Archivo de la categoría: Administración Electrónica

CSV: Código Seguro de Verificación ¿es firma o localizador?

A estas alturas de avance de la administración electrónica la utilización del término CSV (código seguro de verificación) es habitual, ya no es extravagante y puede considerarse parte de la jerga electro-administrativa. Partiendo de dicha premisa, así como de la percepción de su existencia y apariencia, traigo a debate una cuestión que me plantearon hace diez años en una Administración Vasca, relativa a la naturaleza de propio CSV y su diferencia con los localizadores.

Siguiendo la regulación que establece este concepto de forma descendente, el CSV encuentra su sustento en el artículo 42 de la Ley 40/2015 que se denomina “Sistemas de firma para la actuación administrativa automatizada” debiendo destacar estos dos elementos que supuestamente lo definen:

1º.- Ser un sistema de firma, suponiendo que será electrónica

2º.- Servir para la actuación administrativa automatizada, es decir, aquella en la que no haya intervenido de forma directa un empleado público (artículo 41 de la Ley 40/2015).

Añadiéndose, que el mismo debe estar “vinculado a la Administración Pública, órgano, organismo público o entidad de Derecho Público, en los términos y condiciones establecidos, permitiéndose en todo caso la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente“. Esta redacción no causó especial repercusión, dado que repetía lo expresado en el artículo 18 de la derogada Ley 11/2007, pero tampoco resolvía el debate que subyacía entre todos aquellos que habían optado por su utilización: era un sistema de firma electrónica en tramites automatizados, que garantizaba la integridad de un documento no teniendo como objeto ser un localizador documental.

Esta percepción de ser un elemento de firma electrónica no era impeditivo respecto a los sistemas de firma del EIDAS, pero de una forma evidente chocaba con la utilidad más habitual que se le otorgaba, ser un localizador electrónico documental, planteándose además que al poder utilizarse sólo en el ámbito automatizado no podría incluirse en trámites de la administración en los que una persona física actuase, considerando además, que de ser así, se estaría incluyendo la firma electrónica del firmante persona física cuando el documento ya se encontraba firmado, rompiendo la integridad del CSV.

Esta dicotomía más o menos se mantuvo, considerando los más entendidos que el localizador de un documento electrónico no era un CSV por propia definición, existiendo una diferencia en su propia esencia-jurídica que no en la experiencia del usuario final.

El equilibrio se resquebrajó ligeramente con la redacción del artículo 27.3 de la Ley 39/2015 que indica, respecto a la validez y eficacia de las copias realizadas por las Administraciones Públicas, “a estos efectos, las Administraciones harán públicos, a través de la sede electrónica correspondiente, los códigos seguros de verificación u otro sistema de verificación utilizado“, dejando en un segundo plano su naturaleza de firma electrónica en tramites automatizados que debiera regir el uso y fin del CSV.

¿Ha aportado novedad y claridad al respecto el RD 203/2021? Ha aportado más material para el debate. Comenzando desde el Anexo del RD, se realiza una definición del CSV indicando:

Código Seguro de Verificación (CSV): Código que identifica a un documento electrónico y cuya finalidad es garantizar el origen e integridad de los documentos mediante el acceso a la sede electrónica correspondiente; el carácter único del código generado para cada documento; su vinculación con el documento generado, de forma que cualquier modificación del documento generado dará lugar a un nuevo documento con un código seguro de verificación diferente; la posibilidad de verificar el documento en la sede electrónica como mínimo por el tiempo que se establezca en la resolución que autorice la aplicación de este procedimiento; así como un acceso al documento restringido a quien disponga del código seguro de verificación

De su lectura puede destacarse que ni se menciona nada sobre la firma electrónica ni sobre los procedimientos automatizados. Es cierto que su descripción no es descabellada, siendo comprensible y encaja bastante bien con la dinámica de tramitación electrónica, pero no por ello nos clarifica su naturaleza administrativa. Volviendo al texto general del RD, los artículos 20 y 21 insisten nuevamente en su naturaleza de firma en procesos automatizados, fundamentando su alcance y existencia en el artículo 42 de la Ley 40/2015 antes mencionado. Es más, el artículo 21 insiste en su naturaleza explicando el sistema de firma basados en código seguro de verificación para la actuación administrativa automatizada .

Para añadir un poco más confusión, el artículo 52 y 62 nos hablan de una “dirección electrónica o localizador que dé acceso al expediente electrónico puesto a disposición de la primera equivaldrá a la remisión del mismo, siempre que se garantice la integridad del acceso a lo largo del tiempo” como sistemas que nos permite poner a disposición de otra Administración, interesado o a la misma Administración un documento electrónico.

Si el lector ha tenido la paciencia de llegar hasta aquí sin desistir, en primer lugar, mi enhorabuena y agradecimiento, pero en segundo lugar ¿a dónde quiero llegar?¿qué más da que sea localizador, CSV o numerito secuencial? En la propia validez e integridad del documento.

Si estamos en lo correcto el CSV debería utilizarse sólo en procesos automatizados como sistema de firma electrónica. ¿puede firmarse un documento que ya contenga un CSV, si el mismo es la propia firma? Si una segunda firma electrónica se incorporase, la integridad se hubiera perdido dado que al colocar una nueva firma el documento hubiera variado. Si fuese un localizador sería indiferente, dado que el localizador únicamente apunta a la ubicación de un documento dentro de un expediente. Por otra parte, si una administración tuviese que regular su CSV ¿debería vincularlo o desarrollarlo a través de su política de firma electrónica? O ¿mediante la política de documento electrónico?. Y por último, si un documento de tramitación no automatizada contuviera un CSV ¿sería válido o estaría extralimitándose respecto al alcance del 42 de la Ley 40/2015? Os dejo estas preguntas por si nos sirve para el debate.

