La ‘Buena’, la FEA y la Banda

El pasado jueves 30 de mayo tuve el privilegio de participar como ponente con otros colegas de diversas Administraciones en la VIª Jornada de Reflexiones sobre la eAdministración, organizada como cada año por el grupo de estudios de NN.TT. del ICASV. Allí, y tras las excelentes ponencias de quienes me precedieron, que balanceaban conceptos y reflexiones tanto del ámbito del derecho como del ámbito más tecnológico me apoyé en estas traspas para repasar la evolución que han tenidos los mecanismos de acceso, identificación y autenticación de los usuarios en algunos de los servicios electrónicos que se han puesto a disposición de la ciudadanía desde el Departamento de Salud del Gobierno Vasco y Osakidetza.


Así, y con la ayuda del “reparto” de la famosa película de Sergio Leone fuimos haciendo las presentaciones:

  • La ‘Buena’ no deja de ser la “versión española” de la ONA, aunque de forma mucho más genérica quería hacer alusión a la Tarjeta Individual Sanitaria, la TIS y sus distintas versiones a lo largo de estos últimos años
  • Con la FEA me refería al acrónimo de Firma Electrónica Avanzada
  • Y finalmente, la ‘Banda’ no era otra que la banda magnética que llevan todas las TIS en el reverso

La finalidad de la charla consistía en hacer un breve repaso de lo que ha supuesto el proyecto de creación y despliegue en la CAE de una TIS y cómo, versionada, ha querido ser soporte para acceder a diversos servicios electrónicos por parte del Departamento de Sanidad o de Osakidetza.

Desde 1988 tenemos en Euskadi Tarjeta Individual Sanitaria, a cada año, a cada legislatura, como base para la implantación de políticas tanto sanitarias como económicas que daban soporte a las primeras. Así, de los objetivos iniciales meramente censales, se fue utilizando para gestionar Cupos, para la gestión de Contratos Programa, para la correcta identificación y provisión de la asistencia sanitaria y para desplegar programas para la comunidad como las campañas de vacunación o el programa de atención dental infantil. Es decir, en sus inicios la fundamentación “del carnet” era la de conocer “quiénes eran del club” y usarla de forma segmentada para poner en marcha algunos programas, pero eminentemente la de gestión y control de un servicio (competencia) recién transferido y que requería las herramientas mínimas para proveerlo.

Con los años, y la evolución tecnológica de la mano, habiendo pasado por alguna iniciativa piloto, surge como línea del plan Euskadi en la Sociedad de la Información dentro de la inciativa Euskadi 2000Tres, una primera TIS con chip para proveer un mecanismo único de acceso a servicios telemáticos entre profesionales sanitarios y para con la ciudadanía.

De forma evolutiva, y con notables mejoras técnicas además de procurar la adhesión de terceros al proyecto (administraciones locales, diputaciones, otros entes autónomos), surge la ONA en 2007. Esta tarjeta, que fusiona la tarjeta ciudadana de Izenpe y la TIS, proveía Firma Electrónica Reconocida además de mecanismos de identificación fuerte multicanal: juego de barcos para el canal telefónico, código de barras para identificación láser, banda magnética, antena de proximidad para la apertura de tornos, amén de todos los datos existentes en la TIS (con y sin chips) que garantizaban el acceso a la prestación sanitaria y a cualquier otro servicio anterior existente. La finalidad de desplegar la ONA obedecía a que nuestra legislación autonómica, el “Decreto de Medios” (junto con la Ley de Firma Electrónica), hacía obligatoria la utilización de una Firma Electrónica Reconocida para acceder e interactuar con los servicios telemáticos de la Administración.

El despliegue de la ONA no llegó a producirse al 100% de la ciudadanía y, sin ánimo de entrar en ninguna connotación política, además del importante coste que puede suponer desplegar toda una infraestructura de PKI para la población, se avecinaban dos amenazas a este proyecto: de una parte, la LAESCP, que rebajaba el umbral de seguridad en la identificación del usuario para acceder los servicios a Firma Electrónica Avanzada en lugar de Firma Electrónica Reconocida. De otra, “las barreras de acceso” o “alfabetización digital” que podía suponer en algunos colectivos el uso de certificados electrónicos en una tarjeta. El despliegue del DNI electrónico, seguía siendo paulatino aunque limitado, y no deja de proveer un mecanismo de FER también.

Así, y ya en 2012 el nuevo Decreto de Administración Electrónica rebaja, al igual que en el resto del Estado, el estándar mínimo de seguridad para consumir servicios electrónicos de la Administración a FEA. Esto no quiere decir en ningún caso que no se pueda acceder a los servicios de la administración con una ONA o con un DNIe, sino que estos servicios tendrán que adaptarse a mecanismos alternativos basados en Firma Electrónica Avanzada de forma complementaria.

