Se puede innovar con una política de firma electrónica aprobada en el año 2012?

Así es, desde que la AGE publicara su mal denominada «Política de Firma Electrónica y de Certificados de la Administración General del Estado» la mayoría de administraciones públicas autonómicas y locales nos hemos mimetizado con esta estrategia de firma.

Digo «mal denominada» porque en mi opinión, no es una política de firma y certificados sino una política de firma exclusivamente basada en certificados. Es decir, en su introducción se describen los distintos tipos de firma que jurídicamente se reconocen para a continuación solo desarrollar uno de ellos: la basada en certificado cualificado.

Y diez años después en esas seguimos, sin reconocer otro medio de firma para empleado público que no sea la basada en un certificado. Mientras en la vida privada (y en mi admirada AEAT) la firma basada en certificado es prehistoria (nuestros jovenes, nativos digitales, no saben ni que es eso nicreo que lo echen de menos) ,en las AAPP este medio de firma es monopolístico en el pasado, presente y futuro inmediato…Así vamos, como una suerte de zombies digitales.

Para ilustrar esta situación vamos a recurrir a un símil un tanto provocativo que puede parecer exagerado, de hecho lo es, pero creo que nos puede ayudar a poner la situación actual frente al espejo.

Pongamos que para solventar el problema diario de llevar a los niños al colegio no se nos ocurre manera más segura (el bien a proteger lo merece) que el uso de un tanque militar. Nadie pondría en duda que el medio cumple con las medidas de seguridad, no obstante decidir usar un tanque para ir llevar al cole a los niños puede causar problemas de usabilidad, medioambiental y de  seguridad vial municipal. Además cuando haya una batalla y realmente lo necesite lo mismo tengo  el tanque en el taller. Tenemos recursos limitados, tenemos que empezar a darle al principio de eficiencia la misma importancia que le dan en el ámbito de la empresa privada. Utilicemos los dispositivos seguros para la batalla que tenemos que afrontar con los retos de la ciberseguridad..ese si es un peligro real y no los repudios de funcionarios que además de improbables e infrecuentes tengo muchísimas cargas de prueba sustitutivos para reforzar autorías.

Por ello, una de los deseos que yo le hago al año 2020 es que se afronten nuevas política de firmas en las AAPP y estas son mis razones:

  • Es engañoso hacerles pensar a los empleados públicos que no tiene relevancia jurídica las actuaciones realizadas en los distintos gestores de expedientes en los que actúan si no han firmado con certificado un documento generado en el mismo: nada más lejos de la realidad, las sentencias judiciales van recordando machaconamente que la firma electrónica (término jurídico) como instrumento para atribuir la autoría de una acto es un concepto mucho más amplio que la firma digital (termino tecnológico que referencia la firma con certificados)…(son innumerables las sentencias por actuaciones realizadas en redes sociales o actuacion en sistemas en el que un trabajador se identifica por ejemplo para cambiar las notas de un máster)
  • Es más eficiente dar valor jurídico a los actos realizados en los distintos gestores de expedientes en entornos controlados que generando una innecesaria, cara y frustrante burocracia digital, sobre todo cuando la gestión se basa en el uso de  portafirmas digitales (genero un pdf, lo remito a un portafirmas, lo descargo, incluso a veces lo imprimo para ponerle un registro interno, lo escaneo y lo adjunto al tramitador electrónico de expedientes en el mejor de los casos) .
  • No es proporcionado. El ENS exige proporcionalidad y no es proporcional aplicar el mismo sistema de firma a todo acto administrativo sea cual sea su naturaleza y el entorno en el que éste se produzca.Sobre todo porque en la firma en el ENS se configura( Anexo II 5.7.4) como un instrumento para evitar el repudio  Así también lo recalca uno de las personas de las que más he aprendido firma electronica Ignacio Alamillo cuando concluye en su tesis “La firma electrónica responde plenamente al principio de equivalencia funcional de la firma manuscrita… realmente el único efecto jurídico de la firma electrónica debe y puede ser el mismo que hubiera tenido la firma manuscrita a la que sustituye, simplemente porque, como hecho jurídico, no tiene una significación propia, diferente de la de la firma a que sustituye.

Es cierto que la firma basada  en certificado (la digital) otorga unas cualidades adicionales de integridad e interoperabilidad pero no quiere decir que estos sean elementos definitorios ni consustanciales a la firma, sino que esto pueden ser otorgados en un momento posterior mediante un sello tal y como habilita el art 45.2 de la Ley 40/2015

Y ahora viene la cuestión:¿donde tenemos más medidas compensatorias disponibles en la firma de un empleado público o en la de un “desconocido” ciudadano? Evidentemente en la del primero es mucho más sencillo (fichaje de presencia, empelado sujeto a responsabilidad disciplinaria, se le autoriza a operar o no en determinados sistemas con unos roles determinados) .entonces…¿por qué imponer como única la vía de la firma con certificado en muchos casos de manera artificiosa ,desproporcionada, complicada, cara y poco eficiente?…Me parece reconocer el  mismo miedo atenazante que hacía ver en el fin del papel una amenaza allá por el año 2007…el mismo.