El DNI del empleado público en la e-administración

Recientemente se han publicado dos dictámenes de los órganos de control en protección de datos relativos al uso y plasmación en los documentos de producción administrativa del número del Documento Nacional de Identidad del empleado público firmante. Los dictámenes a los que me refiero son los publicados por la AVPD y por la AEPD.

Resumidamente, el objeto de debate se plantea en la siguiente secuencia: cuando un empleado público utiliza su certificado electrónico profesional (la tarjeta con el chip dorado) en la tramitación electrónica y al finalizar un documento lo firma, el sistema captura los datos incluidos en la tarjeta -entre dichos datos el número de DNI- y lo incrusta en el documento electrónico.

Habitualmente esa plasmación hace que el número del DNI del firmante sea visible tanto, en el formato electrónico, como en su impresión en papel, generando la consiguiente inquietud al firmante por esa difusión de un dato a los interesados del procedimiento que incluso puede ser más sangrante si dicho documento se publica o es accesible por la Ley 19/2013 de transparencia.

La Agencia Española en diferentes documentos ya se había posicionado respecto a extralimitación que suponía la inclusión del dni en dichos documentos y por tanto, una supuesta vulneración del principio de minimización. Que recuerde, se incluía en la guía de entidades locales que indicaba:

Por consiguiente, la incorporación, tanto en la firma de los documentos electrónicos o en papel como en la marca de agua, del dato relativo al DNI del funcionario firmante podría constituir un tratamiento excesivo y, en consecuencia, contrario al principio de minimización de datos del artículo 5 del RGPD

Y se incluía de una forma más tímida, respecto a la publicación de dicho dato por transparencia en el Informe conjunto entre la AEPD y el CTBG, en el ámbito manuscrito, indicando que:

“... su publicidad debe ponderarse en atención al interés público que hubiera en su divulgación y a los derechos de los titulares de los datos”

Partiendo de estas consideraciones previas, la lectura de los dictámenes comentados llega a la misma conclusión pero plantean soluciones diferentes respecto a cómo solucionar la inclusión del DNI en los documentos electrónicos. Así la AEPD concluye que:

debe “modificarse en este sentido la normativa nacional reguladora del uso de la firma electrónica en el ámbito de los certificados emitidos para el personal al servicio de la Administración General del Estado y de sus organismos públicos vinculados o dependientes. En este contexto, sería igualmente deseable la adopción de un perfil de certificado con seudónimo común

Por el contrario, la AVPD indica que:

Sin perjuicio de que la incorporación del número de DNI en los certificados de empleado público esté ajustada a derecho, la revelación o descubrimiento de dicho dato personal del empleado público con motivo de la firma electrónica de sus actuaciones no resulta ponderada debido a la pérdida de confidencialidad que supone

La conclusión de la AEPD es mucho más arriesgada que la de la AVPD, dado que la primera exige una modificación de la normativa para poder solventar el problema, pero por el contrario, la AVPD en una interpretación -más ponderada- reconoce la necesidad de no incluir el dni pero no indica que deba modificarse la legislación.

En mi opinión, no es necesario imperativamente modificar la legislación dado que si hubiese una norma -sustentada en último término en una ley- que obligase a incorporar el número de dni en un documento electrónico desmontaría el argumento de la AEPD al existir una base legal. La AEPD se extralimitaría si le indica al legislador lo que debe legislar. Por otra parte, el hecho de incluir el número del dni en el certificado electrónico puede solventarse por dos vías, como es su sustitución por un seudónimo custodiado por el Prestador de Servicios de Confianza o por su no captación e incorporación en el documento electrónico. Por eso me parece más razonable la solución de la AVPD

Añadido a lo anterior, tendríamos que valorar cómo afectaría la eliminación del número del dni en los certificados de los empleados públicos respecto a los sistemas de interoperabilidad sustentados en la identificación exacta de los empleados públicos, pero creo que eso da para un post independiente.

Dicho esto, y por si hay algún oyente influyente en el ámbito de la abogacía, nuestra tarjeta profesional ACA adolece de los mismos defectos, proponiendo que la solución que se adopte para los empleados públicos pudiera ser igualmente aplicable a nuestros escritos y trámites electrónicos, dado que se quiera o no, nuestros sistemas pecan de los mismos defectos.

La comunicación electrónica: Todo un misterio.

Siguiendo los comentarios al RD 203/2021, voy a dedicar una reseña a la comunicación electrónica que siempre me ha parecido el hermano menor de los sistemas, en cuanto a su pobre regulación respecto a las relaciones electrónicas con la ciudadanía. La comunicación electrónica discurre en un ámbito difuso tanto en su alcance, naturaleza y requisitos, viéndome obligado a circunscribirlo al ámbito del Procedimiento administrativo, ya que analizarlo en otras actividades públicas como en la transparencia, la publicidad institucional, las redes sociales u otros sistemas de difusión me supondría una teoría más sólida y por supuesto, más horas de estudio.

Limitando ese alcance, el RD 203/2021 profundiza sobre las tres vías por las que la Administración se relaciona con los interesados, en su sección 2ª del Capítulo III denominado comunicaciones y notificaciones electrónicas: el aviso, la notificación y la comunicación, aglutinando, en cada una de ellas, diferentes canales mediante los cuales puede ejecutarse indistintamente.

Así, el aviso electrónico puede realizarse mediante remisión “al dispositivo electrónico o la dirección de correo electrónico” (artículo 43 RD 203/2021), incluyendo dentro de este concepto toda una panoplia de posibilidades como el email, un WhatsApp, una llamada telefónica (es un dispositivo electrónico), un sms o un hangout. Se configura tan abierto en sus canales como inconsistente y prescindible, dado que su naturaleza se encuentra cercana a la mera cortesía, y su error o no emisión, no conlleva consecuencias jurídicas. Es el paradigma de lo insulso, aun cuando en la práctica es la pieza angular de las notificaciones.

