Proyecto de Ley de firma digital y certificados digitales, de 22 de febrero de 2001. Expediente 14.276.
ASAMBLEA LEGISLATIVA:
La comunicación entre los seres humanos, particularmente las comunicaciones a distancia se han facilitado conforme avanza la tecnología. El telégrafo, el teléfono, la radio, la televisión, el fax, cada uno a su tiempo, han representado importantes pasos en materia de comunicación humana, y han conformado una base tecnológica de mucha capacidad, la cual ha iniciado una verdadera revolución en las comunicaciones y el desarrollo de las sociedades contemporáneas. Una de las áreas más beneficiadas con estas nuevas y ágiles herramientas de comunicación es la del comercio. Por su misma naturaleza, requiere cada vez más de mecanismos ágiles y eficientes pero también seguros de comunicación.
Esta cadena de logros tecnológicos en materia de comunicación ha alcanzado un punto muy alto con la extensión de la red internacional o Internet (red de redes), la cual ha ampliado exponencialmente las posibilidades y facilidades de comunicación entre los seres humanos. Es, definitivamente, un medio que no puede ser ignorado por ninguna persona, mucho menos por el sector comercial alrededor de todo el orbe. Y en efecto, no lo ha sido. Los expertos coinciden en afirmar que la Sociedad de la Información ha encontrado en Internet el canal de flujo ideal, por sus preciados atributos: rápido, barato, y cada vez más extendido y eficiente. Cada vez más empresas deciden incursionar en el mercado virtual, y basan sus comunicaciones externas en ella; igualmente, con más pausa y mesura pero con la misma decisión, los operadores financieros comienzan a utilizar el nuevo medio. Y no podría ser de otra forma ya que en el mercado virtual adquieren ventajas comparativas que sencillamente no existen en el mundo físico, siendo la reducción de costos uno de sus principales beneficios. Es notable que este tipo de instrumento accesible actualmente a una parte de la población, era accesible hasta hace pocos años, únicamente a las corporaciones más poderosas del planeta. La pequeña y mediana empresa ven en efecto en la Internet la posibilidad de un acceso sin precedentes a la información y los mercados mundiales a un costo reducido, y con tendencia a bajar, no a subir, a medida que la red de redes se extiende en todo el orbe. Estamos presenciando una verdadera revolución en el acceso al conocimiento, a la información y la comunicación con consecuencias apenas imaginables para el futuro de la humanidad.
Para las economías en desarrollo como la nuestra, el maximizar los beneficios que ofrece el comercio electrónico es un imperativo; pero también es lograr una posición de vanguardia en la transferencia de tecnología e información, con base al potencial que tiene nuestro país en cuanto a recursos humanos calificados en el área informática, tecnológica y profesional, en general.
El resultado de este proceso ha sido el advenimiento de la Economía Digital, en la cual el valor recae con mayor fuerza en bienes intangibles, y en el conocimiento. Pero también ha significado una nueva vía amplísima y dinamizadora de comercio.
El desarrollo del comercio electrónico ha sido vertiginoso, sin embargo, presentará obstáculos difíciles de superar si no se resuelven ciertos aspectos técnicos y de índole legal. Desde el punto de vista jurídico esta revolución tecnológica e informática ha significado un reto complejo y desafiante: dotar de seguridad jurídica el tráfico, tanto de información como de bienes y servicios. La contratación electrónica debe ser objeto de regulación, en forma muy cuidadosa, para que las nuevas tecnologías de la información no se vuelvan inoperantes. Uno de los temas esenciales a tratar, si no el más importante, es el del reconocimiento legal de la Firma Digital. No es posible concebir un creciente desarrollo del comercio electrónico, y la incursión de otro tipo de transacciones jurídicas en la red, si no se provee de la adecuada seguridad para el normal desempeño de estas actividades. La Firma Digital es un mecanismo concebido en función de esta meta prevaleciente, y es objetivo del presente proyecto regularla de forma tal, que existan los elementos jurídicos fundamentales para el desarrollo de la Economía Digital en un contexto razonable, mas no infalible, de seguridad jurídica, estimulando el poder de su “motor”: el comercio electrónico.
