BLOQUE 5. CERTIFICACIN ELECTRNICA.

EL PROCEDIMIENTO ELECTRNICO

Los servicios de tramitacin electrnica son el conjunto de instrumentos que usan las Administraciones Pblicas para prestar servicios a los ciudadanos a travs de canales de atencin no

presenciales, con las mismas garantas jurdicas que las transacciones presenciales. Entre estos servicios se encuentran los dedicados a la identificacin y la autenticacin electrnica, y que son aquellos dedicados a cumplir lo establecido en la LAECSP en lo relativo a la identificacin, tanto de ciudadanos como de Administraciones, soportados sobre una o varias soluciones tecnolgicas, que permitan acreditar la identidad, veracidad, acceso, confidencialidad y no repudio de las transacciones

administrativas realizadas por medios telemticos. En este tema nos centraremos fundamentalmente en la definicin de los certificados electrnicos, sus funciones de garantas y efectos, as como la autenticacin electrnica de las administraciones pblicas, dejando para el prximo tema lo relativo a firma electrnica.

Por autenticacin puede entenderse la acreditacin por medios electrnicos de la identidad de una persona o ente, del contenido de la voluntad expresada en sus operaciones, transacciones y documentos, y de la identidad y autora de estos ltimos. La identificacin y autenticacin constituye un tema fundamental para el acceso y uso de la Administracin electrnica, al entenderse toda relacin electrnica entre los ciudadanos y las Administraciones Pblicas y/o de stas entre s, como dependiente necesariamente de una

identificacin previa y reciproca, y su generalizacin como proporcional al

grado de confianza generado por los certificados acreditativos de la personalidad. En primer lugar, hay que tener claro lo que es la infraestructura de clave pblica (Public Key Infrastructure, PKI), la cual permite la aplicacin de muchas de las nuevas tecnologas usadas en la construccin de soluciones para la Administracin electrnica. La expresin PKI se refiere a toda la infraestructura necesaria para poder poner en marcha y explotar sistemas y aplicaciones que utilizan tcnicas de criptografa asimtrica. Esta infraestructura incluye:

usuarios que poseen certificados digitales, entidades de confianza (autoridades de certificacin), protocolos estndar para el intercambio de mensajes, formatos estndar (de certificados, de firmas, de mensajes, ...), repositorios y otros mecanismos de publicacin de certificados, listas de revocacin y otros mecanismos para la comprobacin del estado de certificados digitales,

etc.

El certificado digital, est formado por dos claves, la clave pblica y la privada:

La clave pblica es el nico elemento del certificado digital que est al alcance de cualquiera. Las claves pblicas estn disponibles en directorios publicados en Internet y en algn caso en bases de datos corporativas. Se relaciona, mediante

procedimientos matemticos, con otro elemento (clave privada) para garantizar su confidencialidad e integridad. La clave pblica se utiliza para cifrar y para verificar firmas digitales.

La clave privada es el elemento secreto del certificado. Est relacionado, mediante procedimientos matemticos, con otro

elemento (clave pblica). Se utiliza para descifrar los mensajes recibidos y para crear la firma electrnica.

Los certificados de autenticacin tienen como finalidad garantizar electrnicamente la identidad del ciudadano al realizar una transaccin telemtica. El certificado de autenticacin (Digital Signature) asegura

que la comunicacin electrnica se realiza con la persona que dice que es. El titular podr a travs de su certificado acreditar su identidad frente a cualquiera ya que se encuentra en posesin del certificado de identidad y de la clave privada asociada al mismo. Este certificado no vincula al ciudadano en ninguna forma. Debera por tanto ser utilizado nica y exclusivamente para generar mensajes de autenticacin (confirmacin de la identidad) y de acceso seguro a sistemas informticos (mediante establecimiento de canales privados y confidenciales con los prestadores de servicio). En base a la autenticacin con este certificado, los prestadores de servicios de certificacin no deberan dar acceso a informacin de carcter personal ni solicitar firmas de trmites ni documentos.

