Tema 17: Materias Técnico-Científicas. Tecnologías de la Información y la Comunicación

Tema técnico-científico de las TIC: cubre la Ley 11/2022 General de Telecomunicaciones (objeto, principios, seguridad y secreto de las comunicaciones), el RD 1125/2024 sobre gobernanza TIC en la Administración del Estado (que deroga el RD 806/2014), la Ley 6/2020 sobre servicios electrónicos de confianza y firma electrónica, el RD 4/2010 ENI y un bloque sin fuente legal directa sobre criptografía y CCN-CERT.

Peso en examen

Medio-alto — entre 3 y 5 preguntas por convocatoria desde 2022 (en 2024 y 2025 cayeron 3 cada una; en la Canarias-2022 cayeron 5).

Artículos estrella

RD 1125/2024 art. 3 (composición de la CETIC — pregunta estrella del tema, 13+ preguntas en el banco); Ley 11/2022 arts. 4, 58 y 60 (servicios reservados, secreto e interceptación, protección de datos); Ley 6/2020 arts. 2, 4, 5, 9 y 12 (ámbito, vigencia, revocación, obligaciones de prestadores cualificados, prestadores no cualificados); ENI RD 4/2010 arts. 4, 11, 13, 15, 16, 21, 23, 24, 25 y DA 1.ª (principios, estándares, Red SARA, hora oficial, licenciamiento, conservación, digitalización).

Qué pesa más

Composición de la CETIC (presidente, dos vicepresidencias, secretario, periodicidad trimestral); el plazo de cinco años de vigencia de los certificados cualificados; el seguro de 1.500.000 € + 500.000 € adicionales; el plazo de conservación de quince años; los principios específicos del ENI; la Red SARA; el Real Instituto y Observatorio de la Armada como referencia de hora oficial; y la diferencia CCN-CERT (sector público) vs INCIBE-CERT (empresas y ciudadanos) vs ESPDEF-CERT (Defensa).

Atención

El RD 806/2014 fue derogado por el RD 1125/2024 (5 de noviembre de 2024). Las preguntas anteriores a 2025 cuyo enunciado cita el RD 806/2014 deben releerse mentalmente con el articulado nuevo: la sustancia (CETIC, medios transversales, proyectos prioritarios, Comisión Sectorial) se mantiene; los artículos y la denominación cambian.

