La identificació i la signatura de les persones en les relacions juridicoadministratives en el marc de la Llei 39/2015

1. Introducció

La Llei 39/2015 representa un canvi substancial en la manera d'actuar de les administracions públiques. Davant d'una administració presencial, basada en el paper, la Llei 39/2015 culmina el procés que va iniciar la Llei 11/2007, de 22 de juny, d'accés electrònic dels ciutadans als serveis públics.

La Llei 11/2007 va comportar el reconeixement del dret subjectiu dels ciutadans a relacionar-se amb l'Administració per mitjans electrònics, que portava aparellat l'obligació de les administracions públiques d'introduir serveis i tràmits administratius duts a terme per mitjans electrònics. Però la Llei 39/2015 ha anat molt més enllà, en impulsar de manera significativa l'obligatorietat de la tramitació electrònica, que es manifesta amb l'increment substancial dels subjectes que, a l'empara de les disposicions de l'article 14.2, estan obligats a tramitar electrònicament.

En un apunt anterior parlàvem sobre com implementar aquesta obligatorietat des del punt de vista de la seva transitorietat, i analitzàvem el criteri que ha estat adoptat per l'Administració de la Generalitat. Aprofitàvem aquesta anàlisi per fer una comparativa amb altres administracions (estatal, autonòmica i local).

En qualsevol cas, el que ens interessa destacar és que, cada vegada més, l'actuació de les administracions públiques es vehicularà per mitjans electrònics, i que ja no té sentit parlar d'Administració electrònica, sinó que hem d'intentar aprofundir en el concepte de tramitació electrònica, en el si d'una única administració. Recordeu que el 2 d'octubre de 2018 no ha de tornar a entrar paper a l'Administració, ja que els registres generals i auxiliars es convertiran en oficines d'assistència en matèria de registres, i hi haurà un únic registre electrònic en què entraran els documents prèviament digitalitzats, que hauran estat retornats a les persones interessades (amb un rebut automàtic de presentació), tal com disposa l'article 16.5 de la Llei 39/2015.

Però avui parlarem d'identificació i signatura, com elements bàsics en la tramitació electrònica, i ens centrarem en la identificació i la signatura de les persones, ja que la identificació i la signatura de les administracions públiques i dels empleats públics és regulada a la Llei 40/2015, especialment als articles 43 i 45, els quals seran objecte d'anàlisi específic en un apunt futur.

Aquesta diferenciació lliga amb la nova sistemàtica derivada del canvi normatiu que ha comportat la derogació de la Llei 30/1992. Mentre que les relacions ad extra són regulades a la Llei 39/2015, les relacions ad intra són regulades a la Llei 40/2015; en resum, estaríem fent referència respectivament a la gestió externa i a la gestió interna de la relació juridicoadministrativa.

2. La diferenciació entre identificació i signatura de les persones interessades

Quan parlem de tramitació electrònica és evident que l'element presencial se supera i se substitueix per la utilització de mitjans electrònics d'identificació i signatura, els quals permeten a les persones interessades d'actuar a distància davant de les administracions públiques.

L'article 13.g de la Llei 39/2015, quan regula els drets de les persones en les seves relacions amb les administracions públiques, inclou el dret a obtenir i utilitzar els mitjans d'identificació i signatura electrònica que disposa aquesta Llei.

Recordeu que aquests drets de les persones són de caràcter genèric, ja que s'atribueixen a qualsevol persona amb capacitat d'obrar. El concepte de persona seria equiparable al de ciutadà a què feia referència l'article 35 de la Llei 30/1992, tot i que aquell article no diferenciava els drets que tenien les persones en les seves relacions juridicoadministratives, dels drets que tenien les persones interessades en un procediment determinat. Al contrari, la Llei 39/2015 diferencia tots dos conceptes i, al mateix temps, a l'article 13 indica que, al marge dels drets enumerats, aquests drets s'entenen sens perjudici dels que reconeix l'article 53 referits a les persones interessades en el procediment administratiu.

