Orden ICT/140/2019, de 14 de febrero, por la que se regulan las condiciones para el ejercicio del voto electrónico en el proceso electoral para la renovación de los plenos de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación.

El artículo 18 de la Ley 4/2014, de 1 de abril, Básica de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación, establece que el Ministerio de Economía y Competitividad determinará la apertura del proceso electoral, previo acuerdo con las Comunidades Autónomas que tengan atribuida la competencia en esta materia, correspondiendo a la respectiva administración tutelante la convocatoria de elecciones cada cuatro años.

Por su parte, el artículo 29 del Real Decreto 669/2015, de 17 de julio, por el que se desarrolla la Ley 4/2014, de 1 de abril, Básica de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación, relativo al voto electrónico, recoge la posibilidad de que los electores en dicho proceso electoral puedan emitir su voto por medios electrónicos, siempre que cada uno de los procedimientos permita la constancia de los extremos que se deban acreditar para las otras modalidades de votación.

En el apartado 3 del mencionado artículo 29 del Real Decreto 669/2015, de 17 de julio se establece que mediante orden del Ministro de Economía y Competitividad se concretarán las condiciones para el ejercicio del voto electrónico sin que puedan regularse cuestiones relativas al procedimiento electoral.

Esta competencia corresponde en la actualidad a la Ministra de Industria, Comercio y Turismo, en virtud del artículo 10.2 del Real Decreto 355/2018, de 6 de junio, por el que se reestructuran los departamentos ministeriales, que establece que la Secretaría de Estado de Comercio queda adscrita al Ministerio de Industria, Comercio y Turismo.

Por todo ello, es necesario dar cumplimiento a lo establecido en el artículo 29.3 del Real Decreto 669/2015, de 17 de julio, por el que se desarrolla la Ley 4/2014, de 1 de abril, Básica de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación.

La presente orden tiene por objeto, por tanto, concretar las condiciones de un sistema de voto electrónico seguro y garantista para los procesos electorales de renovación de los órganos de gobierno de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación, garantizando la legitimidad del mismo. Con este fin, se recogen las garantías que debe reunir el voto electrónico, cuyo sistema habrá de basarse en el uso de certificados electrónicos cualificados emitidos por un prestador incluido en la denominada «Lista de confianza de prestadores de servicios de certificación», establecida de manera oficial en aplicación de lo dispuesto en el Reglamento (UE) N.º 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Asimismo, se regulan los requisitos generales de carácter técnico que han de reunir el sistema de voto, el registro de la votación, la acreditación de la identidad de los electores, la plataforma que se utilice para llevar a cabo el voto electrónico, las comunicaciones de todos los dispositivos utilizados en la votación y los relativos a la seguridad del voto. Además, se recoge como garantía la necesidad de que el sistema de voto electrónico cuente con un sistema de auditoría y verificación independiente.

Por todo lo anterior, la presente orden se aprueba de acuerdo con los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica y transparencia recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Desde el punto de vista de la necesidad y la eficacia, el proyecto normativo regula las condiciones para el ejercicio del voto electrónico en el proceso electoral para la renovación de los plenos de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación; condiciones que son de aplicación obligatoria para el caso de que se decida utilizar este medio de voto electrónico en los citados procesos. En cuanto a la proporcionalidad, el proyecto normativo no restringe ningún derecho ni impone obligaciones a los destinatarios. De acuerdo con el principio de seguridad jurídica, la norma se adecua al resto del ordenamiento jurídico. Finalmente, el principio de transparencia queda garantizado al facilitar el acceso sencillo, universal y actualizado a la norma, así como a través del proceso de información y audiencia pública al que se ha sometido el proyecto de orden.

Esta orden tiene fundamento jurídico en el artículo 149.1.21.º de la Constitución que atribuye al Estado competencia exclusiva en materia de telecomunicaciones, de acuerdo con lo establecido en el apartado dos de la disposición final primera del Real Decreto 669/2015, de 17 de julio, en la medida en que la orden se dicta en desarrollo del artículo 29.3 de ese real decreto.

En su virtud, dispongo:

Artículo 1. Voto por medios electrónicos.

1. En los procesos electorales para la renovación de los órganos de gobierno de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación, podrá habilitarse el uso del voto electrónico.

2. Cuando se decida voluntariamente implantar el sistema de voto electrónico, el mismo deberá hacerse en las condiciones y con los requisitos recogidos en esta orden ministerial, conforme establece el artículo 29 del Real Decreto 669/2015, de 17 de julio, por el que se desarrolla la Ley 4/2014, de 1 de abril, Básica de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación.

Artículo 2. Garantías del voto electrónico.

El sistema de votación por medios electrónicos a implantar estará basado en el uso de certificados electrónicos cualificados emitidos por un prestador incluido en la «Lista de confianza de prestadores de servicios de certificación».

Artículo 3. Requisitos generales del sistema de voto electrónico.

Las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación implantarán en sus sistemas informáticos las aplicaciones que resulten precisas para el ejercicio del voto electrónico. El sistema de votación deberá cumplir los siguientes requisitos:

a) El sistema debe garantizar la independencia y separación efectiva entre el servicio de autenticación e identificación de los electores y el servicio de votación.

b) El acceso de cualquier usuario al sistema deberá acreditarse mediante certificado electrónico.

c) El sistema registrará en un fichero de registro (log) todas las acciones de todos los usuarios.

d) El sistema debe asegurar el derecho a ejercer el voto del elector mediante comprobación a través de un certificado electrónico cualificado emitido por un prestador incluido en la «Lista de confianza de prestadores de servicios de certificación».

e) El voto ejercido por el elector será comunicado de manera cifrada y segura desde el dispositivo de voto hasta el sistema local, y de ahí al sistema central.

f) El sistema ha de prevenir que se puedan añadir votos falsos.

Artículo 4. Requisitos de registro de la votación.

1. El sistema de voto electrónico presencial deberá cumplir los siguientes requisitos de registro de la votación:

a) Debe permitir al elector verificar el sentido de su voto antes de ejercerlo mediante la emisión de un registro en papel con carácter previo a la emisión del voto, de manera que también pueda ser utilizado como comprobante de voto para el elector.

b) Debe emitir al elector un recibo de la votación finalmente efectuada con un código de control único.

c) Debe implementar un registro auditable mediante la emisión de un comprobante en papel del voto emitido que pueda servir como medio de recuento del voto de forma alternativa al electrónico.

2. El sistema de voto electrónico no presencial deberá cumplir los siguientes requisitos de registro de la votación:

a) Debe permitir al elector verificar el sentido de su voto antes de ejercerlo mediante solicitud de confirmación de la acción.

b) Debe permitir al elector imprimir un recibo de la votación finalmente efectuada con un código de control único.

Artículo 5. Requisitos de acreditación de la identidad del elector.

1. La identificación del elector se realizará mediante la utilización del certificado electrónico cualificado emitido por un prestador incluido en la «Lista de confianza de prestadores de servicios de certificación».

2. El acto de voto electrónico en el sistema de votación on-line, una vez identificado el elector, se realizará mediante mecanismos que garanticen la identidad del suscriptor y del poseedor de la clave privada de identificación y firma o un mecanismo de doble factor de autenticación.

3. En el sistema de votación presencial, será necesario garantizar la autenticidad desde el dispositivo desde el que se realiza la votación mediante el uso de certificados de cliente.

Artículo 6. Requisitos de la plataforma.

La plataforma que se utilice para llevar a cabo el sistema de voto electrónico deberá cumplir los siguientes requisitos:

a) El sistema proporcionará una plataforma de procesamiento, almacenamiento y comunicaciones con una dimensión proporcional al censo de electores considerado.

b) El servidor que proporciona la interfaz web para el voto electrónico on-line deberá tener instalado un certificado cualificado de servidor seguro emitido por un prestador incluido en la «Lista de confianza de prestadores de servicios de certificación».

c) El sistema segregará mediante redes de área local virtuales (VLAN) las comunicaciones del servicio de registro e identificación de votantes y las del servicio de recuento de voto electrónico.

d) El sistema deberá configurarse de acuerdo a lo establecido por las guías CCN-STIC para la configuración segura de dispositivos y equipos de electrónica de red.

e) El sistema contará con mecanismos de control de acceso, de seguridad en la explotación, de monitorización de la seguridad, de protección de las comunicaciones y de protección de la información.

f) Los datos alojados en el sistema de votación deberán almacenarse cifrados.

Artículo 7. Requisitos de las comunicaciones.

Las comunicaciones de todos los dispositivos implicados en la votación deberán realizarse cifradas, a través de https y haciendo uso de versiones seguras del protocolo TLS.

Artículo 8. Requisitos de seguridad del voto.

En relación con la seguridad del voto, el sistema debe cumplir las siguientes características:

a) Confidencialidad. El voto emitido y enviado no podrá ser visualizado por terceros.

b) Verificabilidad. Propiedad que asegura que es posible comprobar que todos los votos emitidos fueron contabilizados.

c) Precisión. Propiedad que asegura que no se puede duplicar ni eliminar un voto en ningún caso.

d) Autenticación. El elector es identificado inequívocamente por el sistema. El sistema debe hacer uso de los certificados electrónicos a los que se hace referencia en el artículo 2.

e) Integridad. El voto recibido, almacenado y contabilizado es el mismo que el que fue emitido por el elector.

f) No repudio. El elector no puede negar su participación en el proceso, ni la emisión de su voto.

g) Unicidad del voto. Cada elector debe poder votar una única vez.

h) Acreditación para votar. El sistema sólo aceptará votos emitidos por personas acreditadas para votar.

i) Imparcialidad. El sistema, incluyendo además de los tecnológicos, aspectos de organización y procedimientos, debe operar apropiadamente, de forma que el resultado electoral no debe estar influenciado más que por el contenido de los votos emitidos.

j) Recuento. Sucesivos recuentos deben poder ser ejecutados una vez finalizado el periodo de voto. Sólo los miembros de la Mesa Electoral Única designada podrán habilitar el recuento de votos.

