Decreto 107/2006, de 15 de diciembre, de regulación del uso de la firma electrónica en el ámbito de la Administración de la Comunidad Autónoma de las Illes Balears.

Con el Real Decreto Ley 14/1999, de 17 de septiembre, se aprobó la primera regulación general de ámbito estatal en materia de firma electrónica. Al redactarlo ya se tuvieron muy en cuenta los trabajos preparatorios de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo (aprobada posteriormente, en fecha 13 de diciembre de 1999) por la que se establece un marco comunitario para la firma electrónica, con el objetivo de fomentar una incorporación rápida de las nuevas tecnologías de seguridad de las comunicaciones electrónicas en la actividad de las empresas, los ciudadanos y las administraciones públicas.

Más adelante, se acordó tramitar este Real Decreto Ley como proyecto de ley, con el objetivo de someterlo a una consulta pública más amplia y a un debate parlamentario. Finalmente, se aprobó la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, que incorporó asimismo mejoras aconsejadas por la experiencia nacional e internacional.

Esta Ley pretende favorecer el desarrollo de la sociedad de la información con la regulación, básicamente, del uso de la firma electrónica, entendido como instrumento capaz de aportar una mayor confianza y seguridad en los documentos electrónicos.

Unos de los sujetos que hacen posible el uso de la firma electrónica son los denominados «prestadores de servicios de certificación», encargados de otorgar a los usuarios un documento electrónico en el que se pretende acreditar la identidad, mediante un certificado electrónico. La Ley 59/2003, de 19 de diciembre, de Firma Electrónica, establece obligaciones aplicables a estos prestadores de servicios, según si emiten o no certificados reconocidos, los cuales constituyen una pieza fundamental de la firma electrónica reconocida, que se equipara a la manuscrita.

El artículo 4 de la Ley extiende, de manera explícita, el ámbito de aplicación a las administraciones públicas, a los organismos públicos y a sus entidades dependientes o vinculadas, en las relaciones que mantengan entre sí o con los particulares.

Aun cuando establece un marco regulador general para el uso y la eficacia jurídica de la firma electrónica, así como para la prestación de los servicios de certificación, la Ley estatal abre la puerta, en los artículos 4 y 7, al establecimiento, por parte de las administraciones y dentro de los límites previstos, de condiciones adicionales a la utilización de firma electrónica en sus procedimientos, así como a la regulación de los certificados de personas jurídicas que se expidan a favor de las administraciones públicas.

Asimismo, el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, ya encargó a las administraciones públicas el impulso de la utilización de técnicas y medios electrónicos, informáticos y telemáticos, para desarrollar su actividad, previendo una serie de requisitos y limitaciones en cuanto al uso de estas técnicas y medios en las relaciones entre las administraciones y los ciudadanos.

Además, la Disposición adicional sexta de la Ley 3/2003, de 26 de marzo, de Régimen Jurídico de la Administración de la Comunidad Autónoma de las Illes Balears, encarga al Gobierno de las Illes Balears el establecimiento de un marco normativo que permita la tramitación total o parcial de los procedimientos por vías informáticas o telemáticas, y la comunicación directa con los órganos y las unidades administrativas, así como la formulación de solicitudes y otras manifestaciones, para que los ciudadanos puedan relacionarse con la Administración de la Comunidad Autónoma por vías informáticas o telemáticas.

En esta misma línea, el artículo 95 del Texto Refundido de la Ley de Finanzas de la Comunidad Autónoma, aprobado por Decreto Legislativo 1/2005, de 24 de junio, hace referencia a la utilización de medios electrónicos, informáticos y telemáticos en los procedimientos relativos a la gestión económico- financiera, y el artículo 19 del Decreto 75/2004, de 27 de agosto, de desarrollo de dicha Ley, desarrolla las previsiones legales en esta materia, atribuyendo al Consejo de Gobierno la competencia para acordar la utilización de tales medios electrónicos, informáticos y telemáticos.