1. Ley 11/2022, de 28 de junio, General de Telecomunicaciones (Título I + Título III Cap. III)

• Art. 1 Ley 11/2022 — Objeto y ámbito. Regula la instalación y explotación de redes y servicios de comunicaciones electrónicas (art. 149.1.21.ª CE). Quedan excluidos: servicios de comunicación audiovisual, contenidos transmitidos por las redes y servicios de la sociedad de la información (Ley 34/2002).
• Art. 2.1 Ley 11/2022 — Las telecomunicaciones como servicios de interés general. Son servicios de interés general que se prestan en régimen de libre competencia. Solo tienen consideración de servicio público los del art. 4 (seguridad, defensa).
• Art. 3 Ley 11/2022 — Objetivos y principios. Fomentar la competencia efectiva, desarrollar la economía digital, promover el despliegue de redes, garantizar la neutralidad tecnológica, defender los intereses de los usuarios, salvaguardar derechos fundamentales. (Cayó en oposición 2023 — apartado e: «promover el desarrollo de la ingeniería».)
• Art. 4 Ley 11/2022 — Servicios para la seguridad nacional, defensa, seguridad pública, vial y protección civil. Las redes y servicios para actividades esenciales de seguridad y defensa nacionales se reservan al Estado y se rigen por su normativa específica. El Gobierno puede acordar la asunción excepcional y transitoria de la gestión directa de servicios de comunicaciones electrónicas; el acuerdo se comunica en 24 horas al órgano jurisdiccional, que resuelve en 48 horas.
• Art. 56 Ley 11/2022 — Salvaguardia de derechos fundamentales. Las medidas restrictivas del acceso o uso solo pueden imponerse si son adecuada, necesaria y proporcionada en una sociedad democrática y respetan presunción de inocencia, vida privada, libertad de expresión y tutela judicial efectiva.
• Art. 57 Ley 11/2022 — Principio de no discriminación. Los operadores no aplicarán condiciones distintas por nacionalidad, residencia o lugar de establecimiento del usuario final, salvo que el trato diferente se justifique de forma objetiva.
• Art. 58 Ley 11/2022 — Secreto de las comunicaciones. Los operadores garantizan el secreto conforme a los arts. 18.3 y 55.2 CE. Están obligados a realizar las interceptaciones autorizadas judicialmente (cap. V del título VIII libro II LECrim y LO 2/2002 control judicial del CNI). Deben facilitar al agente facultado: identidad del sujeto, identidad de las otras partes, servicios básicos y suplementarios, dirección de la comunicación, indicación de respuesta, causa de finalización, marcas temporales, información de localización y de señalización. Datos sobre la persona: identificación, domicilio, número de titular, número de identificación del terminal, número de cuenta del proveedor, dirección de correo. En caso de cifrado, deben entregar las comunicaciones desprovistas de los efectos de tales procedimientos, siempre que sean reversibles, con calidad no inferior a la del destinatario.
• Art. 59 Ley 11/2022 — Interceptación por los servicios técnicos. Para el control del dominio público radioeléctrico o localización de interferencias, la Administración reduce al mínimo el riesgo de afectar a los contenidos; los soportes con contenidos se custodian hasta finalizar el expediente o se destruyen.
• Art. 60 Ley 11/2022 — Protección de datos de carácter personal. Los operadores adoptan medidas técnicas y de gestión: acceso solo personal autorizado, protección frente a destrucción y pérdida, política de seguridad. En caso de violación de datos personales notifican sin dilaciones indebidas a la AEPD; si afecta a un abonado, también al abonado, salvo medidas tecnológicas que conviertan los datos en incomprensibles.


EJEMPLO PRÁCTICO — Art. 60.3 Ley 11/2022

Filtración de datos personales de un operador

Javier abre el correo del lunes por la mañana y encuentra un mensaje de su compañía de telefonía móvil. Le informan de que, en un incidente de seguridad detectado el viernes anterior, su nombre, DNI y dirección postal podrían haber quedado expuestos a un acceso no autorizado. El operador le explica que ya ha notificado la incidencia sin dilaciones indebidas a la Agencia Española de Protección de Datos y le ofrece dos medidas para reducir el riesgo de suplantación de identidad.

Cuando el examen pregunta por art. 60.3 Ley 11/2022, los distractores frecuentes son Ministerio del Interior, CCN-CERT o INCIBE; la pista de origen es la fórmula «sin dilaciones indebidas» dirigida a la AEPD.

El art. 60.3 Ley 11/2022 obliga al operador a notificar sin dilaciones indebidas la violación de datos personales a la Agencia Española de Protección de Datos, y también al abonado o particular cuando la violación pueda afectar negativamente a su intimidad.

• Art. 61 Ley 11/2022 — Conservación y cesión de datos. Se rige por la Ley 25/2007.
• Art. 62 Ley 11/2022 — Cifrado. Puede imponerse a los operadores la obligación de facilitar a la AGE los algoritmos y aparatos de cifra en casos justificados de protección de la seguridad del Estado, seguridad pública y persecución de delitos. La información obtenida se trata con máxima confidencialidad y se destruye una vez resuelta la amenaza o firme la sentencia.
• Art. 63 Ley 11/2022 — Integridad y seguridad de redes y servicios. Notificación al Ministerio competente de incidentes de seguridad con impacto significativo. Parámetros: número de usuarios afectados, duración, área geográfica, medida en que se ha visto afectado el funcionamiento, alcance económico y social. El Ministerio informa a otras autoridades nacionales, a la ENISA y, si procede, a la CNMC; comunica también a la Secretaría de Estado de Seguridad lo relevante para infraestructuras críticas.

2. RD 1125/2024, de 5 de noviembre — Organización TIC en la Administración del Estado (deroga el RD 806/2014)

• Art. 1 RD 1125/2024 — Objeto. Desarrollo de un modelo común de gobernanza de las TIC en la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes; incluye la Estrategia TIC y la mejora de los servicios públicos.
• Art. 2 RD 1125/2024 — Ámbito. Administración del Estado, entendida como AGE y sus organismos públicos y entidades de Derecho público vinculados o dependientes (Ley 40/2015). No alcanza a CCAA ni a EELL.
• Art. 3 RD 1125/2024 — Comisión de Estrategia TIC (CETIC). Órgano colegiado adscrito al Ministerio para la Transformación Digital y de la Función Pública. Composición (art. 3.2): preside la persona titular del Ministerio; Vicepresidencia primera = titular de la Secretaría de Estado de Función Pública; Vicepresidencia segunda = titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial; vocales: titular de la Dirección de la Agencia Estatal de Administración Digital, un representante por cada ministerio (subsecretaría u órgano competente), titular de la D.G. de Gobernanza Pública, representante de la Abogacía General del Estado, que actuará con voz pero sin voto, y la persona titular de la Secretaría General de la Agencia como Secretario. Funciones (art. 3.3): fijar líneas estratégicas, aprobar la propuesta de Estrategia TIC para elevarla al Consejo de Ministros, informar anteproyectos de ley y reglamentos TIC, definir prioridades de inversión, declarar transversales medios y servicios comunes, declarar proyectos de interés prioritario, informar proyectos sectoriales e impulsar la colaboración con CCAA y EELL. Eleva anualmente al Consejo de Ministros un informe sobre la transformación digital. Se reúne al menos, trimestralmente; la convoca la presidencia, que puede invitar a representantes externos con voz pero sin voto.
• Art. 8 RD 1125/2024 — Estrategia TIC. El Gobierno, a iniciativa de la CETIC y propuesta del Ministerio, aprueba la Estrategia TIC; determina objetivos, principios y acciones para el desarrollo de la administración digital.
• Art. 9 RD 1125/2024 — Medios y servicios digitales comunes declarados transversales. Se declaran transversales por la CETIC a propuesta del Consejo Rector de la Agencia cuando respondan a necesidades de un número significativo de unidades. Su uso es de carácter obligatorio y sustitutivo respecto a los medios particulares. La Agencia elabora el Catálogo de Medios y Servicios Comunes, que incluye todos los transversales.
• Art. 10 RD 1125/2024 — Proyectos de interés prioritario. Singular relevancia, especialmente los de colaboración con CCAA, EELL y UE; la declaración se traslada como recomendación al Consejo de Ministros para tenerla en cuenta en los PGE.

3. Ley 6/2020, de 11 de noviembre, reguladora de los servicios electrónicos de confianza

• Art. 1 Ley 6/2020 — Objeto. Complemento del Reglamento (UE) 910/2014 (eIDAS).
• Art. 2 Ley 6/2020 — Ámbito. Se aplica a prestadores públicos y privados establecidos en España y a prestadores residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España, siempre que ofrezcan servicios no supervisados por la autoridad competente de otro Estado UE.
• Art. 3 Ley 6/2020 — Efectos jurídicos de los documentos electrónicos. Prueba: servicio no cualificado (art. 326.3 LEC); cualificado (art. 326.4 LEC).
• Art. 4 Ley 6/2020 — Vigencia y caducidad. Los certificados se extinguen por caducidad o revocación. El período de vigencia de los certificados cualificados no será superior a cinco años, fijado según la tecnología empleada.


EJEMPLO PRÁCTICO — Art. 4.2 Ley 6/2020

Un certificado digital caducado al firmar la renta

Carlos quiere firmar electrónicamente su declaración de la renta desde casa el último día del plazo. Al insertar el certificado digital en el navegador, la sede de la Agencia Tributaria le devuelve un error: el certificado ha expirado. Repasa los correos antiguos y comprueba que lo obtuvo en la FNMT hace casi seis años y que nunca lo renovó. No le va a quedar más remedio que solicitar uno nuevo y, mientras tanto, intentar firmar la declaración con Cl@ve PIN antes de que termine el plazo.

Cuando el examen pregunta por art. 4.2 Ley 6/2020, los distractores frecuentes son tres años o diez años; la pista de origen es «no será superior a cinco años», fijado según la tecnología empleada.

El art. 4.2 Ley 6/2020 establece que el período de vigencia de los certificados cualificados no será superior a cinco años, fijado en atención a las características y tecnología empleada para generar los datos de creación de firma.

• Art. 5 Ley 6/2020 — Revocación y suspensión. Supuestos (entre otros): a) solicitud del firmante, representado, tercero autorizado o titular; b) puesta en peligro del secreto de los datos de creación; c) resolución judicial o administrativa; d) fallecimiento, capacidad modificada, extinción jurídica o pérdida del nombre de dominio; e) terminación de la representación; f) cese del prestador, salvo transferencia; g) falsedad o inexactitud de los datos; h) mecanismos criptográficos por debajo del estándar; i) cualquier otra causa lícita. Suspensión solo en a), c), h) y casos de duda en b) y g) si las prácticas lo prevén.


EJEMPLO PRÁCTICO — Art. 5.1 Ley 6/2020

Solicitud urgente de revocación tras un robo

A Lucía le sustraen el bolso en una cafetería del centro de Valencia. Dentro estaba el móvil personal, donde tenía instalado su certificado digital de la FNMT y la aplicación de la Seguridad Social. Esa misma tarde, desde un teléfono prestado, llama al prestador de servicios de confianza para solicitar la revocación inmediata del certificado, antes de que quien tenga el móvil pueda usarlo para acceder a sus datos en la sede electrónica o suplantarla.

Cuando el examen pregunta por art. 5.1 Ley 6/2020, el distractor frecuente exige resolución judicial; la pista es que la letra a) admite la solicitud del firmante y la letra b) la puesta en peligro del secreto.

El art. 5.1 Ley 6/2020 obliga al prestador a revocar el certificado cuando lo solicita el firmante (letra a) o cuando se ponen en peligro los datos de creación de firma por utilización indebida de un tercero (letra b).

• Art. 6 Ley 6/2020 — Identidad del titular. Persona física: nombre, apellidos y DNI/NIE/NIF (o pseudónimo inequívoco). Persona jurídica: denominación o razón social y NIF.
• Art. 7 Ley 6/2020 — Comprobación de identidad. Regla general: personación ante los encargados de verificarla; acreditación mediante DNI, pasaporte u otros medios admitidos en Derecho. Excepción: firma legitimada notarialmente, o identificación a distancia por videoconferencia / vídeo-identificación con seguridad equivalente certificada por organismo de evaluación de la conformidad. La personación previa puede no exigirse si existe una identificación previa menor de cinco años.


EJEMPLO PRÁCTICO — Art. 7.2 Ley 6/2020

Obtener un certificado sin acudir a la oficina

Ana se ha mudado a un pueblo de la sierra de Soria y necesita un certificado cualificado para darse de alta como autónoma. La oficina de la FNMT más cercana está a setenta kilómetros. En la web del prestador descubre que puede identificarse mediante vídeo-identificación: una videollamada con un operador autorizado que verifica su DNI en cámara y graba la sesión. Veinte minutos después, Ana recibe el certificado emitido en su correo electrónico.

