El Decreto 42/2017 tiene por objeto establecer el régimen jurídico de autorización y uso de los sistemas de identificación y de firma electrónica de las autoridades y los empleados públicos de la Administración de la Comunidad Autónoma de Cantabria.
La Administración de la Comunidad Autónoma de Cantabria deberá dotar a las autoridades y a los empleados públicos de los sistemas de identificación y firma electrónica que los mismos precisen, tanto para el ejercicio de sus competencias por parte las autoridades, como de las funciones o tareas asignadas a los puestos de trabajo desempeñados legalmente por los empleados públicos.
DECRETO 42/2017, DE 22 DE JUNIO, POR EL QUE SE REGULA EL RÉGIMEN JURÍDICO DE LA AUTORIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA DE AUTORIDADES Y EMPLEADOS PÚBLICOS DE LA ADMINISTRACIÓN DE LA COMUNIDAD AUTÓNOMA DE CANTABRIA Y SU SECTOR PÚBLICO.
Los medios y sistemas tecnológicos y de información son elementos esenciales para el desarrollo de las misiones encomendadas a la Administración de la Comunidad Autónoma de Cantabria. Su correcta utilización permite trabajar de forma eficaz, eficiente y con un uso racional de los fondos públicos, características que facilitan la prestación de unos servicios de calidad a la ciudadanía.
Un instrumento esencial para el funcionamiento de los sistemas tecnológicos y de información es la utilización de los diferentes tipos de firma electrónica que el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, y su normativa de desarrollo, han reconocido legalmente.
Por ello, resulta necesario aprobar un marco normativo por medio del cual se regule el régimen jurídico de autorización y uso de los diferentes tipos de firma electrónica a utilizar por las autoridades y empleados públicos de la Comunidad Autónoma de Cantabria. Efectivamente, no puede ser una decisión discrecional la utilización de un tipo u otro de firma electrónica, sino que la decisión se debe adoptar desde criterios exclusivamente técnicos, y así, se incorpora a este Decreto una Guía de evaluación de la seguridad de la firma y sello electrónico, que es el instrumento técnico por medio del cual se determinará el tipo concreto y más idóneo a las funciones desarrolladas que corresponde asignar a la autoridad o empleado público.
Asimismo, por exigencia del principio de seguridad jurídica, se aprueba el régimen jurídico de derechos y obligaciones en el uso de la firma electrónica asignada por la administración autonómica por parte de las autoridades y empleados públicos. De esta forma se consigue establecer un marco normativo que asegura que todas las consecuencias derivadas de la utilización de este medio electrónico se encuentren detalladas con lo cual se garantiza la seguridad jurídica de las relaciones jurídicas derivadas de su uso.
En su virtud, a propuesta de la Consejero de Presidencia y Justicia, y previa deliberación del Consejo de Gobierno, en su reunión del día de 22 de junio de 2017, DISPONGO
Artículo 1. Objeto y ámbito de aplicación.
1. El presente Decreto tiene por objeto establecer el régimen jurídico de autorización y uso de los sistemas de identificación y de firma electrónica de las autoridades y los empleados públicos de la Administración de la Comunidad Autónoma de Cantabria, en cumplimiento de lo establecido en la legislación básica sobre el uso de medios electrónicos en las administraciones públicas, y de las previsiones del Decreto 31/2015, de 14 de mayo 
, por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria.
2. Sus previsiones serán de aplicación a la Administración de la Comunidad Autónoma de Cantabria, comprendiendo ésta, a efectos del presente Decreto, la Administración General, los organismos públicos y las entidades de derecho público vinculadas o dependientes de la misma, cuando ejerzan funciones administrativas. Quedan excluidos del ámbito de aplicación del presente decreto el Servicio Cántabro de Salud y el sector público empresarial y fundacional, sin perjuicio de lo dispuesto de la disposición adicional segunda.
Artículo 2. Tipos de sistemas de identificación y de firma electrónica para las autoridades y los empleados públicos.