En resumen, este Decreto persigue dos finalidades principales: por un lado, dar un paso más en el impulso de la sociedad de la información y, por otro, establecer unos requisitos técnicos y legales lo suficientemente flexibles para evitar que la obsolescencia prematura de la tecnología en materia de tratamiento de la información se convierta en un obstáculo para la implantación de la firma electrónica a medio y largo plazo. Adicionalmente, se pretende dar la cobertura legal suficiente para la utilización de la firma electrónica avanzada en determinados ámbitos de la tramitación telemática.

En el marco normativo vigente de la Comunidad Autónoma de las Illes Balears, tan sólo se encuentran una serie de órdenes específicas en materia de presentación y pago telemático de tributos. Ésta es, pues, la primera normativa de ámbito general en esta materia, a la cual han de adaptarse, si procede, las mencionadas órdenes, en los términos que prevé la disposición transitoria única de este Decreto.

Sin perjuicio de lo anterior, y en virtud del Decreto 97/2006, de 24 de noviembre, se ha creado la Comisión Directora de la Seguridad de la Información, como un paso más en este impulso de la sociedad de la información, encargada de aprobar los criterios y de elaborar una planificación estratégica de la seguridad.

Por todo ello, oído el Consejo Consultivo de las Illes Balears, a propuesta del Consejero de Economía, Hacienda e Innovación, y habiéndolo considerado el Consejo de Gobierno en la sesión de día 15 de diciembre de 2006,



DECRETO



Artículo 1. Objeto y ámbito de aplicación

1. El presente Decreto tiene por objeto la regulación del uso de la firma electrónica en las relaciones entre los ciudadanos y la Administración de la Comunidad Autónoma de las Illes Balears, así como entre los órganos y entidades que la componen, y en las relaciones que dicha Administración autonómica pueda tener con otras administraciones públicas.

2. A los efectos del presente Decreto, se entienden incluidas en la Administración de la Comunidad Autónoma de las Illes Balears las entidades que, de acuerdo con la legislación de finanzas, formen parte del sector público de esta Administración.

Artículo 2. Admisión de los sistemas de firma electrónica

Los sistemas de firma electrónica adecuados para garantizar la autenticidad y la integridad de los documentos electrónicos, en los términos previstos en los artículos 4 y 5 de este Decreto, podrán ser admitidos para la identificación y la presentación de documentos entre las personas y entidades previstas en el artículo 1 de este Decreto.

Artículo 3. Definiciones

Sin perjuicio de las definiciones contenidas en al artículo 3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, se definen, a los efectos del presente Decreto, los conceptos siguientes:

a) Componente informático: es el sistema de hardware y software con capacidad para hacer operaciones telemáticas al servicio de una persona física o jurídica.

b) Acreditador de identidad: es la persona u organismo capaz de identificar una persona física, jurídica o componente informático. En particular, un prestador de servicios de certificación es un acreditador de identidad que cumple todos los requisitos legalmente establecidos para serlo.

c) Documento de identificación electrónica: es el documento firmado electrónicamente por un acreditador y que vincula los datos de verificación de firma con un conjunto de datos estructurados que permiten identificar una persona física, jurídica o componente informático. En particular, el certificado electrónico recogido en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, es un documento de identificación electrónica firmado electrónicamente por un prestador de servicios de certificación.

Artículo 4. Condiciones generales para la admisión de los sistemas de firma electrónica

1. Para poder ser admitidos, los sistemas de firma electrónica han de adaptarse a las previsiones establecidas en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica. En particular han de admitirse:

a) Los sistemas de firma electrónica basados en firma electrónica avanzada, cuando quiera conocerse la identidad del firmante y cuando se trate de trámites internos que no requieran publicidad ni notificación externa a la Administración de la Comunidad Autónoma de las Illes Balears. Todo ello, sin perjuicio de que pueda disponerse la exigencia de firma electrónica reconocida en determinados trámites procedimentales.

b) Los sistemas de firma electrónica basados en firma electrónica reconocida, cuando resulte necesario garantizar la autenticidad y la integridad de documentos firmados electrónicamente y, en todo caso, cuando se trate de actos que finalicen el procedimiento o que requieran la publicación o notificación a los interesados.

