ORDEN GRI/233/2015, de 20 de julio, por la que se aprueba el Protocolo de identificación y firma electrónica.

Transcripción

1 1/12 Diari Oficial de la Generalitat de Catalunya DISPOSICIONES DEPARTAMENTO DE GOBERNACIÓN Y RELACIONES INSTITUCIONALES ORDEN GRI/233/2015, de 20 de julio, por la que se aprueba el Protocolo de identificación y firma electrónica. Por Acuerdo del Gobierno de 3 de febrero de 2015, el Gobierno de la Generalidad de Cataluña aprobó impulsar los proyectos de implantación del validador de credenciales de identidades y los sistemas de identificación y autenticación alternativos en los certificados digitales, con el objetivo de crear soluciones tecnológicas que faciliten el acceso de los ciudadanos y ciudadanas a los servicios electrónicos, y proporcionen herramientas que permitan a la ciudadanía la identificación y la firma electrónica adaptadas al uso masivo de las nuevas tecnologías. El Gobierno de la Generalidad, mediante el Decreto 56/2009, de 7 de abril, para el impulso y el desarrollo de los medios electrónicos en la Administración y, posteriormente, la Ley 29/2010, de 3 de agosto, del uso de los medios electrónicos en el sector público de Cataluña, reguló el uso de los medios electrónicos en las actuaciones y las relaciones entre el sector público y la ciudadanía y estableció la concreción del modelo catalán de administración electrónica. Uno de los elementos necesarios para la ordenación, el impulso y el desarrollo de los medios electrónicos es la planificación estratégica de los servicios y trámites electrónicos, lo cual incluye la aprobación de un protocolo que regule las formas de identificación y autenticación tanto de los ciudadanos como de los órganos administrativos en el ejercicio de sus competencias, así como la habilitación de diferentes instrumentos de acreditación, que se tienen que concretar para cada trámite o servicio con criterios de proporcionalidad. El artículo 29 del Decreto 56/2009 determina que la implantación de la firma electrónica en las actuaciones administrativas se tiene que hacer de acuerdo con el protocolo de identificación y firma electrónica. Este protocolo se define como el documento que recoge los aspectos técnicos y organizativos necesarios para la implantación de los sistemas de firma electrónica para cada trámite o servicio, en función del grado de seguridad que requiera el trámite. Este Protocolo se aprueba por orden del consejero o la consejera competente en materia de administración electrónica. En fecha 25 de mayo de 2015, la Comisión Interdepartamental para el Impulso de los Medios Electrónicos en la Administración, como órgano corporativo competente en materia de recursos de medios electrónicos comunes, ha emitido informe sobre la propuesta de protocolo de identificación y firma electrónica. El Protocolo se ha adaptado al nuevo régimen establecido por el Reglamento (UE) nº. 910/2014, de 23 de julio, del Parlamento Europeo y del Consejo relativo a la identificación electrónica y a los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE. Por todo eso, Ordeno Artículo único Aprobar el Protocolo de identificación y firma electrónica que se adjunta en el anexo, el cual determina los aspectos técnicos y organizativos necesarios para la implantación de los sistemas de firma electrónica para cada trámite o servicio. Disposición final

2 2/12 Diari Oficial de la Generalitat de Catalunya Primera Se autoriza a la Secretaría de Administración y Función Pública para que realice las actuaciones que sean necesarias para la ejecución y el desarrollo del Protocolo de identificación y firma electrónica. Segunda Esta Orden entra en vigor el día siguiente de la publicación en el Diari Oficial de la Generalitat de Catalunya (DOGC) y se publicará en la sede electrónica corporativa de la Administración de la Generalidad de Cataluña. Disposición transitoria Los departamentos y organismos competentes en la aplicación de este Protocolo tienen que adaptar los mecanismos de identificación y de firma electrónica de sus servicios electrónicos a los criterios que se establecen en el plazo de un año desde la publicación de esta Orden. Los procedimientos relativos a servicios electrónicos que se hayan iniciado mantendrán los mecanismos de identificación y de firma electrónica que se hayan establecido en las normas reguladoras de cada trámite, hasta la resolución final. Barcelona, 20 de julio de 2015 Meritxell Borràs i Solé Consejera de Gobernación y Relaciones Institucionales Anexo 1. Introducción 2. Objeto del documento 3. Ámbito de aplicación 4. Órganos competentes 4.1 Órganos competentes en la elaboración, la ejecución y el seguimiento del Protocolo 4.2 Órganos competentes en el impulso de servicios o trámites electrónicos 5. Identidad electrónica y firma electrónica 6. Mecanismos de identificación y firma electrónica 6.1 Mecanismos de identificación Para personas físicas Para personas jurídicas Para los empleados públicos Para los entes de la Administración de la Generalidad de Cataluña Otros mecanismos