Este proyecto de ley es coherente con el derecho internacional en tema de comercio electrónico, con el propósito de obtener la adecuada seguridad y certidumbre en las transacciones electrónicas basadas en la red de redes. La importancia que reviste la uniformidad respecto al tratamiento de los aspectos más importantes sobre comercio electrónico, es insoslayable. La regulación propuesta pretende mantener la armonía con los elementos principales de la regulación internacional sobre el tema, brindando el marco jurídico adecuado y viable para la contratación electrónica, y en general, las relaciones jurídicas basadas en la comunicación mediante medios informáticos o telemáticos, sean o no de índole comercial. Esto se haría entonces, esencialmente, a través del reconocimiento de eficacia, desde el punto de vista probatorio, de la Firma Digital vinculada a un proveedor de servicios de certificación.
Debe despejarse cualquier duda respecto de la validez jurídica como prueba del documento electrónico, el cual, de conformidad con nuestra legislación procesal civil, es admisible como prueba en sede jurisdiccional.
En concreto, para lograr los objetivos supracitados es preciso: regular el reconocimiento legal expreso de la Firma Digital; determinar los efectos de la Firma Digital; el reconocimiento del principio de equivalencia funcional por medio del cual se confiere al documento digital firmado los mismos efectos que se le imputan al documento escrito; acoger el “principio de neutralidad tecnológica”, de forma tal que la normativa no limite el mecanismo de Firma Digital a una sola tecnología; establecer reglas mínimas en materia de conservación, envío y recepción de mensajes de datos para aquellos casos en que las partes no hayan estipulado reglas especiales.
LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA
DECRETA:
LEY DE FIRMA DIGITAL Y CERTIFICADOS DIGITALES
TÍTULO I. PRINCIPIOS Y NORMAS GENERALES
CAPÍTULO PRIMERO. DISPOSICIONES GENERALES
Artículo 1º. La presente Ley tiene por objetivo regular el uso y el reconocimiento jurídico de la Firma Digital, otorgándole la misma validez y eficacia jurídica que el uso de una firma manuscrita u otra análoga que conlleve manifestación de voluntad, así como el autorizar al Estado para su utilización.
Artículo 2º. Para los propósitos de la presente Ley se establecen las siguientes definiciones:
1.- Acreditación: La acreditación es el procedimiento mediante el cual un organismo autorizado reconoce formalmente que una entidad o empresa es competente para realizar tareas específicas.
2.- Acreditación voluntaria del prestador de servicios de certificación: Resolución que establece los derechos y obligaciones específicos para la prestación de servicios de certificación y que se emite, a petición del interesado, por el Órgano Rector y la Autoridad Competente de acreditación, de conformidad con lo previsto en esta Ley, su reglamento y la normativa intencional aplicable.
3.- Certificado Digital: Es la certificación digital que vincula unos datos de verificación de firma a un signatario y confirma su identidad.
4.- Certificado Digital Reconocido: Es el certificado que cumple con los requisitos establecidos en la presente Ley y su reglamento, y que vincula un documento digital con determinada persona como su signatario, mediante un proceso seguro de certificación y es expedido por un prestador de servicios de certificación acreditado por el Órgano Rector y la autoridad competente de acreditación.
5.- Datos de creación de firma: Son los datos únicos, como códigos o claves criptográficas privadas, que el signatario utiliza para crear la Firma Digital.
6.- Datos de verificación de firma: Son los datos como códigos o claves criptográficas públicas, que se utilizan para verificar la Firma Digital.
7.- Dispositivo de creación de firma: Es un mecanismo que sirve para aplicar los datos de creación de firma.
8.- Dispositivo de verificación de firma: Es un mecanismo que sirve para aplicar los datos de verificación de firma.
