Trabajos

La regulación de la identificación, la firma y sello electrónicos en la Ley 39/2015

Sustitución de los sistemas de firma o sello electrónico avanzado basado en certificado electrónico reconocido o cualificado, por la identificación electrónica basada en certificado electrónico reconocido o cualificado.



El problema de este enfoque, inicialmente correcto, es doble: por una parte, constriñe la firma electrónica a la lógica de la firma escrita; es decir, a la del documento autorizado por una persona, y puede que estas tecnologías permitan formas más eficientes de actuación que aquellas basadas en el documento tradicional, como el registro de la actuación en un sistema análogo al de una caja negra, por parte de la persona identificada, sin que la misma deba proceder a la creación de una firma; por otra parte, el principio de equivalencia funcional ha sido expresado en términos discriminatorios en la legislación, de forma que aunque se debería poder emplear cualquier tecnología de firma electrónica, en realidad el marco actual sigue apostando por la denominada firma electrónica cualificada, que es la única que goza de equivalencia plena con la firma escrita, y que se basa en un subconjunto de tecnologías de muy escaso uso social.

Por lo que respecta al segundo aspecto, desde el punto de vista de la eficacia, y respecto a la firma electrónica cualificada, el art. 25.2 del Reglamento (UE) Núm. 910/2014, de 23 de julio, por el que se regula la identificación electrónica y los servicios de confianza para la transacciones en el mercado interior (Reglamento eIDAS) establece que «una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita», mientras que respecto al sello electrónico cualificado, el art. 35.2 del Reglamento eIDAS determina que «un sello electrónico cualificado disfrutará de la presunción de integridad de los datos y de la corrección del origen de los datos a los que el sello electrónico cualificado esté vinculado».

En ambos casos se trata de un efecto jurídico típico, que persigue la generación de seguridad jurídica para los usuarios de los sistemas de firma o sello electrónicos cualificados, que no deben regular el funcionamiento del sistema de firma o sello electrónico en sus relaciones, por lo que privilegia legalmente este sistema en detrimento de los restantes.

Por lo que se refiere a la firma electrónica, determinaba el art. 3.4 de la LFE que la «firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel»; esto es, que la firma electrónica que cumple estos requisitos se «reconoce» legalmente como equivalente a la firma manuscrita. Este artículo se dictó en trasposición del art. 5.1 de la DFE, que ordenaba que «los Estados miembros procurarán que la firma electrónica avanzada basada en un certificado reconocido y creada por un dispositivo seguro de creación de firma: a) satisfaga el requisito jurídico de una firma en relación con los datos en forma electrónica del mismo modo que una firma manuscrita satisface dichos requisitos en relación con los datos en papel; y b) sea admisible como prueba en procedimientos judiciales».

El art. 25.2 del Reglamento eIDAS mantiene el enfoque, como se puede ver, de determinar que el efecto jurídico típico de una firma electrónica cualificada será el equivalente al que tendría la firma manuscrita, por lo que se deberá poder emplear cuando una ley exija el requisito de firmar, al tiempo que el epígrafe 1 del propio art. 25 prohíbe negar eficacia jurídica (potencial) a una firma electrónica que no sea cualificada.

Y esto significa que toda firma electrónica puede potencialmente recibir efectos jurídicos, no pudiendo ser ninguna tecnología discriminada porque además afectaría a la tutela judicial efectiva de forma evidente, pero lo cierto es que el legislador sólo define un efecto jurídico típico en relación con la firma electrónica cualificada —que es precisamente actuar como equivalente de la firma manuscrita—, permitiendo a los Estado miembros establecer los efectos jurídicos que consideren oportunos en relación con las firmas no cualificadas.

En su consecuencia, resultaría contrario a Derecho realizar una interpretación a sensu contrario del efecto típico de las firmas electrónicas cualificadas; esto es, no se puede considerar acertada la interpretación, que se ha venido sustentando en una visión excesivamente rigorista de la LFE, que ha venido defendiendo que si «la firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel» (art. 3.4 de la LFE), entonces la firma electrónica no reconocida no tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel, sino un valor diferente. De la misma forma, tampoco sería correcta la interpretación que, partiendo de que «una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita» (art. 25.2 del Reglamento eIDAS), considerase que una firma electrónica no cualificada no tendrá un efecto jurídico (potencialmente) equivalente al de una firma manuscrita.

Y no es correcta esta interpretación porque la firma electrónica que no sea cualificada, podrá obtener también efectos jurídicos, a tenor de la regla de no discriminación contenida anteriormente en la LFE y hoy en el Reglamento eIDAS.

