§1019868
DECRETO 94/2006, DE 8 DE NOVIEMBRE, DEL CONSEJO DE GOBIERNO, DE UTILIZACIÓN DE LA FIRMA ELECTRÓNICA EN LAS RELACIONES CON LA ADMINISTRACIÓN DE LA COMUNIDAD DE MADRID POR MEDIOS ELECTRÓNICOS, INFORMÁTICOS Y TELEMÁTICOS.
La Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, representó el punto de partida de lo que hoy conocemos como Administración Electrónica, al establecer en su artículo 45 que “las Administraciones Públicas impulsarán el empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos, para el desarrollo de su actividad y el ejercicio de sus competencias”.
Como desarrollo de lo establecido en la Ley 30/1992, de 26 de noviembre, y en el contexto de la I Fase del Plan Estratégico de Simplificación Administrativa, la Administración de la Comunidad de Madrid aprobó el Decreto 175/2002, de 14 de noviembre, por el que se regula la utilización de las técnicas electrónicas, informáticas y telemáticas por la Administración de la Comunidad de Madrid, poniendo a disposición, tanto de los órganos gestores como de los ciudadanos, procedimientos mecanizados con el objetivo de una futura tramitación telemática.
Posteriormente, la aprobación por el Consejo de Gobierno de la II Fase del Plan Estratégico de Simplificación de la Gestión Administrativa (PESGA) 2005-2007, ha supuesto la puesta en marcha por la Administración de la Comunidad de Madrid de su proyecto integral de Administración Electrónica, que permitirá a los ciudadanos y a las empresas relacionarse con la Administración del siglo XXI de una manera más ágil, eficaz, cercana y sencilla.
La ejecución por parte de la Administración de la Comunidad de Madrid de su proyecto de firma electrónica resulta clave para conseguir este objetivo, así como el desarrollo, mediante este Decreto, de la normativa básica estatal en esta materia. Dicha normativa básica, dictada al amparo del artículo 149.1.8.a, 18, 21 y 29 de la Constitución, se articula en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, la cual proclama en su Exposición de Motivos que dicha firma “surge como respuesta a la necesidad de conferir seguridad a las comunicaciones por Internet”, convirtiéndose de este modo en un instrumento generador de confianza en las comunicaciones telemáticas y en un dinamizador de la Administración y el comercio electrónicos, al elevar los niveles de seguridad garantizando la identidad de los comunicantes, la autenticidad de las comunicaciones y la integridad de los contenidos.
El desarrollo de la sociedad de la información y la difusión de los efectos positivos que de ella se derivan exige la generalización de la confianza de la ciudadanía en las comunicaciones telemáticas.
Esta relación de confianza se basa en lo que la Ley 59/2003, de 19 de diciembre, denomina en su artículo 3.3, Firma electrónica reconocida, que se define como aquella “firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma”. En este sentido, el Decreto 175/2002, de 14 de noviembre, preveía la tramitación telemática por medio de la utilización de la certificación de firma electrónica avanzada, en virtud del Convenio suscrito entre la Administración de la Comunidad de Madrid y la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, pero también la posible adopción por parte de la Administración de la Comunidad de Madrid de otros certificados de firma electrónica de entidades certificadoras que cumplan determinadas condiciones de validez y seguridad.
Se trata, por lo tanto, con esta disposición de adaptar la legislación de la Administración de la Comunidad de Madrid a la nueva realidad que establece la Ley 59/2003, de 19 de diciembre, al reconocer el “régimen de libre competencia” en la prestación de los servicios de certificación, y al atribuir a la firma electrónica reconocida “el mismo valor que la firma manuscrita”. Se respeta, además, escrupulosamente el carácter básico de dicha norma, puesto que el objetivo de este decreto, en cumplimiento de lo establecido en el artículo 4.1 y 2 de la Ley, no es otro que el desarrollo de las condiciones adicionales a la utilización de la firma, mediante la regulación de las características específicas de la aplicación existente en la Administración de la Comunidad de Madrid y los trámites necesarios para que todos los prestadores de servicios de certificación que emitan certificados electrónicos reconocidos, puedan comunicar a la Administración de la Comunidad de Madrid su intención de relacionarse con ella a través de medios informáticos, electrónicos y telemáticos, adaptándose a las condiciones tecnológicas que se desarrollan en este Decreto. La Administración de la Comunidad de Madrid verificará que dichos certificados se ajustan a lo establecido en el artículo 11 de la Ley 59/2003, de 19 de diciembre.
