conèixer aquesta dada no és rellevant a l'efecte d’assolir la transparència que estableix la Llei, atès que aquesta finalitat s’assoleix amb la publicació dels noms i els cognoms. A més, que el coneguin terceres persones pot generar riscos de suplantació d’identitat. Per aquest motiu, s’hauria d’evitar que aquesta dada fos pública.


↑ Tornar a dalt

5.4 Nivell de seguretat i contractació

El Protocol d'Identificació i Signatura Electrònica de Catalunya és aplicable als ens locals?

Si no ho fos, continuaria sent necessari el nivell de seguretat alt per a la identificació i la signatura en el tràmit o procés de contractació pública?

Si no fos aplicable el Protocol però fos necessari el nivell alt, en quina llei o quin reglament es basaria?

El Protocol d’Identificació i Signatura Electrònica de Catalunya és un document que el Consorci AOC ha posat a disposició de les administracions públiques catalanes perquè puguin determinar els mecanismes d’identificació i signatura electrònica aplicables als diferents tràmits i procediments, d’acord amb el que disposa el Reglament 910/2014, de 23 de juliol, relatiu a la identificació electrònica i als serveis de confiança per a les transaccions electròniques en el mercat interior (Reglament eIDAS), la Llei 39/2015, d’1 d’octubre, de procediment administratiu comú de les administracions públiques, i l’Esquema Nacional de Seguretat. Com s’exposa en el Protocol, el seu objecte és “oferir un conjunt de criteris comuns similars a la resta d’administracions”.

Així doncs, responent a la primera pregunta, el Protocol és aplicable als ens locals en la mesura que aquests l’adoptin. En qualsevol cas, és recomanable que tot ens públic adopti la seva política de signatura electrònica.

Pel que fa a la segona pregunta, és a dir, la determinació del nivell de seguretat exigible en la tramitació dels procediments de contractació pública, cal tenir en compte diverses normes, com ara la Directiva 2014/24/UE, que estableix que la determinació del nivell de seguretat en les diferents fases de la tramitació del procediment de contractació s'ha de determinar de manera proporcional als riscos associats (art. 22.6). També, la disposició addicional setzena de la Llei 9/2017, de 8 de novembre, de contractes del sector públic, disposa que “els sistemes de comunicacions i per a l’intercanvi i emmagatzematge d’informació han de poder garantir de manera raonable, segons l’estat de la tècnica, la integritat de les dades transmeses” (apartat e) i "els òrgans de contractació han d’especificar el nivell de seguretat exigit per als mitjans de comunicació electrònics utilitzats en les diferents fases de cada procediment de contractació, que ha de ser proporcional als riscos associats als intercanvis d’informació que s’han de fer" (apartat f). Finalment, per concretar el nivell de seguretat exigible per a un determinat tràmit o procediment, també cal tenir en compte el que disposa el punt 3 de l’annex I de l’Esquema Nacional de Seguretat. A més, també cal recordar el que disposa la disposició addicional primera del Decret llei 3/2016, de 31 de maig, de mesures urgents en matèria de contractació pública.

En vista d’aquests elements, el Protocol d’Identificació i Signatura Electrònica de Catalunya considera que la identificació i la signatura en el tràmit o procés de contractació exigeix l'ús de mecanismes de nivell. Tanmateix, en darrera instància cada administració pública pot concretar els mecanismes exigibles en funció de l’anàlisi de riscos realitzada.


↑ Tornar a dalt

5.5 Signatura electrònica i contractació

Tinc una mica d'embolic amb el tema següent:

Hi ha la signatura reconeguda o qualificada i la signatura avançada. Entenc que qualsevol mecanisme de signatura permet identificar i signar. Tant la signatura reconeguda com l'avançada es podrien utilitzar en tràmits que requereixen un alt nivell de seguretat?

Antigament, en temes de contractació, només es permetia la signatura electrònica reconeguda. Ara, segons entenc del que es desprèn dels apunts, tant serviria una signatura reconeguda com una d'avançada?

Els empleats públics fan servir molt aquestes tres signatures:

  • T-CAT: és signatura electrònica reconeguda (és targeta física)?
  • T-CAT P: és signatura electrònica avançada (es descarrega programari)?
  • FNMT: és signatura electrònica avançada (es descarrega programari)?

Els ciutadans (no professionals) solen utilitzar les següents:

  • idCAT mòbil, de sistema de clau concertada. Per tant, entenc que té un baix nivell de seguretat.
  • idCAT, de registre presencial. Per tant, és signatura electrònica avançada?

És correcte el contingut que descric? Em podria respondre les preguntes per acabar de tenir més clar i segur els continguts teòrics amb la realitat del dia a dia de la signatura.

Sens dubte, com comenta una companya al fòrum, el tema d'identificació i signatura té un gran interès i els vídeos ajuden molt a aclarir conceptes.

Per identificar quin mecanisme d’identificació i signatura electrònica es pot emprar en relació amb els diferents tràmits i procediments és útil consultar el Protocol d’Identificació i Signatura Electrònica de Catalunya.

En particular, en el tràmit o procés de contractació, cal aplicar un nivell alt de seguretat per a la identificació i la signatura.