Así es como nace @FeA, el sistema que la Administración Pública a través de Izenpe pone a disposición para proveer FEA sin necesidad de usar certificados electrónicos y que también explicamos. Este sistema también admite certificados electrónicos, incluso Firma Electrónica Reconocida.

La arquitectura del sistema es sencilla y se asemeja a la que muchos ya usamos en entidades financieras, etc. Un modelo de autenticación multifactor: algo que sé + algo que tengo. Algo que tengo es la TIS (con un número y un juego de barcos usado tradicionalmente para la identificación fuerte en el canal telefónico). Algo que sé, será un PIN que nos facilitarán para activar la TIS y que será nuestra “clave”.

Los sistemas de identificación, que aún aceptan sólo ONA, DNIe, TIES, etc. (como el de la Carpeta Personal de Salud, por ejemplo) están remodelándose para adaptar también este nuevo sistema más sencillo, cómodo y económico. Aquel quien decida seguir usando su tarjeta, su certificado electrónico para acceder a los servicios podrá seguir haciéndolo.

Al finalizar la charla también vimos cómo funciona la identificación de los actores en el proyecto de e-Ŕezeta. El profesional sanitario prescribe medicación en su consulta usando Firma Electrónica Reconocida mediante su TPE (su tarjeta de profesional sanitario, o certificado en la nube), al igual que en la vida real rubrica una receta de papel. Por otra parte, el paciente acudirá a una oficina de farmacia donde se le expenderá aquello prescrito por el médico haciendo entrega de la TIS. En la farmacia se leerá la banda magnética de la tarjeta para realizar la identificación y acceso al sistema de información donde se almacenan la prescripciones del titular de esa TIS así como el descuento a aplicar, en función del segmento de copago que le corresponda.

A la vista de estos elementos (actores) y las distintas experiencias siempre quedan muchas reflexiones por hacerse en varios frentes. Yo dejaré un par de ellas, las mías, por si a alguien le da por seguir buscando preguntas, amén de respuestas.

  • Tenemos 17 TIS autonómicas y el único consenso al que se ha llegado, de mínimos, es la información que porta el anverso de la TIS, así como la información codificada en la banda magnética. Aún hoy, carecemos en el Estado y en Europa entera de un sistema o nodo de interoperabilidad real para el intercambio de datos sanitarios entre Sistemas y Servicios de Salud, al igual que entre Administraciones (locales, forales y autonómicas, trans-fronterizas, etc.)
  • Tenemos una importante suerte de servicios electrónicos desplegados en la CAE, unos de ellos están en sede, otros no, pero todos y cada uno de ellos dispone de sus mecanismos de identificación y autenticación de los usuarios / ciudadanos / pacientes. Quizás deberíamos avanzar también en el desarrollo de un sistema centralizado, global, de identificación y autenticación y de Single-Sign-On que permitiera, una vez identificado al ciudadano, dejarle pasar a todos los servicios que quiera consumir sin hacerle pasar por el proceso de autenticación cada vez. Por ejemplo: pedir una cita en Osakidetza, pedir un volante de empadronamiento en el ayuntamiento, consultar la declaración del IRPF en la Diputación de Bizkaia, consultar el estado de una ayuda económica solicitada a un Departamento del Gobierno Vasco en sede electrónica, consultar las notas de un curso de doctorado en la UPV/EHU o pagar una multa de tráfico. De verdad parece quimérico… pero tecnológicamente no lo es. Ya existen incontables servicios que “se federan” para proveer identificación “única” en internet. ¿A cuántos servicios distintos de Facebook se puede acceder con credenciales de Facebook, por poner un ejemplo grosero?

Lo cierto es que tanto el ICASV como Jesús Soler, Sonia Prieto y Gontzal Gallo como anfitriones y conductores de la jornada se rodearon de otros colegas de profesión que fueron desgranando cada cual en su charla distintas aplicaciones prácticas y experiencias relacionadas con sus quehaceres diarios, así como dejarnos abiertas puertas para, en lo sucesivo, seguir profundizando y debatiendo sobre estos temas tan apasionantes que plantea la legislación vigente enumerada en este post.

Es una suerte que existan y se promuevan este tipo de foros de encuentro que facilitan la cooperación entre letrados y tecnólogos, profesiones tan diferentes pero al tiempo cada vez más imbricadas para concluir con éxito proyectos enmarcados en la seguridad, privacidad, protección de datos y confianza. Ese es el porqué más importante que tiene Pribatua en su génesis y la razón por la que co-organizamos, por ejemplo, la IIª EuskalSecuriTIConference junto con el Colegio Oficial de Ingenieros en Informática de Euskadi y el Gobierno Vasco.

 

Deja un comentario

Uso de cookies

Esta web utiliza cookies para optimizar tu navegación, adaptarse a tus preferencias y realizar estadísticas de nuestros visitantes. Si continúas navegando estás dando tu consentimiento para la aceptación de las mencionadas cookies y de nuestra política de cookies, pincha para más información y ver cómo desactivarlas.

ACEPTAR
Aviso de cookies