1. La Administración de la Comunidad Autónoma de Cantabria deberá dotar a las autoridades y a los empleados públicos de los sistemas de identificación y firma electrónica que los mismos precisen, tanto para el ejercicio de sus competencias por parte las autoridades, como de las funciones o tareas asignadas a los puestos de trabajo desempeñados legalmente por los empleados públicos, en el marco de lo establecido en el Decreto 31/2015, de 14 de mayo , por el que se aprueba la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma de Cantabria, en el Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, y en el Real Decreto 4/2010, de 8 de enero , por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
2. Todos los sistemas de identificación y de firma electrónica deberán cumplir lo establecido en el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, y su normativa de desarrollo, y resultar adecuados a la categoría de seguridad de los sistemas de información en que se empleen.
3. Con carácter general, se dotará a las autoridades y los empleados públicos de un sistema de identificación y de firma electrónica avanzada basada en certificado cualificado, conforme a lo establecido en los artículos 26 y 28, y el Anexo I, del Reglamento (UE) n.º 910/2014.
No obstante, la Administración de la Comunidad Autónoma de Cantabria fomentará la adopción de sistemas de firma electrónica avanzada basados en certificados cualificados, así como de sistemas de firma electrónica cualificada, con la gestión centralizada de los datos de creación de firma en las condiciones previstas en el Anexo II del Reglamento (UE) n.º 910/2014.
4. Se podrá dotar a los empleados públicos, por las funciones o tareas asignadas a los puestos de trabajo desempeñados legalmente, de otros sistemas de identificación y de firma electrónica legalmente admitidos, entre otros, sistemas de clave concertada con registro previo u otros sistemas no criptográficos siempre que permitan acreditar la autenticidad de la expresión de voluntad y consentimiento del empleado público, y mecanismos de firma manuscrita biométrica para su uso en relaciones presenciales o en movilidad, en especial en los casos de inspección, supervisión y control.
Dichos mecanismos deberán garantizar, en todo caso, la confidencialidad de los datos de representación de la firma, así como la no reutilización de los mismos por parte de la Administración de la Comunidad Autónoma de Cantabria o de terceras personas, y la integridad e inalterabilidad de los datos firmados.
Artículo 3. Titularidad de los sistemas de identificación y de firma electrónica de las autoridades y los empleados públicos.
1. Los sistemas de identificación y de firma electrónica de las autoridades y los empleados públicos serán de titularidad exclusiva de la Administración de la Comunidad Autónoma de Cantabria, teniendo a todos los efectos la consideración de instrumentos de uso profesional, tanto en el ejercicio de las competencias como de las funciones o tareas asignadas a los puestos de trabajo desempeñados legalmente.
2. Sin perjuicio de lo anterior, las autoridades y los empleados públicos tendrán la consideración legal de firmantes, con los derechos y obligaciones correspondientes, en especial en relación con los certificados en que se basa la identificación y la firma electrónica avanzada o cualificada.
3. Excepcionalmente, se podrá autorizar, en la política de identificación y firma de la Administración de la Comunidad Autónoma de Cantabria, el uso voluntario de certificados cualifica- dos estrictamente personales de los que dispongan dichas personas, cuando resulte acreditado por las necesidades del servicio.
Artículo 4. Certificados cualificados para la identificación y la firma electrónica de las autoridades y los empleados públicos.
1. A los efectos de maximizar la interoperabilidad y el reconocimiento del certificado cualificado por las Administraciones Públicas españolas, se deberá exigir al prestador el cumplimiento de los requisitos exigidos en el artículo 18.4 del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, así como en la Resolución de 27 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica de Interoperabilidad de Política de Firma y Sello Electrónicos y de Certificados de la Administración.
2. Se podrán facilitar certificados cualificados de firma electrónica con seudónimo en aquellos casos en que resulten aplicables límites a la identificación de las personas firmantes de documentos, derivados de la legislación vigente. El seudónimo se instrumentará mediante el empleo de número de identificación profesional o identificador equivalente.