2. Además, la admisión de cualquier sistema de firma electrónica requiere su compatibilidad con los medios técnicos de los que disponga la Administración de la Comunidad Autónoma, previa aprobación de los programas y aplicaciones que hayan de utilizarse y la difusión pública de sus características, de conformidad con el artículo 8.2.d) del Decreto 97/2006, de 24 de noviembre, por el que se crean y regulan las comisiones para la mejora continua de la seguridad de la información en la Administración de la Comunidad Autónoma de las Illes Balears.

3. Además de las condiciones generales impuestas en los apartados anteriores de este artículo, para que los sistemas de firma electrónica puedan ser admitidos en las relaciones que prevé el artículo 1 de este Decreto, deben cumplir las siguientes condiciones:

a) Permitir la generación de firmas electrónicas avanzadas, tal y como se definen en la legislación sobre firma electrónica. Los datos de creación y de verificación de firma no podrán ser de longitud inferior a la siguiente:

- Longitud mínima de clave pública del certificado de usuario: 512 bits.

- Longitud mínima de clave del certificado de la CA: 1.024 bits.

b) Emplear documentos de identificación electrónica para vincular los datos de verificación de firma al signatario, al objeto de confirmar su identidad.

Artículo 5. Condiciones específicas para la admisión de los sistemas de firma electrónica

Sin perjuicio de lo previsto en el apartado primero del artículo anterior, para llevar a cabo determinados trámites, el Consejero competente en materia de tecnologías de la información puede exigir, mediante resolución, que los documentos firmados electrónicamente cumplan todas o algunas de las siguientes condiciones adicionales:

a) Que sean generados mediante un dispositivo seguro y homologado de creación de firma.

b) Que incorporen sellos de tiempos asociados al instante de la firma.

c) Que incorporen sellos de tiempos asociados al instante de presentación del documento.

d) Que incorporen la comprobación de la situación de validez y vigencia del certificado en el momento de firma.

e) Que sean generados mediante un certificado reconocido.

f) Que utilicen sistemas de firma con una longitud de clave pública superior a las mínimas exigidas en el artículo 4.

Artículo 6. Certificados electrónicos admitidos

1. Los sistemas de generación de firma electrónica han de incluir un certificado con los siguientes contenidos:

a) Código identificador único del certificado.

b) Identificación del acreditador que expide el certificado.

c) Firma electrónica avanzada del acreditador.

d) Identificación del signatario, mediante nombre y apellidos, y número de DNI o NIE, cuando se trate de certificados reconocidos asociados a una persona física.

e) Razón o denominación social, número de identificación fiscal, e identificación de la persona física solicitante y responsable del uso del certificado, cuando se trate de certificados reconocidos asociados a una persona jurídica.

f) Datos que permitan identificar inequívocamente al titular, cuando se trate de certificados no reconocidos asociados a una persona física.

g) Datos que permitan identificar inequívocamente al titular, cuando se trate de certificados no reconocidos asociados a una persona jurídica.

h) Datos que permitan identificar componentes informáticos, cuando se trate de certificados no reconocidos asociados a componentes.

i) Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del signatario.

j) El comienzo y el final del periodo de validez del certificado.

2. De conformidad con la letra b) del artículo 4.3 de este Decreto, los certificados electrónicos deben cumplir los siguientes requisitos:

a) Han de estar basados en la Recomendación X.509 v3 de la ITU-T (International Telecomunication Union-Telecomunication Standarization Sector) o en cualquier otro estándar técnico admitido por la Consejería competente en materia de tecnologías de la información.

b) Deben permitir el uso de la clave para firma digital.

c) No deben llevar anexo ningún certificado de atributos, excepto los explícitamente exigidos en virtud de la resolución a que se refiere el artículo 7 de este Decreto.

