¿Las AA. PP. deben contar con sistemas para identificar a los interesados en el procedimiento?

Con la aprobación del Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, se modificó la LPAC, en particular, sus artículos 9 y 10 y se añade una disposición adicional 6.ª.

Como ya indicamos en temas anteriores, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, dedica el capítulo II de su título I, a la «Identificación y firma de los interesados en el procedimiento administrativo», introduciendo una importante novedad, que es la separación entre identificación y firma de los interesados en el procedimiento administrativo y simplificando los medios para acreditar una u otra. Por lo general, será suficiente la primera, y la segunda será requisito en casos de ser necesario acreditar la voluntad y consentimiento del interesado.

Se establece en la propia ley, mediante actualización implantada por el RD-ley 14/2019, de 31 de octubre, una relación de medios de identificación y firma que deben utilizar todas las Administraciones públicas para verificar la identidad de los interesados. Así, en el artículo 9 se recogen una serie de medios de identificación al servicio de los interesados, y cuyo acceso debe ser garantizado por la Administración para cualquier tipo de procedimiento:

• Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación».
• Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación».
• Cualquier otro sistema que las Administraciones públicas consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad y previa comunicación a la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital. Esta comunicación vendrá acompañada de una declaración responsable de que se cumple con todos los requisitos establecidos en la normativa vigente. De forma previa a la eficacia jurídica del sistema, habrán de transcurrir dos meses desde dicha comunicación, durante los cuales el órgano estatal competente por motivos de seguridad pública podrá acudir a la vía jurisdiccional, previo informe vinculante de la Secretaría de Estado de Seguridad, que deberá emitir en el plazo de diez días desde su solicitud. (Nueva versión vigente desde el 30/06/2022 por la publicación de la Ley 11/2022, de 28 de junio).

En este punto, cabe destacar la obligatoriedad de que los recursos técnicos deben encontrarse situados en territorio de la Unión Europea. Hablamos de recursos necesarios para la recogida, almacenamiento, tratamiento y gestión de los referidos sistemas. En caso de tratarse de categorías especiales de datos, a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, es decir, aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, los recursos técnicos han de encontrarse situados en territorio español. Sea cual fuere el supuesto, los datos se encontrarán disponibles para su acceso por parte de las autoridades judiciales y administrativas competentes.

Los datos obtenidos, con arreglo al párrafo anterior, no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.

En todo caso, la aceptación por parte de la Administración General del Estado de alguno de los sistemas enumerados anteriormente servirá para acreditar frente a todas las Administraciones públicas, salvo prueba en contrario, la identificación electrónica de los interesados en el procedimiento administrativo.

A TENER EN CUENTA.  Sobre los medios de identificación, ha sido de gran relevancia la implantación de la plataforma Cl@ve. Mediante Resolución de 14 de julio de 2017, de la Secretaría General de Administración Digital, que establecen las condiciones de uso de firma electrónica no criptográfica, se indican los requisitos que se tienen que cumplir, entre otras cosas, para asegurar  la integridad e inalterabilidad de los datos firmados, así como los requisitos para comprobar que se realizó dicho acto. Además, sienta las bases de uso de sistemas de identificación basados en la plataforma Cl@ve, para la realización de la firma, y establece «una recomendación para recoger las evidencias de actos de relevancia jurídica, como las notificaciones, que si bien no necesitan firma, sí pueden necesitar unos requisitos de seguridad reforzados, manteniendo siempre el espíritu de la ley por el que no se haga en ningún caso más complejo para el ciudadano la recepción de la notificación o la realización de un trámite».

Ante de profundizar en el sistema de firma y su régimen, debemos comenzar por conocer el concepto de firma electrónica. Para ello acudimos a las definiciones que el Reglamento de la Unión Europea 910/2014 del Parlamento Europeo y del Consejo, que en su artículo 3 dispone:

•  Firma electrónica son los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.

• Firma electrónica avanzada es la firma electrónica que cumple los requisitos contemplados en el artículo 26 del mismo reglamento, esto es:

  • Estar vinculada al firmante de manera única.

  • Permitir la identificación del firmante.

  • Haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo.

  • Estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

• Firma electrónica cualificada es aquella firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.

A TENER EN CUENTA. En fecha 13/11/2020 entró en vigor la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, que viene a complementar el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, antes citado.

Esta Ley 6/2020, entre otros aspectos de los servicios electrónicos, recoge el régimen de previsión de riesgo de los prestadores cualificados, el régimen sancionador, la comprobación de la identidad y atributos de los solicitantes de un certificado cualificado, la inclusión de requisitos adicionales a nivel nacional para certificados cualificados tales como identificadores nacionales, o su tiempo máximo de vigencia, así como las condiciones para la suspensión de los certificados.