Instrucción de Seguridad:
Obligaciones para las personas autorizadas en el uso de la Plataforma de Intermediación de Datos del Ayuntamiento de Granada
Expediente SECPD 409/2019
LA PLATAFORMA DE INTERMEDIACIÓN DE DATOS
El artículo 28.2 de la Ley 39/2015, de Procedimiento Administrativo Común recoge, como derecho de todo ciudadano, el que éste no tenga que aportar ningún dato o documento que obre en poder de la Administración Pública. El intercambio de datos entre AAPP es por tanto una tarea fundamental a la hora de prestar servicios avanzados de administración electrónica a la ciudadanía, mejorando la eficiencia y eficacia de las organizaciones.
Sustitución de Certificados en Soporte Papel (SCSP) es un conjunto de especificaciones orientadas al intercambio de datos entre Administraciones Públicas con el objetivo de eliminar los certificados administrativos en papel, evitando al ciudadano presentar ante las Administraciones Públicas documentación que ya obra en poder de las mismas, sustituyéndolos por un intercambio de datos entre Administraciones que se realiza de forma electrónica, estandarizada y rápida y con total garantía jurídica.
La Plataforma de Intermediación de Datos del Ministerio de Política Territorial y Función Pública realiza una implementación SCSP permitiendo que cualquier organismo de la Administración, previa autorización, pueda consultar o verificar dichos datos por medios electrónicos.
El catálogo de servicios de verificación y consultas de datos ofrecidos a través de esta plataforma de Intermediación de Datos a las Administraciones Públicas ha sido ampliado paulatinamente, contando actualmente con más de cien servicios de información de distintos organismos emisores de información como, AEAT, TGSS, SEPE, DGT, DGP, INE, Catastro, MINHAFP, INSS, IMSERSO, etc..
Los objetivos de la Plataforma de Intermediación de Datos son:
• Dar cumplimiento a los derechos reconocidos en el artículo 28.2 de la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas.
• Hacer más cómodo para la ciudadanía el inicio de los trámites, evitando que tenga que adjuntar a la solicitud documentos que ya están en poder de la Administración.
• Simplificar la tramitación de los procedimientos administrativos.
• Reducir el volumen de papel gestionado en la Administración.
CLIENTE LIGERO SCSP EN EL AYUNTAMIENTO DE GRANADA
En enero de 2018 se finalizó la implementación y parametrización, en los servidores del Ayuntamiento de Granada, de una aplicación web (Cliente ligero SCSP) que permite hacer consultas de los datos ofrecidos a través de la Plataforma de Intermediación.
Mediante esta aplicación web podrá realizar peticiones de certificados emitidos por distintos organismos de las Administraciones Públicas, evitando que el ciudadano tenga que presentar documentos que ya obren en poder de estas. Los certificados que se podrán consultar serán aquellos para los que esté autorizado el Ayuntamiento de Granada.
El procedimiento de consulta cuenta con requisitos muy estrictos en su ejecución, tales como los que se muestran a continuación:
• Todo acceso a servicio de consulta de datos o trámite sobre la plataforma de intermediación debe ser certificado en base a un procedimiento administrativo regulado, ordenanza, así como la aprobación legal o Ley que lo ampare.
• En todos los tipos de petición de datos se valida y además con ella se comprueba si la aplicación solicitante o procedimiento está autorizada para realizar dicha consulta. Si todo es correcto, se tramitará dicha consulta, garantizando la integridad y seguridad de la misma, y responderá al organismo peticionario con la verificación de los datos consultados. La consulta se realizará para un trámite concreto y con un uso o finalidad específica.
• La plataforma de intermediación registra todas las operaciones realizadas, firmándolas y sellándolas en tiempo para garantizar tanto la integridad del mensaje, como el momento en el que dicha petición se ha realizado
• Para acceder, el/la funcionario/a debe contar con certificado electrónico y estar autorizado su acceso.
• El trámite debe contar con la autorización expresa de la persona interesada: “…siempre que el interesado haya expresado su consentimiento a que sean consultados o recabados dichos documentos. Se presumirá que la consulta u obtención es autorizada por los interesados salvo que conste en el procedimiento su oposición expresa o la ley especial aplicable requiera el consentimiento expreso” (Artº 28, Ley 39/2015 de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas)
Por otra parte, las peticiones de los certificados se podrán realizar de modo síncrono, asíncrono o de ambos modos. Cuando se realizan en modo síncrono la respuesta se obtiene en línea, por ello en este caso solo se admiten peticiones con una única solicitud. En el caso de que la petición se realice de modo asíncrono, cuando el emisor reciba la petición, confirmará la recepción e indicará un 'Tiempo estimado de respuesta' transcurrido el cual, a través de esta aplicación web, se solicitará la respuesta. En el modo asíncrono, dado que la respuesta no es en línea, es posible enviar un número mayor de solicitudes en cada petición.
ACCESO AL CLIENTE LIGERO SCSP
Desde un ordenador conectado a la red informática del Ayuntamiento de Granada, usando cualquier navegador, acceder a la dirección:
https://intermediacion.granada.org/cliente
CONDICIONES DE USO DEL CLIENTE LIGERO SCSP
Al iniciar la aplicación web del Cliente Ligero SCSP es necesario que la persona usuaria ACEPTE Y CUMPLA LAS SIGUIENTES CONDICIONES DE USO:
“.. Al utilizar el Cliente Ligero SCSP adquiere el compromiso de realizar las consultas con los fines exclusivos de tramitación de procedimientos para los que ha sido autorizado, siendo responsable de todas las consultas que se realicen utilizando su certificado electrónico. Así mismo está obligado a guardar el secreto profesional respecto a los datos incluidos en las transmisiones de datos obtenidas.
Se considerará como uso irregular o indebido la consulta de datos relativa a interesados concretos cuyas solicitudes o expedientes no se encuentren tramitándose en los procedimientos autorizados o, de aquellos sobre los que no conste su consentimiento expreso o la consulta no esté autorizada por ley.
El incumplimiento de las obligaciones indicadas, la asignación de autorizaciones no necesarias para las funciones encomendadas y, el no actuar con diligencia respecto de la custodia de la claves de sus certificados así como de los soportes de los mismos, dará lugar a la exigencia de responsabilidades administrativas, en concreto las establecidas en el Título VII de la Ley Orgánica 15/1999, de 13 de diciembre (o según normativa vigente), así como a responsabilidades de cualquier otra naturaleza, incluso penales.
Todas las acciones realizadas serán registradas para posteriores procesos de auditoría y control de accesos. “
OBLIGACIONES DE LAS PERSONAS USUARIAS DEL CLIENTE LIGERO SCSP
El funcionario/a tramitador de un expediente que requiera consultar algún dato de la Plataforma de Intermediación de Datos, tiene las siguientes obligaciones:
· Hacer un uso correcto del servicio, conociendo y cumpliendo las Condiciones de uso del Cliente Ligero SCSP enunciadas en el apartado anterior y utilizándolo con los FINES EXCLUSIVOS DE TRAMITACIÓN DE PROCEDIMIENTOS para los que ha sido autorizado.
· Cumplir con las medidas de seguridad y requisitos de autenticidad, confidencialidad e integridad establecidos en los distintos apartados de este documento y según normativa vigente.
· Recabar el consentimiento expreso de los ciudadanos si no existe una Ley que habilite la consulta. Se usarán exclusivamente los formularios o impresos facilitados por el Área Municipal correspondiente. Es necesario conservar y custodiar la documentación que refleje el consentimiento o la autorización del ciudadano para la consulta de sus datos en la Plataforma de Intermediación de datos, de cara a una posible auditoría.
· Recabar la finalidad concreta por la que se realiza cada consulta y acceso a la información así como cumplimentar obligatoriamente el número de expediente o identificación similar para el cual se realiza la consulta al servicio de intermediación de datos.
· Guardar el secreto profesional respecto a los datos incluidos en las transmisiones de datos obtenidas.
· Almacenar la documentación obtenida en el Sistema Municipal de Información en sus correspondientes aplicaciones corporativas o en las unidades de red o carpetas departamentales en cumplimiento de la Instrucción de Seguridad “Almacenamiento de información en sistemas informáticos del Ayuntamiento de Granada”.
· Actuar con diligencia respecto de la custodia de la claves/pin de sus certificados así como de los soportes de los mismos.
· Seguir los procedimientos establecidos para armonizar los procesos de administración electrónica.
REQUISITOS DE AUTENTICIDAD PARA EL ACCESO AL CLIENTE LIGERO SCSP
El acceso al sistema de intermediación de datos se efectuará prioritariamente utilizando los certificados electrónicos de empleado/a público del Ayuntamiento de Granada.
Caso de imposibilidad, se realizara el acceso usando certificados electrónicos reconocidos que cumplan la recomendación UIT X.509 versión 3 o superiores (ISO/IEC 95948 de 1997).
No podrán utilizarse certificados electrónicos caducados o revocados para acceder al servicio.
REQUISITOS DE CONFIDENCIALIDAD DEL SISTEMA
El sistema de intermediación de datos ofrecerá consultas en las que, a partir de la identificación del ciudadano (nacional o extranjero) se devolverán los datos pertinentes.
En caso de que los datos introducidos no fueran suficientes para identificar de manera única a un ciudadano, el sistema no devolverá en la respuesta información sobre dicho ciudadano.
Para realizar la consulta al sistema, será preciso el consentimiento expreso del ciudadano cuyos datos se vayan a consultar, salvo que una norma de rango de ley autorice dicha consulta. Dicho consentimiento deberá constar en la solicitud de iniciación del procedimiento administrativo, o en cualquier otra comunicación posterior, siempre y cuando dicha comunicación sea previa a la consulta en el sistema, no pudiendo realizarse consulta alguna en caso de no contar con el consentimiento de forma fehaciente.
Para recabar el consentimiento del ciudadano e informarle del uso de la plataforma de intermediación se deberán utilizar SIEMPRE los impresos o formularios electrónicos -previamente autorizados por el organismo cedente de la información a consultar- y facilitados por el Área Municipal correspondiente.
En caso de realizar la consulta al amparo de una norma legal, deberá reflejarse en la solicitud de acceso al servicio, tanto la norma que les habilita como la finalidad de la misma.
Cada consulta y el acceso a la información proporcionada por el sistema de intermediación de datos deberá realizarse con una finalidad concreta, que quedará recogida en el momento de la consulta. La información obtenida sólo podrá utilizarse para dicha finalidad. Es obligatorio cumplimentar el número de expediente o identificación similar para el cual se realiza la consulta al servicio de intermediación de datos.
REQUISITOS DE INTEGRIDAD DE LA INFORMACIÓN PROPORCIONADA POR EL SISTEMA
Todas las consultas que se realicen al sistema, así como las respuestas que devuelvan deberán haber sido firmadas electrónicamente. Esta firma electrónica tiene por objeto garantizar tanto la integridad de los datos intercambiados como la identidad de las partes que intervienen y el no repudio de la consulta.
De la misma forma, todas las consultas que el sistema de intermediación de datos deba realizar a los organismos cedentes de los datos, así como las correspondientes respuestas obtenidas resultado de las mismas, habrán de ser debidamente firmadas electrónicamente para garantizar tanto la integridad de la información como la identidad tanto del organismo cedente como del Ayuntamiento de Granada.
Todas estas firmas son automáticamente requeridas o realizadas por el Cliente Ligero SCSP.
GARANTÍAS JURÍDICAS DEL SISTEMA DE INTERMEDIACIÓN DE DATOS
Los servicios web proporcionados por este sistema sigue el estándar de intercambio de datos definido por la iniciativa «Sustitución de Certificados en Soporte Papel» del Consejo Superior de Administración Electrónica, que reúne, en base a la normativa vigente, las garantías jurídicas aplicables al intercambio de datos entre Administraciones Públicas.
El sistema de intermediación de datos dispone de un módulo de auditoría, en el que quedarán registradas todas las consultas de datos realizadas, información de contexto asociada, la identidad del solicitante, la fecha y la finalidad de la consulta, y aquellos eventos relevantes desencadenados a partir de la propia consulta. Se garantiza la integridad y no repudio de la información registrada mediante técnicas de firma electrónica y sellado de tiempo, estableciéndose, asimismo, medidas técnicas para garantizar la disponibilidad y recuperación de aquella información que no se mantenga on-line por motivos de eficiencia técnica o seguridad.
Por parte de la Subdirección de Seguridad del Ayuntamiento de Granada como por los correspondientes servicios del Ministerio de Política Territorial y Función Pública se realizarán auditorías periódicas de accesos, uso y finalidad de las consultas realizadas a la Plataforma de Intermediación de Datos, identificando mediante algoritmos o revisiones manuales las consultas que se realizan en la Plataforma de Intermediación de Datos y, en algunos casos, solicitando la documentación que refleja la autorización o consentimiento del ciudadano. Por parte del funcionario/a tramitador es necesario conservar dicha documentación.
Granada a la fecha suscrita
El Subdirector de Seguridad