Se acaba el plazo para la adaptación respecto a algunas obligaciones tributarias que comenté hace algún tiempo:
Nuevas obligaciones tributarias. Real Decreto 1065/2007, de 27 de julio,
Nuevas obligaciones tributarias. Orden EHA/3435/2007, de 23 de noviembre
Es interesante repasar esos resúmenes.
En el portal ePractice de la unión europea se ha publicado una información sobre las conclusiones del grupo de trabajo que valora las posibles modificaciones de la normativa del IVA y de la facturación, indicando la posibilidad de aportar ideas para su informe final hasta el 19 de septiembre de 2008.
The European Commission has launched an online consultation to ascertain the views of businesses on the review of the existing legislation on VAT invoicing. In particular, it focuses on matters in relation to VAT and eInvoicing. Interested parties are invited to submit their comments by 19 September 2008 at the latest.
The consultation is based on an Invoicing Study to be produced for the Commission. The Commission hopes to receive contributions concerning a selection of the recommendations contained in the Invoicing Study and other recommendations businesses may have. More information is contained in the consultation paper.
Interested parties are invited to submit their comments by 19 September 2008 at the latest. Comments may be sent alternatively by:
The Commission will publish a report summarising the outcome of this consultation as soon as possible after the end of the feedback period. If, for any reason, those contributing wish their comments to remain confidential, they are invited to state it. Otherwise, the European Commission will assume that the contributors have no objection to the subsequent publication of their comments on the European Commission website.
Further information:
Me gusta el Blog de Jonsy, pero no estoy de acuerdo en algunos aspectos de su post en el que dice NO al voto electrónico.
Yo estoy a favor del voto electrónico. Aunque posiblemente lo que entendemos por «voto electrónico» unos y otros sea diferente.
En primer lugar, el voto electrónico no necesariamente es voto electoral: también puede ser voto societario. El matiz es importante porque hasta los principios de aplicación son muy diferentes.
En segundo lugar, el voto electrónico puede ser presencial y a distancia, y ambos planteamiento implican soluciones técnicas muy diferentes.
En tercer lugar, el voto electrónico a distancia es una posibilidad que convive con el voto presencial, por lo que implica una mejora de los sistemas actuales de voto a distancia, que básicamente se reducen a voto postal. El voto por correo no es precisamente un dechado de garantías.
En el voto electoral se siguen los principios de secreto (disociación de identidad de votante y datos de sentido de voto), universalidad (disponibilidad de medios de voto para todos los ciudadanos con derecho a voto, sin distinción), unicidad (una persona puede tener asociado un único sentido de voto; si el voto no es electrónico esto implica votar una sola vez por proceso electoral, si es electrónico, esto implica que se pueda tener en consideración su último voto antes del cierre de la urna electrónica) y ponderación (cada voto se pondera con un criterio predeterminado), bajo la premisa de «una persona, un voto». La ponderación aplicada no siempre es lineal. Es decir: no todos los votos «pesan» lo mismo, según se empleen leyes de ponderación como la famosa Ley d’Hont.
En mi opinión, la normativa actual de voto electoral postal debe completarse con la posibilidad de voto electrónico. Es perfectamente posible diseñar un sistema de voto electrónico más garantista que el voto por correo, perfectamente supervisable por la Junta Electoral. Y claro que no pretendo imponerlo como único sistema ya que puede convivir perfectamente con el voto presencial, ya sea a base de hojas de papel y urnas de metacrilato, ya sea a base de sistemas electrónicos, con los que se pueden tener también todas las garantías. Incluso es perfectamente posible que convivan el metacrilato y la electrónica en función de las preferencias de los votantes.
Así y todo, el artículo SI al voto electrónico que Jonsy critica es, en mi opinión algo superficial e indocumentado, y no creo que recoja las verdaderas razones del voto electrónico. Desde luego, el voto electrónico no está en disposición de sustituir al voto presencial con papeletas. Y las razones ecológicas, por bienpensantes que parezcan, son una bobada en la relación coste beneficio. Sin entrar en el impacto ecológico de la masificación de los equipos tecnológicos y su efecto derivado: los residuos tecnológicos altamente contaminantes en que se convierten los equipos a causa de su obsolescencia.
La posibilidad de colaborar con epractice.eu está abierta a quienes estén interesados en la temática del impulso de la administración electrónica. Aunque yo llevo cierto tiempo como miembro de la comunidad, hoy he enviado mi primer artículo en el Blog conjunto.
Future trends in electronic invoicing
I was disappointed to find that one of the conclusions implies that electronic signature is seen as a barrier for further development of the electronic invoice, and a feature that some of the members of the expert group see as superfluous feature.
In my opinion, electronic documents need ways to reinforce security to allow to tell apart fake documents from authentic documents. Ths is generally true even for informative documents with less impact on companies results.
It is also true that electronic signature is not the only way to reinforce security regarding autenticity of documents. For example, a document can be assumed to be authentic if it is retrieved from a trusted source, even if it is not completed with an electronic signature. But then we must define what are the requirements of such «trusted sources» to keep that assumption.