És a dir, qui és interessat en un procediment administratiu té, a més dels drets de l'article 53, els de l'article 13. Òbviament, qualsevol persona, i especialment les persones interessades en un procediment administratiu, s'han de poder identificar, i eventualment han de poder signar, quan actuen electrònicament. Simultàniament, l'Administració ha de tenir, amb un grau de fiabilitat alt, la certesa que aquella persona que està actuant a distància és qui és. La Llei 39/2015 dona resposta jurídica a aquests requeriments, i a l'article 9 parla dels sistemes d'identificació de les persones interessades en el procediment, mentre que a l'article 10 parla dels sistemes de signatura admesos per les administracions públiques. Cal fer tres precisions:

a) En primer lloc, la diferenciació entre identificació i signatura deriva del Reglament (UE) 910/2014 del Parlament Europeu i del Consell de 23 de juliol de 2014, relatiu a la identificació electrònica i als serveis de confiança per a les transaccions electròniques en el mercat interior. Cal recordar que, tal com passa presencialment, hi ha ocasions en què una persona, en la seva relació amb l'Administració, es limita a identificar-se (és el cas, per exemple, quan una persona entra en un departament de la Generalitat i el personal de seguretat l'identifica amb el seu DNI), mentre que hi ha altres casos en què la persona interessada signa una sol·licitud, escrit o comunicació.

En la tramitació electrònica passa el mateix: hi ha ocasions en què la persona haurà de limitar-se a identificar-se, i uns altres en què haurà de signar.

Per aquesta raó, la Llei 39/2015 diferencia els sistemes d'identificació i de signatura.

b) En segon lloc, la Llei 39/2015 estableix, com a regla general, que n'hi haurà prou amb la identificació.

Així hi disposa l'article 11.1, quan indica que "per efectuar qualsevol actuació que estableix el procediment administratiu, n'hi ha prou que les persones interessades n'acreditin prèviament la identitat". I tan sols exigeix la signatura per als actes més qualificats (art. 11.2):

En definitiva, es demana la signatura per a les actuacions de la persona interessada que siguin més rellevants des del vessant jurídic.

c) En tercer lloc, és comprensible que els requeriments d'identificació i de signatura no siguin els mateixos.

Si analitzem el llistat de sistemes enumerats a l'article 9 i 10 de la Llei 39/2015, veiem que els requeriments tecnològics o sistemes de signatura són més alts en el cas de les actuacions que requereixen signatura que no pas en el cas en què es requereix la identificació.

Per exemple, la lletra c de l'article 9.2 parla de sistemes de clau concertada (que serien els ja coneguts usuari i contrasenya), mentre que l'article 10.1, quan parla de la signatura, indica que "Les persones interessades poden signar a través de qualsevol mitjà que permeti acreditar l'autenticitat de l'expressió de la seva voluntat i consentiment, així com la integritat i inalterabilitat del document".

En definitiva, quan se signa, a més de la certesa de la identitat de la persona, s'ha de garantir la inalterabilitat o la integritat d'allò que se signa. Per aquesta raó, els sistemes de signatura electrònica admesos ha de permetre garantir tots dos extrems: la identificació i la integritat.

3. Sistemes d'identificació i de signatura admesos i nivells de seguretat

Actualment, hi ha molts sistemes d'identificació i de signatura que poden ser utilitzats pels ciutadans i per les empreses (persones globalment considerades), sistemes que són proveïts pels prestadors de serveis de confiança (abans del Reglament eIDAS, certificació), en el marc de la Llei 59/2003, de 19 de desembre, de signatura electrònica.

Aquests prestadors de serveis de confiança poden ser privats i públics, i dintre d'aquests últims poden destacar el DNI-e, expedit pel Ministeri de l'Interior, l'Idcat del Consorci AOC, i altres sistemes d'identificació i de signatura al núvol, com el cl@ve de l'Estat, o l'idCAT-Mòbil del Consorci AOC o el Mobile ID de l'Ajuntament de Barcelona.