En el extremo contrario se encuentra la notificación, centrándome en la electrónica, siendo la piedra de toque que sustenta el procedimiento administrativo y sin una correcta ejecución pudiera decaer la tramitación realizada. Su práctica y los canales utilizables son muy restrictivos, limitándose a dos: la Dirección electrónica Habilitada Única y/o la Sede Electrónica. Cualquiera de ambos canales se encuentran muy regulados normativamente y securizados, tanto en cuanto a la identificación/autenticación de los accesos así como al intercambio de la información. El proceso de la notificación es reglado, obligatorio y no puede dejarse a la improvisación, aun cuando sigo opinando que, como interesado, la notificación sin el aviso electrónico se convierte en una endeble solución.

Por último – y objeto del post-, entre ambos nos encontramos las comunicaciones, término que, al ser de uso común, se emplea de forma prolija y diferente en la Ley 39/2015, pero que en el artículo 69.2 se despacha con un “a los efectos de esta Ley, se entenderá por comunicación aquel documento mediante el que los interesados ponen en conocimiento de la Administración Pública competente sus datos identificativos o cualquier otro dato relevante para el inicio de una actividad o el ejercicio de un derecho“. Esta reducción de la comunicación y con efectos en toda la Ley 39/2015, encaja únicamente a las realizadas por el interesado remitiendo a la Administración datos relevantes con el ejercicio de un derecho o una actividad, no cubre los diferentes tipos de comunicaciones que se encuentran en la propia Ley, debiendo someterse a muchas matizaciones e interpretaciones para darle un sentido coherente con su utilización generalizada a lo largo de la ley como del RD 203/2021 indicado.

El RD 203/2021 rescata (ya lo recogía la Ley 11/2007) de forma oficial el concepto de comunicación electrónica en su artículo 41.1 indicando de forma solemne que “cuando de acuerdo con lo previsto en el artículo 14 de la Ley 39/2015, de 1 de octubre, la relación de las personas interesadas con las Administraciones Públicas deba realizarse por medios electrónicos, serán objeto de comunicación al interesado por medios electrónicos, al menos…“. La primera impresión es que ésta comunicación no coincide con la descrita arriba del artículo 69.2 de la Ley 39/205: mal comienzo. Por otra parte, tampoco indica qué es dicha comunicación, ni por qué medios se practica: ¿se admiten los medios del aviso o deben utilizarse los canales de la notificación electrónica? Tampoco indica nada sobre su naturaleza ni se percibe el grado de importancia y valor de las mismas. Esta redacción parece más cercana al artículo 21.4, 22 y 32 de la Ley 39/2015 en la que se utiliza el concepto de informar a los interesados en la web de los plazos, procedimientos y efectos del silencio, comunicaciones por pronunciamientos previos, preceptivos, suspensiones y un conjunto de situaciones regladas. Todo ello evitando utilizar el concepto de notificación por las consecuencias jurídicas que pudieran derivarse.

Por tanto, la comunicación electrónica, en cuanto a su aplicación práctica, se queda en tierra de nadie, y supongo que serán los sistemas de cada Administración los que determinarán qué canal electrónico puede utilizarse para comunicar, qué seguridad se aplicarán a los mismos, cuáles son los punto habilitados para comunicar y qué cómputos o plazos deben contarse en las comunicaciones, si los tienen, o si se produce el rechazo en un plazo determinado como en la notificación. Es de suponer que se aplicará la solución más garantista para la ciudadanía, pero no habría venido mal un poco de luz al respecto.

5 días para intercambiar de canal

Como seguimos debatiendo sobre el RD 203/2021 traigo otro tema que me ha causado sorpresa y sobre el que entro sin más preámbulos. El artículo 3.2 del mismo indica lo siguiente:

2. Las personas físicas no obligadas a relacionarse a través de medios electrónicos con las Administraciones Públicas podrán ejercitar su derecho a relacionarse electrónicamente con la Administración Pública de que se trate al inicio del procedimiento y, a tal efecto, lo comunicarán al órgano competente para la tramitación del mismo de forma que este pueda tener constancia de dicha decisión. La voluntad de relacionarse electrónicamente o, en su caso, de dejar de hacerlo cuando ya se había optado anteriormente por ello, podrá realizarse en una fase posterior del procedimiento, si bien deberá comunicarse a dicho órgano de forma que quede constancia de la misma. En ambos casos, los efectos de la comunicación se producirán a partir del quinto día hábil siguiente a aquel en que el órgano competente para tramitar el procedimiento haya tenido constancia de la misma.

Para comprenderlo mejor he tratado de circunscribirlo a la realidad que plantea con el fin de encontrar sentido a dicha exposición.

En primer lugar, se requiere de una personas física no obligada a relacionarse a través de medios electrónicos. Este individuo podrá haber manifestado anteriormente su voluntad de relacionarse electrónicamente o igual jamás ha accedido a una plataforma electrónica, pero parece que el planteamiento prevé las dos opciones.

En segundo lugar, se requiere un procedimiento administrativo; si se inicia por el propio interesado supongo que se le permitirá elegir el canal de comunicación, si es de oficio quiero suponer que en la primera notificación podrá también elegir el canal.

En tercer lugar, se plantea que si la voluntad de cambio de canal se produce durante el procedimiento deberá hacerse de forma que deje constancia de dicha voluntad.

Hasta aquí parece todo en orden, y ahora, en el cuarto criterio, es dónde el caos entra en mi mente: “En ambos casos (¿cuáles? ¿la comunicación de cambio al principio así como la realizada durante el procedimiento? o ¿la voluntad de relacionarse electrónicamente o dejar de hacerlo? los efectos de la comunicación se producirán a partir del quinto día hábil …”

Expresada mi confusión trato de compartirla y desmenuzarla.