La obtencin de los certificados se realizar ante las autoridades de certificacin, tambin conocidos como proveedores de servicios de certificacin. Las autoridades de certificacin mantienen la

responsabilidad de verificar la identidad de un usuario, emitiendo certificados digitales y verificando la validez de los certificados digitales. Las autoridades de certificacin otorgan a las distintas partes la confianza necesaria para interactuar en un entorno en el que nadie se conoce. La misin bsica de las autoridades de certificacin (CAs) es emitir certificados a fin de proveer confianza sobre la autenticidad de las

claves pblicas o, en otros trminos, que acrediten que una clave pblica es realmente del usuario que se la atribuye y que todava est vigente en el sistema. Lo ms importante de un certificado es que toda la informacin que contiene va firmada de modo indisoluble con la clave privada de la Autoridad de Certificacin emisora.

De la misma forma que veremos que hay firmas digitales diversas, tambin existen certificados digitales ordinarios y certificados

reconocidos. Los certificados reconocidos presentan mayor seguridad, ya que necesitan de unos requisitos de seguridad reforzados: a) La indicacin de que se expiden como tales. b) El cdigo identificativo nico del certificado. c) La identificacin del prestador de servicios de certificacin que expide el certificado y su domicilio. d) La firma electrnica avanzada del prestador de servicios de certificacin que expide el certificado. e) La identificacin del firmante, en el supuesto de personas fsicas, por su nombre y apellidos y su nmero de documento nacional de identidad o a travs de un seudnimo que conste como tal de manera inequvoca y, en el supuesto de personas jurdicas, por su denominacin o razn social y su cdigo de identificacin fiscal. f) Los datos de verificacin de firma que correspondan a los datos de creacin de firma que se encuentren bajo el control del firmante. g) El comienzo y el fin del perodo de validez del certificado. h) Los lmites de uso del certificado, si se establecen.

i) Los lmites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.

Los certificados reconocidos podrn asimismo contener cualquier otra circunstancia o atributo especfico del firmante en caso de que sea significativo en funcin del fin propio del certificado y siempre que aqul lo solicite. Si los certificados reconocidos admiten una relacin de representacin incluirn una indicacin del documento pblico que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripcin, de los datos registrales. Antes de la expedicin de un certificado reconocido, los prestadores de servicios de certificacin debern cumplir las siguientes obligaciones: 1. Comprobar la identidad y circunstancias personales de los solicitantes de certificados con arreglo a lo dispuesto en el artculo siguiente. 2. Verificar que la informacin contenida en el certificado es exacta y que incluye toda la informacin prescrita para un certificado reconocido. 3. Asegurarse de que el firmante est en posesin de los datos de creacin de firma correspondientes a los de verificacin que constan en el certificado. 4. Garantizar la complementariedad de los datos de creacin y verificacin de firma, siempre que ambos sean generados por el prestador de servicios de certificacin.

Los certificados electrnicos, pueden ser de diversas clases. Siguiendo a Daz Bermejo1, podemos distinguir: - Certificados de Servidor: aporta a un WEB SITE la caracterstica de seguridad y confianza necesaria para poder entablar cualquier tipo de relacin con los potenciales usuarios. Es el elemento necesario para poder aprovechar la gran va de negocio que supone el comercio a travs de Internet con la mxima rentabilidad y seguridad. Los Certificados de Servidor permiten incorporar el protocolo SSL (Secure Socket Layer) en un servidor Web. Gracias a este protocolo toda comunicacin entre el cliente y el servidor permanece segura, cifrando la informacin que se enva a ambos puntos protegiendo los datos personales, datos de tarjetas de crdito, nmeros de cuenta, passwords, etc. Cobra especial importancia dentro del rea del comercio electrnico, donde la seguridad de los datos es la principal barrera para el desarrollo de este sistema. - Certificados para WAP: Los Certificados WAP permiten a las WEB comerciales existentes y de nueva creacin la realizacin de

transacciones seguras con los consumidores mviles. Los nuevos portales basados en transacciones mviles seguras expandirn el comercio electrnico entre los usuarios mviles y los WEB SITES dedicados al comercio. Los servidores WAP necesitan proporcionar seguridad y confianza a los usuarios potenciales. Esta es la base para que se establezca una contraprestacin que satisfaga a ambas partes. Los Certificados WAP permiten mantener conexiones seguras basadas en encriptacin y autenticacin con dispositivos de telefona mvil. Certificados Personales: otorgan seguridad a los correos

electrnicos basados en un standard S/MIME. Podr firmar o cifrar los

DIAZ BERMEJO, G. Firma electrnica y los Servicios de Certificacin, en Noticias

Jurdicas.com. 2007.

