PRESIDÊNCIA DO CONSELHO DE MINISTROS

Decreto-Lei nº 116-A/2006 de 16 de Junho

Decorrente da implementação em curso de vários programas públicos para a promoção das tecnologias de informação e comunicação e da introdução de novos processos de relacionamento em sociedade, entre cidadãos, empresas, organizações não governamentais e o Estado, com vista ao fortalecimento da sociedade de informação e do governo electrónico (e-government), foi aprovada, através da Resolução do Conselho de Ministros nº 171/2005, de 3 de Novembro, a criação da Entidade de Certificação Electrónica do Estado. Infra-Estrutura de Chaves Públicas (ECEE-ICP).

Esses programas envolvem, para certos fins específicos, mecanismos de autenticação digital forte de identidades e assinaturas electrónicas que podem ser concretizados mediante a utilização das denominadas infra-estruturas de chaves públicas.

Assim, para assegurar a unidade, a integração e a eficácia dos sistemas de autenticação digital forte nas relações electrónicas de pessoas singulares e colectivas com o Estado e entre entidades públicas é necessário estabelecer um sistema de certificação electrónica do Estado (SCEE).

A arquitectura do SCEE constitui, assim, uma hierarquia de confiança que garante a segurança electrónica do Estado e a autenticação digital forte das transacções electrónicas entre os vários serviços e organismos da Administração Pública e entre o Estado e os cidadãos e as empresas.

O SCEE compreende o Conselho Gestor, que estabelece as políticas e práticas de certificação, e a Entidade de Certificação Electrónica do Estado, que aprova a integração de entidades certificadoras no SCEE e que, enquanto entidade certificadora raiz do Estado, constitui o primeiro nível da cadeia hierárquica de certificação relativamente às várias entidades certificadoras do Estado a esta subordinadas.

O SCEE funciona independentemente de outras infra-estruturas de chaves públicas de natureza privada ou estrangeira, mas deve permitir a interoperabilidade com as infra-estruturas que satisfaçam os requisitos necessários de rigor de autenticação, através dos mecanismos técnicos adequados, e da compatibilidade em termos de políticas de certificação, nomeadamente no âmbito dos países da União Europeia.

A criação do SCEE é efectuada, com as devidas adaptações, em conformidade com toda a legislação nacional e comunitária em vigor, nomeadamente a relativa às regras técnicas e de segurança aplicáveis às entidades certificadoras estabelecidas em Portugal na emissão de certificados qualificados.

O presente decreto-lei comete ainda à Autoridade Nacional de Segurança as funções de autoridade credenciadora, que até agora se encontravam atribuídas ao Instituto das Tecnologias da Informação da Justiça.

A atribuição destas funções à Autoridade Nacional de Segurança justifica-se pela especial aptidão que esta entidade possui para actuar como autoridade credenciadora, bem como pelo facto de se encontrar integrada na Presidência do Conselho de Ministros e garantir forte hierarquia de segurança.

Assim:

Nos termos da alínea a) do nº 1 do artigo 198º da Constituição, o Governo decreta o seguinte:

CAPÍTULO I.- Disposições gerais

Artigo 1º.- Objecto e âmbito

1.- É criado o Sistema de Certificação Electrónica do Estado .-  Infra-Estrutura de Chaves Públicas, adiante designado abreviadamente por SCEE, destinado a estabelecer uma estrutura de confiança electrónica, de forma que as entidades certificadoras que lhe estão subordinadas disponibilizem serviços que garantam:

a) A realização de transacções electrónicas seguras;

b) A autenticação forte;

c) Assinaturas electrónicas de transacções ou informações e documentos electrónicos, assegurando a sua autoria, integridade, não repúdio e confidencialidade.

2.- O SCEE opera para as entidades públicas e para os serviços e organismos da Administração Pública ou outras entidades que exerçam funções de certificação no cumprimento de fins públicos daquela.

Artigo 2º.- Estrutura e funcionamento do SCEE

1.- O SCEE compreende:

a) O Conselho Gestor do Sistema de Certificação Electrónica do Estado;

b) A Entidade de Certificação Electrónica do Estado;

c) As entidades certificadoras do Estado.

2.- O funcionamento do SCEE obedece às regras estabelecidas no presente decreto-lei.

CAPÍTULO II.- Conselho Gestor do SCEE

Artigo 3º.- Composição e funcionamento

1.- O Conselho Gestor do SCEE é o órgão responsável pela gestão global e administração do SCEE.