Como hemos avanzado, los Estados miembros podrán establecer efectos jurídicos en relación con las firmas electrónicas no cualificadas, con carácter general o en relación a casos concretos, o incluso no establecer regla alguna al respecto —en cuyo caso nos encontraremos ante firmas electrónicas de efecto atípico—, pero desde luego lo que no podrán hacer es denegar todo efecto jurídico a una firma electrónica no cualificada, ni desde luego inadmitirla como prueba.

Dado que la definición de firma electrónica contenida en el art. 3.10 del Reglamento eIDAS se refiere a «los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar», todos los Estados miembros deben respetar que una firma electrónica no cualificada pueda potencialmente recibir el efecto de «servir para firmar»; esto es, para ser empleada en lugar de una firma manuscrita, porque en caso contrario estaríamos ante una infracción manifiesta del art. 25.1 del Reglamento eIDAS.

Y ello suscita la duda acerca de qué otros efectos jurídicos pueden establecer los Estados miembros en relación con la firma electrónica no cualificada. Una posibilidad, que además se encuentra mencionada en el propio Reglamento eIDAS, sería establecer un efecto jurídico específico en relación con un determinado tipo de firma electrónica, en un contexto concreto, como por ejemplo sucede con la admisión del uso de determinadas firmas electrónicas no cualificadas en las relaciones entre los ciudadanos y las entidades del sector público, o en la regulación de algunos sistemas de firma electrónica específicos de las entidades del sector público, sin la consideración de cualificados, pero con indudable efecto jurídico.

En este marco, y ante las evidentes dificultades en el uso de la firma electrónica cualificada, primero la LAE y ahora la LPACP han establecido un régimen sectorial, al objeto de definir los efectos jurídicos de las firmas electrónicas no cualificadas empleadas en las relaciones con el sector público, que además en la LPACP es novedoso en el sentido de regular la identificación electrónica como institución jurídica claramente diferenciada de la firma electrónica, pero sin que el mismo sea suficientemente neutral.

En efecto, en la exposición de motivos de la LPACP se declara que el Título I, de los interesados en el procedimiento, «dedica parte de su articulado a una de las novedades más importantes de la Ley: la separación entre identificación y firma electrónica y la simplificación de los medios para acreditar una u otra, de modo que, con carácter general, sólo será necesaria la primera, y se exigirá la segunda cuando deba acreditarse la voluntad y consentimiento del interesado», en un enfoque el que se va a conceder una fuerte preferencia a la identificación electrónica sobre la firma electrónica. Nos ocuparemos ahora del régimen relativo a la primera.

Continúa la exposición de motivos diciendo que «se establece, con carácter básico, un conjunto mínimo de categorías de medios de identificación y firma a utilizar por todas las Administraciones», de forma que «se admitirán como sistemas de identificación cualquiera de los sistemas de firma admitidos, así como sistemas de clave concertada y cualquier otro que establezcan las Administraciones Públicas», por lo que, en clave interna, no se establece una competencia exclusiva de identificación electrónica en favor de ninguna Administración, exceptuando el caso del DNI electrónico, que por cierto no se cita de forma independiente en la LPACP.

Desde la perspectiva de la dimensión transfronteriza, la exposición de motivos de la LPACP indica que «tanto los sistemas de identificación como los de firma previstos en esta Ley son plenamente coherentes con lo dispuesto en el Reglamento (UE) núm. 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE», texto que parece prever la posibilidad de que se puedan notificar a la Comisión Europea diversos sistemas de identificación electrónica, incluyendo el DNI electrónico y otros que establezcan las Administraciones Públicas.

Asimismo, la exposición de motivos de la LPACP recuerda también «la obligación de los Estados miembros de admitir los sistemas de identificación electrónica notificados a la Comisión Europea por el resto de Estados miembros […] en los términos que prevea dicha norma comunitaria», que como es lógico se proyecta sobre todas las Administraciones Públicas españolas, que deberán dotarse de los correspondientes mecanismos técnicos.

En primer lugar, hay que decir que el art. 13.g) de la LPACP mantiene el derecho de las personas con capacidad de obrar ante las Administraciones Públicas a la obtención y utilización de los medios de identificación contemplados en la Ley, en una formulación formalmente más restrictiva a la considerada en la LAE, que venía referida a todos los ciudadanos, aunque seguramente sin constituir una limitación adicional al régimen anteriormente establecido.