3 3/12 Diari Oficial de la Generalitat de Catalunya 6.2 Mecanismos de firma y sello electrónico Para personas físicas Para personas jurídicas Para los empleados públicos Para los entes de la Administración de la Generalidad de Cataluña Sellos de tiempo Otros mecanismos de firma 7. Admisión de mecanismos de identificación y firma electrónica 7.1 Admisión de mecanismos de identificación electrónica Para los trámites clasificados con categoría alta Para los trámites clasificados con categoría media Para los trámites clasificados con categoría baja 7.2 Admisión de mecanismos de firma electrónica Para los trámites clasificados con categoría alta Para los trámites clasificados con categoría media Para los trámites clasificados con categoría baja 8. Criterios comunes para el establecimiento de mecanismos de identificación y firma electrónica en la implantación de servicios electrónicos 8.1 Criterio general 8.2 Criterios de aplicación de nivel alto de seguridad 8.3 Criterio de aplicación de nivel bajo de seguridad 8.4 Otros criterios de establecimiento del nivel de seguridad 9. Actualización y seguimiento de la aplicación del Protocolo de identificación y firma electrónica 9.1 Actualización de los mecanismos de identificación y firma electrónica 9.2 Actualización de la clasificación del nivel de seguridad 9.3 Actualización de los criterios generales para el establecimiento del nivel de seguridad del trámite 1. Introducción La Ley 59/2003, de 19 de diciembre, de firma electrónica es la norma general que regula las características y el uso de la firma electrónica. Esta Ley permite, de acuerdo con el artículo 4, que las administraciones públicas hagan uso de los mecanismos de firma electrónica y que establezcan condiciones adicionales a su uso para salvaguardar las garantías de cada procedimiento. Por otra parte, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos establece los tipos de firma a utilizar por parte de la ciudadanía y de las administraciones públicas cuando se relacionan por medios electrónicos. La Ley de acceso electrónico de los ciudadanos a los servicios públicos ha sido objeto de un despliegue reglamentario posterior. En primer lugar, esta Ley ha sido desarrollada por el Real decreto 1671/2009, por el que se despliega parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, el cual introduce determinadas obligaciones relacionadas con el uso de la firma electrónica para las administraciones de ámbito estatal. Este Real decreto se aplica a las administraciones catalanas de forma supletoria, es decir, en aquellos casos en que no haya una norma propia de ámbito autonómico que cubra un determinado supuesto de hecho.

4 4/12 Diari Oficial de la Generalitat de Catalunya En segundo lugar, se han aprobado el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad (Real decreto 3/2010 y Real decreto 4/2010, respectivamente), por los que se despliega la Ley de acceso electrónico de los ciudadanos a los servicios públicos en aspectos puntuales relacionados con la gestión de los sistemas de información de las administraciones públicas y de acuerdo con la remisión legal operada por el artículo 42 de la Ley. Estos documentos establecen unas bases comunes para todas las administraciones públicas con el fin de asegurar la interoperabilidad entre los sistemas de información garantizando la normalización, la seguridad y la conservación de la información. El contenido de las disposiciones del Esquema Nacional de Seguridad y del Esquema Nacional de Interoperabilidad es incorporado en los diferentes apartados de este Protocolo y, particularmente, se integran en la evaluación de los riesgos para la determinación de los sistemas de firma que se quiera utilizar. En el ámbito de Cataluña, el Decreto 56/2009, de 7 de abril, para el impulso y el desarrollo de los medios electrónicos a la Administración de la Generalidad es la norma que despliega las bases establecidas por la Ley de acceso electrónico de los ciudadanos a los servicios públicos. Posteriormente, se han aprobado la Ley 29/2010, de 3 de agosto, del uso de los medios electrónicos en el sector público de Catalunya; la Ley 26/2010, de 3 de agosto, de régimen jurídico y de procedimiento de las administraciones públicas de Cataluña, y el Decreto 232/2013, de 15 de octubre, por el que se crea la Sede electrónica, textos que completan el cuerpo normativo regulador del uso de los medios electrónicos en Cataluña. 2. Objeto del Protocolo El objeto de este Protocolo es establecer los criterios comunes en la Administración de la Generalidad de Cataluña con respecto a los aspectos técnicos y organizativos necesarios para la implantación de los sistemas de identificación y firma electrónica para cada trámite o servicio, en función de su grado de seguridad. 3. Ámbito de aplicación Este Protocolo se aplica a los trámites o procedimientos que se producen en las relaciones entre la Administración de la Generalidad de Cataluña y los ciudadanos y ciudadanas, y en las relaciones entre los diferentes órganos administrativos, en los ámbitos siguientes: a) En el ámbito subjetivo establecido en el artículo 2 del Decreto 56/2009. b) En el ámbito de las relaciones interadministrativas, mediante convenios u otros instrumentos jurídicos. c) En el ámbito de las relaciones interorgánicas, en los términos establecidos por acuerdo del Gobierno. 