On the other hand, both approaches, electronic signatures and reference or trusted sources (which in turn frecuently are based in electronic signature derived schemes) need more precise definition to avoid lack of interoperability, which, in my opinion is the real barrier for electronic invoice wide deployment.
Some common authenticity mechanisms are required both for electronic invoices (those that are born electronically from the beginning) and for invoices certified scanning (invoices digital copies that become equivalente to an original, after a security mechanism has been added to a common scanning).
This approach, «certified scanning», has been initiated in Spain with high success.
Certified scanning is a process in which an electronic signature is applied to a image file while it is scanned from a document paper. This image is stored in a secured database and the main concepts and terms of the paper document are added as metadata to the contextual fields of the image file in the database.
Once a paper document is «certifiedly scanned» the digital copy becomes equivalente to an original, and the paper source can be destroyed. The new «electronic original» can then be used for auditing purposes.
For the companies that receive thousands of invoices, «certified scanning» adoption imply benefiting from most of the advantages of the electronic invoice without dealing with the slow adoption pace that their suppliers could show.
If we want to support «certified scanning» we need a common definition of the requirements for that conversion. And they should not be very different form the requirements for «electronic invoices» .
If we accept authenticity mechanisms not based in electronic signature, they should be common for both approaches. And if electronic signature is still to be used in the future as the authenticity mechanism of the electronic invoice, the broad options in variants should be reduced and clearly defined (in my opinion, the XL definition of CAdES -TS 101 733- or XAdES -TS 101 903- should be used, including both validation and timestamping, from the signer side).
Una solución electrónica integrada que eliminará las barreras para la contratación pública a través de las fronteras nacionales.
Ese es el objetivo de una completa propuesta de proyecto que se remitió recientemente a la Comisión de la Unión Europea desde un consorcio internacional con participantes de nueve países.
El Secretariado Noruego de eProcurement (contratación pública electrónica) es el órgano de coordinación para la propuesta y el posible proyecto piloto.
La aplicación de la solución a través de las fronteras va a sacar partido de las fortalezas y ventajas de cada nación en los sistemas nacionales existentes y facilitará de forma conjunta el despliegue de una solución interoperable de contratación pública electrónica extendida a toda la UE. Si la solución tiene éxito, puede ser extendida a una mayor utilización por toda Europa.
El proyecto se titula “Pan-European Public Procurement On-Line” (Contratación pública pan-europea on-line), abreviado PEPPOL, y ha sido organizada como un consorcio.
El objetivo del proyecto PEPPOL es facilitar a los operadores económicos europeos, en particular las PYMEs de un país, la respuesta a las oportunidades de contratación pública ante poderes adjudicadores de otro pais a través del uso de soluciones de eProcurement (contratación pública electrónica) interoperables que actuan a nivel de toda la Unión Europea.
La solución interoperable de servicios del Proyecto PEPPOL se basa en especificaciones funcionales y consiste en una serie de Bloques constitutivos que cubren los diferentes requisitos de negocio identificados relativos a la utilización transfronteriza de las soluciones existentes para la Firma Electrónica (eSignature), Dossier Virtual de Empresa (Virtual Company Dossier), Catálogos Electrónicos (eCatalogues), Pedido Electrónico (eOrdering) y Factura Electrónica (eInvoicing). Los Bloques relativos a un aspecto pueden ser modificado sin que ello necesariamente tenga un impacto en los demás.
El consorcio PEPPOL consta de 14 participantes y un número de sub-contratistas de nueve naciones que representan a siete administraciones públicas. Los participantes tienen una amplia experiencia y profundo conocimiento de la contratación pública electrónica, sobre la base de sus soluciones nacionales o regionales en fases operacionales o de piloto avanzado que abarcan toda la cadena de valor de la contratación pública.
Para garantizar la difusión por toda la UE y la selección de resultados del proyecto, se ha establecido un grupo de referencia para los Estados miembros ajenos del consorcio. Asimismo se asignarán recursos pata futuras ampliaciones del consorcio.
Pan-European Public Procurement On-Line (Contratación pública pan-europea on-line)
El proyecto PEPPOL está organizado en cinco Paquetes de Trabajo (Work packages) funcionales, del WP1 al WP5 y tres horizontales, del WP6 al WP8:
Además, hay tres Paquetes horizontales: WP6 – Administración del Proyecto, coordinado por Ehandel.no, Noruega; WP7 – Sensibilización, difusión, creación de consenso y formación, coordinado por Peppol.at, Austria, y WP8 – Arquitectura de la solución, diseño y validación, coordinado por NITA, Dinamarca.
Además de los países mencionados, Finlandia, Hungría e Islandia son miembros del consorcio. André Hoddevik, Responsable del Secretariado noruego de e-Procurement actuará como coordinador de la propuesta y del proyecto piloto.
Hace algún tiempo escribí un artículo sobre TDT en relación con el DNI electrónico constatando el escaso número de modelos con capacidad de MHP y lector de tarjeta chip.
Una buena noticia es el lanzamiento por parte de Investrónica de un modelo que cumple los requisitos técnicos señalado en aquel artículo.
Según la nota publicada por Oscar García en IDG, mediante el sintonizador TDT presentado por Investrónica se podrá utilizar la firma electrónica del DNIe para acceder a los servicios de la Administración desde el televisor.
Investrónica e Informática El Corte Inglés han presentado el primer sintonizador TDT que es compatible con el DNI electrónico. La oferta consiste en un sistema de acceso al DNIe con receptores de TDT Interactivos Inves modelo MHP-3200e, que permitirá interactuar a través del televisor con aplicaciones interactivas con acceso completo al DNIe y soporte de firma electrónica reconocida sobre TDT, como los servicios de Administración Electrónica.
Los receptores utilizados ofrecen soporte de interactividad MHP y cuentan con un lector de tarjetas inteligentes compatible con el DNIe. Se trata de un dispositivo fácil de configurar y con un entorno gráfico de usuario amigable. Son compatibles DVB MHP, 1.1.2 y proporcionan soporte S/PDIF Home Cinema.
De este modo se facilita el acceso a la aplicaciones del DNI electrónico a aquellos ciudadanos que no cuentan con ordenador personal o que están poco familiarizados con la informática.
Se ha publicado en ISV Magazine un artículo mio. Lo reproduzco.
Normas de publicación reciente como la Ley de Contratos del Sector Público o la Ley de Medidas de Impulso de la Sociedad de la Información han puesto de manifiesto el interés de las instituciones en el desarrollo de la factura electrónica, que ha llegado al punto de establecer su obligatoriedad a partir del año 2008 para las empresas que no pueden presentar cuenta de pérdidas y ganancias abreviada. Sin embargo este impulso se viene produciendo de forma intensa desde la publicación de la Directiva 2001/115, y su temprana trasposición a finales 2002 en una norma española que quedó finalmente subsumida en el RD 1496/2003, el Reglamento de Facturación.
En un contexto en el que la norma legal es flexible, el problema surge de la necesidad de hacer interoperables los sistemas y equipos de quienes emiten factura y quienes la reciben. Desde el punto de vista legal, el requisito de que la factura electrónica sea un documento con firma también electrónica puede cubrirse con un simple fichero PDF firmado electrónicamente con el aspecto de la factura en papel. Pero, cuando lo reciba, el receptor acabará tecleando los datos de la factura en el programa de gestión de facturas recibidas y en el de contabilidad, y no se habrán logrado los ahorros previstos. En cambio, si el mensaje se codifica en XML, el computador del receptor puede procesar de forma automática muchos pasos relacionados con la gestión de las facturas.
Varias iniciativas internacionales trabajan para unificar formatos: en Naciones Unidas, el Grupo de Trabajo Cross Industry Invoice, y en el Comité Europeo de Normalización, los grupos eInvoice Focus Group y Business Interoperability Interfaces on public procurement in Europe .
Un elemento común a estas iniciativas es el uso de un conjunto de especificaciones denominado “Core Components” de UN/CEFACT, cuya implementación más relevante se da en el formato Invoice de la especificación UBL, que en la versión 2.0 está siendo impulsado por la organización de estandarización OASIS. La futura v.3.0 será posiblemente el texto que recogerá los requisitos de todas las iniciativas, bajo la bandera de UN/CEFACT.
En España, la especificación facturae, codificada en XML y evolucionada desde un formato diseñado por la banca, se oficializó en la Orden PRE 2971/2007 recibiendo el apoyo de la Agencia Tributaria y del Ministerio de Industria, Turismo y Comercio para su uso en la facturación destinada a las Administraciones Públicas, lo que lleva a prever un amplio uso. Mientras avanza su adopción, el estándar español evolucionará hasta convertirse en una personalización del UBL, de forma semejante al ilustre precedente del NES (Northern European Subset) que al incorporar a España e Italia redefine la denominación para ser NES: Neutral European Specification.
La firma electrónica es otro ámbito en el que hay que intentar la compatibilidad. Como cada entidad firmante puede elegir cualquier PSC (Prestador de Servicios de Certificación) para sus certificados, la entidad que acepta facturas se enfrenta a la complejidad de validar certificados de los que tiene poca información. Una solución que facilitará la aceptación de facturas es que éstas llegaran firmadas con la modalidad ES-X-L prevista en la norma TS 101 903, incluyendo un sello de tiempo y la información de validez del certificado expedido por su emisor: lo que se denomina “firma completa”, y significa que la firma y el certificado están validados en origen.
Así, el receptor se ve exonerado de las obligaciones que impone aceptar firmas electrónicas y la posibilidad de que se utilicen certificados electrónicos expedidos por cualquier PSC europeo no supondrá un problema en países diferentes al del expedidor.
Aunque parece complicado, las pymes realizarán sus facturas electrónicas con plataformas como “Faccil” (accesible en http://www.faccil.com y que gestiona facturas en formato facturae 3.1 y firmas electrónicas ES-X-L) o las que desarrollan las entidades financieras, así que no tendrán que preocuparse de estos detalles, que serán resueltos por su proveedor tecnológico.
Sin embargo, los propios desarrolladores de software de facturación y de planificación de recursos empresariales (en inglés ERP, enterprise resource planning) deben actualizarse y prestar atención a los estándares para evitar la actual situación en la que han desarrollado soluciones propietarias de algo que venden como “factura electrónica” que frecuentemente incumple la normativa aplicable, y que no considera las necesidades de interoperabilidad de sus clientes.
