Para avanzar en el desarrollo de la e-Administración es necesaria una regulación del uso de los medios electrónicos coherente con las necesidades de los ciudadanos y empresas, que lleve a desarrollar el potencial existente. La necesidad de crear unos gobiernos abiertos, interrelacionados y cooperativos ha comenzado a establecerse con el Reglamento 910/2014, y su normativa de desarrollo, que obliga a las administraciones públicas mejorar las vías de servicios, y así buscar una mejora en la interacciones de los ciudadanos y empresas. En este punto tratamos el desafío que se plantea respecto a la identidad electrónica.
I. INTRODUCCIÓNLa irrupción de las nuevas, o ya no tan nuevas, tecnologías en nuestra sociedad es una cuestión imparable e irrechazable, resultando ser un medio facilitador, para que los ciudadanos puedan relacionarse con la Administración pública.
Desde 1999, e incluso antes, se han sucedido distintas iniciativas normativas, para impulsar el desarrollo de la e-Administración y para mejorar la atención a los ciudadanos, a través de la combinación de tecnología, organización (a través de distintas normas técnicas) y regulación (a través de normas jurídicas).
En este sentido, debemos tener presente que para avanzar en el desarrollo de la administración electrónica es necesaria una regulación del uso y el impacto de los medios electrónicos en las Administraciones públicas que garantice, tanto los derechos de los ciudadanos, en sus relaciones con éstas, a través de medios electrónicos, como la seguridad jurídica de las transacciones electrónicas que se lleven a cabo.
La normativa, que se ha ido sucediendo, ha tenido diversos orígenes e influencias, de carácter nacional, regional e internacional, con el objetivo de ofrecer a los ciudadanos la posibilidad de relacionarse con la Administración a través de internet y, por tanto, tratar de modernizar los servicios que se prestan. No obstante, existen, luces y sombras en la citada normativa, encaminada a la denominada “electronificación”.
Observemos que, en Europa, el conjunto de los Estados miembros de la UE, cada vez dan más servicios públicos electrónicos. No obstante, estos están infrautilizados. En este sentido, los indicadores muestran que las administraciones públicas ofrecen
, cada vez, una gama más amplia de servicios en línea, pero mayor certeza tiene que el número de usuarios que interactúa con la Administración, de forma online, no aumenta como debería, especialmente, de manera transfronteriza (Comité Económico y Social Europeo, 2012).
Para superar este hecho, no debemos olvidar los proyectos y/o programas pilotos emprendidos en el seno de la UE, por ejemplo, e-Codex, que apoya el desarrollo y la utilización de soluciones de justicia electrónica interoperables; STORK, que apoya el desarrollo y la utilización de identificaciones electrónicas interoperables; o e-Health, que apoya el uso de tecnologías de la información y la comunicación (TIC) aplicadas a los sistemas sanitarios, con objeto de hacerlos más eficaces, para la mejorar de la gestión de las enfermedades, así como la predicción, la prevención, el diagnóstico y el tratamiento de las mismas. Por otro lado, en 2020, a más tardar, las administraciones públicas de los Estados miembros de la UE deberán ser abiertas, eficientes e integradoras, debiendo prestar servicios públicos digitales sin fronteras, personalizadas, fáciles de utilizar, de extremo a extremo a todos los ciudadanos y empresas de la UE. De esta forma, las administraciones públicas deben diseñar y prestar mejores servicios de conformidad con las necesidades y las demandas de la ciudadanía y las empresas, a la vez que, deben aprovechar este entorno digital, para facilitar sus interacciones entre sí.
II. LA E-ADMINISTRACIÓN: JUSTIFICACIÓN Y REGULACIÓNLas normas jurídicas que se presentan para regular la e-Administración tienen una serie de particularidades respecto al régimen jurídico de las Administraciones públicas; pues, desde una perspectiva tradicional se debe dar respuesta a problemas que no existen en el mundo físico, ya que determinadas situaciones tienen una dimensión diferente. Esta regulación se lleva a cabo a través de diferentes instrumentos, que se dirigen hacia la propia actividad y funcionamiento de las Administraciones públicas a través de leyes y reglamentos.
Con las nuevas tecnologías, las necesidades de los ciudadanos varían y las Administraciones deben adaptarse de manera rápida y eficaz. La adaptación produce cambios muy rápidamente, mientras que el procedimiento de elaboración de normas jurídicas es bastante más lento, con las consecuencias que ello puede tener para la seguridad jurídica.
En este sentido, la Comisión Europea consideró que la digitalización afecta a todos los Estados miembros y a la Unión, en todos los niveles administrativos, señalando que el obstáculo, más serio, que dificulta el acceso transfronterizo a los servicios electrónico, es el que se encuentra relacionado con la Administración pública y la posibilidad que ésta ofrece a empresas y ciudadanos que se comunican electrónicamente con ellas.
Esto es lógico, si tenemos en cuenta que la Administración pública de un Estado, en el que reside una persona, requiere el uso de un determinado tipo de firma electrónica o certificado y la Administración de otro Estado requiere otro certificado electrónico para comunicarse con ella, porque no es interoperable con el exigido por la administración receptora. Este motivo llevo a la aprobación de la Directiva 2006/123/CE, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior, obligando a los Estados miembros a establecer, ventanillas únicas (o portales electrónicos), para garantizar que todos los procedimientos y trámites relativos al acceso a una actividad de servicios y a su ejercicio se puedan realizar fácilmente, a distancia y/o por vía electrónica.
Unas de las áreas clave de las ventanillas únicas, ya sea a nivel nacional e internacional, son las operaciones relacionadas con el intercambio de información. Por ello, las cuestiones sobre autenticación e identificación, en el entorno electrónico, resultan muy importantes. Por este motivo, resulta importante centrarse en el uso de las firmas electrónicas, para avanzar en un contexto electrónico, internacional o nacional, uniforme, ya que cuando se adopta una infraestructura legal es importante tener en cuenta que tipos de transacciones se realizan y el marco en el que se realizan.