Cuando el examen pregunta por art. 7.2 Ley 6/2020, lo decisivo es que la vídeo-identificación exige «seguridad equivalente a la presencia física» certificada por un organismo de evaluación de la conformidad.

El art. 7.2 Ley 6/2020 admite la identificación a distancia mediante videoconferencia o vídeo-identificación cuando aporte seguridad equivalente en términos de fiabilidad a la presencia física y dicha equivalencia esté certificada por un organismo de evaluación de la conformidad.

• Art. 8 Ley 6/2020 — Protección de datos personales. Pseudónimos: el prestador conserva la documentación de la identidad real y la revela a órganos judiciales y autoridades públicas legalmente habilitadas.
• Art. 9 Ley 6/2020 — Obligaciones de los prestadores. Generales: publicar información veraz; No almacenar ni copiar, por sí o tercero, los datos de creación de firma, sello o autenticación, salvo gestión en nombre del titular (con sistemas y productos fiables); disponer de servicio de consulta sobre el estado de validez o revocación. Adicionales para prestadores cualificados (art. 9.3): a) conservar información durante 15 años desde la extinción del certificado o la finalización del servicio prestado; b) seguro de responsabilidad civil mínimo 1.500.000 euros (excepto sector público), más 500.000 euros por cada tipo de servicio cualificado adicional; c) comunicar el cese de actividad con antelación mínima de dos meses a clientes y al órgano de supervisión; d) remitir el informe de evaluación de la conformidad al Ministerio en los términos del art. 20.1 del Reglamento (UE) 910/2014.
• Art. 10 Ley 6/2020 — Responsabilidad de los prestadores. Asumen toda la responsabilidad frente a terceros por la actuación de personas u otros prestadores en los que deleguen, incluida la comprobación de identidad previa a la expedición.
• Art. 11 Ley 6/2020 — Limitaciones de responsabilidad. El prestador no responde si el destinatario actúa con información incompleta, negligencia en la conservación de los datos de creación, no solicita la suspensión cuando duda, o utiliza el certificado tras su expiración / suspensión.
• Art. 12 Ley 6/2020 — Inicio de prestación de servicios no cualificados. No necesitan verificación administrativa previa; basta comunicar la actividad al Ministerio en el plazo de tres meses desde el inicio. El Ministerio publica en su web el listado de prestadores no cualificados (lista separada de la cualificada).
• Art. 13 Ley 6/2020 — Obligaciones de seguridad. Cualificados y no cualificados notifican al Ministerio las violaciones de seguridad o pérdidas de integridad (art. 19.2 Reglamento UE 910/2014), sin perjuicio de la notificación a la AEPD. Plazo máximo de un mes para ampliar la información tras la notificación inicial.
• DA 3.ª Ley 6/2020 — DNI electrónico. Acredita electrónicamente la identidad personal (art. 8 LO 4/2015 Seguridad Ciudadana) y permite la firma electrónica. Lo expide el Ministerio del Interior, cuyos órganos competentes asumen las obligaciones de prestador cualificado.

