Se ha hecho pública la Resolución de la AEPD dictada dentro del expediente 202406805, en la que se declara que la Comunidad Autónoma de Castilla-La Mancha infringe el RGPD al no eliminar el DNI de las firmas electrónicas. Entiende que, con esta práctica, se vulnera, entre otros, el artículo 25 del RGPD en relación con el 5.1 (principio de minimización), en el sentido de evitar que los datos personales, como es el caso del DNI, sean accesibles al aparecer en los datos que deben consignarse en el certificado de firma electrónica (Resolución, de 2 de Marzo de 2026, de la Agencia Española de Protección de Datos. P.S.Nº PS/00106/2025).
La Ley 59/2003, de 19 de diciembre, de firma electrónica, fue derogada por la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, que complementa ciertos aspectos del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (ReIDAS).
En el contexto de dicha Ley 59/2003 y, por tanto, en el marco del ReIDAS, pero antes de su modificación por el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, se publicó la Resolución de 27 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica de Interoperabilidad de Política de Firma y Sello Electrónicos y de Certificados de la Administración.
El Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrollaba parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, derogado por el RD 203/2021, de 30 de marzo, establecía en su artículo 22.3 los requisitos de los certificados de empleado público, entre los que se incluía el DNI. Este requisito fue recogido en la Guía de aplicación de la Norma Técnica de Interoperabilidad de Política de Firma y Certificados en su 2.ª edición electrónica, de mayo de 2017 (https://administracionelectronica.gob.es/pae_Home/dam/jcr:a2b9fe25-5f80-4cb5-8442-fccdf01171d5/Guia_NTI_politica_firma_electr_PDF_2ed_2017.pdf).
Dicha Guía de aplicación de la NTI PFE, en su punto 108, págs. 39 y 40, hereda este requisito de consignar el DNI entre los exigibles a los certificados cualificados de firma en el ámbito de la Administración General del Estado (artículo 1 del citado RD 1671/2009).
Sin embargo, al haberse derogado dicho RD 1671/2009, la regulación actual de los certificados de empleados públicos se establece en los artículos 22 y 23 del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos, disponiendo que los certificados electrónicos de empleado público serán cualificados y se ajustarán a lo señalado en el Esquema Nacional de Interoperabilidad y la legislación vigente en materia de identidad y firma electrónica (artículo 22.3). Y, respecto a los certificados de empleado público con número de identificación profesional, el artículo 23 establece unos requisitos específicos que deben ser encajados en el contexto de la Ley 6/2020, que dice que la identidad del titular del certificado cualificado de firma electrónica se consignará mediante:
- — Opción A: el nombre y apellidos del titular y su DNI.
- — Opción B: a través de un seudónimo que conste como tal de manera inequívoca.
Esta opción, que la Ley 6/2020 no sujeta a ninguna restricción, está condicionada por el artículo 43.2 de la LRJSP, que dice que por razones de seguridad pública los sistemas de firma electrónica del personal al servicio de las AAPP podrán referirse sólo al número de identificación profesional del empleado público. El artículo 23 del RD 203/2021 lo concreta un poco más: información clasificada, seguridad pública, defensa nacional u otras actuaciones para cuya realización esté legalmente justificado el anonimato.
- — Opción C: los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo.
Dicho de otro modo, el artículo 43.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, al regular la firma electrónica del personal al servicio de las AAPP, condiciona el uso de una referencia al número de identificación del personal a la concurrencia de razones de seguridad pública, razones que el RD 203/2021 concreta en su artículo 23: información clasificada, seguridad pública, defensa nacional u otras actuaciones para cuya realización esté legalmente justificado el anonimato.
Sin embargo, el artículo 6.1.a) de la Ley 6/2020 no establece ningún tipo de restricción a la posibilidad de identificar al firmante, como titular del certificado cualificado de empleado público, con un seudónimo. Y debe recordarse que la disposición derogatoria de esta Ley 6/2020, además de derogar expresamente la Ley 59/2003 y otras dos normas, contiene la cláusula general derogatoria de cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en ella, con lo que cabría la posibilidad de argumentar que esas restricciones al uso de seudónimos del artículo 40 de la LRJSP podrían entenderse derogadas por la Ley 6/2020, derogación que podría desencadenar la anulación del artículo 23 del RD 203/2021.
Por tanto, habrá que estar pendientes de un eventual recurso de la Junta de Comunidades de Castilla-La Mancha frente a la mencionada resolución de la AEPD y del sentido de la sentencia que, finalmente, resuelva la controversia.
En otro plano del debate, hay que resaltar que cualquier documento administrativo tiene que estar firmado por su autor, como forma de vincular sus efectos jurídicos al órgano o persona competente para emitirlo. Y si no podemos vincular esa firma a un identificador único y unívoco (el DNI), el documento pierde eficacia probatoria. Recuérdese que el certificado con número de identificación profesional, para garantizar la autenticidad del documento firmado, precisa articular un sistema que asocie, de manera opaca por aplicación del principio de minimización de datos personales, ese número de identificación profesional con el DNI de su titular que, por otra parte, es el único medio válido en España para que las personas se identifiquen, de acuerdo con lo previsto en el artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
Otra cosa es que, previa modificación legislativa, se cumpla la previsión del ReIDAS sobre las carteras europeas de identidad digital, que deben incluir una funcionalidad para generar seudónimos elegidos y gestionados por el usuario con fines de autenticación a la hora de acceder a servicios en línea (artículos 5.bis a septies). En cualquier caso, el desfase de la normativa española con este nuevo sistema de identidad digital obliga a introducir modificaciones regulatorias de los sistemas de identificación y firma de los ciudadanos y de los empleados públicos.