4. Órganos competentes A los efectos de la aplicación de este Protocolo, son órganos competentes: 4.1 Órganos competentes en la elaboración, la ejecución y el seguimiento del Protocolo Departamentos de la Generalitat: los departamentos y entidades u organismos vinculados o dependientes son los responsables de implantar los servicios electrónicos en el ámbito de sus competencias, con el objetivo de mejorar la eficacia, la eficiencia y la transparencia de los servicios públicos. En el marco de este Protocolo, son los encargados de adecuar los criterios de este documento a los trámites o procedimientos electrónicos. Secretaría de Administración y Función Pública: mediante la Oficina de Procesos y Administración Electrónica (OPAE), la Secretaría es el órgano competente para el impulso de los medios electrónicos en el ámbito de la Administración de la Generalidad de Cataluña. En el marco de este Protocolo, es el órgano encargado de elaborarlo y actualizarlo y, si procede, de impulsar las medidas de ejecución y desarrollo que correspondan. Centro de Telecomunicaciones y Tecnologías de la Información (CTTI): es el órgano competente en el desarrollo de la política en materia de tecnologías de la información y la comunicación. En el marco de este Protocolo, tiene encomendada la función de desarrollar las herramientas corporativas necesarias para la identificación y la firma. Consorcio Administración Abierta de Cataluña (Consorcio AOC): es el órgano competente en crear soluciones corporativas y prestar servicios de administración electrónica comunes para todas las administraciones catalanas, reutilizar las aplicaciones y los servicios de administración electrónica que se desarrollen, garantizar la identidad y acreditar la voluntad en las actuaciones de los ciudadanos y ciudadanas, y del personal del sector

5 5/12 Diari Oficial de la Generalitat de Catalunya público, así como la confidencialidad y el no rechazo en las comunicaciones electrónicas. Asimismo, por el Acuerdo GOV/138/2013, de 15 de octubre de 2013, el Consorcio AOC presta servicios de firma electrónica en el sector público de Cataluña en las comunicaciones electrónicas que llevan a cabo las entidades del sector público de Cataluña. Comisión para el Impulso de los Medios Electrónicos en la Administración (CIMEA): la Comisión para el Impulso de los Medios Electrónicos en la Administración tiene por objeto la coordinación de la actuación de los departamentos que ejecutan políticas transversales en el ámbito del impulso y el desarrollo de los medios electrónicos en la actuación administrativa, a efectos de definir las políticas y las estrategias TIC en el ámbito de la Generalidad y su sector público. Las funciones de la Comisión para el Impulso de los Medios Electrónicos en la Administración son: - La supervisión estratégica y la definición de prioridades en relación con los proyectos corporativos que se implementen en este ámbito. - El seguimiento de la planificación estratégica aprobada, el control de la ejecución, la detección de las disfuncionalidades y la propuesta de soluciones. - La coordinación entre los departamentos de la Administración de la Generalidad de Cataluña y sus organismos públicos para racionalizar el impacto de las tecnologías de la información y unificar los criterios y las metodologías utilizadas. Asimismo, le corresponde formalizar, con carácter previo, este Protocolo, así como las modificaciones y actualizaciones posteriores. 4.2 Órganos competentes en el impulso de servicios o trámites electrónicos Departamentos de la Generalidad: los departamentos y los órganos que dependen de ellos son los responsables de implantar servicios electrónicos en el ámbito de sus competencias, con el objetivo de mejorar la eficacia, la eficiencia y la transparencia de los servicios públicos. Dirección General de Atención Ciudadana y Difusión (DGACD): es el órgano competente en la definición y el desarrollo de la política de atención a la ciudadanía. En el marco de este Protocolo, es el órgano que pone a disposición de los departamentos la plataforma corporativa de servicios electrónicos Trámites gencat, que incorpora mecanismos de identificación y firma. Departamento de Empresa y Ocupación: mediante la Ventanilla Única Empresarial, que actúa como red interadministrativa para facilitar el acceso a los trámites de los procedimientos administrativos que son competencia de los diversos departamentos, así como para facilitar las relaciones entre empresas y administraciones públicas catalanas. Centro de Telecomunicaciones y Tecnologías de la Información (CTTI): es el órgano competente en el desarrollo de la política en materia de tecnologías de la información y la comunicación. 