Con la idea de servir de modelo a los desarrolladores de soluciones y de solución de bajo coste a las PYMES, autónomos y profesionales, existe una versión gratuita de un programa de facturación electrónica básico que puede descargarse del portal facturae (http://www.facturae.es) gestionado de forma conjunta por la Agencia Tributaria y por el Ministerio de Industria, Turismo y Comercio. Este programa genera facturas compatibles con la versión 3.1 del formato facturae y genera firmas EPES (firmas básicas basadas en políticas de control de la vigencia de los certificados). Junto con el programa es necesario utilizar un certificado electrónico de prestadores de certificación como Camerfirma, Firmaprofesional o Ancert.
La factura electrónica tiene múltiples ventajas: mejor aprovechamiento de la habilidad de los empleados, reducción de controversias, mejoras en la resolución de incidencias, reducción de plazos de cobro, mejoras en la negociación de los plazos de pago, posibilidad de acudir de forma ágil a servicios financieros como el confirming y el factoring, mejora de la relación comercial y de la imagen de la empresa. Sin olvidar el cumplimiento de obligaciones, puesto que la facturación electrónica es obligatoria por exigencia de la Ley 30/2007 de Contratos del Sector Público en determinados supuestos.
En efecto, por la disposición final novena de la citada ley, desde el 1 de agosto de 2008, la presentación de facturas electrónicas es obligatoria en la contratación con el sector público estatal para las sociedades que no puedan presentar cuenta de pérdidas y ganancias abreviada y desde el 1 de octubre de 2009 el uso de la factura electrónica será obligatorio en todos los contratos del sector público estatal; no obstante, en los contratos menores, la utilización de la factura electrónica será obligatoria cuando así se establezca expresamente en estas Órdenes de extensión.
Recordemos que pueden formular cuenta de pérdidas y ganancias abreviada las sociedades que durante dos ejercicios consecutivos reúnan, a la fecha de cierre de cada uno de ellos, al menos dos de las circunstancias siguientes:
Y que las sociedades perderán la facultad de formular cuenta de pérdidas y ganancias abreviada si dejan de reunir, durante dos ejercicios consecutivos, dos de las circunstancias a que se refiere el párrafo anterior.
En definitiva, aunque sigue siendo potestad de la empresa receptora de facturas la decisión de aceptar facturas electrónicas, cuando el destinatario de la factura sea una administración pública, habrá que enviarlas electrónicamente en un plazo u otro según la dimensión de la empresa y el tipo de administración pública, pero siempre en plazos que concluyen el 1 de enero de 2010 (en esta ocasión por aplicación de la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos).
Sorprende que con estos plazos, y con las indudables ventajas de su adopción, el nivel de uso de la factura electrónica sea tan reducido, tanto en el ámbito privado como en el público.
En todo caso, además de un reto, es una oportunidad para los desarrolladores que podrán diferenciar sus productos si los dotan de los adecuados interfaces de conversión de formatos y de creación y verificación de firmas electrónicas.
Me duele decir esto porque considero que la Administración Pública Catalana es de las más avanzadas en la adopción de las tecnologías de la información para facilitar la vida al ciudadano y CatCert una institución ejemplar en ese sentido.
Pero cuando la pauta de adopción de estándares y de reglas de interoperabilidad se sacrifica ante otros objetivos, no del todo claros, se perjudica a los ciudadanos, y no se sabe qué se obtiene a cambio.
El comentario viene al hilo de una situación aflorada en el Blog de Arcadi Espada, que describe con detalle el caso y que se completa con las interesantes aportaciones de los comentarios.
Se trata de las trabas con las que tienen que lidiar los ciudadanos de fuera de Cataluña si tienen que acudir a un hospital catalán, y las que la administración pública autonómica impone a los ciudadanos catalanes si precisan de atención sanitaria fuera de Cataluña.
Podéis leer el artículo en el Blog de Arcadi Espada, pero reproduzco aquí los comentarios:
Correspondencias /Ángel Duarte
Apreciado Arcadi,¿Podrías hacerte eco de mi caso, aunque sólo sea para contrastar?
Trabajo en Gerona. Allí cotizo. Allí estoy dado de alta. Por cuestiones de amor -ai-làs!- vivo en Tomares, en el Aljarafe sevillano. Pues bien, hace meses que me sirven las recetas que mensualmente preciso -que son bastantes- sin el menor problema. Excepto, claro está, las esperas que aquí como en cualquier parte de España son de rigor. Vamos, como que el viernes pasado, a pesar de ser San Fernando y librar en Sevilla capital, que no en Tomares, me hicieron las correspondientes al mes de junio. Por lo demás, me derivaron al Hospital de San Juan de Dios, en Bormujos, para el día 9 de junio a las 8,45 de la mañana. Ya sabes… de tanto en vez tengo que revisar el PIO (presión intraocular). Si quieres pruebas estaré en el servicio de oftalmología… con mi tarjeta en la mano. Quedas citado. Después te invito a desayunar.
En este país hay problemas, problemones y… problemáticosCordialmente
Ángel Duarte
·
Correspondencias /Jesús de Baldomá
Apreciado Arcadi.
Mi primera reacción ha sido “¡No me lo puedo creer!”. Así que, raudo y veloz, cojo la cartera y miro mi tarjeta sanitaria. He alucinado con lo que me he encontrado.Resulta que tenía 2 tarjetas sanitarias del CatSalut: una que caducaba el 11/2006 y que sí que tenía información del NASS (Número de Afiliación a la Seguridad Social) y otra que la sustituye y que, por lo visto, no caduca nunca pero y que no tiene el NASS. ¿!?. ¡Me he quedado estupefacto!
O sea, antes sí que lo tenía y ahora no. ¿La razón? Que alguien la explique porque no la entiendo. Para evitar males mayores, y a riesgo de que me la invaliden, ya me he apuntado el NASS en la tarjeta nueva.
No haré más comentarios al respecto, pero ya les vale.
Saludos cordiales
Jesús de Baldomá
·
Correspondencias /Goslum
Hola, Arcadi:
Leída la carta en tu blog, te envío esto.
Un saludo.
Goslum
·
Correspondencias /Daniel Tercero
Hola, profesor Espada:
Le remito la dirección web en la que hemos recuperado el vídeo de nuestro vicepresidente autóctono admitiendo que la tarjeta sanitaria del CatSalut es con lo que nos movemos los catalanes.
Un saludo.
Siga igual de libre.
·
Correspondencias /J. Oriol Magrans
Gracias Arcadi por tu denuncia, una vez más, acertada.
Independientemente de las consecuencias prácticas (que algunos te discuten; y que, gracias a la diligencia de muchos funcionarios y a la inagotable disposición del Gobierno de España por satisfacer los más infantiles caprichos del nacionalismo catalán, son incluso probablemente más insignificantes que las relatadas en tu carta) lo de la ausencia del numero del INSS tiene una evidente intencionalidad política y ciegos son o ciegos nos quieren los que lo niegan. Por algo será que Carod propone la tarjeta sanitaria catalana como documento de identificación en el referéndum de independencia de 2014:
También tú, sigue con salud,
J. Oriol Magrans
·
Correspondencias /Aulet
Estimado Arcadi:
Certera tu carta sobre el número de la SS. Es la vertiente administrativa. Ahora la vertiente médica: Cataluña fue referencia para la sanidad española. Miles de pacientes venían aquí a operarse o visitarse. Cada vez menos: las barreras administrativas para pasar de una comunidad a otra son ingentes y multilaterales. Como en otros ámbitos, lo que debiera ser solidaridad y buscar la mejor atención para el paciente, se convierte en una caótica guerra de guerrillas entre Autonomías. Parte del desgarrador “agravio catalán” está en que los enfermizos mesetarios tienen el mal gusto de venir a pasar las vacaciones al oasis y luego ponerse malos. Por no hablar de otros que tenían la pésima constumbre de venir a operarse a Cataluña pues consideraban que aquí había mejores profesionales. ¿Cómo se les había ocurrido? Vaya cutrez. El término administrativo para definir a estos insensatos ciudadanos no puede ser más humillante: “desplazados”. Algo similar a unos refugiados ruandeses. Resulta que los “desplazados” son los causantes de todos los males, y no, por ejemplo, los miles de informes inútiles que encarga la consejería. Durante un tiempo atendí a algunos “desplazados” en un hospital público y cada vez les ponían más trabas para venir a visitas de control, y no digamos para operarse. El ejemplo catalán ha cundido: las comunidades de origen les ponen todas las trabas posibles para venir.
En algún momento se dijo que, parte del problema de los desplazados, era debido a la ineficacia de los gobiernos autonómicos para reclamar el pago de dichos servicios. Así me lo han certificado (de palabra, nunca por escrito) gestores que trabajan en ello. Porque ya hemos aceptado que hay 17 sistemas de Sanidad que tienen que competir entre ellos.
Lo grave no es que haya 17 sistemas dispares. Ni que sean impermeables a la libre circulación de profesionales.En el sistema público, me es más fácil ir a trabajar a Londres que a Vigo, Bilbao o a Sevilla. No. Lo más grave es que a nadie parece importarle demasiado.
Y aún así, sorprende que sigamos con salud.
Esta norma ha sido una de las más importantes en relación con la Administración Electrónica hasta la publicación de la Ley 11/2007. Recoge la forma de gestionar el registro telemático, las notificaciones telemáticas, y la dirección electrónica única. La transcribo, procedente de Noticias Júrídicas.
El Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados por los ciudadanos, dispone en su disposición final primera que, en el plazo máximo de seis meses desde la entrada en vigor del citado Real Decreto, se establecerán por Orden Ministerial, en el marco de los criterios de seguridad, normalización y conservación a los que se refiere el Real Decreto 263/1996, de 16 de febrero, los requisitos de autenticidad, integridad, disponibilidad y confidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los protocolos y criterios técnicos a los que deben sujetarse.
Dichos criterios de seguridad, normalización y conservación han sido objeto de informe favorable del Consejo Superior de Informática y para el impulso de la Administración Electrónica.
Así mismo, en la citada Orden se establecerán las condiciones que ha de reunir el órgano, organismo o entidad habilitada para la prestación del servicio de dirección electrónica única, así como las condiciones para su prestación.
Las condiciones de accesibilidad para las personas discapacitadas y de edad avanzada están sujetas a lo que dispone la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, en su disposición adicional quinta.
La presente Orden Ministerial tiene por objeto dar cumplimiento al mandato señalado en el Real Decreto. A tal fin, se han tenido en consideración las experiencias previas, las implicaciones técnicas de la unicidad de la dirección electrónica, la búsqueda de racionalidad y sencillez de uso para los interesados y el aprovechamiento de las ventajas de las economías de escala.
En su virtud, previo informe favorable del Consejo Superior de Informática y para el Impulso de la Administración Electrónica, a propuesta de los Ministros de Administraciones Públicas, de Ciencia y Tecnología, y de Hacienda, dispongo:
Primero. Objeto.
De acuerdo con lo establecido en la disposición final primera del Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de la aportación de certificados de los ciudadanos, la presente Orden tiene por objeto establecer los requisitos de autenticidad, integridad, disponibilidad y confidencialidad de los dispositivos y aplicaciones de registro y notificación, así como los protocolos y criterios técnicos a los que deben sujetarse y, las condiciones que ha de reunir el órgano, organismo o entidad habilitada para la prestación del servicio de dirección electrónica única así como las condiciones de su prestación.
Segundo. Adopción de las medidas de seguridad, organizativas o técnicas, de los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única.
1. Con carácter general se aplicarán a los dispositivos y aplicaciones de registro, notificación y de la prestación del servicio de dirección electrónica única las medidas de seguridad, conservación y normalización que se detallan en los Criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades aprobados por el Consejo Superior de Informática y para el impulso de la Administración Electrónica y accesibles en su sitio web.
Dichas medidas de seguridad, conservación y normalización vendrán determinadas por el resultado del análisis y gestión de riesgos que se realice, recomendándose a estos efectos la utilización de la metodología Magerit.
2. Lo dispuesto en esta Orden Ministerial se aplicará en todo caso de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y demás normativa aplicable en esta materia.
Tercero. Requisitos de autenticidad de los dispositivos y aplicaciones de registro y notificación.
1. Los dispositivos y las aplicaciones de registro y notificación sólo admitirán la firma electrónica avanzada basada en un certificado reconocido que cumpla la recomendación UIT X.509 versión 3 o superiores (ISO/IEC 9594-8 de 1997) de acuerdo con lo previsto en la legislación de firma electrónica.
2. La aceptación de una firma electrónica estará condicionada a que la utilización del servicio de consulta sobre la vigencia de los certificados en los que se basen dicha firma electrónica no suponga un coste específico adicional para los órganos, organismos o entidades incluidas en el ámbito de aplicación de la presente Orden.
Cuarto. Requisitos de integridad de los dispositivos y aplicaciones de registro y notificación.
Los órganos de la Administración General del Estado y los Organismos Públicos vinculados o dependientes de aquélla que pongan en marcha dispositivos y aplicaciones de registro y notificación, deberán contar con medidas organizativas y técnicas para garantizar la integridad de la información. En cualquier caso establecerán las siguientes medidas:
- Aplicación de técnicas de comprobación de la integridad de la información, como firma electrónica (con los requisitos señalados en el apartado tercero), funciones resumen o hash, y en su caso, de fechado electrónico.
- Procedimientos de copias de respaldo de ficheros y bases de datos y de protección y conservación de soportes de información.
- Protección de los archivos de información destinados a los interesados mediante atributos de solo lectura.
- Instalación de herramientas o procedimientos en las aplicaciones que ejecuten transacciones o procesos donde se produzcan múltiples actualizaciones de datos que se encuentren relacionados entre sí para prevenir el caso de que se produzca un fallo de proceso y no se pueda completar la transacción.
- Análisis periódico de los sistemas de información, de los accesos a la información y a las aplicaciones, de los registros de eventos o incidencias, de las operaciones, así como de los recursos utilizados.
- Adopción de medidas de protección frente a código dañino en los servidores de aplicación y en los soportes circulantes.
- Establecimiento de procedimientos para evitar la instalación de software no autorizado, el borrado accidental o no autorizado de datos y los accesos no autorizados.
Quinto. Requisitos de disponibilidad de los dispositivos y aplicaciones de registro y notificación.
1. En la página web de cada órgano u organismo notificador, y en su caso en el Portal del ciudadano, se encontrarán a disposición del interesado los programas necesarios que debe instalar en su ordenador personal para el correcto funcionamiento de los sistemas de registro y notificación en especial para la lectura de las notificaciones, para verificar la autenticidad del órgano notificador y para descifrar los escritos a él dirigidos.
Dichos programas habrán de ser compatibles con los medios técnicos de que dispongan las Administraciones Públicas.
2. Los órganos de la Administración General del Estado y los Organismos Públicos vinculados o dependientes de aquella que pongan en marcha dispositivos y aplicaciones de registro o de notificación telemáticos establecerán las medidas organizativas y técnicas para que la disponibilidad del servicio sea de 7 días a la semana y 24 horas al día. En cualquier caso establecerán las siguientes medidas:
- Mantenimiento actualizado del software de base y específico sobre el que está soportado el sistema de registro y notificaciones telemáticas, siguiendo las recomendaciones indicadas en las listas de vulnerabilidades correspondientes.
- Actualización periódica o cuando sea necesario del software de base y corrección, en su caso, de las debilidades observadas en éste.
- Adopción de medidas de seguridad física en el entorno donde se encuentren los equipos que den soporte a las aplicaciones.
- Protección de los sistemas y las aplicaciones contra el código dañino y contra ataques de denegación del servicio y establecimiento en cualquier caso de las medidas oportunas.
- Se deberá preparar y mantener operativo un plan de contingencias.
Sexto. Requisitos de confidencialidad de los dispositivos y aplicaciones de registro y de notificación.
Los órganos de la Administración General del Estado y los Organismos Públicos vinculados o dependientes de aquella que pongan en marcha dispositivos y aplicaciones de registro y notificación deben adoptar medidas de seguridad para la salvaguarda de la confidencialidad. En cualquier caso establecerán las siguientes medidas:
- Medidas de seguridad física.
- Control de los accesos a los dispositivos y aplicaciones de registro y notificación, en especial los que lleguen a través de las redes de comunicaciones.
- Protección de los soportes de información y copias de respaldo.
- Cifrado de las notificaciones, cuando así se establezca por la legislación sobre protección de los datos de carácter personal o lo estime necesario el órgano u organismo notificador.
Séptimo. Protocolos y criterios técnicos de los dispositivos y aplicaciones de registro y notificaciones.
1. La sincronización de la fecha y la hora de los servicios de registro telemático y de notificación telemática se realizará con el Real Instituto y Observatorio de la Armada, de conformidad con lo previsto sobre la hora legal en el Real Decreto 1308/1992, de 23 de octubre, por el que se declara el Laboratorio del Real Instituto y Observatorio de la Armada como laboratorio depositario del patrón Nacional de Tiempo y laboratorio asociado al Centro Español de Metrología, y según las condiciones técnicas y protocolos que el citado Organismo establezca.
2. El registro telemático y el servicio de notificación telemática deberán cumplir los requerimientos en materia de accesibilidad establecidos por la Iniciativa para una Web Accesible (WAI) del Consorcio World Wide Web y en particular las especificaciones de la Recomendación de 5 de mayo de 1999 sobre Pautas de Accesibilidad del Contenido en la Web, versión 1.0, en su nivel AA.
3. El acceso del ciudadano a través de Internet a las notificaciones telemáticas y a los registros telemáticos se realizará mediante un navegador web que cumpla la especificación W3C HTML.4.01 o superior.
4. El protocolo para la comunicación entre el navegador web del interesado y el servidor de la Administración será http 1.0, o superior.
5. Los servicios de registro y de notificación telemática deberán poder utilizar en su canal de comunicaciones con los interesados cifrado simétrico de, al menos, 128 bits.
Octavo. Condiciones que ha de reunir el órgano, organismo, o entidad habilitada para la prestación del servicio de dirección electrónica única.
1. El órgano, organismo o entidad habilitada para la prestación del servicio de dirección electrónica única deberá poner los medios técnicos para desarrollar las siguientes funciones:
- Crear y mantener el directorio de direcciones electrónicas únicas.
- Almacenar y custodiar las notificaciones en la dirección electrónica única.
- Gestionar los acuses de recibo de los interesados y de los órganos u organismos notificadores.
- Mantener el registro de eventos de las notificaciones, el cual contendrá, al menos la dirección electrónica, la traza de la fecha y la hora de la recepción de la notificación en la dirección electrónica única y del acceso del interesado a la notificación y la descripción del contenido de la notificación.
- Establecer las medidas organizativas y técnicas para que la disponibilidad del servicio sea de 7 días a la semana y 24 horas al día.
2. Podrán añadirse otras funciones de mejora del servicio y complementarias de las expresadas, como es el caso de aviso de puesta a disposición de los interesados de las notificaciones.
Noveno. Condiciones de la prestación del servicio de dirección electrónica única.
1. La titularidad de la dirección electrónica a partir de la cual se construyan las direcciones electrónicas únicas de los interesados, corresponde al Ministerio de Administraciones Públicas.
2. El prestador del servicio de dirección electrónica única estará sujeto a las medidas de seguridad, los requisitos de autenticidad, integridad, confidencialidad, disponibilidad y a la utilización de los protocolos y criterios técnicos establecidos en esta Orden Ministerial.
3. El directorio del servicio de dirección electrónica única deberá recoger el nombre y apellidos o la razón o denominación social del interesado, el número del documento nacional de identidad o el código de identificación fiscal o cualquier otro equivalente y la dirección electrónica única.
4. El prestador del servicio de dirección electrónica única designará a un administrador de la seguridad, responsable de la realización y actualización del análisis y gestión de riesgos, del registro de incidencias de seguridad, de la correcta implementación de las salvaguardas de seguridad técnicas, organizativas, y de cuantas otras actuaciones en materia de seguridad sean necesarias para la protección de los sistemas a su cargo.
5. El prestador del servicio de dirección electrónica única deberá remitir al órgano u organismo notificador por cada notificación telemática:
- Certificación electrónica de la fecha y hora en la que recibe la notificación enviada por el órgano u organismo notificador.
- Certificación electrónica de la fecha y hora en la que se produce la recepción de la notificación en la dirección electrónica única asignada al interesado.
- Certificación electrónica en el que conste la fecha y hora en la que se produce el acceso del interesado al contenido de la notificación en la dirección electrónica.
- Certificación electrónica de cualquier incidencia que se produzca en la práctica de lo dispuesto en los apartados anteriores.
6. El prestador del servicio de dirección electrónica única deberá adoptar las medidas organizativas y técnicas, que garanticen la calidad de dicho servicio.
7. En el caso de cese de actividad o cambio del prestador del servicio de dirección electrónica única, las bases de datos, los programas informáticos asociados, el registro de eventos y el dominio de direcciones electrónicas con las notificaciones que existan en ese momento y la documentación técnica, deberán entregarse al Ministerio de Administraciones Públicas, o a la entidad que ésta designe debidamente actualizadas.
8. Los programas necesarios para el correcto funcionamiento del sistema de notificación a los que se refiere el apartado quinto.1, serán suministrados a los órganos y organismos notificadores por el prestador del servicio de dirección electrónica única.
Décimo. Competencia del Ministerio de Administraciones Públicas para el establecimiento de parámetros de calidad y vigilancia de su cumplimiento.
1. Corresponde al Ministerio de Administraciones Públicas, previo informe del Consejo Superior de Informática y para el impulso de la Administración Electrónica establecer los parámetros de calidad de la prestación del servicio de dirección electrónica única y de cumplimiento de los requisitos y condiciones establecidas en la presente Orden Ministerial, así como las penalizaciones y demás medidas correctoras que sean de aplicación.
2. Corresponde al Ministerio de Administraciones Públicas validar y vigilar el cumplimiento de lo establecido en el párrafo anterior.
Undécimo. Competencia del Ministerio de Administraciones Públicas para la actualización de requisitos y criterios técnicos.
La actualización de los requisitos y los criterios técnicos de esta Orden Ministerial, corresponde al Ministerio de Administraciones Públicas, previo informe favorable del Consejo Superior de Informática y para el impulso de la Administración Electrónica.
DISPOSICIÓN TRANSITORIA ÚNICA. Validez de las notificaciones telemáticas previstas en la normativa vigente.
Serán válidas las notificaciones telemáticas de los Departamentos Ministeriales y Organismos Públicos previstas en los procedimientos telemáticos publicados en el Boletín Oficial del Estado al amparo de la Ley 30/1992 y normativa de desarrollo que a la entrada en vigor de la presente Orden se encuentren vigentes.
No obstante, deberán adaptarse a lo previsto en la presente Orden Ministerial en el plazo de un año desde su entrada en vigor.
DISPOSICIÓN FINAL ÚNICA. Entrada en vigor.
La presente Orden Ministerial entrará en vigor el día siguiente a su publicación en el Boletín Oficial del Estado, a excepción de las disposiciones relativas a la prestación del servicio de notificación en la dirección electrónica única que entrarán en vigor a partir del inicio de actividad del prestador del servicio de dirección electrónica única previsto en la disposición final primera del Real Decreto 209/2003.
Madrid, 10 de junio de 2003
Rajoy Brey.
Excmos. Sres. Ministros de Administraciones Públicas, de Ciencia y Tecnología y de Hacienda.
Albalia Interactiva está impulsando una nueva arquitectura para empresas y para organismos públicos que permita gestionar documentos electrónicos de forma nativa, con total integración con los procesos transaccionales de la entidad.
Esto es muy oportuno en un contexto de «compliance» que en España implica el uso de firmas electrónicas, en particular las del DNI electrónico, y en el que las evidencias electrónicas generadas en la gestión documental electrónica sustituirán paulatinamente a las procedentes de la gestión documental en papel.
En este contexto, nos hemos fijado en un producto de IBM especialmente diseñado para ello, que gestiona de forma nativa los documentos electrónicos basados en XML y que se presenta en tres versiones:
Estamos colaborando con IBM para definir el uso de estos equipos en grandes proyectos de factura electrónica y firma electrónica, junto con otros interesantes productos sobre los que me extenderé en otro momento.
En general, son productos destinados a desplegar una arquitectura SOA, con valor probatorio, con medidas de seguridad XML y con integración sobre sistemas que manejan múltiples formatos que finalmente confluyen en uno o más flujos SOAP / XML.
Nuevo software y servicios SOA
IBM ha integrado totalmente las tecnologías de DataPower (dispositivos SOA) y FileNet (software de gestión de contenidos y de gestión de procesos de negocio o BPM) en su oferta de soluciones SOA. Las nuevas herramientas anunciadas son las siguientes:
Los servicios profesionales de Albalia Interactiva ayudan a adoptar de forma correcta estas tecnologías de IBM en proyectos centrados en la firma electrónica en los que también tienen cabida los productos Backtrust desarrollados para extender las funcionalidades de firma electrónica sobre variantes de la norma TS 101 903.
Todo es electrónico 