Entrando en algo más de detalle, el art. 9 de la LPACP se refiere de forma específica a los sistemas de identificación de los interesados en el procedimiento, que diferencia de los de firma. Después de recordar, en su apartado 1, que «las Administraciones Públicas están obligadas a verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente», en el apartado 2 del mismo artículo determina, como regla general, que «los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de cualquier sistema que cuente con un registro previo como usuario que permita garantizar su identidad».

Y el mismo epígrafe especifica que «En particular, serán admitidos, los sistemas siguientes:

a) Sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la "Lista de confianza de prestadores de servicios de certificación". A estos efectos, se entienden comprendidos entre los citados certificados electrónicos reconocidos o cualificados los de persona jurídica y de entidad sin personalidad jurídica.

b) Sistemas basados en certificados electrónicos reconocidos o cualificados de sello electrónico expedidos por prestadores incluidos en la "Lista de confianza de prestadores de servicios de certificación".

c) Sistemas de clave concertada y cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan».

Como se puede ver, se trata de una aproximación del carácter más amplio posible, algo que cabe considerar positivo en términos de neutralidad tecnológica, y que, con carácter general, contempla los certificados reconocidos o cualificados —lógico teniendo en cuenta que, como veremos posteriormente, son medios especialmente idóneos para garantizar la identificación electrónica de su correspondiente titular— y cualquier otro sistema técnico que una Administración Pública considere válido para ello, de acuerdo con lo que establezca al efecto.

Esta aproximación, en especial en lo que se refiere a esta segunda categoría, abierta, de sistemas de identificación electrónica no se encuentra exenta de problemas potenciales, porque la norma no concreta mínimo alguno con respecto al procedimiento de registro previo como

usuario, ni acerca de cuánta garantía de la identidad resulta exigible para que dicho sistema resulte aceptable. Al contrario, ambas cuestiones quedan, en principio, al albur de cada Administración pública.

De hecho, no resulta ocioso notar que la dicción del art. 9.2 permite admitir todos los sistemas de identificación, con independencia de si los mismos han sido expedidos por entidades públicas y privadas, por lo que estas cuestiones se proyectan en un doble plano, en función de si el registro previo lo ha realizado la misma Administración frente a la que se realiza la identificación, o si el mismo ha sido realizado por una entidad diferente, sea ésta pública o privada.

En el primer caso, será relativamente fácil establecer un conjunto de reglas y condiciones para la identificación electrónica, incluyendo la posterior autenticación, dado que dichas actuaciones se producen dentro del ámbito de la misma Administración, por lo que estas reglas y condiciones se podrán normativizar o consensuar considerando los riesgos asociados a los trámites y servicios públicos; pero en el segundo caso, puede resultar bastante más complejo, dado que la entidad usuaria de la identificación electrónica expedida por otra entidad precisará conocer y evaluar el sistema antes de admitirlo.

Podría ayudar a generar seguridad establecer criterios y requisitos referidos a los sistemas de identificación electrónica, mediante un desarrollo posterior de la LPACP, que quizá se podría sustanciar mediante una modificación del actualmente vigente Esquema Nacional de Seguridad, pero también se podrían aplicar directamente los requisitos que el Reglamento eIDAS impone a los sistemas de identificación para su notificación, algo que resultaría especialmente positivo para aquellos sistemas que efectivamente se desee notificar, para su uso de la autenticación transfronteriza.

Al respecto, la citada admisión corresponde, de acuerdo con el último párrafo del epígrafe 2 del art. 9, a cada Administración Pública, que «podrá determinar si sólo admite alguno de estos sistemas para realizar determinados trámites o procedimientos, si bien la admisión de alguno de los sistemas de identificación previstos en la letra c) conllevará la admisión de todos los previstos en las letras a) y b) anteriores para ese trámite o procedimiento».

En el régimen legal de la LAE, los certificados electrónicos reconocidos debían ser obligatoriamente admitidos por todas las Administraciones Públicas, por lo que constituía un derecho subjetivo del ciudadano; y, además, debían serlo para todos los trámites, por lo que el ciudadano podía decidir emplear su certificado como sistema único para la identificación electrónica (así como para la firma).

Este régimen no parece verse alterado —en cuanto a la identificación electrónica— por la nueva LPACP, ya que la Administración que admita un sistema diferente del certificado, también deberá obligatoriamente aceptar que el ciudadano pueda identificarse mediante el certificado reconocido o cualificado del que disponga. Como novedad sobre el régimen de la LAE, que también se puede emplear el certificado de sello electrónico previsto en el Reglamento eIDAS, y que convive, en la LPACP, con el certificado de firma electrónica de persona jurídica y de entidad sin personalidad jurídica, que se mantiene en la dicción legal.