5. Identidad electrónica y firma electrónica A los efectos de determinar la identidad y firma electrónica adecuada al grado de seguridad de cada trámite o servicio electrónico, este Protocolo establece: 1. Los mecanismos de identificación y firma electrónica aplicables para cada trámite o servicio, de acuerdo con el Reglamento europeo 910/2014 relativo a la identificación electrónica y los servicios de confianza (en adelante ReIdAS) y las normativas autonómicas y estatales en materia de identificación y firma electrónica. 2. Los mecanismos de firma electrónica y sello electrónico, de acuerdo con lo que determinan las secciones 4 y 5 del ReIdAS, que se establecen en el punto 6 de este Protocolo son: - Firmas y sellos electrónicos - Firmas y sellos electrónicos avanzados - Firmas y sellos electrónicos avanzados basados en certificados calificados - Firmas y sellos electrónicos calificados 3. La admisión de los mecanismos de identificación y firma electrónica según la clasificación de los niveles de seguridad que determina el artículo 8 del ReIDAS y otras normas estatales en materia de seguridad, que se

6 6/12 Diari Oficial de la Generalitat de Catalunya establecen en el punto 7. Estos mecanismos se clasifican en tres niveles de seguridad: - Nivel de seguridad bajo, con el objetivo de reducir el riesgo de uso indebido o alteración de la identidad presentada. - Nivel de seguridad sustancial, con el objetivo de reducir sustancialmente el riesgo de uso indebido o alteración de la identidad. - Nivel de seguridad alto, con el objetivo de evitar el uso indebido o la alteración de la identidad. 4. Criterios generales para la determinación del grado de seguridad que requiere un trámite o servicio electrónico, que se establecen en el punto 8 de este Protocolo. 5. El órgano competente en el desarrollo de un servicio electrónico determinará los mecanismos de identificación o de firma electrónica que sean pertinentes para cada trámite, vista la diversa funcionalidad de ambos mecanismos electrónicos. 6. De conformidad con el artículo 26. b) del ReIDAS y el artículo 3 de la Ley de 59/2003 de firma electrónica, la firma electrónica tiene que permitir la identificación de la persona que firma el documento. El órgano competente en la creación del servicio, de acuerdo con la normativa de procedimiento administrativo aplicable, determinará si se requieren exclusivamente mecanismos de firma para la producción de los dos efectos. 6. Mecanismos de identificación y firma electrónica Los mecanismos de identificación y firma electrónica para acreditar la identidad de usuarios y signatarios por medios electrónicos se determinará en función del sujeto y el grado de seguridad del trámite correspondiente. Los mecanismos admitidos son: 6.1 Mecanismos de identificación Para personas físicas - Los certificados electrónicos cualificados que hayan sido emitidos por prestadores de servicios de certificación (PSC) incluidos en la lista de confianza de prestadores de servicios de certificación, denominada Trusted Services List (en adelante TSL) publicada por el órgano competente de cualquier país de la Unión Europea de acuerdo con lo que establece el ReIdAS. - Se tiene que admitir, con carácter general, cualquiera de los medios de identificación incluidos en la lista que publicará la Comisión Europea para acceder a los servicios prestados en línea por un organismo del sector público en un estado miembro, a efectos de la autenticación transfronteriza, conforme a lo que establece el ReIdAS. - El certificado cualificado de firma avanzada idcat para los ciudadanos que emite el Consorcio AOC. - Los certificados del DNI electrónico, de acuerdo con lo que establece la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos. - El mecanismo idcat-sms, que es un mecanismo de identificación y firma electrónica de los ciudadanos (personas físicas) no criptográfico, basado en el envío de códigos de un solo uso en dispositivos móviles, gestionado por el Consorcio AOC Para personas jurídicas - Los certificados reconocidos o cualificados emitidos a favor de una persona jurídica o un ente sin personalidad jurídica y custodiados por una persona física, titular del certificado, la cual lo puede utilizar para actuar en nombre de la empresa o del ente indicado en el certificado. - Los certificados cualificados emitidos a favor de una persona jurídica o un ente sin personalidad jurídica, con indicación expresa de la representación que ejerce la persona física titular del certificado. - Los certificados de sello electrónico cualificado emitidos a favor de una persona jurídica o a un ente sin personalidad por prestadores de servicios de certificación (PSC), incluidos en la TSL publicada por el órgano competente de cualquier país de la Unión Europea de acuerdo con lo que establece el ReIdAS. - Los mecanismos utilizados para la identificación de personas físicas que autentiquen la identidad de un ciudadano que declara representar a una persona jurídica. Esta representación se podrá verificar mediante la consulta a un registro en línea de representaciones, especialmente, mediante el servicio REPRESENTA del Consorcio AOC, cuyas condiciones son accesibles mediante la sede electrónica de la Generalidad.

7 7/12 Diari Oficial de la Generalitat de Catalunya Para los empleados públicos - El certificado reconocido o calificado que el Consorcio AOC emite a los empleados del sector público de Cataluña en dispositivo seguro de creación de firma: la T-CAT. - El certificado reconocido o calificado que el Consorcio AOC emite a los empleados del sector público de Cataluña en soporte software: la T-CAT P. - Los certificados reconocidos o cualificados emitidos por prestamistas incluidos en la TSL, publicada por el Ministerio de Industria, Energía y Turismo conforme al perfil "Empleado público" aprobado por el Consejo Superior de Administración Electrónica. - Otros sistemas no criptográficos, como los usuarios y contraseñas de las plataformas EACAT y GICAR. - Los certificados reconocidos o cualificados emitidos por prestadores incluidos en la TSL, publicada por el Ministerio de Industria, Energía y Turismo que acrediten la vinculación del titular a un ente de la Administración de la Generalidad de Cataluña. - Excepcionalmente, el DNI electrónico, de acuerdo con la Ley 11/2007 de acceso de los ciudadanos a los servicios públicos Para los entes de la Administración de la Generalidad de Cataluña - Los certificados cualificados de sede electrónica y de servidor seguro que el Consorcio AOC emite a los entes del sector público de Cataluña. - Los certificados electrónicos cualificados emitidos por otros prestadores de servicios de certificación diferentes del Consorcio AOC incluidos en la TSL del Ministerio de Industria, Energía y Turismo conforme al perfil "Sede electrónica administrativa" aprobado por el Consejo Superior de Administración Electrónica. - Otros certificados cualificados de autenticación de sitio web, de acuerdo con lo que establece el artículo 45 del ReIdAS, emitidos a nombre de un ente de la Administración de la Generalidad de Cataluña Otros mecanismos de identificación La incorporación de nuevos mecanismos de identificación electrónica, cuando estos mecanismos estén disponibles en el mercado para los usuarios de su ámbito subjetivo, se realizará conforme al procedimiento establecido en el punto 9 de este Protocolo. 6.2 Mecanismos de firma y sello electrónico Se admitirá el uso de los mecanismos de firma y sello electrónico de las personas, de los empleados públicos y también de la Administración de la Generalidad de Cataluña que, de conformidad con lo que establece el artículo 27 del ReIDAS: - sean conformes a alguno de los formatos de referencia que definirá la Comisión Europea para las firmas avanzadas; - o, cuando sean de un formato alternativo, se hayan generado con los métodos de referencia que definirá la misma Comisión. Asimismo, se admitirán otros mecanismos que se clasifiquen de acuerdo con este Protocolo Para personas físicas - Los certificados electrónicos que hayan sido emitidos por prestadores de servicios de certificación (PSC) incluidos en la TSL publicada por el órgano competente de cualquier país de la Unión Europea de acuerdo con lo que establece el ReIdAS. - El certificado reconocido o cualificado de firma avanzada idcat que emite el Consorcio AOC. - Los certificados del DNI electrónico, de acuerdo con lo que establece la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos. - El mecanismo idcat-sms como mecanismo de firma electrónica de los ciudadanos (personas físicas) no criptográfico Para personas jurídicas Las personas jurídicas y los entes sin personalidad jurídica podrán generar firmas electrónicas con los

8 8/12 Diari Oficial de la Generalitat de Catalunya mecanismos de identificación detallados en el punto de este Protocolo Para los empleados públicos Los empleados públicos podrán generar firmas electrónicas con los mecanismos de identificación detallados en el punto de este Protocolo. Se recomienda que, cuando los empleados públicos utilicen firmas electrónicas con sistemas no criptográficos, estos sistemas se formalicen mediante el uso de un sello electrónico y, en su caso, con código seguro de verificación Para los entes de la Administración de la Generalidad de Cataluña - En el ámbito de la actuación administrativa automatizada, y de acuerdo con la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos: - El código seguro de verificación (CSV), como mecanismo de firma electrónica de los entes de la Administración de la Generalidad de Cataluña. - Los certificados reconocidos o cualificados de sello electrónico que el Consorcio AOC emite a los entes del sector público de Cataluña. - Los certificados reconocidos o cualificados emitidos por otros prestadores de servicios de certificación incluidos en la TSL del Ministerio de Industria, Energía y Turismo, conforme al perfil "Sello electrónico" aprobado por el Consejo Superior de Administración Electrónica. - Los certificados reconocidos de persona jurídica que el Consorcio AOC emite a los entes del sector público de Cataluña. - Los certificados reconocidos de persona jurídica emitidos a los entes de la Administración de la Generalidad de Cataluña por otros prestadores de