Presentación utilizada por JAVIER ALVAREZ HERNANDO en el Curso LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES que se ha desarrollado el 24 de octubre de 2016 (presencial) en Valladolid, en el marco de la ESCUELA DE ADMINISTRACION PUBLICA DE CASTILLA Y LEON (ECLAP).
El Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS) establece las condiciones en que los Estados miembros deberán reconocer los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro, así como las normas para los servicios de confianza y un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.
Escrito de nulidad solicitando nulidad de oficio.docx
LA FIRMA ELECTRÓNICA- ASPECTOS JURIDICO PROCEDIMENTALES ADMINISTRACION ELECTRONICA
1. LA FIRMA ELECTRÓNICA-LA FIRMA ELECTRÓNICA-
ASPECTOS JURIDICOASPECTOS JURIDICO
PROCEDIMENTALESPROCEDIMENTALES
ADMINISTRACIONADMINISTRACION
ELECTRONICAELECTRONICAVALLADOLID
24 de octubre de 2016
1
2. Normativa básica sobre e-firma
Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999,por
la que se establece un marco comunitario para la firma electrónica.DEROGADO el 1 de julio de
2016.
Ley 59/2003, de 19 de diciembre, de firma electrónica (modificaciones de la
Ley 56/2007 y Ley 25/2015, de 28 de julio) . Regula:
La firma electrónica.
Su eficacia jurídica.
La prestación de servicios de certificación
Reglamento UE 910/2014 relativo a la identificación electrónica y los servicios
de confianza para las transacciones electrónicas en el mercado interior
(eIDAS): establece: las condiciones en que los Estados miembros deberán reconocer los medios de
identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación
electrónica notificado de otro Estado miembro, así como las normas para los servicios de confianza y un
marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los
documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para
la autenticación de sitios web.
2
Parcialmente sin aplicación por:
Parcialmente sin aplicación por:
3. ¿Qué regula el Reglamento eIDAS?
El Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del
Consejo, de 23 de julio de 2014, relativo a la identificación
electrónica y los servicios de confianza en las transacciones
electrónicas en el mercado interior y por el que se deroga la Directiva
1999/93/CE (eIDAS) establece las condiciones en que los Estados
miembros deberán reconocer los medios de identificación
electrónica de las personas físicas y jurídicas pertenecientes a un
sistema de identificación electrónica notificado de otro Estado
miembro, así como las normas para los servicios de confianza y
un marco jurídico para las firmas electrónicas, los sellos
electrónicos, los sellos de tiempo electrónicos, los documentos
electrónicos, los servicios de entrega electrónica certificada y los
servicios de certificados para la autenticación de sitios web. 3
4. Normativa nacional esencial
La Ley 30/1992, de 26 de noviembre, establece, en su artículo 45, que las Administraciones Públicas impulsarán
el empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos para el desarrollo de su
actividad y el ejercicio de sus competencias.DEROGADO
Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. DEROGADO (EN
PARTE)
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de
junio,de acceso electrónico de los ciudadanos a los servicios públicos.DEROGADO (EN PARTE).
Ley del Procedimiento Administrativo Común de las Administraciones Públicas (Ley
39/2015, de 1 de octubre) y la La Ley de Régimen Jurídico del Sector Público (Ley
40/2015, de 1 de octubre).
Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del DNI y sus
certificados de firma electrónica.
Real Decreto 869/2013, de 8 de noviembre, por el que se modifica el Real Decreto 1553/2005
L.O.P.D. 15/1999, de 13 de diciembre y el RD. 1720/2007. (Reglamento de la L.O.P.D.)
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el
ámbito de la Administración Electrónica.
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad
en el ámbito de la Administración Electrónica.
Etc
4
7. Normativa autonómica
ORDEN PAT/1662/2005, de 21 de noviembre, por la que se crea y regula el InventarioAutomatizado de Procedimientos
Administrativos de laAdministración de la Comunidad de Castilla y León.
ORDEN PAT/1984/2006, de 4 de diciembre, se regula el procedimiento para la presentación telemática de recursos
administrativos y se aprueba la aplicación que efectúa el tratamiento de la información.
Acuerdo 29/2009, de 12 de marzo, de la Junta de Castilla y León, por el que se aprueba el Plan de Implantación de la
Administración Electrónica en Castilla y León
Decreto 23/2009, de 26 de marzo, de medidas relativas a la simplificación documental en los procedimientos administrativos
OrdenADM/941/2009, de 2 de mayo, por la que desarrolla el Decreto 23/2009, de 26 de marzo, de medidas relativas a la
simplificación documental en los procedimientos administrativos (parcialmente derogado).
Orden/942/2009, de 2 de mayo, sobre normalización de formularios asociados a procedimientos administrativos
(parcialmente derogado).
LEY 2/2010, de 11 de marzo, de Derechos de los Ciudadanos en sus relaciones con laAdministración de la Comunidad de
Castilla y León y de Gestión Pública.
Orden FAM/302/2012, de 27 de abril, por la que se aprueba la utilización de un Código Seguro deVerificación de
documentos electrónicos en el ámbito de los Servicios Sociales en Castilla y León.
Acuerdo 17/2012, de 8 de marzo, de la Junta de Castilla y León, por el que se pone en marcha el Modelo de Gobierno
Abierto de la Junta de Castilla y León.
Decreto 7/2013, de 14 de febrero, de utilización de medios electrónicos en laAdministración de Castilla y León.
Decreto 7/2016, de 17 de marzo, por el que se regula el procedimiento para el ejercicio del derecho de acceso a la
información pública en la Comunidad de Castilla y León.
7
10. Digitalización social
Internet nos ha hecho cambiar.
Las acciones cotidianas sugieren el impulso de la
digitalización: identificadores de radiofrecuencia (RFID); codigos
QR; tabletas digitalizadoras para firmar; reconocimiento facial y
identificación biométrica; geolocalización; pagos con paypal;
bitcoins….
Interrelación con los demás: entre particulares y con la
Administración.
Tecnología no exenta de problemas.
Internet: inicialmente, diseñada para funcionar (la seguridad es una
característica añadida posteriormente). No está blindada contra
espionaje o suplantación…línea insegura
10
11. 11
La firma electrónica no garantiza el éxito de las
actividades electrónicas, pero ayuda a lograrlo de
forma más rápida y eficiente.
El sistema creado incrementa la confianza de los
usuarios en la comunicación y en el comercio
electrónico.
14. Organización para la Cooperación y el Desarrollo
Económico (OCDE)
El coste de un trámite
presencial puede
situarse, según el SCM
(Standard Cost Model),
en una media de 80
euros y el de un trámite
electrónico en 5 euros.
(Nota de Prensa del Plan de
Administración Electrónica del
Gobierno 2013-2015) 14
15. Quien está al otro lado?
Sistemas tradicionales de
seguridad redundan en la
identificación física de la
persona, DNI, firma..
También han sido
utilizados otros como:
Garantía de destinatario
seleccionado, correo
certificado, burofax…
Aseguramiento de que el
hecho se produjo y
cuando: fe pública
notarial.
15
16. Búsqueda de la confidencialidad a lo largo de la
historia: criptografía
Las técnicas criptográficas se remontan a la antigüedad, y ya en el año 400 a.C.
aparecen las primeras prácticas
16
18. Ejemplo de Cifrado digital en el método de
julio cesar
El desplazamiento de 3 letras es la clave utilizada para
cifrar el mensaje.
La misma clave es usada para descifrarlo.
Se trata de un criptosistema de clave simétrica.
El ejemplo de César es una muestra del concepto de
Cifrado Digital.
18
19. Criptografía de clave simétrica
Se emplea una sola clave para cifrar y descifrar el mensaje.
Su ventaja más significativa es su velocidad, lo cual la hace
apropiada para el cifrado de grandes cantidades de datos.
Su inconveniente es la seguridad, ya que la clave debe ser
distribuida.
19
20. Criptografía de clave asimétrica
Se caracterizan por utilizar una pareja de claves creadas
mediante métodos matemáticos complejos.
Clave privada, que será custodiada por su propietario.
Clave pública, que será conocida por todos los usuarios.
Son complementarias entre sí; lo que cifra una sólo puede
descifrarlo la otra y viceversa.
Ventajas: sistema más seguro, ya que suprime la necesidad
del envío de la clave.
Inconveniente: lentitud de la operación.
20
21. Proceso de cifrado
Cuando se firma electrónicamente un documento en el ordenador del
emisor se obtiene un resumen del documento a través de una función
hash. El resumen obtenido se cifra con la clave privada del firmante y se
obtiene la firma electrónica del documento.
21
23. La firma y tipología
La firma es la serie de datos que incorpora una
persona en un documento para expresar su
aprobación con el contenido, para darle
autenticidad o para garantizar su integridad.
23
24. Tipos de firmas
a) La firma autógrafa se produce cuando una persona graba a mano
un nombre, un título o un gráfico que le representa, sobre un soporte
tangible. Se puede plasmar de cualquier forma visible sobre el elemento escogido;
esto es, puede ser grabada, cincelada o escrita. Esta firma, cuando es original y está
realizada en un documento de papel, se caracteriza porque deja un surco, propio de
la presión de su escritor.
b)Firma sellada: estampación de un sello con un conjunto de signos o
un gráfico que representa a una persona o a una entidad concreta. Esta
firma puede grafiarse o estamparse mediante el uso de tecnología láser o de
impresión.
c) Firma electrónica: Es la consignación electrónica de datos que
permiten identificar al firmante y, en ocasiones, garantizar que el
contenido del documento firmado no ha sufrido variaciones. Debe
usarse un programa informático específico para identificar y comprender la firma
electrónica que se haya empleado para firmar el documento.
24
25. Firma electrónica simple
Conjunto de datos en forma
electrónica, consignados junto a otros
o asociados con ellos, que pueden ser
utilizados como medio de
identificación del firmante. (artículo
3.1 de la Ley 59/2003).
Son los datos en formato electrónico
anejos a otros datos electrónicos o
asociados de manera lógica con ellos
que utiliza el firmante para firmar
(Art. 3.10 Reglamento eIDAS).
25
26. Es decir, para que una firma sea simple, tan
solo será necesario que cumpla todos los
requisitos siguientes
Una firma electrónica simple es un conjunto de datos.
Este conjunto de datos debe poder ser utilizado para identificar al
firmante.
El conjunto de datos debe estar expresado en forma electrónica.
El conjunto de datos debe estar consignado junto a otros datos o
asociados a ellos.
26
La firma simple no tiene, por sí
sola, el mismo valor que la firma
manuscrita
27. La firma electrónica simple se emplea en
multitud de casos
Integración de una firma escaneada: al añadir una firma escaneada
a un documento, se estará haciendo uso de una firma simple para
expresar la aceptación del contenido, identificándose, de esta forma, el
firmante.
Dibujar digitalmente una firma: la firma dibujada con el cursor o
con un lápiz electrónico es una firma simple.