Esta convivencia va a ser, de todos modos, más formal que real, dado que, a la fecha de inicio de vigencia de la LPACP, los certificados de firma electrónica de persona jurídica han desaparecido, al menos en su modalidad de certificado reconocido, por lo que nunca se llegará a poder ejercer este derecho.

Por tanto, parece que el régimen jurídico no ha cambiado, y que una Administración Pública puede decidir no admitir ningún sistema de identificación electrónica diferente de un certificado, algo que resultaría disfuncional con lo establecido en el Reglamento eIDAS, en cuya virtud se

consagra el derecho de los ciudadanos (al menos, de los residentes en otros Estados de la Unión Europea) a la admisión de los sistemas de identificación electrónica de nivel sustancial o alto publicados por la Comisión Europea, los cuales no tienen por qué basarse en certificados electrónicos.

Este problema se resuelve mediante la norma establecida en el epígrafe 3 del art. 9 de la LPACP, por la que «en todo caso, la aceptación de […] sistemas por la Administración General del Estado servirá para acreditar frente a todas las Administraciones Públicas, salvo prueba en contrario, la identificación electrónica de los interesados en el procedimiento administrativo».

Esta norma residencia una suerte de competencia exclusiva del Estado referida a la admisión general de sistemas de identificación electrónica, con efectos en los restantes niveles de Administración, que entiendo ofrecería la cobertura legal para que el Estado pueda cumplir con las obligaciones que le impone el Reglamento eIDAS en cuanto al reconocimiento de los sistemas de identificación; pero que también se extiende a otros sistemas de identificación electrónica que sólo se empleen en el territorio nacional, por lo que en último término es el Estado el que decide, con carácter general, la admisión de cualesquiera sistemas por todas las Administraciones y, por tanto, la extensión del derecho subjetivo de los ciudadanos al uso de estos sistemas para la tramitación.

Dichos sistemas no tienen por qué resultar idóneos para determinados trámites o servicios, por lo que las restantes Administraciones deben poder oponerse a su uso, posibilidad que, en mi opinión, encuentra acomodo en la referencia «salvo prueba en contrario» contenida en este epígrafe; prueba cuya carga corresponderá a la Administración, y que deberá ser suficientemente justificada, dado que la negativa a la admisión limita el derecho del ciudadano a la tramitación.

Asimismo, dado que la LPACP no impone ninguna obligación de gratuidad en el uso de los sistemas de identificación electrónica —a diferencia de la LAE, nos podemos encontrar con prestadores privados de sistemas de identificación electrónica que pretendan cobrar una tarifa por su uso por parte de las Administraciones Públicas. Cierto es que el Reglamento eIDAS impone esta gratuidad en el caso de los medios de identificación electrónica por los organismos del sector público, pero sólo en relación con las operaciones de autenticación transfronteriza, por lo que se podría generar la duda acerca de la viabilidad jurídica del cobro en operaciones «domésticas».

En mi opinión, cuando nos encontremos ante el uso de un certificado cualificado para la identificación electrónica, deberemos acudir a la previsión contenida en el art. 24.4 del Reglamento eIDAS, que aplica en todo caso, con independencia de si la operación es transfronteriza o no, lo que resolvería el problema potencial en este caso, pero no en el de los restantes medios de identificación que eventualmente pueda aceptar la Administración General del Estado, que por tanto no tienen la gratuidad legalmente impuesta, al menos por la LPACP.

No creo que exista base legal para que un acto unilateral de aceptación de un sistema de identificación electrónica por parte de una Administración pueda obligar a las restantes Administraciones Públicas a adquirir el sistema a cambio de un coste, dada la evidente infracción de las normas de contratación pública que ello supondría, por lo que cabe imaginar que el Estado únicamente hará uso de esta potestad en relación con sistemas de identificación electrónica que sean de uso gratuito.

Refuerza esta interpretación el art. 7.f) del Reglamento eIDAS, que exige la gratuidad de la autenticación transfronteriza. En este sentido, y aunque el mismo no sería aplicable en operaciones dentro del territorio nacional, resultaría hacer de peor condición —económicamente hablando— estas operaciones domésticas que las transfronterizas.