Si es al inicio y durante el procedimiento quiere decir que el decalaje de los 5 días hábiles se produce en todo supuesto, siendo ciertamente una barbaridad. No podría comprender que si inicio un trámite electrónico, dentro de la sede electrónica de una administración, controlada e interconectada, en el que la gestión de la información por la administración es inmediata ¿Qué sentido tendría demorarlo cinco días desde que inicio un trámite? Si, por otra parte, se produjese ante un procedimiento iniciado de oficio, el interesado únicamente podrá expresarse una vez se produzca la primera notificación, pudiendo superponerse dichos plazos con los diez días naturales de rechazo del artículo 43 de la Ley 39/2015, generando una situación inexplicable sobre cuáles son los efectos de una comparecencia espontanea en sede electrónica el día 7 de su puesta a disposición respecto a la manifestación en dicho acto de cambio de canal que causa efectos a partir del 5 día hábil.

Si, por el contrario, la interpretación del cómputo del 5 día hábil sólo se produce en el ámbito del trascurso de un procedimiento, no al inicio, esta dinámica absorbería los problemas que genere lo expresado sobre la notificación, además de cualquier computo relativo a recursos.

Por otra parte, este sistema ¿Cómo conjuga con el artículo 12 de la Ley 39/2015 en el que se le asiste al interesado que no puede utilizar medios electrónicos? ¿es un cambio de canal? ¿El funcionario le debe indicar que su tramitación causará efectos dentro de 5 días? y ¿Qué ocurre si el interesado utiliza un abogado -obligado a relacionarse electrónicamente? ¿producirá efectos desde la representación o habrá que contar otros 5 días hábiles por utilizar un medio electrónico? Si no se contasen los 5 días hábiles en estos dos supuestos propuestos se habría dejado una puerta trasera a dicho cómputo que sólo puede ir en perjuicio de la Administración, ya que gestionar los diferentes cómputos puede convertir la gestión de expedientes en una autentica locura, pero quiero suponer que dicha redacción trata de solventar un problema mayor que no logro vislumbrar.

Además de lo anterior, en un mundo tecnológico ¿porqué establecemos 5 días hábiles para que un clik en una aplicación cause efectos? ¿no podría haberse indicado que esa demora se produce únicamente en las comunicaciones que se realicen en comunicaciones no electrónicas manifestando el cambio de canal?

Procuramos evangelizar sobre las ventajas de la e-administración pero estas pequeñas manías sobreprotectoras a la Administración, ni son vendibles socialmente ni suelen gestionarse bien por causar más problemas que evitar los inconvenientes que prevén. Espero que su interpretación sean más acorde, coordinada y comprensible que la que he descrito en este post.

El SIR: de la colaboración a la coordinación

Siguiendo con los comentarios al RD 203/2021, me parece de interés detenerse en el artículo 60.2, dedicado al Sistema de interconexión de Registros (SIR) cuyo contenido se expresa en los siguientes términos:

2. Las interconexiones entre Registros de las Administraciones Públicas deberán realizarse a través del Sistema de Interconexión de Registros (SIR) gestionado por el Ministerio de Asuntos Económicos y Transformación Digital en colaboración con el Ministerio de Política Territorial y Función Pública de acuerdo con lo previsto en el Esquema Nacional de Interoperabilidad y en la correspondiente Norma Técnica.

El elemento a detenerse y reflexionar versa en el término subrayado, y en el que nos fijamos tanto los juristas: la inclusión en un texto con efectos jurídicos del verbo deber frente al poder. El uso de uno u otro debe encontrarse perfectamente sustentando -en el ámbito del derecho administrativo sobre todo- en el complejo sistema competencial que deriva de nuestro modelo Territorial, sin valorar si es mejor o peor técnica u organizativamente, simplemente si encaja en nuestro entramado normativo, dado que aunque poca gente lo crea, aspiramos a que se nos considere ciencia, la ciencia jurídica, pudiendo predecir los desarrollos y la consecuencias jurídicas.

En esta búsqueda de la razón, vamos a analizar dónde encajar este denominado SIR. En primer lugar, el artículo 60.2 descrito se encuentra dentro del bloque de artículos básicos según la DF Primera, debiendo ser aplicable a todas las Administraciones Públicas, por tanto, debiera encontrar su sustento en algún artículo de una Ley básica. Siguiendo esa lógica, puede afirmarse que el SIR, como tal, no viene contemplado expresamente en ninguna normativa básica, siendo los textos más cercanos al SIR una suerte de palabras incluidas en el artículo 16.1 y 4 de la Ley 39/2015 que indican respectivamente :

Los Organismos públicos vinculados o dependientes de cada Administración podrán disponer de su propio registro electrónico plenamente interoperable e interconectado con el Registro Electrónico General de la Administración de la que depende

“Los registros electrónicos de todas y cada una de las Administraciones, deberán ser plenamente interoperables, de modo que se garantice su compatibilidad informática e interconexión, así como la transmisión telemática de los asientos registrales y de los documentos que se presenten en cualquiera de los registros”

Como puede comprobarse de la lectura de los anteriores párrafos no parece establecerse una estructura jerarquizada en las interconexiones ya que el objetivo es la obligación de la interconexión no el modo en el que se ejecuta, pudiendo realizarse en forma de árbol o mallada, dado que de la lectura de la Ley nada impide que, por ejemplo, el Ayuntamiento 1 de una Provincia no pueda interconectarse con el Ayuntamiento 2 de la misma, vecinos y colaboradores en una plataforma propia desarrollada por su Diputación Provincial, siguiendo el modelo del artículo 36.1 de la LBRL (entre otros), y sin utilizar el SIR de la Administración General del Estado.

Siguiendo nuestra búsqueda, tampoco se encuentra en la Ley 40/2015 manifestación alguna como para determinar si se establece un modelo obligatorio o convenial de interconexión de registros, pero si se me permite, su tímida y posible regulación debería desarrollarse a través del CAPÍTULO IV. Relaciones electrónicas entre las Administraciones de la Ley 40/2015, mediante la remisión genérica del artículo 156, y todavía de forma indirecta, remitiéndonos a la DA Primera del ENI, en su apartado k) dedicado a la Norma Técnica de Modelo de Datos para el intercambio de asientos entre las Entidades Registrales. Como puede advertirse, lo elucubrado consiste más de un esfuerzo mental por encontrarle acomodo a un término inexistente, que en describir una realidad previa y reconocible. Debe indicarse también que es el camino marcado por el propio artículo 60.2 comentado.