Consignación de los datos personales: Un documento puede ser
firmado mediante firma simple con la mera adición de un dato personal
del firmante.
Es correcto pensar, en principio, en que todos los mecanismos de
autenticación, como el número personal de identificación
(PIN) sirven como firma electrónica, y de hecho, en gran cantidad
de contratos de acceso a servicios telemáticos, se establece que el PIN
del usuario es la firma electrónica del usuario.
27
29. No se niegan efectos jurídicos a la firma
simple
Esto implica que todos los mecanismos técnicos de autenticación
sean potencialmente considerados como la firma electrónica de una
persona, dado que, de acuerdo con el artículo 3.9 de la Ley
59/2003 señala que «No se negarán efectos jurídicos de
una firma electrónica que no reúna los requisitos de firma
electrónica reconocida en relación con los datos a los que
esté asociada por el mero hecho de presentarse en forma
electrónica».
Artículo 25.1 Reglamento eIDAS: No se denegarán efectos
jurídicos ni admisibilidad como prueba en procedimientos judiciales
a una firma electrónica por el mero hecho de ser una firma
electrónica o porque no cumpla los requisitos de la firma
electrónica cualificada.
29
30. Plenos efectos jurídicos en la
aa.pp
Art. 3.11 LFE (reformado por la
Dispo. F. 2ª Ley 39/15):
Todos los sistemas de
identificación y firma
electrónica previstos en la LPA
y la Ley de Régimen Jurídico
del Sector Público tendrán
plenos efectos jurídicos.
30
31. firma electrónica simple como mecanismo de
identidad digital
La firma electrónica ordinaria es sencillamente un mecanismo
de identidad digital, y que no resulta idóneo para la
firma de documentos, de acuerdo con la propia dicción legal.
Recordamos que dijimos que no se negarán efectos a la firma
por esas circunstancias específicas, pero que sí se podrán
negar efectos por otras circunstancias, como que la firma
electrónica no pueda considerarse suficientemente segura, o
que no permita establecer un vínculo suficientemente fiable
entre firmante y mensaje firmado. En el caso del PIN, la
ausencia de este vínculo es muy palpable.
31
32. requisitos que ha de contener una firma
electrónica para ser considerada avanzada
Artículo 3.2 de la Ley de Firma Electrónica y 26 del reglamento eidas
32
La firma avanzada no tiene
el mismo valor que la
firma manuscrita
33. Firma electrónica avanzada en el reglamento
europeo 910/2014 eidas.
Artículos 3.11 y 26.
«firma electrónica avanzada», la firma electrónica que cumple
los requisitos:
a) estar vinculada al firmante de manera única;
b) permitir la identificación del firmante;
c) haber sido creada utilizando datos de creación de la firma electrónica
que el firmante
puede utilizar, con un alto nivel de confianza, bajo su control exclusivo,
y
d) estar vinculada con los datos firmados por la misma de modo tal que
cualquier modificación ulterior de los mismos sea detectable.
33
34. La firma electrónica avanzada (LFE
y eIDAS)
Se trata de un tipo de firma
electrónica de mayor seguridad y
calidad, susceptible de recibir
efectos jurídicos.
La tecnología más extendida en el
campo de las firmas electrónicas
es la tecnología llamada firma
digital, basada en la criptografía
asimétrica.
34
35. La firma electrónica avanzada
características
Autenticación
La firma digital es equivalente a la firma física de un
documento.
Integridad
El mensaje no podrá ser modificado.
No repudio en origen
El emisor no puede negar haber enviado el mensaje.
Confidencialidad. Encriptación de las
comuni-caciones. La firma electrónica no aporta
confidencialidad al mensaje por sí misma pero ocurre habitualmente
que los mensajes firmados electrónicamente se suelen enviar cifrados
con la misma clave privada utilizada en la firma para mayor seguridad. 35
36. La firma avanzada es usada en multitud de
casos, a través de Internet y otras redes de
transmisión telemática de datos. Ejemplos.
Uso de plataformas de certificación: El empleo
de certificados de terceros, para garantizar que no se
modifique el contenido de un mensaje, suele ir
acompañado del cifrado del mismo por medio de la
adición de una firma electrónica avanzada.
Firma de contratos y curricula : Los sistemas de
ofimática más comunes ofrecen una herramienta para
la creación de certificados digitales, que, debidamente
empleados, pueden ser usados para firmar
documentos.
36
37. Reconocimiento jurídico de la firma
electrónica avanzada
Primero. Todas las firmas electrónicas son jurídicamente
aceptables, puesto que no se puede negar efectos jurídicos a
la firma electrónica únicamente por el hecho de
encontrarse en forma electrónica, o por no basarse en un
certificado reconocido, o por no haber sido creada
empleando un dispositivo seguro de creación de firma
(artículo 3.9 de la Ley 59/2003). Sin embargo, sí pueden
negarse efectos jurídicos a las firmas electrónicas
que no ofrezcan realmente las garantías de
integridad del mensaje, de autenticación de la
entidad y de autenticación del origen de los datos.
37
38. Reconocimiento jurídico de la firma
electrónica avanzada (2)
Segundo. Debe existir un contexto legal o contractual
que defina los efectos de la firma electrónica, dado que la firma
electrónica avanzada no recibe el efecto jurídico típico de la
equivalencia con la firma manuscrita directamente de la Ley
59/2003, contexto que recibe un reconocimiento explícito en
el artículo 3.10 de la citada Ley, cuando establece que «a los
efectos de lo dispuesto en este artículo, cuando una firma
electrónica se utilice conforme a las condiciones
acordadas por las partes para relacionarse entre sí, se
tendrá en cuenta lo estipulado entre ellas.»
38
39. La firma electrónica reconocida
/art. 3.3 lfe /cualificada (arts
3.12; y 25.2 y 3) eidas
La firma reconocida, o también
llamada firma cualificada, es la
firma electrónica avanzada
basada en un certificado
reconocido y generada mediante
un dispositivo seguro de creación
de firma.
39
40. Terminología sobre firma electrónica
cualificada en el reglamento europeo
910/2014.
Art. 3. 12) «firma electrónica cualificada», una firma electrónica
avanzada que se crea mediante un dispositivo cualificado de creación
de firmas electrónicas y que se basa en un certificado cualificado de
firma electrónica;
RECONOCIMIENTO EN EL RESTO DE PAISES MIEMBROS
DE LA UE
3. Una firma electrónica cualificada basada en un certificado cualificado
emitido en un Estado miembro será reconocida como una firma
electrónica cualificada en todos los demás Estados miembros.
40
41. Los requisitos que ha de reunir una firma
electrónica para tener obtener naturaleza
de firma reconocida o cualificada son los
siguientes:
La firma ha de cumplir todos los
requisitos exigidos a la firma
avanzada.
La firma debe estar basada en un
certificado reconocido.
La firma debe haber sido generada
mediante un dispositivo seguro de
creación de firma. Ver Art. 24 LFE
41
42. La firma electrónica reconocida/
cualificada
La firma electrónica reconocida recibe, respecto
del resto de firmas electrónicas, unos efectos
concretos directamente de la Ley, que
consisten en su equiparación con la
firma manuscrita. De esta forma, el artículo
3.4 de la Ley 59/2003 dispone que «la firma
electrónica reconocida tendrá respecto de los
datos consignados en forma electrónica el
mismo valor que la firma manuscrita en
relación con los consignados en papel».
Art. 25. 2. Reglamento europeo: Una firma
electrónica cualificada tendrá un efecto jurídico
equivalente al de una firma manuscrita.
42
43. La firma electrónica
reconocida
Por tanto, no es necesario ni un contrato privado ni
una norma jurídica para «reconocer» la firma.
La firma electrónica reconocida es una firma
electrónica avanzada (art. 3.2 de la Ley 59/2003), y
por tanto, cumple y reúne todas las características de
ésta, que hemos visto anteriormente.
43
EN ESENCIA: No todas las firmas electrónicas avanzadas
son susceptibles de ser calificadas firmas electrónicas
reconocidas; sin embargo, todas las firmas
electrónicas reconocidas son necesariamente firmas
electrónicas avanzadas.
44. Dispositivos de firma electrónica:
Art. 24 LFE.- Dispositivos de creación de firma electrónica.
Los datos de creación de firma son los datos únicos, como códigos o claves
criptográficas privadas, que el firmante utiliza para crear la firma
electrónica.
Un dispositivo de creación de firma es un programa o sistema informático
que sirve para aplicar los datos de creación de firma.
Art. 25-LFE.- Dispositivos de verificación de firma
electrónica.
1. Los datos de verificación de firma son los datos, como códigos o claves
criptográficas públicas, que se utilizan para verificar la firma electrónica.
2. Un dispositivo de verificación de firma es un programa o sistema informático que sirve
para aplicar los datos de verificación de firma.
44
45. 1.- Dispositivo seguro de creación de
firma
Se define en la ley como «un dispositivo de creación de firma que ofrece, al
menos, las siguientes garantías:
a) Que los datos utilizados para la generación de firma pueden producirse
sólo una vez y asegura razonablemente su secreto.
b) Que existe una seguridad razonable de que los datos utilizados para
la generación de firma no pueden ser derivados de los de verificación de
firma o de la propia firma y de que la firma está protegida contra la
falsificación con la tecnología existente en cada momento.
c) Que los datos de creación de firma pueden ser protegidos de forma
fiable por el firmante contra su utilización por terceros.
d) Que el dispositivo utilizado no altera los datos o el documento
que deba firmarse ni impide que éste se muestre al firmante antes del
proceso de firma».
45
46. FIRMANTE
El firmante es la persona que
utiliza un dispositivo de
en nombre propio o en
ART. 6.2 LFE
46
47. DISPOSITIVO DE CREACIÓN DE FIRMA (Arts.
3.22; 3.23; 29 reglamento 910/2014
23) «dispositivo cualificado de
enumerados en el anexo II;
47
48. REQUISITOS DE LOS DISPOSITIVOS
CUALIFICADOS DE CREACIÓN DE FIRMA
ELECTRÓNICA (Anexo II Reglamento
910/14)
a) esté garantizada razonablemente la confidencialidad de los datos
de creación de firma electrónica utilizados para la creación de firmas
electrónicas;
b) los datos de creación de firma electrónica utilizados para la
creación de firma electrónica solo puedan aparecer una vez en la
práctica;
c) exista la seguridad razonable de que los datos de creación de
firma electrónica utilizados para la creación de firma electrónica no
pueden ser hallados por deducción y de que la firma está protegida
con seguridad contra la falsificación mediante la tecnología
disponible en el momento;
48
49. d) los datos de creación de la firma electrónica utilizados para la
creación de firma electrónica puedan ser protegidos por el firmante
legítimo de forma fiable frente a su utilización por otros.