Artículo 7. Documentos firmados electrónicamente

1. Sin perjuicio de lo previsto en el apartado 4 del artículo 3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, para que un órgano de la Administración de la Comunidad Autónoma de las Illes Balears pueda admitir o emitir documentos firmados electrónicamente, el Consejo de Gobierno, a propuesta conjunta del Consejero competente en materia de tecnologías de la información y del Consejero sectorial correspondiente, debe dictar un acuerdo que recoja los siguientes aspectos:

a) Trámite o trámites que se podrán cursar de forma electrónica total o parcialmente.

b) Documentos que se admitirán y emitirán firmados electrónicamente, especificando el formato y los requerimientos específicos que deba cumplir la firma, de acuerdo con el artículo 5.

c) Características técnicas del documento y de la firma electrónica que lo soporta.

d) Requisitos técnicos exigibles a los ciudadanos para llevar a cabo la tramitación electrónica.

e) Inventario de los órganos y de sus titulares, si procede, que se consideren capacitados para firmar los documentos electrónicos emitidos por parte de la Administración de la Comunidad Autónoma de las Illes Balears.

2. Antes de dictarse el acuerdo deberá solicitarse un informe preceptivo y vinculante de la Comisión Directora de la Seguridad de la Información.

Artículo 8. Prestadores de servicios de certificación

1. La Administración de la Comunidad Autónoma de las Illes Balears, a través de la Dirección general competente en materia de tecnologías de la información, podrá emitir documentos de identificación electrónica asociados a sistemas de generación de firma avanzada, para su utilización de acuerdo con la letra a) del artículo 4.1 de este Decreto.

2. Sin perjuicio de lo indicado en el apartado anterior de este artículo, los documentos de identificación electrónica deben ser expedidos por prestadores de servicios de certificación que cumplan las obligaciones exigidas por la legislación de firma electrónica.

Artículo 9. Procedimiento para la admisión de certificados electrónicos

1. Los prestadores de servicios de certificación podrán pedir, a la Dirección general competente en materia de tecnologías de la información, que sean admitidos los certificados electrónicos que ellos expidan para las relaciones que, por medios electrónicos, informáticos y telemáticos, tengan lugar entre los órganos de la Administración de la Comunidad Autónoma de las Illes Balears y los ciudadanos u otras entidades.

2. La petición de admisión, que deberá ser escrita, sin perjuicio de que se use cualquier medio —incluso de tipo electrónico— que permita acreditar la autenticidad, ha de incluir la identidad del peticionario, su nacionalidad y el lugar elegido para la práctica de notificaciones, así como el objeto y el destinatario de la petición. Asimismo, deberá llevar adjunta la siguiente documentación:

a) Una declaración responsable sobre el cumplimiento de los requerimientos exigidos en la normativa vigente.

b) La documentación que acredite el cumplimiento, de acuerdo con los estándares técnicos vigentes.

c) Un informe emitido por un tercero independiente con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad de prestación de servicios de certificación, en el que se exprese la opinión sobre el cumplimiento, por parte del peticionario, de las condiciones establecidas en este Decreto para la admisión de sus certificados.

El Consejero competente en materia de tecnologías de la información podrá eximir la presentación de este informe, en el supuesto de que los certificados sean expedidos por prestadores de servicios de certificación que se encuentren certificados de acuerdo con lo dispuesto en el artículo 26 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica.

d) En particular, los peticionarios han de adjuntar a la petición las normas técnicas en que se base el certificado que se pretende homologar, así como los protocolos o normas y procedimientos de seguridad y de control referidos a la creación, almacenamiento histórico, acceso y publicidad, renovación y revocación de certificados.

3. El Consejero competente en materia de tecnologías de la información es el órgano competente para contestar la petición, a propuesta del director general competente, en un plazo máximo de tres meses a contar desde la fecha en que se presente.

En el supuesto de que se verifique el cumplimiento de los requerimientos establecidos en este Decreto y la compatibilidad técnica con los sistemas informáticos de la Administración de la Comunidad Autónoma —y si así se considera oportuno—, se podrán admitir los certificados electrónicos emitidos por la

entidad peticionaria y se incluirán en la lista prevista en el apartado sexto de este artículo.

4. Para efectuar la verificación a que se refiere el apartado anterior de este artículo, se podrá pedir la colaboración de agentes expertos en la materia, para obtener toda la información complementaria que sea necesaria para comprobar la exactitud de las declaraciones y hacer las comprobaciones adicionales que se consideren convenientes.

