El artículo 13 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, se refiere a las formas de identificación y autenticación y establece, en su apartado 2, los sistemas de firma electrónica que los ciudadanos podrán utilizar para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine.
El citado precepto se refiere expresamente a los sistemas de firma electrónica incorporados al Documento Nacional de Identidad para personas físicas, a los sistemas de firma electrónica avanzada incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas, y a otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.
La Ley 59/2003, de 19 de diciembre, define la firma electrónica como “conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”. En esta definición tienen cabida los sistemas de firma aprobados en la presente Resolución.
Por otra parte, es importante destacar que en la citada Ley 11/2007 se establece como principio general de aplicación a las relaciones electrónicas con los ciudadanos el de proporcionalidad, en cuya virtud sólo se exigirán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones. De conformidad con el citado principio, se considera procedente la no exigencia de certificados electrónicos o el uso del Documento Nacional de Identidad electrónico para el caso de determinados trámites o actuaciones en los que concurran circunstancias que hagan aconsejable la admisión de otros sistemas de identificación electrónica, tales como los descritos en la presente Resolución.
El Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, contiene algunos preceptos relativos a los mencionados sistemas de firma electrónica. Concretamente, en su artículo 11 se refiere a “otros sistemas de firma electrónica” diferentes de los incorporados al Documento Nacional de Identidad y de los sistemas de firma electrónica avanzada, indicando que su admisión deberá aprobarse, en el caso de los organismos públicos, mediante resolución del titular en el caso de los organismos públicos, previo informe del Consejo Superior de Administración Electrónica.
La Disposición transitoria primera del Real Decreto 1671/2009 ha permitido la utilización de los medios de identificación y autenticación que vinieran admitiéndose hasta la aprobación de los Esquemas Nacionales de Interoperabilidad y Seguridad, lo que ha tenido lugar, respectivamente, mediante los Reales Decretos 4/2010 y 3/2010, ambos de 8 de enero, los cuales, a su vez, han previsto un amplio plazo de adecuación para los sistemas existentes. Los sistemas mencionados en la presente Resolución ya venían admitiéndose por la Agencia Tributaria en sus relaciones con los ciudadanos.
El objeto de la presente Resolución es la aprobación de determinados sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada en el ámbito de la Agencia Estatal de Administración Tributaria, conteniendo la denominación y descripción general de dichos sistemas de identificación, órgano u organismo público responsable de su aplicación y garantías de su funcionamiento, tal como exige el artículo 11.3 del Real Decreto 1671/2009.
La resolución del titular del organismo a la que alude el artículo 11.1 del Real Decreto 1671/2009 en el ámbito de la Agencia Estatal de Administración Tributaria corresponde al Presidente de la misma, al ejercer la superior dirección del Organismo, conforme a lo dispuesto en el artículo 103 Tres.2 de la Ley 31/1990, de 27 de diciembre, de Presupuestos Generales del Estado para 1991, por el que se creó la Agencia Estatal de Administración Tributaria.
Por otro lado, se establece que los citados sistemas permitirán la identificación y autenticación de la actuación de los ciudadanos no sólo en la realización de acciones a través de la Sede Electrónica, sino también cuando aquéllas se produzcan por vía telefónica o, en su caso, a través de otros canales electrónicos que puedan encontrarse disponibles.
La aplicación de las nuevas tecnologías desarrolladas en el marco de la sociedad de la información ha supuesto la superación de las formas tradicionales de comunicación, mediante una expansión de los contenidos transmitidos, que abarcan no sólo la voz, sino también datos en soportes y formatos diversos. Como dice la Exposición de Motivos de la Ley 11/2007, las plataformas que pueden utilizar los ciudadanos o las propias Administraciones para establecer las comunicaciones electrónicas no siempre serán el ordenador o internet, en este caso la sede electrónica, sino otras vías, SMS, televisión digital terrestre y también comunicaciones por voz o telefonía tradicional.
En su virtud, previo informe del Consejo Superior de Administración Electrónica, dispongo:
Primero.– Aprobación de sistemas de identificación y autenticación distintos de la firma electrónica avanzada para relacionarse electrónicamente con la Agencia Tributaria.