Los dispositivos cualificados de creación de firmas electrónicas no
alterarán los datos que deben firmarse ni impedirán que dichos datos
se muestren al firmante antes de firmar.
La generación o la gestión de los datos de creación de la firma
electrónica en nombre del firmante solo podrán correr a cargo de
un prestador cualificado de servicios de confianza.
Sin perjuicio de la letra d) del punto 1, los prestadores cualificados
de servicios de confianza que gestionen los datos de creación de
firma electrónica en nombre del firmante podrán duplicar los datos
de creación de firma únicamente con objeto de efectuar una copia
de seguridad de los citados datos siempre que se cumplan unos
requisitos de seguridad que no reproducimos aquí. 49
50. Certificación de los dispositivos
cualificados de creación de firmas.
Arts. 30 y 31 del Reglamento 910/2014.
Debe haber una certificación por parte de la
AAPP mediante un proceso de evaluación de
la seguridad de los productos tecnológicos. Se
utiliza una lista de normas de seguridad.
Los Estados Miembros deben comunicar a la
Comisión Europea información de los
dispositivos cualificados que se hayan
certificado o que haya expirado tal
certificación.
Se publica una lista con los dispositivos
cualificados de creación de firmas electrónicas
certificadas.
50
51. 2.- Dispositivos de verificación de firma
electrónica (LFE).
Los dispositivos de verificación de firma electrónica garantizarán, siempre que sea
técnicamente posible, que el proceso de verificación de una firma electrónica satisfaga, al
menos, los siguientes requisitos:
Que los datos utilizados para verificar la firma correspondan a los datos mostrados a
la persona que verifica la firma.
Que la firma se verifique de forma fiable y el resultado de esa verificación se presente
correctamente.
Que la persona que verifica la firma electrónica pueda, en caso necesario, establecer de forma
fiable el contenido de los datos firmados y detectar si han sido modificados.
Que se muestren correctamente tanto la identidad del firmante o, en su caso, conste
claramente la utilización de un seudónimo, como el resultado de la verificación.
Que se verifiquen de forma fiable la autenticidad y la validez del certificado electrónico
correspondiente.
Que pueda detectarse cualquier cambio relativo a su seguridad.
Los datos referentes a la verificación de la firma, tales como el momento en que ésta se produce o
una constatación de la validez del certificado electrónico en ese momento, podrán ser
almacenados por la persona que verifica la firma electrónica o por terceros de confianza.
51
52. Requisitos de validación de las e-firmas
cualificadas (reglamento europeo)
Arts. 32, 33 y 34.
Se trate de un certificado cualificado de firma electrónica.
Certificado emitido por un prestador de servicios de confianza.
Que la firma se haya creado mediante un dispositivo cualificado
de creación de firmas electrónicas.
La integridad de los datos no se haya visto comprometida.
Cumpla los requisitos del art. 26, es decir, cumpla los
requisitos de la firma electrónica avanzada.
52
53. Los casos en los que más han de
verificarse las
firmas electrónicas son los siguientes
verificación de que la firma electrónica con la que está firmada una
página web es válida, como las usadas por las sedes electrónicas de las
Administraciones Públicas;
la validación de facturas electrónicas firmadas con firma electrónica
reconocida; y
la verificación de firmas reconocidas añadidas a contratos
electrónicos, tanto en formato de documento de texto como de correo
electrónico.
En todos estos casos, el interesado que haya realizado la
verificación de la firma puede almacenar los datos
obtenidos, tales como el momento en que esta se
produce o una constatación de la validez del certificado
electrónico en ese momento. 53
54. Un sistema adecuado de validación de firmas es el
prestado a través de su sitio https://valide.redsara.es/
54
58. Certificados cualificados de firma
electrónica en el reglamento
410/2014
Regulado en los artículos 3.14 y 3.15
(definiciones) y 28 del Reglamento Europeo
910/2014.
Son certificados de el-firma expedido por
un prestador cualificado de servicios de
confianza y que cumplen los requisitos
establecidos en el Anexo I del Reglamento
(siguiente diapositiva).
Si son revocados pierden su validez desde ese
momento.
Los Estados Miembros pueden fijar normas
nacionales sobre la suspensión temporal de
certificados cualificados.
58
59. REQUISITOS que deben contener LOS
CERTIFICADOS CUALIFICADOS DE FIRMA
ELECTRÓNICA. ANEXO I del reglamento
europeo.
Indicación de que el certificado ha sido expedido como certificado cualificado de firma
electrónica;
Un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de
confianza que expide los certificados cualificados, incluyendo como mínimo el Estado miembro
en el que dicho prestador está establecido.
el nombre del firmante o un seudónimo.
datos de validación de la firma electrónica que correspondan a los datos de creación de la firma
electrónica;
inicio y final del período de validez del certificado;
el código de identidad del certificado, que debe ser único para el prestador cualificado de
servicios de confianza;
la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de
confianza expedidor;
el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica
avanzada
la localización de los servicios que pueden utilizarse para consultar el estado de validez del
certificado cualificado;
59
60. Resumiendo: ¿Cuántos tipos de firma
electrónica hay?
El Reglamento (UE) 910/2014 define tres tipos de firma electrónica:
«firma electrónica», los datos en formato electrónico anejos a otros datos electrónicos
o asociados de manera lógica con ellos que utiliza el firmante para firmar.
«firma electrónica avanzada», la firma electrónica que cumple los siguientes
requisitos:
estar vinculada al firmante de manera única.
permitir la identificación del firmante.
haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede
utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación
ulterior de los mismos sea detectable.
«firma electrónica cualificada», una firma electrónica avanzada que se crea mediante
un dispositivo cualificado de creación de firmas electrónicas y que se basa en un
certificado cualificado de firma electrónica.
60
61. Resumiendo ¿Cuántos tipos de sello
electrónico hay?
El Reglamento (UE) 910/2014 define tres tipos de sello electrónico:
«sello electrónico», datos en formato electrónico anejos a otros datos en formato
electrónico, o asociados de manera lógica con ellos, para garantizar el origen y la
integridad de estos últimos.
«sello electrónico avanzado», un sello electrónico que cumple los siguientes
requisitos:
estar vinculado al creador del sello de manera única.
permitir la identificación del creador del sello.
haber sido creado utilizando datos de creación del sello electrónico que el
creador del sello puede utilizar para la creación de un sello electrónico, con un
alto nivel de confianza, bajo su control exclusivo, y
estar vinculado con los datos a que se refiere de modo tal que cualquier
modificación ulterior de los mismos sea detectable.
«sello electrónico cualificado», un sello electrónico avanzado que se crea
mediante un dispositivo cualificado de creación de sellos electrónicos y que se basa en
un certificado cualificado de sello electrónico.
61
62. CONCEPTO DE DOCUMENTO ELECTRONICO
EN EL REGLAMENTO 910/2014
Art. 3.35)
«documento
electrónico», todo
contenido
almacenado en
formato
electrónico, en
particular, texto o
registro sonoro,
visual o
audiovisual.
62
63. FIRMA DE DOCUMENTOS
ELECTRONICOS
63
REQUISITOS DE UN DOCUMENTO
ELECTRONICO (ART. 3.5 LFE)
El documento electrónico es una
información de cualquier naturaleza.
La información ha de expresarse en
forma electrónica.
La información ha de estar archivada
en un soporte electrónico.
La información ha de estar archivada
según un formato determinado.
El formato ha de ser susceptible de
identificación y tratamiento
diferenciado.
64. TIPOS de Documentos electrónicos
Estos documentos, que pueden ser públicos, administrativos o privados,
tienen el valor y la eficacia jurídica que corresponda a su respectiva
naturaleza, de conformidad con la legislación que les resulte aplicable
DOCUMENTOS PÚBLICOS, por estar firmados
electrónicamente por funcionarios que tengan
legalmente atribuida la facultad de dar fe pública,
judicial, notarial o administrativa, siempre que actúen
en el ámbito de sus competencias con los requisitos
exigidos por la ley en cada caso.
DOCUMENTOS ADMINISTRATIVOS.
Documentos expedidos y firmados electrónicamente
por funcionarios o empleados públicos en el
ejercicio de sus funciones públicas, conforme a su
legislación específica.
DOCUMENTOS PRIVADOS.
64
65. EFICACIA DEL DOCUMENTO
El artículo 3.7 señala que «los documentos a que se refiere el
apartado anterior tendrán el valor y la eficacia jurídica que
corresponda a su respectiva naturaleza, de conformidad con la
legislación que les resulte aplicable».
En el artículo 3.8 de la Ley 59/2003 se reconoce la
admisibilidad como prueba documental en juicio del
«soporte en que se hallen los datos firmados
electrónicamente».
Art. 46 del Reglamento 910/2014: No se denegarán
efectos jurídicos ni admisibilidad como prueba en
procedimientos judiciales a un documento
electrónico por el mero hecho de estar en formato
electrónico.
65
66. IMPUGNACION DE LA FIRMA E RECONOCIDA
ARTICULO 3.8 LFE: que «Si se impugnare
la autenticidad de la firma electrónica
reconocida con la que se hayan firmado los
datos incorporados al documento electrónico se
procederá a comprobar que se trata de
una firma electrónica avanzada basada
en un certificado reconocido, que cumple
todos los requisitos y condiciones establecidos
en esta Ley para este tipo de certificados, así
como que la firma se ha generado mediante un
dispositivo seguro de creación de firma
electrónica. 66
67. La carga de realizar las citadas comprobaciones
corresponderá a quien haya presentado el
documento electrónico firmado con firma
electrónica reconocida. Si dichas comprobaciones
obtienen un resultado positivo, se presumirá la
autenticidad de la firma electrónica reconocida con la
que se haya firmado dicho documento electrónico siendo
las costas, gastos y derechos que origine la
comprobación exclusivamente a cargo de quien
hubiese formulado la impugnación. Si, a juicio
del tribunal, la impugnación hubiese sido
temeraria, podrá imponerle, además, una multa
de 120 a 600 euros. 67
68. IMPUGNACION DE LA FIRMA E AVANZADA
Si se impugna la autenticidad de la firma
electrónica avanzada, con la que se hayan firmado
los datos incorporados al documento electrónico, se
estará a lo establecido en el apartado 2 del artículo
326 de la Ley de Enjuiciamiento Civil.»:
68
69. Artículo 326 lec. Fuerza probatoria de los
documentos privados.
Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan
firmado los datos incorporados al documento electrónico, se deberá llevar a cabo el
correspondiente cotejo u otro sistema de determinación de la fuerza probatoria del
documento privado. Cuando se impugna la autenticidad de la firma y, por tanto, del
documento privado, el que lo haya presentado podrá pedir el cotejo
pericial. El apartado 2 del artículo 326 LEC prevé esta particularidad y señala que
también se podrá proponer cualquier otro medio de prueba que resulte útil y
pertinente al efecto. Si del cotejo o de otro medio de prueba se desprendiese la
autenticidad del documento, las costas, gastos y derechos que origine el cotejo o
comprobación serán exclusivamente de cargo de quien hubiese formulado la
impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá
imponerle, además, una multa de 120 a 600 euros, conforme prevé el apartado
tercero del artículo 320 de la LEC y de la misma forma que lo hace el artículo 3 de la
Ley de Firma Electrónica en relación a la autenticidad de las firmas reconocidas
impugnadas. En cambio, cuando no se pudiera deducir la autenticidad de
la firma avanzada o no se hubiera propuesto prueba alguna, el tribunal
lo valorará conforme a las reglas de la sana crítica.
69
70. CERTIFICADOS ELECTRONICOS en el
reglamento 910/2014
ART. 3 Definiciones.
14) «certificado de firma electrónica», una declaración
electrónica que vincula los datos de validación de una firma con
una persona física y confirma, al menos, el nombre o el
seudónimo de esa persona;
15) «certificado cualificado de firma electrónica», un
certificado de firma electrónica que ha sido expedido por un
prestador cualificado de servicios de confianza y que cumple los
requisitos establecidos en el anexo I;
70
71. Certificado reconocido en la lfe
El concepto de certificado reconocido viene recogido en el
artículo 11.1 de la Ley 59/2003: «lo son los certificados
electrónicos expedidos por un prestador de servicios
de certificación que cumpla los requisitos establecidos
en la presente Ley en cuanto a la comprobación de la
identidad y demás circunstancias de los solicitantes y a
la fiabilidad y las garantías de los servicios de
certificación que presten ».
A continuación, el artículo 11.2 recoge el contenido mínimo que
debe reunir un certificado reconocido, y el artículo 20 de la
misma describe las obligaciones exigibles a los prestadores de
servicios de certificación que expiden certificados reconocidos. 71
72. Certificado electrónico
Para poder firmar digitalmente documentos es necesario disponer de
un certificado electrónico. Este certificado es un documento
electrónico que es expedido por una Autoridad Certificadora. La
misión del certificado es, como su nombre indica, validar y
certificar que una firma electrónica se corresponde con una
persona o entidad concreta.
72
73. Nueva tipología de certificados con el
reglamento eidas
A raíz de la entrada en vigor del Reglamento eIDAS, desaparecen las
tipologías de certificados existentes depersona física, persona
jurídica, entidad sin personalidad jurídica,…) la Ley 59/2003 (y
Ley 11/2007 (sello electrónico y sede electrónica), sustituyéndose
por las nuevas recogidas en el eIDAS (firma, sello, autenticación
web).
Con el nuevo Reglamento Europeo parecen nuevos tipos de
certificados y desaparecen los específicos de la Ley 59/2003
como el de persona jurídica y el de entidad sin
personalidad jurídica, que dejan de renovarse y en muchos casos
pasan a considerarse certificados no
reconocidos/cualificados, como en el caso de los certificados
de sede electrónica y sello electrónico según la Ley 11/2007.
73
74. Los nuevos tipos según el Reglamento eIDAS son:
1. Certificado de firma: orientado a la identificación y
firma de personas físicas (firmantes). Es equivalente al
certificado de firma de persona física de la ley 59/2003.
74
75. Los nuevos tipos según el Reglamento eIDAS son:
2.- Certificado de sello: orientado al sello de personas
jurídicas (creadoras de sello). Es parcialmente similar al
certificado de persona jurídica de la Ley 59/2003, con las
diferencias:
No llevan una persona custodio/responsable del certificado.
Se orienta al sello (garantía de origen e integridad de los datos).Art
35.2 Reglamento.
Además de autenticar el documento expedido por la persona
jurídica, los sellos electrónicos pueden utilizarse para autenticar
cualquier activo digital de la persona jurídica, por ejemplo,
programas informáticos o servidores (considerando 65 del eIDAS)
Cuando una transacción exija un sello electrónico cualificado de una
persona jurídica, debe ser igualmente aceptable una firma electrónica
cualificada del representante autorizado de la persona jurídica.
(considerando 58 del eIDAS). No a la inversa.
75
76. Los nuevos tipos según el Reglamento eIDAS son:
3.- Certificado de autenticación
web. Orientado a vincular el sitio web
(dominio de Internet) con la persona
física o jurídica titular del certificado.
76
77. Los nuevos tipos según el Reglamento eIDAS son:
4.- Certificado no cualificado. Puede estar orientado tanto a
personas físicas, como jurídicas, componentes, SSL.
Para persona física no se contempla su uso ya que no está recogido
en la legislación vigente (Ley 39/2015), al no aportar las mismas
garantías que los certificados cualificados, como por ejemplo estar
sometidos a una supervisión más ligera, los requisitos de
verificación de la identidad de la persona a quien se expide el
certificado, o proporcionar el estado de validez o revocación de
forma automatizada, fiable, gratuita y eficiente. etc. Los
certificados no cualificados no se garantiza que vayan a poder ser
validados.
77
78. certificados de persona jurídica y de entidad
sin personalidad jurídica a extinguir
Los certificados de persona jurídica y de entidad sin
personalidad jurídica emitidos antes del 1 de julio de 2016,
fecha de aplicación completa del Reglamento (UE) 910/2014,
podrán seguir utilizándose hasta su caducidad o
revocación, pero no podrán renovarse después de esa fecha,
tal.
78
79. Tener presente que a partir de la
entrada en vigor del eIDAS:
Los certificados Europeos no tienen DNI, y en la mayor parte de los
casos tampoco un identificador único. Solo es obligatorio el
nombre y apellido (normalmente uno) o incluso un seudónimo.
Además pueden llevar otra información variada asociada a la identidad
(lugar de nacimiento, fecha de nacimiento…)
79
80. Certificados de empleado publico con
seudónimo.
A raíz de la modificación del RD 1671/2009, así como con la entrada en vigor de
la ley 40/2015, se incluye la posibilidad de emitir certificados de
empleado público con seudónimo. El eIDAS también contempla que el
certificado lleve un seudónimo.
Hasta ahora este tipo de certificados no se contemplaba para los certificados de
empleado público.
En la ley 40/2015 de Régimen Jurídico del Sector Público se contempla la
posibilidad de certificados de empleado público en el artículo 43.2 “Por razones
de seguridad pública los sistemas de firma electrónica podrán
referirse solo el número de identificación profesional del empleado
público” .
Se emitirán certificados de empleado público con seudónimo, previsiblemente
para los cuerpos de seguridad del estado y para los colectivos que tiene previsto el
RD 1671/2009:“afecten a información clasificada,a la seguridad pública o a la defensa
nacional o a otras actuaciones,en las que esté legalmente justificado el anonimato para su
realización”, que incluirán únicamente el número de identificación
profesional del empleado.
80
81. periodo de validez (Art. 8. apdo.2 lfe)
El periodo de validez de los
firma.
En el caso de los certificados
no
81
82. Detalle de un certificado
Versión: identifica el formato del certificado
Nº de serie: cada certificado es único dentro
de la Autoridad Certificadora
Algoritmo: se pueden utilizar múltiples
algoritmos para firmar el certificado
Autoridad Emisora: nombre de la Autoridad
de Certificación que emite el certificado
Periodo de validez: desde / hasta
Asunto: Nombre del usuario y NIF o NIE
Clave Pública del usuario: incluye además
algoritmo usado y longitud clave
Firma de la Autoridad de Certificación
82
83. Detalle de un certificado
Es un fichero informático que puede estar alojado en el navegador o alojado
en una tarjeta criptográfica protegida por pin (DNIe).
83
87. Modalidades de firma electrónica
En papel un documento puede contener la firma
MANUSCRITA de varias personas:
En un caso, las firmas pueden tener el mismo peso
o valor legal, por lo que da igual el orden en el que
se estampen las firmas en el documento.
Otro caso, es el que unas firmas sirven para
refrendar o certificar otras firmas anteriores, por lo
que el orden en el que se estampan las firmas es
importante. 87
88. Tipos de firmas: simples, en línea o contrafirma
Firmas simples. Son las firmas básicas que contienen la firma de
un solo firmante.
Co-firma o firma en línea. Es la firma múltiple en la que todos
los firmantes están al mismo nivel y en la que no importa el orden
en el que se firma. La co-firma se utiliza en la firma de documentos
que son resultados de reuniones, conferencias o comités.
Contrafirma o firma en cascada. Firma múltiple en la que el
orden en el que se firma es importante, ya que cada firma debe
refrendar o certificar la firma del firmante anterior. La contra-firma
se utiliza especialmente en aplicaciones como los Porta Firmas, en
los que un documento debe seguir una línea específica a través de
varios firmantes hasta que todo el proceso es aprobado.
Las aplicaciones de firma electrónica @Firma, eCoFirma y FirmaFácil, desarrolladas por la
Administración Pública, así como otras muchas que pueden encontrarse en el mercado, permiten co-
firmar archivos.
88
89. Formatos de firma electrónica
El formato de firma electrónica es la manera en que se estructura la
información de consignación digital en el documento
electrónico resultante, así como la forma en que este se
genera.Algunos formatos que definen esta estructura son los
siguientes:
OOXML: Es el formato de firma que utiliza Microsoft Office.
ODF: Es el formato de firma que utiliza Open Office.
PAdES o PDF Advanced Electronic Signatures: Es un formato
basado en una extensión de PDF a la que se le han aplicado ciertos
límites y restricciones.
CAdES o CMS Advanced Electronic Signatures: Es un grupo
de formatos derivados de la Sintaxis de Mensajes Criptográficos o
CMS.
XAdES o también llamado XMLDSig, XML-DSig, XML-Sig: Es el
formato que define una sintaxis concreta de XML, que incluye el uso
89
90. Existen distintos formatos de firma que van incrementando la
calidad de la misma hasta conseguir una firma que pueda ser
verificada a largo plazo (de forma indefinida) con plenas garantías
jurídicas:
Firma Básica (AdES - BES), es el formato básico para satisfacer los
requisitos de la firma electrónica avanzada.
AdES T, se añade un sellado de tiempo (T deTimeStamp) con el fin de
situar en el tiempo el instante en que se firma un documento.
AdES C, añade un conjunto de referencias a los certificados de la
cadena de certificación y su estado, como base para una verificación
longeva (C de Cadena).
AdES X, añade sellos de tiempo a las referencias creadas en el paso
anterior (X de eXtendida).
AdES XL, añade los certificados y la información de revocación de los
mismos, para su validación a largo plazo (XL de eXtendido Largo plazo).
AdES A, permite la adición de sellos de tiempo periódicos para garantizar
la integridad de la firma archivada o guardada para futuras verificaciones (A
deArchivo).
90
91. El ciudadano común usará con cierta indiferencia uno
u otro formato, guiándose por el que mejor se adapte
a su manera de trabajar o por el programa de
ordenador que utilice para efectuar la firma
91
92. En la instalación de ecofirma se pregunta
por el tipo de firma que desea el usuario
92
93. El almacenamiento del archivo original es otro
elemento fundamental a valorar al elegir nuestro
formato de firma electrónica
En algunos casos, el documento original se incluirá dentro
del fichero de firma; en otros, el documento original será
referenciado pero no se incluirá en el fichero de firma. Los
sistemas principales de almacenamiento son, por tanto, los siguientes:
Documento original incluido en el fichero de firma: Las firmas que
incluyen el documento original son generalmente más cómodas y mas
pesadas.
Documento original referenciado por la firma: Los ficheros de firmas
que no incluyen el documento original sino que únicamente lo
mencionan y referencian, ofrecen la ventaja de ser más livianos; y la
desventaja de obligar al almacenamiento separado del archivo
original. 93
94. ejemplos
Los principales ejemplos de firmas cuyos ficheros incluyen
el documento original se denominan de las formas siguientes:
en el caso de los formatos CAdES, este tipo de firma se denomina
firma implícita; y, en el caso de los formatos XAdES las firmas
se denominan detached o despegadas, enveloping o envolventes
y enveloped o envueltas.
Los principales ejemplos de firmas cuyos ficheros
referencian a los documentos originales se denominan: en el
caso de los formatos CAdES este tipo de firma se denomina firma
explícita; y, en el caso de los formatos XAdES, las firmas se
denominan también detached o despegadas pero, en este caso, el
documento ha de estar necesariamente referenciado, no incluido en
el archivo de firma.
94
96. Aplicaciones de Firma: @Firma, eCoFirma y
FirmaFácil
Las aplicaciones de Firma son los programas que permiten
firmar un documento electrónico.
Existen algunos programas de uso cotidiano (AdobeAcrobat o
Word..), que permiten firmar el mismo documento que se genera.
Sin embargo, este tipo de firma tiene dos inconvenientes:
No todos los programas que generan documentos son capaces también de
firmarlos.
En general, el destinatario del documento firmado deberá tener la misma
aplicación para ser capaz de verificar la firma.
Las herramientas o aplicaciones específicas de firma electrónica son
capaces de firmar cualquier tipo de documento
electrónico y ayudan a superar los inconvenientes anteriores.
Además son GRATUITOS. 96
97. Ecofirma
eCoFirma, realizada por el Ministerio de Industria, es una aplicación de firma que
permite generar y validar firmas electrónicas en formato XML XAdES.
97
102. @FirmaFácil
Aplicación de firma realizada por el Ministerio de Hacienda y Administraciones
Públicas. Su principal objetivo es ofrecer al usuario un sistema de firma en el que
éste pueda firmar cualquier tipo de documento de manera sencilla. El usuario indica
qué fichero quiere firmar y la aplicación escoge automáticamente el formato de
firma qué debe aplicar, liberando así, al usuario de cualquier duda técnica.
102
103. @Firma
La aplicación realizada por el Ministerio de Hacienda y Administraciones Públicas, es una
aplicación java instalable en cualquier sistema operativo.
Aplicación avanzada de firma que soporta la firma en múltiples formatos y permite la firma
múltiple mediante la co-firma y la contra-firma. Permite al usuario elegir el formato en el
que desea firmar.
103
105. ¿Qué es un servicio electrónico de
confianza? (Reglamento 910/2014)
Un servicio electrónico prestado habitualmente a cambio de una
remuneración y que consiste en:
la creación, verificación y validación de firmas electrónicas, sellos
electrónicos o sellos de tiempo electrónicos, servicios de entrega
electrónica certificada y certificados relativos a estos servicios.
la creación, verificación y validación de certificados para la
autenticación de sitios web.
la preservación de firmas, sellos o certificados electrónicos relativos a
estos servicios.
¿Qué es un servicio electrónico de confianza
cualificado? Un servicio de confianza que cumple los requisitos
aplicables establecidos en el Reglamento (UE) 910/2014. 105
106. prestador de servicios de confianza en el
reglamento
Con la LFE se denominaban prestadores de servicios de
certificación (PSC).
Art. 3 del Reglamento: 19) «prestador de servicios de
confianza», una persona física o jurídica que presta uno o más
servicios de confianza, bien como prestador cualificado o como
prestador no cualificado de servicios de confianzas;
20) «prestador cualificado de servicios de confianza», un
prestador de servicios de confianza que presta uno o varios
servicios de confianza cualificados y al que el organismo de
supervisión ha concedido la cualificación;
106
107. ¿Qué es el organismo
de supervisión?
Cada Estado miembro tiene la obligación de designar un
organismo de supervisión responsable de las funciones de
supervisar a los prestadores cualificados de servicios de
confianza establecidos en el territorio del Estado y de
adoptar las medidas, en caso necesario, en relación con los
prestadores no cualificados de servicios de confianza
establecidos en el territorio del Estado miembro.
En España, el organismo de supervisión es la Secretaría
de Estado deTelecomunicaciones y para la
Sociedad de la Información, del Ministerio de
Industria, Energía yTurismo.
107
108. Qué es un organismo de evaluación de
conformidad? Art. 3.18) Reglamento.
Organismo que desempeña actividades de evaluación de la
conformidad, que incluyen calibración, ensayo, certificación
e inspección y cuya competencia para realizar una
evaluación de conformidad de un prestador
cualificado de servicios de confianza y de los
servicios de confianza cualificados que este presta
esté acreditada.
La acreditación de la competencia de un organismo de
evaluación de conformidad corresponde a la
Entidad Nacional deAcreditación (ENAC). https://www.enac.es
108
109. Inicio de actividad de un prestador
cualificado de servicios de confianza.
¿Qué requisitos tienen que cumplir para la publicación de sus servicios en la
lista de confianza a partir del 1 de julio de 2016?
Si un prestador de servicios de confianza tiene la intención de iniciar la prestación
de servicios de confianza cualificados, debe presentar al organismo de supervisión
(al Ministerio de Industria, Energía yTurismo) una notificación de su intención
junto con un informe de evaluación de la conformidad expedido por un
organismo de evaluación de la conformidad.
Una vez que el prestador de servicios de confianza haya aportado toda la
información requerida para iniciar su actividad, incluyendo el informe de
evaluación de la conformidad emitido por un organismo de evaluación de la
conformidad debidamente acreditado, el organismo de supervisión verificará si el
prestador y los servicios de confianza que presta cumplen los requisitos
establecidos en el Reglamento (UE) 910/2014 y, si concluye que el prestador y los
servicios de confianza que presta cumplen los citados requisitos, concederá la
cualificación y actualizará la lista de confianza.
109
112. Inicio de un servicio de confianza
cualificado
Art. 21 Reglamento.
Cuando los prestadores de servicios de confianza, sin
cualificación, tengan intención de iniciar la prestación de
servicios de confianza cualificados, presentarán al organismo de
supervisión una notificación de su intención junto con
un informe de evaluación de la conformidad expedido
por un organismo de evaluación de la conformidad.
El organismo de supervisión verificará si el prestador de
servicios de confianza y los servicios de confianza que presta
cumplen los requisitos.
Si el organismo de supervisión concede la cualificación al PSC
lo comunicará a la Comisión para su inscripción en las listas de
confianza (art. 22).
112
113. Listas de confianza (art. 22 del reglamento)
Lista que establece, mantiene y publica cada Estado miembro en la que se incluye
información relativa a los prestadores cualificados de servicios
electrónicos de confianza, junto con la información relacionada con los servicios
electrónicos de confianza cualificados prestados por ellos.
La información que se proporciona en la lista de confianza está destinada
principalmente a la validación de servicios electrónicos de confianza cualificados
proporcionados por aquellos prestadores cualificados de servicios electrónicos de
confianza establecidos en el Estado miembro que publica la lista, por ejemplo,
firmas electrónicas o sellos electrónicos cualificados, firmas electrónicas o sellos
electrónicos avanzados admitidos por un certificado cualificado, marcas de tiempo
cualificadas, pruebas de entrega electrónica cualificadas, etc.
Actualmente, la lista de confianza de España se encuentra publicada en:
sede.minetur.gob.es/prestadores/tsl/tsl.pdf [PDF][1,99 MB]
sede.minetur.gob.es/prestadores/tsl/tsl.xml 113
114. Listas de confianza (TSL)
La finalidad de la TSL (Trusted Services List) es establecer una
estructura común para que cada Estado Miembro facilite
información sobre el estado de cualificación de los servicios
electrónicos de confianza ofrecidos por los prestadores
cualificados de servicios electrónicos de confianza (en adelante
QTSP). Esta información se proporciona, de conformidad con
las especificaciones que figuran en el anexo de la citada
Decisión y en la especificación técnicaTS 119 612 del Instituto
Europeo de Normas deTelecomunicación (ETSI).
114
116. ¿Cuáles son los pasos para que los servicios de
certificación reconocidos adquieran la condición de
cualificados conforme a lo previsto en el Reglamento
(UE) 910/2014?
Art. 51 del Reglamento.
Un prestador de servicios de certificación que emita
certificados reconocidos conforme a la Directiva 1999/93/CE
debe presentar un informe de evaluación de
conformidad al organismo supervisor lo antes posible,
pero no más tarde del 1 de julio de 2017. Hasta que el
prestador de servicios de certificación presente dicho informe
de evaluación de conformidad y el organismo supervisor
ultime su análisis, el mencionado prestador de servicios de
certificación será considerado como prestador cualificado de
servicios de confianza.
116
117. ¿Qué es la etiqueta de confianza “UE”
para servicios electrónicos de confianza
cualificados?
La etiqueta de confianza «UE» para servicios electrónicos de confianza
cualificados distingue claramente los servicios de confianza cualificados
de los demás servicios de confianza, contribuyendo así a la
transparencia en el mercado y fomentando, por ende, la confianza en
los servicios en línea y la conveniencia de estos. Las características y
condiciones de uso de la etiqueta se encuentran definidos en el
Reglamento de Ejecución (UE) 2015/806 de la Comisión de 22 de
mayo de 2015 por el que se establecen especificaciones relativas a la
forma de la etiqueta de confianza «UE» para servicios de confianza
cualificados.
Los prestadores cualificados de los servicios electrónicos de confianza
podrán usar la etiqueta de confianza «UE» a partir del 1 de julio de
2016, una vez que la cualificación de los servicios se haya incluido en la
lista de confianza.
117
118. Auditorias a los prestadores de servicios
de confianza
Los prestadores cualificados de servicios electrónicos de confianza
deben ser auditados, al menos cada 24 meses, por un organismo
de evaluación de la conformidad.
La acreditación de la competencia de un organismo de evaluación
de conformidad corresponde a la Entidad Nacional de
Acreditación (ENAC).
La finalidad de la auditoría es confirmar que tanto los prestadores
cualificados de servicios electrónicos de confianza como los
servicios electrónicos de confianza cualificados que prestan
cumplen los requisitos establecidos en el Reglamento (UE)
910/2014.
118
119. Obligaciones previas a la expedición de
certificados reconocidos por los PSC (lfe)
Comprobar la identidad y circunstancias personales de los solicitante:
Exigirá la personación ante los encargados de verificarla y
se acreditará mediante el DNI, pasaporte u otros medios
admitidos en Derecho. Igualmente válido el reconocimiento notarial
de firma. (ESTO SE MATIZA EN EL REGLAMENTO EUROPEO como
veremos en la diapositiva siguiente).
Cuando el certificado reconocido contenga otras circunstancias
personales o atributos del solicitante, como su condición de
titular de un cargo público, su pertenencia a un colegio
profesional o su titulación, éstas deberán comprobarse mediante
los documentos oficiales que las acrediten, de conformidad con su
normativa específica.
119
120. Requisitos para los prestadores cualificados de
servicios de confianza (art. 24 reglamento europeo)
Al expedir un certificado cualificado para un servicio de confianza, un PSC
verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la
identidad y, si procede, cualquier atributo específico de la persona física o
jurídica a la que se expide un certificado cualificado.
Ello se verificará:
a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o
b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya
garantizado la presencia de la persona física o de un representante autorizado de la persona
jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos
establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto».
c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico
cualificado expedido de conformidad con la letra a) o b), o
d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una
seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente
será confirmada por un organismo de evaluación de la conformidad.
120
121. PSC (arts. 17-23 Ley 59/2003)
Obligaciones de los PSC que expidan certificados
RECONOCIDOS:Además de lo dicho:
Seguro R.C.: 3 millones de euros.
Demostrar la fiabilidad necesaria para ser PSC.
Determinación de fecha y hora de la expedición, suspensión o
extinción de los certificados.
Personal cualificado.
Uso de sistemas y productos fiables.
Uso de medidas contra falsificaciones y que garanticen
confidencialidad.
Conservar registrada toda la información de los certificados y
Declaraciones de prácticas de certificación: 15 años al menos.
121
122. Obligaciones de los prestadores de
que expidan
(art. 18 LFE)
A) No almacenar ni copiar los datos de creación de
firma, salvo en caso de su gestión en nombre del
firmante. SOLO cabe en CERTIFICADOS
RECONOCIDOS.
B) Proporcionar al solicitante información mínima,
gratis y por escrito.
122
123. Requisitos de seguridad aplicables a los psc (art.
19 del reglamento europeo) cualificados y no
cualificados de servicios de confianza
Adoptarán las medidas técnicas y organizativas
adecuadas para gestionar los riesgos para la seguridad
de los servicios de confianza que prestan. Habida
cuenta de los últimos avances tecnológicos, dichas
medidas garantizarán un nivel de seguridad
proporcionado al grado de riesgo. En particular,
se adoptarán medidas para evitar y reducir al mínimo
el impacto de los incidentes de seguridad e informar a
los interesados de los efectos negativos de cualquiera
de tales incidentes.
123
124. Requisitos de seguridad aplicables a los psc (art.
19 del reglamento europeo) cualificados y no
cualificados de servicios de confianza (2)
Los PSC sin demoras indebidas pero en cualquier caso
en un plazo de 24 horas tras tener conocimiento de
ellas, notificarán al organismo de supervisión y,
en caso pertinente, a otros organismo relevantes como
el organismo nacional competente en materia de
seguridad de la información, o la autoridad de
protección de datos, cualquier violación de la
seguridad o pérdida de la integridad que tenga un
impacto significativo en el servicio de confianza
prestado o en los datos personales correspondientes.
124
125. Requisitos de seguridad aplicables a los psc (art.
19 del reglamento europeo) cualificados y no
cualificados de servicios de confianza (3)
Cuando la violación de seguridad o la pérdida de integridad
puedan atentar contra una persona física o jurídica a la
que se ha prestado el servicio de confianza, el PSC notificará
también a la persona física o jurídica, sin demora indebida, la
violación de seguridad o la pérdida de integridad.
SI una violación de la seguridad o pérdida de la integridad afecta
a dos o más Estados miembros, el organismo de supervisión
notificado informará al respecto a los organismos de supervisión
de los demás Estados miembros de que se trate y a la ENISA:
European Union Agency for Network and Information Security
El organismo de supervisión notificado informará al público o
exigirá al prestador de servicios de confianza que lo haga, en caso
de considerar que la divulgación de la violación de seguridad o la
pérdida de integridad reviste interés público. 125
126. Obligaciones de Los prestadores cualificados de
servicios de confianza que prestan servicios de
confianza cualificados en el reglamento europeo:
Informarán al organismo de supervisión de cualquier cambio en la prestación de
servicios de confianza cualificados, y de su intención de cesar tales actividades;
Contarán con personal y, si procede, con subcontratistas, que posean los
conocimientos especializados, la fiabilidad, la experiencia y las cualificaciones
necesarios y hayan recibido la formación adecuada en materia de seguridad y normas de
protección de datos personales y que apliquen procedimientos administrativos y de
gestión que correspondan a normas europeas o internacionales;
Con respecto al riesgo de la responsabilidad por daños y perjuicios mantendrán
recursos financieros suficientes u obtendrán pólizas de seguros de responsabilidad
adecuadas, de conformidad con la legislación nacional; LFE: 3 MILLONES DE EUROS
Antes de entrar en una relación contractual, informarán, de manera clara y
comprensible, acerca de las condiciones precisas relativas a la utilización de dicho
servicio, incluidas las limitaciones de su utilización;
Utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y
que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustentan; 126
127. Obligaciones de Los prestadores cualificados de
servicios de confianza que prestan servicios de
confianza cualificados (2):
Utilizarán sistemas fiables para almacenar los datos que se les faciliten de forma
verificable, de modo que: i) estén a disposición del público para su recuperación solo cuando
se haya obtenido el consentimiento de la persona a la que corresponden los datos, ii) solo
personas autorizadas puedan hacer anotaciones y modificaciones en los datos almacenados,
iii) pueda comprobarse la autenticidad de los datos;
tomarán medidas adecuadas contra la falsificación y el robo de datos;
registrarán y mantendrán accesible durante un período de tiempo apropiado,
incluso cuando hayan cesado las actividades del prestador cualificado de servicios de
confianza, toda la información pertinente referente a los datos expedidos y recibidos por el
prestador cualificado de servicios de confianza, en particular al objeto de que sirvan de
prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta
actividad de registro podrá realizarse por medios electrónicos;
contarán con un plan de cese actualizado para garantizar la continuidad del servicio.
garantizarán un tratamiento lícito de los datos personales.
establecerán y mantendrán actualizada una base de datos de certificados. 127
128. Obligaciones de Los prestadores cualificados de
servicios de confianza que prestan servicios de
confianza cualificados (3):
REVOCACION DE CERTIFICADOS: Cuando los PSC
decidan revocar un certificado, registrarán su revocación en su
base de datos de certificados y publicarán el estado de
revocación del certificado oportunamente y, en todo caso, en
un plazo de 24 horas después de la recepción de la
solicitud. La revocación será efectiva inmediatamente después
de su publicación.
Los PSC proporcionarán información sobre el estado de validez
o revocación de los certificados cualificados expedidos por
ellos. Esta información deberá estar disponible al menos por
cada certificado en cualquier momento y con posterioridad al
período de validez del certificado en una forma automatizada
que sea fiable, gratuita y eficiente.
128
129. Firma electrónica y protección de los datos
personales
Art. 17 LFE; 5 del Reglamento 910/14; la LOPDY RLOPD.
- La firma electrónica en sí es un dato de carácter personal.
- Para la expedición de certificados electrónicos al público, los
prestadores de servicios de certificación únicamente podrán
recabar datos personales directamente de los firmantes o
previo consentimiento expreso de estos.
-Los datos requeridos serán exclusivamente los necesarios
para la expedición y el mantenimiento del certificado electrónico y
la prestación de otros servicios en relación con la firma electrónica,
no pudiendo tratarse con fines distintos sin el consentimiento
expreso del firmante, atendiendo al principio de calidad de los
datos, regulado en el artículo 4 de la LOPD. 129
130. Protección de datos y uso de pseudonimos
A solicitud del firmante, los PSC pueden consignar un seudónimo en
el certificado electrónico. Ahora bien, además del seudónimo, los
prestadores deben hacer constatar en el certificado también su
verdadera identidad y conservar la documentación que la acredite.
Dichos prestadores de servicios de certificación están obligados a
revelar la identidad de los firmantes cuando lo soliciten los órganos
judiciales en el ejercicio de las funciones que tienen atribuidas y en
los demás supuestos previstos en el artículo 11.2 de la LOPD en que
así se requiera.
Art.5.2 Reglamento 910/2014. Sin perjuicio de los efectos
jurídicos que la legislación nacional contemple para los seudónimos,
no se prohibirá su utilización en las transacciones electrónicas. 130
131. Los certificados no pueden incluir datos
especialmente protegidos
Los certificados no pueden incluir, en
ningún caso, datos especialmente
protegidos. Esta prohibición hace
referencia a los datos señalados en el art. 7
de la LOPD, entre los que se encuentran
los siguientes: ideología, afiliación
sindical, religión y creencias, origen
racial, datos relativos a la salud y a la
vida sexual y aquellos relacionados con
la comisión de infracciones penales
o administrativas.
131
132. Prestadores de Servicios de confianza (PSC)
Cumplen el papel de fedatarios públicos digitales.
Emiten certificados acordes a su naturaleza.
La prestación de estos servicios no esta sujeta a
autorización previa. Libre competencia.
EXCEPTO LOS PRESTADORES
CUALIFICADOS DE SERVICIOS DE
CONFIANZA QUE REQUIEREN LA
EVALUACION DE CONFORMIDAD, SEGÚN
EL REGLAMENTO EUROPEO.
132
133. PSC (arts. 18-23 Ley 59/2003)
Art. 18.- Obligaciones de los PSC que expidan certificados
Electrónicos:
dar una información previa a la expedición de certificados;
no copiar ni almacenar los datos de creación de firma;
directorio actualizado de certificados y
servicio de consulta de vigencia de los mismos.
Art. 19.- Declaración de prácticas de certificación: condiciones,
uso…
133
134. Cese de actividad de un PSC
Antes de cesar en su actividad el PSC (con una antelación mínima de dos meses )
deberá comunicarlo a los firmantes que utilicen los certificados electrónicos
que haya expedido así como a los solicitantes de certificados expedidos a favor de
personas jurídicas.
Podrá transferir, con su consentimiento expreso, la gestión de los que sigan
siendo válidos en la fecha en que el cese se produzca a otro PSC que los asuma o,
en caso contrario, extinguir su vigencia.
Con la misma antelación (2 meses) el PSC debe comunicar al Ministerio de
Ciencia yTecnología (ahora es Ministerio de Industria,Turismo y
Comercio), el cese de su actividad y el destino que vaya a dar a los certificados,
especificando, en su caso, si va a transferir la gestión y a quién o si extinguirá su
vigencia. Igualmente, comunicará cualquier otra circunstancia relevante que pueda
impedir la continuación de su actividad. En especial, deberá comunicar, en cuanto
tenga conocimiento de ello, la apertura de cualquier proceso concursal que se siga
contra él.
Los PSC tienen que remitir al Ministerio con carácter previo al cese definitivo de
su actividad la información relativa a los certificados electrónicos cuya
vigencia haya sido extinguida para que éste se haga cargo de su
custodia (15 años!!) .
134
138. Responsabilidad de los PSC (arts. 22 y 23 Ley 59/2003)
Los PSC responderán por los daños y perjuicios que causen
cuando incumplan las obligaciones que les impone la Ley 59/2003.
La responsabilidad del PSC es exigible conforme a las normas generales
sobre la culpa contractual o extracontractual, según proceda, si bien
corresponderá al PSC demostrar que actuó con la diligencia
profesional que le es exigible: INVERSIÓN DE LA CARGA DE
LA PRUEBA.
El PSC responderá de los perjuicios que se causen al firmante o a
terceros de BF por la falta o el retraso en la inclusión en el
servicio de consulta sobre la vigencia de los certificados de la
extinción o suspensión de la vigencia del certificado
electrónico. 138
139. Limitaciones de responsabilidad de los
prestadores de servicios de certificación.- Art.
23 LFE
El PSC no será responsable de los daños y
perjuicios ocasionados al firmante o
terceros de buena fe, si el firmante incurre
en alguno de los siguientes supuestos:
a) No haber proporcionado al PSC información
veraz, completa y exacta sobre los datos que
deban constar en el certificado electrónico o que sean
necesarios para su expedición o para la extinción o
suspensión de su vigencia, cuando su inexactitud no
haya podido ser detectada por el PSC.
b) La falta de comunicación sin demora de
cualquier modificación de las circunstancias
reflejadas en el certificado electrónico.
139
140. c) Negligencia en la conservación de sus datos de creación
de firma, en el aseguramiento de su confidencialidad y en la
protección de todo acceso o revelación.
d) No solicitar la suspensión o revocación del certificado
electrónico en caso de duda en cuanto al mantenimiento de la
confidencialidad de sus datos de creación de firma.
e) Utilizar los datos de creación de firma cuando haya
expirado el período de validez del certificado
electrónico o el PSC le notifique la extinción o suspensión de su
vigencia.
f) Superar los límites que figuren en el certificado
electrónico en cuanto a sus usos y al importe de las transacciones
que puedan realizarse con él o no utilizarlo conforme a las
condiciones establecidas por el PSC.
140
141. El PSC tampoco será responsable por los daños y
perjuicios ocasionados al firmante o a terceros de
buena fe si el destinatario de los documentos
firmados electrónicamente actúa de forma
negligente.
Se entenderá, en particular, que el destinatario actúa de forma
negligente en los siguientes casos:
a) Cuando no compruebe y tenga en cuenta las restricciones
que figuren en el certificado electrónico en cuanto a sus
posibles usos y al importe individualizado de las
transacciones que puedan realizarse con él.
b) Cuando no tenga en cuenta la suspensión o pérdida de
vigencia del certificado electrónico. 141
142. El PSC no será responsable de los daños y perjuicios ocasionados al
firmante o terceros de buena fe por la inexactitud de los datos
que consten en el certificado electrónico si éstos le han
sido acreditados mediante documento público, inscrito en
un registro público si así resulta exigible. En caso de que dichos
datos deban figurar inscritos en un registro público, el prestador de
servicios de certificación podrá, en su caso, comprobarlos en el
citado registro antes de la expedición del certificado, pudiendo
emplear los medios telemáticos facilitados por los citados registros
públicos.
La exención de responsabilidad frente a terceros obliga al
PSC a probar que actuó en todo caso con la debida
diligencia.
142
143. Certificación de un PSC
Es el procedimiento voluntario por el que una entidad
cualificada pública o privada emite una declaración a favor
de un prestador de servicios de certificación, que implica un
reconocimiento del cumplimiento de requisitos específicos
en la prestación de los servicios que se ofrecen al público.
La certificación de un PSC no será necesaria para
reconocer eficacia jurídica a una firma electrónica.
143
145. SUPERVISION Y CONTROL DE UN PSC (arts.
29 y 30 lfe).
(Ahora Ministerio de
Industria, Energía y Turismo)
Ley y en sus disposiciones de desarrollo
entidades especializadas para acreditar el cumplimiento de
determinados requisitos. En este caso, los prestadores de
Deber de información y colaboración con los inspectores,
permitiendo el acceso a las instalaciones etc.
145
146. Objetivos del eIDAS: Reforzar el Mercado Único
europeo impulsando la confianza y la
conveniencia en transacciones electrónicas
transfronterizas seguras y sin fisuras:
Asegurando que las personas y las empresas pueden usar y aprovechar sus eID
nacionales de manera transfronteriza para acceder al menos a servicios públicos en
otros países de la UE: Reconocimiento mutuo de identificación
electrónica (art. 6 y siguientes).
146
147. Objetivos del eIDAS:
Eliminando las barreras al mercado único para firmas
electrónicas y los servicios de confianza online
relacionados:
Firma electrónica
Sello electrónico
Dimensión transfronteriza de
Sello de tiempo electrónico
Servicio de entrega electrónica certificada
Documento electrónico
Autenticación de sitios web 147
148. Objetivos del eIDAS:
Asegurar que es posible el acceso online a servicios ofrecidos
por otro Estado Miembro mediante eID seguros.
– eID de personas físicas
– eID de personas jurídicas
Obligación de los Estados Miembros de reconocer los eID
notificados en servicios públicos – Opcional el uso en servicios
privados
Creación de un marco de interoperabilidad
Requisitos de interoperabilidad
Niveles de seguridad (art. 8)
Prevé un mecanismo de cooperación entre Estados Miembros
para la seguridad y la interoperabilidad técnica
148
149. Empleo de la firma electrónica en el ámbito de las
Administraciones públicas. Art. 4. L. 59/2003.
Esta Ley se aplicará al uso de la firma electrónica en el seno de las
AA.PP. sus organismos públicos y las entidades dependientes o vinculadas a las
mismas y en las relaciones que mantengan aquéllas y éstos entre sí o con
los particulares.
Amplio desarrollo por la Ley 11/2007, de 22 de junio, de acceso electrónico de los
ciudadanos a los Servicios Públicos (R.D. 1671/09) Las AAPP, con el objeto de salvaguardar
las garantías de cada procedimiento, podrán establecer condiciones adicionales a la
utilización de la firma electrónica en los procedimientos. Dichas condiciones podrán
incluir, entre otras, la imposición de fechas electrónicas sobre los documentos
electrónicos integrados en un expediente administrativo. Estas "condiciones adicionales" sólo
podrán hacer referencia a las características específicas de la aplicación de que se
trate.
149
150. La Ley de Régimen Jurídico del Sector
Público (Ley 40/2015, de 1 de octubre)
Preceptos que tienen relación con la
firma electrónica y con la e-
Administración.
Exposición de motivos.
(…)
La evolución normativa posterior se ha caracterizado por la profusión de leyes, reales decretos y demás disposiciones de inferior
rango, que han completado la columna vertebral del derecho administrativo. De este modo, nos encontramos en el momento
actual normas que regulan aspectos orgánicos, como la Ley 6/1997, de 14 de abril (RCL 1997, 879) , de organización y
funcionamiento de la Administración General del Estado; la Ley 50/1997, de 27 de noviembre (RCL 1997, 2817) , del Gobierno y
la Ley 28/2006, de 18 de julio (RCL 2006, 1443) , de Agencias estatales para la mejora de los servicios públicos; y otras que tratan
aspectos tanto orgánicos como procedimentales de la citada Ley 30/1992, de 26 de noviembre; o la Ley 11 / 2007, de 22 de
junio (RCL 2007, 1222y 1293) , de acceso electrónico de los ciudadanos a los servicios públicos, por citar las más relevantes.
(…)
La Ley recoge, con las adaptaciones necesarias, las normas hasta ahora contenidas en la Ley 11 / 2007, de 22 de junio (RCL 2007,
1222y 1293) , en lo relativo al funcionamiento electrónico del sector público, y algunas de las previstas en el Real Decreto
1671/2009, de 6 de noviembre (RCL 2009, 2215) , por el que se desarrolla parcialmente la anterior. Se integran así materias que
demandaban una regulación unitaria, como corresponde con un entorno en el que la utilización de los medios electrónicos ha de
ser lo habitual, como la firma y sedes electrónicas, el intercambio electrónico de datos en entornos cerrados de comunicación y la
actuación administrativa automatizada. Se establece asimismo la obligación de que lasAdministraciones Públicas se relacionen entre
sí por medios electrónicos, previsión que se desarrolla posteriormente en el título referente a la cooperación interadministrativa
mediante una regulación específica de las relaciones electrónicas entre lasAdministraciones. Para ello, también se contempla como
nuevo principio de actuación la interoperabilidad de los medios electrónicos y sistemas y la prestación conjunta de servicios a los
ciudadanos.
(…) 150
151. Ley 40/2015, de 1 de octubre
Artículo 38. La sede electrónica.“Las sedes electrónicas
utilizarán , para identificarse y garantizar una comunicación
segura con las mismas , certificados reconocidos o cualificados
de autenticación de sitio web o medio equivalente” .
Artículo 39. Portal de internet: punto de acceso
electrónico.
Artículo 40. Sistemas de identificación de las
Administraciones Públicas: LasAdministraciones Públicas
podrán identificarse mediante el uso de un sello electrónico
basado en un certificado electrónico reconocido o cualificado
que reúna los requisitos exigidos por la legislación de firma
electrónica 151
152. Ley 40/2015, de 1 de octubre
Artículo 41.Actuación administrativa automatizada: cualquier acto o actuación
realizada íntegramente a través de medios electrónicos por una Administración Pública en
el marco de un procedimiento administrativo y en la que no haya intervenido de forma
directa un empleado público.
Artículo 42. Sistemas de firma para la actuación administrativa automatizada.
Cada Administración podrá determinar los supuestos de utilización de los siguientes
sistemas de firma electrónica :
a ) Sello electrónico de Administración Pública , órgano , organismo público o entidad de
derecho público , basado en certificado electrónico reconocido o cualificado que reúna los
requisitos exigidos por la legislación de firma electrónica .
b ) Código seguro de verificación vinculado a la Administración Pública , órgano ,
organismo público o entidad de Derecho Público , en los términos y condiciones
establecidos , permitiéndose en todo caso la comprobación de la integridad del
documento mediante el acceso a la sede electrónica correspondiente . 152
153. SISTEMAS DE CODIGO SEGURO DE
VERIFICACION
El Código Seguro deVerificación (CSV) es un término
informático que designa al código ALFANUMERICO
único que identifica a un documento electrónico.