5. La resolución de la petición debe ser motivada y debe describir las condiciones, si procede, en las que la admisión se entiende producida.

La resolución de admisión de los certificados no tendrá efectos hasta el establecimiento de las conexiones telemáticas precisas entre la Administración de la Comunidad Autónoma de las Illes Balears y el servicio de publicación de certificados revocados del prestador de servicios de certificación. El prestador de servicios de certificación ha de implantar un servicio disponible permanentemente, que permita a los órganos de la Administración de la Comunidad Autónoma de las Illes Balears la consulta en línea de la validez de un certificado, así como la actualización incremental de la lista de certificados revocados por la autoridad de certificación, utilizando los estándares técnicos internacionales al efecto.

6. Através de la dirección electrónica http://dgtic.caib.es debe darse publicidad de la lista de tipos de certificados electrónicos admitidos, así como de los prestadores de servicios de certificación que los pueden expedir.

Artículo 10. Modificaciones en las condiciones de prestación del servicio

1. Los prestadores de servicios de certificación tienen la obligación de comunicar a la Dirección General competente en materia de tecnologías de la información su intención de introducir modificaciones en las condiciones de prestación del servicio.

2. La comunicación ha de efectuarse con una antelación mínima de un mes respecto de la fecha prevista para el comienzo de la aplicación de las citadas modificaciones. Si durante este plazo no reciben ninguna notificación de la Consejería competente en materia de tecnologías de la información, la modificación se podrá entender aceptada.

Artículo 11. Auditoría del servicio

1. La Consejería competente en materia de tecnologías de la información podrá verificar, en cualquier momento, por si misma o a través de agentes autorizados, que la expedición de los certificados o cualquier otro aspecto de los sistemas de firma electrónica admitidos se está haciendo de acuerdo con las condiciones establecidas en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, en este Decreto y en la resolución de admisión correspondiente.

2. El incumplimiento de las condiciones previstas en el apartado anterior, así como la constancia de que un determinado sistema de firma electrónica admitido ha dejado de cumplir los requisitos técnicos o jurídicos exigidos para su admisión, o que estos sistemas han quedado técnicamente obsoletos y ello suponga un riesgo para la seguridad de la información o la identidad de los firmantes, podrá suponer, según los casos, la modificación, la suspensión o la revocación de la resolución de admisión.

3. En todo caso, son causas de revocación las siguientes:

a) La falsedad en los documentos presentados o en la información aportada.

b) El incumplimiento del documento de prácticas de certificación a que se refiere el artículo 19 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica.

c) La variación substancial del documento de prácticas de certificación no autorizada, según lo previsto en el artículo 10.

d) La modificación de las circunstancias técnicas que hayan justificado la admisión y que las haga incompatibles con ésta, unida a la negativa o a la imposibilidad de adaptación de los sistemas de firma electrónica.

4. El Consejero competente en materia de tecnologías de la información es el órgano competente para dictar, en un plazo máximo de tres meses a contar desde la verificación del incumplimiento de las condiciones, y a propuesta del Director General competente, las resoluciones de modificación o revocación de las resoluciones de admisión y, en su caso, su suspensión.

Además de la notificación al prestador de servicios, las resoluciones deben ser publicadas en el Boletín Oficial de las IIles Balears y en la dirección electrónica http://dgtic.caib.es.

Artículo 12. Finalización de la actividad

1. Los prestadores de servicios de certificación tienen la obligación de comunicar a la Dirección General competente en materia de tecnologías de la información, como mínimo con dos meses de antelación, la cesación de sus actividades.

2. La Dirección General competente en materia de tecnologías de la información ha de informar sobre la cesación de estos servicios, en la dirección electrónica http://dgtic.caib.es, en un plazo máximo de quince días, y ha de especificar la fecha de inicio de los efectos. A partir de dicho momento, dejarán de ser admitidos, a los efectos de este Decreto, los certificados emitidos por aquella entidad.

