Butlletí Oficial de les Illes Balears

L'article 10 de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques, disposa que els interessats poden signar a través de qualsevol mitjà que permeti acreditar l'autenticitat de l'expressió de la seva voluntat i consentiment, així com la integritat i inalterabilitat del document, i enumera els sistemes vàlids a l'efecte de signatura que les persones interessades poden utilitzar per relacionar-se amb les administracions públiques a través de mitjans electrònics. 

L'apartat 2 d'aquest precepte es refereix expressament als sistemes de signatura electrònica qualificada i avançada basats en certificats electrònics qualificats de signatura electrònica; als sistemes de segell electrònic qualificat i de segell electrònic avançat basats en certificats electrònics qualificats de segell electrònic, i a qualsevol altre sistema que les administracions públiques considerin vàlid, en els termes i les condicions que s'estableixin, sempre que tenguin un registre previ com a usuari que permeti garantir-ne la identitat, amb la comunicació prèvia a la Secretaria General d'Administració Digital del Ministeri per a la Transformació Digital i de la Funció Pública. 

D'altra banda, l'apartat 4 faculta les administracions públiques per admetre els sistemes d'identificació que preveu l'article 9 d'aquesta Llei com a sistema de signatura quan permetin acreditar l'autenticitat de l'expressió de la voluntat i consentiment de les persones interessades, sempre que així ho disposi la normativa reguladora aplicable. 

L'article 29 del Reglament d'actuació i funcionament del sector públic per mitjans electrònics, aprovat pel Reial decret 203/2021, de 30 de març, reitera la validesa als efectes de signatura electrònica dels sistemes que preveu l'article 10.2 de la Llei 39/2015, i la possibilitat d'admissió dels sistemes d'identificació com a sistema de signatura prevista a l'article 10.4 d'aquesta Llei. 

A aquests sistemes de signatura electrònica se'ls han de reconèixer efectes jurídics d'acord amb el que estableix l'article 25.1 del Reglament (UE) núm. 910/2014 del Parlament Europeu i del Consell, de 23 de juliol de 2014, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions electròniques en el mercat interior i pel qual es deroga la Directiva 1999/93/CE del Parlament Europeu i del Consell, de 13 de desembre de 1999, per la qual s'estableix un marc comunitari per a la signatura electrònica, sense detriment d'allò que preveu l'article 27 d'aquest Reglament en relació amb les signatures electròniques en serveis públics. 

L'article 11 de la Llei 39/2015 regula l'ús dels mitjans d'identificació i signatura en el procediment administratiu i estableix que, amb caràcter general, per dur a terme qualsevol actuació prevista en el procediment administratiu només és necessari identificar-se, i limita l'obligatorietat de la signatura als supòsits previstos en l'apartat segon de l'article: formular sol·licituds, presentar declaracions responsables o comunicacions, interposar recursos, desistir d'accions i renunciar a drets. 

Mitjançant aquesta Resolució s'estableixen els criteris d'ús i les condicions tècniques d'implementació del sistema de signatura electrònica no criptogràfica que es considera vàlid a l'efecte de signatura en l'Administració de la Comunitat Autònoma de les Illes Balears i els seus organismes públics i entitats de dret públic vinculats o dependents, en aplicació de l'article 10.2.c) de la Llei 39/2015. 

Aquest sistema es basa en la captura i emmagatzematge de les evidències relatives a la identificació i a l'expressió de la voluntat de la persona interessada i aporta les mesures de seguretat, traçabilitat i integritat suficients per als procediments que en facin ús, de manera que permetrà que les persones interessades signin sense necessitat de disposar prèviament d'un sistema de signatura criptogràfica. 

D'acord amb l'article 2.1 del Decret 12/2023, de 10 de juliol, de la presidenta de les Illes Balears, pel qual s'estableixen les competències i l'estructura orgànica bàsica de les conselleries de l'Administració de la Comunitat Autònoma de les Illes Balears, modificat pel Decret 4/2024, de 10 de juliol, la Direcció General d'Estratègia Digital i Simplificació Administrativa de la Conselleria d'Economia, Hisenda i Innovació, exerceix competències en matèria de sistemes d'informació, recursos tecnològics i serveis informàtics i telemàtics de l'Administració de la Comunitat Autònoma; impuls i coordinació de la implantació de l'administració electrònica; seguretat de la informació dels recursos tecnològics, i gestió documental i funcionament de l'Arxiu del Govern de les Illes Balears, inclòs l'electrònic. 