Los órganos judiciales y otros órganos y personas legitimadas podrán solicitar que se les revele la identidad de los firmantes con certificado cualificado con seudónimo, en los casos previstos en el artículo 11.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
3. Los certificados cualificados contendrán, además de las informaciones obligatorias previstas en el Reglamento (UE) n.º 910/2014, los atributos previstos en los epígrafes 10 y 11 del documento de Perfiles de certificados, versión 2.0, de la Política marco de firma electrónica y de certificados de la Administración General del Estado, adoptada para el ámbito de la Administración de la Comunidad Autónoma de Cantabria por Orden PRE/11/2015, de 9 de marzo , por la que se aprueba la política de firma electrónica y de certificados de la Administración de la Comunidad Autónoma de Cantabria.
Artículo 5. Expedición de certificados cualificados de identificación y firma electrónica.
1. Los certificados cualificados deberán ser adquiridos a un prestador de servicios de con- fianza debidamente autorizado para esta actividad por el organismo de supervisión, condición que se verificará mediante la consulta a la correspondiente lista de confianza, en los términos establecidos en el artículo 22 del Reglamento (UE) n.º 910/2014, y que se deberá mantener durante todo el plazo de vigencia de los certificados cualificados.
2. El prestador de servicios de confianza actuará en condición de encargado del tratamiento por cuenta de la Administración de la Comunidad Autónoma de Cantabria, en los términos establecidos en la legislación de contratos del sector público y de protección de datos de carácter personal.
3. Para la expedición de los certificados cualificados de firma electrónica, la Administración de la Comunidad Autónoma de Cantabria desarrolla la actividad de autoridad de registro, conforme a lo establecido en el Reglamento (UE) n.º 910/2014 y la legislación nacional que lo complemente, debiendo aplicar los procedimientos que al efecto establezca el prestador de servicios de confianza al que se adquieran los certificados cualificados.
4. Para la verificación de los datos personales de las autoridades y los empleados públicos a los que se deba dotar de sistemas de firma electrónica, se podrán consultar los registros de la Comunidad Autónoma de Cantabria, en especial el previsto en la legislación de empleo público, sin perjuicio de la necesidad de exigir la presencia personal, o su equivalente legal, de la persona durante el procedimiento de expedición del certificado.
Artículo 6. Reglas generales sobre el uso y autorización de sistemas de identificación y firma electrónica a las autoridades y los empleados públicos.
1. El órgano competente para la planificación y supervisión del uso de los sistemas de identificación y firma electrónica a las autoridades y los empleados públicos será la Dirección General competente en materia de administración electrónica.
Dicho órgano será también competente para la adquisición de los correspondientes certificados cualificados, así como para la gestión técnica posterior de los sistemas de identificación y firma electrónica, y los certificados cualificados.
2. La Dirección General competente en materia de función pública será la autoridad de registro de certificados de empleado público y autoridades, la cual realizará las funciones de gestión administrativa y distribución de este tipo de certificados.
La Dirección General competente en materia de función pública podrá delegar estas funciones, mediante resolución expresa del titular de ese órgano directivo, en aquellos órganos de la Administración de la Comunidad Autónoma de Cantabria, organismos públicos y entidades de derecho público vinculadas o dependientes de la misma, que por sus competencias en materia de personal se considere conveniente, en aras de una gestión más eficiente y eficaz.
3. La vigencia del sistema de identificación y firma electrónica se iniciará, de forma efectiva, en el momento de la aceptación expresa del mismo por la persona física correspondiente, y se extenderá hasta su expiración programada, sin perjuicio de la suspensión temporal del sistema.
4. La expedición del sistema de identificación y firma electrónica de empleado público y las actuaciones posteriores relativas a su gestión podrán ser objeto de anotación en el correspondiente registro de personal.
Artículo 7. Procedimiento para la autorización de sistema de identificación y firma electrónica a las autoridades y los empleados públicos.