En este contexto, los ciudadanos y las empresas en su relación con las distintas Administraciones públicas deben realizar transacciones, por ejemplo, para el pago de impuestos, lo que lleva a un entorno jurídico determinado, que a veces puede ser un país que no es el suyo. En este entorno, resulta necesaria la implementación de portales electrónicos que permitan a los ciudadanos y empresas relacionarse con las Administraciones públicas de otro Estado, identificar las leyes, así como sus restricciones, con el fin de facilitar la presentación electrónica de datos.
Estas ventanillas únicas (o portales electrónicos) permitirán el intercambio de información, entre los organismos gubernamentales, con ciudadanos y/o empresas, creando las condiciones propicias para que una Ley internacional regule esta materia, lo que hoy en día constituye uno de los principales retos.
De esta forma, resulta decisivo revisar los aspectos legales relativos a la legislación sobre privacidad y las leyes de protección de datos, asociados al desarrollo de la Ventanilla Única, incluyendo la presentación de información por parte de los comerciantes, el intercambio de información entre las diferentes autoridades gubernamentales y organismos y, especialmente, las cuestiones relacionadas con el uso de la firma electrónica.
En España, muchos servicios en línea, que marcan el acceso a los ciudadanos, exigen la identificación electrónica, la autenticación electrónica de la identificación y la firma electrónicas. Si bien, la Ley 39/2015 de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que deroga la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, establece tanto sistemas de identificación como de firmas, coherentes con el Reglamento 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (en adelante, eIDAS), lo cierto es que el citado Reglamento se está desarrollando de manera vertiginosa mediante actos delegados (artículo 47) y de ejecución (artículo 52).
Actualmente, se han realizado cinco Decisiones de ejecución y tres Reglamentos de ejecución, que deben ser analizados y tenidos en cuenta, de cara a la actividad futura de las Administraciones públicas y al mantenimiento coherente de la Ley 39/2015, para poder observar si se mantiene intacto el Derecho de los ciudadanos a relacionarse con las Administraciones públicas.
Se trata, citando textualmente el eIDAS, “
de evitar barreras electrónicas que excluyan a los proveedores de servicios del pleno disfrute de los beneficios del mercado interior. Unos medios de identificación electrónica mutuamente reconocidos y aceptados facilitarán la prestación transfronteriza de numerosos servicios en el mercado interior y permitirán a las empresas actuar fuera de sus fronteras sin encontrar obstáculos en su interacción con las autoridades públicas”.
III. NORMAS TÉCNICAS VS. NORMAS JURÍDICASComo hemos dicho, el desarrollo normativo de la e-Administración ha venido de diferentes instrumentos que, de una manera u otra, definen y condicionan los usos de los medios electrónicos en las relaciones entre las Administraciones públicas y la ciudadanía, así como los derechos y las obligaciones de cada sujeto en ellos.
En el uso de los medios electrónicos se observa como la tecnología avanza y va a condicionando el alcance de la normativa reguladora. En este sentido, las referencias a la tecnología aparecen, a veces de manera casi imperceptible en las Leyes reguladoras de la e-Administración. Con frecuencia, estas normas técnicas se incorporan al ordenamiento jurídico, mutándose en normas jurídicas, lo que, al final, llega a limitar la aplicación de otras, que en la mayoría de los casos están relacionadas con aquellas.
La lectura de las normas técnicas, en materia de interoperabilidad, permite observar el grado de precisión técnica al que se llega, imposible de alcanzar a través de las normas jurídicas, que les dan amparo. La complejidad técnica y la permanente evolución justifican, plenamente, el recurso a las normas técnicas para fijar estos aspectos, que, por otro lado, tienen un gran impacto en el desarrollo de la e-Administración.
La interoperabilidad es fundamental a escala internacional, nacional, regional y local; pues, como señaló la OCDE, la interoperabilidad va a condicionar el intercambio de datos, información o conocimiento con otras Administraciones, que posean una estructura interna diferente. Lo que viene a relacionarse con la reglamentación de distintos tipos de forma de acceso a la Administración electrónica, en referencia al grado de seguridad técnica que establezca en el procedimiento administrativo resultando, por tanto, las normas jurídicas un obstáculo para la interoperabilidad, por el establecimiento de requisitos añadidos.
En este sentido, el Plan de Acción sobre Administración Electrónica de la UE 2016-2020 determina que para que el futuro digital sea satisfactorio debe sustentarse en normas avanzadas, que además de proporcionar un marco previsible y estable, para las inversiones, deben allanar el camino para la mejora de la calidad, la seguridad, la transparencia y la interoperabilidad de bienes y servicios.
En este contexto, debemos observar que el sector público desempeña un papel fundamental en la economía, como regulador, prestador de servicios y empleador. Representa una parte importante del empleo total y una parte importante de la actividad económica en los Estados. Un sector público productivo y eficiente puede ser un potente motor del crecimiento económico a través de su apoyo al sector privado y a su gobernanza. En un momento en que los gobiernos se enfrentan al desafío de garantizar el saneamiento financiero y, al mismo tiempo, promover el crecimiento, la competitividad y el empleo, está más que justificado tratar de mejorar la eficiencia, la gobernanza, la rapidez en las prestaciones y la participación de los usuarios en el sector público. De esta forma, temas tales como la interoperabilidad, la administración electrónica, los datos abiertos, la computación en nube y la innovación social nos permiten contar con una serie de conceptos y herramientas maduros. La principal novedad es la capacidad de los datos abiertos, las herramientas participativas y las plataformas interoperables para propiciar una velocidad, eficiencia y calidad sin precedentes en la creación y suministro de bienes y servicios públicos.