Si el camino argumental seguido es el correcto, debe recordarse el inicial carácter cooperativo del ENI recogido en su propia exposición de motivos, en el que la interoperabilidad se producía entre iguales, no en una estructura descendente Estatal en el que coordina su propia competencia entre diferentes. Tal es así, que la derogada Ley 11/2007 incorporaba el ENI dentro de su Capítulo II dedicada a la cooperación entre Administraciones Públicas.

La interoperabilidad se recoge dentro del principio de cooperación en el artículo 4 y tiene un protagonismo singular en el título cuarto dedicado a la Cooperación entre Administraciones para el impulso de la administración electrónica

Pero a más a más, la NTI de Interoperabilidad de Modelo de Datos para el Intercambio de asientos entre las entidades registrales basaba el sistema de intercambio no en una Red única y obligatoria en el que se produjesen los intercambios, si no en la homologación de todos los Registros Electrónicos en el estándar SICRES para que todos tuviesen una estructura equivalente, sin preocuparle en demasía la regulación del Sistema de Interconexión.

Por último, si el SIR no se fundamentase en la cooperación y sí en la coordinación ¿porqué motivo se ha expresado el principio de cooperación en los Convenios firmados entre la Administración General del Estado y el resto de Administraciones en los que se ofrecía el Servicio de Sistema de interconexión de registros?

Posiblemente en la práctica el resultado final de este cambio de acomodo relacional no tenga ninguna repercusión ni para los usuarios finales, ni para la infraestructura tecnológica ni respecto a la implantación actual, pero desde el plano jurídico la obligatoriedad de interconexión al SIR estatal genera un tipo de respuesta diferente ante cualquier problema que pudiera producirse en el futuro respecto a su modificación, gestión, funcionamiento y, por supuesto, responsabilidad.

La Dirección Electrónica Habilitada Única en el RD 203/21

Seguramente el nuevo RD 203/2021 tiene contenido para diversos y jugosos debates, pero personalmente desde su publicación hay un elemento que poderosamente ha llamado mi atención: la DEHU. Para facilitar al lector su encaje y alcance normativo debemos acudir a la fuente creadora que se encuentra en el artículo 43.1 de la Ley 39/2015, indicando en el ámbito de la notificación lo siguiente:

1. Las notificaciones por medios electrónicos se practicarán mediante comparecencia en la sede electrónica de la Administración u Organismo actuante, a través de la dirección electrónica habilitada única o mediante ambos sistemas, según disponga cada Administración u Organismo.

Este artículo aparentemente inocuo, en el que dejaba a cada Administración elegir el método de notificación electrónica, ganaba en fuerza al sumarle el contenido del artículo 14 de la misma norma, el cual establecía un listado de interesados los cuales debían tramitar electrónicamente; el binomio tramitación obligatoria electrónica y notificación electrónica convertían al sistema de notificación en la pieza angular del procedimiento administrativo, el cual podría derrumbarse sin una correcta, válida y acreditable notificación.

Ante la vaguedad de la descripción del DEHU gran parte de las AAPP volcaron sus esfuerzos en realizar las notificaciones mediante el sistema de comparecencia en sede electrónica, considerando además, que el gran problema no se producía tanto en la elección de los dos sistemas sino en la ineficacia intrínseca del propio sistema por la posible falta de conocimiento de aquellos interesados obligados a tramitar electrónicamente tenían, por desconocer la existencia de una notificación en una de las plataformas electrónicas de las más de 8.000 Administraciones que coexisten en toda España.

Este problema fue el gran debate durante los últimos cinco años y que, con grandes dosis de imaginación nadie era capaz de establecer una solución coherente y consensuada, sobre todo considerando nuestro sistema de reparto competencial. Tanto era así que, en el FJ 10 de la STC 55/2018 se planteaban dudas respecto a una hipotética invasión competencial en la creación por el Estado de un PAGE centralizado, manifestando el Tribunal que la Ley 39/2015 no planteaba esa posibilidad y que cualquier desarrollo normativo en dicha dirección cabrían “plantear los recursos o conflictos correspondientes dentro de la jurisdicción contencioso-administrativa o ante este Tribunal“.

Expuesta la situación de partida, analizamos el artículo 44 del RD 203/21 sobre la DEHU.

En primer lugar, entrega la gestión de la DEHU a un Ministerio concreto de AGE. Siendo un artículo de los denominados básicos

En segundo lugar, aloja el DEHU en el PAGE de la AGE. Ciertamente no se crea un PAGE único -como se barruntaba en la STC 55/2018 comentada-, sino que al incluirlo en el mismo realmente ha conseguido esa exclusividad sin indicarlo.

En tercer lugar, y aquí viene el párrafo de la discordia, trascribo literalmente para evitar previas deformaciones:

La adhesión a la Dirección Electrónica Habilitada única se realizará en los términos previstos en el artículo 65.
Todas las Administraciones Públicas y sus organismos públicos y entidades de derecho público vinculados o dependientes colaborarán para establecer sistemas interoperables que permitan que las personas físicas y jurídicas puedan acceder a todas sus notificaciones a través de la Dirección Electrónica Habilitada única, tal como establece el artículo 43 de la Ley 39/2015, de 1 de octubre.
Esta previsión será aplicable con independencia de cuál sea la Administración que practica la notificación y si las notificaciones se han practicado en papel o por medios electrónicos.

La conjunción de estas tres previsiones me genera la duda de si la DEHU será única y exclusiva de la AGE, si podrá ser creado otro/otros por el resto de Administraciones y si todas las Administraciones deben comunicar al PAGE todas las notificaciones de toda su ciudadanía, generando un punto centralizado y unificado de toda notificación de un procedimiento administrativo electrónico o papel que se produzca en cualquier administración de todo el Estado.

