GASETA MUNICIPAL 31 de maig del 2024 CSV: 3159cff8f5a7dd96 Disposicions generals – Instruccions MODIFICACIÓ DE LA INSTRUCCIÓ relativa a la política d'identificació i signatura en l'actuació administrativa. La Comissió de Govern de data 14 de març de 2024 va acordar sotmetre a informació pública, durant un termini de trenta dies hàbils, l'aprovació de la modificació de la Instrucció relativa a la Política d'identificació i signatura en l'actuació administrativa de l'Ajuntament de Barcelona aprovada definitivament per la Comissió de Govern en sessió de 15 de novembre de 2018, mitjançant anunci al Butlletí Oficial de la Província de Barcelona i tenir-ho per aprovat definitivament en cas que transcorri l'esmentat termini sense que es presentin al·legacions. Havent finalitzat el termini d'informació pública el 8 de maig de 2024 sense que s'hagin formulat suggeriments ni al·legacions, cal tenir per aprovada definitivament la modificació de la Instrucció relativa a la Política d'identificació i signatura en l'actuació administrativa de l'Ajuntament de Barcelona, aprovada per acord de la Comissió de Govern de 14 de març de 2024. MODIFICACIÓ DE LA INSTRUCCIÓ relativa a la política d'identificació i signatura en l'actuació administrativa FINALITATS 1. Modificar el criteri general establert sobre el nivell de seguretat dels mecanismes d'identificació i signatura admesos per a les persones interessades en el procediment administratiu. La finalitat de la modificació és facilitar la relació telemàtica de les persones interessades en els procediment administratiu amb l'Ajuntament de Barcelona. En aquest sentit, es proposa modificar el criteri general establert a l'article 15 en la redacció original sobre els sistemes d'identificació i signatura admesos per a les persones interessades. El criteri general fixava que les persones interessades en el procediment administratiu municipal havien d'utilitzar mecanismes d'identificació i signatura de nivell mig o superior llevat que la gerència corresponent realitzés una anàlisi de riscos per baixar el nivell de manera proporcionada. Amb aquesta modificació, el criteri general passa a admetre tots els mecanismes d'identificació i firma que es troben recollits en el Catàleg de mecanismes municipal adoptat pel Comitè IMI de Seguretat. En aquest Catàleg, figuren els mecanismes admesos de diferents nivells de seguretat -alt, mig i baix- que, com a criteri general, es permetran utilitzar a les persones interessades en els diferents tràmits administratius municipals, amb algunes excepcions que s'observen sota el principis de seguretat i proporcionalitat. 2. Actualitzar les referències al marc normatiu vigent. 1 gaseta@bcn.cat barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 31 de maig del 2024 CSV: 3159cff8f5a7dd96 Aquesta modificació permet recollir i actualitzar normes que s'han aprovat amb posterioritat a la instrucció tot i que no modifiquen el seu contingut. MODIFICACIÓ DE L’ARTICULAT Primer. A l’article 3 Normativa d’aplicació -Es substitueix el Reial decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració electrònica per el Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat. -Es substitueix la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de dades de caràcter personal per la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals. -S’afegeixen les següents normes: Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança. El Reial decret 203/2021, de 30 de març, pel que s’aprova el reglament d’actuació i funcionament del sector públic per mitjans electrònics. L’article 3 queda redactat de la següent manera: Article 3. Normativa d’aplicació Aquesta instrucció es dicta en aplicació del que es disposa a les següents normes jurídiques: -Ordenança Reguladora de l’Administració Electrònica a l’Ajuntament de Barcelona, aprovada per Acord del Consell Plenari de 30 de gener de 2009. En aquests moments, hi ha una nova versió en tramitació que recull els ajustos i adaptacions a la nova legislació i els requeriments que aquesta comporta. -Reglament (UE) núm. 910/2014, del Parlament Europeu i del Consell, relatiu a la identificació electrònica i els serveis de confiança per a les transaccions al mercat interior, i per la que es deroga la Directiva 1999/93/CE. -Llei 6/2020, d’11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança -Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques. -Llei 40/2015, d’1 d’octubre, de règim jurídic del sector públic. -El Reial decret 203/2021, de 30 de març, pel que s’aprova el reglament d’actuació i funcionament del sector públic per mitjans electrònics. -Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat. 2 gaseta@bcn.cat barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 31 de maig del 2024 CSV: 3159cff8f5a7dd96 -Reial decret 4/2010, de 8 de gener, pel qual es regula l’Esquema Nacional d’Interoperabilitat en l’àmbit de l’Administració electrònica. -Norma tècnica d’interoperabilitat de política de signatura i segell electrònics i de certificats de l’Administració, aprovada per Resolució de la Secretaria d’Estat d’Administracions públiques de 27 d’octubre de 2016. -Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals. Segon. A l’article 5 . Nivells de seguretat dels sistemes d’identificació i signatura electrònic Es modifica en l’apartat 1, la menció a l’article 43 del Reial Decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'administració electrònica per l’article 40 del Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat. Tercer. A l’article 7. Regles generals relatives als sistemes d'identificació electrònica Es modifica en l’apartat 2, l’article a què es fa referència, que passa de ser l’article 9.3 a ser l’article 9.4 de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques. Quart. A l’article 8. Regles generals relatives als sistemes de signatura o segell electrònic Es modifica en l’apartat 6, l’article al qual es fa referència, que passa de ser l’article 13.3 a ser l’article 14.3 de l’ENS. Cinquè. A l’article 10. Sistemes de signatura electrònica del personal municipal Es substitueix en el darrer paràgraf de l’apartat 4, el concepte certificat qualificat amb pseudònim per certificat qualificat d’empleat públic amb numero d’identificació professional. També es substitueix la referència legal en els casos que preveu l'article 11.2 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal per en els supòsits previstos a l’article 23 del Reial decret 203/2021, de 30 de març, pel que s’aprova el Reglament d’actuació i funcionament del sector públic per mitjans electrònics. Sisè. A l’article 11. Sistemes d'identificació i signatura electrònica automatitzada municipal S’afegeix un nou apartat, el 7: L’ús de sistemes d’identificació i signatura electrònica en l’actuació automatitzada municipal ha d’observar allò disposat al decret de la Comissió de govern de 22 de juny de 2022, que regula les actuacions administratives automatitzades municipals. Setè. A l’article 12. Regles comunes als sistemes d'identificació i de signatura o segell electrònic Es substitueix la referència a l’article 24 del Reial Decret 1671/2009, de 6 de novembre, pel qual es desenvolupa parcialment la Llei 11/2007, de 22 de juny, d'accés electrònic dels 3 gaseta@bcn.cat barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 31 de maig del 2024 CSV: 3159cff8f5a7dd96 ciutadans als serveis públics per l'article 17 del Reial decret 203/2021, de 30 de març, pel que s’aprova el reglament d’actuació i funcionament del sector públic per mitjans electrònic. Vuitè. A l’article 15. Criteris d’establiment de nivells de seguretat en la identificació i signatura electrònica en la implantació de tràmits o serveis administratius Es modifica l’article 15, que passa a tenir el següent redactat: Article 15. Criteris d’establiment de nivells de seguretat en la identificació i signatura electrònica en la implantació de tràmits o serveis administratius 1.El nivell de seguretat dels sistemes d'identificació i signatura o segell electrònic per acreditar la identitat d'usuaris i signataris per mitjans electrònics es determina en funció del nivell de seguretat del tràmit corresponent, d’acord amb allò disposat a l’article 5 d’aquesta norma. Concretament, en el context d’un servei o tràmit electrònic es vetllarà per garantir la protecció de la confidencialitat de les dades implicades mitjançant mecanismes d’identificació i signatura electrònica adients. 