Per tot això, dict la següent 

Resolució 

1. Aprovar els termes i condicions d'ús del sistema de signatura electrònica no criptogràfica en les relacions de les persones interessades amb els òrgans administratius de l'Administració de la Comunitat Autònoma de les Illes Balears i els organismes públics i entitats de dret públic vinculats o dependents, d'acord amb l'article 10.2.c) de la Llei 39/2015 que s'inclouen com a annex. 

2. Comunicar aquesta Resolució a la Secretaria General d'Administració Digital del Ministeri per a la Transformació Digital i de la Funció Pública. L'eficàcia jurídica del sistema de signatura electrònica no criptogràfica es produirà transcorreguts dos mesos des d'aquesta comunicació. 

3. Publicar aquesta Resolució en el Butlletí Oficial de les Illes Balears. 

 

(Signat electrònicament: 12 de novembre de 2024)

El director general d'Estratègia Digital i Simplificació Administrativa Francisco Cánovas Vallés

 

ANNEX  Termes i condicions d'ús de la signatura electrònica no criptogràfica en les relacions de les persones interessades amb els òrgans administratius de l'Administració de la Comunitat Autònoma de les Illes Balears i els organismes públics i entitats de dret públic vinculats o dependents 

Primer  Objecte 

Aquests termes i condicions tenen com a objecte determinar les circumstàncies en les quals un sistema de signatura electrònica no basat en certificats electrònics s'ha de considerar vàlid en les relacions de les persones interessades amb els òrgans de l'Administració de la Comunitat Autònoma de les Illes Balears i els organismes públics i entitats de dret públic vinculats o dependents, d'acord amb l'article 10.2.c) de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques, sense perjudici d'altres sistemes de signatura implantats, d'acord amb l'article 10.2.c) i 10.4 i que ofereixin les garanties de seguretat suficients per gestionar la integritat i el no-repudi, segons el principi de proporcionalitat recollit en l'article 14.3 del Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat (d'ara endavant, ENS). 

Segon Ambit d'aplicació 

Aquests termes i condicions s'han d'aplicar als òrgans administratius de l'Administració de la Comunitat Autònoma de les Illes Balears i als organismes públics i entitats de dret públic vinculats o dependents que habilitin nous sistemes de signatura electrònica no criptogràfica a fi que les persones interessades els puguin usar en les seves relacions amb aquests, i sense perjudici de la possibilitat d'utilització en aquests tràmits dels sistemes de signatura prevists en l'article 10.2.a) de la Llei 39/2015. 

Tercer  Criteris per a la utilització de sistemes de signatura electrònica no criptogràfica 

El Reial decret 311/2022 constitueix el marc normatiu que permet definir i establir les mesures per garantir la seguretat dels sistemes, les dades, les comunicacions i els serveis electrònics, que permetin a les persones interessades i a les administracions públiques l'exercici de drets i el compliment de deures a través d'aquests mitjans. 

En la implantació d'un sistema de signatura electrònica no criptogràfica s'ha de complir amb l'ENS per garantir la seguretat de les dades i els serveis, com un instrument capaç de permetre la comprovació de l'autenticitat de la procedència i la integritat de la informació oferint les bases per evitar el repudi. 

En aplicació d'aquesta norma, es poden utilitzar sistemes de signatura electrònica no criptogràfica quan el sistema d'informació associat al procediment hagi estat categoritzat, segons l'ENS, de categoria bàsica i els de categoria mitjana en els quals no sigui necessari utilitzar la signatura electrònica avançada, quan així ho disposi la normativa reguladora aplicable. 

Correspon a l'òrgan gestor del procediment establir el nivell mínim de seguretat en la identificació necessari per admetre el sistema de signatura no criptogràfica en cada procediment concret, en funció de la categorització de seguretat del sistema i en aplicació del principi de proporcionalitat previst en l'article 14.3 del Reial decret 311/2022. 

Quart  Garantia de funcionament 

Quan l'actuació realitzada per la persona interessada en la seva relació amb l'Administració impliqui la presentació en una seu electrònica de documents electrònics utilitzant els sistemes de signatura electrònica prevists en aquesta Resolució, s'ha de garantir la integritat de la informació presentada; la integritat de les evidències necessàries per verificar la identitat, recopilades immediatament abans de l'acte de la signatura, i, posteriorment, la integritat del consentiment explícit de la persona interessada amb el contingut signat. Tant la informació presentada com les evidències s'han d'emmagatzemar en el sistema d'informació associat al procediment. 

La integritat es garanteix mitjançant el segellat realitzat amb un certificat qualificat del segell electrònic de l'organisme responsable del sistema de signatura no criptogràfica. Addicionalment, s'ha d'afegir un segell electrònic qualificat de temps emès per un prestador de segellat de temps supervisat. 

L'Administració de la Comunitat Autònoma de les Illes Balears ha de disposar de les mesures tècniques, organitzatives i procedimentals necessàries per garantir la integritat i conservació al llarg del temps dels documents electrònics emmagatzemats i també per assegurar-ne la inalterabilitat, una vegada que hagin entrat en el sistema de custòdia corporatiu. 

Els documents electrònics signats utilitzant els sistemes de signatura electrònica prevists en aquesta Resolució incorporaran, com a annex, les evidències esmentades en l'apartat sisè com a garantia de no-repudi. Aquest annex equival a un justificant de signatura i té valor probatori de l'actuació realitzada. 

Cinquè  Acreditació de l'autenticitat de l'expressió de la voluntat i consentiment de la persona interessada 

Per acreditar l'autenticitat de l'expressió de la voluntat i consentiment de la persona interessada s'ha de requerir: 

1. L'autenticació de la persona interessada, immediatament prèvia a la signatura. 

La identificació i autenticació de la persona interessada s'ha de fer a través de la plataforma Cl@ve, sistema d'identificació, autenticació i signatura electrònica basat en claus concertades, o a través de qualsevol altre sistema d'identificació i autenticació que l'Administració de la Comunitat Autònoma de les Illes Balears habiliti en els termes que preveu l'article 9.2.c) de la Llei 39/2015. 

L'autenticació de la persona interessada ha de ser immediatament prèvia a l'acte de signatura. 

2. La verificació prèvia per part de la persona interessada de les dades a signar. 

Aquestes dades s'obtenen a partir de la informació presentada per la persona interessada de la veracitat de la qual es fa responsable, així com dels documents electrònics que, eventualment, presenti en el procediment. 

La persona interessada ha de ser conscient de les dades que signarà i se li ha d'oferir, d'una manera visible, la possibilitat de consultar-les en un format llegible i, preferiblement, amb el mateix format del document que posteriorment se li lliuri. 

3. L'acció explícita per part de la persona interessada de manifestació de consentiment i expressió de la seva voluntat de signatura. 

L'aplicació que dona suport al sistema de signatura ajustat als criteris d'ús i condicions tècniques d'aquesta Resolució ha de requerir de manera expressa la manifestació del consentiment i la voluntat de signatura de la persona interessada en el procediment, mitjançant la inclusió de frases que els posin de manifest de manera inequívoca, i l'exigència d'accions explícites d'acceptació per part de la persona interessada (per exemple, mitjançant una casella al costat del text «Declar que són certes les dades a signar / Mostr la meva conformitat amb el contingut del document i confirm la meva voluntat de signar» que la persona interessada ha de marcar, i un botó «Signau i enviau» que ha de prémer per signar). 

Sisè  Garantia de no-repudi 

6.1. Garanties en el procés de signatura. Per garantir el no-repudi de la signatura per part de la persona interessada que signa, el sistema de signatura ha d'acreditar la vinculació de l'expressió de la voluntat i les dades signades amb la mateixa persona. Per a això s'ha de tornar a sol·licitar l'autenticació de la persona interessada en el moment de signar. 

Així mateix, la garantia de no-repudi exigeix que el sistema de signatura asseguri una adequada traçabilitat en el cas que sigui necessari auditar una operació de signatura en particular, per a la qual cosa ha de conservar, per cada signatura i, per tant, per cada procés d'autenticació, com a mínim, la informació següent: 

― Identificador de la transacció de signatura.

― Data i hora de l'autenticació.

― Nom i llinatges de la persona interessada.

― DNI/NIF/NIE de la persona interessada.

― Sistema d'identificació utilitzat i nivell de seguretat de la identificació.

―  Resultat amb èxit de l'autenticació.

― Si s'escau, resposta retornada i signada de la plataforma Cl@ve. Aquesta resposta ha d'incloure el camp opcional que conté la resposta retornada i signada pel proveïdor de serveis d'identificació.

―  Data i hora de la signatura.

Aquesta informació s'ha de segellar amb un certificat qualificat de segell electrònic. Addicionalment, s'ha d'afegir un segell electrònic qualificat de temps emès per un prestador de segellat de temps supervisat, i s'ha d'emmagatzemar com a evidència de la verificació de la identitat prèvia a l'acte de la signatura, vinculada a les dades signades. 

En el cas que les dades d'identificació obtingudes en l'autenticació immediatament anterior a la signatura no coincideixin amb les dades d'identificació obtingudes en autenticacions prèvies, el sistema de signatura no ha de permetre que es realitzi la signatura i ha de comunicar aquesta eventualitat al sistema d'informació associat al procediment o servei electrònic que requereix aquesta signatura. 

6.2. Gestió de les evidències d'autenticació. Malgrat que el sistema de signatura proporcionarà als sistemes d'informació associats al procediment electrònic que requereix la signatura la informació relativa a l'autenticació vinculada a aquesta signatura, a vegades pot ser necessari, per motius d'auditoria, recuperar les evidències completes del procés d'autenticació. 

L'Administració de la Comunitat Autònoma de les Illes Balears és proveïdora dels serveis d'identificació i autenticació i, per tant, pot recuperar les evidències necessàries per acreditar la realització de la identificació i autenticació prèvies lligades a la realització d'una signatura en els sistemes d'informació associats al procediment administratiu o servei electrònic que requereix la signatura, descrita a l'apartat 6.1. 

Aquestes evidències s'han de salvaguardar durant el termini mínim de cinc anys. 

En el cas de requerir-se la certificació d'aquestes evidències a causa d'una auditoria o sol·licitud motivada, correspon a la direcció general competent en matèria de tecnologies i comunicacions, com a responsable del servei proveïdor d'identificació, autenticació i signatura de l'Administració autonòmica, l'expedició d'aquestes certificacions. 

Setè  Garantia de la integritat de les dades i documents signats 

7.1. Segellat de la informació presentada. Una vegada acreditada l'expressió de la voluntat i el consentiment per signar de la persona interessada, s'han d'establir els mecanismes per garantir la integritat i inalterabilitat de les dades i, si s'escau, dels documents electrònics que hagi presentat, per a la qual cosa el sistema de signatura ha de segellar les dades a signar, amb un segell d'òrgan i l'addició d'un segell electrònic qualificat de temps emès per un prestador de segellat de temps supervisat, i l'ha de posar a la disposició del sistema d'informació associat al procediment electrònic o servei electrònic que requereix la signatura. 

7.2. Justificant de signatura. Els documents electrònics signats utilitzant els sistemes de signatura electrònica prevists en aquesta Resolució incorporaran, com a annex, les evidències esmentades en l'apartat sisè com a garantia de no-repudi. Aquest annex equival a un justificant de signatura i té valor probatori de l'actuació realitzada, atès que: 

― Garanteix l'autenticitat de l'organisme emissor mitjançant un segellat electrònic amb el certificat de segell d'aquest, en format PadES en el cas que el justificant tengui el format PDF. 

― Conté les dades del signant. 

― Conté les dades a signar expressament per la persona interessada. Si s'ha annexat algun document electrònic s'ha d'incloure una referència a aquest. 

― Garanteix l'instant en què es va realitzar la signatura, mitjançant segell de temps del justificant, realitzat amb un certificat qualificat i emès per un prestador de segellat de temps supervisat.