servicios de certificación incluidos en la TSL del Ministerio de Industria, Energía y Turismo Sellos de tiempo Las firmas electrónicas avanzadas incorporan sellos de tiempo generados por alguno de los servicios siguientes: - El servicio sello de tiempo del Consorcio AOC. - Los servicios publicados en la sede electrónica del Ministerio de Industria, Energía y Turismo en el apartado "Otros servicios en relación con la firma electrónica - Servicios de validación temporal". - Cualquier otro servicio de sello de tiempo cualificado conforme a lo que establece la sección 6 del ReIdAS y que haya sido incluido en una de las listas de servicios de confianza publicadas por los estados miembros de la Unión Europea, de acuerdo con lo que establece el artículo 22 del ReIdAS Otros mecanismos de firma La incorporación de nuevos mecanismos de firma electrónica, como los mecanismos de firma biométrica, cuándo éstos estén disponibles en el mercado para los usuarios de su ámbito subjetivo, se debe realizar conforme al procedimiento establecido en el punto 9 de este Protocolo. 7. Admisión de mecanismos de identificación y firma electrónica 7.1 Admisión de mecanismos de identificación electrónica Con carácter general, los ciudadanos y ciudadanas pueden identificarse electrónicamente ante la Administración de la Generalidad de Cataluña utilizando cualquier sistema de identificación que cuente con un registro previo como usuario que permita garantizar su identidad. La admisión de los mecanismos de identificación y firma electrónica se realiza conforme a los niveles de seguridad requeridos en el Esquema Nacional de Seguridad. Los mecanismos de identificación electrónica considerados admisibles para los trámites de una categoría determinada son también admisibles para los trámites clasificados de categoría inferior. Cuando en el contexto de un servicio electrónico de la Administración de la Generalidad se deba garantizar la protección de la confidencialidad de los datos implicados mediante mecanismos de identificación electrónica, se admitirán los sistemas siguientes:

9 9/12 Diari Oficial de la Generalitat de Catalunya Para los trámites clasificados con categoría alta Se admiten los sistemas de identificación electrónica de nivel de seguridad alto, que son los que hacen un registro de los usuarios presencial y fiable y proveen a los usuarios de un medio de identificación electrónica de doble factor. Se admiten con carácter obligatorio: - Los certificados reconocidos o cualificados que se emitan en un dispositivo cualificado de creación de firma electrónica, de entre los establecidos en el punto 6 de este Protocolo, atendiendo a las tipologías de certificados y del colectivo específico. - Cualquiera de los medios de identificación que haya sido clasificado con nivel de seguridad alto y se incluya en la lista que, conforme a lo que establece el ReIDAS en el capítulo 2, publicará la Comisión Europea para acceder a los servicios prestados en línea por un organismo del sector público en un estado miembro, a efectos de la autenticación transfronteriza Para los trámites clasificados con categoría media o sustancial Se admiten los sistemas de identificación electrónica de nivel de seguridad media o sustancial, que son los que hacen un registro fiable de los usuarios, el cual se podrá llevar a cabo de manera presencial o remota (en línea), y proveen a los usuarios de unas credenciales de robustez sustancial. Concretamente, a. Obligatoriamente, los certificados reconocidos o cualificados y los certificados reconocidos o cualificados de sello electrónico establecidos en el punto 6 de este Protocolo, atendiendo a las tipologías de certificados y del colectivo específico. b. Obligatoriamente, cualquiera de los medios de identificación que haya sido clasificado con nivel de seguridad sustancial y se incluya en la lista que, conforme a lo que establece el ReIDAS en el capítulo 2, publicará la Comisión Europea para acceder a los servicios prestados en línea por un organismo del sector público en un estado miembro, a efectos de la autenticación transfronteriza. c. El mecanismo idcat-sms. d. Cualquier otro mecanismo que haya sido clasificado con nivel medio, de acuerdo con lo que establece este Protocolo Para los trámites clasificados con categoría baja Son admisibles los mecanismos de identificación de nivel de seguridad bajo, que son los que hacen un registro ordinario de los usuarios (que no incluyen la verificación fiable del documento identificador oficial ni la comprobación de los otros datos de identificación personal y/o de otros atributos que se establezcan) o proveen a los usuarios de unas credenciales de robustez baja. 7.2 Admisión de mecanismos de firma electrónica Con carácter general, las personas físicas interesadas pueden acreditar mediante una firma electrónica la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad y la inalterabilidad de los datos y/o documentos que quieran firmar. Una persona jurídica o un ente sin personalidad pueden acreditar el origen y la integridad