Es posible que sea todo fruto de una interpretación sesgada y que posiblemente su implementación real no sea como la he expuesto, pero me genera una duda razonable sobre su creación, gestión, tratamiento, legalidad y legitimación en Protección de datos, como gran hermano que ofrece una visión completa aunque simplificada de todas las notificaciones que pueda tener un ciudadano albergado en única Administración, respecto a la invasión competencial e incluso, como creador de un punto de notificación obligatorio, cuasi-DNI desde la perspectiva de la notificación sin un respaldo normativo suficiente y robusto. Tampoco le niego su posible bondad dado que el actual sistema fragmentado genera indefensión al ciudadano, pero no es menos cierto que tal y como menciona el TC la interoperabilidad ofrece un innegable sistema de colaboración entre iguales, basado en “una amplia regulación estatal, adoptada con participación del conjunto de las administraciones públicas y aplicable a todas ellas“. Por ello, pudiera ser igualmente válido (como se produce en el resto de elementos de la administración electrónica) que cada Administración genere su propio DEHA y que todos los DEHA´s sean interoperables, eligiendo cada ciudadano el concreto DEHA por el que recibir todas sus notificaciones por usabilidad, cercanía, comodidad o afinidad.

Este es un ejemplo palpable de la constante crítica doctrinal sobre el peligro de las infra-normas. Seguro que este DEHU nos da muchas horas de buen debate.

Ley de simplificación administrativa Aragonesa y el Blockchain

Recibo noticia por parte de un gran profesional en administración electrónica, comprobando su alcance, en diferentes noticias electrónicas, en las que se recoge con júbilo la aprobación por las Cortes de Aragón de una Ley -Ley de Simplificación Administrativa- en la que aprueba en este ámbito el uso del blockchain. Las noticias llegan a indicar que se “regula la primera Identidad Digital Blockchain mundial” por parte de las Cortes de Aragón.

Para comprender el trasfondo del debate, deben traerse como materiales de análisis la Ley 39/2015 y el RDL 14/2019, considerando que el segundo modificó y puntualizó -entre otros aspectos- la utilización del blockchain en el ámbito de la administración electrónica. En concreto, manifestó en su Exposición de motivos y luego en su texto:

El artículo 3 del presente real decreto-ley incorpora una disposición adicional sexta a la Ley 39/2015, de 1 de octubre, que prevé que en las relaciones de los interesados con las Administraciones Públicas no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificaciones basados en tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea“.

Efectivamente de la lectura anterior se extrae como conclusión la existencia de una prohibición absoluta hasta que no sea regulado e blockchain específicamente por el Estado, y hasta dónde llega mi conocimiento nada ha acontecido al respecto. ¿Está vulnerado la Ley Aragonesa dicha prohibición? Leyendo los titulares de las webs especializadas podría dar lugar a dicha confusión, pero yendo a la fuente la conclusión puede diferir, dado que puede leerse lo siguiente:

Artículo 51.— Sistemas de identificación y firma en la sede electrónica y sedes asociadas.

  1. La sede electrónica y sedes asociadas de la Administración de la Comunidad Autónoma de Aragón utilizarán como plataforma de identificación y firma de los usuarios Cl@ve, plataforma de identificación y firma electrónica utilizada por la Administración General del Estado, o un sistema equivalente, garantizando de esta manera la identificación y firma mediante certificado electrónico reconocido conforme a lo establecido en los artículos 9 y 10 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. En particular, podrán considerarse sistemas equivalentes de identificación y firma los basados en un registro distribuido de atributos de identidad aceptados por el órgano administrativo ante el que el interesado pretenda identificarse, de conformidad con lo establecido en la normativa estatal sobre procedimiento administrativo.
  2. La sede electrónica y sedes asociadas podrán utilizar sistemas de identificación o firma adicionales basados en clave concertada, siempre y cuando se realice un registro previo de los usuarios que permita acreditar su identidad, conforme a lo dispuesto en la legislación básica, a solicitud del departamento competente en materia de administración electrónica.
  3. Los departamentos y organismos públicos adoptarán las medidas necesarias para facilitar la obtención de Clave permanente por parte de las personas interesadas en la relación electrónica con la Administración, procurando reducir la brecha digital favoreciendo el acceso de todos los ciudadanos a la administración electrónica. Con esta finalidad, se constituirán de forma progresiva oficinas de registro de Clave permanente en las oficinas de asistencia en materia de registro, en unidades de registro, en centros educativos y sanitarios y en aquellos otros puntos de atención a la ciudadanía existentes en el territorio.
  4. El uso de la firma biométrica se contemplará como sistema de firma válido para la supresión del papel en los tramites presenciales, en el marco establecido en el artículo 10.1.c) de la Ley 39/2015, de 1 de octubre.
  5. La acreditación por los interesados de atributos de identidad diferentes a su nombre y apellidos o denominación o razón social, según corresponda, podrá realizarse a través de cualesquiera de los sistemas de identificación y firma previstos en esta ley o en la normativa básica estatal.

Artículo 52.— Utilización de registros distribuidos.

  1. Podrán utilizarse sistemas electrónicos de registro distribuido para asegurar la aportación, acreditación e integridad de los datos y documentos en cualquier expediente, procedimiento o registro, sin perjuicio de lo establecido en el artículo anterior respecto de identificación y firma.
  2. Podrán también utilizarse sistemas electrónicos de registro distribuido, con plena validez legal, para la realización de tramitación administrativa automatizada conforme a la normativa básica estatal y, en particular, en cualesquiera procedimientos de contratación pública.
  3. A los efectos establecidos en esta ley, tendrá la consideración de sistema electrónico de registro distribuido el que permita el almacenamiento de la información, o su representación digital mediante huella electrónica, de manera permanente, simultánea y sucesiva en una base de datos distribuida, de manera que quede garantizada la inmutabilidad de dicha información y se permita la auditoria de su integridad.