Así pues, puede decirse que existe un gran potencial para que unos gobiernos abiertos, interrelacionados y cooperativos pongan en común las contribuciones de diferentes sectores de manera interoperable y segura. Hacer realidad esta ambición es un elemento crucial para la construcción satisfactoria del mercado único digital en Europa.
En definitiva, lo que se pretende es hacer plenamente interoperables los servicios de e-Administración,
superando las barreras organizativas, técnicas, semánticas y jurídicas, para garantizar que los puntos de contacto únicos
funcionen como verdaderos centros de e-Administración, permitiendo el acceso a los ciudadanos y empresas y que se cree una lista común de servicios públicos transfronterizos esenciales, que correspondan a necesidades bien definidas.
Solo de esta manera, se puede determinar un sistema jurídico específico, que permita a los actores actuantes en el mercado comunicarse, intercambiar información, ofrecer y usar servicios y productos en tiempo real. Por ello, las normas, que los Estados adopten, deben cumplir con los requisitos marcados en las leyes de los diferentes países o regiones.
Si echamos la mirada a la normativa anterior, la citada interoperabilidad no existía, en relación a la identificación y la autenticación electrónica. En especial, a lo que se refiere la a la dimensión jurídica de la interoperabilidad y, por ende, a la falta de neutralidad tecnológica; pues, si hubiera una verdadera neutralidad tecnológica significaría que los ciudadanos tienen el derecho a elegir las soluciones técnicas que quieran utilizar, en las relaciones que mantienen con la Administración pública, que bien podría ser la de otro Estado miembro.
Lo anterior no permite observar a que a través de las normas técnicas se deben fijar estándares técnicos, relativos al desarrollo de la e-Administración. A través de las normas jurídicas se deben fijar las cuestiones relativas a los derechos y obligaciones, así como los aspectos procedimentales y formales del uso de los medios electrónicos en las relaciones entre las Administraciones públicas y la ciudadanía.
A modo de ejemplo, cuando hablamos de interoperabilidad nos estamos refiriendo a que, una autoridad administrativa en un Estado miembro de la UE pueda recibir y validar una identidad electrónica emitida por cualquier proveedor de servicios de certificación, establecido en cualquier otro Estado miembro, o de un tercer Estado. Se trata de que, con la información que poseemos, podamos: demostrar la identidad y realizar una transacción jurídicamente vinculante, respetando los requisitos del procedimiento. De este modo, la interoperabilidad se haría posible, con el fin de poder utilizar la misma identificación electrónica en cualquier comunicación nacional o internacional, a través de un procedimiento ya establecido.
Interoperabilidad es una cuestión de suma importancia; pues, con ella deviene el principal problema al derecho de acceso, ante la falta de neutralidad tecnológica. Cuando hablamos de ésta nos referimos a que los procesos, tecnologías y protocolos requeridos, para asegurar la integridad de los datos y la identidad del ciudadano, cuando se transfieren de un sistema a otro, que deberá conllevar, por definición, una correcta interconexión de los sistemas e intercambio de datos.
Así, en el plano técnico, aunque abundan las normas, se ha de poner de relieve la falta de normas básicas comunes a algunas tecnologías. En el plano jurídico, las legislaciones, que prescriben una tecnología específica predominante, se señalan como factores que impiden el progreso y la dificultad de los responsables en comprender sus respectivos marcos de confianza mutua, incluso en los temas de responsabilidad e indemnización.
Un ejemplo, al problema de la interoperabilidad es y, a veces sigue siendo, la situación que está presente en España, a nivel regional, y en la UE: las autoridades estatales de toda Europa ofrecen acceso electrónico, centrándose, sobre todo, en las necesidades y medios nacionales, lo que ha generado un sistema complejo con soluciones diferentes, que ha provocado el nacimiento de nuevos obstáculos a los intercambios transfronterizos, que lastran el funcionamiento del mercado único para las empresas y los ciudadanos.
En este sentido, debe observarse que le Ley 59/2003, de 19 de diciembre, de firma electrónica, centraba sus normas en la firma electrónica reconocida, única clase de firma electrónica legalmente asimilable, en términos de equivalencia funcional, a la firma manuscrita. Todas las funciones propias de la firma electrónica residen en la denominada firma electrónica reconocida: identificación, atribución, privacidad, integridad y seguridad. Lo que no acontece con las firmas electrónicas simple y avanzada, respecto a la avanzada deberá detallarse pues el eIDAS abunda en ellas.
Sin embargo, las Administraciones públicas (Arts. 10 y 15 Ley 11/2007) preveían, en la mayoría de los casos, que los ciudadanos podían relacionarse con ella, mediante sistemas de firma no reconocida, lo que llevó a las Comunidades Autónomas, como La Rioja, a regular este tipo de firma en el ámbito de las Administraciones públicas riojanas y en las relaciones entre estas y los ciudadanos. Por otro lado, la Ley de firma electrónica lo único que hacía es repetir lo que establecía el Artículo 2,2 de la Directiva 1999/93/CE, sobre firma electrónica; es decir, mismos efectos y misma generalidad, guardando silencio sobre los efectos que debe producir o alude a ellos de manera incidental, haciendo referencia a ellos a la hora de establecer los elementos que componen la tecnología necesaria para producir una determinada seguridad. Hay que tener en cuenta que, en la definición de firma electrónica avanzada, que realmente se está pensando en las firmas digitales.
Este problema se reconoce en el eIDAS, pues como dice el Considerando 50, los Estados miembros usan formatos de firma electrónica avanzada diferentes, para firmar electrónicamente sus documentos, por lo que considera preciso velar, porque los Estados miembros puedan soportar, técnicamente, al menos, una serie de formatos de firma electrónica avanzada, cuando reciban documentos firmados electrónicamente.