de los datos y/o de los documentos que remita a la Administración de la Generalidad de Cataluña, en el contexto de un servicio electrónico, mediante un sello electrónico o una firma electrónica cualificada del representante del ente. Los mecanismos de firma electrónica considerados admisibles para los trámites clasificados con una categoría determinada son también admisibles para las actuaciones clasificadas de categoría inferior. En particular, cuando en el contexto de un servicio electrónico de la Administración de la Generalidad de Cataluña se requiera una firma electrónica para garantizar la protección de la integridad y de la autenticidad de los datos o de los documentos implicados, se admitirán las firmas siguientes: Para los trámites clasificados con categoría alta Se admiten firmas electrónicas reconocidas o cualificadas o sellos electrónicos reconocidos o cualificados, según corresponda, con carácter obligatorio: - Con respecto a los formatos, los servicios electrónicos ofrecidos por los organismos de los estados

10 10/12 Diari Oficial de la Generalitat de Catalunya miembros de la Unión Europea tienen que reconocer las firmas cualificadas que sean conformes a alguno de los formatos de referencia que se definirán para las firmas cualificadas o que se hayan generado con los métodos de referencia cuando sean de un formato alternativo, según lo que establece el artículo 27 del ReIDAS, a efectos de garantizar la interoperabilidad en el acceso transfronterizo a los servicios públicos. - Con respecto a los certificados utilizados, se tienen que admitir las firmas electrónicas generadas con los certificados reconocidos o cualificados de firma electrónica, de entre los previstos en el apartado 6.2 de este Protocolo, que se emitan en un dispositivo cualificado de creación de firma electrónica. También los sellos electrónicos generados con los certificados de sello electrónico reconocidos o cualificados, de entre los previstos en el apartado 6.2 de este Protocolo, que se emitan en un dispositivo cualificado de creación de sellos electrónicos, atendiendo a las tipologías de certificados y del colectivo específico Para los trámites clasificados de categoría media o sustancial Serán admisibles las firmas electrónicas avanzadas y los sellos electrónicos avanzados que se fundamenten en un procedimiento de registro fiable de la identidad de los usuarios; también las firmas electrónicas avanzadas basadas en un certificado reconocido o cualificado de firma electrónica y los sellos electrónicos avanzados basados en certificados cualificados de sello electrónico, conforme a lo que establece el ReIDAS en los artículos 27.1 y 37.1, así como las firmas electrónicas ordinarias generadas a partir de un mecanismo de identificación de nivel de seguridad sustancial, como los considerados en el apartado de este Protocolo u otros que se puedan incorporar conforme al apartado 9. Concretamente, - Respecto a los formatos, los servicios electrónicos ofrecidos por los organismos de los estados miembros de la Unión Europea tienen que reconocer las firmas electrónicas avanzadas y las firmas avanzadas basadas en un certificado cualificado de firma electrónica que sean conformes a alguno de los formatos de referencia que se definirán para las firmas electrónicas avanzadas, o que se hayan generado con los métodos de referencia cuando sean de un formato alternativo, conforme a lo que establece el artículo 27 del ReIDAS, a efectos de garantizar el correcto tratamiento de los documentos firmados electrónicamente en el uso transfronterizo de los servicios públicos. - Con respecto a los certificados utilizados, se tienen que admitir las firmas electrónicas generadas con los certificados de firma electrónica considerados en el apartado 6.2 de este Protocolo. También los sellos electrónicos generados con los certificados de sello electrónico considerados en el mismo apartado 6.2 de este Protocolo, atendiendo a las tipologías de certificados que se detallan para cada uno de los colectivos que se especifican. - Serán admisibles las basadas en el mecanismo idcat-sms. - Cualquier otro mecanismo que haya sido clasificado con nivel medio, de acuerdo con lo que establece este Protocolo Para los trámites clasificados con categoría baja Se admiten los mecanismos que generan firmas electrónicas ordinarias a partir de un mecanismo de identificación de nivel de seguridad bajo, como los descritos en el apartado de este Protocolo u otros que se puedan incorporar de acuerdo con el apartado Uso de sellos de tiempo Se admiten las firmas electrónicas avanzadas que incorporan sellos de tiempo generados por alguno de los servicios descritos en el apartado de este Protocolo. 8. Criterios comunes para el establecimiento de mecanismos de identificación y firma electrónica en la implantación de servicios electrónicos 8.1 Criterio general Se establece como criterio general que, para la identificación y la firma electrónica en los trámites o servicios electrónicos, se admitirán los mecanismos de identificación y firma clasificados con nivel de seguridad medio o sustancial, conforme a los apartados y de este Protocolo. 8.2 Criterios de aplicación de nivel alto de seguridad Se requerirá el establecimiento de un nivel de seguridad alto en la implantación de sistemas de identificación y firma electrónica para el establecimiento de trámites o servicios electrónicos que reúnan alguno de estos

