I. O Regulamento pelo que se implantam meios electrónicos que facilitam o acesso da cidadania aos serviços públicos da Universidade de Santiago de Compostela (USC) e se acreditem a sede electrónica, o registro electrónico e o tabuleiro de anúncios, aprovado no Conselho de Governo de 29 de janeiro de 2013, modificado no ano 2017, e publicado no DOG do 21 do abril de 2017, estabelece no seu artigo 24:
«1. Para aceder aos serviços desde a sede electrónica, a cidadania e o pessoal universitário poderão utilizar qualquer dos sistemas de assinatura electrónica admitidos pela USC, conforme a política de assinatura da USC, que devem assegurar a integridade e a autenticidade de documentos electrónicos.
2. Mediante uma resolução da Secretaria-Geral, depois de relatório preceptivo da ATIC, estabelecer-se-ão as modalidades de assinatura electrónica para a identificação e assinatura na sede electrónica e nos diferentes procedimentos da USC, que terão em conta o princípio de proporcionalidade.
3. A USC estabelecerá na sua política de assinatura os sistemas e certificados electrónicos admitidos para relacionar-se electronicamente com a USC. A dita política estará permanentemente à disposição dos utentes na sede electrónica da USC.
4. Em todo o caso, aplicar-se-ão os seguintes princípios:
• Promover-se-á o uso de certificados de empregado público para o desempenho das funções próprias do posto que ocupem, ou para relacionar-se com outras administrações públicas.
• A assinatura de documentos em procedimentos internos, realizar-se-á preferentemente mediante o uso das ferramentas corporativas de portasinaturas electrónico e sistema de verificação de assinatura.
Para aceder aos serviços desde a sede electrónica, a cidadania e o pessoal universitário poderão utilizar qualquer dos sistemas de assinatura electrónica admitidos pela USC, e ter-se-ão que empregar sistemas de assinatura avançada ou reconhecida para a realização daquelas actuações que requeiram assegurar a integridade e a autenticidade de documentos electrónicos. Não obstante o previsto no ponto anterior, mediante resolução da Secretaria-Geral, depois de relatório preceptivo da ATIC, poderá autorizar-se a utilização de outras modalidades de assinatura electrónica que não estejam baseadas em sistemas criptográficos, sempre que garantam a integridade e a não rejeição dos documentos electrónicos».
II. A Lei 39/2015, do procedimento administrativo das administrações públicas, estabelece os sistemas de identificação dos interessados no artigo 9, e admite sistemas baseados em:
a) Certificados electrónicos reconhecidos ou qualificados de assinatura electrónica;
b) Certificado reconhecidos ou qualificados de sê-lo electrónico;
c) Chave concertada e qualquer outro sistema que as administrações públicas considerem válido, nos termos e condições que se estabeleçam.
Por sua parte, no artigo 10 regulam-se os sistemas de assinatura admitidos, que são:
a) Sistema de assinatura electrónica reconhecida ou qualificada e avançada baseados em certificados electrónicos reconhecidos ou qualificados de assinatura electrónica expedidos por prestadores incluídos na lista de confiança de prestadores de serviços de certificação. Para estes efeitos percebem-se incluídos os certificados electrónicos reconhecidos ou qualificados de pessoa jurídica e de entidade sem personalidade jurídica.
b) Sistemas de sê-lo electrónico reconhecido ou qualificado e de sê-lo electrónico avançado baseados em certificados electrónicos reconhecidos ou qualificados de sê-lo electrónico incluídos na lista de confiança de prestadores de serviços de certificação.
c) Qualquer outro sistema que as administrações públicas considerem válido, nos termos e condições que se estabeleçam.
A citada lei indica que corresponde a cada Administração pública determinar se só admite alguns destes sistemas para realizar determinados trâmites ou procedimentos do seu âmbito de competência. Esta determinação deverá estabelecer na política de assinatura electrónica de cada administração.
III. As leis 39 e 40/2015, de 1 de outubro, pretendem fomentar o uso dos meios electrónicos mediante duas vias, por um lado, estabelecer um uso obrigatório para determinadas pessoas e colectivos (artigo 11) e, por outro, que as actuações no procedimento administrativo só requererão que se acredite previamente a identidade através de qualquer dos médios previstos na lei. Agora bem, também estabelece como obrigatório que os interessados usem a assinatura electrónica para:
a) Formular solicitudes.
b) Apresentar declarações responsáveis ou comunicações.
c) Interpor recursos.
d) Desistir de acções.
e) Renunciar a direitos.