El Decreto 149/2004, de 21 de diciembre, del Consejo de Gobierno por el que se establece la estructura orgánica de la Consejería de Presidencia, atribuye a dicho departamento competencias en materia de calidad de los servicios y atención al ciudadano, a través de la Dirección General del mismo nombre, Por otro lado, el Decreto 114/2004, de 29 de julio, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Hacienda atribuye a dicha Consejería el ejercicio de las competencias en materia de informática, y sin perjuicio de las que corresponden a otras Consejerías en esta materia.
De acuerdo con la competencia atribuida en el artículo 21.g de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid.
En su virtud, a iniciativa conjunta de las Consejerías de Presidencia y Hacienda, y a propuesta del Vicepresidente Primero y Portavoz del Gobierno, y de acuerdo con el dictamen del Consejo de Estado, y previa deliberación del Consejo de Gobierno, en su reunión del día 8 de noviembre de 2006, DISPONGO:
Artículo 1. Objeto y ámbito de aplicación.
1. La presente disposición regula las condiciones adicionales de la utilización de la firma electrónica en los procedimientos de la Administración de la Comunidad de Madrid, para las relaciones de esta con otras Administraciones, organismos públicos y con los ciudadanos, así como los trámites necesarios para que todos los prestadores de servicios de certificación que cumplan, previa verificación, los requisitos establecidos en el artículo 11 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, puedan operar con la Comunidad de Madrid, mediante el empleo de medios electrónicos, informáticos y telemáticos.
2. El presente Decreto será de aplicación a todos los órganos y unidades de la Comunidad de Madrid, así como a los organismos autónomos, entidades de derecho público y demás entes públicos vinculados o dependientes de la misma. Estas Entidades sujetarán su actividad al presente Decreto cuando ejerzan potestades administrativas, sometiéndose en el resto de su actividad a lo que dispongan sus normas de creación.
Artículo 2. Sistemas de firma electrónica en la Comunidad de Madrid.
1. La Administración de la Comunidad de Madrid operará en sus relaciones con otras Administraciones, organismos públicos y los ciudadanos por medios electrónicos, informáticos y telemáticos, en los términos establecidos en la Ley 59/2003, de 19 de diciembre, con los sistemas de firma electrónica adecuados para garantizar la autenticidad y, en su caso, la integridad de los documentos electrónicos.
Asimismo, estos sistemas podrán emplearse para identificar a los interesados en las actuaciones que tengan lugar por dichos medios.
2. En particular, se operará con los sistemas de firma electrónica, basados en certificados reconocidos, cuando resulte necesario garantizar la autenticidad e integridad del documento electrónico.
3. La admisión por la Administración de la Comunidad de Madrid de cualquier sistema de firma electrónica requerirá su compatibilidad con los medios técnicos de que aquella disponga, previa verificación de los programas y aplicaciones que vayan a utilizarse y la difusión pública de sus características.
Artículo 3. Requisitos de operatividad.
1. Además de lo dispuesto en el artículo anterior, para operar en las relaciones de la Administración de la Comunidad de Madrid con los ciudadanos, los sistemas de firma electrónica deben cumplir los siguientes requisitos:
a) Permitir la generación de firmas electrónicas reconocidas, tal y como se definen en la legislación sobre firma electrónica.
Los datos de creación y los de verificación de firma no podrán ser de longitud inferior a la publicada por la Administración de la Comunidad de Madrid en su página www.madrid.org b) Emplear certificados electrónicos para vincular los datos de verificación de firma al signatario, confirmando su identidad, que contengan la información descrita en el artículo 4 y sean expedidos por prestadores de servicios de certificación que cumplan los requerimientos del artículo 5.
c) Generar las firmas electrónicas por un dispositivo seguro de creación de firma, tal y como se define en la Ley 59/2003, de 19 de diciembre.
2. Asimismo, se admitirán los sistemas de firma digital o numérica basada en certificados expedidos por organismos, entidades y corporaciones públicas estatales que, de acuerdo con la Ley, se constituyan en autoridades de certificación.
