Identificación, autenticación y firma electrónica común para todo el sector público administrativo estatal

 Comentario de la Resolución de 14 de diciembre de 2015, de la Dirección General de las Tecnologías de la Información y las Comunicaciones, del Ministerio de Hacienda y Administraciones Públicas.

En el ámbito de la firma electrónica y, consecuentemente, la identificación y autenticación en el sector público administrativo estatal, queremos destacar la Resolución de 14 de diciembre de 2015, de la Dirección General de las Tecnologías de la Información y las Comunicaciones, del Ministerio de Hacienda y Administraciones Públicas, publicada en el Boletín Oficial del Estado núm. 311, del 29 de diciembre de 2015., por la que se establecen las prescripciones técnicas necesarias para el desarrollo y aplicación del denominado «sistema cl@ve»

En el ámbito de la firma electrónica y, consecuentemente, la identificación y autenticación en el sector público administrativo estatal, queremos destacar la Resolución de 14 de diciembre de 2015, de la Dirección General de las Tecnologías de la Información y las Comunicaciones, del Ministerio de Hacienda y Administraciones Públicas, publicada en el Boletín Oficial del Estado núm. 311, del 29 de diciembre de 2015., por la que se establecen las prescripciones técnicas necesarias para el desarrollo y aplicación del denominado «sistema cl@ve».

El sistema Cl@ve, tal y como se expresa en la citada Resolución, es un sistema de Identificación, Autenticación y Firma Electrónica común para todo el Sector Público Administrativo Estatal, basado en el uso de claves concertadas, conforme a lo previsto en el art. 13.2.c) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos; artículo que señala que los ciudadanos podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine:

a) En todo caso, los sistemas de firma electrónica incorporados al Documento Nacional de Identidad, para personas físicas.

b) Sistemas de firma electrónica avanzada basados en certificados electrónicos reconocidos. Las Administraciones Públicas deberán admitir todos los certificados reconocidos incluidos en la «Lista de confianza de prestadores de servicios de certificación» (TSL) establecidos en España, publicada en la sede electrónica del Ministerio de Industria, Energía y Turismo.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

El ámbito de aplicación del sistema Cl@ve podrá extenderse a otras Administraciones Públicas, mediante la formalización de un convenio al efecto con el Ministerio de Hacienda y Administraciones Públicas. En dicho convenio se establecerán las condiciones técnicas, económicas y organizativas de aplicación a otras Administraciones Públicas.

Comentamos este sistema basándonos en lo expresado en la citada Resolución, resumiendo sus características principales.

El sistema proporciona dos modalidades diferenciadas de identificación y autenticación basadas en el uso de claves concertadas para el acceso de los ciudadanos a los servicios electrónicos que hagan uso del mismo, complementando los actuales sistemas de acceso mediante DNI-e y certificado electrónico reconocido. Asimismo, el sistema Cl@ve permitirá al ciudadano el acceso al servicio de firma de documentos por medio de certificados electrónicos albergados tanto en modo local (por ejemplo en su PC) o en dispositivos conectados al mismo (por ejemplo, en el DNI-e) como en modo centralizado.

La utilización de dicho sistema requiere de un registro previo de los usuarios. Mediante dicho registro, se verifica la existencia de una persona física real asociada a la identidad electrónica que utilizará el sistema, se obtienen un conjunto de datos personales asociados a esa identidad, y se obtiene el consentimiento del usuario para que dichos datos personales sean incorporados al fichero de datos personales del sistema y sean tratados para la finalidad con la que se ha desarrollado el mismo.

Se podrán registrar en Cl@ve ciudadanos españoles con Documento Nacional de Identidad (DNI) y ciudadanos extranjeros con Tarjeta de Identidad de Extranjeros (TIE) o Certificado de Ciudadano de la Unión Europea. La posibilidad de registro podrá ser extendida a ciudadanos españoles residentes en el extranjero sin DNI en vigor, mediante la habilitación de procedimientos de verificación de la identidad equivalentes a los establecidos para los ciudadanos con DNI.