  • Siempre hay que mantener la esperanza.. empiezan a verse luces en el camino (además de la AEAT)el propio Consejo General del Poder Judicial (con nuestro querido CSV al que prometo dedicar un post especial ya que tengo varias peticiones al respecto ) la Generalitat de Cataluña que en el sistema económico financiero permite firmar mediante actuación en el sistema si ha habido una previa autenticación con tarjeta criptográfica (lo que tengo). La Sindicatura de Comptes ha aprobado una política de firma ejemplar en el sentido de abrir mas vías a la firma electrónica que la impuesta por el certificado electrónico

¿Cómo  veo yo una política de firmas que propicie la innovación?

  • Una política que se revisara al menos anualmente (la tecnología en un año te deja fuera de juego) haciendo un análisis de las firmas con las que se trabaja es su AAPP.
  • La estabilidad del sistema vendrá dada por la garantía en todo caso de la interoperabilidad y seguridad afianzado por el sello de órgano que se superpondrá en los casos  en que se firmen con un medio diferente al del certificado y se estime necesario, dejando la puerta abierta paso a tecnologías que se imponen como la biometría y jugando con las mil posibilidades que permite la legislación jugando con las distintas evidencias (lo que soy+lo que tengo+lo que se)y que está permitiendo avanzar a pasos agigantados al sector privado . Medios de firma alternativos que la ley permite, la jurisprudencia avala y la sociedad reclama..que está fallando? , solo nuestra mentalidad. Quizás tengamos que se cumpla la hipótesis de Rafael Jiménez Asensio en su blog la mirada institucional y esperar a que se consolide “ Un empleo público altamente tecnificado y con necesidades de aprendizaje permanente, con pasarelas constantes entre público/privado y con fuerte externalización de algunos de sus trabajos más estratégicos vinculados a la revolución tecnológica y al Big Data.”

Podemos y debemos reflexionar, en innovación no valen las soluciones  permanentes en el tiempo, comodas, basadas en el precedente administrativo. Debemos actualizar nuestra forma de actuar y preocuparnos si vemos que nos movemos de forma totalmente diferente a la sociedad que servimos…… Quizás, solo quizás, ser zombies digitales sea un motivo de la falta del atractivo de talento juvenil que la Administración Publica está sufriendo en sus procesos selectivos

A continuación hago un esbozo de lo que  me parecería una política de firma adaptada a una organización administrativa (abreviando y utilizando términos coloquiales e imaginando sistemas en una imaginada Ínsula Barataria…)

En la Administración Publica de Insula Barataria se utilizarán los siguientes medios de firma:

  • FIRMA POR AUTENTICACIÓN DEL FUNCIONARIO EN SISTEMA CORPORATIVO: En los siguientes sistemas corporativos de gestión la actuación del funcionario  previa autenticación en el sistema en el que  esté autorizado con un rol determinado será considerada firma electrónica :
    • Gestión de permisos y licencias, de trámites de situaciones y grados de empleado público, preparación de expedientes de contratación, instrucción de subvenciones incluida la emisión de informes jurídicos relacionados con los mismos fiscalización y contabilización de gastos. La identificación en estos casos se realizara con el usuario/clave corporativo de empleado público vinculado a Registro de Personal
    • En el caso de  acceso a los sitemas en el que se efectua tratamiento a historias clínicas, víctimas de violencia de género y ayudas y asistencia a menores , datos especialmente protegidos, la  autenticación de los usuarios a los sistemas se realizará mediante elemento biométrico (lo que soy) o tarjeta criptográfica en su defecto (lo que tengo)+ pin (lo que se) en cada acto de firma.

Los diferentes sistemas de gestión una vez desencadenada la actuación de firmar insertarán en el documento la identificación el nombre apellidos y cargo del funcionario actuante así sello de tiempo correspondiente.
Si los informes o actos tienen que formar parte de un expediente administrativo se les superpondrá sello de órgano por el sistema (art 45 Ley 40/2015)

  • FIRMA CON CSV En sistemas corporativos de gestión tributaria y tramite la actuación del funcionario en el sistema con el rol asignado y previa identificación será considerada firma. El sistema insertará en el documento el nombre apellidos y cargo del funcionario actuante así como un time stamping. Si los informes o actos tienen que formar parte de un expediente administrativo se les superpondrá sello de órgano por el sistema (art 45 Ley 40/2015)
  • FIRMA CON CERTIFICADO DE EMPLEADO: En el caso que las autoridades no tengan la condición de usuario en los sistemas de gestión y asimismo para propiciar la movilidad se efectuara la firma del siguiente modo: La firma se realizará mediante portafirmas con certificado custodiado de forma centralizada en HSM . El acceso al mismo se efectuará mediante dispositivo móvil con elemento biométrico y se firmara con PIN (lo que soy+ lo que tengo+ lo que se)
Nuevas políticas de firma para una Administración Pública innovadora
Avatar

