Nuevos procedimientos electrónicos con el INSS: De los problemas a las soluciones

Andrés Ramón Trillo García.
Letrado de la Administración de la Seguridad Social.


1.LA INSUFICIENTE REGULACIÓN DE LA LEY 39/2015, de 1 DE OCTUBRE DE PROCEDIMIENTO ADMNISTRATIVO COMÚN.

Los artículos 9 y 10 LPAC regulan los sistemas de identificación y firma de los/as ciudadanos/as en los procedimientos tramitados electrónicamente estableciendo los siguientes sistemas:

a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

c) Sistemas de clave concertada y cualquier otro sistema, que las Administraciones consideren válido en los términos y condiciones que se establezca, siempre que cuenten con un registro previo como usuario que permita garantizar su identidad.

A este respecto, para establecer un sistema de claves concertadas en el ámbito de la Administración General del Estado, el Consejo de Ministros acordó el 19 de septiembre de 2014, la aprobación de una plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas, denominada Cl@ve.

Lo cierto, es que transcurrido el tiempo, el uso de estos sistemas de previstos en la ley rituaria común no se han popularizado, siendo escaso el uso de estos instrumentos en la relación de la  ciudadanía con la Administración, y particularmente con el INSS, lo que se hizo muy evidente en las situaciones de confinamiento producido con ocasión de la crisis sanitaria derivada del COVID-19, de manera que se han tenido que idear fórmulas imaginativas para poder solventar las dificultades de identificación.


2.LAS SOLUCIONES DADAS DURANTE LA CRISIS SANITARIA.

Ante el cierre de las oficinas de atención e información al ciudadano de las entidades gestoras de la seguridad Social, la disposición adicional tercera del Real Decreto-ley 13/2020, de 7 de abril, por el que se adoptan determinadas medidas urgentes en materia de empleo agrario, establece determinadas acciones extraordinarias de simplificación ritual y documental que permitían el reconocimiento provisional de las prestaciones económicas de la Seguridad Social. 

Así en relación con la determinación del canal de comunicación se establecía que en el supuesto de que la persona interesada en un procedimiento administrativo careciera de certificado electrónico o cl@ve permanente, el canal de comunicación a través del cual se podría ejercer sus derechos, presentar documentos o realizar cualesquiera trámites o solicitar servicios, se ubicaba en la Sede Electrónica de la Seguridad Social sede.seg-social.gob.es; mediante el “acceso directo a trámites sin certificado” accesible desde la web de la Seguridad Social www.seg-social.es, y en función de la entidad competente para gestionar las prestaciones, a través de los de los enlaces establecidos al efecto. En este sentido, la disposición obligaba a las entidades a adquirir el compromiso de mantener permanentemente actualizada a través de la web de la Seguridad Social www-seg-social.es.

En este sentido, se establecían los siguientes enlaces de acceso:

Para el INSS: http://run.gob.es/cqsjmb

Para el ISM: http://run.gob.es/Ipifqh

Igualmente se establecían una serie de medidas extraordinarias para la determinación provisional de la identidad. De este modo, en el supuesto de que la persona interesada careciera de certificado electrónico o clave permanente, provisionalmente se admitía la identidad declarada por la persona, sin perjuicio de las comprobaciones que pueda hacer la entidad gestora, a través de los medios ya establecidos para verificar la identidad y la verificación de los datos de residencia, regulada en el Real Decreto 522/2006, de 28 de abril; así como mediante la consulta de datos padronales (SECOPA) utilizando el marco Pros@ de las aplicaciones corporativas de la Seguridad Social y otros medios similares.

De esta forma las entidades gestoras podían consultar o recabar la información y los documentos que ya se encontraran en poder de las administraciones públicas, salvo que la persona interesada se opusiese a ello, en los términos y con las excepciones establecidas en el artículo 28 LPAP.

Por último, para hacer constar el consentimiento, se establecía que si el/la interesado/a careciese de firma electrónica, debía dejar constancia expresa de su voluntad o consentimiento a la tramitación de su procedimiento administrativo.

Una vez efectuadas solicitudes o presentados documentos, la entidad gestora debe realizar las comprobaciones correspondientes, y dictar la resolución provisional que sea procedente, estimando o desestimando el derecho. No obstante, las entidades gestoras de la Seguridad Social revisarán las resoluciones provisionales de reconocimiento o revisión de prestaciones adoptadas bajo este régimen transitorio. En su caso, se efectuará el abono de aquellas cantidades que resulten procedentes tras la oportuna revisión, y en el caso de que de las actuaciones se desprendiera que la persona interesada no tiene derecho a la prestación solicitada se iniciarán las actuaciones necesarias en orden a reclamar las cantidades indebidamente percibidas.   


3.HACIA UN NUEVO MODELO DE IDENTIFICACIÓN Y FIRMA.