3. En la página www.madrid.org se mantendrá una relación pública de los tipos de certificados electrónicos admitidos, así como de los prestadores de servicios de certificación que los expiden.
Artículo 4. Certificados electrónicos.
1. Los sistemas de firma electrónica deberán emplear certificados que puedan calificarse como reconocidos, de conformidad con la Ley 59/2003, de 19 de diciembre, siempre que incluyan en su contenido las siguientes menciones:
a) La indicación de que se expiden como tales.
b) El código identificativo único del certificado.
c) La identificación del prestador de servicios de certificación que expide el certificado y su domicilio.
d) La firma electrónica avanzada del prestador de servicios de certificación que expide el certificado.
e) La identificación del firmante, en el supuesto de personas físicas, por su nombre y apellidos y su número de documento nacional de identidad o a través de seudónimo que conste como tal de manera inequívoca y en el supuesto de personas jurídicas, por su denominación o razón social y su código de identificación fiscal.
Las normas técnicas relativas al formato y la localización con que se deben consignar en el certificado los datos de identificación señalados en el párrafo anterior estarán publicadas en la web www.madrid.org f) Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante.
g) El comienzo y el fin del período de validez del certificado.
h) Los límites de uso del certificado si se establecen.
i) Los límites del valor de las transacciones para las que pueda utilizarse el certificado, si se establecen.
2. Los certificados reconocidos podrán asimismo contener cualquier otra circunstancia o atributo específico del firmante en caso de que sea significativo en función del fin propio del certificado y siempre que aquel lo solicite.
3. Si los certificados reconocidos admiten una relación de representación incluirán una indicación del documento público que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales, de conformidad con lo establecido en el apartado 2 del artículo 13 de la Ley 59/2003, de 19 de diciembre.
4. De conformidad con el artículo 2.3, los certificados tendrán que estar basados en los estándares técnicos admitidos por la Administración Comunidad de Madrid, que serán publicados y actualizados permanentemente en la web www.madrid.org 5. Se admitirá, en todo caso, el formato basado en la versión tres de la recomendación X.509 del ITU-T (International Telecommunications Union-Telecommunication), de fecha junio de 1997 o posterior.
Artículo 5. Prestadores de servicios de certificación.
1. Los certificados electrónicos deben ser expedidos por prestadores de servicios de certificación que cumplan las obligaciones exigidas por la Ley 59/2003, de 19 de diciembre.
2. Además, estos prestadores de servicios de certificación deberán comprobar la identidad y cualquier circunstancia personal de los solicitantes de los certificados, en los términos establecidos en el artículo 13 de la Ley 59/2003, de 19 de diciembre.
3. Los prestadores de servicios de certificación serán responsables ante la Administración de la Comunidad de Madrid en los términos establecidos por la legislación sobre firma electrónica.
4. El tratamiento de los datos personales que precisen los prestadores de los servicios de certificación para el desarrollo de su actividad y los órganos administrativos, para el ejercicio de las funciones atribuidas por la Ley de Firma Electrónica y por este Decreto, se ajustará a lo dispuesto tanto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, como en la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid.
Artículo 6. Adaptación y verificación de certificados electrónicos.
Los prestadores de servicios de certificación deberán solicitar la adaptación de sus certificados electrónicos a los medios técnicos de la Administración de la Comunidad de Madrid, así como la verificación de los requisitos establecidos en el artículo 4.1 de este Decreto, para las relaciones que, por medios electrónicos, informáticos y telemáticos, tengan lugar con la Administración de la Comunidad de Madrid, de acuerdo con el procedimiento especificado a continuación.
Artículo 7. Solicitudes y documentación.
1. Las entidades prestadoras del servicio de certificación de firma electrónica que deseen acogerse a lo dispuesto en este Decreto, presentarán un escrito de solicitud indicando las características técnicas de sus sistemas de firma electrónica, dirigido a la Dirección General competente en materia de Calidad de los Servicios y Atención al Ciudadano. Podrá solicitar la declaración de operatividad a la que se refiere este apartado cualquier prestador de servicios establecido en España o en cualquier otro Estado miembro de la Unión Europea.
Las solicitudes podrán presentarse en cualquier Registro, ya sea de la Administración de la Comunidad de Madrid, de la Administración General del Estado, de Ayuntamientos de la Comunidad de Madrid que han firmado convenio a tal efecto (Ventanilla Única) y mediante las demás formas previstas en el artículo 38.4 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
2. El escrito deberá ir acompañado de la documentación correspondiente, entre la que se encontrará en todo caso la siguiente:
a) Declaración responsable de la entidad solicitante acerca del cumplimiento de los requisitos exigidos en el presente Decreto.
b) Documentos en los que consten las normas técnicas en las que se basen los certificados cuya admisión se solicita, así como los protocolos o normas y procedimientos de seguridad y control referidos a su gestión. Entre estos documentos se deberá incluir, en todo caso, una declaración de prácticas de certificación y la política de certificación ajustada a las especificaciones RFC 2527 “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practics Framework”, especificando los procedimientos relativos a los siguientes extremos:
— Generación de claves.
— Métodos de prueba de posesión de la clave privada o gestión de la misma por la autoridad de certificación.
— Forma de identificación y archivo de la documentación exigida en la misma.
— Entrega del certificado a su titular.
— Caducidad y procedimiento de renovación.
— Procedimiento de revocación a instancia del interesado.
— Otras formas de revocación.
3. Cuando la documentación presentada esté incompleta o falte alguno de los datos exigidos, se requerirá a los interesados para que en el plazo de diez días subsanen los defectos o, en su caso, completen la documentación. La falta de respuesta a este requerimiento se entenderá como desistimiento, previa resolución expresa.
Artículo 8. Instrucción del expediente.
1. Será competente para instruir el expediente la Dirección General competente en materia de Calidad de los Servicios y Atención al Ciudadano, que podrá solicitar o instar a que se solicite de otros órganos, organismos o entidades de la Administración de la Comunidad de Madrid, la emisión de aquellos informes que entienda necesarios para resolver sobre la solicitud.
2. La Agencia Informática y Comunicaciones de la Comunidad de Madrid deberá informar, preceptivamente, sobre el cumplimiento por parte de la entidad solicitante de los requisitos técnicos exigidos normativamente. La verificación de este cumplimiento podrá realizarla dicho organismo por sí mismo o por medio de agentes debidamente autorizados o con los que así lo haya convenido.
3. La Dirección General competente en materia de Calidad de los Servicios y Atención al Ciudadano podrá requerir en cualquier momento del procedimiento a la entidad solicitante para que aporte la documentación que considere necesaria.
Artículo 9. Resolución.
1. La Dirección General competente en materia de Calidad de los Servicios y Atención al Ciudadano resolverá, motivadamente, sobre la operatividad de los certificados. La verificación conforme estará supeditada en todo caso al establecimiento de las conexiones telemáticas precisas entre la Administración de la Comunidad de Madrid y el servicio de publicación de certificados revocados del prestador de servicios de certificación, en los términos expresados en la página www.madrid.org.
2. La resolución habrá de ser dictada y notificada en el plazo máximo de tres meses a partir de la fecha de entrada en el registro de la Consejería competente en materia de Calidad de los Servicios y Atención al Ciudadano de la Comunidad de Madrid del escrito de solicitud. Transcurrido dicho plazo sin que se haya dictado y notificado la resolución se entenderá estimada, de conformidad con lo dispuesto en el artículo 43.1 de la Ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
La resolución adoptada se notificará a los interesados y se publicará en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID, en los términos establecidos, respectivamente, en los artículos 58 y 60.1 de la Ley 30/1992, de 26 de noviembre.
3. Contra la resolución podrá interponerse recurso de alzada, ante el Consejero competente en la materia de Calidad de los Servicios y Atención al Ciudadano en los términos previstos en los artículos 114 y 115 de la Ley 30/1992, de 26 de noviembre.
De no resolverse el recurso de alzada, o una vez recaída resolución en el mismo, procederá su impugnación ante la jurisdicción contencioso-administrativa.
Artículo 10. Comprobaciones ulteriores.
La Administración de la Comunidad de Madrid podrá verificar en cualquier momento, por sí o por medio de agentes autorizados, que la expedición de los certificados o cualquier otro aspecto de los sistemas de firma electrónica que operen en la Comunidad se esté realizando conforme a las condiciones establecidas en el presente Decreto.
Artículo 11. Modificación en las condiciones de prestación del servicio.
1. Los prestadores de los servicios de certificación vendrán obligados a comunicar a la Administración de la Comunidad de Madrid las modificaciones que tengan lugar en las condiciones de prestación del servicio. La comunicación se efectuará con una antelación de, al menos, un mes respecto de la fecha prevista para el comienzo de la aplicación de dichas modificaciones.
2. Para que las modificaciones produzcan efectos en las relaciones administrativas a las que se refiere este decreto habrán de ser verificadas por la Administración de la Comunidad de Madrid, según el mismo procedimiento que se señala en el artículo 7 para la operatividad de los certificados. Una vez emitido por la Administración de la Comunidad de Madrid la resolución de verificación conforme de las modificaciones, dará publicidad de estas en su página de Internet www.madrid.org.
Artículo 12. Cese de la actividad.
1. Los prestadores de los servicios de certificación vendrán obligados a comunicar a la Administración de la Comunidad de Madrid, con dos meses de antelación, el cese de sus actividades.
La Administración de la Comunidad de Madrid dará publicidad de dicho cese en su página de Internet. A partir de la fecha de esta publicación, dejarán de ser operativos, a los efectos de este Decreto, los certificados que fuesen emitidos hasta ese momento por la entidad prestadora del servicio.
2. No obstante, continuarán siendo operativos los certificados de la entidad que cesase cuando, de acuerdo con lo establecido en el artículo 21 de la Ley 59/2003, de 19 de diciembre, por la que se establecen las normas reguladoras de la firma electrónica, los certificados expedidos fuesen asumidos por otro prestador de servicios cuyos certificados fuesen verificados de conformidad por la Administración de la Comunidad de Madrid a los efectos de este Decreto.
3. En los supuestos contemplados en los dos primeros párrafos, así como cuando un prestador de servicios cesase en su actividad sin comunicarlo a la Administración de la Comunidad de Madrid, la Dirección General competente en materia de Calidad de los Servicios y Atención al Ciudadano dictará, de oficio, y tan pronto como tenga conocimiento fidedigno de dicho cese, resolución de revocación de los certificados de la entidad. De esta resolución dará publicidad en su página de Internet, con los efectos sobre los certificados que se señalan en el apartado primero de este artículo.
Artículo 13. Suspensión y revocación.
1. Cuando la Administración de la Comunidad de Madrid advierta que un determinado sistema de firma electrónica de los regulados en el ámbito de esta norma puede haber dejado de cumplir los requerimientos técnicos o jurídicos exigidos en la misma, podrá acordar, previa audiencia de los interesados, la suspensión temporal, por un período máximo de seis meses, de la validez de los certificados correspondientes. Esta resolución de suspensión deberá ser notificada al prestador de servicios. La Administración de la Comunidad de Madrid dará publicidad de esa resolución de suspensión en su página de Internet.
2. De considerarse que las circunstancias concurrentes son insubsanables, o una vez transcurrido el período de seis meses de suspensión señalado en el número 1 anterior, se dictará, de ser el caso, y previo trámite de audiencia de la entidad interesada, acuerdo de revocación de los certificados de la entidad prestadora del servicio. Dicho acuerdo será notificado a la entidad, a la vez que se dará publicidad del mismo en la página de Internet de la Administración de la Comunidad de Madrid.
DISPOSICIÓN ADICIONAL
Única. Certificados expedidos en virtud de convenios.
Serán válidos y eficaces los certificados que hayan sido emitidos o que se emitan por prestadores de servicios de certificación que hayan conveniado en la materia con la Administración de la Comunidad de Madrid, antes de la entrada en vigor del presente Decreto.
DISPOSICIÓN DEROGATORIA
Única. Derogación de disposiciones.
Quedan derogadas las disposiciones de igual o inferior rango reglamentario en lo que se opongan o contradigan a lo dispuesto en el presente Decreto.
DISPOSICIONES FINALES
Primera. Habilitación normativa.
Se faculta a los titulares de las Consejerías de Presidencia y Hacienda para dictar en el ámbito de sus respectivas competencias las normas de desarrollo y ejecución de este Decreto.
Segunda. Entrada en vigor.
El presente Decreto entrará en vigor el día siguiente al de su publicación en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID.