1. La autorización del uso de los sistemas de identificación y firma electrónica a los empleados públicos se iniciará por medio de una solicitud de la Secretaría General en la que se encuentren adscritos, dirigida a la Dirección General competente en materia de función pública o el órgano directivo a quien se haya delegado las funciones de autoridad de registro de certificados de empleado público y autoridades, en la cual se especificarán las funciones o tareas asignadas al puesto de trabajo desempeñado legalmente por el empleado público a la que se acompañara el documento de información para evaluación de la seguridad de la firma y sello electrónico conforme el modelo recogido en el Anexo II de este Decreto.
Posteriormente, la Dirección general competente en materia de función pública u órgano directivo delegado, solicitara informe de evaluación a la Dirección General competente en materia de administración electrónica, el cual se emitirá con carácter vinculante de acuerdo con los criterios de evaluación establecidos en el Anexo I incorporado a este Decreto y solo para los empleados públicos y autoridades incluidos en el ámbito de aplicación de este Decreto.
Tras la emisión del informe por la Dirección General competente en materia de administración electrónica, se dictará resolución por la Dirección general competente en materia de función pública u órgano directivo delegado asignando el sistema de identificación y firma que corresponda al empleado público.
2. La autorización del uso de los sistemas de identificación y firma electrónica a las autoridades se iniciará por solicitud de la Secretaría General de la Consejería en la que se encuentren adscritos los órganos superiores y directivos de los que sean titulares, dirigida a la Dirección General competente en materia de función pública, acompañada del documento de información para evaluación de la seguridad de la firma y sello electrónico conforme el modelo recogido en el Anexo II de este Decreto.
Posteriormente, la Dirección general competente en materia de función pública, solicitara informe de evaluación a la Dirección General competente en materia de administración electrónica, el cual se emitirá con carácter vinculante de acuerdo con los criterios de evaluación establecidos en el Anexo I incorporado a este Decreto.
Tras la emisión del informe por la Dirección General competente en materia de administración electrónica, se dictará resolución por la Dirección General competente en materia de función pública asignando el sistema de identificación y firma que corresponda a la autoridad.
3. En el caso de solicitud de inicio formalizada por la Secretaría General en la que se encuentren adscritos, dirigida a la Dirección General competente en materia de función pública, en la cual se especifique que las funciones o tareas asignadas al puesto de trabajo desempe- ñado legalmente por el empleado público o las actividades de las autoridades, se encuentran comprendidas en alguna de las actividades que conforme el apartado 3.1 del Anexo I no resulta necesaria ninguna valoración de impacto, la misma se resolverá directamente por Resolución de la Dirección General competente en materia de función pública asignando el sistema de identificación y firma que corresponda legalmente.
4. Podrán asignarse varios sistemas de identificación y firma en función de los diferentes tipos de actuaciones administrativas que deba realizar el empleado público o autoridades.
Artículo 8. Publicidad de los sistemas de identificación y firma electrónica de las autoridades y los empleados públicos.
1. Con pleno respeto a lo establecido en la legislación de protección de datos de carácter personal, la Secretaría General de cada Consejería podrá dar publicidad al sistema de identificación y de firma electrónica de cada persona cuando sea preciso para dar cumplimiento a lo establecido en la legislación de procedimiento administrativo común y régimen jurídico del sector público.
2. En todo caso, se dará publicidad a los sistemas de firma electrónica de las autoridades que actúen con la condición de órgano administrativo, así como a los miembros de los órganos colegiados.
3. La publicidad prevista en los apartados anteriores se podrá realizar con carácter general, a través de la sede electrónica de la Administración de la Comunidad Autónoma de Cantabria, o a través de la publicidad de los documentos administrativos a los que se incorpore la identificación o la firma electrónica correspondiente.
Artículo 9. Derechos de las autoridades y los empleados públicos a los que se dote de sistemas de firma electrónica.