9.- Dispositivo seguro de creación de firma: Es el mecanismo de creación de firma que cumple adicionalmente con los requisitos establecidos en la presente Ley y su reglamento.
10.- Documento: Significa información que se encuentra almacenada en un medio tangible, o que se guarda en un medio electrónico o de cualquier otra naturaleza, y que se puede recuperar o reproducir en una forma perceptible e inteligible.
11.- Firma Digital: Es el conjunto de datos, anexos a otros datos o datos asociados funcionalmente, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.
12.- Firma Digital Avanzada: Es la Firma Digital Certificada por un prestador de servicios de certificación debidamente acreditado ante la autoridad competente de acreditación.
13.- Información: Es aquel mensaje comunicado mediante datos, textos, imágenes, sonidos, códigos, programas, información almacenada en bases de datos, aplicaciones, o similares.
14.- Iniciador: Es quien envía un mensaje de datos, esté o no suscrito digitalmente.
15.- Información Íntegra: Se entenderá por íntegra aquella información que haya permanecido completa e inalterada, sin menoscabo de cualquier adición o cambio, inherente al proceso de comunicación, almacenamiento, archivo o presentación. El grado de fiabilidad requerido será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias del caso.
16.- Intermediario: Es aquella persona, física o jurídica, que actuando por cuenta de otra, envíe, reciba, almacene dicho mensaje o preste algún otro servicio con respecto a él.
17.- Mensaje de datos: Es la información generada, enviada, recibida, almacenada, o comunicada por medios digitales, electrónicos, ópticos o similares.
18.- Prestador de servicios de certificación o entidad certificadora: Es la persona física o jurídica que expide certificados.
19.- Procedimiento seguro: Es el procedimiento empleado con el propósito de verificar que una Firma Digital es atribuible a determinada persona como su signatario, o para detectar cambios y errores en un documento digital, incluyendo cualquier proceso que implique el uso de algoritmos matemáticos, códigos, sistemas de encriptamiento, y cualquier otro medio o tecnología de identificación o reconocimiento.
20.- Producto de Firma Digital: Es el instrumento y sus componentes específicos, destinados a la prestación de servicios de Firma Digital por el prestador de servicios de certificación o para la creación o verificación de Firma Digital.
21.- Receptor: Es la persona a quien el signatario dirige el mensaje o documento electrónico.
22.- Signatario: Es la persona física o jurídica que cuenta con un mecanismo de creación de firma, que actúa en nombre propio o con poderes de representación de otra persona física o jurídica.
23.- Sistema: Es el conjunto de elementos independientes pero interrelacionados entre sí para conseguir un propósito común.
24.- Sistema de información: Es un conjunto de elementos ordenado utilizado para generar, enviar, recibir, almacenar o procesar de alguna forma mensajes de datos.
Artículo 3º. En la presente Ley se utilizará el término digital entendido como cualquier información codificada en dígitos, la cual resulta más precisa que el término electrónico, que se refiere al medio físico de procesamiento, almacenamiento o transmisión, el cual es uno de los medios para generar, transmitir y almacenar información digital.
CAPÍTULO II. RECONOCIMIENTO JURÍDICO DE LA FIRMA DIGITAL
Artículo 4º. La Firma Digital Avanzada, deberá crearse mediante un dispositivo seguro de creación de firma.
Artículo 5º. La Firma Digital Avanzada, siempre que esté basada en un certificado digital reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá respecto de los datos consignados en forma digital, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel.
Cuando la ley exija la presentación o existencia de un documento escrito debidamente firmado, tal requisito será plenamente satisfecho por un documento digital, si el mismo ha sido firmado mediante una Firma Digital Avanzada, creada por un dispositivo seguro de creación de firma.
Se presumirá que la Firma Digital Avanzada y el medio de creación de firma con el que ésta se produzca, reúnen las condiciones necesarias para producir los efectos indicados en este apartado cuando el certificado reconocido es emitido por un prestador de servicios de certificación acreditado.
Artículo 6. Cuando una ley requiere que un documento o firma esté certificado o autenticado notarialmente por un abogado, o de cualquier otra forma reconocido, verificado o certificado, tal requisito se tendrá por cumplido si una firma electrónica avanzada de un notario público, abogado, funcionario público, o cualquier otra persona autorizada y competente para efectuar tales actos, es puesta o vinculada al documento o firma digital o Firma Digital avanzada.
CAPÍTULO III. USO DE LA FIRMA DIGITAL Y LOS DOCUMENTOS ELECTRÓNICOS POR EL ESTADO
Artículo 7º. Se autoriza a los Poderes Legislativo, Ejecutivo y Judicial, al Tribunal Supremo de Elecciones, Contraloría General de la República, Defensoría de los Habitantes, así como a todas las instituciones públicas descentralizadas, y entes públicos no estatales para la utilización de la Firma Digital avanzada y los documentos electrónicos firmados digitalmente en sus relaciones internas, entre ellos y con los particulares, de conformidad con las previsiones de esta Ley y su reglamento.
TÍTULO II. DE LOS SERVICIOS DE CERTIFICACIÓN DIGITAL
CAPÍTULO I. DEL ÓRGANO RECTOR
Artículo 8º. El Ministerio de Ciencia y Tecnología será el Órgano Rector en todo lo concerniente a esta Ley.
8º.1 Toda interpretación técnica estará bajo el mejor criterio del Órgano Rector tomando en cuenta el estado de arte en la tecnología, así como los requerimientos y realidades del país.
Artículo 9º. El Poder Ejecutivo, a través del Ministerio de Ciencia y Tecnología, utilizará un sistema de acreditación voluntario, en el ámbito de los prestadores de servicios de certificación de Firma Digital Avanzada, coordinando para ello con la Autoridad de Acreditación, la cual será un ente con participación activa y equilibrada de los sectores involucrados. La autoridad de acreditación mediante la función de acreditación, reconoce formalmente que una organización es competente para llevar a cabo tareas específicas de acuerdo a los requisitos de normas nacionales e internacionales, que permitan lograr un adecuado grado de seguridad y confianza que proteja debidamente, los derechos de los usuarios, para lo cual deberá llevar a cabo el proceso de evaluación correspondiente, un registro de las entidades acreditadas y velar por que se cumplan los requisitos establecidos por esta Ley y su reglamento.
CAPÍTULO II. CERTIFICADOS DIGITALES
Artículo 10º. Los certificados digitales se vinculan con una persona confirmando su identidad, los cuales deberán contener al menos:
1.- Los datos que identifiquen individualmente al firmante.
2.- Los datos que identifiquen a la entidad de certificación.
3.- Número de serie del certificado.
4.- Fecha de emisión y plazo de vigencia.
5.- Los demás que el reglamento establezca.
Artículo 11º. Los certificados digitales se podrán cancelar y revocar en los siguientes casos:
1.- A solicitud del titular de la firma.
2.- Por expiración del plazo.
3.- Por cese de operaciones de la entidad de certificación.
4.- Por muerte del titular de la Firma Digital.
5.- Por incumplimiento contractual con la entidad de certificación.
6.- Las demás que el reglamento establezca.
Artículo 12º. Los certificados de Firma Digital que sean emitidos por entidades no establecidas en Costa Rica, serán equivalentes a los otorgados por prestadores establecidos en el país, cuando hayan sido homologados por estos últimos, bajo su responsabilidad, y reconocidos por la autoridad de acreditación competente y cumpliendo con los requisitos fijados en esta Ley, su reglamento y normas internacionales correspondientes.
CAPÍTULO III. DE LA ACREDITACIÓN E INSPECCIÓN DE LOS PRESTADORES
DE SERVICIOS DE CERTIFICACIÓN DIGITAL
Artículo 13º. Mediante la autoridad competente de acreditación, la cual estará adscrita al Ministerio Rector, las empresas que emitan certificados de Firma Digital, deberán someterse al proceso de acreditación que se defina al respecto para estar debidamente acreditados. Las funciones de las empresas certificadoras serán entre otras las de emitir o cancelar certificados digitales, así como brindar otros servicios inherentes al propio certificado.
Artículo 14º. Con el fin de comprobar el cumplimiento de las obligaciones de los prestadores acreditados, la Autoridad de Acreditación ejercerá la facultad de inspección sobre los prestadores acreditados y podrá, a tal efecto, requerir información, ordenar evaluaciones anunciadas o no anunciadas a sus instalaciones al menos una vez al año y solicitar las modificaciones necesarias para que se mantenga actualizado el sistema y el servicio, con personal que para tal efecto se seleccione de conformidad al reglamento, la Autoridad de Acreditación y del Órgano Rector. Así como suspender las acreditaciones en caso de incumplimiento.
Artículo 15º. La Autoridad de Acreditación así como el personal que actúe bajo su dependencia o por cuenta de ella, deberá guardar la confidencialidad y custodia de los documentos y la información que le entreguen las empresas certificadoras.
Artículo 16º. El Órgano Rector deberá observar en sus actuaciones y regulaciones total neutralidad respecto de las diversas tecnologías de Firma Digital existentes, procurando la mayor adaptabilidad a los avances científicos y tecnológicos en tal área.
TÍTULO III. LOS DISPOSITIVOS DE FIRMA DIGITAL AVANZADA Y LA EVALUACIÓN DE SU CONFORMIDAD CON LA NORMATIVA APLICABLE
CAPÍTULO ÚNICO
Artículo 17º. Los dispositivos seguros de creación de Firma Digital para considerarse como tales deberán cumplir con:
1.- Garantizar que los datos utilizados para la generación de firma puedan producirse sólo una vez y asegurar, razonablemente, su secreto, dentro de las posibilidades o limitaciones tecnológicas.
2.- Que exista seguridad razonable de que dichos datos no puedan ser alterados o falsificados con la tecnología existente en un momento dado.
3.- Que los datos de creación de firma puedan ser protegidos con fiabilidad por el signatario contra la utilización por otros.
4.- Que el dispositivo utilizado no altere los datos o el documento que deba firmarse, ni impida que éste se muestre al signatario antes del proceso de firma.
Artículo 18º. Los dispositivos de verificación de Firma Digital Avanzada deben garantizar al menos lo siguiente:
1.- Que la firma se verifique de forma fiable y el resultado de la verificación figure correctamente.
2.- Que el verificador pueda, en caso necesario, establecer de forma fiable la integridad de los datos firmados y detectar si han sido modificados.
3.- Que aparezca correctamente la identidad del signatario.
4.- Que se verifique de forma fiable el certificado.
5.- Que pueda detectarse cualquier cambio relativo a su seguridad e integridad.
Artículo 19º. Las disposiciones de esta Ley no deberán entenderse en el sentido de prohibir la existencia de sistemas de Firma Digital basados en convenios expresos entre las partes, las que podrán a través de un contrato fijar sus derechos y obligaciones, y las condiciones técnicas y de cualquier otra clase, bajo las cuales reconocerán su autoría sobre un documento digital o mensaje de datos que envíen, o la recepción de un mensaje de datos de su contraparte.
TÍTULO IV. DISPOSICIONES FINALES
Artículo 20º. El Poder Ejecutivo deberá emitir el reglamento a la presente Ley dentro del plazo máximo de tres meses siguientes a su publicación.
Rige a partir de su publicación.
Miguel Ángel Rodríguez Echeverría, PRESIDENTE DE LA REPÚBLICA
Guy de Téramond, MINISTRO DE CIENCIA Y TECNOLOGÍA
22 de febrero de 2001