El Consejo de Ministros, en su reunión de 19 de septiembre de 2014 y a propuesta de la Vicepresidenta del Gobierno y Ministra de la Presidencia y de los Ministros de Hacienda y Administraciones Públicas, del Interior, de Empleo y Seguridad Social y de Industria, Energía y Turismo, ha adoptado un Acuerdo por el que se aprueba Cl@ve, la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas.
En virtud de lo dispuesto en el apartado séptimo del citado Acuerdo y para general conocimiento, se dispone su publicación como Anexo a la presente Orden.
Madrid, 8 de octubre de 2014.–La Vicepresidenta del Gobierno y Ministra de la Presidencia, Soraya Sáenz de Santamaría Antón.
ANEXO.- Acuerdo de Consejo de Ministros por el que se aprueba Cl@ve, la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas
El Gobierno de España ha puesto en marcha un ambicioso proyecto reformista encaminado a corregir los desequilibrios que frenan nuestro crecimiento y crear las bases idóneas sobre las que levantar un nuevo ciclo de prosperidad económica y empleo.
Sobre estas premisas, el 26 de octubre de 2012 el Consejo de Ministros aprobó un Acuerdo por el que se crea la Comisión para la Reforma de las Administraciones Públicas (CORA) y tras la presentación de su Informe en el Consejo de Ministros de 21 de junio de 2013, se iniciaron actuaciones para simplificar los procedimientos y reducir las cargas administrativas para ciudadanos y empresas y para evitar solapamientos y duplicidades en las actuaciones de las Administraciones, propiciando la gestión de servicios y medios comunes con el objetivo de mejorar la eficacia de la actividad pública con ahorro de costes.
En el ámbito de los medios informáticos, las medidas propuestas por el Informe CORA se han centrado en una racionalización de las actuales estructuras organizativas en el ámbito de las Tecnologías de la Información y de las Comunicaciones (TIC) del Sector Público Administrativo Estatal, consolidando infraestructuras y servicios comunes que permitan hacer una utilización más eficiente de los recursos tecnológicos, así como ofrecer mayores niveles de calidad en los servicios prestados.
Con el fin de desarrollar los procesos de estandarización que considera esenciales para incentivar la compartición y reutilización de las infraestructuras y servicios, el informe CORA contempló la creación de un órgano específico, al más alto nivel, que impulsara y coordinara el necesario proceso de racionalización de las diversas facetas de la política de tecnologías de la información y de comunicaciones en todo el ámbito del Sector Público Administrativo Estatal: adquisiciones de bienes informáticos, estructura de redes, servicios de administración electrónica y optimización de los sistemas de publicación web.
Este órgano es la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado.
En desarrollo del informe CORA, las competencias para la coordinación del proceso de racionalización de las TIC en el Sector Público Administrativo Estatal se atribuyeron inicialmente al Ministerio de la Presidencia de acuerdo con lo dispuesto en el Real Decreto 695/2013, de 20 de septiembre. Este Real Decreto, atribuyó a la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado la elaboración, coordinación y dirección de la estrategia sobre tecnologías de la información y de las comunicaciones del Sector Público Administrativo Estatal, así como la planificación de la consolidación de las infraestructuras y servicios horizontales en el ámbito de la Administración Electrónica, entre otras. Por Real Decreto 802/2014, de 19 de septiembre, se atribuyen al Ministerio de Hacienda y Administraciones Públicas estas competencias y se adscribe a este Ministerio la Dirección de Tecnologías de la Información y las Comunicaciones dependiendo de la Secretaría de Estado de Administraciones Públicas.
En este modelo de gestión común e integrada, facilitadora de las relaciones entre sociedad y Administración, resulta esencial habilitar un sistema simple, rápido y seguro de identificación, autenticación y firma de los ciudadanos en su relación electrónica con los prestadores de servicios del Sector Público Administrativo Estatal y, en la medida que así se acuerde, del resto del Sector Público Estatal, de las Administraciones Autonómicas y Entidades Locales. Además, este sistema de identificación y autenticación electrónicas debe permitir la expresión de la voluntad del usuario, cuando así lo requiera el servicio o trámite electrónico, por medio de los sistemas de firma electrónica válidos según la normativa vigente.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, supuso que las Administraciones Públicas hicieran un enorme esfuerzo para poner todos sus servicios a disposición de la ciudadanía por medios electrónicos y hacerlo con las mayores garantías de seguridad posibles. Los altos niveles de seguridad previstos para el acceso electrónico a los servicios se han apoyado principalmente en los sistemas de firma electrónica previstos en los apartados a) y b) del artículo 13.2 de la Ley 11/2007 de 22 de junio. Estos sistemas de firma electrónica basada en certificados, requieren, sin embargo, actualizaciones de software y reconfiguraciones frecuentes que añaden un componente de complejidad que puede resultar disuasorio y que no es siempre necesario, en virtud del principio de proporcionalidad, en aquellos trámites y procedimientos que no requieran tan alto nivel de seguridad.
Por otra parte, aunque existen ya diferentes sistemas de identificación, autenticación y firma de los previstos en el artículo 13.2.c) de la Ley 11/2007, que prevé otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen, estos sistemas no son interoperables entre sí, con el trastorno que ello supone para el ciudadano al tener que conocer y aplicar distintos sistemas según la Administración, el organismo o el servicio o trámite al que acceda.
A la vista de estas dificultades, y en ejercicio de las funciones previstas en el artículo 9.1, apartado d) del Real Decreto 199/2012, de 23 de enero, que consisten en planificar la consolidación de las infraestructuras y servicios horizontales en el ámbito de la administración electrónica, el Ministerio de la Presidencia a través de la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado ha organizado y liderado los trabajos de un grupo de expertos en el que ha participado representantes de la gran mayoría de los departamentos ministeriales y de sus organismos públicos adscritos, los cuales, tras un intenso trabajo de varios meses, han diseñado un sistema colaborativo de identificación, autenticación y firma electrónica, llamado a resolver las limitaciones de los actuales, integrando los sistemas de claves concertadas de la Administración ya existentes en uno único, y abriendo su utilización a la totalidad del Sector Público Administrativo Estatal, y permitiendo también integrarse al resto de las Administraciones Públicas cuando esté disponible, habilitando de este modo la extensión práctica de los servicios de Administración Electrónica a la gran mayoría de los ciudadanos españoles, en aplicación de la Ley 11/2007, de 22 de junio.
Por ello, atendiendo a las necesidades de los ciudadanos, aprovechando las posibilidades que la rápida evolución tecnológica ofrece y apelando al principio de proporcionalidad previsto en la Ley 11/2007, de 22 de junio, y sin perjuicio de la continuidad del servicio de los sistemas ya operativos, que resultan de indudable utilidad para los ciudadanos, se aprueba la creación de Cl@ve, un sistema común, de uso sencillo, basado en el artículo 13.2.c) de la citada ley que se conformará como la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas y ofrecerá servicios de identificación y autenticación alternativos y complementarios a los que se rigen por las letras a) y b) del artículo 13.2 de la Ley 11/2007, de 22 de junio. Este nuevo sistema pretende facilitar el acceso de los ciudadanos de forma uniforme a diversos servicios prestados vía Internet, tratando de minimizar los sistemas de identificación y autenticación existentes o aquellos que necesidades futuras pudieran demandar.
El sistema Cl@ve se desarrollará sobre dos sistemas ya operativos y, aprovechando el esfuerzo realizado en el seno del grupo de trabajo, se extiende el uso del PIN24H de la Agencia Estatal de Administración Tributaria, concebido para usuarios con acceso ocasional, y del “sistema de usuario y contraseña de la Seguridad Social” orientado a usuarios con acceso frecuente, recientemente implantados en sus respectivos ámbitos.
Además, la transversalidad del nuevo modelo de gestión común de la identificación, autenticación y firma de los ciudadanos, al que se refiere el presente acuerdo, se fundamenta en la colaboración de los distintos órganos y organismos públicos adscritos a diversos departamentos ministeriales que actuarán en el sistema como órganos responsables de su aplicación y garantías de funcionamiento. Así, bajo la titularidad de la Dirección de Tecnologías de la Información y las Comunicaciones, que incorpora a las suyas las funciones hasta ahora atribuidas a la Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, asumirán la responsabilidad de sus respectivas actuaciones en los ámbitos de Registro de usuarios, Identificación, Autenticación y Firma Electrónica la Agencia Estatal de Administración Tributaria, la Gerencia de Informática de la Seguridad Social y demás entidades Gestoras y Servicios Comunes de la Seguridad Social, la Dirección General de la Policía, como prestador de servicios de certificación, y a la FNMT-RCM, por la trascendencia que, en el desarrollo del proyecto, tiene el DNIe y la que en un futuro tendrá, sin duda, el DNI en la nube, ya que, adicionalmente, el sistema Cl@ve permitirá el acceso a servicios de firma en la nube basados en certificados electrónicos centralizados.