1. Se reconocen a las autoridades y los empleados públicos los siguientes derechos:
a) A solicitar y obtener los sistemas de firma electrónica necesarios para el ejercicio tanto de sus competencias como de las funciones o tareas asignadas a los puestos de trabajo desempeñados legalmente.
b) A solicitar un sistema de firma electrónica con seudónimo, en el caso de que aprecie la concurrencia de las condiciones previstas al efecto en este Decreto. En este caso, el órgano competente deberá resolver, motivando la resolución denegatoria.
c) A recibir formación adecuada sobre los sistemas de firma electrónica que deba emplear.
d) A obtener la asistencia técnica suficiente para el correcto uso del sistema de firma electrónico.
e) A solicitar la suspensión del sistema de firma electrónica, cuando se encuentre en situación de incapacidad laboral en sus diferentes modalidades.
f) A la revocación anticipada del sistema de firma electrónica y, cuando proceda, del correspondiente certificado cualificado, cuando se produzcan cambios en sus datos personales, en especial derivados de cambios en su adscripción funcional o en su situación administrativa.
g) A la eliminación total de cualesquiera claves y elementos de seguridad propios del sistema de firma, cuando el mismo sea revocado o expire.
2. Los anteriores derechos son adicionales y compatibles con cualquiera otros reconocidos en el Reglamento (UE) n.º 910/2014 y la legislación nacional que lo complemente.
Artículo 10. Obligaciones de las autoridades y empleados públicos a los que se dote de sistemas de firma electrónica.
1. Las autoridades y los empleados públicos deberán cumplir las siguientes obligaciones:
a) Colaborar en el procedimiento de expedición del sistema de firma electrónica, inclusive mediante su personación ante el órgano competente, durante el mismo.
b) Recibir y aceptar expresamente el sistema de firma electrónica, así como cualesquiera elementos de seguridad para el uso del sistema de firma electrónica.
c) Proteger los elementos de seguridad entregados para el uso del sistema de firma electrónica, en especial de las claves para la activación de la firma electrónica.
d) Hacer un uso exclusivo del sistema de firma electrónica para el ejercicio de sus competencias como de las funciones o tareas asignadas a los puestos de trabajo desempeñados legalmente respectivamente, de acuerdo con las instrucciones establecidas por la Dirección General competente en materia de administración electrónica y le hayan sido comunicadas en cada momento.
e) Comunicar, mediante el procedimiento que establezca la Dirección General competente en materia de administración electrónica, cualquier incidencia de uso o de seguridad que pueda afectar al sistema de firma electrónica.
2. El incumplimiento por los empleados públicos de estas obligaciones podrá ser objeto de sanción de conformidad con el régimen jurídico disciplinario que resulte de aplicación a los mismos.
3. El incumplimiento por las autoridades de estas obligaciones podrá ser objeto de sanción de conformidad con el régimen jurídico específico que les resulte de aplicación.
Artículo 11. Suspensión y revocación de sistemas de identificación y firma electrónica.
1. La Dirección General competente en materia de administración electrónica podrá proceder a la suspensión de los sistemas de identificación y firma electrónica, así como de los correspondientes certificados cualificados, en los casos previstos en la legislación nacional dictada para complementar el Reglamento (UE) n.º 910/2014, así como en caso de sospecha de incidente de seguridad que pueda afectar al sistema.
Durante el plazo de suspensión, que deberá ser el mínimo imprescindible, el órgano competente se responsabilizará de la verificación del incidente y, en su caso, de la investigación y adopción de las medidas oportunas, incluyendo la revocación anticipada del sistema de identificación y firma electrónica. En dicha investigación se dará necesariamente audiencia a la persona física a la que se haya autorizado el sistema de identificación y firma electrónica.
2. También, la Dirección General competente en materia de administración electrónica podrá proceder a la revocación de los sistemas de identificación y firma electrónica, así como de los correspondientes certificados cualificados, en los casos previstos en la legislación nacional dictada para complementar el Reglamento (UE) n.º 910/2014, como también cuando se produzcan modificaciones en los datos contenidos en los certificados cualificados, en especial derivados de cambios en la adscripción funcional o situación administrativa.
