Boletín nº 223 (20-11-2020)

Por la Alcaldía, con fecha 5 de los corrientes, se ha dictado la Resolución 2020/00009270 aprobando los términos y condiciones de uso de firma electrónica no criptográfica en las relaciones de los interesados con los órganos de este Ayuntamiento, que ha sido objeto de rectificación por la Resolución 2020/00009442 de un error matarial padecido en el Anexo de aquella, cuyo texto una vez subsanado el error es el siguiente:

El artículo 10.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, enumera los sistemas válidos a efectos de firma, que los interesados podrán utilizar para relacionarse con las Administraciones Públicas. Estos sistemas, sea cual sea el utilizado, deben permitir acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados, así como la integridad e inalterabilidad del documento.

El citado precepto se refiere expresamente, en sus dos primeras letras, a los sistemas de firma electrónica reconocida o cualificada y avanzada basados en certificados electrónicos reconocidos o cualificados de firma electrónica, a los sistemas de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de sello electrónico. Pero además, en su letra c) se refiere a cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan.

Además, el artículo 10.3 de la Ley permite, si así lo dispone la normativa reguladora aplicable, la posibilidad de admitir los sistemas de identificación contemplados en esta Ley (artículo 9) como sistemas de firma, cuando permitan acreditar la autenticidad de la expresión de voluntad y consentimiento de los interesados.

El artículo 11 de la Ley, por su lado, regula el uso de los medios de identificación y firma en el procedimiento administrativo estableciendo que, con carácter general, para realizar cualquier actuación prevista en el procedimiento administrativo sólo será necesario identificarse, limitando la obligatoriedad de la firma para los supuestos previstos en el apartado segundo del artículo: formular solicitudes, presentar declaraciones responsables o comunicaciones, interponer recursos, desistir de acciones y renunciar a derechos.

El 2 de diciembre de 2016 se firmó «Acuerdo de adhesión del Excmo. Ayuntamiento de Lucena al convenio de colaboración entre la Administración General del Estado (MINHAP) y la Comunidad Autónoma de Andalucía para la prestación mutua de soluciones básicas de administración electrónica de fecha 11 de mayo de 2016».

La evolución de los sistemas de firma que ofrece la Secretaría General de Administración General, dependiente de la Secretaría de Estado de Función Pública añade ahora otra prestación, dirigida a superar determinadas limitaciones del sistema de firma criptográfica, ofreciendo a los interesados la posibilidad de relacionarse electrónicamente con la administración sin la necesidad de que esa firma se encuentre basada en certificado electrónico alguno, mediante un sistema de medidas de seguridad, trazabilidad e integridad que garanticen la legalidad de los procedimientos que hagan uso de él.

Es necesario, por lo tanto, establecer los criterios de uso y las condiciones técnicas de implementación de los sistemas de firma electrónica no criptográfica, en aplicación del artículo 10.2.c) de la Ley 39/2015, de 1 de octubre, que se considerarán válidos a efectos de firma en el Ayuntamiento de Lucena.

El artículo 10 de la Ordenanza reguladora de la Administración electrónica y de creación del Registro Electrónico del Ayuntamiento de Lucena, que recoge las formas de identificación, establece que:

1. El Ayuntamiento admitirá en sus relaciones electrónicas con los usuarios los sistemas de firma electrónica que, en los términos establecidos en el ordenamiento jurídico, resulten adecuados para garantizar la identidad, autenticidad e integridad de los documentos electrónicos, siempre que sean compatibles con los medios técnicos de que dispone aquélla. A estos efectos y según lo dispuesto en los artículos 14, 15 y 16 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, se admitirán:

a) El Documento Nacional de Identidad electrónico.

b) La Firma Electrónica Avanzada mediante certificados expedidos por la Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda (FNMT-RCM) o mediante certificados expedidos por un prestador de servicios de certificación así indicado expresamente en la sede electrónica.

2. La Administración Municipal podrá permitir la identificación de los ciudadanos por otros sistemas de firma electrónica tales como claves concertadas en un registro previo, aportación de información conocida por ambas partes u otros sistemas no criptográficos para los servicios electrónicos que expresamente se indiquen.

3. En la sede electrónica estará disponible la información sobre la relación de prestadores de servicios de certificación y tipos de certificados electrónicos que amparen las firmas electrónicas utilizadas en la recepción y remisión de solicitudes, escritos y comunicaciones.

Asimismo, debe tenerse en consideración que la Ley 59/2003, de 19 de diciembre, de firma electrónica en su redacción actual, dispone en su artículo 3.11 que todos los sistemas de identificación y firma electrónica previstos en la Ley de Procedimiento Administrativo Común de las Administraciones Públicas y en la Ley de Régimen Jurídico del Sector Público tendrán plenos efectos jurídicos .