Permite la comprobación de la integridad del
documento mediante el acceso a la sede electrónica
correspondiente"
El término fue introducido por la Ley de Acceso
Artículo 18.1.b) y 30.5.
153
155. Ley 40/2015, de 1 de octubre
Artículo 43. Firma electrónica del personal al servicio de las
Administraciones Públicas: la actuación de una Administración cuando utilice
medios electrónicos , se realizará mediante firma electrónica del titular del órgano o
empleado público.
Cada Administración determinará los sistemas de firma electrónica que debe utilizar
su personal , los cuales podrán identificar de forma conjunta al titular del puesto de
trabajo o cargo y a la Administración u órgano en la que presta sus servicios . Por
razones de seguridad pública los sistemas de firma electrónica podrán referirse sólo
el número de identificación profesional del empleado público .
Artículo 44. Intercambio electrónico de datos en entornos cerrados de
comunicación: Los documentos electrónicos transmitidos en entornos cerrados de
comunicaciones establecidos entre AAPP , órganos , organismos públicos y entidades
de derecho público , serán considerados válidos a efectos de autenticación e
identificación de los emisores y receptores. Convenios cuando los participantes
pertenezcan a distintas Administraciones.
155
156. Ley 40/2015, de 1 de octubre
Artículo 45.Aseguramiento e interoperabilidad de la
firma electrónica
1 . Las Administraciones Públicas podrán determinar los trámites e
informes que incluyan firma electrónica reconocida o
cualificada y avanzada basada en certificados
electrónicos reconocidos o cualificados de firma
electrónica .
2 . Con el fin de favorecer la interoperabilidad cuando una
Administración utilice sistemas de firma electrónica distintos de
aquellos basados en certificado electrónico reconocido o cualificado
, para remitir o poner a disposición de otros órganos,AAPP… la
documentación firmada electrónicamente, podrá superponer
un sello electrónico basado en un certificado electrónico
reconocido o cualificado .
156
157. Ley 40/2015, de 1 de octubre
Artículo 46.Archivo electrónico de documentos
Todos los documentos utilizados en las actuaciones administrativas se
almacenarán por medios electrónicos , salvo cuando no sea posible .
Los medios o soportes en que se almacenen documentos , deberán contar con
medidas de seguridad , de acuerdo con lo previsto en el Esquema Nacional de
Seguridad , que garanticen la integridad , autenticidad , confidencialidad
, calidad , protección y conservación de los documentos
almacenados . En particular , asegurarán la identificación de los usuarios
y el control de accesos , el cumplimiento de las garantías previstas en la
legislación de protección de datos , así como la recuperación y conservación a
largo plazo de los documentos electrónicos producidos por las Administraciones
Públicas que así lo requieran , de acuerdo con las especificaciones sobre el ciclo
de vida de los servicios y sistemas utilizados .
157
158. Ley 40/2015, de 1 de octubre
Artículo 155.Transmisiones de datos entre Administraciones
Públicas
De conformidad con lo dispuesto en la LOPD, cadaAdministración deberá
facilitar el acceso de las restantes Administraciones Públicas a los datos
relativos a los interesados que obren en su poder , especificando las
condiciones , protocolos y criterios funcionales o técnicos necesarios para
acceder a dichos datos con las máximas garantías de seguridad , integridad y
disponibilidad .
La disponibilidad de tales datos estará limitada estrictamente a
aquellos que son requeridos a los interesados por las restantes
Administraciones para la tramitación y resolución de los
procedimientos y actuaciones de su competencia , de acuerdo con
la normativa reguladora de los mismos .
Interconexión de redes con el fin de crear una red de comunicaciones que
interconecte los sistemas de información de lasAdministraciones Públicas.
158
160. Cooperación entre administraciones
para el impulso de la administración
electrónica.
Órgano técnico: El Comité
Sectorial de administración electrónica,
dependiente de la Conferencia Sectorial de
Administración Pública.
Esquemas: Esquema Nacional de
Interoperabilidad y el Esquema Nacional de
Seguridad.
Red de comunicaciones: Interconectará
los sistemas de información de las
Administraciones Públicas españolas y permitirá
el intercambio de información y servicios entre
las mismas, así como la interconexión con las
redes de las Instituciones de la Unión Europea y
de otros Estados Miembros.
Red integrada de Atención al
Ciudadano. Se potenciarán ventanillas únicas
y espacios comunes entre Administraciones.
Software: Cesión de programas y
posibilidades de que sean de código abierto. 160
161. Red sara
La red SARA es un conjunto de infraestructuras de comunicaciones y
servicios básicos que permiten la interconexión entre si, de las AAPP,
facilitando el intercambio de información y servicios entre ellas.
A través de ella los Ministerios, las CCAA, los Entes Locales y otros
organismos públicos pueden interconectar sus redes de una manera
fiable, segura, capaz y flexible.
Diseñada con tecnología de última generación VPLS (Virtual Private
LAN Services) que la dota de gran capacidad de transmisión de datos y
con plena CONFIDENCIALIDAD.
Existen una serie de servicios comunes para facilitar el despliegue de
una oferta de e-administración, a las que las diferentes administraciones
pueden acceder, como son p.e.: Verificación de los datos de identidad y
residencia; Plataforma de validación de firma electrónica; Solicitud de
cambio de domicilio; Notificación electrónica fehaciente; Pasarela de
pago…
161
162. plan de Administración Electrónica del Gobierno
2013-2015
La red Sara se declara proyecto de
interés prioritario para
configurarse como la nube privada
(cloud) de laAdministración
General del Estado. Con ello todas
lasAdministraciones puedan
compartir servicios en la nube con
un importante ahorro de costes e
inversión y reducir la “brecha
digital” con los ciudadanos
162
163. 163
“Acceda” es una plataforma genérica para constituir una sede
electrónica que permite implementar “de forma rápida y sencilla”,
nuevos procedimientos administrativos electrónicamente, sin
necesidad de un desarrollo particular para cada uno.
164. Ley 40/2015, de 1 de octubre
Artículo 156. Esquema Nacional de Interoperabilidad y Esquema
Nacional de Seguridad
1 . El Esquema Nacional de Interoperabilidad comprende el conjunto de
criterios y recomendaciones en materia de seguridad ,
conservación y normalización de la información , de los
formatos y de las aplicaciones que deberán ser tenidos en cuenta por
lasAdministraciones Públicas para la toma de decisiones tecnológicas que
garanticen la interoperabilidad .
2 . El Esquema Nacional de Seguridad tiene por objeto establecer la
política de seguridad en la utilización de medios electrónicos en
el ámbito de la presente Ley , y está constituido por los principios básicos y
requisitos mínimos que garanticen adecuadamente la seguridad de la
información tratada . El Real Decreto 3/2010, de 8 de enero, por el que se
regula el Esquema Nacional de Seguridad en el ámbito de laAdministración
Electrónica, tiene por objeto el establecimiento de los principios y requisitos
de una política de seguridad protección de la información.
164
165. Ley del Procedimiento Administrativo Común de las
Administraciones Públicas (Ley 39/2015, de 1 de octubre)
Preceptos que tienen relación con la firma electrónica y con la
e-Administración.
EXPOSICIÓN DE MOTIVOS
(…)
Por otro lado, este título (el I) dedica parte de su articulado a una de las novedades más importantes de la Ley: la
separación entre identificación y firma electrónica y la simplificación de los medios para acreditar una u otra, de
modo que, con carácter general, sólo será necesaria la primera, y se exigirá la segunda cuando deba acreditarse la
voluntad y consentimiento del interesado. Se establece, con carácter básico, un conjunto mínimo de categorías de
medios de identificación y firma a utilizar por todas las Administraciones. En particular, se admitirán como sistemas
de firma : los sistemas de firma electrónica reconocida o cualificada y avanzada basados en certificados electrónicos
cualificados de firma electrónica, que comprenden tanto los certificados electrónicos de persona jurídica como los de
entidad sin personalidad jurídica; los sistemas de sello electrónico reconocido o cualificado y de sello electrónico
avanzado basados en certificados cualificados de sello electrónico; así como cualquier otro sistema que las
Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan. Se admitirán como
sistemas de identificación cualquiera de los sistemas de firma admitidos, así como sistemas de clave concertada y
cualquier otro que establezcan las Administraciones Públicas.
Tanto los sistemas de identificación como los de firma previstos en esta Ley son plenamente coherentes con lo
dispuesto en el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014,
relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado
interior y por la que se deroga la Directiva 1999/93/CE . Debe recordarse la obligación de los Estados miembros de
admitir los sistemas de identificación electrónica notificados a la Comisión Europea por el resto de Estados miembros,
así como los sistemas de firma y sello electrónicos basados en certificados electrónicos cualificados emitidos por
prestadores de servicios que figuren en las listas de confianza de otros Estados miembros de la Unión Europea, en los
términos que prevea dicha norma comunitaria.
165
166. Ley del Procedimiento Administrativo Común de las
Administraciones Públicas (Ley 39/2015, de 1 de octubre)
Preceptos que tienen relación con la firma electrónica y
con la e-Administración.
Disposición final séptima. Entrada en vigor
La presente Ley entrará en vigor al año de su publicación en el
«Boletín Oficial del Estado». 2 DE OCTUBRE DE 2016.
No obstante, las previsiones relativas al registro electrónico de
apoderamientos, registro electrónico, registro de empleados
públicos habilitados, punto de acceso general electrónico de la
Administración y archivo único electrónico producirán efectos
a los dos años de la entrada en vigor de la Ley. 2 DE
OCTUBRE DE 2017.
166
167. Ley del Procedimiento Administrativo Común de las
Administraciones Públicas (Ley 39/2015, de 1 de octubre)
Preceptos que tienen relación con la firma electrónica y
con la e-Administración.
Artículo 9. Sistemas de identificación de los interesados en el procedimiento
Los interesados podrán identificarse electrónicamente ante las Administraciones a través de
cualquier sistema que cuente con un registro previo como usuario que permita
garantizar su identidad. En particular, serán admitidos, los sistemas siguientes:
a) Sistemas basados en certificados electrónicos reconocidos o cualificados de
firma electrónica expedidos por prestadores incluidos en la «Lista de confianza
de prestadores de servicios de certificación». A estos efectos, se entienden
comprendidos entre los citados certificados electrónicos reconocidos o cualificados los de
persona jurídica y de entidad sin personalidad jurídica.
b) Sistemas basados en certificados electrónicos reconocidos o cualificados de
sello electrónico expedidos por prestadores incluidos en la «Lista de confianza de
prestadores de servicios de certificación».
c) Sistemas de clave concertada y cualquier otro sistema que las Administraciones
Públicas consideren válido, en los términos y condiciones que se establezcan.
167