1. Los ciudadanos podrán utilizar para relacionarse electrónicamente con la Agencia Tributaria a través de los canales que se encuentren disponibles en cada momento sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada de los mencionados en el artículo 13.2.c) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y normativa de desarrollo, tales como la utilización de claves concertadas en un registro previo como usuario, aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos establecidos en la presente Resolución.
En particular, los ciudadanos podrán utilizar los sistemas mencionados en la presente Resolución para aportar, consultar, confirmar o modificar información, propuestas o borradores remitidos o puestos a disposición por la Agencia Tributaria, en los términos y condiciones que, en su caso, se puedan establecer en la normativa específicamente aplicable al trámite concreto o procedimiento.
2. En virtud del principio de proporcionalidad recogido en el artículo 4 de la Ley 11/2007, los sistemas de identificación y autenticación descritos en la presente Resolución ofrecerán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones para los que se autorice la utilización de aquellos.
3. Se aprueba la utilización por los ciudadanos de los siguientes sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada, cuya descripción y garantías específicas de funcionamiento se contienen en los anexos I, II y III de la presente Resolución:
a) Sistema de firma con clave o número de referencia.
b) Sistema de firma con información conocida por ambas partes.
c) Sistema de firma con clave de acceso en un registro previo como usuario.
4. La Agencia Tributaria podrá habilitar la utilización de sistemas combinados a partir de los mencionados en el apartado anterior, manteniendo las mismas garantías de funcionamiento establecidas para dichos sistemas.
5. La Agencia garantizará el funcionamiento de los sistemas de firma regulados en la presente Resolución conforme a los criterios de seguridad, integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y su normativa de desarrollo.
6. No se admitirán los sistemas de identificación y autenticación descritos en la presente Resolución para acceder a una consulta general del estado de tramitación de todos sus procedimientos por parte de los interesados.
Segundo.– Órgano responsable de la aplicación de los sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada.
De acuerdo con la normativa vigente, corresponde al Departamento de Informática de la Agencia la gestión y las garantías del funcionamiento y de seguridad de los sistemas de firma electrónica distintos de la firma electrónica avanzada de los que la Agencia Tributaria es órgano responsable.
Disposición adicional primera.- Comunicación telefónica.
Los sistemas de firma descritos en la presente Resolución y sus garantías podrán ser utilizados en las relaciones de la Agencia Tributaria con los ciudadanos utilizando la vía telefónica tradicional o de voz.
Disposición adicional segunda.- Tratamiento de datos personales.
Los datos personales cuyo tratamiento resulte de la utilización de los sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada cumplirán y se ajustarán a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal.
El uso por los ciudadanos de los sistemas de firma electrónica regulados en la presente norma implicará que la Agencia Tributaria pueda tratar los datos personales consignados a los efectos de la verificación de la firma.
Disposición adicional tercera.- Interoperabilidad.
La Agencia Tributaria garantizará la interoperabilidad con las Administraciones Públicas, de conformidad con el Esquema Nacional de Interoperabilidad, en la remisión de documentos electrónicos presentados por los ciudadanos utilizando alguno de los sistemas de firma contemplados en la presente Resolución.
Disposición final única.- Entrada en vigor y publicación en sede electrónica.
Esta Resolución entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”. Asimismo, será objeto de publicación en la sede electrónica de la Agencia Estatal de Administración Tributaria, donde se detallarán las actuaciones en las que son admisibles estos medios de identificación y autenticación y las garantías asociadas a los mismos.
Madrid, 17 de noviembre de 2011.–El Presidente de la Agencia Estatal de Administración Tributaria, Juan Manuel López Carbajo.
ANEXO I.- SISTEMA DE FIRMA CON CLAVE O NÚMERO DE REFERENCIA
I.- Descripción del sistema
El ciudadano recibe, previa solicitud a la Agencia Tributaria, o de oficio, una clave o número de referencia, que permitirá la realización por vía electrónica de los trámites o actuaciones que se determinen. Las solicitudes recibidas serán objeto de verificación en cuanto a la identidad del solicitante y la posibilidad de uso de este sistema.