De esta forma, la Comisión determina que la interoperabilidad efectiva es necesaria, para que las empresas y ciudadanos puedan ejercer sus derechos e interrelacionarse con las Administraciones públicas.
La falta de interoperabilidad era, principalmente, dada por la obligación impuesta a los proveedores de servicios de certificación, que al expedir certificados reconocidos en cumplimiento del Anexo II de la Directiva 1999/93/CE, debía: “
comprobar debidamente, de conformidad con el Derecho nacional, la identidad y, si procede, cualesquiera atributos específicos de la persona a la que se expide un certificado reconocido”.
Atendiendo a lo comentado anteriormente, si queremos realizar una transacción transfronteriza tenemos que tener en cuenta que, por un lado, los documentos de identificación electrónica son dependientes de un documento de origen y la integridad de un sistema de identificación depende de una relación demostrable entre la persona y el prestador de servicios, que emite el certificado con el que se va a firmar el documento en el mismo país de origen; por otro, surgirá la necesidad demostrar la identidad y realizar la autenticación de la transacción jurídicamente vinculante, en el país de destino, lo que nos exige respetar los requisitos del procedimiento establecido por este Estado, lo que puede perjudicar gravemente a la interoperabilidad y a la seguridad jurídica.
Por esta razón, surge la necesidad de armonizar la amplia y diversa gama de leyes nacionales sobre e-ID, como un imperativo del mercado interno. En este contexto, debe observarse que hasta ahora, habían sido los Estados miembros los que habían tomado la iniciativa, proponiendo los sistemas de identificación a los ciudadanos, así como a los sistemas nacionales de gestión de identidades, dado que la UE no había hecho uso del poder concedido en el Tratado de Lisboa.
Por ello, con el eIDAS, se puede decir que se sientan las bases para el establecimiento de condiciones que lleven al reconocimiento mutuo de identidades electrónicas entre países de la UE, definiendo reglas para los servicios de confianza, en particular para transacciones online, y creando un nuevo marco legal para la firma electrónica, los documentos digitales, o los servicios de autenticación de sitios web.
Se trata de conseguir un entorno regulador previsible, con la finalidad de alcanzar unas interacciones electrónicas seguras entre las empresas, los ciudadanos y los poderes públicos, para aumentar la eficacia de los servicios en línea, tanto del sector público como del privado. Asimismo, constituye un paso esencial hacia el Mercado Único Digital. La UE se ha marcado un propósito claro de digitalización y son diversas las iniciativas que se están adoptando en este terreno. El objetivo es aprovechar las oportunidades digitales, siendo conscientes de que los países de la UE presentan actualmente diversos grados de digitalización y que las fronteras siguen representando un obstáculo para un auténtico mercado único digital, una de las principales prioridades de la Comisión.
IV. MARCO NORMATIVO EUROPEO DESARROLLADOLas normas, que desarrollan la e-Administración, se llevan a cabo a través de instrumentos muy diversos, ante una pluralidad de sujetos, con gran variedad de instancias territoriales, internacionales, supranacionales, estatales, regionales y locales.
No obstante, el futuro de la e-Administración, en nuestro país, se encuentra predeterminado desde las instancias comunitarias, dentro la Agenda Digital para Europa, una de las iniciativas emblemáticas de la estrategia Europa 2020, que determina, en el ámbito de la e-Administración, actuaciones para garantizar el reconocimiento de la identificación y la autenticación electrónicas en toda la UE sobre la base de unos “servicios de autenticación”
en línea que se ofrecerán en todos los Estados miembros.
Obsérvese las distintas normas adoptadas, entre las que destacan: Directiva 2006/123/CE, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior; Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública; Reglamento 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE; Directiva 2006/24/CE de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE; Reglamento 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior; Decisión 2004/387/CE de 21 de abril de 2004 relativa a la prestación interoperable de servicios paneuropeos de administración electrónica al sector público, las empresas y los ciudadanos (IDABC); Decisión Nº 922/2009/CE del Parlamento Europeo y del Consejo de 16 de septiembre de 2009 relativa a las soluciones de interoperabilidad para las administraciones públicas europeas (ISA); Decisión 2015/2240 25 de noviembre de 2015 por la que se establece un programa relativo a las soluciones de interoperabilidad y los marcos comunes para las Administraciones públicas, las empresas y los ciudadanos europeos (programa ISA2) como medio de modernización del sector público; Directiva 2016/2102 de 26 de octubre de 2016 sobre accesibilidad de los sitios web y las aplicaciones para dispositivos móviles de los organismos del sector público; Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior; etc.
Toda la normativa citada, anteriormente y alguna más, incide de manera clara en el desarrollo de la e-Administración. No obstante, desde nuestro punto de vista, destaca por encima de ellas el Reglamento europeo 910/2014, por su carácter transaccional e influencia en cada una de las citadas normas.
Esta norma va a desempeñar un papel destacado, a la hora de crear un enfoque más abierto e integrador con respecto a la e-Administración, centrado en los ciudadanos y sus necesidades, partiendo de un reconocimiento pleno de las identificaciones electrónicas notificadas, su autenticación y las firmas electrónicas.
No podemos olvidar que, en la Europa actual, los ciudadanos son libres de trabajar y cambiar de residencia, y las empresas son libres de comerciar y hacer negocios en toda la Unión, y a menudo se ven en la necesidad de interactuar con las administraciones de los Estados miembros por medios electrónicos. Para facilitar esta interacción, los Estados miembros deben modernizar gradualmente sus administraciones haciéndolas más accesibles, mediante la mejora de los procesos y las infraestructuras TICs, lo que debe llevar de manera obligatoria a la reducción de las cargas administrativa y sus costes, aumentando al mismo tiempo la eficiencia y eficacia de los servicios que prestan, aunque a veces no se produce.