k) Con el fin de garantizar la libertad del elector en el sistema de voto electrónico, no se podrán emitir resultados parciales o datos de sondeos al electorado antes de comenzar la fase de recuento, que puedan condicionar el resultado de la votación. Para ello el sistema debe garantizar el secreto de resultados.

l) Auditabilidad. El sistema debe registrar todos los eventos que sucedan y su origen, pudiendo luego ser evaluados y analizados.

m) Disponibilidad. El sistema debe permanecer en servicio continuado durante todo el periodo de voto con una disponibilidad mínima del 99,982%.

n) El sistema incorporará las medidas técnicas que apliquen para la prevención, detección y neutralización de posibles ataques a los sistemas informáticos y de telecomunicaciones, dentro de su ámbito de actuación, y su comunicación a los órganos competentes.

o) El sistema implementará las medidas técnicas de seguridad informática para dar cumplimiento al Esquema Nacional de Seguridad y a las normas de protección de datos.

p) El sistema deberá contar con un plan de contingencia que contemple cada una de las posibles eventualidades que le puedan suceder a la plataforma de voto y al proceso electoral en general, teniendo en cuenta los parámetros de servicio exigidos.

q) El sistema de voto debe mantener un respaldo de todos los datos requeridos para el recuento y para alimentar a la aplicación de auditoría durante el período de voto como posteriormente al período de votación.

r) El sistema debe cumplir con la normativa interna de seguridad para la configuración de los elementos de conexión entre todos los sistemas implicados.

s) Las restricciones de utilización del sistema y de acceso a los datos e informaciones a las personas, las políticas de establecimiento de perfiles de usuario, de trazabilidad de accesos y acciones, la garantía de disponibilidad e integridad, la protección del sistema frente a manipulaciones no autorizadas, y los mecanismos de utilización de las aplicaciones, requisitos de seguridad en las comunicaciones y en la base de datos, se realizarán de acuerdo a los mecanismos de seguridad establecidos.

t) El sistema deberá garantizar el seguimiento de las políticas y directrices establecidas en cuanto a las estrategias de conservación de la información en soporte electrónico. Asimismo, se tendrán en cuenta aspectos ligados al diseño de la aplicación, a los requisitos de implantación (configuración del sistema, gestión de datos, seguridad de la información, acceso y responsabilidad del usuario, métodos de archivo y recuperación), y a los estándares aplicables.

u) El carácter secreto del voto deberá garantizarse en todas las fases del proceso de votación, asegurando la no trazabilidad, que supone la imposibilidad de asociar un voto a un elector concreto. Para ello, el sistema deberá garantizar que el usuario o ID del elector no se pueda relacionar con su sentido del voto. El secreto de la votación se garantiza mediante la encriptación de la votación con criptografía asimétrica.

v) La arquitectura del sistema se podrá basar en cadenas de bloques (blockchain), de manera que los votos se guarden en una cadena privada de bloques compuesta de nodos de validación verificados que comprueben de forma algorítmica que los votos son válidos antes de agregarlos a la cadena.

Artículo 9. Auditoría del sistema de voto electrónico.

1. El sistema de voto electrónico deberá contar con un régimen de auditoría y verificación totalmente independientes que permita examinar los procesos utilizados para reunir y contar los votos y recontar los mismos, a fin de confirmar la exactitud de los resultados.

2. El sistema de auditoría externo debe, como mínimo, permitir:

a) Que los observadores independientes puedan supervisar las elecciones sin revelar el posible resultado o conteo final.

b) Detectar el fraude electoral.

c) Dar garantía de que todos los votos contados sean auténticos y mantener el anonimato del elector en todo momento.

3. Dicha auditoría deberá asistir tanto a la fase de pruebas del conjunto del sistema como a la fase de votación, recuento y difusión.

Artículo 10. Adaptación de los Reglamentos de régimen interior.

Las Cámaras de Comercio, Industria, Servicios y Navegación deberán proceder a revisar sus reglamentos de régimen interior con el objeto de adaptar su normativa de funcionamiento interno al contenido de la presente orden ministerial.

Artículo 11. Protección de datos de carácter personal.

El sistema de voto electrónico deberá respetar la normativa sobre protección de datos de carácter personal recogida en la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales y en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Disposición transitoria única.

Lo dispuesto en esta orden será de aplicación a los procedimientos electorales de las Cámaras de Comercio, Industria, Servicios y Navegación que estén en curso en el momento de su entrada en vigor en el caso de que la administración tutelante haya decidido implantar el voto electrónico en los términos previstos en el artículo 1.

Disposición final primera. Título competencial.

Esta orden ministerial se dicta al amparo de lo dispuesto en el artículo 149.1.21.ª de la Constitución, que atribuye al Estado la competencia exclusiva en materia de telecomunicaciones.

Disposición final segunda. Entrada en vigor.

La presente orden entrará en vigor el mismo día de su publicación en el «Boletín Oficial del Estado».

Madrid, 14 de febrero de 2019.–La Ministra de Industria, Comercio y Turismo, María Reyes Maroto Illera.

Ver documento:

BOE-A-2019-2162