El sistema Cl@ve proporcionará a los usuarios dos modalidades de identificación electrónica basadas en el uso de claves concertadas, cada una de las cuales proporcionará dos niveles distintos de garantía en la autenticación:

• Cl@ve ocasional o Cl@ve PIN: Modalidad de identificación para el acceso al sistema en el cual la contraseña, limitada a un solo uso, está formada por una clave aportada por el usuario más un código que recibe en su dispositivo móvil y que tiene una validez muy limitada en el tiempo. Está orientado a usuarios que acceden esporádicamente a los servicios.


• Cl@ve permanente: Modalidad de identificación para el acceso al sistema por medio de un identificador (Número de DNI o NIE del usuario) y una contraseña que debe ser custodiada por el ciudadano. La validez de la contraseña es duradera en el tiempo, pero no ilimitada. Adicionalmente, y cuando el tipo de trámite lo requiera, la modalidad de identificación Cl@ve permanente podrá proporcionar un nivel superior de garantía en la autenticación, para lo cual requerirá la utilización de una verificación de seguridad adicional mediante un código de un solo uso (OTP, «Once Time Password») y validez limitada en el tiempo enviado al dispositivo móvil del usuario. Está orientado principalmente para uso por parte de usuarios habituales.

El sistema Cl@ve permitirá también el acceso a servicios de firma electrónica, en particular, a servicios de firma de documentos electrónicos mediante certificados electrónicos centralizados, todo ello a efecto de su presentación ante las Administraciones Públicas en aquellos trámites en que la firma mediante certificados electrónicos sea requerida o admitida.

El sistema Cl@ve y todos los servicios asociados se implementarán garantizando su funcionamiento conforme a los principios de seguridad, integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007, de 22 de junio, en el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero  y conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

La Agencia Estatal de Administración Tributaria (AEAT) actuará como organismo principal responsable del sistema de Registro de usuarios de Cl@ve. La AEAT actuará como organismo principal responsable del sistema de acceso basado en Cl@ve ocasional.

A tales efectos, la AEAT será la entidad encargada de realizar las funciones de identificación y autenticación de usuarios en esta modalidad de identificación, disponiendo de los medios necesarios para ello.

En consecuencia, la AEAT será responsable del funcionamiento del sistema de acceso basado en Cl@ve ocasional así como de los sistemas de información, aplicaciones, organización y procedimientos utilizados para el sistema Cl@ve en el ámbito de la modalidad de identificación Cl@ve ocasional.

Respecto a la modalidad de identificación cl@ve permanente, la Gerencia de Informática de la Seguridad Social (GISS) actuará como organismo responsable del funcionamiento del sistema de acceso basado en Cl@ve permanente.

A tales efectos, la GISS será la entidad encargada de realizar las funciones de identificación y autenticación de usuarios en esta modalidad de identificación, disponiendo de los medios necesarios para ello, entre los que se cuenta una copia replicada del fichero de usuarios del sistema Cl@ve, necesario para verificar la identidad y las garantías de acceso.

En así que la GISS será responsable del funcionamiento del sistema de acceso basado en Cl@ve permanente, así como de los sistemas de información, aplicaciones, organización y procedimientos utilizados para el sistema Cl@ve en el ámbito de la modalidad de identificación Cl@ve permanente.

La entidad encargada de realizar las funciones de emisión y custodia de certificados electrónicos centralizados de usuarios para firma mediante la plataforma Cl@ve será, en el ejercicio de sus competencias, la Dirección General de la Policía (DGP), de acuerdo a la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad y al Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica.

La DGP, en el ejercicio de sus competencias, es responsable del funcionamiento del servicio de emisión y custodia de certificados electrónicos centralizados de usuarios, actuando como prestador de servicios de confianza de acuerdo con el Reglamento (UE) No 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, y conforme a los principios de seguridad, integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 59/2003 de 19 de diciembre de Firma electrónica, y en la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

Davara Rodríguez, Miguel Ángel

El Consultor de los Ayuntamientos, Nº 3, Sección Zona Local / Nuevas tecnologías, Quincena del 15 al 28 Feb. 2016, Ref. 329/2016, pág. 329, Editorial Wolters Kluwer