Parece que la normativa aragonesa no ha realizado ese salto al vacío, sino que prevé anticipadamente la posibilidad de utilizar esos sistemas de registros distribuidos una vez hayan sido regulados y autorizados por la normativa básica estatal. Siento ser el eterno aguafiestas de la ilusión electrónica, pero compruebo que los demás suelen ser tan cautelosos como el firmante.

La limitación de los derechos RGPD por las Administraciones Públicas

Desde la publicación del RGPD siempre he mantenido una relación ambivalente con el artículo 23 del RGPD dado que su texto contempla la posibilidad de excepcionar los derechos y obligaciones en materia de protección de datos a través de medidas legislativa que afecten a una serie de materias que, sea dicho de paso, son difusas, indeterminadas y de difícil concreción. Es importante volver a releer el comienzo de dicho artículo para comentarlo mejor:

El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar: a)la seguridad del Estado;….”

Bien o mal, siempre he interpretado dicha habilitación de una forma amplia, establecida mediante la normativa general que regule, por ejemplo, la Ley de Seguridad Ciudadana, pero sin que requiriese una norma diferente o específica por cada Administración que limite tales derechos y la exposición de cómo realiza dicha limitación.

Este planteamiento se me ha visto trastocado por la publicación de tres normas, aparentemente intrascendentes en nuestro ámbito: la Decisión de la Junta Directiva de la Agencia Europea de Defensa de 24 de febrero de 2020 sobre la adopción de las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la AED, la Decisión del Consejo de Administración de la Agencia de la Unión Europea para la Cooperación de los Reguladores de la Energía de 12 de diciembre de 2019 sobre las normas internas relativas a la limitación de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco del funcionamiento de la Agencia y la reciente Decisión del Comité Director de la Agencia Ejecutiva para las Pequeñas y Medianas Empresas relativa a las normas internas sobre las limitaciones de determinados derechos de los interesados en relación con el tratamiento de datos personales en el marco de las actividades llevadas a cabo por la Agencia.

En concreto, la última Decisión indicada regula las limitaciones en las que se ampara, estableciendo unas condiciones respecto a las limitaciones muy superiores a lo que estamos acostumbrados en un norma de carácter general en el ámbito de la protección de datos:

Artículo 2 – Limitaciones aplicables

Artículo 3 – Registro de las limitaciones

Artículo 4 – Riesgos para los derechos y libertades de los interesados

Artículo 5 – Garantías y plazos de conservación

Artículo 6 – Duración de las limitaciones

Artículo 7 – Participación del delegado de protección de datos

Artículo 8 – Información al interesado sobre las limitaciones de sus derechos

Artículo 9 – Derecho de acceso del interesado

Artículo 10 – Derecho de rectificación, supresión y limitación del tratamiento

Artículo 11 – Comunicación de una violación de la seguridad de los datos personales al interesado

Artículo 12 – Confidencialidad de las comunicaciones electrónica


Estas tres normas, que se amparan en el artículo 25 del Reglamento (UE) 2018/1725 en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, desarrolla de forma más o menos pormenorizada los criterios, los límites, los fundamentos, los plazos, en que se UNA organización Europea limita tales derechos.

La reflexión que me asalta es la siguiente: Considerando los paralelismos e identidad de razón existente entre dicho artículo 25 de dicho Reglamento de las instituciones Europeas con nuestro artículo 23 del RGPD, en los supuestos que -por cualquier actividad- una Administración Pública española limite los derechos de los ciudadanos en protección de datos ¿debe aprobar una norma similar a la publicada por la Agencia Ejecutiva para las Pequeñas y Medianas empresas en la que explique cómo limitará los derechos?

Si se responde afirmativamente supondría disponer de una norma general habilitante más una norma que describa las limitaciones, debiendo realizar un importante esfuerzo adaptativo para soportar dicha aseveración. Por ahora dejémoslo como una mera reflexión.

La firma electrónica de representación y el Registro de Apoderamientos

Posiblemente los que os dedicáis a analizar la temática de la Administración electrónica os habréis preguntado cómo se relacionan estas dos realidades en el ámbito práctico: la firma electrónica de representante y el Registro electrónico de Apoderamientos (REA). Si no ha sido el caso, os planteo el debate: El REA es un registro obligatorio para todas las Administraciones Públicas impuesto desde el artículo 6 de la Ley 39/2015. No tiene que incluir todos los poderes de las personas interesadas, pero como mínimo debe incluir “los de carácter general otorgados apud acta, presencial o electrónicamente“, el resto queda al albur de la Administración que lo regule. Por otra parte, la firma electrónica regulada en el EIDAS define la identificación electrónica como “el proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica” ¿Para qué sirve entonces el REA?¿Es una duplicidad?

Para poder responder correctamente la cuestión debe acudirse a las fuentes, diferenciando la representación que se otorga entre el representante y representado (apoderado y poderdante) como la relación jurídica que establece el vínculo, el mandato siendo el contrato en el que se obligan a la realización de una actividad -siendo una de las formas posibles de establecer el vínculo de representar- y el poder otorgado – que se utiliza ambivalentemente con el concepto de facultades-, pudiendo definirse como el soporte o documento que acredita las facultades . En este entramado, la firma electrónica no es más que una acreditación por un tercero de confianza de la existencia de una representación mediante un poder. Para que el sistema fluya deben estar los tres elementos interrelacionados con coherencia, pero la normativa nos desdibuja este trasfondo por una prisa de la gestión y de lo tecnológico.