En todo caso, y desde una perspectiva más operativa, para que esta potestad de la Administración General del Estado de admisión de sistemas de identificación de uso obligatorio por las restantes Administraciones Públicas sea realizable, se requiere de alguna plataforma técnica que permita a cualesquiera Administraciones el uso efectivo de los citados sistemas de identificación.

Esta plataforma será, con una elevada probabilidad, el sistema Cl@ve por lo que habrá que estar atento al eventual establecimiento de las condiciones económicas de uso del sistema Cl@ve que se prevén en el epígrafe 3 del apartado quinto del Acuerdo del Consejo de Ministros que aprueba dicho sistema y en la Resolución de 14 de diciembre de 2015, de la Dirección de Tecnologías de la Información y las Comunicaciones, por la que se establecen las prescripciones técnicas necesarias para el desarrollo y aplicación del sistema Cl@ve, y sin perjuicio de que las Administraciones Públicas puedan establecer sus propias plataformas.

Finalmente, cabe reseñar que, a tenor de lo establecido en el art. 11.1 de la LPACP, «con carácter general, para realizar cualquier actuación prevista en el procedimiento administrativo, será suficiente con que los interesados acrediten previamente su identidad a través de cualquiera de los medios de identificación previstos en esta Ley», por lo que se restringe fuertemente la necesidad de proceder a la firma o sello electrónico para la autenticación de la actuación realizada, en una de las escasas muestras de innovación que pueden encontrarse en la norma, y a la que nos referiremos con algo más de detalle.

Por lo que se refiere a la función de firmar, en primer lugar, hay que decir que el art. 13.g) de la LPACP mantiene el derecho de las personas con capacidad de obrar ante las Administraciones Públicas a la obtención y utilización de los medios de firma electrónica contemplados en la Ley,

aunque veremos que con un régimen más restrictivo que el establecido en la LAE.

En segundo lugar, y como acabamos de ver, la LPACP regula de forma diferenciada la identificación y la firma o sello, estableciendo en su art. 11.1 la regla general de la suficiencia de la identificación electrónica para la realización de cualquier trámite.

Como excepción al régimen general, el art . 11.2 de la LPAC P concreta que « las Administraciones Públicas sólo requerirán a los interesados el uso obligatorio de firma para: a) Formular solicitudes; b) Presentar declaraciones responsables o comunicaciones; c) Interponer recursos; d) Desistir de acciones; e) Renunciar a derechos», previsión a la que hay que añadir la exigencia de firma electrónica para el apoderamiento «apud acta» mediante comparecencia electrónica contenida en el art. 6.5 de la propia LPACP.

En los restantes casos aplicará la regla general de que la simple identificación deberá ser suficiente para la actuación por el ciudadano, por lo que la Administración no deberá requerir la firma electrónica.

Sin perjuicio de lo que se indica en la LPACP, cabe también la posibilidad de que en la legislación sectorial se mantengan o establezcan nuevas obligaciones de firma electrónica (a mi juicio, mediante ley formal), como sucede en la legislación de contratos del sector público, o de factura electrónica, que se solapan con la de procedimiento administrativo común.

En tercer lugar, en aquellos casos es que se pueda exigir la firma electrónica, el art. 10.1 de la LPACP establece la regla general de que «los interesados podrán firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento», regla que, desde la perspectiva del Reglamento eIDAS, resulta criticable, por cuanto podría limitar el derecho de uso de la firma electrónica no avanzada, que no garantiza de forma necesaria la integridad e inalterabilidad del documento.

El epígrafe 2 del art. 10, sin embargo, establece una regla especial para la relación con la Administración a través de medios electrónicos, en cuya virtud,

«Se considerarán válidos a efectos de firma:

a) Sistemas de firma electrónica reconocida o cualificada y avanzada basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la "Lista de confianza de prestadores de servicios de certificación". A estos efectos, se entienden comprendidos entre los citados certificados electrónicos reconocidos o cualificados los de persona jurídica y de entidad sin personalidad jurídica.

b) Sistemas de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de sello electrónico incluidos en la "Lista de confianza de prestadores de servicios de certificación".

c) Cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan.

 Cada Administración Pública, Organismo o Entidad podrá determinar si sólo admite algunos de estos sistemas para realizar determinados trámites o procedimientos de su ámbito de competencia».

Como ya vimos con ocasión de análisis del art. 9, cabe descartar la posibilidad de uso de los certificados de firma electrónica de persona jurídica, que han quedado inaplicados por el Reglamento eIDAS, por lo que esta previsión no llegará a entrar en vigor. Sin embargo, se admite con carácter el uso del sello electrónico de persona jurídica a efectos de firma, lo cual podría generar problemas dado que, como hemos visto anteriormente, un sello electrónico ofrece (en función de si es ordinario, avanzado o cualificado) garantías de la corrección del origen de los datos y de la integridad de los datos, pero no predica nada acerca de la expresión de la voluntad y del consentimiento de la persona jurídica, por lo que la regla especial contradeciría la general.

Como se puede ver, el art. 10.2.c) de la LPACP permite a la Administración el empleo de cualquier otro sistema que considere válido, en los términos que se establezcan, previsión que cabe considerar favorablemente, ya que permite habilitar el uso de medios que firma o sello no avanzados o no cualificados, pro que resulten idóneos, como por ejemplo la firma electrónica manuscrita capturada en tableta digitalizadora, y por tanto, supone una corrección a la regla general del art. 10.1, que era excesivamente estricta.

Además, el art. 10.3 de la LPACP establece la regla de que «cuando así lo disponga expresamente la normativa reguladora aplicable, las Administraciones Públicas podrán admitir los sistemas de identificación contemplados en esta Ley como sistema de firma cuando permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados», que constituye, de nuevo, una excepción a la regla general contenida en el art. 10.1 de la propia Ley. En efecto, con la aplicación de esta regla especial, resulta que se puede admitir como sistema de firma electrónica un sistema de identificación electrónica que no acredite la integridad e inalterabilidad del documento, como por ejemplo Cl@ve PIN o Cl@ve Permanente.

Esta regla viene a ser similar, en el fondo, un supuesto más de la regla contenida en el art. 10.2.c) al que nos acabamos de referir, y por tanto, se podría entender que resulta algo superflua, pero cabe imaginar que se ha incorporado a la LPACP por dos motivos: en primer lugar, para que quede claro que los mismos pueden ser empleados, eso sí, en los términos que se disponga en la normativa reguladora aplicable, remisión que cabe entender hecha a los instrumentos jurídicos de aprobación de Cl@ve, que son los que determinan la extensión y condiciones de uso de dichos sistemas; y en segundo lugar, y ello es más importante, porque los sistemas de identificación electrónica admitidos se extienden no sólo a los ciudadanos (nacionales o residentes en España), sino también a los de los restantes Estados miembros de la Unión, que por tanto podrán obtener el reconocimiento transfronterizo de su propio sistema nacional de identificación electrónica también a efectos de firma electrónica.

En relación con la decisión de uso de todos estos sistemas de firma, el art. 10.2 también prevé, como en el caso de la identificación electrónica, que cada Administración decida qué medios de firma o sello admite en relación con cada trámite o procedimiento, decisión a mi juicio viene condicionada por lo establecido en el Esquema Nacional de Seguridad, dada su aplicación obligatoria en relación con los niveles de seguridad de los sistemas de información correspondientes.

Sin embargo, y a diferencia de lo que sucede en identificación electrónica, en este caso la Administración puede optar por no admitir el uso de ningún sistema de firma o sello electrónico (avanzado o cualificado) para su uso por el ciudadano.

Por este motivo, ya no cabe hablar, en la LPACP, del derecho a la firma electrónica avanzada que existía claramente definido en la LAE, algo que en mi opinión resulta criticable. En efecto, con la LAE un ciudadano tenía el derecho a emplear un certificado de firma electrónica (con la excepción del certificado de entidad sin personalidad jurídica, cuya admisión era potestativa) en todos los casos, por lo que podía decidir no emplear otros medios eventualmente propuestos por la Administración. Y esto era sensato, porque el riesgo de un posible incidente de seguridad asociado a la firma de una persona, es de dicha persona, y por tanto la misma ha de poder decidir el sistema con el que quiere mitigar dicho riesgo.

De la interpretación conjunta de los arts .9 y 10 de la LPACP , se deriva que una Administración puede perfectamente admitir a efectos de firma sólo los sistemas de identificación previstos en la Ley, por lo que en efecto se puede concluir que ha desaparecido el derecho al uso

de la firma electrónica avanzada consagrado en la LAE, manteniéndose el derecho al uso del certificado electrónico, dado que necesariamente debe ser admitido como medio de identificación electrónica (cfr. art. 9.2, último párrafo, de la LPACP).