2.- O Conselho Gestor do SCEE é presidido pelo Ministro da Presidência, com faculdade de delegação, e composto por representantes de cada uma das seguintes entidades, designados pelos competentes membros do Governo:

a) Agência para a Sociedade do Conhecimento, I. P. (UMIC);

b) Centro de Gestão da Rede Informática do Governo (CEGER);

c) Fundação para a Computação Científica Nacional (FCCN);

d) Gabinete Nacional de Segurança (GNS);

e) ICP.- Autoridade Nacional de Comunicações (ICP.- ANACOM);

f) Instituto de Informática (II);

g) Instituto de Telecomunicações (IT);

h) Instituto das Tecnologias de Informação na Justiça (ITIJ);

i) Rede Nacional de Segurança Interna;

j) Unidade de Coordenação da Modernização Administrativa (UCMA).

3.- Salvo indicação expressa em contrário no acto de designação, o membro do Governo indicado nos termos do número anterior pode delegar a presidência em qualquer membro do Conselho Gestor do SCEE.

4.- O Conselho Gestor do SCEE pode solicitar a colaboração de outras entidades públicas, bem como de entidades privadas ou de individualidades, para a análise de assuntos de natureza técnica especializada, no âmbito das competências que lhe são cometidas pelo presente decreto-lei.

5.- O Conselho Gestor do SCEE reúne, de forma ordinária, duas vezes por ano e, de forma extraordinária, por convocação do seu presidente.

6.- O apoio técnico, logístico e administrativo ao Conselho Gestor do SCEE bem como os encargos inerentes ao seu funcionamento são da responsabilidade da entidade à qual é cometida a função de operação da entidade certificadora raiz do Estado.

7.- Os membros do Conselho Gestor do SCEE não têm direito a auferir suplemento remuneratório pelo desempenho das suas funções, sem prejuízo da possibilidade do percebimento de abonos ou ajudas de custo, nos termos gerais.

Artigo 4º.- Competências

1.- Compete ao Conselho Gestor do SCEE:

a) Definir, de acordo com a lei e tendo em conta as normas ou especificações internacionalmente reconhecidas, a política de certificação e as práticas de certificação a observar pelas entidades certificadoras que integram o SCEE;

b) Garantir que as declarações de práticas de certificação das várias entidades certificadoras do Estado, bem como da entidade certificadora raiz do Estado, estão em conformidade com a política de certificação do SCEE;

c) Propor os critérios para aprovação das entidades certificadoras que pretendam integrar o SCEE;

d) Aferir a conformidade dos procedimentos seguidos pelas entidades certificadoras do Estado com as políticas e práticas aprovadas, sem prejuízo das competências legalmente cometidas à autoridade credenciadora;

e) Pronunciar-se pela exclusão do SCEE das entidades certificadoras do Estado em caso de não conformidade com as políticas e práticas aprovadas, comunicando tal facto à autoridade credenciadora;

f) Pronunciar-se sobre as melhores práticas internacionais no exercício das actividades de certificação electrónica e propor a sua aplicação;

g) Representar institucionalmente o SCEE.

2.- Compete, ainda, ao Conselho Gestor do SCEE a promoção das actividades necessárias para o estabelecimento de acordos de interoperabilidade, com base em certificação cruzada, com outras infra-estruturas de chaves públicas, de natureza privada ou pública, nacionais ou internacionais, nomeadamente:

a) Dar indicações à entidade certificadora raiz do Estado para a atribuição e a revogação de certificados emitidos com base em certificação cruzada;

b) Definir os termos e condições para o início, a suspensão ou a finalização dos procedimentos de interoperabilidade com outras infra-estruturas de chaves públicas.

CAPÍTULO III.- Entidade de Certificação Electrónica do Estado

Artigo 5º.- Definição e competências

1 .-  A Entidade de Certificação Electrónica do Estado, enquanto entidade certificadora raiz do Estado, é o serviço certificador de topo da cadeia de certificação do SCEE que executa as políticas de certificados e directrizes aprovadas pelo Conselho Gestor do SCEE.

2.- Compete à Entidade de Certificação Electrónica do Estado admitir a integração das entidades certificadoras que obedeçam aos requisitos estabelecidos no presente decreto-lei, bem como prestar os serviços de certificação às entidades certificadoras, no nível hierárquico imediatamente inferior ao seu na cadeia de certificação, em conformidade com as normas aplicáveis às entidades certificadoras estabelecidas em Portugal na emissão de certificados digitais qualificados.

3.- Para os efeitos previstos no número anterior, compete à Entidade de Certificação Electrónica do Estado obter o certificado de credenciação referido no nº 2 do artigo 8º

4 .-  A Entidade de Certificação Electrónica do Estado disponibiliza exclusivamente os seguintes serviços de certificação digital:

a) Processo de registo das entidades certificadoras;

b) Geração de certificados, incluindo certificados qualificados, e gestão do seu ciclo de vida;

c) Disseminação dos certificados, das políticas e das práticas de certificação;

d) Gestão de revogações de certificados;

e) Disponibilização do estado e da situação das revogações referidas na alínea anterior.