2.S'estableix, com a criteri general, que els mecanismes d'identificació i signatura electrònica admesos per l'Ajuntament de Barcelona son els que es troben recollits al Catàleg de sistemes d'identificació i signatura electrònica adoptat pel Comitè de Seguretat de l’Institut Municipal d’Informàtica (IMI). Tots els tràmits i serveis digitals municipals que requereixin sistemes d'identificació i signatura electrònica per part de les persones interessades han d'admetre els sistemes d'identificació i signatura electrònica establerts a les lletres a) i b) dels articles 9.2 i 10.2 de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques. Així mateix, és requisit necessari utilitzar la mínima informació necessària pel tràmit i que aquesta sigui de nivell baix així com que no es transfereixin dades crítiques de seguretat de la informació als efectes de l’ENS, ni dades personals sensibles en relació a la normativa de protecció de dades personals. Quan el negoci ho consideri necessari, es podrà establir la signatura mitjançant segell d’òrgan del Registre general per tal de garantir la integritat del document presentat. Pel que fa a les notificacions electròniques, s’haurà de tenir present per motius de coherència, el nivell de seguretat de la informació que incorpori l’acte objecte de notificació. 3.S’estableixen els següents supòsits d’excepció al criteri general d’admissió de mecanismes, establert a l’apartat 2 d’aquest article: a. En relació a l’accés a l’espai o carpeta personal, cal tenir present les dades que s’hi posen a disposició. Per tant, s’estableix l’aplicació del criteri general establert d’admissió dels mecanismes d’identificació i signatura admesos al Catàleg, sens perjudici que es pugui segregar i per tant modular l’accés a la diferent informació segons sigui la naturalesa del seu contingut amb els corresponents nivells de seguretat. 4 gaseta@bcn.cat barcelona.cat/gasetamunicipal DLB-5.656-2007 GASETA MUNICIPAL 31 de maig del 2024 CSV: 3159cff8f5a7dd96 b. En els sistemes de transmissió i recepció electrònica d’ofertes i recepció electrònica de sol·licituds de participació, si es requereix signatura, aquesta serà de nivell mig tenint present que els mecanismes empleats hauran de complir amb els requeriments establerts a la normativa específica de contractació. c. Els supòsits en què la normativa específica d’aplicació estableixi un nivell de seguretat mínim per la identificació o signatura electrònica superior a la d’algun dels mecanismes que figuren en el Catàleg municipal, caldrà observar les prescripcions pertinents. d. El supòsit en què un òrgan municipal valori les conseqüències d’un hipotètic incident de seguretat en la identificació o signatura de les persones interessades en un tràmit o procediment concret i el perjudici greu que aquest pugui significar sobre les funcions de l’organització, els seus actius o sobre els individus afectats. En aquest cas, proposarà la utilització de mecanismes de nivell mig o superior, restringint els de nivell inferior, atenent a criteris de proporcionalitat, seguretat i garantia jurídica. 4.En el cas que un òrgan municipal valori la possibilitat d’incorporar tràmits on es permeti la identificació d’una persona interessada en el procediment a través d’algun sistema no contemplat en el Catàleg municipal per no tenir atribuït cap nivell de seguretat identificat segons l’ENS, del tipus dades al·legades, dades conegudes o CSV, usuari /paraula de pas o altres, s’haurà de fer la pertinent anàlisi de riscos, atenent a criteris de proporcionalitat, seguretat i garantia jurídica. 5.Les diferents propostes amb les anàlisi de riscos es signen per la gerència pertinent segons sigui el tràmit o procediment a que fan referència. Es comunicaran a la direcció de l’IMI encarregada de la Seguretat de la informació als efectes d’avaluar els riscos així com les possibles incidències amb altres sistemes d’informació. Cas que la proposta pugui tenir riscos rellevants o comprometre altres sistemes d’informació, l’elevarà al Comitè de Seguretat de l’IMI per tal d’establir les mesures de seguretat més adients en un termini de 30 dies. 6.La Direcció d’Administració electrònica, d’acord amb el corresponent informe de la direcció de l’IMI encarregada de la Seguretat de la informació presentarà anualment en el Comitè de direcció d’administració electrònica una avaluació sobre l’aplicació i actualització, en el seu cas, dels mecanismes d’identificació i signatura establerts al Catàleg. 5 gaseta@bcn.cat barcelona.cat/gasetamunicipal DLB-5.656-2007