Con la finalidad de establecer facilidades y el rigor en la autenticación y firma de los/as interesados/as en los procedimientos tramitados electrónicamente, la disposición final 5ª.4 del Real Decreto-ley 2/2021, de 26 de enero, de refuerzo y consolidación de medidas sociales en defensa del empleo establece una nueva redacción del artículo 129.4 LGSS ampliando los medios de autenticación y firma ante la Administración de la Seguridad Social y el Servicio Público de Empleo Estatal.

El precepto establece que la Administración de la Seguridad Social facilitará a las personas interesadas el ejercicio de sus derechos, la presentación de documentos o la realización de cualquier servicio o trámite a través de los medios electrónicos disponibles en la Sede Electrónica de la Secretaría de Estado de la Seguridad Social y Pensiones o a través de otros medios que garanticen la verificación de la identidad de la persona y la expresión de su voluntad y consentimiento, en los términos y condiciones que se establezcan mediante resolución de la Secretaría de Estado de la Seguridad Social y Pensiones. La norma prevé también que en la tramitación de los procedimientos de protección por desempleo, el Servicio Público de Empleo Estatal facilitará a las personas interesadas el ejercicio de sus derechos, la presentación de documentos o la realización de cualquier servicio o trámite a través de los medios electrónicos disponibles en la Sede Electrónica del Servicio Público de Empleo Estatal o a través de otros medios que garanticen la verificación de la identidad de la persona interesada y la expresión de su voluntad y consentimiento, en los términos y condiciones que se establezcan mediante resolución de la Dirección General del Servicio Público de Empleo Estatal.   

A este respecto, en las resoluciones que aprueben el Secretario de Estado de Seguridad Social y Pensiones o del Director General de Empleo Estatal se establecerán métodos seguros de identificación de la persona física a través del canal telefónico o de voz, la videollamada o videoidentificación o el contraste de datos, u otros que así se establezcan, todos ellos equivalentes a la fiabilidad de la presencia física. Además, se debe garantizar la evidencia de la identificación realizada.  En este sentido, se podría contemplar un sistema por el que en la pantalla de acceso se establezca un sistema de validación del correo electrónico mediante un código remitido al correo facilitado, una validación del documento de identidad adjuntando fotografías del DNI, así como la fotografía del/de la interesado/a con el DNI, y la validación de la forma mediante código enviado al email validado.

Igualmente se establece que en la tramitación de procedimientos ante la Seguridad Social y el Servicio Público de Empleo Estatal se considerará válida, a los efectos de la firma por cualquier medio que permita acreditar la autenticidad de la expresión de voluntad y consentimiento, así como la integridad e inalterabilidad del documento, mediante la firma insertada en los documentos por los que se formulen solicitudes, se presenten declaraciones responsables o comunicaciones, se interpongan recursos, se desistan de acciones o se renuncie a derechos, o en documentos adjuntos a los mismos, que se efectúe la correspondiente comprobación favorable a través del Servicio de Verificación de Datos de Identidad y Residencia (SVDIR).

Por último, el artículo 129.4 LGSS prevé que mediante resolución de la Secretaría de Estado de la Seguridad Social y Pensiones o del titular de la Dirección General del Servicio Público de Empleo Estatal en materia de protección por desempleo, se podrán establecer sistemas de firma electrónica no criptográfica en sus relaciones con los interesado, respecto a los procedimientos y trámites que se determinen. De esta forma, los sistemas de firma electrónica no criptográfica requerirán la previa verificación de la identidad de la persona interesada, a través de los medios de identificación aprobados por las resoluciones de la Secretaría de Estado de la Seguridad Social y pensiones o del titular de la Dirección General del Servicio de Empleo Estatal en los términos anteriormente indicados.

En todo caso, las aplicaciones informáticas en las que se utilice un sistema de firma electrónica no criptográfica requerirán de forma expresa el consentimiento y la voluntad de firma de la persona interesada, y deberán garantizar el no repudio, la trazabilidad del caso, la gestión de la evidencia de autenticación y el sellado de la información presentada.

La Resolución de la Secretaría General de la Administración Digital, de 14 de julio de 2017 (BOE 18.07.2017), establece las condiciones de uso de firma electrónica no criptográfica, en las relaciones de los interesados con los órganos administrativos de la Administración General del Estado y sus organismos autónomos.

La citada Resolución se pronuncia sobre los requerimientos de los siguientes extremos:

En estos sistemas de firma criptográfica, se deberá requerir de forma expresa la expresión del consentimiento y la voluntad de firma de la persona en el procedimiento, mediante la inclusión de frases que pongan aquéllos de manifiesto de manera inequívoca, y la exigencia de acciones explícitas de aceptación por parte del/de la interesado/a, por ejemplo, mediante una casilla junto al texto “Declaro que son ciertos los datos a firmar/muestro mi conformidad con el contenido del documento y confirmo mi voluntad de firmar” que el interesado debe marcar, y un botón “Firmar y enviar” que debe pulsar para realizar la firma.

Para garantizar el no repudio, se exigen garantías en el proceso de firma y la gestión de evidencias.

Así, en primer lugar, para garantizar el no repudio de la firma por parte del/de la ciudadano/a, el sistema de firma deberá acreditar la vinculación de la expresión de la voluntad y los datos firmados con la misma persona, de manera que se volverá a solicitar la autenticación del ciudadano en el momento de proceder a la firma.

Igualmente, la garantía de no repudio exige que el sistema de firma asegure una adecuada trazabilidad en el caso de que sea necesario auditar una operación de firma en particular, para lo cual obtendrá, por cada firma y por tanto, por cada proceso de autenticación, la siguiente información:

  • Fecha y hora de la autenticación.
  • Nombre y apellidos de la persona interesada.
  • NIF/NIE de la persona interesada.
  • Proveedor de identidad empleado.
  • Resultado de autenticación (con éxito o fallida).
  • Respuesta devuelta y firmada por la plataforma gestora de la firma.
  • Fecha y hora de la firma.
  • Resumen criptográficos de los datos firmados, con un algoritmo de hash que cumpla las especificaciones del esquema nacional de seguridad.
  • Referencia al justificante de firma, mediante el CSV asociado a dicho justificante.
  • Dirección IP origen desde la que se realizó la firma.

Esta información será sellada con un certificado electrónico cualificado o reconocido de sello del organismos, a la que se añadirá un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y será almacenada por el sistema de información asociado al procedimiento electrónico para el que se requiere la firma, como la evidencia de la verificación de la identidad previa al acto de la firma, vinculada a los datos firmados.

En este sentido, en el caso de que los datos de identificación obtenidos en la autenticación inmediatamente anterior a la firma no coincidan con los datos de identificación obtenidos en autenticaciones previas, el sistema de firma no permitirá la realización de la misma, informando de esa eventualidad al sistema de información asociado al procedimiento electrónico que requiere dicha firma.

Asimismo a efectos de la realización de auditorías, se debe establecer un sistema de recuperación de las evidencias completas del proceso de autenticación. Para ello se deberá facilitar a dicho proveedores de los servicios de identificación la información almacenada como evidencia de la verificación previa de la identidad en los sistemas de información asociados al procedimiento administrativo que requiere la firma. En tal sentido, los proveedores de servicios de identificación deberán salvaguardar dichas evidencias durante el plazo mínimo de cinco años.

Por último, la garantía de la integridad de los datos y documentos firmados se efectuará mediante el sellado de la información presentada y mediante la justificación de firma.

Con respecto al sellado de la información presentada, una vez acreditada la expresión de la voluntad y el consentimiento y para firmar de la persona interesada, se deberán establecer los mecanismos para garantizar la integridad e inalterabilidad de los datos y, en su caso, de los documentos electrónicos presentados por la persona, para lo cual el sistema de firma sellará los datos a firmar, con un sello de órgano y la adición de un sello de tiempo supervisado, y la pondrá a disposición del sistema de información asociado al procedimiento electrónico.

Para emitir el justificante de firma, en el proceso de firma se entregará al interesado/a un justificante de firma que será un documento legible, de acuerdo con la norma técnica de interoperabilidad de catálogo de estándares y preferiblemente en formato PDF y que deberá:

– Garantizar la autenticidad del organismo emisor mediante un sellado electrónico con el certificado de sello del mismo, en formato PAdES en el caso de que el justificante tenga formato PDF.

– Contener los datos del firmante y, en el caso de que documento firmado haya pasado por un Registro de entrada, los datos identificativos de su inscripción en el Registro.

– Contener los datos a firmar expresamente por la persona interesada. Si se ha anexado algún documento electrónico se incluirá una referencia al mismo.

– Garantizar el instante en que se realizó la firma, mediante sello de tiempo del justificante, realizado con in certificado cualificado y emitido por un prestador de sellado de tiempo supervisado.

– Garantizar la autenticidad del justificante de firma, incluyendo en el justificante de firma un código seguro de verificación (CSV), y garantizando que este justificante se pueda consultar en línea mediante un sistema de cotejo de CSV cuya dirección se incluya en el propio justificante de firma.

– Alternativamente, la autenticidad del organismo emisor y del justificante se pueda consultar en línea mediante un sistema de cotejo de CSV cuya dirección se incluya en el propio justificante de firma.

– Alternativamente, la autenticidad del organismo emisor y del justificante de firma se podrá garantizar mediante dos documentos; uno de ellos con sellado electrónico del justificante en formato PAdES (en el caso de que el justificante tenga formato PDF) y otro con la utilización de un código seguro de verificación (CSV) del justificante.