Els sistemes d’identificació electrònica de nivell de seguretat alt són els que fan un registre dels usuaris presencial i fiable i proveeixen els usuaris d’un mitjà d’identificació electrònica de doble factor.

En particular, ho serien els certificats reconeguts o qualificats que s'emetin en un dispositiu qualificat de creació de signatura electrònica.

Sobre el T-CAT del Consorci AOC, recomano la consulta de la informació disponible en aquest enllaç.


↑ Tornar a dalt

5.6 Identificació i signatura electrònica de nivell mitjà

La identificació de nivell mitjà és un certificat avançat no reconegut, oi?

1) Signatura electrònica avançada: aquesta signatura electrònica (art. 3.2 de la Llei 59/2003, de signatura electrònica) permet identificar el signant i en garanteix la integritat. A més, està vinculada al signant de manera única i a les dades a què es refereix, i ha estat creada per mitjans que el signant pot mantenir sota el seu control exclusiu (un exemple n'és la que es genera amb els certificats idCAT que emet CATCert).

2) Signatura electrònica reconeguda: és la signatura electrònica basada en un certificat reconegut (art. 3.3 de la Llei 59/2003, de signatura electrònica), generada mitjançant un "dispositiu segur de creació de signatura" (l'exemple més clar és el d'una targeta criptogràfica com la targeta T-CAT de CATCert). La Llei atribueix a les signatures que reuneixin aquestes condicions el mateix valor jurídic que a la signatura manuscrita. Aquest tipus de signatura garanteix la identitat, la integritat i el no repudi T-CAT.

Ja que la T-CAT P la signatura sí que és reconeguda però el certificat avançat es lliura amb programari però sense dispositiu.

Per donar resposta al teu dubte, cal tenir present el que disposa l’Esquema Nacional de Seguretat, concretat en el Protocol d’Identificació i Signatura Electrònica de Catalunya.

Segons aquest document elaborat pel Consorci AOC, per als tràmits de nivell mitjà o substancial són admissibles les signatures electròniques avançades i els segells electrònics avançats que es fonamenten en un procediment de registre fiable de la identitat dels usuaris.

Per conèixer quins mecanismes de signatura inclouen, es pot consultar el cercador dels prestadors qualificats a l’Estat espanyol.

Finalment, per trobar una explicació més detallada sobre tots aquests conceptes, visiteu l’espai de suport del Consorci Administració Oberta de Catalunya, on trobareu informació sobre els nivells de seguretat dels certificats digitals.


↑ Tornar a dalt

5.7 Signatura electrònica

En el contingut de la unitat 5.1, s'afirma que: "D’entre aquests mecanismes, cada administració pública pot determinar els sistemes que admet per a la identificació de les persones interessades. De totes maneres, si s’admeten els sistemes menys robustos, les administracions públiques també hauran d’admetre la resta de sistemes." Això encara és vigent?

Ho comento perquè a la Llei 39/2015, l'article 9 va ser modificat i on deia "Cada Administración Pública podrá determinar si sólo admite alguno de estos sistemas para realizar determinados trámites o procedimientos, si bien la admisión de alguno de los sistemas de identificación previstos en la letra c) conllevará la admisión de todos los previstos en las letras a) y b) anteriores para ese trámite o procedimiento" s'ha substituit per "Las Administraciones Públicas deberán garantizar que la utilización de uno de los sistemas previstos en las letras a) y b) sea posible para todo procedimiento, aun cuando se admita para ese mismo procedimiento alguno de los previstos en la letra c)".

Al meu entendre, pel que fa al dubte que planteges, la nova redacció no sembla haver suposat una modificació significativa, atès que els mecanismes establerts en les lletres a i b (certificats electrònics qualificats de signatura electrònica i de segell electrònic) han d'estar disponibles en qualsevol cas, la qual cosa també es derivava de la redacció original quan s'utilitzaven els mecanismes establerts en la lletra c, que exigien la disponibilitat dels de les lletres a i b. La diferència és que actualment s'exigeix garantir la possibilitat d'usar la signatura electrònica i de segell electrònic basada en certificats electrònics qualificats.


↑ Tornar a dalt


← Preguntes més rellevants | ← Mòdul 5 | ← Inici del curs

Torna a munt
× Tanqueu els crèdits
Autoria i llicència

Autor: Agustí Cerrillo

El disseny del curs en el format original (MOOC) i l'elaboració dels vídeos el 2019 va anar a càrrec de Homuok SL. El disseny del format actual ha anat a càrrec del Servei de Formació per a la Generalitat, EAPC.

La imatge de la portada és de Gerd Altmann i s'ha obtingut a Pixabay.

L'Escola d'Administració Pública de Catalunya, amb la voluntat de contribuir a la lliure difusió del coneixement i d'acord amb el que estableix la Recomanació de la Comissió Europea sobre gestió de la propietat intel·lectual, difon aquests materials sota una llicència creative commons by-nc-sa. N'autoritza doncs el seu ús amb la condició de:

  • citant-ne font i autoria;
  • amb finalitats no comercials;
  • per fer-ne obres derivades que compleixin les condicions anteriors i es difonguin amb el mateix tipus de llicència.

Llicència de Creative Commons
Aquesta obra està subjecta a una llicència de Reconeixement-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons