Phase Four: Semi-structured interviews with the landscape management teams of

La norma de referencia es, este caso, el apartado 3 del artículo 18 del RDENI, el cual determina que “las Administraciones públicas receptoras de documentos electrónicos firmados permitirán la validación de las firmas electrónicas contra la política de firma indicada en la firma del documento electrónico, siempre que dicha política de firma se encuentre dentro de las admitidas por cada Administración pública para el reconocimiento mutuo o multilateral con otras Administraciones públicas”.

Redactado desde la perspectiva de la organización que recibe una firma electrónica producida por otra organización, implica que dicha organización receptora debe aplicar las reglas de firma electrónica previstas en la política de firma electrónica que

Administraciones Públicas a los datos relativos a los interesados que obren en su poder y se encuentren en soporte electrónico, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad”, por lo que su política de firma electrónica eventualmente se impone a la Administración que debe obtener acceso a los datos.

efectivamente se ha empleando en el momento de creación de la firma electrónica. Esta necesidad nace de la existencia, que hemos visto anteriormente, de diversas políticas de firma electrónica. Normalmente será el firmante quien seleccione la política de firma electrónica que considere aplicable, y generará la firma cumpliendo los criterios técnicos exigibles en la misma.

Por su parte, el verificador de la firma deberá aplicar los mismos criterios técnicos a la verificación de la firma que el firmante, o de otra forma podría verificar incorrectamente la firma, lo cual generará errores e impedirá la correcta interoperabilidad del documento.

De ahí se deduce que firmante y verificados deben comunicarse y establecer la política aplicable, lo cual resulta poco conveniente, y genera un esfuerzo previo al inicio de los intercambios de documentos.

Para evitar esta barrera a la interoperabilidad, la Norma Técnica de Interoperabilidad apuesta porque la propia firma electrónica contenga la indicación a la política de firma aplicable al caso, motivo por el cual se impone la obligación de uso de la forma AdES- EPES, que incluye esta información196.

Asimismo, el artículo 18.2 del RDENI y la Norma Técnica de Interoperabilidad de política de firma electrónica y de certificados de la Administración obligan a la publicación de la correspondiente política de firma electrónica, como condición para su eficacia.

Aunque no se especifica en el RDENI, la regla 3ª.d) del epígrafe II.5 de la Norma Técnica de Interoperabilidad de política de firma electrónica y de certificados de la Administración establece la política de firma electrónica se debe encontrar publicada

196

La inclusión de la información de la política de firma electrónica aplicable se realiza en el momento de la creación de la firma electrónica, dado que resulta imprescindible que la firma electrónica del documento se extienda también a esta información, para evitar su sustitución o alteración anterior, y como prueba de que la citada política fue seleccionada o aceptada por el firmante. Cfr. regla II.5.3.c) de la Norma Técnica de Interoperabilidad de política de firma electrónica, ETSI TS 101733, sección 5.8.1 o ETSI TS 101903, sección 7.2.3.

en Internet, en lenguaje natural y también en XML y ASN.1, para su procesamiento automatizado por el verificador.

En este escenario, la organización que recibe el documento firmado sencillamente revisa la firma electrónica, obtiene el identificador de la política de firma electrónica, accede a la misma197 y la aplica198.

Un proceso aparentemente sencillo, pero que a fecha de hoy no se encuentra implantado de forma completa prácticamente en ninguna aplicación de las Administraciones Públicas, debido a su enorme complejidad técnica y semántica, lo cual exige aproximaciones parciales y pragmáticas a su implementación199.

Son, en particular, las plataformas de validación las que están aplicando, en la actualidad, políticas de firma electrónica de forma normalizada en XML o ASN.1, incluyendo al menos la plataforma @firma200 del Ministerio de Hacienda y Administraciones Públicas, y la plataforma PSIS de la Agència Catalana de Certificació / Consorci Administració Oberta de Catalunya.

Cabe preguntarse, también, por el tratamiento de una firma electrónica que no incorpore el campo indicativo de la política de firma electrónica (modalidad que se denomina AdES-BES). Nótese que, en consecuencia con la regla del artículo 18.3 del

197

Lo cual no está exento de problemas – irónicamente – de interoperabilidad habida cuenta de la incompleta semántica de tratamiento de esta cuestión en ETSI TS 101733 y ETSI TS 101 903.

198

La aplicación debería ser automática, a partir de la representación de la política de firma electrónica y de certificados en XML o ASN.1, si bien en la mayoría de casos actualmente implementados realmente lo que se hace es programar el sistema del verificador atendiendo a las reglas de la política de firma, en su versión en lenguaje natural (por ejemplo, así sucede en las facturas electrónicas). CROBIES, 2010: pp. 24 y ss. ofrece un modelo detallado para la representación de una política de firma electrónica en lenguaje natural.

