A lo largo de este post analizaremos el criterio adoptado por la Agencia Española de Protección de Datos (AEPD) en relación con la consulta planteada por el Grupo de Trabajo para la Protección de Datos Personales de la Comunidad de Madrid sobre la necesidad de modificar la normativa nacional reguladora del uso de la firma electrónica, y más concretamente, sobre la supresión del certificado electrónico de empleado público el DNI/NIE, para proteger los datos personales de los empleados públicos y dar cumplimiento al principio de minimización de datos, recogido en el artículo 5.1 c) del Reglamento General Europeo de Protección de Datos (RGPD).
Puesto que la AEPD es la autoridad de control sobre protección de datos en el territorio nacional, esta tiene potestad para, con arreglo al artículo 58.3.b) del RGPD, emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento, al Gobierno o, a otras instituciones y organismos, sobre cualquier asunto relacionado con la protección de los datos personales.
En relación a este asunto, se ha pronunciado recientemente a través de la emisión del Dictamen N/REF: 0088/2020, destacando que son numerosas las formulaciones ante la AEPD respecto al tratamiento del dato correspondiente al DNI/NIE en los sistemas de firma electrónica, especialmente cuando se trata de la firma de documentos por parte de empleados públicos en el ejercicio de las funciones que tienen encomendadas, razón por la cual se ha considerado conveniente analizar dicha cuestión por parte del Gabinete Jurídico.
En este sentido, en el Informe 150/2019 ya se estudió la consulta formulada por la Universidad de Sevilla sobre el sistema de verificación de documentos firmados electrónicamente, que en el momento de la verificación ofrece al solicitante el número de DNI junto con el nombre completo del firmante (datos de validación a los que se refiere el artículo 3.40) del Reglamento 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior).
En el citado informe se concluía que, tratándose del uso de sistemas de firma electrónica por parte de los empleados públicos, no siendo el DNI un dato que deba legalmente figurar en los actos administrativos, el mismo no debe figurar ni en los certificados electrónicos ni en la firma electrónica, garantizándose en todo caso que no se tiene conocimiento del mismo a través de los sistemas de código seguro de verificación, pudiendo optarse, por otros sistemas de identificación adicionales (otros números de identificación, el reflejo del cargo/departamento en que se encuadra el empleado público o, por el uso del seudónimo, por ejemplo)
Así, se estaría cumpliendo el principio de minimización de datos, estableciéndose las garantías adecuadas recogidas en el artículo 87 del RGPD: “Los Estados miembros podrán determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número nacional de identificación o cualquier otro medio de identificación de carácter general se utilizarán únicamente con las garantías adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento”, quedando latente la necesidad de modificación de la normativa nacional reguladora del uso de la firma electrónica. (Ver más sobre el tratamiento del dato del DNI aquí.).
La AEPD lo que hace ahora es reiterarse en el criterio recogido en el informe 150/2019, si bien emite un nuevo informe al objeto de incorporar las modificaciones normativas producidas con posterioridad al mismo, especialmente tras la aprobación de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza y del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.
Se parte de la base de que el dato personal correspondiente al número del DNI no es un dato que, de acuerdo con la normativa vigente, deba figurar entre los datos que permitan identificar al empleado público actuante.
FUNDAMENTACIÓN NUEVO DICTAMEN EMITIDO
Por una parte, con la finalidad de introducir las garantías necesarias en el tratamiento del DNI/NIE por parte de las Administraciones Públicas, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) ha introducido una regulación específica al respecto en su Disposición adicional séptima, respecto a la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos: “Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.”
Sin embargo, cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, esto es principalmente “cuandolos interesados en un procedimiento sean desconocidos, se ignore el lugar de la notificación o bien, intentada ésta, no se hubiese podido practicar y la notificación se hace por medio de un anuncio publicado en el Boletín Oficial del Estado”, se identificará al afectado exclusivamente mediante el número completo de su DNI/NIE, pasaporte o documento equivalente; y cuando el afectado careciera de cualquiera de estos documentos, se le identificará únicamente mediante su nombre y apellidos.
En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del DNI/NIE, pasaporte o documento equivalente.
Como puede observarse, se han introducido las garantías adecuadas en relación con el tratamiento del DNI/NIE que permitan cumplir con dos de los principios fundamentales de la protección de datos recogidos en el artículo 5 del RGPD.
La AEPD añade que iguales cautelas deben adoptarse cuando se trata de asociar el número del DNI/NIE a los nombres y apellidos de su titular, debiendo evitarse que puedan ser conocidos conjuntamente, fuera de los casos en que sea necesario, el nombre y apellidos junto con el número completo del DNI/NIE/pasaporte o documento equivalente.
Por otra parte, el Real Decreto 1465/1999, de 17 de septiembre, por el que se establecen criterios de imagen institucional y se regula la producción documental y el material impreso de la Administración General del Estado, después de establecer con carácter general en su artículo 3 la obligación de formalizar los documentos administrativos, mediante firma manuscrita u otros medios electrónicos que permitan acreditar su autenticidad, regula en su artículo 4 el contenido de dichos actos a fin de identificar al autor del mismo, sin exigir, en ningún momento, la constancia del DNI/NIE.
Esto parece lógico ya que se trata de actos dictados en el ejercicio de las competencias públicas que los funcionarios tienen legalmente atribuidas y no de actos dictados a título particular en su condición de ciudadanos. Además, el propio acto ya incluye otros datos que permiten la correcta identificación del acto y de su autor: el número de expediente, la denominación completa del cargo o puesto de trabajo del titular del órgano administrativo, el nombre y los apellidos de la persona que formaliza el documento y la fecha en que se formalizó.
En este sentido, en el Informe 42/2015, la AEPD ya consideró que la incorporación del dato correspondiente al DNI como consecuencia del uso de firma electrónica podría considerarse excesivo.
Entonces, si no es necesario conforme a la normativa que rige el contenido de los actos administrativos la constancia del DNI/NIE del funcionario público que firma el acto, ¿su inclusión como consecuencia del empleo de la firma electrónica en vez de la firma manuscrita es contraria a la normativa de protección de datos personales?
Pues bien, la firma electrónica ha estado regulada en España por la Ley 59/2003, de 19 de diciembre, de firma electrónica, y posteriormente, se ha aprobado a nivel europeo el Reglamento 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS), el cual supone una nueva regulación de la firma electrónica.
Dicho Reglamento introduce el concepto de firma electrónica cualificada, que viene a sustituir al de firma electrónica reconocida, y que se define como “una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica”.
Como consecuencia, igualmente se ha publicado la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, que deroga la Ley 53/2003, de firma electrónica, y que complementa al Reglamento eIDAS en aspectos que no se han armonizado y que se dejan al criterio de cada Estado.
De acuerdo con el artículo 3 del Reglamento eIDAS, la firma electrónica son los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos, que se utiliza para firmar; y la firma electrónica avanzada, es la que cumple los requisitos contemplados en el artículo 26.
En el uso de la firma electrónica tienen una gran importancia los certificados electrónicos, que permiten acreditar la identidad del firmante. Un certificado electrónico es “una declaración electrónica que vincula los datos de validación de una firma con una persona física y confirma, al menos, el nombre o el seudónimo de esa persona.” Por su parte, el certificado cualificado de firma electrónica “es un certificado de firma electrónica que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo I del Reglamento eIDAS”. (artículo 3)
La Ley 6/2020, recoge en su artículo 7.1 que “la identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el DNI, pasaporte u otros medios admitidos en Derecho. Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial.”
Por consiguiente, la acreditación de la identidad a la hora de solicitar un certificado debe realizarse con el DNI, por ser este el único documento con suficiente valor por sí solo para la acreditación de la identidad y los datos personales de su titular.
Asimismo, en relación con los empleados públicos, el artículo 43.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público dispone que “Cada Administración Pública determinará los sistemas de firma electrónica que debe utilizar su personal, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios. Por razones de seguridad pública los sistemas de firma electrónica podrán referirse sólo el número de identificación profesional del empleado público”.
De acuerdo con esto, en el certificado debe figurar necesariamente el DNI/NIE del empleado público, salvo en los supuestos en que se autoriza el uso de seudónimo, que limita a “actuaciones que realizadas por medios electrónicos afecten a información clasificada, a la seguridad pública o a la defensa nacional o a otras actuaciones, en las que esté legalmente justificado el anonimato para su realización”.
No obstante, se acaba de publicar, el pasado 31 de marzo, el Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos, que deroga expresamente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, y que procede a una nueva regulación de los sistemas de firma electrónica de los empleados públicos y de los correspondientes certificados, en los que ya no se exige expresamente la constancia del número del DNI/NIE/NIF, cuya exigencia sí se mantiene para la identificación de las personas interesadas en los procedimientos administrativos.
Ahora se mantiene la necesidad de identificar al firmante, pero ya no se hace referencia al DNI/NIE/NIF, que sí se exige expresamente cuando se trata de identificar a las personas físicas interesadas en los procedimientos administrativos.
Por último, Reglamento eIDAS sólo exige en los certificados “al menos” el nombre del firmante o un seudónimo, sin que se requiera de manera necesaria identificación adicional, siendo admisible otro tipo de identificador que no se corresponda con el DNI, u otra circunstancia diferenciadora en caso de que hubiese posibilidad de confusión en el firmante.
En este sentido, la División de Innovación Tecnológica de la AEDP ha informado al Gabinete Jurídico de que tal caracterización va en línea con la norma técnica RFC 3739 Internet X.509 Public Key Infrastructure: Qualified Certificates Profile.
CONCLUSIÓN:
No siendo el DNI/NIE/NIF un dato que deba legalmente figurar en los actos administrativos, no debería figurar ni en los certificados electrónicos ni en la firma electrónica, garantizándose en todo caso que no se tiene conocimiento del mismo a través de los sistemas de código seguro de verificación, pudiendo optarse, entre otros posibles sistemas de identificación adicionales.
De este modo se estaría dando cumplimiento al principio de minimización de datos, estableciéndose las garantías adecuadas conforme a lo dispuesto en el RGPD, debiendo modificarse en este sentido la normativa nacional reguladora del uso de la firma electrónica en el ámbito de los certificados emitidos para el personal al servicio de la Administración General del Estado y de sus organismos públicos vinculados o dependientes.
En este sentido, señala la AEPD que sería igualmente deseable la adopción de un perfil de certificado con seudónimo común que, cumpliendo los requisitos exigidos para los certificados cualificados, establezca como identificador un número de identificación profesional construido en base a una misma regla de codificación aplicable a toda la Administración pública.
Ver artículos relacionados Tecnología, protección de datos y Administraciones Públicas parte I, Smart cities, protección de datos y administraciones públicas.