Artículo 19. Firma electrónica del personal al servicio de las Administraciones Públicas.
1. Sin perjuicio de lo previsto en los artículos 17 y 18, la identificación y autenticación del ejercicio de la competencia de la Administración Pública, órgano o entidad actuante, cuando utilice medios electrónicos, se realizará mediante firma electrónica del personal a su servicio, de acuerdo con lo dispuesto en los siguientes apartados.
2. Cada Administración Pública podrá proveer a su personal de sistemas de firma electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios.
3. La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.
Es un marco genérico, que implica la necesidad de realizar un desarrollo reglamentario. Un primer borrador del mismo figura en los trabajos que se han divulgado del "Esquema de identificación y firma electrónica de las AAPP" en en Centro de Transferencia de Tecnologías. Sea este el marco que finalmente se defina o no, refleja la complejidad del mismo, que queda patente en un peculiar ciclo de vida de los certificados digitales y los actores que intervienen en el mismo. De una primera lectura de este borrador pueden quedar aspectos no lo suficientemente claros, que es de esperar queden diseñados totalmente en su versión final. A continuación reflejo mi interpretación del mismo.
Al igual que para el resto de los sistemas de identificación electrónica para las AAPP definidos en la LAECSP, se definen dos tipos diferenciados de certificados digitales de empleado público para uso en firma electrónica. De un lado, aquellos que requieren un nivel de aseguramiento alto y ha de protegerse su material criptográfico en un dispositivo seguro de creación de firma (DSCF). De otro, los que requieren un nivel de aseguramiento medio y pueden estar basados en medios software. Las firmas electrónicas generadas con los primeros, de acuerdo a lo definido en la Ley de Firma Electrónica (LFE, Ley 59/2003), tendrían características de firma electrónica reconocida, equivalente a firma manuscrita. Las generadas con los segundos, sólo tendrían características de firma electrónica avanzada. Es de sospechar que por la cabeza de quien diseñó esta dualidad de certificados pasará el uso de los basados en DSCF por aquellos con consideración de directivos, mientras los basados en software estarían destinados al resto de empleados públicos. No obstante, es fácil prever una convergencia hacia el uso sólo de firma electrónica basada en DSCF, ligando dicho dispositivo a las omnipresentes tarjetas de fichaje.
El "Esquema de identificación y firma electrónica de las AAPP" establece para ambos tipos de certificados un ciclo de vida que gira entorno a tres actores. De un lado la Autoridad de Certificación que emite los certificados, y de otro el suscriptor de certificado u organismo al que están adscritos empleados públicos y el responsable de certificado o empleado público que hace uso del mismo. Es decir, desdobla el titular del certificado en dos actores distintos, dando al primero la propiedad del mismo y al otro su uso. Ello queda reflejado en el hecho que tan sólo el suscriptor puede revocar un certificado de empleado público, y que aunque la solicitud puede partir tanto de suscriptor como del responsable, el responsable está obligado a recibirlo si el suscriptor se lo ha solicitado. Con este marco normativo, la firma electrónica pasa a ser una herramienta de trabajo de obligada aceptación, eliminado las ambiguedades existentes previas a la existencia de la LAECSP.
La relación existente entre los tres actores del ciclo de vida de los certificados digitales de los empleados públicos, hace pensar en una implementación de la generación del material criptográfico realizada integramente por la Autoridad de Certificación, en que el suscriptor realizará una petición masiva de los certificados para los empleados públicos del organismo que representa. En caso de certificados digitales basados en DSCF, una vez estos estuvieran disponibles se harían llegar a cada uno de los empleados públicos. En el caso de certificados basados en software, habría que idear un mecanismo seguro de hacer entrega del fichero PKCS12 al responsable del mismo.
Otro aspecto que llevará a una generación del material criptográfico por parte de la Autoridad de Certificación es la imposición que se hace a éste de conservar las claves privadas durante 15 años dentro del borrador del "Esquema de Identificación y Firma Electrónica". Esta conservación resulta más sencilla de implementar si la generación de claves se realiza en la Autoridad de Certificación que si la realiza suscriptor o responsable para luego hacérselas llegar de modo seguro. El almacenamiento de claves por el periodo indicado permitirá disponer de servicios de key scrow, si bien no existe previsión de cómo será regulado el procedimiento de recuperación de claves.
En resumen, es un ciclo de vida que tiene como principales peculiaridades que el empleado público juega un papel secundario en el mismo y que, a diferencia de servicios para ciudadanos existentes como el proporcionado por la FNMT, se hace la generación de claves en la Autoridad de Certificación.