No obstante, se aceptarán los certificados emitidos por la entidad que haya cesado en la prestación de este servicio cuando, de acuerdo con lo establecido en el artículo 21 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, los certificados expedidos sean asumidos por otro prestador de servicios de certificación admitido por la Dirección General competente en materia de tecnologías de la información.

3. Cuando un prestador de servicios cese en su actividad sin haberlo comunicado a la Dirección General competente en materia de tecnologías de la información, el Consejero competente, a propuesta del Director General, debe dictar, de oficio y con el trámite de audiencia previo, resolución de revocación de la admisión de los certificados de la entidad.

El contenido de esta revocación deberá publicarse en la dirección electrónica http://dgtic.caib.es, con los mismos efectos sobre los certificados que se señalan en el apartado segundo anterior.

Disposición adicional primera

1. El procedimiento previsto en el artículo 9 de este Decreto podrá ser sustituido por la formalización de un convenio de colaboración en los supuestos en que se trate de certificados emitidos por otras administraciones públicas.

2. Dicho convenio de colaboración debe publicarse en el Boletín Oficial de las Illes Balears y también en la dirección electrónica (http://dgtic.caib.es).

Disposición adicional segunda

Se faculta al Consejero competente en materia de tecnologías de la información para que, mediante orden, modifique las longitudes mínimas de clave a que se refiere el artículo 4.3 de este Decreto.

Disposición transitoria única

1. En el plazo máximo de un año, a contar desde la fecha de publicación de este Decreto, deben adaptarse al mismo las normas autonómicas reglamentarias vigentes que no se ajusten a sus disposiciones.

2. Asimismo, y en el plazo máximo de un año a contar desde la fecha de publicación de este Decreto, deben adaptarse las aplicaciones existentes a las previsiones del artículo 4.2.

Disposición final primera

Se autoriza al Consejero competente en materia de tecnologías de la información para que dicte las disposiciones que sean necesarias para el desarrollo y la ejecución de este Decreto.

Disposición final segunda

El presente Decreto entrará en vigor al día siguiente de su publicación en el Boletín Oficial de las Illes Balears.

Palma, a 15 de diciembre de 2006

EL PRESIDENTE,

Jaume Matas Palou

El Consejero de Economía, Hacienda e Innovación,

Luis Ramis de Ayreflor Cardell



ANEXO

Normas técnicas relativas al formato y a la localización en que han de consignarse en el certificado los datos de identificación



* Datos que deben consignarse obligatoriamente:

El campo Subject del certificado debe tener, al menos, los atributos siguientes:

Personas físicas Personas jurídicas

Nacionalidad del titular Nacionalidad de la persona jurídica

Apellidos (tal y como constan en el DNI) Razón o denominación social

Nombre propio (tal y como aparece en el DNI) NIF de la persona jurídica

NIF del titular Apellidos del responsable (tal y como aparecen en el DNI)

Nombre propio del responsable (tal y como aparece en el DNI)

NIF del responsable

1. Datos opcionales

Opcionalmente, el campo Subject del certificado podrá tener los atributos siguientes:

Etiqueta
Descripción
Aplicable a
1.3.6.1.4.1.22896.1.1 Identificador único asignado por la Dirección general competente en materia de tecnologías de la información Personal registrado por la Dirección general competente en materia de tecnologías de la información
1.3.6.1.4.1.22896.1.2 Número de registro de personal de la Administración autonómica de las Illes Balears Personal adscrito a la Administración de la Comunidad Autónoma.

* Estructura recomendada

Se recomienda que el contenido del campo Subject se ajuste al formato siguiente:

Etiqueta
Personas físicas
Personas jurídicas
Country Nacionalidad (es) Nacionalidad (es)
CommonName Identidad del titular del certificado Razón o denominación social
Surname Apellidos (tal y como constan en el DNI) Apellidos del responsable
GivenName Nombre propio (tal y como(tal y como aparecen en el DNI) Nombre propio del responsable (tal y como aparece en el DNI)
SerialNumbe NIF del titular sin espacios ni separadores NIF del titular del certificado (persona jurídica)
1.3.6.1.4.1.18838.1.1   NIF del responsable
Date: 
Tuesday, 26 December, 2006