4. RD 4/2010 ENI — Esquema Nacional de Interoperabilidad (de 8 de enero)

• Art. 1 RD 4/2010 — Objeto. Regula el ENI establecido en el art. 42 de la Ley 11/2007 (hoy referido a Ley 40/2015). Comprende criterios y recomendaciones de seguridad, normalización y conservación para garantizar la interoperabilidad organizativa, semántica y técnica.
• Art. 2 RD 4/2010 — Definiciones. Remite al Glosario de Términos incluido en el anexo.
• Art. 3 RD 4/2010 — Ámbito. El del art. 2 de la Ley 11/2007. El ENI y sus normas de desarrollo prevalecerán sobre cualquier otro criterio en materia de política de interoperabilidad.
• Art. 4 RD 4/2010 — Principios específicos. Tres: a) interoperabilidad como cualidad integral; b) carácter multidimensional de la interoperabilidad; c) enfoque de soluciones multilaterales. (Pregunta clásica de descarte: «exclusividad territorial» o «control unilateral» NO son principios.)
• Art. 5 RD 4/2010 — Cualidad integral. La interoperabilidad se tiene en cuenta desde la concepción y a lo largo de todo el ciclo de vida (planificación, diseño, adquisición, construcción, despliegue, explotación, publicación, conservación y acceso o interconexión).
• Art. 6 RD 4/2010 — Carácter multidimensional. Dimensiones organizativa, semántica y técnica, más la dimensión temporal de conservación.
• Art. 7 RD 4/2010 — Enfoque multilateral. Aproximación multilateral para obtener ventajas del escalado, arquitecturas modulares y multiplataforma, compartir, reutilizar y colaborar.
• Arts. 8-9 RD 4/2010 — Interoperabilidad organizativa. Servicios disponibles por medios electrónicos: condiciones publicadas; uso de la Red de comunicaciones de las AAPP españolas; posibilidad de nodos de interoperabilidad. Inventarios de información administrativa: procedimientos (conectados al SIA del MPTFP) y órganos/oficinas (conectados al Directorio Común de Unidades Orgánicas y Oficinas).
• Art. 10 RD 4/2010 — Interoperabilidad semántica. Modelos de datos comunes obligatorios, publicados a través del Centro de Interoperabilidad Semántica de la Administración (CISA).
• Art. 11 RD 4/2010 — Estándares aplicables. Se usarán estándares abiertos y, complementariamente, estándares de uso generalizado por los ciudadanos. El uso en exclusiva de un estándar no abierto sin alternativa abierta se limita a los casos en que no exista estándar abierto que satisfaga la funcionalidad. Criterios de selección: especificaciones técnicas TIC (Reglamento UE 1025/2012), definición de estándar abierto del anexo de la Ley 11/2007, carácter de especificación formalizada, coste que no suponga dificultad de acceso, adecuación a las necesidades, madurez y reutilización.
• Art. 12 RD 4/2010 — Infraestructuras y servicios comunes. Las AAPP enlazarán sus infraestructuras propias con las comunes que proporcione la AGE.
• Art. 13 RD 4/2010 — Red de comunicaciones. Para satisfacer el art. 43 Ley 11/2007, las AAPP utilizan preferentemente la Red de comunicaciones de las AAPP españolas, que es prestada por la Red SARA (NO la Red IRIS, ni la red del CCN).
• Art. 14 RD 4/2010 — Plan de direccionamiento. Las AAPP aplican el Plan de direccionamiento e interconexión de redes desarrollado en la norma técnica correspondiente.
• Art. 15 RD 4/2010 — Hora oficial. Los sistemas se sincronizan con la hora oficial con precisión que garantice la certidumbre de los plazos. La sincronización se realiza con el Real Instituto y Observatorio de la Armada (RD 1308/1992) y, cuando sea posible, con la hora oficial europea.
• Art. 16 RD 4/2010 — Condiciones de licenciamiento aplicables. Las aplicaciones públicas se licencian con: a) fin de aprovechamiento y reutilización de recursos públicos; b) protección completa contra apropiación exclusiva; c) exención de responsabilidad del cedente por mal uso del cesionario; d) no obligación de asistencia técnica o de mantenimiento por parte del cedente; e) ausencia total de responsabilidad por errores; f) licenciamiento por defecto sin contraprestación. Para fuentes abiertas: ejecución para cualquier propósito, conocimiento del código, modificación y redistribución. Aplicación preferente: Licencia Pública de la Unión Europea (EUPL).
• Art. 17 RD 4/2010 — Directorios de aplicaciones reutilizables. La AGE mantiene el Directorio general a través del Centro de Transferencia de Tecnología (art. 158 Ley 40/2015).
• Art. 18 RD 4/2010 — Política de firma electrónica y certificados. La AGE define la política marco; los organismos AGE la aplican; la no aplicación se justifica y se autoriza por la SGAD (Secretaría General de Administración Digital).
• Art. 20 RD 4/2010 — Plataformas de validación. Proporcionan servicios de confianza en un único punto de llamada para integrar certificados y firmas de distintas AAPP, e incorporan las listas de confianza nacionales y europeas.
• Art. 21 RD 4/2010 — Recuperación y conservación de documentos. Medidas: política de gestión de documentos, índice electrónico firmado para garantizar la integridad del expediente, identificación única e inequívoca de cada documento, metadatos mínimos obligatorios, plan de clasificación adaptado a las funciones, período de conservación fijado por las comisiones calificadoras, acceso completo e inmediato, conservación a lo largo del ciclo de vida, formación tecnológica del personal.
• Art. 22 RD 4/2010 — Seguridad. Aplica el ENS (RD 311/2022) para conservación; integridad, autenticidad, confidencialidad, disponibilidad, trazabilidad.
• Art. 23 RD 4/2010 — Formatos. El documento se conserva en el formato en que se elaboró/recibió y, preferentemente, en un estándar abierto que preserve a lo largo del tiempo la integridad del contenido, la firma y los metadatos. Si hay riesgo de obsolescencia: copiado auténtico con cambio de formato.
• Art. 24 RD 4/2010 — Digitalización de documentos en soporte papel. Conforme a la norma técnica: formatos estándares de uso común, técnica de compresión, nivel de resolución, garantía de imagen fiel e íntegra, metadatos mínimos obligatorios y complementarios.


EJEMPLO PRÁCTICO — Art. 24.1 RD 4/2010

Digitalizar un documento en papel en el registro

Mateo se acerca a la oficina de registro de su ayuntamiento para presentar un certificado de nacimiento en papel exigido para una beca. La funcionaria recoge el documento, lo coloca en el escáner del mostrador, ajusta el nivel de resolución y comprueba en pantalla que la imagen resultante es fiel e íntegra. Después le entrega el resguardo y el documento original; el archivo digitalizado, con sus metadatos asociados, ya viaja por la red administrativa hacia el organismo destinatario.

Cuando el examen pregunta por art. 24.1 RD 4/2010, los distractores frecuentes omiten alguno de los cuatro elementos; los cuatro son formato y compresión, nivel de resolución, imagen fiel e íntegra y metadatos mínimos obligatorios y complementarios.

El art. 24.1 RD 4/2010 exige que la digitalización de documentos en papel respete formatos estándares y técnica de compresión, nivel de resolución, garantía de imagen fiel e íntegra y metadatos mínimos obligatorios y complementarios asociados al proceso.

• Art. 25 RD 4/2010 — Sedes y registros electrónicos. Su interoperabilidad y la del acceso electrónico de los ciudadanos se rige por el ENI.


EJEMPLO PRÁCTICO — Art. 25 RD 4/2010

Tramitar el empadronamiento desde la sede del ayuntamiento

María acaba de mudarse a Sevilla con su pareja y necesita empadronarse para inscribir a su hija en el colegio público. En vez de pedir cita presencial en el padrón, abre el navegador, accede a la sede electrónica del ayuntamiento, se identifica con su certificado digital y completa el trámite desde el sofá. Esa misma tarde recibe el justificante de empadronamiento en formato electrónico, con código seguro de verificación, en su carpeta ciudadana.

Cuando el examen pregunta por art. 25 RD 4/2010, la sede y el registro electrónicos se rigen por el ENI; el distractor frecuente coloca en su lugar el ENS o una norma autonómica.

El art. 25 RD 4/2010 establece que la interoperabilidad de las sedes y registros electrónicos, así como del acceso electrónico de los ciudadanos a los servicios públicos, se regirán por lo establecido en el Esquema Nacional de Interoperabilidad.

• Arts. 26-28 RD 4/2010 — Normas de conformidad. Inclusión en el ciclo de vida de servicios y sistemas; mecanismos de control en cada órgano; publicidad de las declaraciones de conformidad en las sedes electrónicas.
• Art. 29 RD 4/2010 — Actualización permanente. El ENI se desarrolla y perfecciona en paralelo al progreso de los servicios de Administración Electrónica.
• DA 1.ª RD 4/2010 — Desarrollo del ENI. Normas técnicas de interoperabilidad obligatorias (Catálogo de estándares, Documento electrónico, Digitalización, Expediente electrónico, Política de firma, Protocolos de intermediación, Modelos de datos, Política de gestión de documentos, Requisitos de conexión, Procedimientos de copiado auténtico, Modelo de Datos para intercambio de asientos, Reutilización de recursos…). En materia de ciberseguridad y criptografía, el órgano competente es el Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia.

5. Ciberseguridad, criptografía y CCN-CERT (sin fuente legal directa)

• Centro Criptológico Nacional (CCN). Creado por el RD 421/2004, adscrito al CNI. Funciones: elaborar Guías CCN-STIC, formar al personal AAPP, certificar productos de seguridad TIC, desarrollar herramientas propias (LUCIA — gestión de incidentes; PILAR — análisis de riesgos; CLARA — auditoría de configuraciones de seguridad), gestionar el CCN-CERT.
• CCN-CERT. Capacidad de respuesta a incidentes de ciberseguridad del sector público (AGE, CCAA, EELL, organismos públicos). Coordina la respuesta ante ciberamenazas a través del Sistema de Alerta Temprana (SAT).
• INCIBE-CERT. Capacidad del Instituto Nacional de Ciberseguridad. Atiende a empresas privadas y ciudadanos. Servicios: Línea 017, asesoramiento, alerta temprana.
• ESPDEF-CERT. Capacidad de respuesta del Ministerio de Defensa, atiende a las Fuerzas Armadas y al ámbito de Defensa.
• RD 311/2022 — Esquema Nacional de Seguridad (ENS). Aplica a todo el sector público; categoriza los sistemas en BÁSICA, MEDIA y ALTA. Cinco dimensiones de seguridad: confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad. Diferencia clave con RD 1125/2024: el ENS aplica a todo el sector público; el RD 1125/2024 solo a la Administración del Estado.
• Criptografía simétrica. Una sola clave secreta compartida entre emisor y receptor (AES, DES, 3DES). Rápida, ideal para grandes volúmenes; problema: distribución segura de la clave.
• Criptografía asimétrica. Par de claves: pública (cifrar o verificar) y privada (descifrar o firmar). Algoritmos: RSA, ECC, ElGamal. Soporta firma electrónica: el firmante firma con su clave privada; el receptor verifica con la clave pública.
• Funciones hash criptográficas (SHA-256, SHA-3). Generan una huella de longitud fija a partir de cualquier entrada. Propiedades: unidireccionalidad (no se puede invertir), resistencia a colisiones, determinismo.
• Tipos de malware. Virus, gusanos (worms), troyanos, ransomware, spyware, adware, rootkits, keyloggers, botnets. Pirámide del daño CCN-CERT: niveles según impacto y origen (acciones patrocinadas por Estados en el vértice superior).
• Red TOR. Red de anonimato; origen: investigación de la Marina de los Estados Unidos (US Naval Research Laboratory) para proteger comunicaciones gubernamentales.

Tabla 1 — CERTs nacionales: a quién atiende cada uno.

Tabla 2 — Servicios electrónicos de confianza: cualificados vs no cualificados (Ley 6/2020).

Tabla 3 — RD 4/2010 ENI vs RD 311/2022 ENS.

Tabla 4 — Criptografía: simétrica vs asimétrica vs hash.

Tabla 5 — Composición de la CETIC (RD 1125/2024 art. 3.2).