11 11/12 Diari Oficial de la Generalitat de Catalunya requisitos: - Identificación y firma de trámites que den acceso o transfieran datos de alto nivel de protección según el artículo 7 de la Ley orgánica de protección de datos de carácter personal (LOPD) o cuando el acceso a los datos pueda afectar a los derechos de terceras persones especialmente protegidas por la LOPD. - Identificación y firma en el trámite o proceso de contratación, de conformidad con la disposición adicional decimosexta f), de la Ley 59/2003, de 19 de diciembre, de firma electrónica. - Identificación y firma en el trámite o proceso de concesión de subvenciones u otros trámites con un contenido económico de más de euros o cuando así esté establecido en las bases reguladoras de las convocatorias. - Los trámites o procedimientos que la normativa específica establezca con un nivel alto de identificación o firma electrónica. 8.3 Criterio de aplicación de nivel bajo de seguridad Se requerirá el establecimiento de un nivel de seguridad bajo en los sistemas de identificación y firma electrónica para trámites o servicios electrónicos que reúnan alguno de estos requisitos: - Identificación y/o firma en trámites de pago o autoliquidaciones de tasas y tributos. - Todos los trámites electrónicos o servicios electrónicos de un procedimiento administrativo, a excepción de las actuaciones siguientes: formular solicitudes, presentar declaraciones responsables, interponer recursos, desistir de acciones o renunciar a derechos, así como aquellos trámites que contengan una información de un nivel más elevado de seguridad. - Otros trámites o procedimientos en los que la normativa específica establece un sistema de identificación y firma de nivel bajo de seguridad. 8.4 Aprobación de otros criterios de establecimiento de nivel de seguridad Los órganos que impulsen o modifiquen servicios electrónicos podrán proponer un nivel de seguridad diferente al establecido en los apartados anteriores de este Protocolo, atendiendo a criterios de seguridad y garantía jurídica. La modificación de los criterios de este apartado requiere el informe de la Secretaría de Administración y Función Pública sobre la adecuación de la propuesta de modificación del nivel de seguridad. 9. Mecanismos de revisión del Protocolo de identificación y firma electrónica 9.1 Actualización y seguimiento del Protocolo La Secretaría de Administración y Función Pública emitirá un informe anual sobre la aplicación y la ejecución de este Protocolo, así como la adecuación y la revisión de los criterios para el establecimiento de mecanismos de identificación y firma electrónica al nivel de seguridad adecuado al trámite, establecidos en este Protocolo. El informe propondrá, si procede, la actualización, la incorporación o la supresión de los mecanismos de identificación y firma electrónica establecidos en este Protocolo, así como la actualización y la revisión del nivel de seguridad de estos mecanismos. El informe anual se presentará a la CIMEA, que informará sobre la incorporación, la actualización o la supresión de los mecanismos de identificación y firma electrónica establecidos en este Protocolo. 9.2 Revisión de la clasificación de los niveles de seguridad de los sistemas de identificación y firma electrónica y la incorporación de nuevos mecanismos Corresponde a la Secretaría de Administración y Función Pública, de oficio o a propuesta de los órganos competentes establecidos en el artículo 4 de este Protocolo, la revisión de la clasificación de los niveles de seguridad de los sistemas de identificación y firma electrónica, y la incorporación de nuevos mecanismos con el informe previo del Centro de Seguridad de la Información de Cataluña, en relación con el control de la seguridad de los mecanismos propuestos, y del Consorcio AOC Actualización de los mecanismos de identificación y firma electrónica La actualización de los mecanismos de identificación y firma electrónica establecidos en este Protocolo se acuerda mediante resolución de la Secretaría de Administración y Función Pública, con el informe previo de la

12 12/12 Diari Oficial de la Generalitat de Catalunya CIMEA. Las resoluciones de actualización se publicarán en la Sede electrónica de la Generalidad de Cataluña, donde se informará de los servicios electrónicos afectados por las actualizaciones. Asimismo, los órganos que tramitan los servicios electrónicos que se vean afectados por la actualización, lo tienen que comunicar en sus sedes. Cualquier organismo puede proponer a la Secretaría de Administración y Función Pública la actualización o supresión de un sistema de identificación o firma electrónica. ( )