I. El Reglamento por el que se implantan medios electrónicos que facilitan el acceso de la ciudadanía a los servicios públicos de la Universidad de Santiago de Compostela (USC) y se crean la sede electrónica, el registro electrónico y el tablón de anuncios, aprobado en el Consejo de Gobierno de 29 de enero de 2013, modificado en el año 2017, y publicado en el DOG de 21 de abril de 2017, establece en su artículo 24:

«1. Para acceder a los servicios desde la sede electrónica, la ciudadanía y el personal universitario podrán utilizar cualquiera de los sistemas de firma electrónica admitidos por la USC, conforme a la política de firma de la USC, debiendo asegurar la integridad y la autenticidad de documentos electrónicos.

2. Mediante una resolución de la Secretaría General, previo informe preceptivo de la ATIC, se establecerán las modalidades de firma electrónica para la identificación y firma en la sede electrónica y en los distintos procedimientos de la USC, que tendrán en cuenta el principio de proporcionalidad.

3. La USC establecerá en su política de firma los sistemas y certificados electrónicos admitidos para relacionarse electrónicamente con la USC. Dicha política estará permanentemente a disposición de los usuarios en la sede electrónica de la USC.

4. En todo caso, se aplicarán los siguientes principios:

• Se promoverá el uso de certificados de empleado público para el desempeño de las funciones propias del puesto que ocupen, o para relacionarse con otras administraciones públicas.

• La firma de documentos en procedimientos internos, se realizará preferentemente mediante el uso de las herramientas corporativas de portafirmas electrónico y sistema de verificación de firma.

Para acceder a los servicios desde la sede electrónica, la ciudadanía y el personal universitario podrán utilizar cualquiera de los sistemas de firma electrónica admitidos por la USC, y se tendrán que emplear sistemas de firma avanzada o reconocida para la realización de aquellas actuaciones que requieran asegurar la integridad y la autenticidad de documentos electrónicos. No obstante lo previsto en el punto anterior, mediante resolución de la Secretaría General, previo informe preceptivo de la ATIC, podrá autorizarse la utilización de otras modalidades de firma electrónica que no estén basadas en sistemas criptográficos, siempre que garanticen la integridad y el no rechazo de los documentos electrónicos».

II. La Ley 39/2015, del procedimiento administrativo de las administraciones públicas, establece los sistemas de identificación de los interesados en el artículo 9, y admite sistemas basados en:

a) Certificados electrónicos reconocidos o calificados de firma electrónica;

b) Certificados reconocidos o calificados de sello electrónico;

c) Clave concertada y cualquier otro sistema que las administraciones públicas consideren válido, en los términos y condiciones que se establezcan.

Por su parte, en el artículo 10 se regulan los sistemas de firma admitidos, que son:

a) Sistema de firma electrónica reconocida o cualificada y avanzada basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la lista de confianza de prestadores de servicios de certificación. A estos efectos se entienden incluidos los certificados electrónicos reconocidos o cualificados de persona jurídica y de entidad sin personalidad jurídica.

b) Sistemas de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de sello electrónico incluidos en la lista de confianza de prestadores de servicios de certificación.

c) Cualquier otro sistema que las administraciones públicas consideren válido, en los términos y condiciones que se establezcan.

La citada ley indica que corresponde a cada administración pública determinar si solo admite algunos de estos sistemas para realizar determinados trámites o procedimientos de su ámbito de competencia. Esta determinación deberá establecerse en la política de firma electrónica de cada administración.

III. Las leyes 39 y 40/2015, de 1 de octubre, pretenden fomentar el uso de los medios electrónicos mediante dos vías, por un lado, establecer un uso obligatorio para determinadas personas y colectivos (artículo 11) y, por otro, que las actuaciones en el procedimiento administrativo solo requerirán que se acredite previamente la identidad a través de cualquiera de los medios previstos en la ley. Ahora bien, también establece como obligatorio que los interesados usen la firma electrónica para:

a) Formular solicitudes.

b) Presentar declaraciones responsables o comunicaciones.

c) Interponer recursos.

d) Desistir de acciones.

e) Renunciar a derechos.

IV. En la Ley 40/2015, de régimen jurídico del sector público, el artículo 42 regula los sistemas de firma para la actuación administrativa automatizada. También señala que será cada administración pública la que podrá determinar los supuestos de utilización de los siguientes sistemas de firma electrónica:

a) Sello electrónico de Administración pública, órgano, organismo público o entidad de derecho público, basado en certificado electrónico reconocido o cualificado que reúna los requisitos exigidos por la legislación de firma electrónica.

b) Código seguro de verificación (CSV) vinculado a la Administración pública, órgano, organismo público o entidad de derecho público, en los términos y condiciones establecidos, permitiéndose en todo caso la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente.