5.- Compete, ainda, à Entidade de Certificação Electrónica do Estado:

a) Garantir o cumprimento e a implementação enquanto entidade certificadora de todas as regras e todos os procedimentos estabelecidos no documento de políticas de certificação e na declaração de práticas de certificação do SCEE;

b) Implementar as políticas e práticas do Conselho Gestor do SCEE;

c) Gerir toda a infra-estrutura e os recursos que compõem e garantem o funcionamento da entidade certificadora raiz do Estado, nomeadamente o pessoal, os equipamentos e as instalações;

d) Gerir todas as actividades relacionadas com a gestão do ciclo de vida dos certificados por si emitidos para as entidades certificadoras de nível imediatamente inferior ao seu;

e) Garantir que o acesso às suas instalações principal e alternativa é efectuado apenas por pessoal devidamente autorizado e credenciado;

f) Gerir o recrutamento de pessoal tecnicamente habilitado para a realização das tarefas de gestão e operação da entidade certificadora raiz do Estado;

g) Comunicar imediatamente qualquer incidente, nomeadamente anomalias ou falhas de segurança, ao Conselho Gestor do SCEE.

6 .-  A Entidade de Certificação Electrónica do Estado emite exclusivamente certificados para as entidades certificadoras do Estado subordinadas, não podendo emitir certificados destinados ao público.

Artigo 6º.- Direcção e pessoal

1 .-  A Entidade de Certificação Electrónica do Estado é dirigida, por inerência, pelo director do Centro de Gestão da Rede Informática do Governo (CEGER).

2.- Desempenham funções na Entidade de Certificação Electrónica do Estado, sem prejuízo do exercício de funções no lugar de origem, os técnicos do CEGER com as seguintes categorias:

a) Um consultor de sistemas, incumbido da articulação entre a Entidade de Certificação Electrónica do Estado e o Conselho Gestor do SCEE e entre aquela e as entidades certificadoras do Estado;

b) Um administrador de sistemas, autorizado a instalar, configurar e manter o sistema, tendo acesso controlado a configurações relacionadas com a segurança;

c) Um operador de sistemas, responsável por operar diariamente os sistemas, autorizado a realizar cópias de segurança e reposição de informação;

d) Um administrador de segurança, responsável pela gestão e implementação das regras e práticas de segurança;

e) Um administrador de registo, responsável pela aprovação da emissão, pela suspensão e pela revogação de certificados;

f) Um auditor de sistemas, autorizado a monitorizar os arquivos de actividade dos sistemas.

3.- Nos termos da legislação em vigor, as funções de administrador de sistemas, de administrador de segurança e de auditor de sistemas devem ser desempenhadas por pessoas diferentes.

4.- Para os efeitos do disposto no nº 2, o quadro de pessoal do CEGER pode ser alterado por portaria conjunta dos membros do Governo responsáveis pelas áreas das finanças e da Administração Pública e pelo CEGER.

CAPÍTULO IV.- Entidades certificadoras do Estado

Artigo 7º.- Requisitos

1.- São entidades certificadoras do Estado as entidades públicas que exerçam funções de entidade certificadora nos termos do disposto no Decreto-Lei nº 290-D/99, de 2 de Agosto, na redacção introduzida pelo Decreto-Lei nº 62/2003, de 3 de Abril, e pelo presente decreto-lei e respectiva regulamentação, e que:

a) Estejam admitidas como entidades certificadoras, nos termos do nº 2 do artigo 5º;

b) Actuem em conformidade com as declarações de práticas de certificação e com a política de certificação e práticas aprovadas pelo Conselho Gestor do SCEE.

2.- Para os efeitos da aplicação do regime previsto do número anterior, consideram-se abrangidas quaisquer entidades que, independentemente da sua natureza, prestem funções de certificação para a realização de fins próprios da Administração Pública.

3.- Só podem prestar serviços de certificação electrónica, no âmbito do SCEE, as entidades reconhecidas como entidades certificadoras, nos termos dos números anteriores.

4.- As entidades certificadoras não podem emitir certificados de nível diverso do imediatamente subsequente ao seu, excepto nos casos de acordos de certificação lateral ou cruzada promovidos e aprovados pelo Conselho Gestor do SCEE.

5.- Os serviços de registo podem ser atribuídos a entidades, individuais ou colectivas, designadas como entidades de registo, nas quais as entidades certificadoras do Estado delegam a prestação de serviços de identificação e registo de utilizadores de certificados, bem como a gestão de pedidos de revogação de certificados, nos termos do disposto no nº 1 do artigo 4º do Decreto Regulamentar nº 25/2004, de 15 de Julho.