Este sistema de identificación y firma electrónica podrá evolucionar en el futuro para admitir también la participación del sector privado en su provisión, o su combinación con otras soluciones tecnológicas ofrecidas por empresas especializadas.
El sistema Cl@ve se crea para abarcar todo el ámbito del Sector Público Administrativo Estatal y, en su caso, del resto de las Administraciones Públicas. En este sentido cabe recordar que el impulso de una administración electrónica supone también dar respuesta a los compromisos comunitarios. La Agenda Digital para Europa propone medidas legales para el efectivo desarrollo digital de Europa en relación con la firma electrónica (acción clave n.º 3) y el reconocimiento mutuo de la identificación y la autenticación electrónicas (acción clave n.º 16), estableciendo así un marco jurídico claro con el fin de eliminar la fragmentación y la ausencia de interoperabilidad, potenciar la ciudadanía digital y prevenir la ciberdelincuencia.
En su desarrollo, la Ley 11/2007, de 22 de junio, consagra en su exposición de motivos el derecho de los ciudadanos a comunicarse con las Administraciones por medios electrónicos e incide en que la contrapartida de este derecho es la obligación de las Administraciones de dotarse de los medios y sistemas electrónicos para que ese derecho pueda ejercerse de forma ágil y eficaz. La administración electrónica no es asunto meramente técnico, sino de gobernanza democrática y la extensión de una plataforma común a todas las instancias administrativas viene a satisfacer esa necesidad de homogeneidad, sencillez y servicios compartidos que recoge el informe CORA.
Siendo el ámbito de aplicación de este texto el conjunto del Sector Público Administrativo Estatal, y formando parte del mismo la Administración General del Estado, se adopta este Acuerdo de Consejo de Ministros en virtud de lo dispuesto en el Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, en su artículo 11 “Otros sistemas de firma electrónica”; dictado en desarrollo del artículo 13.2.c) de la Ley 11/2007, que indica que cuando el sistema se refiera a la totalidad de la Administración General del Estado, se requerirá acuerdo del Consejo de Ministros a propuesta de los Ministerios de la Presidencia y de Industria, Turismo y Comercio, previo informe del Consejo Superior de Administración Electrónica.
En virtud de lo expuesto, previo informe del Consejo Superior de Administración Electrónica y a propuesta de la Vicepresidenta del Gobierno y Ministra de la Presidencia, del Ministro de Hacienda y Administraciones Públicas, del Ministro del Interior, de la Ministra de Empleo y Seguridad Social y del Ministro de Industria, Energía y Turismo, el Consejo de Ministros en su reunión de 19 de septiembre de 2014, acuerda:
Primero.- Aprobación del sistema Cl@ve.
Se aprueba el sistema Cl@ve, un sistema de identificación, autenticación y firma electrónica común para todo el Sector Público Administrativo Estatal, que permitirá al ciudadano relacionarse electrónicamente con los servicios públicos a través de una plataforma común mediante la utilización de claves concertadas previo registro como usuario de la misma, conforme a lo previsto en el artículo 13.2.c) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
Esta plataforma ofrecerá a los usuarios una interfaz amigable para seleccionar alguno de los sistemas de identificación y firma electrónica señalados en el artículo 13.2 de la Ley 11/2007, de 22 de junio.
La información relativa a este sistema, así como la relación de organismos del Sector Público Estatal, Administraciones Autonómicas o Entidades Locales que se incorporen al sistema, será publicada en el Portal www.060.gob.es y en las sedes electrónicas de los organismos en los que sea de aplicación de acuerdo con lo previsto en el Real Decreto 1671/2009, de 6 de noviembre por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio.
Segundo.- Órganos responsables de su aplicación y garantías de funcionamiento.
1. El órgano responsable del sistema Cl@ve será la Dirección de Tecnologías de la Información y las Comunicaciones, en desarrollo de las competencias para el impulso de la Administración digital, y del proceso de innovación de la Administración General del Estado y sus Organismos Públicos atribuidas de acuerdo con lo dispuesto en el Real Decreto 802/2014, de 19 de septiembre, por el que se modifican el Real Decreto 390/1998, de 13 de marzo, por el que se regulan las funciones y la estructura orgánica de las Delegaciones de Economía y Hacienda; el Real Decreto 1887/2011, de 30 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales; el Real Decreto 199/2012, de 23 de enero, por el que se desarrolla la estructura orgánica básica del Ministerio de la Presidencia; el Real Decreto 256/2012, de 27 de enero, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda y Administraciones Públicas y el Real Decreto 696/2013, de 20 de septiembre, de modificación del anterior.
2. Participarán en la construcción e implantación del sistema Cl@ve y serán garantes de su funcionamiento, los siguientes órganos y organismos públicos, que asumirán la responsabilidad de sus respectivas actuaciones en los ámbitos de Registro de usuarios, Identificación, Autenticación y Firma Electrónica:
a) La Agencia Estatal de Administración Tributaria.
b) La Dirección de Tecnologías de la Información y las Comunicaciones.
c) La Gerencia de Informática de la Seguridad Social y demás entidades Gestoras y Servicios Comunes de la Seguridad Social
d) La Dirección General de la Policía
e) La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM).
3. A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado tendrá la condición de responsable del fichero, siendo los órganos y organismos públicos mencionados en el párrafo anterior encargados del tratamiento de la mismo, de acuerdo con su normativa específica. Por ello, y de conformidad con lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, dichos órganos y organismos públicos:
a) Tratarán los datos necesarios para el funcionamiento del sistema por cuenta del órgano responsable del fichero y conforme a las indicaciones que el mismo establezca, conforme al apartado quinto de este Acuerdo.
b) No tratarán los datos para fines distintos de los propios del sistema que consisten en facilitar al ciudadano una plataforma común que le permita relacionarse electrónicamente con los servicios públicos mediante la utilización de claves concertadas.
c) Implantarán, para el adecuado funcionamiento del sistema, las medidas de seguridad establecidas en el Título VIII del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, aprobado por Real Decreto 1720/2007, de 21 de diciembre.
d) Deberán, en caso, de cesar en la prestación del servicio, proceder a la devolución de los datos o a su transmisión al órgano u organismo que a tal efecto designase el responsable del fichero.
e) Respetarán, lo establecido en el artículo 12 de la Ley Orgánica 15/1999 y en el Capítulo III del Título II de su Reglamento de desarrollo.
4. El sistema permitirá varios modos de utilización, con diferentes niveles de garantía de funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio, en los términos previstos en el art. 11.3 del Real Decreto 1671/2009, de 6 de noviembre, que podrán ser aplicados a los procedimientos administrativos en función de sus necesidades, en virtud del principio de proporcionalidad recogido en el artículo 4 de la Ley 11/2007, de 22 de junio.
Tercero.- Descripción general del sistema Cl@ve.
1. Registro:
Los interesados que deseen utilizar el sistema deberán facilitar los datos de carácter personal necesarios para habilitar los servicios de identificación, autenticación y firma electrónicas. Estos datos se integrarán en el Fichero Cl@ve de datos de carácter personal que se creará en los términos previstos en la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo.
El registro podrá realizarse de forma telemática o presencial en cualquiera de las oficinas de los órganos y organismos públicos que realicen funciones de Registro de usuarios de la plataforma Cl@ve. La forma de registro utilizada será uno de los factores para clasificar el nivel de garantía de identidad y autenticidad asociado al registro.
2. Identificación:
Existirán 2 tipos de sistemas de identificación:
a) Cl@ve ocasional: sistema de contraseña de validez muy limitada en el tiempo, orientado a usuarios que acceden esporádicamente a los servicios.
b) Cl@ve permanente: sistema de contraseña de validez duradera en el tiempo pero no ilimitada, orientado a usuarios habituales.
3. Firma de documentos electrónicos:
Los sistemas de Cl@ve podrán utilizarse para confirmar información, propuestas o borradores remitidos o exhibidos por una Administración Pública.
La plataforma Cl@ve ofrecerá a los usuarios una interfaz amigable que les permita seleccionar, de entre los sistemas de firma electrónica señalados en el artículo 13.2 de la Ley 11/2007, de 22 de junio, aquellos que exija o permita en cada caso la normativa reguladora de la actuación de que se trate para realizar el trámite o gestión administrativa correspondiente y la firma de documentos electrónicos en su caso.
Entre los sistemas ofrecidos al ciudadano, la plataforma Cl@ve ofrecerá al ciudadano utilizar el Documento Nacional de Identidad Electrónico para su identificación, autenticación y firma, en cuyo caso será aplicable al tratamiento de datos derivado de dicha utilización la normativa reguladora del citado documento.
Cuarto.- Aplicación del sistema.
1. Cuando la realización de trámites o el acceso a servicios en una Sede Electrónica del Sector Público Administrativo Estatal requiera el uso de sistemas de identificación y autenticación de los previstos en el artículo 13.2.c) de la Ley 11/2007, de 22 de junio, deberá ofrecerse, como mínimo, alguno de los sistemas que se integren en la nueva plataforma Cl@ve.
2. Asimismo, con el fin de facilitar el acceso electrónico de los ciudadanos a la Administración y en desarrollo del principio de eficiencia, podrán adherirse al sistema mediante convenio otras Administraciones Públicas en las condiciones técnicas, económicas y organizativas que se determinen en las prescripciones técnicas de desarrollo a las que se refiere el apartado Quinto de este Acuerdo. Su incorporación al sistema Cl@ve será publicada en el Portal www.060.gob.es y en las sedes electrónicas que sean de aplicación.
3. Inicialmente funcionarán como Oficinas de Registro de datos la red de oficinas de la Agencia Estatal de Administración Tributaria y de las Entidades Gestoras y Servicios Comunes de la Seguridad Social. La Dirección de Tecnologías de la Información y las Comunicaciones de la Administración General del Estado podrá acordar ampliar la red de Oficinas de Registro con aquellos organismos públicos que dispongan de despliegue territorial y cumplan los requisitos técnicos necesarios establecidos por resolución de esta Dirección. La relación de Oficinas de Registro será publicada en el Portal www.060.gob.es y en las sedes electrónicas que sean de aplicación.
4. El Sector Público Administrativo Estatal deberá habilitar el sistema Cl@ve en todos los servicios y trámites electrónicos dirigidos a los ciudadanos antes del 31 de diciembre de 2015. Estarán excluidos los servicios y trámites dirigidos a ciudadanos que estén obligados por la normativa vigente al uso exclusivo de certificados electrónicos incluidos en el ámbito de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, así como el resto de trámites o servicios en los que la normativa reguladora no permita la utilización por los ciudadanos de los sistemas de identificación, autenticación y firma contemplados en la letra c) del artículo 13.2 de la Ley 11/2007, de 22 de junio.
Quinto.- Prescripciones técnicas.
La Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado establecerá, mediante resolución, las prescripciones técnicas necesarias para el desarrollo y aplicación del sistema Cl@ve, incluidos los siguientes aspectos:
1. Los elementos tecnológicos, procedimentales y organizativos necesarios para el desarrollo e implementación del sistema, y el aseguramiento de cada uno de los niveles de garantía de funcionamiento asociados a cada sistema de identificación de los previstos en este acuerdo.
2. Los procedimientos de registro de nuevos usuarios y los procedimientos para la incorporación de usuarios existentes en otros sistemas de firma ya operativos de los contemplados en el artículo 13.2 c) de la Ley 11/2007, de 22 de junio, previo consentimiento expreso de los mismos en los términos establecidos en la Ley 15/1999, de 13 de diciembre.
3. Las condiciones técnicas, económicas y organizativas para la incorporación de otras Administraciones Públicas al sistema Cl@ve.
4. El sistema de identificación e imputación de costes de mantenimiento y explotación del sistema Cl@ve correspondientes a órganos y organismos del Sector Publico Administrativo Estatal.
5. En general, todas las cuestiones necesarias para asegurar el funcionamiento de Cl@ve y su interoperabilidad.
Sexto.- No incremento del gasto público.
La aplicación de las medidas previstas en el presente acuerdo se llevará a cabo sin incremento de gasto público.
Séptimo.- Efectos.
El presente Acuerdo se publicará en el “Boletín Oficial del Estado”, en el Portal www.060.gob.es y en las sedes electrónicas de los órganos y organismos de aplicación y producirá efectos desde el día siguiente al de su publicación en el “Boletín Oficial del Estado”.