Para la firma electrónica del personal al servicio de las administraciones públicas el artículo prevé que, sin perjuicio de lo previsto en los artículos 38 (sede electrónica), 41 (actuación administrativa automatizada) y 42 (sistemas de firma para la actuación administrativa automatizada), la actuación de una Administración pública, órgano, organismo público o entidad de derecho público, cuando utilice medios electrónicos, se realizará mediante firma electrónica del titular del órgano o empleado público.

V. La escasa aceptación y uso por parte de la ciudadanía de los sistemas de firma electrónica reconocida regulados en la Ley de firma electrónica, determinó la necesidad de reconducir los sistemas de firma, permitiendo sistemas de firma electrónica no criptográfica, menos complejos debiéndolos aplicar a los procedimientos y actuaciones en virtud del principio de proporcionalidad.

Este principio se ve plasmado con la entrada en vigor de las leyes 39 y 40/2015, ya que establecen que no es necesaria la firma electrónica para aquellos documentos que se publiquen con carácter meramente informativo, así como aquellos que no formen parte de un expediente administrativo (artículo 26.3 de la Ley 39/2015).

VI. De conformidad con el Esquema nacional de seguridad, y en función de la naturaleza de la información que contengan y del tipo de persona a quien se dirija, los procedimientos podrán clasificarse en varios niveles de seguridad, en cuya virtud quedan determinados los métodos de identificación que permiten el acceso.

Se considera que, de acuerdo a los principios indicados anteriormente, con carácter general, serán de nivel bajo los niveles de exigencia de identificación de las personas físicas sobre las que la USC tenga relación de supremacía especial (PAS, PDI y alumnado). Las relaciones con las restantes personas físicas y las personas jurídicas serán ordinariamente de nivel medio. La determinación del nivel de seguridad del procedimiento se realizará por resolución de la Secretaría General o en el acuerdo que establezca el procedimiento. Este requisito se consignará también en la información que figure en el catálogo de procedimientos de la sede electrónica.

VII. De este modo, la USC debe decidir entre los tres sistemas de firma electrónica, en función del nivel de identificación e integridad que garantizan, lo que equivale al nivel de seguridad jurídica de los documentos electrónicos (a mayor seguridad, mayor complejidad técnica): firma electrónica simple u ordinaria, avanzada y reconocida.

Por otra parte, deben contemplarse los supuestos en los que la USC se relaciona con terceros ajenos a España e incluso ajenos al Espacio Europeo de Educación Superior. La USC está obligada a establecer mecanismos que faciliten su relación electrónica con la USC manteniendo niveles de seguridad con los interlocutores.

VIII. Por Resolución de 27 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, se aprueba la norma técnica de interoperabilidad de política de firma y sello electrónicos y de certificados de la Administración (BOE de 3 de noviembre), que establece en su apartado II.5 que «Las administraciones públicas se acogerán preferentemente a la política marco de firma electrónica basada en certificados». En este sentido es interés de la USC acogerse a esta política marco, estableciendo solo las pequeñas peculiaridades que la USC requiere.

IX. En este contexto es necesario establecer una política de firma de la USC que establezca los principios de interrelación con sus administrados, teniendo en cuenta que la mayoría de ellos mantienen una relación de supremacía especial con la universidad (alumnado, PDI y PAS).

Artículo 1. Política marco de firma electrónica basada en certificados

La USC se adhiere a la política marco de firma electrónica basada en certificados de la Administración general del Estado, sin perjuicio de las peculiaridades establecidas en esta resolución.

Artículo 2. Tipos de certificados digitales y finalidad

1. La Universidad de Santiago de Compostela (USC), a través del proveedor o proveedores de servicios de certificación con los que tenga contrato vigente, emitirá certificados electrónicos para ser usados por la Universidad y por sus trabajadores, de acuerdo a los usos específicos para los que se emitan en cada caso.

2. La USC admitirá el uso de los siguientes certificados electrónicos:

a) Certificados personales admitidos en la plataforma de validación de @firma.

b) Certificados incluidos en el DNI electrónico.

c) Claves concertadas del sistema Cl@ve.

d) Certificados de empleado público.

e) Certificados de sello de órgano.

3. Los usos y aplicaciones de cada tipo de certificado se determinarán en los procedimientos electrónicos que habilite la USC.

En todo caso, el uso de certificados electrónicos se regirá por los siguientes principios:

• Se promoverá el uso de certificados de sello de órgano en las actuaciones administrativas automatizadas.

• Se promoverá el uso de certificados de empleado público para el desempeño de las funciones propias del puesto que ocupen, o para relacionarse con las administraciones públicas.

4. Se admitirá el uso de certificados electrónicos anteriormente indicados y la clave concertada para la firma de documentos en procedimientos internos, mediante el uso de las herramientas corporativas de portafirmas electrónico y sistema de verificación de firma.

Artículo 3. Certificados electrónicos personales

La USC admitirá como sistema de firma electrónica los certificados electrónicos contenidos en el DNI-e, los personales clase 2 CA de la FNMT y el sistema Cl@ve.

La regulación de estos certificados será la que establezca el operador concertado con la Universidad.

La expedición de certificados electrónicos personales se podrá realizar en las diferentes oficinas de registro habilitadas para tal fin y por registradores nombrados por la Secretaría General. Dichas oficinas colaborarán en el mantenimiento, renovación y gestión de los certificados y deberán comunicar a la Secretaría General cualquier incidente que se detecte.

Artículo 4. Certificados de empleado público (CEP)

1. La USC podrá emitir un certificado de empleado público (CEP) para todos sus empleados, donde se haga constar su vinculación con la institución. La USC emitirá el CEP para todos aquellos cargos y puestos que emitan resoluciones o acuerdos que tienen eficacia fuera de la USC o que supongan capacidad específica de firma o representación en nombre de la Universidad.

2. Solo se otorgarán certificados de empleado público a personal de la USC, empleados públicos con cualquier vínculo jurídico, siempre en situación de activo y que ejerzan sus funciones en la Universidad de Santiago de Compostela.

3. Los certificados de empleados serán revocados al cesar en sus funciones en la USC o al cesar su vínculo con ella.

4. La firma con CEP acreditará la identidad del titular y la ocupación del puesto o cargo, en su caso, y tendrá plenos efectos en el procedimiento.

5. La solicitud de CEP deberá realizarse personalmente a través de la sede electrónica. Con anterioridad a la expedición, se procederá a comprobar que el titular presta sus servicios en la USC. El registro y la expedición de certificados CEP de empleado público se realizará exclusivamente en los diferentes registros generales de la USC por personal nombrado con tal fin. Las demás unidades deberán colaborar en el mantenimiento y gestión de los certificados y deberán comunicar a la Secretaría General cualquier incidencia que se detecte.

6. Para la renovación de claves con o sin renovación de la tarjeta física, el procedimiento será el mismo que para la emisión inicial del certificado.

7. La revocación del CEP se producirá cuando concurra alguno de los siguientes casos:

• De oficio, cuando una persona deja de prestar sus servicios o cesa en el cargo o puesto, o por su uso indebido.

• A instancia de parte, por destrucción o pérdida de la tarjeta o por necesidad de cambio de la clave personal o por caducidad de la misma.

Un certificado revocado no puede volver a utilizarse y no puede levantarse la revocación ni anularse de ninguna otra forma, pero podrá volver a solicitarse uno nuevo en caso de que se modifiquen las circunstancias de la revocación.

8. Quién sea titular del CEP será responsable exclusivo de la custodia y uso de las claves personales de firma, sin que pueda comunicar, ceder o autorizar a un tercero su uso. La entrega de CEP emitidos supone las siguientes obligaciones:

a) Advertir a la Secretaría General de cualquier error en los datos almacenados.

b) Comunicar igualmente a la Secretaría General cualquier variación en los datos personales a fin de ser corregidos en las bases de datos de personal.

c) No comunicar las claves a terceras personas.

d) Solicitar la renovación de los certificados contenidos en la tarjeta antes de que expire su período de validez.

e) Realizar un uso adecuado del certificado en base a las competencias y facultades atribuidas por el cargo o puesto de trabajo.

f) Asumir la presente normativa o la que se dicte en su desarrollo o sustitución.

Artículo 5. Certificados de sello de órgano

La USC concretará mediante una resolución de la Secretaría General los procedimientos en los que se utilizará el sello de órgano.

Asimismo, éste será el sistema ordinario de firma de las actuaciones y certificaciones que pasen a ser expedidas de modo automatizado.

Artículo 6. Identificación en los procedimientos

Para acceder a un procedimiento en sede electrónica o a través de una aplicación corporativa es necesario identificarse mediante alguno de los siguientes sistemas:

a) Certificados personales admitidos en la plataforma de validación de @firma.

b) Certificados incluidos en el DNI electrónico.

c) Claves concertadas del sistema Cl@ve.

d) Certificados de empleado público.

e) Claves concertadas de la USC.

f) Credenciales de identificación del sistema SIR de la Red Iris, en los procedimientos específicos en los que así se disponga.

El sistema común de identificación en la sede electrónica será el de clave concertada, excepto para el caso de formular solicitudes por personas ajenas a la USC.

Para facilitar el acceso de personas de nacionalidades distintas de la española en el uso de procedimientos de la USC podrán utilizarse de manera excepcional otros sistemas de acceso para alumnos extranjeros o solicitantes extranjeros en convocatorias de la USC, procurando que sean mecanismos de identificación que utilicen credenciales de servicios de identificación de terceros de amplia difusión en las relaciones electrónicas. Estos medios de identificación no serán de uso general, sino que tendrán que autorizarse de forma expresa mediante resolución de la Secretaría General, previo informe preceptivo de la ATIC, para cada procedimiento donde se demanden.

Artículo 7. Firma de documentos

1. Los sistemas ordinarios de firma en la USC de documentos que se presenten en la USC serán:

a) Certificados electrónicos reconocidos o cualificados de firma electrónica.

b) Claves concertadas del sistema Cl@ve.

c) Clave concertada de la USC.

d) Certificados de empleado público.

e) Credenciales del sistema SIR de la Red Iris en los procedimientos específicos en los que así se disponga.

2. El sistema ordinario de firma en la sede electrónica será el de clave concertada, excepto para el caso de formular solicitudes por personas ajenas a la USC. Para facilitar el acceso de personas de nacionalidades distintas de la española en el uso de procedimientos de la USC, podrán utilizarse de manera excepcional otros sistemas de firma para alumnado extranjero o solicitantes extranjeros en convocatorias de la USC, procurando que sean mecanismos de firma que utilicen credenciales de servicios de identificación de terceros de amplia difusión en las relaciones electrónicas. Estos medios de firma no serán de uso general, sino que tendrán que autorizarse de forma expresa mediante resolución de la Secretaría General, previo informe preceptivo de la ATIC para cada procedimiento en el que se demanden.

3. Para presentar declaraciones responsables, interponer recursos, desistir de acciones o renunciar a derechos será necesaria la firma con certificados electrónicos reconocidos o cualificados.

4. Las personas jurídicas se relacionarán con la USC mediante certificados de persona jurídica o certificados para apoderados. La USC utilizará el registro de apoderamientos de la Administración general del Estado o de la Comunidad Autónoma gallega, y podrá tener un registro propio.

Artículo 8. Firma de documentos de la USC

Los documentos electrónicos que tengan efectos administrativos en un procedimiento tales como resoluciones o acuerdos, deberán estar firmados por el cargo o por el personal funcionario que tenga las competencias para dictarlos o una delegación expresa. La firma se realizará con un certificado de empleado público. Asimismo, el documento deberá incluir un Código Seguro de Verificación (CSV) del acto administrativo que permita su verificación a través de la sede electrónica de la USC.

Los documentos de la USC que formen parte de un procedimiento administrativo que tengan efectos frente a terceros o con efectos en otras administraciones públicas deberán firmarse con certificado de empleado público y mediante el uso de la herramienta corporativa de portafirmas.

La firma de documentos en procedimientos de tramitación internos se realizará ordinariamente con firma con clave concertada y mediante el uso de la herramienta corporativa de portafirmas.

Artículo 9. Firma de actuaciones automatizadas

En la actuación administrativa automatizada, la USC firmará la documentación mediante certificados reconocidos o cualificados de sello electrónico de conformidad con el artículo 23 del Reglamento por el que se implantan medios electrónicos que facilitan el acceso de los ciudadanos a los servicios públicos de la Universidad de Santiago de Compostela.

Disposición derogatoria

Queda derogada la Resolución rectoral de 11 de julio de 2012 por la que se aprueba la política de utilización de certificados electrónicos de la USC.

Disposición final

La presente resolución entrará en vigor en la fecha de su publicación en el Diario Oficial de Galicia.

Santiago de Compostela, 26 de abril de 2017

María Consuelo Ferreiro Regueiro
Secretaria general de la Universidad de Santiago de Compostela