Comenzando de atrás hacia delante, puede afirmarse que la firma electrónica no confiere ningún poder sobre otro, simplemente acredita – dependiendo del tipo de e firma- una relación jurídica por la existencia de un tercero de confianza que ha debido realizar dicha comprobación (Título II Ley 6/2020). No puede contener más poderes que las facultades contenidas en el poder que lo autoriza, tanto en cantidades, trámites, tiempo o espacio, permitiendo identificarse y firmar (manifestar voluntad) por un tercero. Evidentemente, esa última facultad habilita a un increíble mundo de posibilidades, pero debe recordarse que se agotan en los propios límites de sus facultades. Este hecho plantea una duda ¿los certificados de representante incluye dichos límites? Ese aspecto debería responderlo cada Prestador de servicio de Confianza, pero parece que entra dentro de la dinámica del servicio.

Entonces ¿Para qué sirve un REA? Si bien los sistemas de firma electrónica recogen varios supuestos de representación no engloban todos los posibles: el hijo que representa a su familiar, el abogado, gestor o procurador que representa a su cliente, el incapaz representado por su tutor o el empresario que delega determinadas funciones en una asesoría. Estas representaciones no están incluidas en el soporte de un Prestador de Confianza y necesitan de una acreditación documental o de una comparecencia apud acta, electrónica o presencial que lo acredite.

Son, por tanto, dos medios no competitivos y que se complementan, dado que la representación en el ámbito electrónico debería realizarse en un sistema ideal en el que todos los registros sean interoperables e interconectados, haciendo las comprobaciones necesarias para determinar que todo es coherente.

PROTOCOLO FTP y Expediente Electrónico

Releyendo documentos y resoluciones he hallado esta interesante sentencia del Tribunal Superior de Justicia de Madrid, en su Sala de lo Contencioso, Roj STSJ M9714/2020 – en la que de forma colateral se empieza a vislumbrar la importancia de los elementos electrónicos en el ámbito de la Administración. Ciertamente, no es jurisprudencia en el sentido que la entendemos los juristas, pero trata sobre los problemas y concepciones establecidas en la Ley 39/2015 y Ley 40/2015 respecto a lo electrónico.

Con la razonable distancia y deformación de los hechos que se produce en toda descripción de una situación compleja, se dibuja una relación contractual entre una empresa adjudicataria y una Administración Pública en la que el control del servicio adjudicado se realiza mediante la toma de datos in situ por empleados públicos, ayudados por unas tablets a la que incorporan datos a unos indicadores en formato excel que finalmente almacenan en un servidor FTP de la Administración. Este repositorio de información no se encuentra vinculado con el Expediente Administrativo electrónico, y cabe suponer que tampoco con el Registro Electrónico General ni con el Archivo Electrónico. Es un supuesto interesante y habitual, ya que todos conocemos las obligaciones generales respecto a las obligaciones formales y materiales en administración electrónica (efirma, eidentificación, registro electrónico, sede electrónica…) y como habitualmente se utilizan sistemas paralelos menos rigurosos.

En este debate, el TSJ no cuestiona la validez del FTP, pero sí su eficacia si no se encuentra incluido dentro del Expediente Administrativo, en los siguientes términos:
Por todo ello esta Sala- no cuestiona que -con carácter general- no resulte válida como fundamento último de las deducciones la constancia en la FTP de los datos que el Ayuntamiento dice que constan, expresando todas las inspecciones realizadas para cada uno de los indicadores, con expresión del objetivo, fórmula de cálculo, método de medida, periodicidad, fecha de las inspecciones, código del distrito en el que se realiza la inspección, nombre del distrito en el que se realiza la inspección, código del barrio, nombre del barrio, clase vial- nombre vial-calificador número -número, ID padre ( número de identificación del conjunto de inspecciones ), I1,I2, etc…( número de identificación de la primera y sucesivas inspecciones) Código del inspector que realiza las inspecciones, resultado de las inspecciones, fotografías en los casos en que lo exijan los Pliegos ( o el Ayuntamiento se haya comprometido a realizarlas y aportarlas) y demás datos necesarios que sirvan de base para justificar los descuentos realizados, siendo lo que apreciamos en este caso que ni la FTP ni los datos que se supone ésta contiene y en los que se fundamentan las deducciones figuran en el expediente administrativo, de hecho, es lo cierto que en el expediente administrativo aportado por la propia Administración no se contiene ni un solo dato que permita comprobar, adverar o probar ninguno de los hechos que motivan la detracción realizada. Entendemos, pese a reconocer que pueda no estar exento de dificultad, que en supuestos como el presente en que la contratista desde la vía administrativa cuestiona las deducciones practicadas y niega la existencia de datos suficientes en el Servidor FTP y en la información facilitada a través de éste, debe de arbitrarse un sistema para permitir que la documentación o archivos contenidos en el Servidor se “abran” , salga a la luz su contenido y se traslade físicamente al expediente, directamente o a modo de anexo , y sobre los mismos cada actor pueda dar la oportuna respuesta, y las alegaciones realizadas por cada una de las partes ( contradictorias en cuanto al contenido de los datos facilitados a través del FTP ) puedan ser comprobadas y examinadas por el juzgador mediante tal acceso directo ya que mientras que ello no sea así – como ocurre en el caso presente- no podrá afirmarse que las deducciones son correctas

Esta sentencia sin entrar en el fondo de dicho debate establece que al no haber integrado la información contenida en el FTP en el expediente administrativo electrónico, no forma parte del mismo, por mucho que haya sido tratada y visualizada la información de los indicadores que contiene el FTP por empleados públicos. Claro está que no indica que sea inválido el uso de este FTP en sistemas paralelos, pero al menos abre una luz a la necesidad de integración de los sistemas para que posteriormente tengan eficacia.

La pregunta sigue ahí: lo que está fuera de los sistemas de la administración electrónica ¿Qué grado de eficacia jurídica tiene? En mi opinión y siguiendo esta doctrina, así como la STS 122/2020 es una información válida, no afectando a la nulidad del acto pero pudiera afectar a su posible eficacia. Por tanto, parece más que recomendable que los sistemas paralelos vayan progresivamente integrándose en los generales para que podamos utilizarlos con todas las garantías.