El Real Decreto 14/2019 de 31 de octubre introduce modificaciones en la admisión de certificados no incluidos en las listas de proveedores de servicios de certificación de confianza. Dichas modificaciones introducen el requisito formal de un dictamen de la Secretaría de Estado de Seguridad del Ministerio del Interior y generan ciertas dudas sobre la posibilidad de que constituyan una limitación excesiva para la obtención de una identificación electrónica por parte de entidades extranjeras que deseen participar en un procedimiento de contratación pública.
“¡Voto va! ¿Sabéis que nuestro expediente se ha quedado en el aire como el alma de Garibay, y que debe de estar ahora posado como una paloma sobre algún tejado de esta activa población?” Vuelva usted mañana. M. J. de Larra.
Consolidada la administración electrónica, con cada individuo y empresa con su correspondiente certificado e identificación electrónica, atrás quedan los expedientes físicos y pesados legajos; dispuestos todos a hacer de la Administración electrónica lo más moderno y expedito. A modo de despedida, el legislador español decidió sorprender a su audiencia con el Real Decreto-Ley 14/2019 de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones 1, que entró en vigor el pasado 6 de Noviembre y donde se introducen ciertas variaciones relativas al proceso de acreditación de identidad frente a la Administración. Por ende, es de esperar que afecte a la capacidad de identificación y certificación de empresas en los ahora electrónicos procedimientos de contratación pública.
El artículo 3 de dicho Decreto introduce una modificación sustancial de los artículos 9 y 10 de la Ley 39/2015 de Procedimiento administrativo común de las administraciones públicas 2(la nueva 30/92 para los nostálgicos) estableciendo un cajón de sastre donde el reconocimiento de sistemas de clave concertada 3 y cualquier otro sistema serán aceptados como medios válidos de identificación ante la Administración siempre que cuenten con un registro previo así como con la autorización de la Secretaría general de Administración Digital del Ministerio de política territorial en base a un informe previo vinculante de la Secretaría de Estado de Seguridad del Ministerio del Interior para proceder a la obtención de la certificación autorizada dentro de la Administración española.
A modo de ejemplo, el sistema Cl@ve, empleado para el acceso a la sede electrónica de la Agencia Tributaria, emplea este sistema. Si bien de acuerdo al Reglamento 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior 4 es obligación de los Estados Miembros el establecimiento de componentes que permitan la interoperabilidad entre sistemas de identificación nacionales y de otros estados miembros (en nuestro país el nodo español eIDAS) de acuerdo a la información disponible a través de la sede digital de Cl@ve, a día de hoy no es posible el reconocimiento de identidades electrónicas comunitarias.
Si bien con anterioridad la Ley 39/2015 ya incluía la posibilidad de admitir otros certificados no incluidos dentro de la “Lista de confianza de prestadores de servicios de certificación” 5, la nueva redacción, y especialmente el requisito de obtener un dictamen vinculante, lleva a considerar que el criterio –antes abierto a la discrecionalidad y reconocimiento automático de aquellos certificados extranjeros que hubieran sido notificados- se ha endurecido.
Dejando de lado consideraciones formales 6, nos encontramos un problema basado en la obligación de reconocimiento mutuo derivada del Reglamento 910/2014. De acuerdo al artículo 6 del mismo, el criterio aplicable para el reconocimiento mutuo de la identificación electrónica en el acceso a un servicio u organismo público online se basa en que la certificación o identificación se emita a través de un sistema incluido dentro de la lista de prestadores de confianza publicada por la Comisión; que el nivel de seguridad de dicha identificación sea igual o superior del equivalente nacional para acceder al servicio; y que el organismo público en cuestión utilice un nivel de seguridad sustancial o alto en relación con el acceso a ese servicio en línea. De esta manera se garantiza el reconocimiento de certificados extranjeros que igualen o eleven el nivel de seguridad requerido por la Administración nacional para el acceso al servicio por parte del poseedor de un certificado emitido por una agencia reconocida en la lista de proveedores de confianza. Paradójicamente, el portal de administración electrónica contiene un listado de los sistemas de identificación electrónica comunitarios que han sido notificados con vistas a establecer el reconocimiento mutuo, mientas que en la página del servicio que ha de usarse para identificarse ante la administración (de nuevo, Cl@ve) se menciona específicamente que el sistema está preparado para, en algún momento (lo que viene a ser el vuelva usted mañana moderno) reconocer sistemas extranjeros. ¿En qué quedamos?
Con la inclusión del nuevo procedimiento de reconocimiento de la certificación electrónica a través del artículo 3 del Real Decreto, parece obviarse aún más el sistema de reconocimiento mutuo para introducir una “[…] autorización por parte de la Secretaría General de Administración Digital del Ministerio de Política Territorial y Función Pública, que solo podrá ser denegada por motivos de seguridad pública, previo informe vinculante de la Secretaría de Estado de Seguridad del Ministerio de Interior. La autorización habrá de ser emitida en el plazo máximo de tres meses” Esta autorización sólo podrá ser denegada por motivos de Seguridad nacional y su silencio será negativo.
La primera pregunta que viene a la mente es ¿Cómo accede uno a la administración (electrónica, ya que somos modernos y expeditos) sin medio de identificación digital? ¿Significa eso que para poder solicitar una autorización para el uso del certificado electrónico de identificación de cada quien habrá primero que solicitar un certificado de identificación marca España? (¿Y cuál es el beneficio añadido entonces de solicitar autorización, si todo es tan fácil?). Si el añadido burocrático y procedimental no fuese suficiente, conviene tener en cuenta que, este paso, no requerido para la visualización de ofertas en la plataforma de contratación, sí es necesario para acreditar la identidad del licitador lo que eventualmente puede llevar a imponer una limitación a la libre circulación de empresas.
En un amago de previsión que tristemente refleja las complicaciones burocráticas que entraña la participación de empresas extranjeras en procedimientos de contratación pública, la Guía de servicios de Licitación electrónica 7 de la plataforma de contratación del sector público admite la posibilidad de enviar ofertas sin firmar electrónicamente, en cuyo caso se deberá advertir al órgano de contratación.
Dado del carácter personalísimo de este acto resulta difícilmente imaginable la posibilidad de que una empresa tenga que depender de la capacidad de otro ente para acreditar su identidad, en último caso podría llevar a la exclusión de empresas extranjeras de los procedimientos de contratación (al menos como contratista principal). Si bien este hecho no ha sido todavía considerado por los Tribunales nacionales ni comunitarios, conviene tenerlo en consideración, por sus implicaciones prácticas.
En todo caso, si su certificado electrónico no funciona hoy, vuelva usted mañana.
===
1 Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones. Boletín Oficial del Estado [BOE] nº266 de 5 de noviembre de 2019, BOE-A-2019-15790, páginas 121755 a 121774.
2 Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Boletín Oficial del Estado [BOE] nº 236 de 2 de Octubre de 2015, BOE-A-2015-10565, páginas 89343 a 89410.
3 Aquellos sistemas que faciliten la identificación mediante el uso de nombre de usuario y contraseña. Se usará dichos sistemas para aquellos procedimientos que lo requieran por la imposibilidad de obtener un certificado electrónico reconocido por la Administración española por parte de sus solicitantes. Véase las instrucciones sobre el uso de claves concertadas en procedimientos de la Sede electrónica del Ministerio de educación, cultura y deporte. Disponibles en https://sede.mcu.gob.es/SedeElectronica/resources/filesEnlaces/ClavesConcertadas_ManualDeUsuario.pdf [Fecha de último acceso 14 de Noviembre de 2019].
4 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE [Reglamento general de protección de datos] Boletín Oficial [OJ] L 119, de 4 de mayo de 2016, páginas 1 a 88.
5 La redacción previa de dicho artículo era la que sigue: Artículo 9.c: “c) Sistemas de clave concertada y cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan”.
6 Si observamos la formulación de las Listas de confianza ya establecidas nos encontramos con que a priori aparentan adolecer de una falta de adecuación a los criterios de forma establecidos por la Decisión de Ejecución 2015/1505 de la Comisión por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad , faltando no sólo un registro histórico sino también temporal respecto del reconocimiento y acreditación de la validez de los mismos.
7 Disponible para descarga a través de https://contrataciondelestado.es/wps/wcm/connect/c6451e55-7ffc-48fa-97f4-72d7b6735a38/GuiaLicitacion_v6+3+UOE+empresas.pdf?MOD=AJPERES&CACHEID=c6451e55-7ffc-48fa-97f4-72d7b6735a38 [Fecha de último acceso 14 de Noviembre de 2019].