Por ello, con la nueva Ley cabe esperar una sustitución de los sistemas de firma o sello electrónico avanzado basado en certificado electrónico reconocido o cualificado, por la identificación electrónica basada en certificado electrónico reconocido o cualificado. Muestra anticipada de ello es la Orden HAP/2194/2013, de 22 de noviembre, por la que se regulan los procedimientos y las condiciones generales para la presentación de detemrinadas autoliquidaciones y declaraciones informativas de naturaleza tributaria, que realiza una agresiva apuesta al objeto de «reducir al máximo posible la presentación en papel de las autoliquidaciones y declaraciones informativas mientras se potencian nuevas vías de presentación como son las basadas en los sistemas de firma electrónica no avanzada definidos en la Resolución de 17 de noviembre de 2011 de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se aprueban sistemas de identificación y autenticación distintos de la firma electrónica avanzada para relacionarse electrónicamente con la Agencia Tributaria».

Para ello, su art. 2 autoriza a los sujetos obligados la presentación electrónica de la práctica totalidad de las autoliquidaciones indistintamente mediante la firma electrónica avanzada o mediante un sistema de identificación y autenticación, pero en ambos casos utilizando un certificado electrónico reconocido emitido de acuerdo a las condiciones que establece la LFE que resulte admisible por la AEAT según la normativa vigente en cada momento; o alternativamente, y sólo en el caso de obligados persona física, también el sistema Cl@ve PIN. En sentido esencialmente idéntico se manifiesta el art. 12 de la propia Orden, respecto a la presentación de determinadas declaraciones informativas.

Estos artículos resultan llamativos por diversas cuestiones, seguramente llamadas a marcar el inicio de una tendencia para el resto de Administraciones Públicas.

En primer lugar, por la equiparación entre la firma electrónica avanzada basada en certificado electrónico reconocido, y la identificación electrónica basada en el mismo certificado, dado que como indica la exposición de la Orden HAP/1846/2014, de 8 de octubre, «de acuerdo con los principios que fundamentaron la aprobación de la Orden HAP/2194/2013, de 22 de noviembre, y con la finalidad de facilitar y hacer más sencilla la presentación de declaraciones por v í a electrónica a los obligados tributarios, se ha considerado conveniente introducir un nuevo sistema de presentación basado en el uso de certificados electrónicos reconocidos alternativo al de firma electrónica avanzada, eliminando con ello ciertas operaciones que en la práctica se ha puesto de manifiesto resultaban técnicamente complejas», por lo que «el ciudadano solo necesita disponer de un certificado electrónico reconocido que cumpla las condiciones que establece la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, que resulte admisible por la Agencia Estatal de Administración Tributaria según la normativa vigente en cada momento».

Lo que sucede es que la identificación del ciudadano con su certificado se considera suficiente para las actuaciones de autoliquidación de los tributos, eliminándose la necesidad de firmar electrónicamente, y todos los elementos de complejidad que en efecto ello supone. No resulta particularmente arriesgado aventurar que esta norma es reflejo de los enormes problemas asociados al empleo de determinados componentes técnicos, como en especial determinados tipos de aplicación informática de firma electrónica empleados en los procedimientos web, como los applets de firma empleados en las sedes electrónicas. Ciertamente se trata de una orientación ya alineada con el Reglamento eIDAS al que anteriormente nos hemos referido, y supone una orientación alejada de la producción documental y su autenticación por el ciudadano: una innovación jurídica —impulsada por la tecnología— en la que la autenticación de entidad sustituye a la autenticación de los datos.

En este escenario, hay que admitir que la persona física o jurídica que desee un elevado nivel de protección puede continuar apostando por los certificados electrónicos , y será la Administración la que deba construir mecanismos para acreditar la autenticidad de la expresión de la voluntad y la integridad del documento en cuestión. En la medida en que pueda hacerlo correctamente, el régimen de la LPACP se puede considerar más neutral tecnológicamente que el de la LAE, aunque podría resultar menos garantista.

Adicionalmente, esta restricción del derecho al uso de la firma o sello electrónico avanzado tiene una consecuencia, que quizá no haya sido prevista por el legislador (o sí), derivada de los arts. 27 y 37 del Reglamento eIDAS: si el ciudadano español no tiene derecho al uso de la firma electrónica avanzada, tampoco lo tienen los ciudadanos de los demás Estados miembros de la Unión. Y ello es así porque los arts. 27 y 37 aplican cuando un Estado exige una firma electrónica avanzada o cualificada, pero no en otro caso, por lo que su finalidad no es tanto la de constituir un derecho general al uso de la firma electrónica avanzada o cualificada, sino la de evitar un trato discriminatorio en el que se exija más a un ciudadano de otro Estado de la Unión Europa que a uno del propio Estado.