Según ha explicado la Comisión Europea, el Mercado Único Digital presenta el potencial de mejorar el acceso a la información, para conseguir mayor eficiencia al rebajar los costes de las transacciones, desmaterializar el consumo y reducir la huella ambiental, así como para introducir modelos empresariales y administrativos mejorados. A lo que añade que una mayor e-Administración facilita el cumplimiento en línea y el acceso a oportunidades de empleo y de negocio tanto para los ciudadanos como para las empresas.
V. HERRAMIENTAS JURÍDICAS CREADAS PARA LA CREACIÓN DE UN SISTEMA DE IDENTIFICACIÓN Y AUTENTICACIÓN ELECTRÓNICA EUROPEOEn España, el Real Decreto-Ley 14/1999, de 17 de septiembre, incorporó a nuestro ordenamiento jurídico la Directiva 1999/93/CE, de 13 de diciembre de 1999, antes de su publicación en el Diario Oficial de las Comunidades Europeas, lo que fue muy criticado en su momento.
Posteriormente, a Ley 59/2003, de 19 de diciembre, de Firma Electrónica, derogó el citado Real Decreto-Ley, modificando e incorporando conceptos que no habían sido tenidos en cuenta en su día, al no haber seguido las pautas establecidas por la Directiva, por ejemplo, en relación a la firma electrónica reconocida, otorgándole equivalencia funcional con la firma manuscrita o, modificando el concepto de prestadores de servicios de certificación.
De esta forma, con esta Ley se muestra consciencia de que la firma electrónica es un elemento esencial, a la hora de realizar cualquier transacción, para dar respuesta a la necesidad de conferir seguridad a cualquier comunicación, siendo por ello vital el vínculo entre la fiabilidad técnica y la eficacia jurídica que cabe esperar de la firma electrónica. Así pues, se trata de potenciar la seguridad en cualquier negocio jurídico a realizar, afianzándose la firma electrónica como el instrumento adecuado para devolver la credibilidad y confianza a los sujetos intervinientes, a través de sus propios ordenadores, ya sea a nivel nacional o internacional.
No obstante, el marco normativo preexistente, fruto de la transposición al derecho interno de la Directiva, mostró que las leyes nacionales habían creado barreras
de facto a la interoperabilidad de la firma electrónica en la UE y que éstas estaban teniendo, actualmente, el mismo efecto sobre la identificación electrónica, la autenticación electrónica y los servicios de confianza conexos.
Esto motivó la revisión de la Directiva y la posterior aprobación del Reglamento 910/2014, de 23 de julio, con el que se viene a derogar la Directiva, que adopta un marco jurídico para la firma, la identificación y la autenticación electrónicas, como elementos básicos en los que se deben fundamentar los servicios públicos digitales transfronterizos. Asimismo, se subraya la importancia de promover la utilización de regímenes notificados de identificación electrónica en virtud del Reglamento por parte de los ciudadanos, las empresas y la administración pública y, a este respecto, se indica que la adopción de estos habilitadores claves debe ser la prioridad del sector público y el privado en el desarrollo de servicios digitales.
De esta forma, debemos tener muy presente que el Reglamento se adopta con el objetivo de aumentar la eficacia de los servicios en línea públicos y privados, los negocios electrónicos y el comercio electrónico en la UE, en beneficio de los ciudadanos que trabajan o estudian en otro Estado miembro, así como de las pymes en sus negocios transfronterizos; pues, a medida que evoluciona la sociedad digital y se prestan más servicios públicos fundamentales en línea, mayor será la necesidad de realizar estrategias dirigidas a acelerar la inclusión digital en toda la Unión.
Ahora bien, debemos ser conscientes que el Reglamento no presenta un sistema estandarizado de identificación electrónica europea, para todos los ciudadanos y empresas ni plantea el desarrollo de una identificación electrónica europea común; no obstante, requerirá que todos los Estados miembros acepten todos los sistemas nacionales de identificación electrónica notificados de acuerdo con el Reglamento y, asimismo, permitirá que los países decidan si notifican o no sus sistemas nacionales, al tiempo que respeta las preferencias de los Estados miembros que no disponen de un sistema nacional de identificación electrónica.
Como sabemos, el principal objetivo del Reglamento 910/2014 es eliminar las barreras existentes para el uso transfronterizo de los medios de identificación electrónica utilizados en los Estados, garantizando la identificación y autenticación electrónicas seguras a los ciudadanos para el acceso a los servicios transfronterizos en línea ofrecidos por los Estados miembros.
En este sentido, e-IDAS establece una serie de novedades básicas (Comité Económico y Social Europeo, 2012):
- Condiciones sobre los medios de identificación electrónica que deben reconocerse y cómo deben notificarse, creando un nuevo marco legal para la firma electrónica, sellos y documentos electrónicos y los servicios de entrega electrónica certificada y de autenticación de sitios web.
- Se establece un mercado transfronterizo digital único, de acceso por cualquier entidad o ciudadano de la Unión con la finalidad de efectuar operaciones electrónicas en otros Estados miembros, dotándolo de seguridad y brevedad en función de sus necesidades.
- Los Estados miembros deben reconocerse mutuamente los medios de identificación electrónica, de forma que el tratamiento de datos sean los adecuados para el servicio electrónico que se use.
- Los Estados miembros deben fomentar que el sector privado utilice voluntariamente los medios de identificación electrónica a efectos de identificación de los servicios en línea o transacciones electrónicas.
De lo anterior, se deduce la obligación de los Estados miembros de admitir los sistemas de identificación electrónica notificados a la Comisión Europea por el resto de Estados miembros, así como los sistemas de firma y sello electrónicos basados en certificados electrónicos cualificados emitidos por prestadores de servicios que figuren en las listas de confianza de otros Estados miembros de la UE, en los términos que prevea dicha norma comunitaria.
De esta forma, se vienen a definir las condiciones para que los sistemas de notificaciones electrónicas sean legalmente válidos en los países de la UE, tratando así de reforzar la confianza en las transacciones electrónicas dentro del marco de la UE, proporcionando las herramientas jurídicas necesarias para crear un clima de seguridad entre ciudadanos, empresas y la Administración pública.
Las condiciones fijadas deben observarse a través del planteamiento evolutivo que se efectúa a lo largo de todo el Reglamento, permitiendo a la Comisión Europea la adopción de actos delegados (artículo 47 del Reglamento) y de ejecución (artículo 52, b) y c) del Reglamento), que le permite la búsqueda de esa ansiada homogeneidad en el derecho de acceso de los ciudadanos a los servicios que cada vez más se prestan por todas las administraciones.
De esta forma, se busca asegurar que las personas físicas y jurídicas puedan utilizar sus propios sistemas nacionales de identificación electrónica, para acceder a los servicios públicos en otros Estados miembros.
Antes, estos cambios se realizaban a nivel nacional y sin interoperabilidad a nivel europeo, erigiéndose barreras electrónicas que impedían a los ciudadanos y a las empresas utilizar los servicios públicos de forma eficiente y dificultaban el buen funcionamiento del mercado interior. Sin embargo, ahora se pretende armonizar aspectos de la e-Identificación, como un imperativo del mercado interno, a través del poder concedido en el Tratado de Lisboa.
Esta cuestión fue proyectada, primeramente, en Estonia, donde el gobierno estonio ha aprobado la emisión de tarjetas de identificación inteligentes. Con ellas, los e-estonios (que no tienen que tener la nacionalidad de este país de la UE ni siquiera la residencia física en él), accederán a multitud de servicios online, así como a la firma digital. Resulta especialmente interesante dos de sus características: 1) su obtención es voluntaria y abierta a todas las personas del mundo (no sólo de la UE); 2) No tiene en cuenta la residencia física ni la nacionalidad, puesto que la sociedad digital se mueve en otros parámetros y lo que en realidad se ofrece, por el Gobierno estonio, es la estructura digital a la que se puede acceder desde cualquier parte del mundo y los servicios que su utilización proporciona De esta forma, “
puede parecer atrevido, desde postulados propios de un Segundo entorno (sociedad industrial), pero desde el tercer entorno (espacio virtual), en el que las relaciones aparecen mediadas tecnológicamente, la residencia digital pudiera ser un criterio a tener en cuenta”. El servicio está dirigido, principalmente, a aquellos que ya tienen vínculos con Estonia, ya sea a través de negocios, estudios o por turismo. Se trata de plataforma que proporciona y utiliza servicios digitales en todo el mundo. Con ello, se espera que el o la e-residente atraiga a nuevos clientes a los servicios digitales de Estonia.
La conclusión que se puede obtener es que el desafío que se plantea es el establecimiento de un enfoque uniforme y confiable, para emisión y gestión de la identidad electrónica de los individuos, credenciales y derechos de uso. El beneficio para un usuario final es importante: permitirle el acceso a numerosas aplicaciones y servicios proporcionado a través de dominios y organizaciones mediante el uso de un mismo credencial. De esta manera, los usuarios y los proveedores de servicios pueden depender de una sola identidad, para administrar la identidad de credenciales y en línea de forma segura.
VI. APLICACIÓN DEL MODELO NORMATIVO PREVIOLa necesidad específica de establecer un marco armonizado y coherente, con la intención de alcanzar los objetivos y metas fijadas en la estrategia Europa 2020, llevó a la Comisión Europea a tratar de garantizar, de forma efectiva y coherente, la interoperabilidad de la firma electrónica; pues, como sabemos, las medidas nacionales han creado barreras
de facto a la citada interoperabilidad de la firma electrónica en la UE, y están teniendo, actualmente, el mismo efecto sobre la identificación electrónica, la autenticación electrónica y los servicios de confianza conexos, por lo que es necesaria la creación de un marco, que permita abordar la interoperabilidad transfronteriza y mejorar la coordinación, de los regímenes nacionales de supervisión.
Por lo anterior, a través del Reglamento 910/2014, se ha dotado a la Comisión, como hemos apuntado más arriba de la potestad de poder adoptar actos delegados y de ejecución. A la hora de adoptar actos delegados o actos de ejecución, la Comisión debe tener en cuenta las normas y especificaciones técnicas elaboradas por organizaciones y organismos de normalización europeos e internacionales, en particular, el Comité Europeo de Normalización (CEN), el Instituto Europeo de Normas de Telecomunicación (ETSI), la Organización Internacional de Normalización (ISO) y la Unión Internacional de Telecomunicaciones (UIT), con vistas a garantizar un elevado nivel de seguridad e interoperabilidad, de los servicios de identificación electrónica y de confianza.
Estos actos van destinados a garantizar la disponibilidad de normas organizativas y técnicas, gestionar la información notificada por los Estados miembros, y, en particular, mantener la información relacionada con las listas de confianza, sensibilizar acerca de las ventajas de la utilización de la identificación, autentificación y firma electrónicas y los servicios de confianza conexos e iniciar conversaciones con terceros países con vistas a conseguir la interoperabilidad a nivel mundial en este ámbito.
