L’e-NOTUM és un servei que el Consorci AOC ofereix al conjunt d’administracions catalanes i ens del sector públic per a la pràctica de notificacions i comunicacions per mitjans electrònics d’actes administratius i altres tipus de comunicacions administratives, que els permet complir amb les garanties jurídiques i tècniques que estableix la normativa vigent.
Per aquest motiu, atès que l’administració pública actuant és qui determina certs aspectes sobre el procediment administratiu a partir de les opcions legalment previstes, des del servei e-NOTUM poden configurar-se les notificacions electròniques per a que s’ajustin als criteris fixats per cadascun dels ens usuaris.
Així, l’ens que ha de notificar pot definir el tipus de credencial que haurà d’emprar-se a l’hora d’accedir al sistema i identificar a la persona que accedeix al contingut de la notificació (per a més informació sobre les diferents opcions que e-NOTUM posa a disposició dels ens usuaris, consulteu la FAQ Quins nivell d’accés es permet configurar en una notificació?).
En aquest sentit, amb la finalitat de facilitar al màxim aquest procés d’identificació i accés al contingut de la notificació, una de les opcions que s’ofereix des d’e-NOTUM consisteix en emprar les dades de contacte de què disposa l’ens per tal d’autenticar la identitat de la persona que accedeix al contingut de la notificació electrònica.
Aquesta opció s’ajusta al previst a l’apartat c) del punt 2 de l’article 9 de la Llei 39/2015, d’1 d’octubre, del Procediment Administratiu Comú de les Administracions Públiques, i es basa en la confiança que l’ens té en les dades de contacte de què disposa i en com han estat obtingudes i registrades.
Respecte el registre necessari per a utilitzar aquesta opció d’identificació en els termes de l’article citat, s’indica que l’ens que notifica és qui el realitza, siguin quines siguin les característiques del procediment.
Quan un ens selecciona aquest sistema d’identificació per a l’accés a una notificació, pot constituir una bona pràctica preguntar a les persones interessades com volen ser notificades, o informar que s’entendran implícitament acceptades les característiques del mecanisme seleccionat per l’administració si accedeixen a la notificació. Tot i que això pot considerar-se innecessari, ja que si l’usuari accedeix igualment a la notificació i aquesta es dona per practicada, també s’entendrà que ha acceptat el mecanisme (sense perjudici del que disposa l’article 41 de la Llei 39/2015, d’1 d’octubre).
D’altra banda, aquest i la resta de sistemes d’identificació del servei e-NOTUM s’ajusten al previst a l’Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica, regulat pel Reial Decret 3/2010, de 8 de gener (ENS).
En concret, la identificació de la persona que accedeix a la notificació a partir de les dades de contacte de què disposa l’ens i una paraula de pas, és un sistema d’identificació que ofereix un nivell de seguretat baix d’acord amb l’ENS. En aquest sentit, els requisits establerts en el punt 4.2.5 de l’Annex II de l’ENS per a un sistema d’identificació de nivell baix són els següents:
- S’admetrà, amb caràcter general, qualsevol mecanisme basat en un sol factor d’autenticació.
- Si el factor es basa “en alguna cosa que coneix” l’usuari, com una contrasenya, s’aplicaran regles bàsiques de qualitat de la mateixa.
- La seguretat de la credencial es basarà en:
- La credencial s’activarà un cop estigui sota el control de l’usuari.
- La credencial estarà sota control exclusiu de l’usuari.
- L’usuari reconeixerà que ha rebut, coneix i accepta les obligacions que implica la seva tinença, en particular, el deure de custòdia diligent, protecció de la confidencialitat i informació immediata en cas de pèrdua.
- Les credencials es canviaran amb una periodicitat marcada per la política de l’organització, atenent a la categoria del sistema al que accedeix.
- Les credencials es retiraran i seran desactivades quan l’entitat o persona que autentiquen termini la relació amb el sistema.
L’opció d’identificació basada en dades de contacte d’e-NOTUM, que funciona mitjançant l’enviament de paraules de pas ja sigui al telèfon mòbil de l’usuari o al seu correu electrònic, compleix amb els requisits anteriors, en ser un sistema particular que només podrà ser emprat per un procediment d’identificació concret, i per aquella notificació concreta.
És per tant aquest un mecanisme que, alineat amb els requisits normatius tant de procediment com de seguretat, pot ser emprat per identificar a les persones notificades, tenint sempre en compte el nivell de seguretat que ofereix.