En la contratación pública hay que tener muy en cuenta y de forma prioritaria los aspectos de seguridad en relación a la autentificación y la firma electrónica, y además la confidencialidad.
La transición al formato electrónico de la contratación pública, no solo no disminuye las exigencias de seguridad y confidencialidad sino que lo acrecienta. Y lo acrecienta incluyendo normalmente complejidad y grandes dosis de incertidumbre ya que las herramientas y técnicas disponibles y dispuestas para garantizar esta seguridad y para verificar su correcto uso, no son conocidas ni están disponibles de forma generalizada por cualquier ciudadano o empresa.
Los principales requisitos de seguridad en relación a la autenticación y la firma son, a mi modo de ver los siguientes:
Para una administración:
– documento electrónico que forma parte del expediente y requiere la firma electrónica reconocida y el sellado de tiempo. Garantiza la expresión de voluntad del documento electrónico con la firma y el sellado de tiempo.
– en el perfil de contratante: publicación fehaciente de los anuncios. Garantiza el contenido y el tiempo en el que el anuncio se puso a disposición del mercado.
– en las notificaciones: acuerdo de recepción y presentación de credenciales para identificación digital. Garantiza que una comunicación hacia un administrado es recogida por la persona física o jurídica afectada sin posibilidad de repudio, y garantiza el plazo de su puesta a disposición.
Para un operador económico:
– en la preparación de ofertas: firma electrónica reconocida en la firma de la oferta y los documentos adjuntos. Garantiza la asunción de la responsabilidad asumida en la oferta por la persona con poder bastante para ello dentro de la organización.
– en la recepción del acuse de recibo, número y sello electrónico con sellado de tiempo de la entidad de registro con la fecha y hora exactas de la recepción de la oferta. Garantiza la correcta recepción desde el punto de vista físico y el momento de la recepción, pero no del contenido, por parte de la administración receptora.
Para garantizar la confidencialidad de las ofertas
Siguiendo el Anexo X de la directiva comunitaria estos son los requisitos: (no aparecen cambios sustanciales en la propuesta de nuevas directivas).
REQUISITOS RELATIVOS A LOS DISPOSITIVOS DE RECEPCIÓN ELECTRÓNICA DE LAS OFERTAS, DE LAS SOLICITUDES DE PARTICIPACIÓN O DE LOS PLANOS Y PROYECTOS EN LOS CONCURSOS
Los dispositivos de recepción electrónica de las ofertas, de las solicitudes de participación y de los planos y proyectos deberán garantizar, como mínimo y por los medios técnicos y procedimientos adecuados, que
- las firmas electrónicas relativas a las ofertas, a las solicitudes de participación y a los envíos de planos y proyectos se ajusten a las disposiciones nacionales en aplicación de la Directiva 1999/93/CE;
- pueda determinarse con precisión la hora y la fecha exactas de la recepción de las ofertas, de las solicitudes de participación y de los planos y proyectos;
- pueda garantizarse razonablemente que nadie tenga acceso a los datos transmitidos a tenor de los presentes requisitos antes de que finalicen los plazos especificados;
- en caso de violación de esa prohibición de acceso, pueda garantizarse razonablemente que la violación pueda detectarse con claridad;
- únicamente las personas autorizadas puedan fijar o modificar las fechas de apertura de los datos recibidos;
- en las diferentes fases del procedimiento de licitación de contratos o del concurso, sólo la acción simultánea de las personas autorizadas pueda permitir el acceso a la totalidad o a parte de los datos presentados;
- la acción simultánea de las personas autorizadas sólo pueda dar acceso después de la fecha especificada a los datos transmitidos;
- los datos recibidos y abiertos en aplicación de los presentes requisitos sólo sean accesibles a las personas autorizadas a tener conocimiento de los mismos.
Para otros tramites donde se requiere autenticación.
Se pueden requerir la autenticación de muchas maneras:
– A través de certificados seguros
– A través de usuario y palabra de paso como lo hacen las redes sociales.
– A través de tokens (se envía un correo o un sms para verificar con el correo electrónico o con el móvil la autenticidad del usuario).
Por lo general en Europa hay una tendencia a relajar las exigencias en cuanto a la autenticación pero no en la firma, por ejemplo de un contrato. Es decir me puedo autenticar con usuario y password, o con un token recibido en el correo electrónico, pero la firma de los contratos tiene que ser una firma reconocida.
La cuestión aquí radica en mi opinión en la proporcionalidad de las herramientas y su utilización en función de la administración y los proveedores, y la simetría probatoria de ambas partes involucradas.
La forma más eficiente de autenticación y firma electrónica (son dos conceptos diferentes) son los certificados emitidos por una tercera parte de confianza (Autoridades de certificación) homologadas por alguno de los Estados miembros de la Unión y que figuran en las listas de la propia Unión correspondiente.
Por ejemplo nuestro DNI electrónico, que como sabéis tiene la capacidad de autenticación y firma. La cuestión es que debido a factores tecnológicos su uso es muy complicado y cuando lo utilizamos en los navegadores su uso no solo es complicado sino que además es distinto en cada uno de los navegadores que utilicemos. Por no hablar de la famosa máquina virtual cambiante de Java.
Pero desde la firma y autenticación con certificado homologado, firma reconocida, a las necesidades de autenticación y firma hay una gradación que se puede estudiar para considerar la proporcionalidad: utilizar el medio que mejor se adapte a las necesidades de la función y que más fácil sea de utilizar por parte de los usuarios, y que genere un entorno de confianza suficiente. Teniendo en cuenta que suficiente es la ausencia continuada o baja probabilidad o escasos problemas en las incidencias de seguridad.
Y además hay que tener en cuenta también que en contratación pública sería muy conveniente introducir la simetría probatoria, tanto la administración como el proveedor tienen que tener la capacidad de probar que han utilizado (o no) determinadas herramientas para producir presentaciones, expresiones de voluntad, accesos, retiradas de información, notificaciones ….
Para entender las tendencias en seguridad, autenticación y firma, se ha producido el miércoles y jueves el II Encuentro Nacional sobre Firma y Administración Electrónica econ la participación de Atos, la Universidad Autónoma de Madrid, el Ministerio de Hacienda y Cenatic entre otros, y os animo a que echéis un vistazo al debate y los comentarios que se han suscitado por parte de los asistentes a este encuentro en el grupo de linkedin de Administración Electrónica y Función Pública 2.0
Mi conclusión.
La firma electrónica reconocida se debe utilizar en la presentación de ofertas y para la firma del contrato, y dentro de la administración para aquellos documentos que son fundamentales en el expediente de contratación, para otras funciones se pueden utilizar otros sistemas más sencillos de usar y que no tienen por que tener unos niveles de seguridad tan exigentes.
No obstante, en mi opinión, este asunto eminentemente técnico organizativo no puede ser óbice para retrasar la transición al formato electrónico de la contratación pública.
Hola Manuel, me viene muy bien este «post»; estoy haciendo un curso de contratacón electrónica y tengo que hacer un trabajo práctico. Creo que esta entrada del blog me va a facilitar mucho la su elaboración.