Por todo ello y en uso de las atribuciones que me confiere el artículo 21.1. a) y s) de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local, resuelvo:

Primero. Aprobación y publicación.

1. Aprobar los términos y condiciones de uso de firma electrónica no criptográfica en las relaciones de los interesados con los órganos del Ayuntamiento de Lucena, de acuerdo con lo establecido en el artículo 10.2 de la Ley 39/2015, de 1 de octubre.

2. Ordenar su publicación en el Tablón de Edictos del Ayuntamiento y en el Boletín Oficial de la Provincia.

3. Notificar esta resolución a la Empresa Provincial de Informática SA, y comunicársela a la Concejal Delegada de Régimen Interior, a la Concejal Delegada de Transparencia y Transformación Tecnológica, al Jefe de Sección de Informática y Telecomunicaciones y al Coordinador del Servicio de Información y Atención al Ciudadano.

4. Publíquense los términos y condiciones de uso en la Sede Electrónica.

Segundo. Efectividad.

La presente Resolución producirá efectos a partir del día siguiente a su publicación en el Boletín Oficial de la Provincia.

ANEXO

TÉRMINOS Y CONDICIONES DE USO DE LA FIRMA

ELECTRÓNICA NO CRIPTOGRÁFICA EN LAS RELACIONES

DE LOS INTERESADOS CON LOS ÓRGANOS

ADMINISTRATIVOS DEL AYUNTAMIENTO DE LUCENA

I. Objeto

Los presentes términos y condiciones tienen como objeto determinar las circunstancias en las que un sistema de firma electrónica no basado en certificados electrónicos será considerado como válido en las relaciones de los interesados con los órganos administrativos del Ayuntamiento de Lucena de acuerdo con el artículo 10.2.c) de la Ley 39/2015, de 1 de octubre. Sin perjuicio de otros sistemas de firma implantados, de acuerdo con el artículo 10.2.c) y 10.3 y que ofrezcan las garantías de seguridad suficientes para gestionar la integridad y el no repudio, según el principio de proporcionalidad recogido en el artículo 13.3. Gestión de Riesgos de Seguridad del Esquema Nacional de Seguridad.

II. Ámbito de aplicación

Los presentes términos y condiciones serán de aplicación a los órganos administrativos del Ayuntamiento de Lucena, que dispongan nuevos sistemas de firma electrónica que no requieran certificado electrónico de los interesados, y sin perjuicio de la posibilidad de utilización en tales trámites de los sistemas de firma contemplados en el artículo 10.2.a) de la Ley 39/2015, de 1 de octubre.

III. Criterios para la utilización de sistemas de firma electrónica que no requieran certificado electrónico del interesado

El esquema nacional de seguridad (en adelante ENS), regulado por el Real Decreto 3/2010, de 8 de enero, y modificado por Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el esquema nacional de seguridad en el ámbito de la Administración electrónica constituye el marco legal que permite definir y establecer las medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los interesados y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

En la implantación de un sistema de firma electrónica que no utilice el certificado electrónico del interesado se deberá cumplir con el ENS para garantizar la seguridad de los datos y los servicios, como un instrumento capaz de permitir la comprobación de la autenticidad de la procedencia y la integridad de la información ofreciendo las bases para evitar el repudio.

El ENS establece la necesidad de categorizar los sistemas de información, siendo la categoría de un sistema de información, en materia de seguridad, la que permite modular el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el principio de proporcionalidad.

En aplicación de esta resolución, se podrán utilizar los referidos sistemas de firma cuando el sistema de información asociado al procedimiento haya sido categorizado, según el esquema nacional de seguridad, de categoría básica y aquellos de categoría media en los que se posibilite el uso de la firma no criptográfica.

IV. Garantía de funcionamiento

Cuando la actuación realizada por el interesado, en su relación con la Administración, implique la presentación de documentos a través de servicios electrónicos utilizando los sistemas de firma electrónica regulados en la presente redacción, se garantizará la integridad de la información presentada mediante el sellado realizado con el sello electrónico cualificado o reconocido del organismo competente, a la que se añadirá un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y su incorporación inmediata al sistema de información asociado a dicho procedimiento. El organismo deberá disponer de las medidas técnicas, organizativas y procedimentales necesarias para garantizar dicha integridad a lo largo del tiempo.

Asimismo, se garantizará también la integridad de la expresión de la voluntad y consentimiento del interesado, y con ésta la garantía del no repudio de la actuación de firma, mediante el sellado realizado con el sello electrónico cualificado o reconocido del organismo y la adición de un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, de las evidencias de la autenticación del interesado que realiza el acto de la firma, así como del consentimiento explícito de aquel con el contenido firmado, almacenando dichas evidencias junto con la información presentada.

