Resumen
Con la emergencia de las tecnologías de registro distribuido, en particular de Blockchain, se ha generado la oportunidad para una innovación disruptiva en el funcionamiento de las Administraciones Públicas y, en concreto, en el procedimiento administrativo electrónico. En este artículo analizamos algunas de las aplicaciones que ya resultan posibles en la actualidad, con nuestra legislación vigente.
Es Doctor en Derecho (UMU). Licenciado en Derecho (UNED). Auditor de Sistemas de Información certificado, CISA, y Director de Seguridad de la Información certificado, CISM, por ISACA.
En la actualidad, es Abogado del Ilustre Colegio de Reus, Director General de Astrea La Infopista Jurídica SL (desde mayo 2009) y CISO de Logalty Servicios de Tercero de Confianza SL (desde abril 2009). También es miembro del grupo de Infraestructura de Seguridad de Firma Electrónica del Instituto Europeo de Normas de Telecomunicaciones (ETSI ESI), que normaliza los servicios de confianza, y participa en el TC 307 de ISO, relativo a blockchain.
Dispone de más de 75 publicaciones y ha impartido más de 400 ponencias en firma electrónica, seguridad y materias relacionadas.
Ha sido miembro del grupo directivo europeo de Seguridad de Redes y de la Información de la Unión Europea, del grupo directivo europeo de la Iniciativa Europea de Normalización de la Firma Electrónica, y vocal de Nuevas Tecnologías de la comisión calificadora superior de documentos de Cataluña.
1. Introducción
Blockchain se considera una tecnología de tipo disruptivo, que podría ofrecer oportunidades de innovación en el funcionamiento del sector público, en especial en el caso del procedimiento administrativo.
El interés por el uso de estas tecnologías en el sector público se manifiesta en la importante Declaración sobre Cooperación en una Asociación de Blockchain Europea (Declaration Cooperation on a European Blockchain Partnership), firmada el 10 de abril de 2018 por veintiún Estados miembros de la Unión Europea, incluyendo España, ya la que posteriormente se han adherido seis Estados más.
En la Declaración, los Estados firmantes reconocen el potencial de la blockchain para la transformación de los servicios públicos digital en la Unión Europea, se comprometen a trabajar de forma conjunta para conseguir realizar el potencial de los servicios basados en blockchain en beneficio de los ciudadanos, la sociedad y la economía, y establecen objetivos concretos para la Asociación.
Especialmente interesante resulta la visión, contenida en la Declaración relativa a que “los servicios basados en blockchain tienen el potencial para permitir servicios digitales descentralizados, de confianza, centrados en el usuario, y estimular nuevos modelos de negocio que benefician nuestra sociedad y la economía”, por lo que considera que “estos servicios crearán oportunidades para potenciar los servicios tanto en el sector público como el privado, en particular haciendo un mejor uso de la información del sector público al mismo tiempo que preservan la integridad de los datos y proporcionan un mejor control de los datos de los ciudadanos y organizaciones que interactúan con las administraciones públicas, reduciendo el fraude, mejorando el mantenimiento de registros, el acceso, la transparencia y la auditabilidad, dentro y fuera de las fronteras”.
La opinión del Observatorio y Forum de Blockchain de la Unión Europea (2018) considera el valor de las cadenas de bloques para la creación de confianza en la información y los procesos en situaciones en que hay grandes cantidades de partes interesadas o usuarios, muy heterogéneos; también, en la creación de pistas fiables de auditoría de la información, permitiendo la compartición y privacidad de los datos.
Se trata de una visión que se complementa con el posible liderazgo europeo en este ámbito, en la que destaca con fuerza la previsión de creación de una Infraestructura Europea de Servicios de Blockchain.
Sin embargo, esta visión sólo resultará viable en la medida en que exista un marco legal que no entre en conflicto con estas tecnologías, especialmente desde la perspectiva de la eficacia jurídica de las transacciones basadas en blockchain y del necesario cumplimiento de la normativa de protección de datos.
Veremos a continuación las principales instituciones jurídicas del procedimiento administrativo que pueden ser impactadas positivamente en el uso de estas tecnologías de registro distribuido.
2. La identidad auto-soberana en las relaciones con el sector público
Uno de los casos de uso interesante de las tecnologías de registro distribuido se refiere a la denominada identidad auto-soberana (self-sovereign identity, en inglés), que es aquella creada y gestionada por cada persona individualmente, sin la intervención de terceras partes. Esta identidad auto-soberana también es conocida como identidad auto-gestionada.
