Decisión Administrativa 6/2007 Firma Digital
Establécese el marco normativo de firma digital aplicable al otorgamiento y revocación de las licencias a los certificadores que así lo soliciten.
VISTO la Ley nº 25.506, los Decretos Nros. 2628 del 19 de diciembre de 2002, 624 del 21 de agosto de 2003, 1028 del 6 de noviembre de 2003; 409 del 2 de mayo de 2005 y 724 del 8 de junio de 2006.
CONSIDERANDO:
Que la Ley nº 25.506 legisló sobre la firma digital, la firma electrónica y el documento digital.
Que dicha normativa ha significado un salto cualitativo importante a fin de habilitar la validez legal del documento digital, otorgándole las condiciones de autoría e integridad imprescindibles como base del comercio electrónico, el gobierno electrónico y la sociedad de la información.
Que resulta necesario dictar las normas técnicas que permitan implementar definitivamente el sistema de licenciamiento establecido en la mencionada ley, regulando la Infraestructura de Firma Digital de la República Argentina.
Que el Decreto nº 2628/02, reglamentario de la Ley nº 25.506 de Firma Digital creó, a través de su artículo 11, el Ente Administrador de Firma Digital dependiente de la JEFATURA DE GABINETE DE MINISTROS, como órgano técnico administrativo encargado de otorgar las licencias a los certificadores, de supervisar su actividad y dictar las normas tendientes a asegurar el régimen de libre competencia en el mercado de los prestadores y la protección de los usuarios de Firma Digital.
Que el Decreto nº 624/03 aprobó la estructura organizativa de primer nivel operativo de la JEFATURA DE GABINETE DE MINISTROS, estableciendo la responsabilidad primaria de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS.
Que el Decreto nº 1028/03, modificatorio del Decreto nº 624/03, a fin de reordenar y racionalizar los recursos en materia de infraestructura de firma digital, disolvió el Ente Administrador de Firma Digital y resolvió que su accionar sea llevado a cabo por la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION, como así también asignarle la responsabilidad de intervenir en la definición de las normas y procedimientos reglamentarios del régimen de firma digital establecido en la Ley nº 25.506.
Que conforme al Decreto nº 409/05, uno de los objetivos de la SUBSECRETARIA DE LA GESTION PUBLICA es actuar como autoridad de aplicación del régimen normativo de Firma Digital así como en las funciones de entidad licenciante de certificadores.
Que el Decreto nº 724/06 modifica el Decreto nº 2628/02 en sus artículos 1º inciso b), 30 y 38, regulando la aceptación por parte de terceros usuarios de los documentos firmados digitalmente.
Que ha tomado intervención el servicio jurídico competente.
Que la presente medida se encuadra en las facultades atribuidas por el artículo 100 incisos 1 y 2 de la Constitución Nacional y el artículo 6 del Decreto nº 2628 del 19 de diciembre de 2002.
Por ello,
EL JEFE DE GABINETE DE MINISTROS
DECIDE:
CAPITULO I
Artículo 1º.- Establécese el marco normativo de firma digital aplicable al otorgamiento y revocación de las licencias a los certificadores que así lo soliciten, conforme a los requisitos y procedimientos de la presente Decisión y sus correspondientes Anexos.
Artículo 2º.- Apruébanse los “Requisitos para el licenciamiento de certificadores” que como Anexo I forma parte de la presente Decisión.
Artículo 3º.- Apruébanse los “Requisitos Mínimos para Políticas de Certificación” que como Anexo II forma parte de la presente Decisión.
Artículo 4º.- Apruébase el “Perfil Mínimo de Certificados y Listas de Certificados Revocados” que como Anexo III forma parte de la presente Decisión.
Artículo 5º.- Apruébanse los “Contenidos Mínimos del Resumen de la Política de Certificación y del Manual de Procedimientos de Certificación para Suscriptores” que como Anexo IV forma parte de la presente Decisión.
Artículo 6º.- Apruébanse los “Contenidos Mínimos de los Acuerdos con Suscriptores” que como Anexo V forma parte de la presente Decisión.
Artículo 7º.- Apruébanse los “Contenidos Mínimos de los Términos y Condiciones con Terceros Usuarios” que como Anexo VI forma parte de la presente Decisión.
Artículo 8º.- Apruébanse los “Montos de aranceles y garantías” que como Anexo VII forma parte de la presente Decisión.
Artículo 9º.- Apruébanse los “Contenidos Mínimos de la Política de Privacidad” que como Anexo VIII forma parte de la presente Decisión.
CAPITULO II . PRINCIPIOS GENERALES
Artículo 10.– Principios. La actividad de los certificadores licenciados se realizará con arreglo a los principios de objetividad, transparencia y no discriminación.
Artículo 11.– Alcance. El cumplimiento de las normas reglamentarias técnicas establecidas en la presente Decisión sólo será obligatorio para aquellas entidades que decidan obtener el carácter de certificador licenciado.
Artículo 12.– Confidencialidad. Toda la documentación exigida durante el proceso de licenciamiento conforme lo determinado en el Anexo I “Requisitos para el licenciamiento de certificadores”, será considerada confidencial.
El ente licenciante sólo procederá a su utilización a los fines de evaluar la aptitud del certificador para cumplir con sus funciones y obligaciones inherentes al licenciamiento, absteniéndose de proceder a revelarla, utilizarla para otros fines o bien divulgarla a terceros aún después de haber finalizado el proceso de licenciamiento, salvo respecto de aquella información que la normativa vigente establezca como pública.
CAPITULO III. INFRAESTRUCTURA DE FIRMA DIGITAL DE LA REPUBLICA ARGENTINA
Artículo 13.- Alcance. Se definen como componentes de la Infraestructura de Firma Digital de la República Argentina:
a) al ente licenciante y su Autoridad Certificante Raíz,
b) los certificadores licenciados, incluyendo sus Autoridades Certificantes y sus Autoridades de Registro,
c) los suscriptores de los certificados digitales de esas Autoridades Certificantes y
d) los terceros usuarios de esos certificados.
Artículo 14.- De la Autoridad Certificante Raíz. Es la Autoridad Certificante administrada por el ente licenciante que emite certificados digitales a las Autoridades Certificantes de los certificadores licenciados correspondientes a sus Políticas de Certificación aprobadas. Al otorgar la licencia respecto a una Política de Certificación, el ente licenciante procederá a emitirle un certificado digital a través de su Autoridad Certificante Raíz.
Artículo 15.– Vínculo entre las Políticas de Certificación licenciadas y las Autoridades Certificantes de los certificadores. El certificador licenciado debe implementar una Autoridad Certificante por cada una de sus Políticas de Certificación licenciadas. La Autoridad Certificante Raíz emitirá un certificado digital para cada una de esas Autoridades Certificantes.
Artículo 16.- De las Autoridades Certificantes de certificadores licenciados: Los certificadores licenciados emitirán certificados digitales a los suscriptores de sus Políticas de Certificación, a través de las Autoridades Certificantes que forman parte de su infraestructura tecnológica. Diferentes Autoridades Certificantes de un certificador licenciado podrán compartir la misma infraestructura tecnológica, previa aprobación por parte del ente licenciante.
Artículo 17.- De la infraestructura tecnológica. Se entiende por infraestructura tecnológica del certificador al conjunto de servidores, software y dispositivos criptográficos utilizados para la generación, almacenamiento y publicación de los certificados digitales y para la provisión de información sobre su estado de validez. La infraestructura tecnológica que soporta los servicios del certificador, deberá estar situada en territorio argentino, bajo su control y afectada exclusivamente a las tareas de certificación.
No se admitirá compartir infraestructuras tecnológicas entre distintos certificadores.
Artículo 18.- Condiciones de uso de la infraestructura tecnológica. El certificador podrá utilizar la misma infraestructura tecnológica, para emitir certificados digitales de políticas de certificación no licenciadas, mientras use los mismos procedimientos y recursos utilizados para sus políticas de certificación licenciadas siempre y cuando no se afecten las condiciones de seguridad y control que dieron lugar al otorgamiento de la licencia. En todos los casos debe mediar autorización previa del ente licenciante.
Artículo 19.- Restricciones a la emisión de certificados digitales por parte de los certificadores licenciados. Un certificador licenciado no podrá emitir certificados a Autoridades Certificantes subordinadas.
CAPITULO IV. DE LOS ESTANDARES TECNOLOGICOS Y OPERATIVOS DE LA INFRAESTRUCTURA DE FIRMA DIGITAL
Artículo 20.- Estándares tecnológicos. Establécese como estándar tecnológico de la Infraestructura de Firma Digital de la República Argentina, en lo referente al formato de los certificados digitales y listas de certificados revocados, al estándar ITU-T X.509 (ISO/IEC 9594-8) de acuerdo con las pautas definidas en el Anexo III.
Artículo 21.- Estándares operativos. Establécense como estándares operativos de la Infraestructura de Firma Digital de la República Argentina, los contenidos en los Anexos I y II.
CAPITULO V. DE LOS CERTIFICADORES LICENCIADOS
Artículo 22.- Certificadores licenciados. Aquellas entidades que soliciten el carácter de certificadores licenciados deberán cumplir con los requisitos de licenciamiento establecidos en el Anexo I.
Artículo 23.- Consentimiento de los suscriptores de certificados digitales. Para la emisión de certificados, los certificadores licenciados y/o sus autoridades de registro, deberán contar con el consentimiento libre, expreso e informado del suscriptor, el que deberá constar por escrito. Este consentimiento debe incluir la confirmación, por parte del suscriptor, de que la información a incluir en el certificado es correcta.
El certificador licenciado no podrá llevar a cabo publicación alguna de los certificados que hubiere emitido sin previa autorización de su correspondiente titular, sin perjuicio de lo dispuesto en el inciso f) del artículo 19 de la Ley nº 25.506.
Artículo 24.- Publicación de información adicional. Conforme lo establecido en el inciso k) del Artículo 21 de la Ley nº 25.506, los certificadores licenciados adicionalmente deberán publicar en Internet, en forma permanente e ininterrumpida, los actos administrativos por los cuales les fueron otorgadas y eventualmente revocadas sus licencias, los acuerdos con suscriptores y términos y condiciones con terceros usuarios, para cada una de las políticas de certificación por la cual obtuvo una licencia, y toda otra información relevante relativa a ella.
Artículo 25.- Domicilio del certificador licenciado. El certificador licenciado deberá encontrarse domiciliado en el territorio de la República Argentina, considerándose que cumple con este requisito, cuando el establecimiento en el cual desempeña en forma permanente, habitual o continuada su actividad, se encuentre situado en el territorio argentino.
Artículo 26.- Comunicación de cambios. Los certificadores licenciados están obligados a notificar al ente licenciante con una antelación no menor a DIEZ (10) días, cualquier modificación que proyecten realizar sobre los aspectos que fueron objeto de revisión para el otorgamiento de su licencia, reservándose el ente licenciante la facultad de aceptar o rechazar dichos cambios.
Artículo 27.- Uso del término “licenciado” Queda absolutamente prohibido el uso del término “licenciado” a todos aquellos prestadores del servicio de certificación u otros servicios relacionados con la firma digital, que no hayan cumplido con el correspondiente proceso de licenciamiento establecido por la presente Decisión.
Artículo 28.- Reconocimiento de certificados extranjeros. Sin perjuicio de la validación que a dicho efecto deberá realizar la Autoridad de Aplicación, todo aquel certificador licenciado que quiera garantizar la validez y vigencia de certificados extranjeros en los términos del inciso b) del artículo 16 de la Ley nº 25.506, deberá presentar al ente licenciante para su aprobación una política de certificación apropiada a los fines de la obtención de la licencia correspondiente, como así también acreditar el cumplimiento de los demás requisitos exigidos.
CAPITULO VI . REGISTRO DE CERTIFICADORES LICENCIADOS
Artículo 29.- Registro de certificadores licenciados. El ente licenciante deberá mantener actualizado en forma regular y continua, y accesible por Internet, un registro de certificadores licenciados y de aquellos certificadores cuyas licencias hayan vencido o hayan sido revocadas.
Este registro deberá contener el número de Resolución que concede, renueva o revoca la licencia, el o los certifcados digitales del certificador licenciado, la identificación del certificador, su domicilio y números telefónicos, la dirección de su sitio en Internet, las políticas de certificación del certificador licenciado, así como las correspondientes Resoluciones que las aprueban. Toda nueva Política de Certificación presentada por dicho certificador licenciado para su licenciamiento y aprobada por el ente licenciante, será incluida en el registro de certificadores mencionado en el presente artículo, con su correspondiente Resolución.
CAPITULO VII . CERTIFICADOS DE PERSONAS JURIDICAS
Artículo 30.- Certificados de personas jurídicas. Podrán solicitar certificados digitales las personas jurídicas a través de sus representantes legales o apoderados con poder suficiente a dichos efectos.
La custodia de los datos de creación de firma asociados a cada certificado digital correspondiente a la persona jurídica solicitante, será responsabilidad de su representante legal o apoderado, debiendo su identificación ser incluida en dicho certificado.
Artículo 31.- Certificados de aplicaciones. Las personas jurídicas podrán solicitar certificados digitales para utilizar en sus aplicaciones informáticas. Dicha solicitud deberá ser realizada según lo establecido en el artículo anterior.
La constancia de la identificación de la persona física responsable de la custodia de los datos de creación de firma asociados a cada certificado digital, deberá ser conservada por el certificador como información de respaldo de la emisión del certificado.
CAPITULO VIII . AUDITORIAS
Artículo 32.- Auditorías Ordinarias. El ente licenciante realizará auditorías ordinarias a los certificadores y a sus autoridades de registro a fin de verificar el cumplimiento de los requisitos de licenciamiento. Dichas auditorías se realizarán previamente al otorgamiento de la licencia y posteriormente en forma anual.
Artículo 33.- Inspecciones extraordinarias El ente licenciante podrá realizar inspecciones extraordinarias de oficio o en caso de denuncias de terceros basadas en posibles deficiencias o incumplimientos incurridos por el certificador licenciado.
CAPITULO IX . ARANCELES Y GARANTIAS
Artículo 34.- Establecimiento de aranceles y garantías. De acuerdo a los artículos 30 inciso f) y 32 de la Ley de Firma Digital el ente licenciante procederá, cuando lo estime necesario, a la actualización de los montos de los respectivos aranceles de licenciamiento y renovación, monto de garantía de caución y multas por incumplimientos. Asimismo, conforme al Anexo VII de la presente medida, procederá a fijar aranceles para los nuevos servicios que pudieran prestarse en el marco de la Infraestructura de Firma Digital de la República Argentina.
Artículo 35.- Arancel de licenciamiento. El proceso de evaluación por parte del ente licenciante acerca del cumplimiento de todas las condiciones legales y técnicas que hacen al carácter de certificador licenciado, genera la obligación de pago del arancel de licenciamiento. Dicho arancel no será reembolsable en caso alguno.
Artículo 36.- Exención al pago del arancel. Los certificadores licenciados pertenecientes a entidades y jurisdicciones del sector público quedarán exentos de la obligación de pago del arancel de licenciamiento.
Artículo 37.- Lugar de pago de aranceles y multas. Los aranceles y las multas que pudieran aplicarse deberán ser abonados en la COORDINACION DE TESORERIA dependiente de la DIRECCION GENERAL TECNICO ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS.
Artículo 38.- Garantías. Las entidades privadas que soliciten licencia de certificador deberán constituir un seguro de caución a fin de garantizar el cumplimiento de las obligaciones de la presente.
Las pólizas de seguro de caución deberán reunir las siguientes condiciones básicas:
a) Instituir al ente licenciante como asegurado.
b) Mantener la vigencia del seguro de caución mientras no se extingan las obligaciones cuyo cumplimiento se cubre.
La garantía exigida deberá ser acreditada por el certificador como requisito previo al otorgamiento de la licencia y sus renovaciones.
Artículo 39.- Incumplimiento de obligaciones. Dictada la Resolución que establece la responsabilidad del certificador licenciado por el incumplimiento de las obligaciones a su cargo y, previa intimación infructuosa de pago, el ente licenciante, en su calidad de asegurado, procederá a exigir al asegurador el pago pertinente, el que deberá efectuarse dentro del término de QUINCE (15) días de serle requerido, no siendo necesaria ninguna otra interpelación ni acción previa contra sus bienes.
CAPITULO X . NORMAS DE PROCEDIMIENTO
Artículo 40.- Plazos. Todos los términos y plazos fijados en la presente normativa se regirán según lo establecido en la Ley nº 19.549 y sus modificatorias.
Artículo 41.- Inicio del trámite. Se dará inicio al procedimiento de licenciamiento cuando el interesado presente la solicitud de licencia conjuntamente con toda la documentación detallada en el Anexo I.
Artículo 42.- Admisibilidad de la solicitud. Recibida la solicitud de licencia, se procederá a su estudio de forma o admisibilidad mediante la verificación de los antecedentes requeridos.
El interesado deberá subsanar las omisiones o bien ampliar o efectuar aclaraciones sobre la documentación presentada dentro de los DIEZ (10) días de haber sido notificado, caso contrario se procederá a rechazar la solicitud.
Artículo 43.- Adecuación de condiciones. Cuando del análisis de la documentación presentada o de las auditorías realizadas surgieran observaciones, se procederá a informar al solicitante a los fines de que proceda a subsanarlas dentro del plazo que el ente licenciante determine a dichos fines y efectos.
Artículo 44.- Dictamen de aptitud. Una vez aceptada la documentación en las condiciones requeridas por la presente decisión, se procederá a emitir en el término de SESENTA (60) días el dictamen legal y técnico respecto a la aptitud del certificador para cumplir con las funciones y obligaciones inherentes al licenciamiento. Este plazo no se computará a los fines del artículo precedente.
Artículo 45.- Finalización del trámite. Emitido el dictamen legal y técnico que acredite la aptitud del certificador y, habiéndose presentado el seguro de caución en los casos que así correspondiese, el ente licenciante procederá al dictado de la Resolución que otorgue la correspondiente licencia y ordenará su publicación en el Boletín Oficial.
Artículo 46.- Rechazo de la solicitud. En caso que el dictamen legal y técnico fuera desfavorable, el ente licenciante procederá a dictar una Resolución fundada denegando la solicitud la cual deberá ser publicada en el Boletín Oficial.
RENOVACION
Artículo 47.- Renovación de licencias. Todo inicio de trámite de renovación está supeditado al pago del correspondiente arancel, el que deberá ser abonado con anterioridad a la presentación de la solicitud.
El trámite de renovación se regirá por las mismas normas establecidas en los artículos precedentes y deberá ser iniciado con SESENTA (60) días de anticipación al vencimiento de la licencia original.
Es responsabilidad del certificador tomar los recaudos necesarios en previsión de demoras en la renovación de la licencia, para evitar que el vencimiento de certificados y políticas afecte a sus suscriptores.
CAPITULO XI . CESE DE ACTIVIDADES
Artículo 48.- Cese de actividades. El plan de cese de actividades deberá llevarse a cabo en un todo conforme a lo establecido en el Anexo I.
Artículo 49.- Notificación del cese de actividades. Si el cese se produce por decisión unilateral del certificador licenciado, esta circunstancia se deberá comunicar al ente licenciante y a los suscriptores de certificados con una antelación de TREINTA (30) días.
Si el cese se produjera por caducidad de su licencia dispuesta por el ente licenciante o bien por cancelación de su personería jurídica, el ente licenciante procederá, en un plazo no mayor a CUARENTA Y OCHO (48) horas, a publicar dicho cese en el Boletín Oficial.
CAPITULO XII . DEFENSA DEL USUARIO
Artículo 50.- Obligación de informar. Los certificadores licenciados deberán informar a todo solicitante, previo a la emisión de los correspondientes certificados, la política de certificación bajo la cual serán emitidos, sus condiciones y límites de utilización, condiciones de la licencia obtenida y todo aquello que fuere relevante con relación a un uso correcto y seguro de dichos certificados, como así también prever procedimientos que aseguren la resolución preventiva de conflictos.
Artículo 51.- Reclamos. En caso de reclamos de los usuarios de certificados digitales que se encuentren relacionados con la prestación de los servicios de un certificador licenciado conforme los términos de la presente normativa, el ente licenciante, previa constancia de haberse formulado el reclamo previo correspondiente ante su propio certificador licenciado con resultado negativo, procederá a recibir la denuncia correspondiente, la que deberá ser evaluada y resuelta mediante la instrucción de las actuaciones correspondientes, sin perjuicio de dejar a salvo los derechos de las partes en conflicto de recurrir a la vía judicial cuando así lo creyeran conveniente.
CAPITULO XIII . SANCIONES
Artículo 52.- Gradación de Sanciones. En caso de incumplimiento a las disposiciones de la Ley nº 25.506, su Decreto Reglamentario y la presente normativa el ente licenciante, previa instrucción sumarial procederá a aplicar las sanciones administrativas que correspondan.
La gradación de las sanciones referidas en el artículo 41 de la Ley nº 25.506 será realizada por el ente licenciante teniendo en cuenta el tipo de infracción, su repercusión social, el número de usuarios afectados y la gravedad del ilícito.
Artículo 53.- Cuantía de multas. El ente licenciante graduará la cuantía de las multas que se impongan, dentro de los límites indicados, teniendo en cuenta lo siguiente:
a) La existencia de dolo o intencionalidad.
b) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por acto administrativo firme.
c) La naturaleza y cuantía de los perjuicios causados.
d) El tiempo durante el que se haya venido cometiendo la infracción.
e) El beneficio que haya reportado al infractor la comisión de la infracción.
Artículo 54.- Inscripción de Sanciones. Cuando se imponga una sanción, será inscripta en el Registro de certificadores licenciados.
Artículo 55.- Publicación de sanción de caducidad. En los supuestos previstos en el artículo 44 de la Ley nº 25.506, será obligación del ente licenciante llevar a cabo la publicación en el Boletín Oficial de la Resolución que ordene la caducidad de la licencia previamente otorgada, circunstancia que deberá constar obligatoriamente en la página de inicio del sitio de Internet del certificador.
CAPITULO XIV . DISPOSICIONES GENERALES.
Artículo 56.- Facúltase al Señor SUBSECRETARIO DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS a dictar las normas aclaratorias y complementarias de la presente medida.
Artículo 57. – Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.
Alberto A. Fernández.
Alberto J. B. Iribarne