Los citados actos son:
- Decisión de Ejecución 2015/296 de la Comisión, de 24 de febrero de 2015, por la que se establecen las modalidades de procedimiento para la cooperación entre los Estados miembros en materia de identificación electrónica con arreglo al artículo 12, apartado 7;
- Reglamento de Ejecución 2015/806 de la Comisión, de 22 de mayo de 2015, por el que se establecen especificaciones relativas a la forma de la etiqueta de confianza <<UE>> para servicios de confianza cualificados;
- Decisión de Ejecución 2015/1505 de la Comisión, de 8 de septiembre de 2015, por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5;
- Decisión de Ejecución 2015/1506 de la Comisión, de 8 de septiembre de 2015, por la que se establecen las especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público de conformidad con los artículos 27, apartado 5, y 37, apartado 5;
- Reglamento de Ejecución 2015/1502 de la Comisión, de 8 de septiembre de 2015, sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica con arreglo a lo dispuesto en el artículo 8, apartado 3;
- Reglamento de Ejecución 2015/1501 de la Comisión, de 8 de septiembre de 2015, sobre el marco de interoperabilidad de conformidad con el artículo 12, apartado 8;
- Decisión de Ejecución 2015/1984 de la Comisión, de 3 de noviembre de 2015, por la que se definen las circunstancias, formatos y procedimientos de notificación con arreglo al artículo 9, apartado 5;
- Decisión de Ejecución (UE) 2016/650 de la Comisión, de 25 de abril de 2016, por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2.
En relación con el derecho de acceso, todas tienen su importancia, destacando entre ellas el citado Reglamento de Ejecución 2015/1502 que establece especificaciones técnicas mínimas, normas y procedimientos con referencia a los cuales se especificarán los niveles de seguridad de los medios de identificación electrónica. En el marco de la determinación de los niveles de seguridad vinculados a la gestión de la identidad, se fijan tres niveles:
- a) Nivel de seguridad bajo;
- b) Nivel de seguridad sustancial, y
- c) Nivel de seguridad alto.
Estos niveles de seguridad se describen de acuerdo con especificaciones técnicas, normas y procedimientos conexos (tal y como puede observarse en el anexo). De esta forma, puede decirse que se crea un mecanismo de cooperación, así como un marco de interoperabilidad, para definir los criterios de seguridad para intercambiar la información relativa a los medios de identificación electrónica y sus respectivos niveles de seguridad, consagrando así el principio de reconocimiento mutuo, para los medios de identificación que tuvieran un nivel de garantía equivalente (a partir del nivel de garantía suficiente) o superior.
Esta norma se basa en un enfoque basado en resultados que, tal y como se establece, han de medirse, sin favorecer ningún producto o tecnología en concreto. La utilización de este enfoque permite facilitar la interoperabilidad, aprovechando las nuevas tecnologías y, así, poder reducir los costos sin que ello afecte a la calidad.
Este enfoque, como decimos, basado en los resultados hace más fácil llegar a un acuerdo sobre la garantía necesaria y mantener la neutralidad tecnológica, sin tener que introducir incesantes normas técnicas, que al final afectan a las normas jurídicas. Si el nivel de garantía determina exactamente qué solución ha de aplicarse, se genera la obligación de adoptar un proceso o una tecnología concretos, lo que desalienta la innovación, impide la evolución y obliga a descartar otras soluciones que ofrecerían los mismos niveles de garantía.
Con un nivel de garantía adecuado los posibles proveedores disponen de margen para elaborar y aplicar métodos distintos a fin de lograr el mismo objetivo y alentar a los proveedores a que compitan en cuanto al costo y la capacidad. Ello significa que los proveedores tienen incentivos para mantener sus productos, y sustituir y mejorarlos con el tiempo a fin de mantener su capacidad y reducir costos. Los niveles basados en los resultados no son un concepto nuevo en el derecho europeo, por poner un ejemplo, la legislación de la UE sobre seguridad de los vehículos exige que las pruebas de impacto se realicen con una desviación del 40% y a una velocidad de 56 km/h contra una barrera deformable, lo que permite a los fabricantes innovar mediante el uso de nuevos materiales físicos y aleaciones para cambiar o rediseñar sus vehículos, siempre que el vehículo resultante siga cumpliendo la norma basada en el resultado de la prueba de impacto frontal.
Con estos niveles de seguridad se pretende describir, de acuerdo con especificaciones técnicas, normas y procedimientos conexos, para los niveles de seguridad bajo, sustancial y alto entendidos, en el sentido descrito en el Reglamento, en particular, con respecto al nivel de seguridad alto, en relación con la acreditación de identidad para la expedición de certificados cualificados. Los requisitos que se establezcan deberán ser tecnológicamente neutros, si bien resultan inevitables los requisitos técnicos derivados de las especificaciones intrínsecas de los medios de identificación electrónica nacionales. No obstante, se trata de prever un mecanismo de cooperación y un marco de interoperabilidad técnica, para definir los criterios en que se basan los niveles de garantía, así como para intercambiar la información relativa a los medios de identificación electrónica y sus respectivos niveles de garantía. De esta forma, se consagra el principio de reconocimiento mutuo transfronterizo para los medios de identificación que tuvieran un nivel de garantía equivalente (a partir del nivel de garantía suficiente) o superior.
Asimismo, en el nivel de seguridad más bajo, se podría establecer la presunción de que se han respetado los criterios objetivos que definen los niveles de fiabilidad y se han cumplido los requisitos legales si el proveedor se ajusta a las normas técnicas determinadas por una autoridad internacional; por otro lado, los de mayor nivel de fiabilidad deben, por lo menos, estar vinculados a datos de identificación personal emitidos o administrados por una fuente fidedigna.
Visto lo anterior, debemos observar si este modelo se ha trasladado a España. Si observamos el artículo 9 LPACAP, que enumera los sistemas válidos a efectos de identificación, que los interesados podrán utilizar para relacionarse con las Administraciones públicas, citando los sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica, a los sistemas de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de sello electrónico, expedidos por prestadores incluidos en la “Lista de confianza de prestadores de servicios de certificación” (Reglamento de Ejecución 2015/806) y los sistemas de clave concertada y cualquier otro sistema que las Administraciones públicas consideren válido, en los términos y condiciones que se establezcan. No obstante, cada Administración pública podrá determinar si sólo admite alguno de estos sistemas para realizar determinados trámites o procedimientos. De esta forma, se establece, con carácter básico, un conjunto mínimo de categorías de medios de identificación y firma, en los artículos 10 y 11, a utilizar por todas las Administraciones
Por otro lado, el artículo 11 LPACAP regula el uso de los medios de identificación y firma en el procedimiento administrativo estableciendo que, con carácter general, para realizar cualquier actuación prevista en el procedimiento administrativo sólo será necesario identificarse, y limitando la obligatoriedad de la firma, para los supuestos previstos en el apartado segundo del artículo: formular solicitudes, presentar declaraciones responsables o comunicaciones, interponer recursos, desistir de acciones y renunciar a derechos. Esta importante novedad en la regulación aconseja establecer las cautelas mínimas que permitan normalizar el uso de estos sistemas evitando la heterogeneidad de su implementación técnica entre las Administraciones.
Así, y en aplicación de lo dispuesto en el artículo 10.3 LPACAP, que faculta a las Administraciones públicas a admitir los sistemas de identificación contemplados en esta Ley como sistema de firma cuando permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados, siempre que así lo disponga la normativa reguladora, que deberá indicar los requisitos que se tienen que cumplir, no sólo con este objetivo, sino para asegurar también la integridad e inalterabilidad de los datos firmados, así como los requisitos para comprobar que se realizó dicho acto.
De esta forma, la Administración pública vuelve a imponer una tecnología concreta, en especial referencia a la tecnología criptográfica, reduciendo el derecho a elegir al ciudadano el medio técnico que tenga a su disposición para relacionarse con ella, fijando un nivel alto de confianza en la relaciones con ella, en contra de lo establecido en el Reglamento de ejecución.
No obstante, con fecha 14 de julio de 2017, se ha dictado Resolución de la Secretaría General de Administración Digital (BOE, 18 de julio de 2017), por la que se establecen las condiciones de uso de firma electrónica no criptográfica, en las relaciones de los interesados con los órganos administrativos de la Administración General del Estado y sus organismos públicos.
Respecto a esta Resolución importante subrayar, además, su complementariedad con el proyecto Cl@ve firma, que provee sencillos mecanismos para facilitar la firma electrónica criptográfica, de manera que se evitan los principales problemas, como la necesidad de disponer de hardware y/o software específico para realizar la firma en el ordenador del interesado, ya que toda esa complejidad queda resuelta por el sistema Cl@ve firma. Si bien este sistema es óptimo desde el punto de vista de uso de firma criptográfica, requiere que el ciudadano tenga activa la identificación por Cl@ve Permanente que le permite acceder a su certificado electrónico centralizado, en el caso de no tener activa esta identificación y siempre que el servicio lo permita esta nueva forma de firma no basada en certificado electrónico es una facilidad más para el ciudadano. Por tanto, el objeto de esta Resolución es establecer los criterios de uso y las condiciones técnicas de implementación de los sistemas de firma electrónica no criptográfica, previstos en el artículo 10.2.c) LPCAP.
Para acreditar la autenticidad de la expresión de la voluntad y consentimiento del interesado se requerirá:
- La autenticación del interesado, inmediatamente previa a la firma utilizando la plataforma Cl@ve, de identificación electrónica.
- La verificación previa por parte del interesado de los datos a firmar.
- Estos datos se obtendrán a partir de aquella información presentada por el ciudadano y de cuya veracidad se hace responsable, así como de los documentos electrónicos que, eventualmente, presente en el procedimiento.
- La acción explícita por parte del interesado de manifestación de consentimiento y expresión de su voluntad de firma.
VII. CONCLUSIÓNEn cualquier caso, a la espera del funcionamiento de la plataforma Cl@ve, el uso de la tecnología dentro de la propias normas jurídicas debería considerarse, pues las fuentes auténticas pueden ser diferentes en los distintos Estados miembros, incluso en un contexto similar, pudiendo adoptar diferentes formas, como registros, documentos y organismos. En este sentido, debe observarse que la discrepancia y/o problemática surge en función del contexto, en el que haya que verificar un aspecto de la prueba de la identidad.
En los requisitos de prueba y verificación de la identidad deben tener en cuenta los distintos sistemas y prácticas, tal y como fija el Reglamento de Ejecución, y al mismo tiempo deben garantizar una seguridad suficientemente alta con el fin de establecer la confianza necesaria. Por lo tanto, la aceptación de los procedimientos utilizados, anteriormente, para un fin distinto de la expedición de los medios de identificación electrónica debe estar condicionada a la confirmación de que dichos procedimientos cumplan los requisitos previstos para el correspondiente nivel de seguridad. Asimismo, deben tenerse en cuenta las buenas prácticas en relación con los niveles de seguridad.
En un contexto transfronterizo contarán con prácticas y políticas de gestión de la seguridad de la identificación de las personas que se relacionan con la administración y de la información presentada, determinándose así metodologías más fiables acerca de la gestión del riesgo y otros controles reconocidos, para proporcionar garantías a los órganos administrativos de control, encargados de los sistemas de identificación electrónica de los respectivos Estados miembros, que aplican prácticas eficaces.
Antonio Merchán Murillo es Abogado y Doctor en Derecho. Profesor en el Grado de Derecho en el Centro Universitario San Isidoro (Centro adscrito a la Universidad Pablo de Olavide)
Revista General de Derecho Administrativo, nº 47 (Iustel, enero 2018)