IV. Na Lei 40/2015, de regime jurídico do sector público, o artigo 42 regula os sistemas de assinatura para a actuação administrativa automatizado. Também assinala que será cada administração pública a que poderá determinar os supostos de utilização dos seguintes sistemas de assinatura electrónica:
a) Sê-lo electrónico de Administração pública, órgão, organismo público ou entidade de direito público, baseado em certificado electrónico reconhecido ou qualificado que reúna os requisitos exixidos pela legislação de assinatura electrónica.
b) Código seguro de verificação (CSV) vinculado à Administração pública, órgão, organismo público ou entidade de direito público, nos termos e condições estabelecidos, permitindo-se em todo o caso a comprobação da integridade do documento mediante o acesso à sede electrónica correspondente.
Para a assinatura electrónica do pessoal ao serviço das administrações públicas o artigo prevê que, sem prejuízo do previsto nos artigos 38 (sede electrónica), 41 (actuação administrativa automatizado) e 42 (sistemas de assinatura para a actuação administrativa automatizado), a actuação de uma Administração pública, órgão, organismo público ou entidade de direito público, quando utilize meios electrónicos, realizar-se-á mediante assinatura electrónica do titular do órgão ou empregado público.
V. A escassa aceitação e uso por parte da cidadania dos sistemas de assinatura electrónica reconhecida regulados na Lei de assinatura electrónica, determinou a necessidade de reconducir os sistemas de assinatura, para permitir sistemas de assinatura electrónica não criptográfica, menos complexos, que se devem aplicar aos procedimentos e actuações em virtude do princípio de proporcionalidade.
Este princípio vê-se plasmar com a entrada em vigor das leis 39 e 40/2015, já que estabelecem que não é necessária a assinatura electrónica para aqueles documentos que se publiquem com carácter meramente informativo, assim como aqueles que não façam parte de um expediente administrativo (artigo 26.3 da Lei 39/2015).
VI. De conformidade com o Esquema nacional de segurança, e em função da natureza da informação que contenham e do tipo de pessoa a quem se dirija, os procedimentos poderão classificar em vários níveis de segurança, em cuja virtude ficam determinados os métodos de identificação que permitem o acesso.
Considera-se que, de acordo com os princípios indicados anteriormente, com carácter geral, serão de nível baixo os níveis de exixencia de identificação das pessoas físicas sobre as quais a USC tenha relação de supremacía especial (PÁS, PDI e estudantado). As relações com as restantes pessoas físicas e as pessoas jurídicas serão ordinariamente de nível médio. A determinação do nível de segurança do procedimento realizar-se-á por resolução da Secretaria-Geral ou no acordo que estabeleça o procedimento. Este requisito consignar-se-á também na informação que figure no catálogo de procedimentos da sede electrónica.
VII. Deste modo, a USC deve decidir entre os três sistemas de assinatura electrónica, em função do nível de identificação e integridade que garantem, o que equivale ao nível de segurança jurídica dos documentos electrónicos (a maior segurança, maior complexidade técnica): assinatura electrónica simples ou ordinária, avançada e reconhecida.
Por outra parte, devem ter-se em conta os supostos em que a USC se relaciona com terceiros alheios a Espanha e inclusive alheios ao Espaço Europeu de Educação Superior. A USC está obrigada a estabelecer mecanismos que facilitem a sua relação electrónica com a USC mantendo níveis de segurança com os interlocutores.
VIII. Por Resolução de 27 de outubro de 2016, da Secretaria de Estado de Administrações Públicas, aprova-se a Norma técnica de interoperabilidade de política de assinatura e sê-lo electrónicos e de certificados da Administração (BOE de 3 de novembro), que estabelece no seu número II.5 que «As administrações públicas se acolherão preferentemente à política marco de assinatura electrónica baseada em certificados». Neste senso é interesse da USC acolher-se a esta política marco, estabelecendo só as pequenas peculiaridades que a USC requer.
IX. Neste contexto é necessário estabelecer uma política de assinatura da USC que estabeleça os princípios de interrelación com os seus administrados, tendo em conta que a maioria deles mantêm uma relação de supremacía especial com a universidade (estudantado, PDI e PÁS).
Artigo 1. Política marco de assinatura electrónica baseada em certificados
A USC adere-se à política marco de assinatura electrónica baseada em certificados da Administração geral do Estado, sem prejuízo das peculiaridades estabelecidas nesta resolução.
Artigo 2. Tipos de certificados digitais e finalidade
1. A Universidade de Santiago de Compostela (USC), através do provedor ou provedores de serviços de certificação com que tenha contrato vigente, emitirá certificados electrónicos para serem usados pela Universidade e pelos seus trabalhadores, de acordo com os usos específicos para os quais se emitam em cada caso.
2. A USC admitirá o uso dos seguintes certificados electrónicos:
a) Certificados pessoais admitidos na plataforma de validação de firma.
b) Certificado incluídos no DNI electrónico.
c) Chaves concertadas do sistema Cl@ve.
d) Certificar de empregado público.
e) Certificar de sê-lo de órgão.