mensajes de correo para asegurarse de que slo el receptor designado sea el lector de nuestro mensaje. - CAs Corporativas: es la solucin ptima para las empresas que quieran disponer de un sistema de generacin de cualquier tipo de Certificado para sus usuarios (trabajadores, proveedores, clientes, etc.) y servidores. Una CA Corporativa puede generar cualquier tipo de certificado, ya sean Certificados Personales, de Servidor, para WAP, para firmar Cdigo e incluso para IPSec-VPN. En funcin del tipo de funcionalidad que se le quiera dar a la CA se deber escogerse un diferente tipo de CA Corporativa. - Certificados para firmar Cdigo: el Certificado para la Firma de Cdigo, permitir a un Administrador, Desarrollador o Empresa de Software firmar su Software (ActiveX, Applets Java, Plug-ins, etc.) y Macros, y distribuirlo de una forma segura entre sus clientes. - Certificados para IPSec-VPN: los Certificados para VPN son los elementos necesarios para que la empresa aproveche las cualidades y ventajas de la utilizacin de las VPNs de un modo plenamente seguro. Las VPNs surgen como consecuencia de la creciente demanda de Seguridad en las comunicaciones ya sea entre Router-Router o ClienteServidor. Su utilizacin es importante en el teletrabajo, comunicacin entre sucursales distantes de una misma empresa. Los certificados digitales, cumplen funciones muy relevantes, siendo la principal la de generar confianza en el intercambio de informacin va telemtica. Como venimos indicando, un certificado digital permite a sus propietarios: 1. firmar documentos y mensajes, lo que garantiza: la identidad de las partes que tratan entre s va telemtica, evitando as suplantaciones; la integridad de la informacin enviada, evitando modificaciones de los contenidos; y el no repudio de los compromisos

adquiridos; 2

cifrar documentos y mensajes, lo que garantiza la

confidencialidad de sus contenidos. Un certificado digital siempre est en alguno de los siguientes estados: Activo, Suspendido, Revocado, Caducado.

Los certificados de seguridad son vlidos por un perodo de tiempo determinado: en el propio certificado hay que indicar la fecha y hora del comienzo y la extincin de su validez. La duracin del perodo de validez de los certificados no debe ser muy dilatada en el tiempo. No hay ningn problema en renovar el certificado cuantas veces sea necesario. As, se evita que los datos estn mucho tiempo en circulacin y puedan ser copiados, manipulados o utilizados ilcitamente por terceros. En Espaa, se sealan como causa de extincin de la vigencia de un certificado: 1. Expiracin del perodo de validez que figura en el certificado. 2. Revocacin formulada por el firmante, la persona fsica o jurdica representada por ste, un tercero autorizado o la persona fsica solicitante de un certificado electrnico de persona jurdica. 3. Violacin o puesta en peligro del secreto de los datos de creacin de firma del firmante o del prestador de servicios de certificacin o utilizacin indebida de dichos datos por un tercero. 4. Resolucin judicial o administrativa que lo ordene. 5. Fallecimiento o extincin de la personalidad jurdica del firmante; fallecimiento, o extincin de la personalidad jurdica del

representado; incapacidad sobrevenida, total o parcial, del firmante o de su representado; terminacin de la representacin; disolucin de la persona jurdica representada o alteracin de las condiciones de custodia o uso de los datos de creacin de firma que estn reflejadas en los certificados expedidos a una persona jurdica.