Como ha indicado Allen [3], estas identidades deben atender a las siguientes características: existencia de la identidad de una persona independientemente de administradores o proveedores de identidad; control por la persona de sus identidades digitales; acceso completo por las personas a sus datos; transparencia de los sistemas y algoritmos; persistencia de las identidades digitales; portabilidad de las identidades digitales; interoperabilidad de las identidades digitales; cumplimiento de la economía de datos; y protección de los derechos de la persona.
En un sistema de identidad auto-soberana basado en tecnologías de registro distribuido, el usuario puede obtener testimonios de datos de identidad, producidos por entidades que los han verificado, y para posteriormente poder crear alegaciones de identidad en las que presentará, a terceros, los datos que requiera para acreditar su identidad u otras atribuciones.
A diferencia, pues, de los sistemas que más se emplean en la actualidad en el procedimiento administrativo electrónico, como Cl@ve, en los que interviene un proveedor de identidad en cada autenticación, en estos sistemas de identidad auto-soberana tal intervención desaparece.
En efecto, en el sistema Cl@ve la identificación se sustenta en un proceso en el que participan diversas entidades: en primer lugar, el interesado se conecta al servicio electrónico ofrecido por la Administración a que desea acceder, y selecciona autenticarse mediante Cl@ve. Este servicio reenvía al interesado a la página web del servicio Cl@ve, donde se produce la autenticación (por ejemplo, mediante contraseña o doble factor de autenticación). Una vez autenticado el interesado, se le entrega una prenda (un código) y se le reenvía de nuevo al servicio al que precisa acceder, debiendo entregarle dicha prenda. A continuación, el servicio pregunta a Cl@ve acerca de la identidad del interesado, para lo cual le envía esta prenda, y recibe una respuesta, en forma de documento en XML, con dichos datos. Finalmente, concede acceso.
En cambio, en un sistema de identidad auto-soberana, dado que el interesado posee ya los datos de identidad y otros atributos autenticados por los emisores, debidamente enlazados en la red de nodos, para identificarse frente a terceros ya no necesita de la intervención de los emisores.
Cabe preguntarse acerca de la posibilidad de emplear estos sistemas para la identificación en el procedimiento administrativo, a cuyos efectos debemos remitirnos al régimen contenido en el artículo 9 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPAC).
Aunque el régimen de la LPAC, como indica el preámbulo de la ley, se encuentra alineado con el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (en adelante, Reglamento eIDAS), el mismo es suficientemente neutral como para permitir el uso de otros sistemas de identificación electrónica, incluso aunque los mismos no encuentren encaje en dicho Reglamento de la Unión.
En este sentido, el epígrafe 2 del artículo 9 de la LPAC autoriza que “los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de cualquier sistema que cuente con un registro previo como usuario que permita garantizar su identidad”, siendo admisibles diversos tipos de sistemas; a saber:
a) Sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación». A estos efectos, se entienden comprendidos entre los citados certificados electrónicos reconocidos o cualificados los de persona jurídica y de entidad sin personalidad jurídica.
b) Sistemas basados en certificados electrónicos reconocidos o cualificados de sello electrónico expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación».
c) Sistemas de clave concertada y cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan.
En todo caso, nótese que el requisito legal viene referido a la existencia de un registro previo de usuario, algo que en el caso de la tecnología de registro distribuido se cumple perfectamente por parte del emisor.
Y por lo que respecta a los sistemas mencionados en la LPAC, las dos primeras posibilidades se basan en el uso de certificados de firma electrónica (en el caso de persona física) o de sello electrónico (en el caso de persona jurídica). En el caso de las tecnologías de registro distribuido, y dado que la actuación de los interesados mediante las mismas se sustenta, como se ha avanzado, en firma digital, resultaría posible expedir los correspondientes certificados (algo que se ha denominado como una infraestructura de clave pública descentralizada), pero no es común que ello suceda, por lo que en general se deberá acudir a la tercera posibilidad, siempre que la Administración considere este sistema válido.
Para ello se deberá estar a lo establecido en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS) y, más en concreto, a las normas de seguridad aplicables a la identificación y autenticación de usuarios, que son más o menos estrictas en atención al nivel de seguridad exigible al sistema (nivel que es determinado considerando el impacto o daño que se produciría en caso de una suplantación de identidad, en cuanto estamos ahora analizando).