Con carácter general, todo ello viene a reforzar el protagonismo de la identificación electrónica, en su caso basada en certificado reconocido, en detrimento de la firma electrónica avanzada o cualificada, que como hemos visto, tiene una mayor eficacia, especialmente desde la perspectiva de la prueba en el procedimiento administrativo o judicial, y sin perjuicio de lo que se pueda establecer en la legislación sectorial.

La reciente regulación en el Reglamento eIDAS del sello electrónico para la actuación de las personas jurídicas, en sustitución de la muy criticada firma electrónica de personas jurídicas, y de entidades sin personalidad jurídica, contenida en la LFE, a la que nos hemos ya referido, viene a representar una saludable innovación, dado que crea un instrumento que permite garantizar la autenticidad del origen de los datos y la integridad de los mismos, así como —en el caso de sello electrónico avanzado o del cualificado— la identidad de la citada persona.

Pero se trata de una innovación muy limitada, porque de nuevo nos encontramos ante un uso tecnológico alineado con una tecnología anteriormente existente, como es el tradicional sello de goma. Y, además, el régimen de uso de este instrumento previsto tanto en el Reglamento eIDAS como en la LPACP resulta claramente insuficiente, precisamente porque en este caso no existe un principio de equivalencia funcional en cuya virtud se pueda determinar para qué actuaciones de una persona jurídica se puede emplear este artefacto, dado que la legislación nada dice acerca de que este artefacto sirva para realizar declaraciones de voluntad. Caso diferente es el de la facturación electrónica, dado que la legislación exige garantizar la autenticidad del origen de los datos y la integridad de los datos de la factura, por lo que se puede claramente emplear el sello para ello.

Es claramente criticable que, con el régimen legal del art. 10 de la LPACP, se pueda dar la situación de que una persona jurídica se dote de un sistema de sello electrónico cualificado y se encuentre con la situación de que la Administración no está obligada a admitírselo en sus relaciones electrónicas con ella, y que le pueda incluso imponer un sistema de inferior seguridad y, de hecho, podría ser contrario a los arts. 9 y 10 de la LPACP que una Administración tampoco admita, como medio de firma, la identificación electrónica basada en certificado electrónico cualificado de persona jurídica.

De todo ello se desprende la necesidad de clarificar, en el nivel sectorial, el uso de este sello, algo que desde luego la LPACP no ha realizado, y que tampoco se aprecia en instrumentos como las nuevas Directivas de contratación pública.

Junto a todo lo expuesto, cabe de nuevo insistir en que toda esta construcción se viene a basar, casi exclusivamente, en sistemas basados en la certificación electrónica de claves públicas —actualmente más por una cuestión de reconocimiento transfronterizo e interoperabilidad que por motivos de seguridad—, por lo que resulta insuficiente desde la perspectiva de la innovación.

Baste citar como ejemplo ilustrativo el uso de la tecnología de cadenas de bloques o blockchain, que basándose también en criptografía de clave pública —pero no en certificados, mucho menos sujetos al Reglamento Eidas—, permite por primera vez en la historia, la realización de endosos, facilitando por tanto la implementación de títulos-valores electrónicos.

Con la regulación vigente en el Reglamento eIDAS, las dificultades para el encuadramiento de esta tecnología en el concepto de firma electrónica avanzada, por lo que la percepción de su valor es menor (injustificadamente, en función de cómo se haga uso del sistema), y la dificultad jurídica para su adopción, mayor.

Las instituciones relativas a la autenticación de la actuación de las personas físicas y jurídicas plantean retos importantes ligados a la apuesta tecnológica que subyace al reconocimiento privilegiado de la firma o sello electrónico cualificado frente a las restantes tecnologías; algo criticable por falta de neutralidad tecnológica y que debe mitigarse mediante legislación sectorial caso por caso. Frente a este modelo tecnológico, han emergido otros, como la federación de identidades o blockchain, que permiten nuevas posibilidades, sólo parcialmente acogidas en la legislación actual.

A tenor de lo anterior, y sin perjuicio de que la nueva legislación presente aspectos ciertamente innovadores, este enfoque impide aprovechar todo el potencial transformador de las tecnologías emergentes, por lo que resulta preciso un proceso de adecuación de estas garantías al nuevo entorno.

 

Ignacio ALAMILLO DOMINGO

Director de Astrea La Infopista Jurídica

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *