La Llei 25/2015 regula l’us de la signatura centralitzada de caràcter personal

La Llei 25/2015, del 28 de juliol, de mecanismes de segona oportunitat, reducció de la càrrega financera i d’altres mesures d’ordre social incorpora, a la seva Disposició final quarta, una modificació de la Llei 59/2003, de 19 de desembre, de signatura electrònica orientada a la regularització de la signatura centralitzada de caràcter personal. Aquest sistema de signatura electrònica permet hostatjar certificats personals en un servidor centralitzat i dona mecanismes als seus usuaris per activar el seu ús remotament.

Tot i que des de ja fa uns quants anys algunes entitats estaven emprant dispositius i eines de signatura centralitzada per gestionar els certificats personals emprats en una organització, aquesta pràctica no estava regulada. De fet anava en contra del que especificava la llei de signatura electrònica, que demanava el control exclusiu de la clau per part del signatari per tal de poder considerar les signatures com a avançades. La modificació publicada permet considerar les signatura centralitzada com a avançada, i regula el seu ús.

En concret, els articles de la Llei 59/2003 modificats són els següents:

  • Article 3.2: Modificació de la definició de signatura avançada. Abans el signatari havia de tenir el control exclusiu de la clau. Per tal de permetre les claus no les tingui el signatari s’ha afegit “amb un alt nivell de confiança” a la definició.
  • Article 6.2: Modificació de la definició de signatari. Abans deia que el signatari havia de posseir un dispositiu segur de creació de signatura. Ara la Llei diu que el signatari “utilitza” aquest dispositiu.
  • Article 7.2: Modificació sobre les condicions de custòdia de les claus del certificat. Han afegit “o, en el seu cas, dels mitjans d’accés a ells” per no obligar a que el signatari tingui el certificat a casa seva.
  • Article 12.c: Abans calia assegurar que el signatari tenia la clau privada del certificat, ara cal assegurar que te el control exclusiu del seu ús.
  • Article 18.a: Modificació de la obligació per part del Prestador de Serveis de Certificació de no guardar cap còpia de la clau privada del certificat per tal de permetre als prestadors de serveis de certificació fer còpies en nom del signatari per a la seva gestió.  Segons el que diu aquest article, només els prestadors de serveis de certificació que emetin certificats reconeguts podran gestionar les claus privades dels certificats en nom del signatari, i per tant oferir aquest servei.
  • Article 18.b-1: Parla de la informació ha de donar el prestador al signatari, i han afegit “o, en el seu cas, dels mitjans que el protegeixen” per permetre la signatura centralitzada.
  • Article 20.1-e: S’han afegit obligacions del PSC si gestiona les dades de creació de signatura, que les haurà de custodiar i protegir.
  • Article 23: Modificació de les limitacions de la responsabilitat del PSC. On abans es feia referència a les dades de creació de signatura, s’ha afegit “o de les dades que donin accés a elles”.
  • Article 29: El sistema podrà ser auditat, si s’escau. Si és així, les auditories aniran a càrrec del Prestador.

El Consorci AOC ofereix al conjunt de Administracions Públiques Catalanes un servei de signatura centralitzada. Tot i que de moment el servei s’ofereix per certificats de segell electrònic, les proves realitzades per signatura personal emprant certificats de signatura avançada TCAT-P estan sent satisfactòries. Esperem oferir aquesta possibilitat com a servei a principis del 2016.