La clave o número de referencia se genera de forma automática en un entorno seguro, asociado de manera exclusiva a los trámites o actuaciones para los que se habilita y a los ciudadanos afectados en cada caso. Para su creación se utilizará un algoritmo que relacione una serie de datos conocidos y únicos para un ciudadano determinado y un concreto trámite o actuación, pudiendo ser almacenado en el sistema de información de la Agencia Tributaria.
Dicha clave o número de referencia constará de un número fijo y determinado de caracteres numéricos y/o alfanuméricos, función del algoritmo y datos seleccionados para la formación del mismo.
La comunicación al interesado de la clave o número de referencia se realizará a través de un canal seguro, ya sea por vía electrónica, postal, presencial o telefónica. En dicha comunicación se informará asimismo al ciudadano de sus posibilidades y/o límites de utilización, en relación con los trámites o actuaciones para los que ha sido habilitado dicho número o clave.
Mediante la utilización de la clave o número indicado, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema.
Adicionalmente, la Agencia Tributaria podrá solicitar al ciudadano la aportación de otros datos referidos al mismo, distintos del número o clave antes indicados, y conocidos por él y la Agencia Tributaria.
El ciudadano podrá solicitar en las oficinas de la Agencia o en su caso a través de la sede electrónica, debidamente identificado, la inhabilitación de la clave o número de referencia remitido, lo que supondrá, a partir del momento en que dicha inhabilitación tenga lugar, la imposibilidad de realizar con dicha clave o número los trámites o actuaciones antes mencionados.
La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se haya determinado su utilización.
La utilización del sistema descrito por parte del ciudadano implicará el consentimiento para su uso como sistema de firma electrónica.
Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, la Agencia Tributaria generará automáticamente un acuse de recibo o recibo de presentación, en los términos señalados en la Resolución de 28 de diciembre de 2009, de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se crea la sede electrónica y se regulan los registros electrónicos de la Agencia Estatal de Administración Tributaria.
II.- Garantías de funcionamiento
Conforme a los principios de seguridad y proporcionalidad, el sistema descrito en el apartado anterior garantiza adecuadamente su funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y normativa de desarrollo.
La clave o número de referencia se genera en un entorno seguro, de forma automática y sin intervenciones manuales.
La confidencialidad, autenticidad y no repudio se garantizan mediante el conocimiento exclusivo por parte del ciudadano y de la Agencia Tributaria, de la clave o número de referencia y, en su caso, del resto de información requerida. El conocimiento exclusivo de la clave o número de referencia por parte del ciudadano se garantiza mediante la comunicación del mismo a través de un canal seguro, ya sea por vía electrónica, postal, presencial o telefónica.
Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante su incorporación inmediata al sistema de información de la Agencia Tributaria, y en particular, al Catálogo de documentos electrónicos, de conformidad con lo dispuesto en la Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Tributaria, sobre uso de código seguro de verificación. La integridad y conservación de los documentos electrónicos almacenados en el Catálogo y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad. El acuse de recibo emitido por la Agencia Tributaria y firmado con su propio código seguro de verificación o CSV será el documento con valor probatorio de la presentación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica de la Agencia Tributaria, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.
La seguridad del sistema se ve reforzada por la limitación en cuanto a los trámites o actuaciones para las que puede ser utilizado, no siendo posible su uso fuera de dicho ámbito.
El sistema no permitirá el acceso o la firma electrónica mediante claves o números de referencia o datos incorrectos, no válidos o que no estén vigentes en el momento de su uso.
ANEXO II.- SISTEMA DE FIRMA CON INFORMACIÓN CONOCIDA POR AMBAS PARTES
I.- Descripción del sistema
El sistema consiste en la aportación por el ciudadano de determinados datos, conocidos solamente por él y la Agencia Tributaria, distintos de la clave o número de referencia mencionado en el Anexo I, que sean requeridos para la realización, por vía electrónica, de determinados trámites o actuaciones que no impliquen acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.
Mediante la aportación de los datos indicados, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema.
La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se haya determinado su utilización.
La utilización del sistema descrito por parte del ciudadano implicará el consentimiento para su uso como sistema de firma electrónica.
Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, la Agencia Tributaria generará automáticamente un acuse de recibo o recibo de presentación, en los términos señalados en la Resolución de 28 de diciembre de 2009, de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se crea la sede electrónica y se regulan los registros electrónicos de la Agencia Estatal de Administración Tributaria.
II.- Garantías de funcionamiento
Conforme a los principios de seguridad y proporcionalidad, el sistema descrito en el apartado anterior garantiza adecuadamente su funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y normativa de desarrollo.
La confidencialidad, autenticidad y no repudio se garantizan mediante el conocimiento exclusivo por parte del ciudadano, así como de la Agencia Tributaria, de los datos requeridos.
Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante su incorporación inmediata al sistema de información de la Agencia Tributaria, y en particular, al Catálogo de documentos electrónicos, de conformidad con lo dispuesto en la Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Tributaria, sobre uso de código seguro de verificación. La integridad y conservación de los documentos electrónicos almacenados en el Catálogo y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad. El acuse de recibo emitido por la Agencia Tributaria y firmado con su propio código seguro de verificación o CSV será el documento con valor probatorio de la presentación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica de la Agencia Tributaria, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.
La seguridad del sistema se ve reforzada por la limitación en cuanto a los trámites o actuaciones para las que puede ser utilizado, no siendo posible su uso fuera de dicho ámbito, ni permitiéndose el acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.
El sistema no permitirá el acceso o la firma electrónica mediante datos incorrectos, no válidos o que no estén vigentes en el momento de su uso.
ANEXO III.- SISTEMA DE FIRMA CON CLAVE DE ACCESO EN UN REGISTRO PREVIO COMO USUARIO
I.- Descripción del sistema
El sistema se basa en la inscripción por el ciudadano en un registro de usuarios, para lo cual cumplimentará un formulario facilitado al efecto por la Agencia Tributaria. Una vez inscrito, la Agencia proporcionará al ciudadano un código y una clave de acceso. El usuario podrá en todo momento gestionar dicha clave.
A través del código y la clave de acceso, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema, que no podrá implicar acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.
La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se haya determinado su utilización.
La utilización del sistema descrito por parte del ciudadano implicará el consentimiento para su uso como sistema de firma electrónica.
Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, la Agencia Tributaria generará automáticamente un acuse de recibo o recibo de presentación, en los términos señalados en la Resolución de 28 de diciembre de 2009, de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se crea la sede electrónica y se regulan los registros electrónicos de la Agencia Estatal de Administración Tributaria.
II.- Garantías de funcionamiento
Conforme a los principios de seguridad y proporcionalidad, el sistema descrito en el apartado anterior garantiza adecuadamente su funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y normativa de desarrollo.
La confidencialidad, autenticidad y no repudio se garantizan mediante el conocimiento exclusivo por parte del ciudadano y la Agencia Tributaria del código y la clave de acceso a dicho registro, y en su caso, de los datos proporcionados por el ciudadano en el formulario de inscripción en el registro.
Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante su incorporación inmediata al sistema de información de la Agencia Tributaria, y en particular, al Catálogo de documentos electrónicos, de conformidad con lo dispuesto en la Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Tributaria, sobre uso de código seguro de verificación. La integridad y conservación de los documentos electrónicos almacenados en el Catálogo y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad. El acuse de recibo emitido por la Agencia Tributaria y firmado con su propio código seguro de verificación o CSV será el documento con valor probatorio de la presentación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica de la Agencia Tributaria, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.
La seguridad del sistema se ve reforzada por la limitación en cuanto a los trámites o actuaciones para las que puede ser utilizado, no siendo posible su uso fuera de dicho ámbito, ni permitiéndose el acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.
El sistema no permitirá el acceso o la firma electrónica mediante datos, códigos o claves de acceso incorrectas, no válidas o que no estén vigentes en el momento de su uso.