3. Os usos e aplicações de cada tipo de certificado determinarão nos procedimentos electrónicos que habilite a USC.
Em todo o caso, o uso de certificados electrónicos reger-se-á pelos seguintes princípios:
• Promover-se-á o uso de certificados de sê-lo de órgão nas actuações administrativas automatizado.
• Promover-se-á o uso de certificados de empregado público para o desempenho das funções próprias do posto que ocupem, ou para relacionar com as administrações públicas.
4. Admitir-se-á o uso de certificados electrónicos anteriormente indicados e a chave concertada para a assinatura de documentos em procedimentos internos, mediante o uso das ferramentas corporativas de portasinaturas electrónico e sistema de verificação de assinatura.
Artigo 3. Certificados electrónicos pessoais
A USC admitirá como sistema de assinatura electrónica os certificados electrónicos conteúdos no DNI-e, os pessoais classe 2 QUE da FNMT e o sistema Cl@ve.
A regulação destes certificar será a que estabeleça o operador concertado com a Universidade.
A expedição de certificados electrónicos pessoais poderá ser realizada nos diferentes escritórios de registro habilitadas para tal fim e por rexistradores nomeados pela Secretaria-Geral. Os ditos escritórios colaborarão na manutenção, renovação e gestão dos certificar e deverão comunicar à Secretaria-Geral qualquer incidência que se detecte.
Artigo 4. Certificados de empregado público (CEP)
1. A USC poderá emitir um certificado de empregado público (CEP) para todos os seus empregados, onde se faça constar a sua vinculación com a instituição. A USC emitirá o CEP para todos aqueles cargos e postos que emitam resoluções ou acordos que têm eficácia fora da USC ou que suponham capacidade específica de assinatura ou representação em nome da Universidade.
2. Só se outorgarão certificar de empregado público a pessoal da USC, empregados públicos com qualquer vínculo jurídico, sempre em situação de activo e que exerçam as suas funções na Universidade de Santiago de Compostela.
3. Os certificados de empregados serão revogados ao cessarem nas suas funções na USC ou ao cessarem o seu vínculo com ela.
4. A assinatura com CEP acreditará a identidade do titular e a ocupação do posto ou cargo, se é o caso, e terá plenos efeitos no procedimento.
5. A solicitude de CEP deverá realizar-se pessoalmente através da sede electrónica. Com anterioridade à expedição, proceder-se-á a comprovar que o titular presta os seus serviços na USC. O registro e a expedição de certificados CEP de empregado público serão realizados exclusivamente nos diferentes registros gerais da USC por pessoal nomeado para tal fim. As demais unidades deverão colaborar na manutenção e gestão dos certificar e deverão comunicar à Secretaria-Geral qualquer incidência que se detecte.
6. Para a renovação de chaves com ou sem renovação do cartão físico, o procedimento será o mesmo que para a emissão inicial do certificar.
7. A revogação do CEP produzir-se-á quando concorra algum dos seguintes casos:
• De ofício, quando uma pessoa deixa de prestar os seus serviços ou cessa no cargo ou posto, ou pelo seu uso indebido.
• Por instância de parte, por destruição ou perda do cartão ou por necessidade de mudança da chave privada ou pela sua caducidade.
Um certificado revogado não pode voltar utilizar-se e não pode levantar-se a revogação nem anular-se de nenhuma outra forma, mas poderá voltar solicitar-se um novo em caso de que se modifiquem as circunstâncias da revogação.
8. Quem seja titular do CEP será responsável exclusivo da custodia e uso das chaves privadas de assinatura, sem que possa comunicar, ceder ou autorizar a um terceiro o seu uso. A entrega de CEP emitidos supõe as seguintes obrigas:
a) Advertir à Secretaria-Geral de qualquer erro nos dados armazenados.
b) Comunicar igualmente à Secretaria-Geral qualquer variação nos dados pessoais com o fim de serem corrigidos nas bases de dados de pessoal.
c) Não comunicar as chaves a terceiras pessoas.
d) Solicitar a renovação dos certificar conteúdos no cartão antes de que expire o seu período de validade.
e) Realizar um uso adequado do certificar com base nas competências e faculdades atribuídas pelo cargo ou posto de trabalho.
f) Assumir a presente normativa ou a que se dite no seu desenvolvimento ou substituição.
Artigo 5. Certificados de sê-lo de órgão
A USC concretizará mediante uma resolução da Secretaria-Geral os procedimentos em que se utilizará o sê-lo de órgão.
Assim mesmo, este será o sistema ordinário de assinatura das actuações e certificações que passem a ser expedidas de modo automatizado.
Artigo 6. Identificação nos procedimentos
Para aceder a um procedimento em sede electrónica ou através de uma aplicação corporativa é necessário identificar-se mediante algum dos seguintes sistemas:
a) Certificados pessoais admitidos na plataforma de validação de firma.
b) Certificado incluídos no DNI electrónico.
c) Chaves concertadas do sistema Cl@ve.
d) Certificar de empregado público.
e) Chaves concertadas da USC.
f) Credenciais de identificação do sistema SIR da Rede Íris nos procedimentos específicos em que assim se disponha.
O sistema ordinário de identificação na sede electrónica será o de chave concertada, excepto para o caso de serem formuladas solicitudes por pessoas alheias à USC.
Para facilitar o acesso de pessoas de nacionalidades diferentes da espanhola no uso de procedimentos da USC poderão utilizar-se de modo excepcional outros sistemas de acesso para alunos estrangeiros ou solicitantes estrangeiros em convocações da USC, procurando que sejam mecanismos de identificação que utilizem credenciais de serviços de identificação de terceiros de ampla difusão nas relações electrónicas. Estes meios de identificação não serão de uso geral, senão que terão que autorizar-se-á de forma expressa mediante resolução da Secretaria-Geral, depois de relatório preceptivo da ATIC, para cada procedimento onde se demanden.
Artigo 7. Assinatura de documentos
1. Os sistemas ordinários de assinatura na USC de documentos que se apresentem na USC serão:
a) Certificados electrónicos reconhecidos ou qualificados de assinatura electrónica.
b) Chaves concertadas do sistema Cl@ve.
c) Chave concertada da USC.
d) Certificar de empregado público.
e) Credenciais do sistema SIR da Rede Íris nos procedimentos específicos em que assim se disponha.
2. O sistema ordinário de assinatura na sede electrónica será o de chave concertada, excepto para o caso de serem formuladas solicitudes por pessoas alheias à USC. Para facilitar o acesso de pessoas de nacionalidades diferentes da espanhola no uso de procedimentos da USC, poderão utilizar-se de modo excepcional outros sistemas de assinatura para estudantado estrangeiro ou solicitantes estrangeiros em convocações da USC, procurando que sejam mecanismos de assinatura que utilizem credenciais de serviços de identificação de terceiros de ampla difusão nas relações electrónicas. Estes meios de assinatura não serão de uso geral, senão que terão que autorizar-se-á de forma expressa mediante resolução da Secretaria-Geral, depois de relatório preceptivo da ATIC para cada procedimento em que se demanden.
3. Para apresentar declarações responsáveis, interpor recursos, desistir de acções ou renunciar a direitos será necessária a assinatura com certificados electrónicos reconhecidos ou qualificados.
4. As pessoas jurídicas relacionar-se-ão com a USC mediante certificados de pessoa jurídica ou certificados para apoderados. A USC utilizará o registro de empoderaento da Administração geral do Estado ou da Comunidade Autónoma galega, e poderá ter um registro próprio.
Artigo 8. Assinatura de documentos da USC
Os documentos electrónicos que tenham efeitos administrativos num procedimento tais como resoluções ou acordos, deverão estar assinados pelo cargo ou pelo pessoal funcionário que tenha as competências para ditá-los ou uma delegação expressa. A assinatura realizar-se-á com um certificar de empregado público. Assim mesmo, o documento deverá incluir um Código Seguro de Verificação (CSV) do acto administrativo que permita a sua verificação através da sede electrónica da USC.
Os documentos da USC que façam parte de um procedimento administrativo que tenham efeitos face a terceiros ou com efeitos noutras administrações públicas deverão assinar-se com certificado de empregado público e mediante o uso da ferramenta corporativa de portasinaturas.
A assinatura de documentos em procedimentos de tramitação internos realizar-se-á ordinariamente com assinatura com chave concertada e mediante o uso da ferramenta corporativa de portasinaturas.
Artigo 9. Assinatura de actuações automatizado
Na actuação administrativa automatizado, a USC assinará a documentação mediante certificados reconhecidos ou qualificados de sê-lo electrónico de conformidade com o artigo 23 do Regulamento pelo que se implantam meios electrónicos que facilitam o acesso dos cidadãos aos serviços públicos da Universidade de Santiago de Compostela.
Disposição derrogatoria
Fica derrogado a Resolução reitoral de 11 de julho de 2012 pela que se aprova a política de utilização de certificados electrónicos da USC.
Disposição derradeiro
A presente resolução entrará em vigor na data da sua publicação no Diário Oficial da Galiza.
Santiago de Compostela, 26 de abril de 2017
María Consuelo Ferreiro Regueiro
Secretária geral da Universidade de Santiago de Compostela
