miércoles, 28 de enero de 2009

guía sobre protección de datos en Entidades Locales

Aprovecho que hoy es el Día Europeo de la Protección de Datos para compartir con vosotros un regalito que me ha llegado por correo-e hoy mismo. Se trata de la "Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos" que ha publicado el Instituto Nacionial para las Tecnologías de la Comunicación (INTECO).

Ciertamente, hay otros documentos que pueden resultar también de mucho interés con el mismo tema, entre otras la Guía de la Junta de Castilla y León

Sin duda, muchas Entidades Locales se encuentran desorientadas en esta materia, de manera que el documento les va a resultar de gran interés. Enhorabuena a los responsables de la iniciativa.

viernes, 23 de enero de 2009

formación en Administración electrónica

Un recordatorio de Daniel Sánchez sobre la 3ª edición del Curso de Iniación a la Administración electrónica que dirige y en el que participo me ha recordado que, precisamente, la disposición adicional segunda de la Ley 11/2007 contempla como una de las principales medidas que deben adoptar las Administraciones Públicas promover actividades de formación de su personal. Ahora bien, dado que ya tengo alguna experiencia acumulada en los últimos años en impartir formación en esta materia en todo tipo de escenarios, me permito compartir con vosotros algunas reflexiones.

Creo que en demasiadas ocasiones los responsables administrativos no son plenamente conscientes de la necesidad de ofrecer formación especializada en esta materia al personal de su organización, lo cual acaba generando un problema en forma de reticencia a una nueva forma de gestión basada en las herramientas tecnológicas. Así pues, uno de los principales aliados termina por convertirse en un acérrimo enemigo.

Por otra parte, pienso que el concepto de formación ligado simplemente a incrementar los méritos para un eventual ascenso es en este ámbito muy dañino: Por una parte, existe un riesgo cierto de que te encuentres con auditorios abarrotados a los que les importa bien poco que hables de TICs, suvenciones, sanciones administrativas o inembargabilidad de los biens públicos... Es, sinceramente, muy descorazonador que después de estar un buen rato dando explicaciones y más explicaciones las ponencias terminen muchas veces sin preguntas por parte del auditorio. O uno es muy oscuro en la exposición o, simplemente, ni han entendido mucho ni les importa. Quizás ambas cosas...

Por otra parte, se desaprovechan diversas posibilidades formación que, poco a poco y tímidamente van apareciendo, tal y como sucede con los cada vez más numerosos materiales audiovisuales que hay en Internet que permiten asistir, a distancia y en cualquier momento, a diversas ponencias y conferencias especializadas. A este respecto, me permito poner a vuestra disposición algunas de mis intervenciones accesibles online y, sobre todo, recordaros los materiales de los Congresos Derecho TICs/SICARM que venimos organizando en Murcia en mayo desde hace unos años, donde la totalidad del evento está disponible en video online. Precisamente, ya estamos trabajando en la edición 2009, de la que pronto daré noticias aquí mismo. ¡No os lo perdáis este año!

Finalmente, considero que debe potenciarse el uso de las TICs en el ofrecimiento de actividades formativas para el personal al servicio de las Administraciones Públicas. Ahora bien, debemos ser muy conscientes de que esta nueva metodología, aun permitiendo que se aprovechen mejor las posibilidades de la accción formativa (soy director de un curso online sobre protección de datos personales que ya va por la quinta edición y, creedme, los comentarios generalizados de los alumnos van en esta línea) exige, sin embargo, una mayor dedicación tanto para el profesorado como, en especial, para el alumno.

sábado, 10 de enero de 2009

La validación del e-documento administrativo: el caso de la FNMT

Al leer uno de mis blogs favoritos, el de Javier Cao, he recordado algunas reflexiones sobre este tema que tengo publicados en un trabajo anterior fruto de mi participación en el Congreso sobre el documento electrónico que organizó la Universidad Jaime I de Castellón hace unos meses (video de la conferencia), que finalmente ha visto la luz en el libro de actas del evento coordinado por José Luis Blasco y Modesto Fabra. Se trata, sin duda, de un tema clave por cuanto sólo si la validación de los certificados puede llevarse a cabo podrá comprobarse la integridad y autenticidad del documento administrativo electrónico. Para entender realmente el alcance de esta afirmación hay que partir de lo dispuesto en el artículo 29 LAE. Este precepto ha establecido ciertos requisitos para la validez y eficacia de los documentos administrativos, entre los que destaca en relación con este tema la exigencia de que incorporen una o varias firmas electrónicas. Pues bien, son diversos los problemas que, desde la perspectiva de la validación, presenta la necesaria incorporación de esta garantía técnica.

En primer lugar, hay que partir de que cualquier entidad pública o privada ha de aceptar aquellos documentos administrativos emitidos por las Administraciones Públicas que hubiera sido firmados digitalmente utilizando los servicios de certificación ofrecidos por cualquier proveedor que satisfaga las exigencias técnicas que, a tal efecto, se establecen en la legislación de firma electrónica. Se trata de una consecuencia ineludible a la vista del principio de libre prestación de servicios de certificación que, por imposición de la normativa europea en la materia, reconoce el artículo 5 LFE, incluso si los citados prestadores se encontraran establecidos en otro Estado de la Unión Europea. En consecuencia, la admisibilidad de tal número y diversidad de certificados supone un inconveniente práctico relevante, sobre todo por la exigencia de comprobar su vigencia —y, en su caso, de los atributos del titular del órgano, autoridad o funcionario signatario— en el momento de la fecha que aparece reflejada en el documento administrativo.

Este inconveniente se encuentra reduplicado por lo que se refiere a los servicios ofrecidos por la Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda, prestador que normalmente opera a través de convenios con las respectivas Administraciones Públicas, en virtud de los cuales los servicios de validación sólo se encuentran accesibles previa satisfacción de una cierta cantidad económica; modelo de negocio basado en el pago por el destinatario de los documentos firmados y no por parte de quien los firma, que es en realidad a quien se le presta el servicio, cuya conformidad con el artículo 21 LAE es más que dudosa. En efecto, según el citado precepto, los certificados reconocidos sólo serán admitidos cuando el prestador ponga a disposición de la Administración Pública la información precisa en condiciones técnicamente viables y sin coste alguno para ella, de manera que la conclusión parece evidente: la negativa de la FNMT a ofrecer servicios de validación de forma gratuita a terceras entidades en relación con los documentos firmados por aquellas Administraciones Públicas que sí tienen suscrito un convenio con ella es contraria a lo dispuesto en el citado precepto legal.

Así pues, el receptor del documento electrónico podría no disponer de medios lícitos para hacer la comprobación en las condiciones del artículo 21 LAE y, en consecuencia, difícilmente pude hablarse de una obligación al respecto. Así pues, únicamente podría conocer si el certificado estaba o no caducado ya que dicha información sí consta en la información que el mismo proporciona, pero no si dicho certificado había sido revocado y, en consecuencia, se encontraba en vigor al ser utilizado para signar electrónicamente el documento administrativo en cuestión.

Este problema debería solventarse de forma definitiva obligando a todos los prestadores y, en concreto a la FNMT, a que permitan el libre acceso a la información necesaria para comprobar el estado del certificado en el momento de ser utilizado respetando las condiciones a que se refiere el artículo 21 LAE, es decir, sin coste alguno para la Administración Pública destinataria del documento. Precisamente, el artículo 21.3 LAE pretende establecer el mecanismo oportuno a tal efecto al disponer que la Administración General del Estado ofrezca una plataforma de “verificación del estado de revocación de todos los certificados admitidos en el ámbito de las Administraciones Públicas que será de libre acceso por parte de todos los Departamentos y Administraciones”. Sin embargo, dadas las condiciones de uso del referido servicio (@firma), el acceso al estado de los certificados expedidos por la FNMT sólo es posible cuando se tenga firmado un convenio con dicha entidad, es decir, cuando se pague por los servicios de certificación prestados por la misma (véase apartado 5.1.2a). Al margen de las dificultades prácticas que estas condiciones suponen para el intercambio de documentos administrativos firmados electrónicamente dado el amplio número de Administraciones Públicas que utilizan los servicios de la FNMT, se trata de una práctica claramente contraria a lo dispuesto en el artículo 21 LAE y, en definitiva, nos lleva a la inexorable conclusión de que los certificados de dicho prestador cuyo estado de revocación no se pueda comprobar gratuitamente pueden no ser admitidos —es más, no deberían— por las Administraciones Públicas ya que no se puede confiar en su vigencia en el momento de ser utilizados.