6. Cese en la actividad del prestador de servicios de certificacin salvo que, previo consentimiento expreso del firmante, la gestin de los certificados electrnicos expedidos por aqul sean transferidos a otro prestador de servicios de certificacin. 7. Alteracin de los datos aportados para la obtencin del certificado o modificacin de las circunstancias verificadas para la expedicin del certificado, como las relativas al cargo o a las facultades de representacin, de manera que ste ya no fuera conforme a la realidad. 8. Cualquier otra causa lcita prevista en la declaracin de prcticas de certificacin.

En el caso de los certificados reconocidos este perodo no podr ser superior a cuatro aos. La extincin de la vigencia de un certificado electrnico surtir efectos frente a terceros, en los supuestos de expiracin de su perodo de validez, desde que se produzca esta circunstancia y, en los dems casos, desde que la indicacin de dicha extincin se incluya en el servicio de consulta sobre la vigencia de los certificados del prestador de servicios de certificacin. Los certificados pueden ser igualmente revocados una vez que se cumple el perodo de tiempo para el que fueron creados. Pero tambin puede darse el supuesto de una revocacin anticipada, generalmente cuando la clave privada ha sido extraviada o perdida y existe el temor de que esa clave haya cado en manos de terceros, y pueda ser utilizada de manera ilcita. Los prestadores de servicios de certificacin suspendern la vigencia de los certificados electrnicos expedidos si concurre alguna de las siguientes causas:

1. Solicitud del firmante, la persona fsica o jurdica representada por ste, un tercero autorizado o la persona fsica solicitante de un certificado electrnico de persona jurdica. 2. Resolucin judicial o administrativa que lo ordene. 3. La existencia de dudas fundadas acerca de la concurrencia de las causas de extincin de la vigencia de los certificados. 4. Cualquier otra causa lcita prevista en la declaracin de prcticas de certificacin. La suspensin de la vigencia de un certificado electrnico surtir efectos desde que se incluya en el servicio de consulta sobre la vigencia de los certificados del prestador de servicios de certificacin.

EL PROCEDIMIENTO ELECTRNICO.

Una vez delimitado el certificado electrnico, su creacin y efectos, pasaremos al estudio de la identificacin electrnica de las

Administraciones y de la autenticacin del ejercicio de las competencias administrativas, as como del procedimiento o tramitacin electrnica. La LAESCP establece en su arts. 17 a 20 la regulacin de estas cuestiones, distinguiendo cuatro mbitos fundamentalmente:

identificacin de sedes electrnicas, sistemas de firmas electrnicas para la actuacin administrativa automatizada, firma electrnica del personal al servicio de las Administraciones e intercambio de datos de entornos cerrados. Dejando las cuestiones relativas a la firma electrnica para el prximo bloque temtico, distinguiremos: - Sede electrnica: conjunto de pginas web, accesible en remoto a travs de una direccin electrnica, a travs de las cuales, mediante la utilizacin de las redes de telecomunicaciones, se puede acceder y

10

consultar la informacin, as como utilizar los servicios que en ello se presten. La LAESCP establece que: las Administraciones Pblicas debern garantizar las comunicaciones seguras con sus sedes electrnicamente utilizando, para la identificacin de las mismas, sistemas de firma electrnica basados en certificado de dispositivo seguro o medio equivalente de tal forma que los usuarios tengamos la absoluta certeza de que estamos conectando con la Administracin. - Intercambio de datos en entornos cerrados: el art. 20 LAESCP determina la eficiencia y validez jurdica de los documentos electrnicos transmitidos en entornos cerrados de comunicaciones. Mediante convenio se establecern las condiciones, garantizndose, en todo caso, las condiciones de seguridad y la proteccin de los datos que se transmitan.