199

Así ha sido puesto de manifiesto en proyectos europeos de implantación de pilotos a gran escala, como PEPPOL, que en el ámbito de la contratación pública electrónica ha generado políticas de firma electrónica parcialmente procesables. Cfr. PEPPOL D1.3, 2012: pp. 14 y ss.

200

Se puede acceder a las versiones en XML y ASN.1 de las políticas de firma electrónica de la Administración General del Estado en el Portal de Administración Electrónica, en

http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_Area_Descargas&lang Pae=es&iniciativa=239 (última visita: 31/07/2012). Por cierto que dichas especificaciones no siguen fielmente (y en algún caso incumplen) las especificaciones técnicas del ETSI, lo cual no va a favorecer la interoperabilidad, incluso aceptando la necesidad de modificar dichas especificaciones técnicas por haber quedado manifiestamente desfasadas, que es nuestra posición en este asunto.

RDENI, dicha Administración no estaría obligada a aplicar ninguna política de firma electrónica en concreto, sino que podría aplicar su propia política marco de firma, o en su defecto, validar la firma aplicando las reglas generales de la Norma Técnica de Interoperabilidad.

Lo que no podría hacer, en nuestra opinión, es negarse a aceptar el documento firmado electrónicamente, en especial si el mismo procede de otro Estado de la Unión Europea, ya que las Decisiones dictadas en desarrollo de la Directiva de Servicios autorizan el empleo de AdES-BES o AdES-EPES indistintamente201.

El mismo tratamiento debe recibir el documento que contiene una firma electrónica AdES-EPES implícita, ya que en este caso la política de firma electrónica aplicable viene determinada, con carácter general, por un contexto externo, como por ejemplo la semántica del documento al que se incorpora la firma o, más frecuentemente, la propia definición del formato documental empleado202.

Finalmente, nos debemos interrogar por el tratamiento de una firma electrónica que contenga una política de firma electrónica que no cumpla las condiciones del artículo 18.3 in fine; es decir, que la misma no se encuentre dentro de las admitidas por cada Administración pública para el reconocimiento mutuo o multilateral con otras Administraciones públicas; o que incumpla el requisito de la publicación en Internet, por ejemplo.

En este caso, la Administración podría negarse a aceptar el documento firmado, alegando que no le resulta posible conocer o aplicar las condiciones marcadas por el firmante, efecto que parece jurídicamente razonable.

La cuestión a dilucidar, que la normativa no aclara, es qué debe entenderse por una política de firma electrónica admitida para el reconocimiento mutuo o multilateral, y

201 _{En este caso, procedería aplicar directamente las reglas de la Decisión 2011/130/UE, en cuanto a}

formatos de firma electrónica, y de la Decisión 2009/767/CE, modificada por Decisión 2010/425/UE.

202

Por ejemplo, la firma de documentos OOXML – ISO 29500, como Word 2010, se realiza empleando una firma XAdES-EPES implícita. Las reglas de la política de firma electrónica se deducen de lo descrito en dicha norma internacional.

de qué grado de discrecionalidad dispone la Administración en esta materia.

En nuestra opinión, y a pesar de la oscuridad de la norma, todas las políticas de firma electrónica que regulen sistemas de forma electrónica previstos en el artículo 21.1 de la LAE resultarían, en principio, admisibles para el reconocimiento mutuo o multilateral. Desde luego, asumiendo que ya existe un derecho de admisión al empleo de la firma electrónica, no resultaría en absoluto justificado limitarlo de forma discrecional.

Por el contrario, las políticas de firma electrónica que regulen sistemas de firma electrónica enmarcados en el artículo 21.2 de la LAE no deben disfrutar de esta admisión directa por otras Administraciones Públicas. En efecto, si una política de firma electrónica admite el uso de certificados reconocidos de pago, la misma no puede ser aplicada, como ya vimos al discutir el derecho de admisión, por una Administración diferente, que por tanto limitará la admisión de la política de firma electrónica igual que limita la admisión de la firma y del certificado.

En resumen, el efecto jurídico principal de la política de firma electrónica y de los certificados es, a tenor de lo que hemos visto, la aceptación obligatoria de la firma electrónica, tras la comprobación de su validez y aplicabilidad al caso concreto, o, por el contrario, la denegación motivada de la firma electrónica.

Se trata, como hemos visto supra203, de un acto administrativo de producción automatizada, que en general se realizará en los sistemas cerrados de intercambio de documentos e informaciones que se establezcan entre las Administraciones actuantes. El efecto jurídico secundario de la política de firma es la aceptación o denegación en el intercambio interadministrativo del documento electrónico que incorpora la firma, que en caso de denegación entendemos generará el correspondiente trámite administrativo de subsanación.

203