Proyecto de Ley de Firma Digital del Poder Ejecutivo Nacional de 18 de agosto de 1999.
BUENOS AIRES, 18 de Agosto de 1999
AL HONORABLE CONGRESO DE LA NACION:
Tengo el agrado de dirigirme a Vuestra Honorabilidad a fin de someter a su consideración un proyecto de ley mediante el cual se propone habilitar el empleo de la firma digital dentro del principio de libertad de las formas.
I.- INTRODUCCIÓN
Las redes abiertas como Internet revisten cada vez mayor importancia para la comunicación mundial. Esas redes permiten una comunicación interactiva entre interlocutores que no necesariamente han entablado previamente relación alguna. Además, ofrecen nuevas posibilidades empresariales, creando herramientas que mejoran la productividad y reducen los costos, así como otras formas de llegar al cliente. Las redes están siendo utilizadas por empresas que desean aprovechar los nuevos tipos de actividad y formas de trabajo, como el teletrabajo y los entornos virtuales compartidos. También las administraciones públicas las utilizan en su gestión interna y en su interacción con empresas y ciudadanos. El comercio electrónico brinda al país una excelente oportunidad para avanzar en su integración económica con las naciones del resto del mundo.
Para aprovechar todas estas posibilidades es necesario disponer de un entorno seguro en relación con la autenticación digital. En la práctica existen diversos métodos para firmar documentos digitalmente, que van desde algunos muy sencillos (por ejemplo, insertar la imagen escaneada de una firma manuscrita en un documento creado con un procesador de texto) que no permiten otorgar a la firma validez jurídica, a otros muy avanzados (como la firma digital que utiliza la «criptografía de clave pública»), que sí lo permiten. Para tener validez jurídica, las firmas digitales deben permitir verificar tanto la identidad del autor de los datos (autenticación de autoría), como comprobar que dichos datos no han sufrido alteración desde que fueron firmados (integridad).
II.- BENEFICIOS DE LA FIRMA DIGITAL
Al facilitar la autenticación a distancia entre partes que no necesariamente se conocen previamente, las firmas digitales constituyen el mecanismo esencial para proveer seguridad y desarrollar la confianza en las redes abiertas. Por ello constituyen un elemento clave para el desarrollo del comercio electrónico en Internet.
En el ámbito nacional el comercio electrónico ya se está manifestando, existiendo supermercados, aerolíneas, agentes bursátiles y bancos que ofrecen sus productos y servicios directamente por Internet permitiendo así la compra de alimentos y artículos del hogar, de pasajes aéreos, de títulos valores bursátiles y de transferencias de fondos entre cuentas bancadas y el pago de facturas de servicios.
El comercio electrónico no es el único beneficiario de la firma digital: actualmente las empresas y los organismos públicos nuestro país están colmados de grandes cantidades de documentos en soporte papel que ocupan un significativo y costoso espacio de archivo en sus oficinas y que dificultan su informatización, resultando en un acceso a la información mas lento y costoso. Los requerimientos legales que exigen la utilización del papel con firma manuscrita impiden la implementación de modernos sistemas informáticos mediante los cuales se podría acceder a documentos a distancia y a la información en forma inmediata, dando lugar a nuevas modalidades de desempeño laboral, como ser el teletrabajo.
Tanto estas nuevas modalidades de trabajo como el incremento en la velocidad de circulación de la información que permite el documento digital permitirían que las organizaciones de nuestro país ofrezcan un mejor nivel de servicios a sus clientes y simultáneamente reduzcan sus costos, aumentando su productividad y su competitividad en lo que hoy son mercados cada vez mas globalizados y competitivos.
III.- ESTANDARES INTERNACIONALES
La criptografía de clave asimétrica, también denominada criptografía de clave pública, forma parte de los estándares internacionales: ISO 9796 («Organización de Estándares Internacionales»), ANSI X9.31(Instituto Americano de Estándares Nacionales), ITU-T X.509 (Unión Internacional de Telecomunicaciones), PKCS (Estándares de criptografía de Clave Pública), SWIFT (Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales), ETEBAC Nº 5 (Sistema Financiero Francés).
IV.- NECESIDAD DE COMPATIBILIZACION
Es imprescindible que el marco legal y técnico que adopte el país para el desarrollo de la firma digital sea compatible con el que ya existe en otros países. La aplicación de criterios legales diferentes a los aplicables en otros países en cuanto a los efectos legales de la firma digital y cualquier diferencia en los aspectos técnicos en virtud de los cuales las firmas digitales son consideradas seguras, resultaría perjudicial para el desarrollo futuro del comercio electrónico nacional y, por consiguiente, para el crecimiento económico del país y su incorporación a los mercados internacionales, cada vez más globalizados.
Es importante, por ello, un alto grado de homogeneidad normativa para fomentar la comunicación y la actividad empresarial por redes abiertas con las naciones del Mercosur y del mundo, al facilitar el libre uso y prestación de servidos relacionados con la firma digital y el desarrollo de nuevas actividades económicas vinculadas con el comercio electrónico.
El proyecto que se eleva a Vuestra Honorabilidad tiene como objeto eliminar obstáculos al reconocimiento jurídico de las firmas digitales y promover, la libre circulación de servicios y productos de certificación con otros países. También facilita el uso de las firmas digitales en un espacio sin fronteras en lo que concierne a las obligaciones esenciales de las partes intervinientes y de los certificadores de clave pública.
V.- FALTA DE LEGISLACION
La ausencia de legislación nacional respecto de la firma digital y las exigencias legales de utilización de soporte papel con firma manuscrita dificultan el desarrollo de nuevas y modernas aplicaciones informáticas que permitan mejorar la productividad y reducir los costos de nuestras organizaciones.
VI.- ANTECEDENTES INTERNACIONALES
En el plano internacional tienen lugar actualmente múltiples actividades y debates en torno a los aspectos legales de la firma digital.
La Comisión Europea, la Comisión de las Naciones Unidas para el Derecho Comercial Internacional (UNCITRAL) la Organización de Cooperación y Desarrollo Económico (OCDE), la Organización Mundial del Comercio (OMC) y el Comité de Seguridad de la Información de la Sección de Ciencia y Tecnología de la ABA (Asociación do Abogados de los EE.UU.) han elaborado directivas, proyectos y lineamientos respecto del tema.
Varios países desarrollan actividades normativas pormenorizadas en relación con la firma digital, entre ellos Alemania, Australia, Bélgica, Brasil, Chile, Colombia, Dinamarca, España, la mayoría de los Estados Unidos de América, Finlandia, Francia, Italia, Malasia, los Países Bajos y el Reino Unido.
VII.- ANTECEDENTES NACIONALES
En el plano nacional ya existen antecedentes legales y regulatorios, los que se verían beneficiados con la sanción este proyecto, al facilitarse la extensión de la aplicación de los sistemas de firma digital ya desarrollados en la Administración Pública Nacional a los Gobiernos Provinciales y Municipales y al sector privado. El más importante es el Decreto N 427/98 (Firmas Digitales para la Administración Pública Nacional), que autoriza el empleo de la firma digital en la instrumentación de los actos internos del Sector Público Nacional que no produzcan efectos jurídicos individuales en forma directa. La firma digital tiene, en dicho marco normativo, los mismos efectos de la firma manuscrita, siempre que se hayan cumplido los recaudos establecidos y dentro del ámbito de aplicación en el Sector Público Nacional. Se establecen los requisitos y condiciones para la vigencia y validez de los certificados de clave pública, así como las condiciones bajo las cuales deben operar los certificadores de clave pública licenciados integrantes de la infraestructura de Firma Digital para el Sector Público Nacional.
Cabe mencionar también la Resolución MTSS Nº 555/97 del MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL (Normas y procedimientos para la incorporación de Documentos y Firma Digital); la Resolución SAFJP Nº 293/97 de la SUPERINTENDENCIA DE ADMINISTRADORAS DE FONDOS DE JUBILACION Y PENSIONES (Incorporación del Correo Electrónico con Firma Digital); la Resolución SFP Nº 45/97 de la SECRETARIA DE LA FUNCION PUBLICA (Incorporación de Tecnología de Firma Digital a los Procesos de Información del Sector Público); la Resolución SFP Nº 194/98 de la SECRETARIA DE LA FUNCION PUBLICA (Estándares Aplicables a la Infraestructura de Firma Digital para el Sector Público Nacional del Decreto Nº 427/98); la Resolución SFP Nº 212/97 de la SECRETARIA DE LA FUNCION PUBLICA (Políticas de Certificación para el Licenciamiento de Autoridades Certificantes).
VIII.- SANCIONES PENALES
Para que el marco legislativo que otorga validez jurídica al documento digital firmado digitalmente sea completo es necesario penalizar es estafas y falsificaciones que se puedan cometer utilizando esta tecnología.
Para tipificar estos delitos, la normativa proyectada propone extender el significado de los conceptos existentes y conocidos de «firma», «documento», «instrumento privado» «instrumento público» y «certificado» a la firma digital y al documento digital, de un modo análogo a la inclusión, por ejemplo, del uso de medios hipnóticos o narcóticos dentro del concepto de violencia (artículo 78 del Código Penal).
lX.- PRINCIPIOS Y OBJETIVOS DEL PROYECTO
1) Respeto a las Formas Documentales Existentes.
Es importante destacar que este proyecto de ley no hace obligatoria Fa utilización la firma digital en desmedro de la manuscrita, sino que tal utilización es simplemente voluntaria. Tampoco se pretenden alterar las restantes formas de los diversos actos jurídicos y notariales, sino que como modesto objetivo se propone que un documento digital firmado digitalmente no carezca de validez jurídica únicamente por la naturaleza digital de su soporte y de su firma. Esto significa que el presente proyecto respeta las restantes formas documentales existentes y que, por ejemplo, si una norma requiere en forma expresa que un documento sea manuscrito con firma manuscrita, o que se registre en un protocolo notarial, entonces no podrá aplicársele el mecanismo de firma digital al que se hace referencia en el presente proyecto.
2) Implementaciones preexistentes de firmas digitales.
Las firmas digitales utilizadas en grupos cerrados donde existan relaciones contractuales ya establecidas no deben entrar obligatoriamente dentro del campo de aplicación del proyecto. En este contexto debe prevalecer la libertad contractual de las parles.
3) Reconocimiento Jurídico de las Firmas Digitales.
La cuestión más importante es asegurar el reconocimiento jurídico de las firmas digitales y los servicios de certificación provistos por los certificadores de clave públicos, incluyendo mecanismos de reconocimiento a nivel internacional. Ello implica precisar las exigencias esenciales a cumplir por dichos proveedores de servicios de certificación, incluida su responsabilidad.
Se ha considerado que a implementación de la firma digital debe ser realizada en forma paulatina, respetando las formalidades que la legislación ha establecido para rodear de seguridad jurídica a determinado tipo de actos. En este sentido se ha circunscripto la utilización de la firma digital al ámbito del instrumento privado y a los actos administrativos, estableciéndose que las disposiciones de la ley no son aplicables a los actos jurídicos que se instrumenten bajo una forma incompatible con el documento digital firmado digitalmente, como la escritura pública, por ejemplo, ya sea esta forma impuesta por las leyes u adoptada por las partes. Se propone también el agregado de un nuevo párrafo al Artículo 8º de la ley de Procedimientos Administrativos Nº 19.549, a fin de posibilitar el dictado de actos administrativos mediante el sistema de la firma digital.
4) Funcionamiento de las firmas digitales.
El proyecto de ley adjunto apunta a asegurar el buen funcionamiento de las firmas digitales, instituyendo un marco jurídico homogéneo y adecuado para el uso de estas firmas en el país y definiendo un conjunto de criterios que constituyen los fundamentos de su validez jurídica.
5) No discriminación del documento digital firmado digitalmente.
En un sistema abierto, pero confiable, de firmas digitales, el efecto jurídico atribuido a una firma es un elemento esencial. El proyecto que se eleva a Vuestra Honorabilidad implementa un marro jurídico nacional que garantiza que a fuerza ejecutoria, el efecto o la validez jurídica de una firma digital no sea cuestionado por el solo motivo de que la finta se presenta bajo la forma do datos digitales, y que las firmas digitales sean reconocidas de la misma manera que ras firmas manuscritas. Adicionalmente, los regímenes nacionales de admisibilidad de pruebas se extienden para incluir la utilización de firmas digitales.
6) Libertad contractual.
La tecnología de firmas digitales tiene aplicaciones evidentes en entonos cerrados, como ser la red de una empresa o un sistema bancario. Los certificados de clave pública y las firmas digitales tienen igualmente una función de autorización, por ejemplo para acceder a una cuenta personal. En el marco de la legislación nacional, el principio de la libertad contractual permite a las partes contrayentes convenir entre ellas la modalidad de sus transacciones, es decir, si ellas aceptan o no las firmas digitales.
7) Licenciamiento no obligatorio.
Teniendo en cuenta la gama de servicios en cuestión y sus posibles aplicaciones, los certificadores de clave pública prestatarios de servicios de certificación pueden ofrecer sus servicios sin la obligación de obtener una licencia. De todos modos, estos prestatarios de servicios pueden optar por beneficiarse de la validez jurídica que confiere a las firmas digitales el régimen voluntario de licenciamiento del proyecto propuesto. El licenciamiento debe cons4derarso como un servicio público ofrecido a os prestatarios de servicios de certificación que deseen ofrecer un servicio de alto nivel.
La normativa proyectada rige únicamente el funcionamiento de los certificadores de clave pública licenciados, que emiten certificados de clave pública en relación con la identidad de una persona determinada.
8) Responsabilidad.
Se excluye la responsabilidad de los certificadores de clave pública por inexactitudes en los certificados emitidos que resulten de a información facilitada por el solicitante, siempre que el certificador pueda demostrar que ha tomado las diligencias necesarias según las circunstancias y el tipo de certificado de que se trate. Los certificadores de clave pública pueden limitar su responsabilidad, consignando en los certificados que emitan las restricciones establecidas para su utilización.
9) Reconocimiento de certificados emitidos en otros países.
Los mecanismos cooperativos y un marco normativo compatible que permitan el reconocimiento entre países de las firmas y de los certificados son esenciales para el desarrollo del Comercio electrónico internacional. En el proyecto se permite a los prestatarios de servicios de certificación dentro del ámbito del Mercosur garantizar los certificados de terceros países de la misma forma que los propios certificados.
Dios guarde a Vuestra Honorabilidad.
EL SENADO Y CAMARA DE DIPUTADOS DE LA NACION ARGENTINA, REUNIDOS EN CONGRESO, …
SANCIONAN CON FUERZA DE LEY:
CAPITULO I. De la firma digital
Artículo 1º. Objeto. La presente ley habilita el empleo de la firma digital dentro del principio de libertad de las formas.
Artículo 2º. Firma Digital. La firma digital es el resultado de la transformación de un documento digital por medio de una función de digesto seguro do mensaje, este último encriptado con la clave privada del suscriptor, de forma tal que la persona que posea el documento digital inicial, el digesto encriptado y la clave pública del suscriptor pueda determinar con certeza que la transformación fue realizada utilizando la clave privada correspondiente a dicha clave pública y que el documento digital no ha sido modificado desde que se efectuó la transformación.
En el procedimiento de firma digital intervienen:
a) una clave privada para firmar digitalmente;
b) la correspondiente clave pública para verificar dicha firma digital;
c) el certificado de clave pública que identifica al titular de dicha clave.
Las firmas digitales sólo pueden ser creadas durante la vigencia del respectivo certificado de clave pública.
Artículo 3º. Infraestructura de Firma Digital. En el régimen de esta ley los certificados de clave pública deben ser emitidos por un certificador de clave pública licenciado por el Ente Licenciante.
El Ente Licenciante y los certificadores de clave pública licenciados están sujetos a auditorías periódicas y deben actuar de acuerdo con los estándares que a tal efecto establezca la Autoridad de Aplicación con el asesoramiento de la Comisión Asesora para la Infraestructura de Firma Digital.
Artículo 4º. Del requerimiento de firma. Efectos. La firma digital, con los recaudos y exigencias que esta ley dispone, satisface el requerimiento de firma que las leyes establecen y tiene sus mismos efectos, siendo su empleo una alternativa de la firma manuscrita.
Artículo 5º. Instrumento privado. El documento digital firmado digitalmente, con los recaudos y exigencias que esta ley dispone, es instrumento privado siempre que su contenido pueda ser representado como texto inteligible.
Artículo 6º. Formalidades incompatibles. Las disposiciones de esta ley no son aplicables a los actos jurídicos que se instrumenten bajo una forma incompatible con el documento digital firmado digitalmente, ya sea esta forma impuesta por las leyes o adoptada por las partes.
CAPITULO II. Del certificado de clave pública
Artículo 7º. Contenido. El certificado de clave pública debe responder a formatos estándares reconocidos internacionalmente y contener, como mínimo, los siguientes datos:
a) nombre de su titular
b) tipo y número de documento del titular, o número de licencia, en el caso de certificados emitidos por el Ente Licenciante para certificadores de clave pública licenciados
c) clave pública del titular, identificando el algoritmo utilizado;
d) número de serie del certificado;
e) periodo de vigencia del certificado;
f) la dirección de Internet de las condiciones de emisión y utilización del certificado;
g) la dirección de Internet de la lista de certificados revocados que mantiene certificador que lo emitió;
h) la dirección de Internet del manual de procedimientos y de los informes de auditoria del certificador que lo emitió;
i) nombre del certificador de clave pública emisor del certificado;
j) firma digital del certificador de clave pública que emite el certificado, identificando los algoritmos utilizados.
El certificador de clavo pública licenciado puede incluir información no verificada en un certificado, debiendo indicar claramente tal circunstancia en las correspondientes condiciones de emisión y utilización del certificado.
Artículo 8. Validez. A los efectos de esta ley, el certificado de clave pública es válido únicamente dentro del período de vigencia, que comienza en la fecha de inicio indicada en el certificado y finaliza en su fecha de vencimiento, o con su revocación si fuere revocado. La fecha de vencimiento del certificado de clave pública en ningún caso puede ser posterior a la del vencimiento del certificado de clave pública del certificador que lo emitió. La Autoridad de Aplicación determinará los efectos de la revocación de los certificados de los certificadores de clave pública licenciados o del Ente Licenciante.
CAPITULO III. Del certificado de clave pública licenciado
Artículo 9º. Funciones. El certificador de clave pública licenciado tiene las siguientes funciones:
a) emitir certificados de clave pública de acuerdo a lo establecido en las condiciones de emisión y utilización de sus certificados, para lo cual debe:
i) recibir una solicitud de emisión de certificado de clave pública, firmada digitalmente con la correspondiente clave privada del solicitante:
ii) numerar correlativamente los certificados emitidos;
iii) mantener copia de todos los certificados emitidos, consignando su fecha de emisión, y de las correspondientes solicitudes de emisión.
b) revocar los certificados de clave pública por él emitidos en los siguientes casos:
i) a solicitud del titular del calificado;
ii) a solicitud justificada de un tercero;
iii) si determinara que un certificado fije emitido en base a una información falsa, que en el momento de la emisión hubiera sido objeto de verificación;
iv) si determinara que el criptosystema asimétrico de las claves públicas contenidas en los certificados emitidos ha dejado de ser seguro o si la función de digesto seguro utilizada para crear la firma digital del certificado dejara de ser segura
La solicitud de revocación de un certificado debe hacerse en forma personal, o por medio do un documento digital firmado digitalmente, o de acuerdo a lo que establezca el manual de procedimientos. Si la revocación es solicitada por el titular, ésta debe concretarse de inmediato. Si la revocación es solicitada por un tercero, debe ser realizada dentro de los plazos mínimos necesarios para realizar las verificaciones del caso.
La revocación debe indicar el momento desde el cual se aplica, precisando minutos y segundos, como mínimo, y no puede ser retroactiva o a futuro. El certificado revocado debe ser incluido inmediatamente en la lista de certificados revocados y la lista debe estar firmada por el certificador de clave pública licenciado. Dicha isla debe publicarse en forma permanente e ininterrumpida en Internet.
El certificador de clave pública licenciado debe emitir una constancia de a revocación para el solicitante.
c) proveer, opcionalmente el servido de sellado digital de fecha y hora de documentos digitales;
b) proveer, opcionalmente, el servicio de revalidar firmas digitales creadas por un suscriptor antes de finalizar el período de vigencia del respectivo certificado, aunque el certificado haya sido omitido por otro certificador de clave pública, efectuando siempre las verificaciones que correspondan.
Artículo 10. Obligaciones. El certificador de clave pública licenciado debe:
a) abstenerse degenerar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a la clave privada de los titulares de certificados por él emitidos;
b) mantener el control exclusivo de su divulgación;
c) operar utilizando un sistema técnicamente confiable;
d) notificar al solicitante sobre las medidas necesarias que está obligado a adoptar para crear fiaras digitales seguras y paré su verificación confiable; y de las obligaciones que asume por el solo hecho de ser titular de un certificado de clave pública;
e) recabar únicamente aquellos datos personales del titular del certificado que sean necesarios para su emisión, quedando el solicitante en libertad de proveer información adicional;
f) mantener la confidencialidad de toda información que no figure en el certificado;
g) poner a disposición del solicitante de relativa a su tramitación;
h) mantener la documentación respaldatoria de los certificados emitidos por DIEZ (10) años a partir de su fecha de vencimiento o revocación;
i) incorporar en las condiciones de emisión y utilización de sus certificados los efectos de la revocación de su propio certificado de clave pública y del certificado del Ente Licenciante;
j) publicar en Internet en forma permanente e ininterrumpida, los certificados que ha emitido la lista de certificados revocados, las condiciones de emisión y utilización de sus certificados, los informes de las auditorías de que hubiera sido objeto, su manual de procedimientos, su dirección de atención al público, de correo electrónico y sus números telefónicos;
k) publicar en el Boletín Oficial las condiciones de emisión y utilización de sus certificados, su dirección de atención al público, de correo electrónico, sus números telefónicos y las direcciones de Internet tanto de su lista, de certificados revocados como de las condiciones de emisión y utilización de sus certificados;
l) registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas;
m) si las condiciones de emisión y utilización de sus certificados requieren la verificación, de la identidad del titular, realizar dicha verificación por intermedio de un escribano público u oficial público competente;
n) verificar, de acuerdo con lo dispuesto en el manual de procedimientos del certificador de clave pública licenciado, toda otra información que daba ser objeto de verificación según lo dispuesto en el citado manual, la que debo figurar en las condiciones de emisión y utilización de sus certificados y en los certificados;
o) cumplir con las obligaciones emergentes de su calidad de titular de certificado emitido por el Ente Licenciante;
p) solicitar sin demora al Ente Licenciante la revocación de su propio certificado, cuando tuviera sospechas fundadas de que la privacidad de su clave privada hubiese sido comprometida o cuando el criptosistema asimétrico de la clave pública en él contenida haya dejado de ser seguro;
q) informar sin demora al Ente Licenciante sobre cualquier cambio en los datos contenidos en su certificado o sobre cualquier hecho significativo que pueda afectar la información contenida en éste;
r) permitir el ingreso de los funcionarios autorizados del Ente Licenciante o de los auditores habilitados su local operativo, poner a su disposición toda la información necesaria y proveer la asistencia del caso;
s) emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para proveer los servicios ofrecidos y, en particular, competencia en materia de gestión, conocimientos técnicos en el Ámbito de la firma digital y experiencia adecuada en los procedimientos de seguridad pertinentes;
t) disponer de recursos económicos suficientes para operar de conformidad con lo dispuesto en la presente ley, en particular, para afrontar el riesgo de responsabilidad por daños.
Artículo 11. Limitaciones de responsabilidad. Los certificados de clave pública licenciados no son responsables en los siguientes casos:
a) por los casos que se excluyan taxativamente en las condiciones de emisión y utilización de sus certificados y que no estén expresamente previstos en la ley;
b) por los daños y perjuicios que resulten del uso no autorizado de un certificado, si en las correspondientes condiciones de emisión y utilización de sus certificados constan las restricciones de su utilización;
c) por los daños y perjuicios que excedan el valor limite por transacción, o por el total de transacciones, si tales valores límites constan en las correspondientes condiciones de emisión utilización de sus certificados;
d) por eventuales inexactitudes en el codificado que resulten de la información facilitada por el titular; que, según o dispuesto en su manual de procedimientos, deba ser objeto de verificación, siempre que el certificador de clave pública pueda demostrar que ha tomado todas las medidas razonablemente practicables para verificar tal información, de acuerdo con las circunstancias y el tipo de certificado de que se trato.
Artículo 12. Requisitos para obtener la licencia. El certificador de clave pública que desee obtener una licencia debe:
a) ser persona jurídica u organismo público;
b) presentar una solicitud;
c) contar con un dictamen favorable omitido por un auditor habilitado por la Autoridad de Aplicación;
d) someter a aprobación del Ente Licenciante el manual de procedimientos, el plan de seguridad y el de cese de actividades, así corro el detalle de los componentes técnicos a utilizar;
e) emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para proveer los servicios ofrecidos y, en particular, competencia en materia de gestión, conocimientos técnicos en el ámbito de a firma digital y experiencia adecuada en los procedimientos de seguridad pertinentes;
f) presentar toda otra información relativa al proceso de otorgamiento de licencias que sea exigida por el Ente Licenciante.
Artículo 13. Cese de actividades. El certificador de clave pública licenciado cesa en tal calidad:
a) por decisión unilateral comunicada al Ente Licenciante;
b) por revocación de su personalidad jurídica disolución;
c) por revocación de su licencia dispuesta por el Ente Licenciante.
Los certificados emitidos por un certificador de clave pública licenciado que cesa en sus actividades deben ser, evocados a partir del día y la hora en que cesa su actividad. El codificador de clave pública licenciado debe notificar al Ente Licenciante y hacer saber, mediante publicación oficial por TRES (3) días consecutivos, la fecha y hora de cese de sus actividades, la que no puede ser anterior a los NOVENTA (90) días corridos contados desde la fecha de la última publicación.
CAPITULO IV. Del titular de un certificado do clave pública
Artículo 14. Personalidad. El titular de un certificado de clave pública debe de existencia visible excepto en os casos de certificador de clave pública licenciado o del Ente Licenciante.
Artículo 15. Obligaciones. El titular de un certificado de clave pública debe:
a) manifestar bajo declaración jurada los datos que provea al certificador de clave pública;
b) mantener el control exclusivo de su clave privada, no compartirla, e impedir su divulgación;
c) utilizar un dispositivo de creación de firma digital técnicamente confiable;
d) informar sin demora al certificador de clave pública sobre cualquier circunstancia que pueda haber comprometido la privacidad de su clave privada;
e) informar sin demora al certificador de clave pública el cambio de alguno de los datos contenidos en el certificado que hubiera sido objeto de verificación.
CAPITULO V. Del Ente Licenclante
Artículo 16. Objeto y adjudicación. El Ente Licenciante es el órgano administrativo encargado de otorgar las licencias a los certificadores de clave pública y de supervisar su actividad. Dichos licencias son intransferibles.
Adjudícase a la SECRETARLA DE LA FUNCION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS las funciones del Ente Licenciante,
Artículo 17. Funciones. El Ente Licenciante tiene las siguientes funciones:
a) otorgar las licencias habilitantes a los certificadores de clave pública y emitir los correspondientes certificados de clave pública, que permiten verificar las firmas digitales de los certificados que éstos emitan;
b) denegar las solicitudes de licencias a los certificadores de clave pública que no cumplan con los requisitos establecidos para su autorización;
c) revocar las licencias otorgadas a los certificadores de clave pública licenciados que dejan de cumplir con los requisitos establecidos para su autorización;
d) fiscalizar cumplimiento de las normas legales y reglamentarias en lo referente a la actividad de los certificadores de clave pública licenciados;
e) verificar que los certificadores de clave pública licenciados utilicen sistemas técnicamente confiables;
f) considerar para su aprobación el manual de procedimientos, el plan de seguridad y el de cese de actividades presentados por los certificadores de clave pública;
g) acordar con los auditores habilitados el plan de auditoria para los certificadores de clave pública licenciados;
h) disponer la realización de auditorias de oficio;
i) efectuar las tareas de control del cumplimiento de las recomendaciones formuladas en los dictámenes de auditoria de los certificadores de clave pública, para determinar si el auditado ha tomado las acciones correctivas, en su caso;
Artículo 18. Obligaciones. En su calidad de titular de certificado por él emitido y de certificador de clave pública, el Ente Licenciante tiene las mismas obligaciones que los titulares de certificados y los certificadores de clave pública licenciados, y además debe:
a) abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a la clave privada de cualquier certificador de clave pública licenciado;
b) mantener el control exclusivo de su propia clave privada a impedir su divulgación;
c) revocar su propio certificado de clave pública frente al compromiso de la privacidad de su clave privada, o si el criptosistema asimétrico de la clave pública en él contenida deja de ser seguro, o si la función de digesto seguro utilizada para crear la firma digital del certificado deja de ser segura;
d) publicar en Internet en forma permanente e ininterrumpida los domicilios, números telefónicos y direcciones de Internet tanto de los certificadores de clave pública licenciados como propios;
e) publicar su propio certificado de clave pública en el Boletín Oficial y en dos diarios de difusión nacional, durante TRES (3) días consecutivos a partir del día de su emisión, y en Internet en forma permanente e ininterrumpida;
f) revocar los certificados emitidos a favor de los certificadores de clave pública licenciados incursos en causales de revocación de licencia, o que han cesado sus actividades;
g) revocar los certificados emitidos en favor de los certificadores de clave pública licenciados cuando el criptosistema asimétrico de las claves públicas que en ellos figuran deja de ser seguro, o si la función de digesto utilizada para crear las firmas digitales de los certificados deja de ser segura;
h) supervisar la ejecución del plan de cese de actividades de los certificadores de clave pública licenciados que discontinúan sus funciones;
i) abstenerse de emitir certificados de clave pública a personas que no sean certificadores de clave pública licenciados;
Artículo 19. Arancelamiento. El Ente Licenciante percibirá aranceles de licenciamiento para cubrir el costo do su estructura de planta y personal y de las inspecciones de oficio que realice y de todo otro gasto necesario para el cumplimiento de sus actividades.
CAPITULO VI. De las auditorias
Artículo 20. Sujetos a auditar. El Ente Licenciante y clave pública licenciados deben ser auditados anualmente, por profesionales o firmas de profesionales especializados, habilitados al efecto por la Autoridad de Aplicación.
Artículo 21. Requisitos de habilitación. A los efectos de su habilitación, los auditores, en su actividad, deben cumplir los siguientes requisitos, sin perjuicio de aquellos que establezca la Autoridad de Aplicación:
a) acordar con el Ente Licenciante el plan de auditoria para los certificadores de clave pública licenciados;
b) utilizar técnicas de auditoría apropiadas en sus evaluaciones;
c) evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, corno así también el cumplimiento con las especificaciones del manual de procedimientos y los planes de seguridad y de contingencia aprobados por el Ente Licenciante;
d) prever su participación en los simulacros de emergencia destinados a probar el plan de contingencia;
e) dar copia de todos los informes de auditoria por él emitidos al Ente Licenciante ya la Comisión Asesora para la Infraestructura de Firma Digital.
CAPITULO VII. De a Comisión Asesora para la Infraestructura de Firma Digital
Artículo 22. Integración y funcionamiento. Créase la Comisión Asesora para la Infraestructura de Firma Digital, la que estará integrada por NUEVE (9) miembros, de reconocida trayectoria y experiencia en la materia, designados por el PODER EJECUTIVO NACIONAL, de los cuales uno revestirá el cargo de presidente y el otro el de vicepresidente, por un periodo de CINCO (5) años renovable por única vez. Estará conformada como mínimo por CINCO (5) profesionales de informática y criptografía.
La Comisión dictará su propio reglamento. Se reunirá como mínimo trimestralmente; deberá expedirse prontamente a solicitud de la Autoridad de Aplicación y sus dictámenes y disidencias se incluirán en las actas de la Comisión, las que se publicarán en el Boletín Oficial.
La Comisión consultará periódicamente mediante audiencias públicas con la industria, los usuarios y las asociaciones de consumidores y mantendrá a la Autoridad de Aplicación regularmente informada de los resultados do dichas consultas.
Artículo 23. Funciones. La Comisión debe emitir dictamen, por iniciativa propia o a solicitud de la Autoridad de Aplicación, sobre los siguientes aspectos relativos a los certificadores de clave pública:
a) tipos de algoritmos que pueden implementar los dispositivos homologados de creación y verificación de firmas digitales, los que en el ámbito internacional deben tener amplia difusión y estudio;
b) longitudes mínimas aceptables de claves públicas y de digestos de mensaje y fecha limite de vencimiento de los certificados que las utilizan;
c) confiabilidad para emitir y revocar certificados;
d) determinación de la identidad y capacidad de obrar de los titulares de certificados de clave pública;
e) empleo de personal con conocimientos técnicos, de seguridad y de gestión específicos y experiencia necesaria para proveer los servicios ofrecidos;
f) utilización de dispositivos de creación y verificación de firmas digitales que aseguren la protección contra toda alteración de dichos productos, de manera que éstos no puedan ser utilizados pera llevar a cabo funciones distintas de aquellas para las cuales fueren diseñados;
g) registro de toda a información relativa a la emisión de certificados de clave pública;
h) requisitos mínimos de información que debe contener el informe por escrito a los potenciales titulares de certificados de clave pública de los términos de las condiciones de emisión y utilización de sus certificados;
i) determinación de los efectos de a revocación de los certificados de clave pública de los certificadores y del Ente Licenciante.
CAPITULO VIII. De la Autoridad de Aplicación
Artículo 24. Adjudicación.– La SECRETARIA DE LA FUNCION PUBLICA, dependiente de la JEFATURA DE GABINETE DE MINISTROS, es la Autoridad de Aplicación, interpretación y reglamentación de la presente ley, y debe redactar, previo dictamen de la Comisión Asesora para la Infraestructura de Firma Digital, los estándares de licenciamiento que debe implementar el Ente Licenciante.
Artículo 25. Funciones. La Autoridad de Aplicación tiene las siguientes funciones:
a) establecer los estándares tecnológicos y operativos de a Infraestructura de Firma Digital;
b) determinar los recursos económicos suficientes de los cuales debe disponer un certificador de clave pública licenciado para operar de conformidad a la presente ley y en particular para afrontar el riesgo de responsabilidad por daños;
c) determinar los efectos de la revocación de los certificados de los certificadores de clave pública licenciados o del Ente Licenciante;
d) solicitar dictámenes a la Comisión Asesora para la Infraestructura de Firma Digital, de los que sólo puede apartarse mediante resolución fundada y publicada en el Boletín Oficial;
e) Instrumentar acuerdos nacionales, multinacionales y regionales a fin de otorgar validez jurídica a las firmas digitales creadas en base a certificados emitidos por certificadores de clave pública de otros países;
f) Homologar dispositivos de creación y verificación de firmas digitales, cuya solicitud se considera aprobada tácitamente si le Autoridad de Aplicación no se expide dentro de los NOVENTA (90) días de presentada la solicitud;
g) determinar las pautas de auditoría, incluyendo los dictámenes tipo que deban emitirse como conclusión de las revisiones;
h) establecer las condiciones mínimas de inclusión en un registro de habilitación de auditores que deberá crear a tal efecto;
i) habilitar a los auditores públicos y privados que lo soliciten y que cumplan las condiciones mínimas de inclusión en el registro o inhabilitar a aquellos que dejen de cumplir dichas condiciones;
j) dictar las normas de procedimiento de los sumados administrativos que lleva a cabo el Ente Licenciante.
ElCAPITULO IX. De las sanciones
Artículo 26. Sanciones. Ente Licenciante es competente para calificar y sancionar las conductas de os certificadores de clave pública licenciados que inflijan las disposiciones de esta ley y de las normas que dicte la Autoridad de Aplicación. Dichas sanciones son apercibimiento, multa de PESOS UN MIL ($ 1.000) a PESOS UN MIILON ($ l.000.000) y revocación de la licencia. El producido de las multas ingresa a las rentas generales de la Nación.
Artículo 27. Procedimiento. Las sanciones se aplican mediante resolución fundada, previo sumario administrativo, y son recurribles ante le Autoridad de Aplicación.
El Ente Licenciante puede, una vez iniciado el sumario, suspender preventivamente al certificador de clave pública licenciado y, complementariamente, disponer las medidas conducentes para el resguardo de los derechos de los titulares de certificados.
CAPITULO X. Normas de Derecho Internacional Privado
Artículo 28. Equivalencia. Los certificados emitidos por un certificador de clave pública licenciado en otro país se reconocen como jurídicamente equivalentes a los emitidos por un certificador de clave pública licenciado nacional en los siguientes casos:
a) si el certificador de clave pública extranjero cumple requisitos análogos a los de la presente ley y ha sido licenciado en el marco de un sistema voluntario de licenciamiento establecido por el gobierno de un país miembro del Mercosur;
b) si un certificador de clave pública establecido en el Mercosur que cumple con requisitos análogos a los de la presente ley garantiza el certificado en la misma medida que los propios;
c) si el certificado o el certificador de clave pública están reconocidos en virtud de un acuerdo bilateral o multilateral entre la Nación o el Mercosur y terceros países u organizaciones internacionales.
CAPITULO XI. Definiciones
Artículo 29. A los efectos de la presente ley se definen los siguientes términos:
a) Certificado o certificado de clave pública: es un documento digital firmado digitalmente por un certificador de clave pública, que asocie una clave pública con su titular durante el periodo de vigencia del certificado.
b) Clave privada: es aquella que se utiliza para firmar digitalmente mediante un dispositivo de creación de firma digital, en un criptosistema asimétrico seguro.
c) Clave pública: es aquella que se utiliza para verificar una firma digital, en un criptosistema asimétrico seguro.
d) Computacionalmente no factible: es la cualidad de aquellos cálculos matemáticos asistidos por computadora que para ser llevados a cabo requieren de tiempo y recursos informáticos que superan ampliamente los disponibles al momento de efectuar aquellos cálculos.
e) Condiciones de emisión y utilización de los certificados: es un documento que emite el certificador de clave pública que contiene los términos de emisión de sus certificados.
f) Criptosistema asimétrico seguro: es un método criptográfico que utiliza un par de claves compuesto por una clave privada utilizada para firmar digitalmente y su correspondiente clave pública utilizada para verificar esa firma digital, de forma tal que con las longitudes de claves utilizadas, sea computacionalmente no factible tanto obtener o inferir la clave privada a partir de la correspondiente clave pública como desencriptar aquello que ha sido encriptado con una clave privada sin la utilización de a correspondiente clave pública.
g) Digesto de mensaje: es una secuencia de bits de longitud fija producida por una función de digesto seguro luego de procesar un documento digital.
h) Dispositivo de creación de firma digital: es un dispositivo de hardware o software técnicamente confiable para firmar digitalmente.
i) Dispositivo de verificación, de firma digital: es un dispositivo de hardware o software técnicamente confiable que verifica una finta digital utilizando la clave pública del firmante.
j) Documento digital: es la representación digital de actos, hechos o datos jurídicamente relevantes, con independencia del soporte utilizado para almacenar o archivar esa información.
k) Función de digesto seguro: es un algoritmo criptográfico que transforma un documento digital en un digesto de mensaje, de forma tal que se obtenga el mismo digesto de mensaje cada vez que so calcule esta función respecto del mismo documento digital y sea computacionalmente no factible tanto inferir o reconstituir un documento digital a partir de un digesto de mensaje como encontrar dos documentos digitales diferentes que produzcan el mismo digesto de mensaje.
l) Par de claves: es la clave privada y su correspondiente clave pública en un criptosistema asimétrico seguro.
m) Representación digital: es le información representada mediante dígitos o números, sin hacer referencia o su medio de almacenamiento o soporte, susceptible de ser firmada digitalmente.
n) Sellado digital de fecha y hora: es la constancia, firmada digitalmente, de fecha, hora, minutos y segundos, como mínimo, que el certificador de clave pública adiciona a un documento digital o a su digesto de mensaje.
o) Soporte:es el medio en el cual se almacena la información de un documento digital, tal como memoria electrónica, disco magnético, magneto-óptico u óptico cinta magnética, tarjeta inteligente, micro-chip.
p) Técnicamente confiable: es la cualidad del conjunto de equipos de computación, software, protocolos de comunicación y de seguridad y procedimientos administrativos relacionados, que reúna los siguientes requisitos:
i) sea confiable para resguardar contra la posibilidad de intrusión o de uso no autorizado;
ii) brinde disponibilidad, confiabilidad, confidencialidad y correcto funciona miento;
iii) sea apto para el desempeño de sus funciones especificas;
iv) cumpla con requisitos de seguridad apropiados, acordes a estándares internacionales en la materia;
v) cumpla con los estándares tecnológicos que al efecto dicte la Autoridad de Aplicación.
CAPITULO XII. Disposiciones finales
Artículo 30. Acto administrativo. Sustitúyese el artículo 8 de la Ley Nacional de Procedimientos Administrativos Nº 19.549 por el siguiente texto:
«Artículo 8º.- El acto administrativo se manifestará expresamente y por escrito; indicará el lugar y fecha en que se lo dicta y contendrá la firma de la autoridad que lo emite; sólo por excepción y si las circunstancias lo permitieren podrá utilizarse una forma distinta.»
«El documento firmado mediante el empleo del procedimiento de la firma digital, conforme a los términos y bajo las condiciones habilitantes dispuestas por la ley específica y las reglamentaciones vigentes, cumple con los requisitos de escritura y de firma del párrafo anterior».
Artículo 31.- Efectos penales. Incorporase el siguiente artículo al CODIGO PENAL:
Artículo 78 (bis).- Queda comprendida en el concepto de «firma» la firma digital. Quedan comprendidos en el concepto de «suscribir» el crear una firma digital o firmar digitalmente. Queda comprendido en los conceptos «documento», de «instrumento privado», y de «certificado», el documento digital «firmado digitalmente».
Artículo 32. Financiamiento.Los gastos que demande la aplicación de la firma digital prevista en esta ley deberán ser atendidos con el producido del arancelamiento establecido por el artículo 19 de la presente ley.
Artículo 33. Sistema Presupuestario y de Control. La aplicación de la presente ley estará sujeta, en cuanto corresponda, a las normas establecidas en la Ley Nº 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y su reglamentación.
Artículo 34. Comuníquese al PODER EJECUTIVO NACIONAL.