Como puede verse en el epígrafe 4.2.1 del Anexo II del ENS, “las partes intervinientes se identificarán de acuerdo a los mecanismos previstos en la legislación europea y nacional en la materia, con la siguiente correspondencia entre los niveles de la dimensión de autenticidad de los sistemas de información a los que se tiene acceso y los niveles de seguridad (bajo, sustancial, alto) de los sistemas de identificación electrónica previstos en el Reglamento n.º 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE:
- Si se requiere un nivel BAJO en la dimensión de autenticidad (anexo I): Nivel de seguridad bajo, sustancial o alto (artículo 8 del Reglamento n.º 910/2014)
- Si se requiere un nivel MEDIO en la dimensión de autenticidad (anexo I): Nivel de seguridad sustancial o alto (artículo 8 del Reglamento n.º 910/2014)
- Si se requiere un nivel ALTO en la dimensión de autenticidad (anexo I): Nivel de seguridad alto (artículo 8 del Reglamento n.º 910/2014)”.
De este modo, y a diferencia de lo que sucede en la LPAC, realmente en el ENS sí que encontramos un alineamiento general de los sistemas de identificación que pueden ser admitidos por las Administraciones Públicas con el Reglamento eIDAS, pero sólo por lo que se refiere a las exigencias de seguridad que deben cumplir dichos sistemas, y no a otras cuestiones que podrían resultar más conflictivas, como las relativas a la interoperabilidad, ya que el Reglamento eIDAS apuesta, en la actualidad, por una red de sistemas como Cl@ve, y no por sistemas de identificación basados en tecnologías de registro distribuido.
Dado que uno de los fundamentos técnicos de las tecnologías de registro distribuido es, como hemos mencionado ya, es el empleo de firmas digitales, con carácter general podemos considerar que estos sistemas permitirán cumplir sin dificultad alguna los criterios del Reglamento eIDAS para el nivel sustancial, por lo que se podrán emplear en la mayoría de supuestos de procedimiento administrativo.
Obviamente, la Administración que implemente este tipo de servicio de identificación debe conservar la alegación de identidad que le ha transferido el interesado, pudiendo verificarla en el momento que lo precise mediante la consulta a la red. En realidad, en términos de valor probatorio, se trata de un sistema tan bueno como el que se basa en certificado cualificado o en Cl@ve, siempre que el emisor aplique las debidas exigencias en el momento de producir los testimonios de identidad que entregará al interesado.
Muy interesante resulta la previsión del artículo 9.3 de la LPAC, en cuya virtud “en todo caso, la aceptación de alguno de estos sistemas por la Administración General del Estado servirá para acreditar frente a todas las Administraciones Públicas, salvo prueba en contrario, la identificación electrónica de los interesados en el procedimiento administrativo”.
Este artículo, que ha sido declarado constitucional en la STC 55/2018, de 24 de mayo (aunque con un voto particular en contra), permite extender a todas las Administraciones Públicas el uso de un sistema de identificación que haya sido previamente admitido por la Administración General del Estado, por lo que podría facilitar la adopción de determinados sistemas basados en tecnologías de registro distribuido, como en el caso del sistema Alastria ID [2].
Algo parecido sucede en el caso de la identificación de las Administraciones, en este caso regulada en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (en adelante, LRJSP), excepto en el supuesto de la identidad de la sede electrónica, que por otra parte no se realiza aún mediante tecnologías de registro distribuido.
En este caso la normativa es muy parca, y se limita a autorizar, para la identificación, el uso de sistemas de sello electrónico avanzado basado en certificado electrónico cualificado, pero sin restringir la posibilidad de uso de otros tipos de sistemas, por lo que resulta perfectamente factible.
3. Firma y sello electrónicos basados en tecnologías de registro distribuido
Como ya se ha indicado anterior, estas tecnologías se basan en el uso de firmas digitales, producidas mediante la correspondiente clave privada que posee el firmante, sea éste el interesado o la Administración. Por ello, debemos plantearnos la posibilidad de utilizar estos sistemas a efectos de firma en el procedimiento administrativo – en aquellos casos en que sea exigible, conforme a la previsión del artículo 11 de la LPAC – o en otras relaciones electrónicas con las Administraciones Públicas regidas por su normativa sectorial correspondiente; firma que deberá resultar conforme al régimen establecido en el artículo 10 de la LPAC, y en los artículos 42 y siguientes de la LRJSP.
En este sentido, el artículo 10.1 de la LPAC autoriza que “los interesados podrán firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento”, complementando de algún modo la definición de firma electrónica contenida en el artículo 3.10 del Reglamento eIDAS, en cuya virtud la misma son “los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar”, en un enfoque de acertada neutralidad tecnológica, que permite perfectamente el uso de cualesquiera tecnologías que cumplan los requisitos legalmente establecidos.
De hecho, si atendemos a la definición de la firma electrónica avanzada contenida en el artículo 3.11 del mismo Reglamento eIDAS, la misma nos conduce al artículo 26 del Reglamento, que establece los requisitos que la misma debe cumplir; a saber:
a) estar vinculada al firmante de manera única;
b) permitir la identificación del firmante;
c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
Los sistemas basados en tecnologías de registro distribuido empleadas para la identificación, como en el caso de Alastria ID, permiten el cumplimiento de todos los requisitos, constituyendo firma electrónica avanzada. En efecto, el uso de la firma digital para la actuación garantiza la vinculación de la firma con el firmante (dado que sólo el firmante posee la clave) y con el documento firmado (dado que la firma incorpora el resumen de la transacción a la que se ha enlazado el documento); mientras que el control exclusivo de la clave viene garantizado por las medidas de seguridad de la aplicación del usuario. Finalmente, el sistema de identidad auto-soberana garantiza la identificación del firmante.
Por su parte, el epígrafe 2 del mismo artículo 10, en cierto modo análogo al artículo 9.2 ya analizado, regula que “en el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma:
a) Sistemas de firma electrónica reconocida o cualificada y avanzada basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la «Lista de confianza de prestadores de servicios de certificación». A estos efectos, se entienden comprendidos entre los citados certificados electrónicos reconocidos o cualificados los de persona jurídica y de entidad sin personalidad jurídica.
b) Sistemas de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de sello electrónico incluidos en la «Lista de confianza de prestadores de servicios de certificación».
c) Cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan”.
Como puede constatarse, aunque los dos primeros supuestos no serán aplicables, dado que normalmente no se expedirán certificados a usuarios de estas tecnologías, el tercer supuesto permite a la Administración hacer uso de estas tecnologías sin mayor dificultad.
Algo parecido sucederá en el caso de la firma electrónica por parte de la Administración. En este aspecto, quizá la mayor oportunidad se encuentre en reforzar el sistema de firma electrónica para la actuación administrativa automatizada consistente en un Código Seguro de Verificación, previsto en el artículo 42. b) de la LRJSP.
Se trata éste de un sistema que presenta algunos problemas, en especial dado que la Administración puede proceder al borrado de un Código, generando la apariencia de invalidez de un documento administrativo. La alineación de estos Códigos con las tecnologías de registro distribuido – o directamente la sustitución de un sistema por el otro – aportaría una garantía real en orden a impedir este borrado, y facilitaría la verificación de los Códigos, que podrían ser comprobados incluso sin la intervención de la Administración que los generó, incrementándose la confianza en el sistema.
Por lo que se refiere a las autoridades y empleados públicos, nada en la LRJSP se opone a que la Administración pueda establecer un sistema de firma electrónica basado en tecnologías de registro distribuido.
En todo caso, y como ya vimos en el caso de la identificación electrónica, tanto en el caso de la firma de los interesados como de la Administración, se deberá estar a lo que disponga el ENS en relación con el uso de la firma electrónica, en función de la categoría de seguridad del sistema de información en cuestión. Más en concreto, el epígrafe 5.7.4 del Anexo II de dicha norma impone límites que pueden impedir el uso de sistemas como Alastria únicamente en el nivel alto, por lo que en general podrán emplearse en la inmensa mayoría de relaciones con las Administraciones Públicas.
4. La representación electrónica
En íntima conexión con las necesidades de identificación y firma electrónicas que se acaban de exponer, encontramos la acreditación de las facultades de representación de un tercero.
Conforme autoriza el artículo 5.4 de la LPAC, “la representación podrá acreditarse mediante cualquier medio válido en Derecho que deje constancia fidedigna de su existencia”, por lo que podría perfectamente plantearse la posibilidad de utilizar también para ello la tecnología de registro distribuido, dado que en el fondo nos estamos refiriendo a atributos de una persona.
En efecto, sistemas como el ya indicado de Alastria permitirían la obtención de un poder notarial, por ejemplo, y su tokenización a efectos de trasferencia a la Administración por parte del interesado, para lo cual debería producirse la correspondiente copia electrónica auténtica conforme a las previsiones del artículo 17 bis.3 de la Ley del Notariado de 28 de mayo de 1862, incorporado por artículo 115 de la Ley 24/2001, de 27 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social.
Más aún, puede emplearse el propio sistema de blockchain para la concesión del apoderamiento electrónicamente, que será entregado al apoderado, encontrándonos ante un apoderamiento que ya no será apud acta, sino endosado con base en la red.
5. Las comunicaciones electrónicas con las Administración Públicas
Tratándose de una red de nodos que se envían transacciones entre los mismos, se puede perfectamente plantear el uso de esta tecnología para las comunicaciones entre los interesados y las Administraciones Públicas, y entre las propias Administraciones.
En este sentido, sobre estas redes se pueden implementar cualesquiera mecanismos de comunicación con el sector público. Más en concreto, estas comunicaciones pueden incluir la presentación de documentos y escritos en el registro electrónico de entrada de la Administración, así como la entrega de los correspondientes recibos de presentación, y también la remisión de comunicaciones y de notificaciones administrativas a los interesados, por parte de las entidades del sector público.
En ambos casos, el uso de las tecnologías de cadenas de bloques permite el aseguramiento de las evidencias de los actos de comunicación, incrementando las garantías del procedimiento.
6. Actuación administrativa automatizada y Smart contracts
No podemos cerrar esta panorámica de usos de las tecnologías de blockchain sin referirnos a la formalización electrónica y ejecución automatizada de contratos y convenios administrativos y otras actuaciones administrativas automatizadas empleando los llamados contratos inteligentes (Smart contracts), en condiciones de fiabilidad, transparencia y control para todas las partes interesadas nunca antes alcanzadas.
Un contrato inteligente no es, sin embargo, realmente un contrato, sino que se refiere a un programa informático que ejecuta una operativa previamente descrita, en especial en el ámbito de los contratos [5], aunque en la actualidad se utiliza esta expresión con carácter general, como por ejemplo en el caso del lenguaje Solidity de la red Ethereum, que se utiliza para fuerza tipo de propósitos, incluyendo las compras a distancia o las votaciones electrónicas.
En el sentido mencionado, el Comité Técnico 307 de ISO define el contrato inteligente como el programa informático grabado en un sistema de registro distribuido en el que se registra el consenso sobre los efectos de cualquier ejecución del programa en cuestión.
Desde este punto de vista, hay que recordar que la actuación administrativa automatizada se encuentra autorizada por la ya mencionada LRJSP, norma que permite fácilmente la adopción de esta tecnología sin particulares dificultades.
Más en concreto, el artículo 41.1 de la LRJSP define la actuación administrativa automatizada como “cualquier acto o actuación efectuada íntegramente a través de medios electrónicos por una Administración Pública en el marco de un procedimiento administrativo y en la que no haya intervenido de manera directa ningún empleado público”, como sucedería en el caso del uso de un contrato inteligente para tomar una decisión administrativa, especialmente en procedimientos muy reglados, que fuera objeto de auto-ejecución.
Ejemplos de esta actuación administrativa automatizada pueden ser, por ejemplo, la expedición de recibos de registro electrónico de entrada de documentos, la producción de copias electrónicas auténticas, la expedición de certificaciones de datos inscritos en registros administrativos, o la producción de notificaciones y comunicaciones electrónicas, entre otros [1].
Resulta especialmente relevante indicar que, conforme al epígrafe 2 del mismo artículo 41 de la LRJSP, “debe establecerse previamente el órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, mantenimiento , supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente”, e “indicar el órgano que debe considerarse responsable a efectos de impugnación”, lo que se podrá hacer a la disposición de carácter general que regule esta actuación.
7. Conclusiones
Como se ha podido ver, nos encontramos frente a unas tecnologías que ofrecen unas aplicaciones de extraordinaria importancia para el procedimiento administrativo y la actuación de las Administraciones Públicas, que a buen seguro pueden contribuir al incremento de las garantías y a la lucha contra las corruptelas procedimentales, y que pueden ser perfectamente empleadas ya sin necesidad de proceder a modificación alguna del marco legal vigente.En efecto, las instituciones jurídicas que sustentan de forma principal el procedimiento administrativo electrónico (identificación, firma y sello electrónico, documento electrónico, etc.) se encuentran reguladas de forma suficientemente neutral, facilitando la adopción del uso de la blockchain por parte de la Administración Pública.