Matilde Castellanos Garijo


Funcionaria Cuerpo Superior de Comunidad Autónoma,Especialidad Jurídica, Máster en Dirección Publica y en Dirección TIC. Desde los inicios de mi etapa profesional he estado, sin saberlo, ligada a procesos de innovación publica. Así, participé en la puesta en marcha del Portal del Empleado y Concurso de traslados on line, Diario Oficial de Castilla La Mancha Electrónico...nunca he abandonado la búsqueda de mejorar los servicios públicos. Desde el 2008 trabajo ligada al ámbito económico financiero en el que he participado en la implantación de la Factura electrónica así como la firma electrónica en el sistema económico financiero. Soy docente en cursos de la Escuela de Administración Regional en los que intento transmitir el entusiasmo por la innovación y mejora en todos los ámbitos de la Administración Pública.


Post navigation


2 thoughts on “Nuevas políticas de firma para una Administración Pública innovadora

  1. Pues… siendo cierto lo del tanque, y estando de acuerdo en que no en todos los formalismos es necesario aplicar la firma con certificado, y que otros tipos de firma son asumibles, me preocupa un poco que, en la defensa de esta visión y de un enfoque de cambio, nos vayamos al otro extremo y divulguemos la idea de que los «tanques» solo son necesarios en el ejército. Quizá por eso el símil es un poco exagerado, porque un tanque aporta sobre un coche, seguridad a lo bruto, y nada más.

    Pero… hay ciertos escenarios donde no acabo de ver la posibilidad de prescindir de un certificado cuyo titular sea el firmante. ¿Cómo le dice una persona a una máquina (máquina que no tiene datos de dicha persona), «soy fulanito» con suficientes garantías de que realmente es fulanito? Ojo, sin registro previo de datos de dicha persona.

    Este aporte de los certificados es un valor (que no es solo seguridad): la posibilidad de que una máquina valide nuestra firma, y «sepa» que la firma que está recibiendo la está haciendo «Fulanito» de verdad, en ese momento. Esto, con datos biométricos, con un SMS, con un eMail, con vídeo-personación, no es posible (sin la actuación humana).

    Teniendo en cuenta que el artículo se refiere sobre todo a la firma del empleado público, es cierto que esto no aplica, ya que éste no es un anónimo y suele estar registrado en un sistema con otro tipo de evidencias. Pero aún así, parece que cuando se piensa en alternativas a los certificados para firmar, solo se está pensando en el momento de firmar, y nunca en el momento de comprobar la firma, quizá porque en el mundo en papel funcionaba igual: ¿quien validaba al recibir por correo un papel firmado, si la firma era realmente de esa persona? Es por eso, quizá, la comparación de Nacho y la mención a que la firma electrónica sustituye a la de toda la vida. Pero… Si nos puede dar algo más, que es esa facilidad para validarla, que antes no teníamos, y que solo se hacía cuando ya había ocurrido el problema, en un juicio y con un perito caligráfico, ¿por qué perder ese valor? No se trata de más seguridad, se trata de una funcionalidad: validación directa, y validación automatizada.

    Y sí, es cierto que esto último parece más propio de una operación de autenticación, que a una firma, pero… si tengo que gestionar y utilizar mi certificado igualmente para autenticarme… o usar otros certificados para proteger la integridad o para poner un sello de tiempo, ya no es mucho más usarlo para firmar, (ya que lo tengo…) y así desacoplo del momento de la firma, la posibilidad de validar la identidad del firmante, es decir, aunque tenga el documento fuera de ese contexto o de ese sistema donde están las evidencias de la autenticación asociadas al documento, podré seguir validando su autenticidad.

    Para esto, sin certificados, no se… quizá algún día pueda haber una especie de base de datos con datos biométricos de todos los ciudadanos, protegida, cifrada, y sistemas que realicen validaciones contra esos datos, aplicando algoritmos genéticos o redes neuronales usando patrones para hacer la validación de los datos biométricos, pero parece algo delicado.

    Estos otros sistemas de firma parece que pueden ser aplicables cuando se tiene la certeza (sin aplicar validaciones) de que quien firma, es quien dice ser, y solo se aplica la validación a posteriori en un posible juicio. Por ejemplo, en entornos presenciales, donde las dos partes «del contrato» están presente y viendose las caras mientras se realiza la firma.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *