Funcionamiento electrónico del sector público
Portal de Internet
Un portal de internet se refiere al punto de acceso electrónico cuyo titular es una Administración Pública, un organismo público o una entidad de Derecho Público. Este portal permite acceder, a través de internet, a la información publicada y, cuando corresponda, a la sede electrónica correspondiente.
Cada Administración tiene la facultad de determinar los contenidos mínimos, los canales de atención a los ciudadanos, y los servicios de difusión y prestación que deben estar presentes en sus portales. Asimismo, se deben establecer criterios obligatorios de imagen institucional. En cualquier caso, es esencial que se consideren los contenidos, formatos y funcionalidades que, según la normativa de reutilización, accesibilidad y transparencia, sean obligatorios para los sitios web.
Los portales de internet deben estar equipados con sistemas que permitan implementar medidas de seguridad, conforme a lo estipulado en el Real Decreto 3/2010, de 8 de enero, que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Punto de Acceso General Electrónico
Según lo dispuesto en el artículo 7 del RD 203/2021, todas las Administraciones Públicas deben contar con un Punto de Acceso General Electrónico (PAGe).
El PAGe de cada Administración Pública proporcionará acceso a los servicios, trámites e información de los órganos, organismos públicos y entidades vinculadas o dependientes de la correspondiente Administración Pública.
Este PAGe contará con una sede electrónica a través de la cual se podrá acceder a todas las sedes electrónicas y sedes asociadas de la Administración Pública correspondiente.
Además, esta sede electrónica puede incluir un área personalizada, donde cada interesado, mediante procedimientos seguros que garanticen la integridad y confidencialidad de sus datos personales, podrá acceder a su información, realizar el seguimiento de los trámites administrativos que le conciernan, y recibir notificaciones y comunicaciones en el ámbito de la Administración Pública competente.
El PAGe de la Administración General del Estado, junto con su sede electrónica, será gestionado por el Ministerio de Política Territorial y Función Pública, en colaboración con la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital.
En esta sede electrónica se aloja la Dirección Electrónica Habilitada Única, mencionada en el artículo 43 de la Ley 39/2015, de 1 de octubre.
El PAGe de la Administración General del Estado, a través de su sede, permitirá verificar la autenticidad e integridad de los documentos emitidos por el sector público estatal mediante el Código Seguro de Verificación u otro sistema de firma o sello basado en un certificado electrónico cualificado utilizado en su creación. También permitirá, si es necesario, la recuperación de dichos documentos.
Además, el PAGe de la Administración General del Estado podrá interoperar con portales web oficiales de la Unión Europea.
La Carpeta Ciudadana del Sector Público Estatal
La Carpeta Ciudadana es el espacio personalizado para las personas que interactúan con el sector público estatal. Además del propio interesado, pueden acceder a la Carpeta Ciudadana:
a) Sus representantes legales.
b) Aquellos que tengan un poder general, tal como se indica en el artículo 6.4.a) de la LPACAP, otorgado por el interesado e inscrito en el Registro Electrónico de Apoderamientos.
La Carpeta Ciudadana se podrá acceder a través de la sede electrónica del PAGe de la Administración General del Estado y podrá ofrecer, entre otras, las siguientes funcionalidades para el interesado o sus representantes:
a) Permitir el seguimiento del estado de tramitación de los procedimientos en los que sea parte interesada.
b) Facilitar el acceso a sus comunicaciones y notificaciones.
c) Permitir conocer qué datos personales están en poder del sector público estatal, respetando las limitaciones establecidas por la normativa vigente.
d) Facilitar la obtención de certificaciones administrativas exigidas por la normativa aplicable.
El interesado accederá a la Carpeta Ciudadana mediante los sistemas de identificación mencionados en el artículo 9.2 de la LPACAP. Asimismo, es responsabilidad del interesado asegurar el uso correcto de los sistemas de identificación y garantizar que el acceso a su Carpeta Ciudadana solo sea realizado por él mismo o por una persona debidamente autorizada.
La Sede Electrónica
La sede electrónica es la dirección electrónica disponible para los ciudadanos a través de redes de telecomunicaciones, cuya titularidad recae en una Administración Pública, organismo público o entidad de Derecho Público en el ejercicio de sus competencias.
A través de esta sede electrónica, se realizarán todas las actuaciones y trámites relacionados con procedimientos o servicios que requieran la identificación de la Administración Pública y, cuando sea necesario, la identificación o firma electrónica de las personas interesadas.
La creación de una sede electrónica implica que el titular es responsable de la integridad, veracidad y actualización de la información y los servicios accesibles a través de la misma.
Cada Administración Pública establecerá las condiciones y herramientas necesarias para la creación de sedes electrónicas, respetando los principios de transparencia, publicidad, responsabilidad, calidad, seguridad, disponibilidad, accesibilidad, neutralidad e interoperabilidad.
En cualquier caso, se debe garantizar la identificación del órgano titular de la sede, así como proporcionar los medios necesarios para la formulación de sugerencias y quejas.
Las sedes electrónicas contarán con sistemas que permitan establecer comunicaciones seguras siempre que sea necesario.
La publicación de información, servicios y transacciones en las sedes electrónicas se llevará a cabo respetando los principios de accesibilidad y uso, de acuerdo con las normas establecidas al respecto, utilizando estándares abiertos y, cuando sea necesario, otros que sean ampliamente utilizados por los ciudadanos.
Para identificarse y garantizar una comunicación segura, las sedes electrónicas utilizarán certificados reconocidos o cualificados de autenticación de sitio web u otro medio equivalente.
Creación
Se podrán crear una o varias sedes electrónicas asociadas a una sede electrónica principal por razones técnicas y organizativas. Las sedes electrónicas asociadas tendrán la misma consideración que una sede electrónica a todos los efectos.
El acto o resolución que establezca la creación o supresión de una sede electrónica o sede asociada deberá publicarse en el boletín oficial correspondiente, dependiendo de cuál sea la Administración Pública titular de la sede o sede asociada, y también en el directorio del Punto de Acceso General Electrónico correspondiente. En el caso de las entidades locales, el boletín oficial será el de la provincia a la que pertenezca la entidad.
El acto o resolución de creación debe determinar, al menos:
a) El ámbito de aplicación de la sede electrónica o sede asociada.
b) La identificación de la dirección electrónica de referencia de la sede electrónica o sede asociada que se cree, así como las direcciones electrónicas de las sedes electrónicas que ya estén asociadas a la misma desde el momento de la creación.
Las sedes electrónicas que se asocien posteriormente a la publicación del instrumento de creación serán referenciadas en la mencionada dirección electrónica.
c) La identificación del titular de la sede.
d) La identificación del órgano u órganos responsables de la gestión y los servicios disponibles en la sede.
Contenido
Según el artículo 11.1 del RD 203/2021, toda sede electrónica o sede electrónica asociada debe poner a disposición de las personas interesadas, como mínimo, los siguientes contenidos:
a) La identificación de la sede electrónica o sede electrónica asociada, junto con la identificación del órgano u organismo titular de la misma y los órganos responsables de la gestión de la información, servicios, procedimientos y trámites disponibles en ella.
b) La identificación del acto o disposición que crea la sede electrónica y acceso al mismo, ya sea de manera directa o a través de un enlace a su publicación en el Boletín Oficial correspondiente.
c) La información necesaria para el uso adecuado de la sede electrónica, incluyendo un mapa o información equivalente que detalle la estructura de navegación y las diferentes secciones disponibles, así como información sobre propiedad intelectual, protección de datos personales y accesibilidad.
d) La lista de sistemas de identificación y firma electrónica que se admiten o se utilizan en la sede.
e) La normativa que regula el Registro al que se accede a través de la sede electrónica.
f) La fecha y hora oficiales, junto con el calendario de días inhábiles aplicable a la Administración a la que pertenece el órgano, organismo público o entidad de derecho público titular de la sede electrónica o asociada.
g) Información sobre cualquier incidencia técnica que impida el funcionamiento normal del sistema o aplicación correspondiente, así como sobre la ampliación del plazo no vencido que, en su caso, haya acordado el órgano competente debido a dicha circunstancia.
h) Una lista actualizada de los servicios, procedimientos y trámites disponibles.
i) Una lista actualizada de las actuaciones administrativas automatizadas relacionadas con los servicios, procedimientos y trámites mencionados en la letra anterior. Cada una de estas actuaciones se acompañará de una descripción de su diseño y funcionamiento, los mecanismos de rendición de cuentas y transparencia, así como los datos utilizados en su configuración y aprendizaje.
Servicios
Conforme al artículo 11.2 del RD 203/2021, las sedes electrónicas y sedes electrónicas asociadas deben ofrecer, como mínimo, los siguientes servicios a disposición de las personas interesadas:
a) Acceso a los servicios y trámites disponibles en la sede electrónica o asociada, indicando los plazos máximos de duración de los procedimientos, excluyendo las posibles ampliaciones o suspensiones que pudiera acordar el órgano competente.
b) Un enlace para la formulación de sugerencias y quejas ante los órganos competentes en cada caso.
c) Los mecanismos de comunicación y procedimientos de reclamación establecidos respecto a los requisitos de accesibilidad de los sitios web y aplicaciones móviles del sector público.
d) Un sistema para verificar los certificados de la sede electrónica.
e) Un sistema para verificar los sellos electrónicos de los órganos, organismos públicos o entidades de derecho público que abarquen la sede electrónica o asociada.
f) Un servicio para comprobar la autenticidad e integridad de los documentos emitidos por los órganos, organismos públicos o entidades de derecho público incluidos en el ámbito de la sede electrónica, que hayan sido firmados mediante cualquier sistema de firma conforme a la LRJSP y para los cuales se haya generado un código seguro de verificación.
g) Acceso a los modelos y sistemas de presentación masiva, de uso voluntario, que permitan a las personas interesadas presentar simultáneamente varias solicitudes, según lo establecido por la Administración, organismo público o entidad de derecho público titular de la sede electrónica o asociada.
h) Acceso a los modelos normalizados para la presentación de solicitudes que establezca, en su caso, la Administración, organismo público o entidad de derecho público titular de la sede electrónica o asociada.
i) Un servicio para consultar el directorio geográfico de oficinas de asistencia en materia de registros, que permita a los interesados identificar la oficina más cercana a su dirección.
De acuerdo con lo estipulado en el artículo 66.1 de la LPACAP, las Administraciones Públicas deben mantener y actualizar en la sede electrónica correspondiente un listado con los códigos de identificación vigentes de sus órganos, centros o unidades administrativas.
Responsabilidad
De acuerdo con el artículo 12 del RD 203/2021, el titular de la sede electrónica, o en su caso, de la sede electrónica asociada, es responsable de garantizar la integridad, veracidad y actualización de la información y los servicios que estén bajo su competencia y que se ofrezcan a través de dicha sede.
Si la sede electrónica o su asociada incluye un enlace o vínculo a otra sede, será el titular de esta última quien tenga la responsabilidad de asegurar la integridad, veracidad y actualización de la información o procedimientos disponibles en la misma. No obstante, el titular de la primera sede debe actuar con la debida diligencia en la incorporación de estos contenidos.
En los casos donde una sede electrónica o asociada contenga procedimientos o servicios cuya competencia recaiga en otro órgano administrativo, organismo público o entidad de derecho público, ya sea de la misma o de otra Administración, el responsable de la integridad, veracidad y actualización de esa información será el titular de la competencia. Sin embargo, el titular de la sede electrónica o asociada deberá también actuar con la debida diligencia en la incorporación de los contenidos.
Relaciones entre Administraciones Públicas
El artículo 3.2 de la LRJSP, al abordar los principios de actuación y las relaciones entre Administraciones Públicas, establece que estas deben interactuar entre sí, así como con sus órganos, organismos públicos y entidades de derecho público vinculadas o dependientes, utilizando preferentemente medios electrónicos. Además, deben facilitar la prestación conjunta de servicios a los interesados.
Esta misma obligación se extiende a las entidades de derecho privado que están vinculadas o dependen de las Administraciones Públicas, cuando estas entidades actúen en el ejercicio de potestades administrativas. Los medios electrónicos utilizados deben garantizar la interoperabilidad y la seguridad de los sistemas y soluciones adoptadas por cada una de ellas, asegurando la protección de los datos personales.
El Esquema Nacional de Seguridad
La expansión de la sociedad de la información depende, en gran medida, de la confianza que los ciudadanos tengan en la interacción con las Administraciones Públicas a través de medios electrónicos.
En este contexto, el derecho de los ciudadanos a comunicarse con las Administraciones Públicas por medios electrónicos implica una obligación para estas, que se basa en promover condiciones que hagan efectivas la libertad y la igualdad, eliminando los obstáculos que puedan dificultar su pleno ejercicio. Esto requiere la implementación segura de estas tecnologías.
El artículo 42.2 de la Ley 11/2007, de 22 de junio, sobre el acceso electrónico de los ciudadanos a los servicios públicos, respondió a esta necesidad creando el Esquema Nacional de Seguridad. Este esquema, regulado por el Real Decreto 3/2010, de 8 de enero, establece los principios básicos y requisitos mínimos necesarios para proteger adecuadamente la información.
Las Administraciones Públicas deben aplicar el Esquema Nacional de Seguridad para garantizar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios que gestionen a través de medios electrónicos en el ejercicio de sus competencias.
El artículo 156.2 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público, establece que el Esquema Nacional de Seguridad tiene como objetivo definir la política de seguridad en el uso de medios electrónicos en el ámbito de esta ley, y está compuesto por los principios básicos y requisitos mínimos que aseguran la protección adecuada de la información tratada.
Objetivo de la Seguridad de la Información
El propósito fundamental de la seguridad de la información es garantizar que una organización administrativa pueda cumplir con sus objetivos utilizando sus sistemas de información. Las decisiones en materia de seguridad deben considerar los siguientes principios fundamentales:
a) Seguridad integral: Garantizar que todos los aspectos de la seguridad estén cubiertos de manera completa.
b) Gestión de riesgos: Evaluar y gestionar los posibles riesgos que puedan afectar a la seguridad de la información.
c) Prevención, reacción y recuperación: Establecer medidas preventivas, así como planes de acción para reaccionar y recuperarse en caso de incidentes.
d) Líneas de defensa: Implementar múltiples capas de defensa para proteger la información.
e) Reevaluación periódica: Revisar y actualizar las medidas de seguridad de manera regular.
f) Función diferenciada: Asegurar que las responsabilidades y funciones en materia de seguridad estén claramente definidas y separadas.
Política de Seguridad en las Administraciones Públicas
Todos los órganos superiores de las Administraciones Públicas deben contar formalmente con una política de seguridad que regule la gestión continua de la seguridad. Esta política debe ser aprobada por el titular del órgano superior correspondiente y debe estar alineada con los principios básicos mencionados anteriormente. Además, se desarrollará aplicando los siguientes requisitos mínimos:
a) Organización e implantación del proceso de seguridad: Estructurar y poner en práctica un proceso de seguridad eficiente.
b) Análisis y gestión de riesgos: Identificar, evaluar y gestionar los riesgos relacionados con la seguridad de la información.
c) Gestión de personal: Asegurar que el personal esté adecuadamente formado y gestionado en materia de seguridad.
d) Profesionalidad: Mantener un alto nivel de competencia y profesionalismo en todas las actividades de seguridad.
e) Autorización y control de los accesos: Regular y supervisar quién tiene acceso a los sistemas de información.
f) Protección de las instalaciones: Asegurar que las instalaciones físicas donde se almacenan o procesan datos estén protegidas.
g) Adquisición de productos: Garantizar que los productos adquiridos cumplan con los estándares de seguridad.
h) Seguridad por defecto: Implementar configuraciones seguras de manera predeterminada.
i) Integridad y actualización del sistema: Mantener los sistemas actualizados y protegidos contra alteraciones no autorizadas.
j) Protección de la información almacenada y en tránsito: Asegurar la seguridad de la información tanto cuando se almacena como cuando se transmite.
k) Prevención ante otros sistemas de información interconectados: Proteger los sistemas de riesgos derivados de su interconexión con otros sistemas.
l) Registro de actividad: Mantener un registro de las actividades que se realizan en los sistemas de información.
m) Incidentes de seguridad: Gestionar y responder a los incidentes de seguridad que puedan ocurrir.
n) Continuidad de la actividad: Garantizar que las actividades puedan continuar en caso de interrupciones o incidentes.
o) Mejora continua del proceso de seguridad: Revisar y mejorar continuamente las medidas de seguridad.
Estos requisitos mínimos se aplicarán en función de los riesgos identificados para cada sistema, pudiendo no ser necesarios algunos en sistemas donde los riesgos no sean significativos.
Determinación de la Categoría del Sistema
La categorización de un sistema se basa en la evaluación del impacto que tendría sobre la organización un incidente que afecte la seguridad de la información o de los sistemas. Este impacto se considera en términos de su repercusión sobre la capacidad de la organización para:
a) Alcanzar sus objetivos.
b) Proteger los activos bajo su responsabilidad.
c) Cumplir con sus obligaciones diarias de servicio.
d) Cumplir con la normativa vigente.
e) Respetar los derechos de las personas.
Para determinar el impacto de un incidente en la seguridad de la información y establecer la categoría del sistema, se considerarán las siguientes dimensiones de seguridad, identificadas por sus correspondientes iniciales:
a) Disponibilidad [D]
b) Autenticidad [A]
c) Integridad [I]
d) Confidencialidad [C]
e) Trazabilidad [T]
Evaluación de la Afectación de la Seguridad en Información o Servicios
Una información o servicio pueden verse comprometidos en una o más de sus dimensiones de seguridad. Cada dimensión de seguridad que resulte afectada se clasificará en uno de los siguientes niveles: BAJO, MEDIO o ALTO. Si una dimensión de seguridad no se ve comprometida, no se le asignará ningún nivel.
a) Nivel BAJO: Se aplica cuando un incidente de seguridad que afecta a alguna dimensión de seguridad resulta en un perjuicio limitado sobre las funciones de la organización, sus activos o las personas afectadas.
Se considera perjuicio limitado cuando:
1.º. Hay una reducción significativa en la capacidad de la organización para cumplir con sus obligaciones diarias, aunque estas todavía puedan cumplirse.
2.º. Los activos de la organización sufren un daño menor.
3.º. Se produce un incumplimiento formal de alguna ley o regulación que pueda corregirse.
4.º. Un individuo sufre un perjuicio menor que, aunque molesto, es fácilmente reparable.
5.º. Otros perjuicios de naturaleza similar.
b) Nivel MEDIO: Se utiliza cuando un incidente de seguridad que afecta a alguna dimensión de seguridad provoca un perjuicio grave sobre las funciones de la organización, sus activos o las personas afectadas.
Se considera perjuicio grave cuando:
1.º. Hay una reducción significativa en la capacidad de la organización para cumplir con sus obligaciones fundamentales, aunque estas aún puedan cumplirse.
2.º. Los activos de la organización sufren un daño significativo.
3.º. Se produce un incumplimiento material de alguna ley o regulación, o un incumplimiento formal que no pueda corregirse.
4.º. Un individuo sufre un perjuicio significativo que es difícil de reparar.
5.º. Otros perjuicios de naturaleza similar.
c) Nivel ALTO: Se asigna cuando un incidente de seguridad que afecta a alguna dimensión de seguridad resulta en un perjuicio muy grave sobre las funciones de la organización, sus activos o las personas afectadas.
Se considera perjuicio muy grave cuando:
1.º. La capacidad de la organización para cumplir con alguna de sus obligaciones fundamentales queda anulada.
2.º. Los activos de la organización sufren un daño muy grave o incluso irreparable.
3.º. Se produce un incumplimiento grave de alguna ley o regulación.
4.º. Un individuo sufre un perjuicio grave que es difícil o imposible de reparar.
5.º. Otros perjuicios de naturaleza similar.
Cuando un sistema gestiona diferentes tipos de información y servicios, el nivel del sistema en cada dimensión será el más alto asignado a cualquier información o servicio.
Categoría de un Sistema de Información
Para determinar la categoría de un sistema de información, se definen tres categorías: BÁSICA, MEDIA y ALTA.
a) Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
b) Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna supera ese nivel.
c) Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.
Medidas de Seguridad
Las medidas de seguridad se agrupan en tres categorías:
a) Marco organizativo [org]: Conjunto de medidas relacionadas con la organización general de la seguridad.
b) Marco operacional [op]: Medidas necesarias para proteger la operación del sistema en su conjunto, considerando todos sus componentes.
c) Medidas de protección [mp]: Se enfocan en proteger activos específicos, de acuerdo con su naturaleza y el nivel de seguridad requerido por las dimensiones afectadas.
Para cumplir con los requisitos mínimos mencionados, las Administraciones Públicas implementarán estas medidas de seguridad teniendo en cuenta:
a) Los activos que componen el sistema.
b) La categoría del sistema.
c) Las decisiones adoptadas para gestionar los riesgos identificados.
El Esquema Nacional de Interoperabilidad
La interoperabilidad se refiere a la capacidad de los sistemas de información y los procesos que estos soportan para compartir datos y permitir el intercambio de información y conocimientos entre ellos.
La interoperabilidad es esencial para la cooperación, el desarrollo, la integración y la prestación conjunta de servicios por parte de las Administraciones Públicas. Facilita la ejecución de políticas públicas, la implementación de principios y derechos, la transferencia de tecnología, y la reutilización de aplicaciones para mejorar la eficiencia. También permite la cooperación entre diferentes aplicaciones para habilitar nuevos servicios, promoviendo así el desarrollo de la administración electrónica y la sociedad de la información.
El Esquema Nacional de Interoperabilidad, regulado por el Real Decreto 4/2010, de 8 de enero, abarca los criterios y recomendaciones de seguridad, normalización y conservación de la información, así como de los formatos y aplicaciones que las Administraciones Públicas deben considerar para asegurar un nivel adecuado de interoperabilidad en aspectos organizativos, semánticos y técnicos. Esto busca garantizar que los datos, informaciones y servicios gestionados por las Administraciones sean interoperables, evitando que los ciudadanos sean discriminados por la tecnología que elijan.
Interoperabilidad organizativa: Se refiere a la capacidad de las entidades y procesos para colaborar y lograr objetivos comunes relacionados con los servicios que ofrecen.
Interoperabilidad semántica: Asegura que la información intercambiada pueda ser comprendida y reutilizada automáticamente por aplicaciones que no participaron en su creación.
Interoperabilidad técnica: Se centra en la relación entre sistemas y servicios de tecnología de la información, abordando aspectos como interfaces, interconexión, integración de datos y servicios, presentación de información, accesibilidad y seguridad.
Interoperabilidad en el tiempo: Se refiere a la interacción entre elementos de diferentes generaciones tecnológicas, especialmente en la conservación de la información en soporte electrónico.
La interoperabilidad debe considerarse desde sus dimensiones organizativa, semántica y técnica. En la práctica, la interoperabilidad se manifiesta en acuerdos interadministrativos, el despliegue de sistemas y servicios, la determinación y uso de estándares, y la publicación y reutilización de aplicaciones, documentación y otros objetos de información de las Administraciones Públicas. La dimensión temporal también es crucial para garantizar el acceso a la información a lo largo del tiempo.
Reutilización de sistemas y aplicaciones de propiedad de la Administración
El artículo 157 de la LRJSP establece que las Administraciones deben poner a disposición de cualquier otra Administración que lo solicite las aplicaciones desarrolladas por sus servicios o contratadas, siempre que sean titulares de los derechos de propiedad intelectual, salvo que la información asociada esté protegida por una norma específica.
Las Administraciones que ceden y las que reciben pueden acordar la compensación de los costos de adquisición o desarrollo de las aplicaciones cedidas.
Estas aplicaciones pueden declararse de código abierto cuando esto fomente la transparencia en el funcionamiento de la Administración Pública o promueva la inclusión de los ciudadanos en la Sociedad de la Información.
Antes de adquirir, desarrollar o mantener una aplicación durante todo su ciclo de vida, ya sea con recursos propios o mediante la contratación de servicios, las Administraciones Públicas deben consultar en el directorio general de aplicaciones de la Administración General del Estado si existen soluciones disponibles para reutilización que puedan satisfacer total o parcialmente las necesidades, mejoras o actualizaciones previstas, siempre que los requisitos tecnológicos de interoperabilidad y seguridad lo permitan.
Este directorio incluirá tanto las aplicaciones disponibles en la Administración General del Estado como en los directorios de aplicaciones de otras Administraciones.
Si existe una solución reutilizable total o parcialmente, las Administraciones Públicas están obligadas a utilizarla, salvo que se justifique no hacerlo en términos de eficiencia, conforme al artículo 7 de la Ley Orgánica 2/2012, de 27 de abril, de Estabilidad Presupuestaria y Sostenibilidad Financiera.
Transferencia de tecnología entre Administraciones
Las Administraciones Públicas deben mantener directorios actualizados de aplicaciones que estén disponibles para su reutilización, conforme a lo establecido en el Esquema Nacional de Interoperabilidad. Estos directorios deben ser totalmente interoperables con el directorio general de la Administración General del Estado, asegurando así su compatibilidad informática y su interconexión efectiva.
La Administración General del Estado es responsable de mantener un directorio general de aplicaciones destinadas a la reutilización, ofreciendo apoyo para su uso libre y promoviendo el desarrollo de aplicaciones, formatos y estándares comunes, todo ello en el marco de los esquemas nacionales de interoperabilidad y seguridad.
Sistema de Interconexión de Registros
Las aplicaciones o sistemas de información que gestionan el Registro Electrónico General de cada Administración, así como los registros electrónicos de cada organismo público o entidad de derecho público vinculada o dependiente, deben ser interoperables.
La LRJSP establece que las Administraciones Públicas deben relacionarse entre sí, y con sus órganos, organismos públicos y entidades vinculadas o dependientes, mediante medios electrónicos. Estos medios deben garantizar la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, protegiendo los datos personales y facilitando la prestación conjunta de servicios a los interesados.
Por otro lado, la LPACAP consagra la tramitación electrónica del procedimiento administrativo como la norma general en las actuaciones de las Administraciones, considerándola un elemento clave no solo para la eficacia y eficiencia administrativa, sino también para reforzar las garantías de los interesados, logrando al mismo tiempo un importante ahorro de costes.
Dentro de este marco, el artículo 16 de la LPACAP establece que todas las Administraciones Públicas deben disponer de un registro electrónico general o, alternativamente, adherirse al registro electrónico general de la Administración General del Estado. El plazo máximo para cumplir con esta obligación se fijó, según la disposición final sexta del Real Decreto-ley 27/2020, de 4 de agosto, en el 2 de abril de 2021.
En este contexto de administración digital, la colaboración entre Administraciones, mencionada tanto en la LRJSP como en la LPACAP, es esencial. Esta colaboración se extiende a la posibilidad de que las Comunidades Autónomas y Entidades Locales se adhieran voluntariamente a las plataformas y registros de la Administración General del Estado.
Actualmente, existen más de 20.000 oficinas de registro de diferentes Administraciones Públicas, lo que genera una gran complejidad estructural y dispersión de competencias en el servicio público, además de sobrecostes e impactos negativos en la calidad de vida de los ciudadanos.
Las interconexiones entre los registros de las Administraciones Públicas deben realizarse a través del Sistema de Interconexión de Registros (SIR), gestionado por el Ministerio de Asuntos Económicos y Transformación Digital en colaboración con el Ministerio de Política Territorial y Función Pública, según lo previsto en el Esquema Nacional de Interoperabilidad y en la correspondiente Norma Técnica.
El SIR es la infraestructura básica que permite el intercambio de asientos electrónicos de registro entre las Administraciones Públicas de manera segura y conforme a la ley, sin importar la aplicación de registro utilizada, siempre que esté certificada según la Norma SICRES 3.0.
La implementación del SIR elimina el tránsito de documentos en papel entre Administraciones, mejorando la eficiencia y reduciendo los costos de manipulación y envío del papel, gracias a la creación de copias auténticas electrónicas de la documentación presentada en los registros.
El sistema de interconexión de registros GEISER/ORVE tiene como objetivo integrar electrónicamente los registros de los tres niveles de la administración en todo el territorio nacional, unificando procedimientos, reduciendo costos de tránsito y manipulación del papel, y acercando la Administración al ciudadano, tanto en términos de distancia como de tiempos de respuesta.
Este servicio de registro, prestado “en la nube” por la Secretaría General de Administración Digital (SGAD), dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial (Ministerio de Asuntos Económicos y Transformación Digital), permite cumplir con las obligaciones en materia de registro electrónico establecidas por la LPACAP.
Transmisión de datos
De acuerdo con el artículo 155 de la LRJSP, y en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos (conocido como RGPD), así como de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, cada Administración Pública debe facilitar el acceso de las demás Administraciones a los datos de los interesados que estén en su poder. Para ello, se deben especificar las condiciones, protocolos y criterios técnicos o funcionales necesarios para acceder a estos datos, garantizando siempre su seguridad, integridad y disponibilidad.
En ningún caso se permitirá un uso posterior de los datos que sea incompatible con el propósito para el cual se recopilaron inicialmente los datos personales. Sin embargo, según lo establecido en el artículo 5.1.b) del RGPD, no se considerará incompatible un tratamiento posterior de los datos personales con fines de archivo en interés público, investigación científica e histórica o estadísticos.
Fuera de estos casos, y siempre que las leyes específicas que regulen los tratamientos de datos no lo prohíban expresamente, si una Administración Pública que recibe los datos desea utilizarlos para un fin diferente al original pero que considera compatible, deberá comunicarlo previamente a la Administración que cedió los datos. Esta última podrá revisar la compatibilidad y oponerse a la nueva finalidad dentro de un plazo de diez días. En situaciones excepcionales, si la Administración cedente es la Administración General del Estado, podrá suspender la transmisión de datos por motivos de seguridad nacional, de forma temporal y cautelar. Hasta que la Administración cedente no comunique su decisión, la Administración receptora no podrá utilizar los datos para la nueva finalidad.
Se exceptúan de esta normativa aquellos casos en los que el tratamiento de los datos para un fin distinto esté previsto en una ley, de acuerdo con el artículo 23.1 del RGPD.
Las transmisiones de datos mencionadas en el artículo 155 de la LRJSP, realizadas a través de redes corporativas de las Administraciones Públicas para el envío de documentos elaborados por cualquier Administración, mediante consulta a plataformas de intermediación de datos u otros sistemas electrónicos habilitados, se consideran certificados administrativos necesarios para el procedimiento o actuación administrativa.
Cuando los interesados no presenten datos o documentos que ya están en poder de las Administraciones Públicas, conforme a lo establecido en la LPACAP, se seguirán las siguientes reglas:
a) Si el órgano administrativo que gestiona el procedimiento puede acceder electrónicamente a los datos, documentos o certificados necesarios a través de plataformas de intermediación de datos u otros sistemas electrónicos habilitados, los incorporará al procedimiento correspondiente. Este acceso se registrará en los archivos del órgano o entidad que cedió los datos.
b) En casos excepcionales, si no es posible acceder electrónicamente a los datos, se podrán solicitar por otros medios habilitados y se conservará la documentación que justifique la imposibilidad del acceso electrónico, incorporándola al expediente.
Todas las transmisiones de datos deben realizarse a solicitud del órgano o entidad tramitadora, especificando los datos requeridos, los titulares de los mismos y la finalidad para la cual se necesitan. Si la solicitud de datos involucra a un empleado público, su identificación debe incluirse en la solicitud.
El órgano, organismo público o entidad que recibe los datos será responsable de su correcto acceso y uso, especialmente cuando los datos tengan un régimen de protección especial. Además, si se requiere el consentimiento del interesado para acceder a los datos, la responsabilidad de obtener dicho consentimiento recae en el receptor de los datos.
La cesión de datos en el contexto de una actuación administrativa puede realizarse, entre otras formas, de manera automatizada, lo que implica que la consulta se realiza íntegramente por medios telemáticos sin intervención directa de un empleado público.
Las transmisiones de datos realizadas en virtud del artículo 14 del Reglamento (UE) n.º 2018/1724 del Parlamento Europeo y del Consejo, del 2 de octubre de 2018, sobre la creación de una pasarela digital única para el acceso a información, procedimientos y servicios de asistencia y resolución de problemas, y que modifica el Reglamento (UE) n.º 1024/2012, no requerirán la previsualización de los datos por parte del solicitante para que puedan ser utilizados por el órgano o entidad tramitadora.
Plataformas de intermediación de datos
Las plataformas de intermediación de datos registrarán la fecha y hora en la que se realizó la transmisión, así como el procedimiento administrativo, trámite o actuación relacionado con la consulta.
Estas plataformas de intermediación, o cualquier sistema electrónico equivalente dentro del sector público, deberán ser compatibles y funcionar de manera interoperable con la Plataforma de Intermediación de la Administración General del Estado, así como con los organismos públicos y entidades de derecho público que estén vinculados o dependan de esta. Además, deben ser interoperables entre ellas.
Para adherirse a estas plataformas de intermediación de datos, es necesario garantizar que se cumplan las condiciones de seguridad requeridas por las entidades que ceden la información, tanto para el tratamiento de datos por parte de la plataforma que gestiona dichos datos como por parte de los receptores de los mismos.
Adhesión a las plataformas de la Administración General del Estado
La adhesión a las plataformas, registros o servicios electrónicos de la Administración General del Estado, tal como lo establece la LPACAP, la LRJSP y el RD 203/2021, así como a otros que faciliten el cumplimiento de lo dispuesto en estas normas, se realizará mediante un proceso de adhesión por parte del órgano competente de la Administración Pública correspondiente. Este proceso incluirá la manifestación de la voluntad de adherirse a dichas plataformas, registros o servicios electrónicos y la aceptación de las condiciones de uso determinadas por el órgano titular de la plataforma o servicio, incluyendo la fecha de inicio de uso.
Para formalizar esta adhesión, se aprobarán modelos específicos que incluirán los términos del servicio y la contribución al sostenimiento del mismo, a través de una Resolución de la Secretaría General de Administración Digital del Ministerio de Asuntos Económicos y Transformación Digital, o, en su caso, del organismo competente que gestione las plataformas, registros o servicios en cuestión.
Es importante destacar que la adhesión a una plataforma, registro o servicio electrónico de la Administración General del Estado no implica un cambio en la titularidad de las actuaciones administrativas realizadas en el procedimiento correspondiente, ya que esta seguirá correspondiendo a la Administración competente para su tramitación. Si el servicio proporcionado por la plataforma requiere el intercambio de información entre dos entidades que usan la misma o distintas plataformas, la autenticidad de la entidad solicitante puede acreditarse ante la entidad cedente mediante un sello electrónico cualificado del organismo que gestiona la plataforma.
La adhesión a una plataforma de la Administración General del Estado requerirá el cumplimiento de las condiciones de seguridad establecidas por las entidades que ceden la información. Los órganos responsables de la gestión de los procedimientos administrativos en las Administraciones que se adhieran a estas plataformas serán responsables del uso que hagan de las mismas dentro de sus competencias, mientras que la gestión y mantenimiento de la plataforma recaerá en el órgano responsable de la misma. En caso de que se produzca una incidencia técnica que impida el funcionamiento normal del sistema o aplicación correspondiente, cada Administración Pública será responsable de continuar con la tramitación de sus procedimientos administrativos y servicios a los ciudadanos, sin perjuicio de la posibilidad de ampliar los plazos conforme a lo establecido en el artículo 32.4 de la LPACAP.
La adhesión de las comunidades autónomas o entidades locales a las plataformas estatales o registros, según lo previsto en la disposición adicional segunda de la LPACAP, es voluntaria. Sin embargo, si deciden no adherirse, deberán justificar esta decisión en términos de eficiencia, de acuerdo con el artículo 7 de la Ley Orgánica 2/2012, de 27 de abril, de Estabilidad Presupuestaria y Sostenibilidad Financiera. Para ello, deberán enviar un informe al Ministerio de Asuntos Económicos y Transformación Digital, que incluya la justificación del cumplimiento de los requisitos del Esquema Nacional de Interoperabilidad, el Esquema Nacional de Seguridad y sus normas técnicas de desarrollo, garantizando así la compatibilidad informática, la interconexión, y la transmisión telemática de las solicitudes, escritos y comunicaciones realizadas en sus correspondientes plataformas.
Adhesión a sedes electrónicas y sedes electrónicas asociadas
De acuerdo con el artículo 58 del RD 203/2021, las Administraciones Públicas, así como los organismos públicos y entidades de derecho público que estén vinculados o dependan de ellas, tienen la posibilidad de adherirse voluntariamente a las sedes electrónicas o sedes electrónicas asociadas que estén disponibles y sean propiedad de la misma u otra Administración Pública. Esta adhesión se formaliza a través de un instrumento de adhesión específico, y no implica que la entidad se convierta en una sede electrónica asociada.
Adhesión a la Carpeta Ciudadana del sector público estatal
Según el artículo 59 del RD 203/2021, las Administraciones Públicas pueden integrar sus áreas personalizadas o carpetas ciudadanas, si las tienen, o ciertas funcionalidades de estas, con la Carpeta Ciudadana del sector público estatal. Esta integración permite que el interesado acceda a los contenidos o funcionalidades de su Carpeta Ciudadana mediante procedimientos seguros que garanticen la integridad y confidencialidad de sus datos personales, sin importar desde qué punto de acceso se realice la consulta.
La Comisión Sectorial de Administración Electrónica
La Disposición Adicional Novena de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público, establece que la Comisión Sectorial de Administración Electrónica, que depende de la Conferencia Sectorial de Administración Pública, es el órgano técnico responsable de la cooperación entre la Administración General del Estado, las Administraciones de las comunidades autónomas y las Entidades Locales en el ámbito de la administración electrónica.
La Comisión Sectorial de Administración Electrónica tiene, al menos, las siguientes funciones:
a) Garantizar la compatibilidad e interoperabilidad de los sistemas y aplicaciones utilizados por las Administraciones Públicas.
b) Promover el desarrollo de la administración electrónica en España.
c) Asegurar la cooperación entre las Administraciones Públicas para proporcionar información administrativa que sea clara, actualizada y precisa.
En los casos en que el tema tratado lo requiera, se podrá invitar a organizaciones, corporaciones o agentes sociales que se consideren pertinentes para participar en las deliberaciones de la Comisión Sectorial.