La LAESCP incorpora la utilizacin de un conjunto de instrumentos electrnicos para la prestacin de servicios electrnicos a los ciudadanos y los procedimientos administrativos que los gestionan. Veamos los elementos ms relevantes de este procedimiento: - Sede electrnica: es el primer punto de contacto entre el ciudadano y la Administracin a la hora de iniciar la tramitacin del procedimiento administrativo. En dicha sede debern habilitarse el registro electrnico, buzn del ciudadano, etc.., de la misma forma y con los mismos requisitos generales que las sedes de atendimiento presencial. Entre los elementos a incluir hay que destacar: La necesaria identificacin de su titularidad mediante el uso de certificados de servidor y sistemas de firma electrnica basados en certificados de dispositivo seguro o medio equivalente. Un inventario o catlogo de servicios actualizado y a disposicin del ciudadano.

11

 Formularios normalizados y en su caso precumplimentados. Un sistema o buzn de quejas y sugerencias. Publicacin de comunicaciones institucionales (Boletines

oficiales, anuncios o edictos). Aplicaciones necesarias para el correcto funcionamiento de los sistemas de registro y notificacin telemtica. Registro electrnico de solicitudes y documentacin. Contenidos estructurados, permanentemente actualizados y ofrecidos en diversos idiomas, con informacin de carcter general y especfica para colectivos heterogneos.

El

art.

37 LAESCP, establece la obligatoriedad de habilitar las

consultas al estado de tramitacin de un procedimiento y la informacin al ciudadano del estado de tramitacin. De esta manera, las Administraciones Pblicas deben poner a disposicin de los interesados, en los procesos gestionados

electrnicamente, un servicio electrnico de acceso restringido accesible mediante la sede electrnica donde stos puedan consultar, previa identificacin, el estado de tramitacin de los mismos, garantizando siempre la confidencialidad y el control en el acceso a este servicio. Asimismo, en los dems procedimientos se debern habilitar servicios electrnicos de informacin del estado de la tramitacin que

comprendan, al menos, la fase en la que se encuentra el procedimiento; y el rgano o unidad responsable de su tramitacin.

- Formularios de solicitud electrnica: el art. 35.1 LAESC establece que las Administraciones podrn desplegar de forma progresiva formularios de solicitud electrnica disponibles en la sede electrnica, en el que el ciudadano podr completar electrnicamente todos los campos

12

de informacin requeridos y adjuntar la documentacin preceptiva para el inicio del procedimiento. Asimismo, ser posible ofrecer al ciudadano dichos formularios precumplimentados para la confirmacin de los datos por el ciudadano o su rectificacin a fin de facilitar al ciudadano el acceso a los servicios y actuando en dichos casos la Administracin de manera proactiva (por ejemplo, el borrador de Renta). Por otro lado, el formulario incorporar la opcin de anexado de documentos, lo que permitir a los interesados la aportacin de documentacin electrnica, siempre que cumpla con los requisitos de formato y seguridad establecidos. Como indica el art. 25 LAECSP, las Administraciones Pblicas debern admitir documentos electrnicos anexos aportados por los interesados a las solicitudes, escritos y comunicaciones, as como disponer de mecanismos que permitan el registro y almacenamiento de los mismos. De igual forma, las Administraciones debern emitir automticamente un recibo acreditando la correcta entrega, siempre que los documentos cumplan con los estndares de formato y los requisitos de seguridad determinados en los Esquemas Nacionales de Interoperabilidad y Seguridad Segn el art. 35 LAESCP, las Administraciones Pblicas podrn

solicitar el cotejo del contenido de las copias aportadas y, slo si no es posible, requerir al particular la exhibicin del documento o informacin original.

- Registro electrnico: rgano administrativo encargado de la recepcin y salida de cualesquiera solicitudes, escritos, consultas y comunicaciones que se transmitan telemticamente.

13

Las Administraciones Pblicas debern implementar, en su sede electrnica, al menos un registro electrnico para habilitar la presentacin de documentos. Estos registros debern cumplir las exigencias de validez de la actuacin administrativa: autenticidad, integridad,

disponibilidad y confidencialidad. Las Administraciones estn obligadas a poner a disposicin

permanente, en la sede electrnica, el texto ntegro de la disposicin de creacin de los mismos, as como los tipos de documentos y escritos que admiten. Asimismo, estos registros debern estar igualmente disponibles como mdulos reutilizables para ser integrados por otras aplicaciones que requieran este servicio. Los art. 24 y siguientes LAESCP, atribuye otras funciones suplementarias al registro electrnico, como por ejemplo, la expedicin automtica de acuses de recibo de presentacin de documentos, consistentes en copia autenticada del documento, fecha y hora de presentacin y n de entrada de registro, as como la anotacin de asientos de entrada al registro (art. 25.3). En cuanto al funcionamiento, los registros electrnicos, a efecto del cmputo de plazos, se rigen por la fecha y hora oficial de la sede electrnica, permitiendo la presentacin de solicitudes, escritos y comunicaciones todos los das del ao durante las veinticuatro horas (Registro permanente). Al efecto, las Administraciones debern

especificar los das inhbiles en su norma de creacin.

- Compulsa: El art. 35.2 LAESCP, establece que la compulsa de documentos faculta al ciudadano, tanto al inicio, como durante el

desarrollo de un procedimiento administrativo, para la incorporacin de documentacin digitalizada procedente del escaneo de documentos fsicos originales, una vez cotejada por el ciudadano la fidelidad de los

14

contenidos del documento digitalizado con su original, que garantizar mediante la utilizacin de firma electrnica avanzada. Conforme al art. 30.3 LAESCP, las Administraciones Pblicas podrn transferir a formato electrnico, siempre con las garantas necesarias, los documentos en papel que aporten los ciudadanos en un procedimiento, pudiendo estas copias electrnicas de documentos en papel realizarse de forma automatizada, mediante el uso de sello electrnico. Asimismo, de acuerdo con lo previsto en este artculo, se consideran copias autnticas, aquellas realizadas en papel de documentos emitidos por medios electrnicos y que incluyan la impresin de un cdigo de verificacin electrnico u otros sistemas que permitan identificar la autenticidad de dichos documentos. Mediante este sistema de compulsa electrnica, las Administraciones debern admitir como vlidas las copias realizadas por medios electrnicos de documentos electrnicos emitidos por el ciudadano o las Administraciones, siempre que el original est en poder de la Administracin y la firma electrnica o sellado de tiempo demuestren la coincidencia con el mismo.

- Notificaciones y Comunicaciones: Las comunicaciones consisten en el envo, por parte de la Administracin, de informacin sobre actuaciones relacionadas con el expediente en tramitacin, mientras que las notificaciones suponen la manifestacin de actos administrativos formalizados. Conforme al art. 27 LAESCP, para garantizar la validez, seguridad, integridad y proteccin de datos de las comunicaciones electrnicas, deben cumplirse los siguientes requisitos: a) constancia en la transmisin y recepcin y en sus fechas; b) integridad del contenido; c) identificacin

15

de remitente y destinatario; y d) confidencialidad cuando proceda segn las normas de proteccin de datos. Al efecto de las relaciones entre diferentes Administraciones Pblicas, la Ley dispone que, de forma preferente, utilizarn medios electrnicos en sus comunicaciones con otras Administraciones, atendiendo a las premisas y condiciones previamente pactadas entre las mismas. En el supuesto de las notificaciones, para que se practiquen utilizando algn medio electrnico, el art. 28 LAESCP establece que se requerir que el interesado haya sealado dicho medio como preferente o haya consentido su utilizacin, que se manifestar en el impreso de solicitud del procedimiento o mediante incorporacin en la Orden publicada en el boletn correspondiente. Los interesados podrn, en cualquier momento, requerir que las sucesivas notificaciones no se practiquen por medios electrnicos. Finalmente, la LAESCP desarrolla una serie de requerimientos para la ejecucin de notificaciones electrnicas a ciudadanos, entre las que constan fundamentalmente: a) admisin de la creacin reglamentaria por las diferentes Administraciones Pblicas de sistemas de notificacin que permitan acreditar fecha y hora de la puesta a disposicin del acto objeto de notificacin; y b) determinacin del concepto de efecto de

notificacin, entendindose como practicada una vez que el interesado accede electrnicamente al contenido de la misma, siempre que quede constancia de dicho acceso.

16