Se completará la garantía de la actuación de firma con la emisión por el Órgano competente de un justificante de firma sellado con su sello electrónico de órgano y generando el código seguro de verificación o CSV, que será el documento con valor probatorio de la actuación realizada, cuya integridad podrá comprobarse mediante consulta del documento electrónico original a través del servicio electrónico de Verificación de Documentos Electrónicos del Ayuntamiento de Lucena, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.

V. Acreditación de la identidad y de la autenticidad de la expresión de la voluntad y consentimiento del interesado

Para acreditar la identidad del interesado, en todo caso, se deberán utilizar medios de identificación que garanticen niveles de seguridad sustancial o alto, conforme a definición de estos niveles en el Reglamento número 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica.

Para acreditar la autenticidad de la expresión de la voluntad y consentimiento del interesado se requerirá:

1. Verificación de la identidad del interesado a quien le corresponde el acto de la firma en el momento inmediatamente previo del propio acto, mediante una nueva autenticación o utilizando mecanismos de contraste que garanticen la verificación.

2. La verificación previa por parte del interesado de los datos a firmar.

Estos datos se obtendrán a partir de aquella información presentada por el ciudadano y de cuya veracidad se hace responsable, así como de los documentos electrónicos que, eventualmente, presente en el procedimiento.

El interesado debe ser consciente de los datos que va a firmar y deberá ofrecérsele de un modo visible la posibilidad de consultarlos en un formato legible.

3. La acción explícita por parte del interesado de manifestación de consentimiento y expresión de su voluntad de firma.

Se deberá requerir la expresión explícita del consentimiento y la voluntad de firma del interesado en el procedimiento, mediante la inclusión de frases que manifiesten dicha expresión de manera inequívoca, además de la exigencia de actuación de aceptación por parte del interesado.

4. Para garantizar el no repudio de la firma por parte del ciudadano, el sistema de firma deberá acreditar la vinculación de la expresión de la voluntad y los datos firmados con la misma persona.

Se deberán considerar mecanismos que permitan contrastar la identidad del interesado en el momento mismo de proceder a la firma, no autorizando la realización de ésta ante cualquier situación que cuestione dicho contraste.

Asimismo, la garantía de no repudio exige que el sistema de firma asegure una adecuada trazabilidad que permita la auditoría de la actuación realizada, autenticación, expresión de voluntad y consentimiento y actuación de firma.

Con el mismo propósito de auditoría para asegurar la garantía de no repudio, los proveedores de identificación deberán salvaguardar las evidencias de las actuaciones de autenticación durante el plazo mínimo de cinco años. Corresponderá al sistema de firma la custodia de las referencias a tales evidencias, y la solicitud de las mismas, conforme al procedimiento y condiciones establecidas, a aquellos proveedores, si fuere necesario.

VI. Garantía de la integridad de los datos y documentos firmados

1. Sellado de la información presentada. Una vez acreditada la expresión de la voluntad y el consentimiento y para firmar del interesado, se deberán establecer los mecanismos para garantizar la integridad e inalterabilidad de los datos y, en su caso, de los documentos electrónicos presentados por el interesado, para lo cual el sistema de firma sellará los datos a firmar, con un sello de órgano y la adición de un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y la pondrá a disposición del sistema de información asociado al procedimiento electrónico que requiere la firma.

2. Justificante de firma. En el proceso de firma se entregará al interesado un justificante de firma, que será un documento legible, de acuerdo con la norma técnica de interoperabilidad de catálogo de estándares y preferiblemente en formato PDF y que deberá cumplir estos requisitos:

- Garantizar la autenticidad del organismo emisor mediante un sellado electrónico con el certificado de sello del mismo, en formato PAdES en el caso de que el justificante tenga el formato PDF.

- Contener los datos del firmante, entre los que se incluirán datos de la evidencia de la autenticación, y, en el caso de que el documento firmado haya pasado por un Registro de entrada, los datos identificativos de su inscripción en el Registro.

- Contener los datos a firmar expresamente por el interesado. Si se ha anexado algún documento electrónico se incluirá una referencia al mismo.

- Garantizar el instante en que se realizó la firma, mediante sello de tiempo del justificante, realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado.

- Garantizar la autenticidad del justificante de firma, incluyendo en el justificante de firma un código seguro de verificación (CSV), y garantizando que este justificante se pueda consultar en línea mediante un sistema de cotejo de CSV cuya dirección se incluya en el propio justificante de firma.

- Alternativamente, la autenticidad del organismo emisor y del justificante de firma se podrá garantizar mediante dos documentos: uno de ellos con sellado electrónico del justificante en formato PAdES (en el caso de que el justificante tenga formato PDF) y otro con la utilización de un código seguro de verificación (CSV) del justificante.

Lo que se hace público para general conocimiento.

Lucena a 10 de noviembre de 2020. Firmado electrónicamente: El Alcalde, Juan Pérez Guerrero.