Aquests sistemes d'identificació i de signatura poden ser utilitzats per a diferents tràmits que efectuïn les persones interessades amb l'Administració corresponent, i la tipologia de sistema d'identificació i/o signatura que s'admeti es determinarà en funció del grau de seguretat en la identificació que es vulgui assolir. Així, per raó del grau de seguretat, els sistemes d'identificació es poden classificar en nivells de seguretat baix, substancial o alt.

El Reglament comunitari de signatura electrònica (Reglament eIDAS), els regula a l'article 8. Conformement a aquest article, es diferencien:

- Nivell de seguretat baix, amb l'objectiu de reduir el risc d'ús indegut o alteració de la identitat presentada.

- Nivell de seguretat substancial, amb l'objectiu de reduir substancialment el risc d'ús indegut o alteració de la identitat.

- Nivell de seguretat alt, amb l'objectiu d'evitar l'ús indegut o l'alteració de la identitat.

Tot i que l'àmbit d'aplicació del Reglament eIDAS es limita a la identificació electrònica en l'accés transfronterer als serveis públics, aquests criteris de seguretat són igualment considerats a l'hora de determinar els sistemes de signatura a admetre.

Per aquesta raó, els objectius de reduir, reduir substancialment, o evitar el risc de suplantació d'una persona interessada en una relació juridicoadministrativa són els que porten a cada Administració, d'acord amb el principi de proporcionalitat, a determinar quins tipus de signatura es poden exigir en un determinat procediment o tràmit.

Aquesta determinació no és aleatòria, sinó que es relaciona amb els tipus de signatura legalment admesos, que es poden diferenciar igualment en tres grans tipus: signatura electrònica reconeguda o qualificada, signatura avançada i signatura ordinària. Cadascun d'aquests tipus de signatura incorporen uns requeriments tecnològics que permeten atribuir més valor jurídic a l'actuació administrativa concreta i que ens permet avançar que tan sols la signatura electrònica reconeguda o qualificada s'equipara a la signatura manuscrita (art. 3.4 de la Llei 59/2003 i art. 25.2 del Reglament eIDAS). Al mateix temps, es poden identificar els diferents sistemes de signatura amb nivell de seguretat baix, substancial o alt, d'acord amb els paràmetres abans indicats; per exemple, el DNI-e tindria un nivell alt de seguretat, mentre que el cl@ve (en la modalitat permanent) seria equiparable a un nivell substancial de seguretat.

Aquesta determinació es fa d'acord amb especificacions tècniques mínimes, normes i procediments que permetin determinar la fiabilitat o qualitat de determinats elements, com són: la inscripció o el registre, la gestió dels mitjans d'identificació, el mecanisme d'autenticació utilitzat per confirmar la identitat, i la gestió i l'organització del sistema (com ara les característiques i el disseny del mitjà, o l'expedició, el lliurament i l'activació d'aquest). A títol d'exemple, pot ser un factor d'autenticació basat en la possessió d'aquest, un factor d'autenticació basat en el coneixement, en què el subjecte ha de demostrar que el coneix, o un factor d'autenticació inherent, basat en un atribut físic que el subjecte és obligat a demostrar que posseeix.

Correspon a cada administració decidir quins sistemes d'identificació i de signatura requerirà a les persones o altres interessats que s'hi relacionin i, aquesta decisió, la prendrà fent una anàlisi de proporcionalitat o de riscos, d'acord amb els paràmetres indicats més amunt. La tendència actual en el funcionament de les administracions públiques, és requerir per a la majoria dels tràmits sistemes d'identificació o de signatura, almenys substancials, i al mateix temps permetre que les actuacions menys rellevants, des del vessant jurídic, es puguin fer amb sistemes considerats de nivell de seguretat baix.

Però aquest marc legal no és complert sense fer referència a les disposicions del Reglament d'execució (UE) 2015/1502 de la Comissió de 8 de setembre de 2015 sobre la fixació d'especificacions i de procediments tècnics mínims per als nivells de seguretat dels mitjans d'identificació electrònica (aplicable en tots els Estats membres, atenent a la seva naturalesa de reglament comunitari), el qual regula a l'annex les especificacions i els requeriments, el compliment o no dels quals permetran qualificar un sistema d'identificació concret de nivell baix, substancial o alt.

Així, per exemple, en aplicació els criteris de determinació a valorar, es configura com alt el sistema que, a més de complir els requeriments del nivell substancial, inclou proves d'identificació fotogràfiques o biomètriques.

En resum, com ja hem dit anteriorment, amb aquests requeriments es busca tenir la certesa, amb un grau suficientment alt, que aquella persona que està actuant davant de l'Administració pública és qui és. Això s'articula, a la pràctica, establint, per a un determinat procediment o tràmit, uns sistemes d'identificació o de signatura que compleixin els requeriments legals, entre d'altres, de la Llei 39/2015, de la Llei 59/2003 i dels reglaments comunitaris indicats.

Finalment, cal tenir present que la determinació del sistema d'identificació i/o signatura a emprar ha de tenir en compte igualment les condicions de seguretat establertes en l'Esquema Nacional de Seguretat (ENS), regulat pel Reial decret 3/2010, de 3 de gener, el qual permetrà que les aplicacions o els sistemes per a la tramitació electrònica puguin definir el nivell de seguretat de la qualitat de l'autenticació que han de demanar sobre la base de la naturalesa de les dades que es tractin i la classificació de seguretat d'acord amb les recomanacions de l'ENS.

4. El protocol d'identificació i de signatura de l'Administració de la Generalitat

En el cas de l'Administració de la Generalitat, l'Ordre GRI/233/2015, de 20 de juliol, per la qual s'aprova el Protocol d'identificació i signatura electrònica, estableix els criteris comuns a l'Administració de la Generalitat de Catalunya pel que fa als aspectes tècnics i organitzatius necessaris per a la implantació dels sistemes d'identificació i de signatura electrònica per a cada tràmit o servei, en funció del seu grau de seguretat. En definitiva, estableixen els paràmetres tècnics i organitzatius sobre la base dels quals s'exigirà una determinada identificació i/o signatura.

Amb aquesta finalitat, l'ordre disposa que s'ha d'avaluar el nivell de seguretat (baix, substancial o alt) a exigir als diferents tràmits a efectuar i, en funció d'aquesta classificació, establir un determinat nivell.

Destaquem l'apartat 8 d'aquesta ordre, que indica que:

a) El criteri general són els sistemes d'identificació i de signatura classificats amb nivell de seguretat mitjà o substancial.

b) S'exigeix el nivell alt per a tràmits que transfereixin dades d'alt nivell de protecció, o hi donin accés, segons l'article 7 de la Llei orgànica de protecció de dades de caràcter personal, la identificació i la signatura en el tràmit o el procés de contractació, i la identificació i la signatura en el tràmit o el procés de concessió de subvencions o altres tràmits amb un contingut econòmic de més de 60.000 euros o quan així sigui establert en les bases reguladores de les convocatòries.

c) Finalment, el nivell baix de seguretat s'exigeix per als tràmits de pagament o autoliquidacions de taxes i tributs, i per a tots els tràmits electrònics o serveis electrònics d'un procediment administratiu, a excepció de determinades actuacions (formular sol·licituds, presentar declaracions responsables, interposar recursos, desistir d'accions o renunciar a drets, així com els tràmits que continguin una informació d'un nivell més elevat de seguretat).

Com veieu, la identificació i la signatura electrònica en el marc de les relacions juridicoadministratives requereix l'adopció de decisions concretes en tràmits i procediments concrets, que s'han de prendre en l'àmbit de les àrees d'organització dels departaments de l'Administració de la Generalitat, d'acord amb el marc legal que hem analitzat, i amb criteris comuns, com els que estableix l'Ordre GRI/233/2015, que hem esmentat a la part final d'aquest apunt.