3. La suspensión y la revocación de los certificados cualificados será ordenada al prestador de servicios de confianza al que se hayan adquirido, que dará publicidad a dicha actuación conforme a lo establecido en el artículo 24 del Reglamento (UE) n.º 910/2014.
4. Las anteriores actuaciones no tendrán, en ningún caso, carácter sancionador.
Disposición adicional primera. Asignación a todos los empleados públicos de sistema de identificación y firma electrónica por medio de clave concertada con registro previo.
1. En el plazo de un año por la Dirección General competente en materia de función pública, se asignara a todos los empleados públicos al servicio de la Administración de la Comunidad Autónoma, de un sistema de identificación y firma electrónica por medio de clave concertada con registro previo que permita acreditar la autenticidad de la expresión de voluntad y consentimiento del empleado público.
2. Queda prohibida la utilización de este sistema de identificación y firma electrónica, para todas las actuaciones que conforme lo establecido en este Decreto hayan sido calificadas de nivel Alto o Medio.
Disposición adicional segunda. Condiciones para la aplicación supletoria del presente Decreto por el Servicio Cántabro de Salud y sector público empresarial y fundacional.
1. Mediante Orden del titular de la Consejería a que se encuentre adscrito el Servicio Cántabro de Salud se podrá establecer la aplicación a dicho organismo de las previsiones contenidas en este Decreto con excepción de aquellas relativas a la distribución competencial de funciones y responsabilidades que en el mismo se contienen, debiendo adoptar un propio sistema de distribución competencial adaptado para su organización.
2. Asimismo, los órganos directivos de las entidades que integran el sector público empresarial y fundacional de la Comunidad Autónoma de Cantabria podrán acordar su sometimiento a las previsiones contenidas en este Decreto con excepción de aquellas relativas a la distribución competencial de funciones y responsabilidades que en el mismo se contienen, debiendo cada entidad adoptar un propio sistema de distribución competencial adaptado para su organización.
Disposición transitoria única. Sistemas de identificación y firma electrónica que estén siendo utilizados por las autoridades y empleados públicos a la entrada en vigor de este Decreto.
1. Aquellos sistemas de firma electrónica que, a la entrada en vigor de este Decreto, estén siendo utilizados en la Administración de la Comunidad Autónoma de Cantabria, bajo la cobertura de la correspondiente norma reguladora, podrán seguir siendo usados con plena validez legal, siempre que se ajusten a lo establecido en la legislación básica estatal y el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.
2. Antes del 30 de septiembre del año 2018 se revisarán todos los sistemas de identificación y firma electrónica que estén en uso por las autoridades y empleados públicos, conforme los criterios y procedimiento previsto en este Decreto, dictándose una nueva resolución de autorización específica para cada uno de ellos. Y en el mismo plazo se incorporara a los sistemas de información y servicios de administración electrónica la posibilidad de utilización de firma electrónica cualificada para los supuestos que resulten necesarios conforme los criterios de evaluación establecidos en el anexo de este Decreto.
3. Hasta que se proceda a la incorporación tecnológica de los sistemas de identificación y firma electrónica cualificada a los sistemas de información y servicios de administración electrónica, se podrán utilizar los de mayor nivel de seguridad que se encuentren disponibles técnicamente por la Dirección General competente en materia de administración electrónica.
Disposición derogatoria única. Derogación Normativa.
Quedan derogadas cuantas disposiciones de igual o inferior rango que se opongan o contradigan lo dispuesto en este Decreto.
Disposición final primera. Desarrollo normativo.
Se faculta al titular de la Consejería competente en materia de administración electrónica para dictar cuantas disposiciones sean precisas para la aplicación y desarrollo del presente Decreto.
Disposición final segunda. Entrada en vigor.
El presente Decreto entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de Cantabria.
Anexos
Omitidos.