CAPÍTULO V.- Autoridade credenciadora nacional

Artigo 8º.- Autoridade credenciadora

1.- A autoridade credenciadora competente para a credenciação e a fiscalização das entidades certificadoras compreendidas no SCEE é a Autoridade Nacional de Segurança, nos termos do artigo 3º do Decreto-Lei nº 217/97, de 20 de Agosto.

2.- No âmbito da aplicação do artigo 1º, a Autoridade Nacional de Segurança é competente para emitir o certificado de credenciação das entidades certificadoras e exercer as competências de credenciação previstas no Decreto-Lei nº 290-D/99, de 2 de Agosto, alterado pelo Decreto-Lei nº 62/2003, de 3 de Abril, e na redacção introduzida pelo presente decreto-lei.

3.- A Autoridade Nacional de Segurança é assistida, no exercício das suas competências, pelo conselho técnico de credenciação.

Artigo 9º.- Conselho técnico de credenciação

1.- O conselho técnico de credenciação é um órgão consultivo da autoridade credenciadora, competindo-lhe pronunciar-se sobre todas as questões que a autoridade credenciadora lhe submeta.

2.- O conselho técnico de credenciação pode, ainda, por sua iniciativa, emitir pareceres ou recomendações à autoridade credenciadora.

Artigo 10º.- Composição

O conselho técnico de credenciação é composto:

a) Pela Autoridade Nacional de Segurança, que preside;

b) Por duas personalidades designadas pelo Primeiro-Ministro;

c) Por uma personalidade designada pelo Ministro da Administração Interna;

d) Por uma personalidade designada pelo Ministro da Justiça;

e) Por uma personalidade designada pelo Ministro da Ciência, Tecnologia e Ensino Superior;

f) Por um representante do ICP.- ANACOM.

Artigo 11º.- Reuniões

O conselho técnico de credenciação reúne ordinariamente de seis em seis meses e extraordinariamente por iniciativa do seu presidente.

Artigo 12º.- Apoio logístico

O Gabinete Nacional de Segurança assegura o apoio logístico e administrativo ao conselho técnico de credenciação, suportando também os encargos inerentes ao seu funcionamento.

Artigo 13º.- Colaboração com outras entidades

A autoridade credenciadora pode, no exercício das competências que lhe estão cometidas pelo presente decreto-lei, solicitar a outras entidades públicas ou privadas toda a colaboração que julgar necessária.

CAPÍTULO VI.- Disposições finais e transitórias

Artigo 14º.- Instalação e equipamento da Entidade de Certificação Electrónica do Estado

Para além do previsto no presente decreto-lei, os demais aspectos regulamentares relacionados com a instalação e o equipamento da Entidade de Certificação Electrónica do Estado são regulados por despacho do membro do Governo responsável pelo CEGER.

Artigo 15º.- Disposição transitória

No ano de 2006, a Secretaria-Geral da Presidência do Conselho de Ministros transfere para o Gabinete Nacional de Segurança os montantes necessários para o cumprimento do disposto no artigo 12º do presente decreto-lei.

Artigo 16º.- Alteração ao Decreto-Lei nº 290-D/99, de 2 de Agosto

O artigo 9º do Decreto-Lei nº 290-D/99, com a redacção que lhe foi dada pelo Decreto-Lei nº 62/2003, de 3 de Abril, passa a ter a seguinte redacção:

«Artigo 9º

[. . .]

1.-  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.- Sem prejuízo do disposto no número anterior, as entidades certificadoras que emitam certificados qualificados devem proceder ao seu registo junto da autoridade credenciadora, nos termos a fixar por portaria do membro do Governo responsável pela autoridade credenciadora.

3.- A credenciação e o registo estão sujeitos ao pagamento de taxas em função dos custos associados às tarefas administrativas, técnicas, operacionais e de fiscalização correspondentes, nos termos a fixar por despacho conjunto do membro do Governo responsável pela autoridade credenciadora e do Ministro das Finanças, que constituem receita da autoridade credenciadora.»

Artigo 17º.- Aditamento ao Decreto-Lei nº 290-D/99, de 2 de Agosto

É aditado ao Decreto-Lei nº 290-D/99, com a redacção que lhe foi dada pelo Decreto-Lei nº 62/2003, de 3 de Abril, o artigo 40º-A, com a seguinte redacção:

«Artigo 40º-A.- Credenciação de entidades certificadoras públicas

1.- As disposições constantes dos capítulos III e IV só são aplicáveis à actividade das entidades certificadoras públicas na estrita medida da sua adequação à natureza e às atribuições de tais entidades.

2.- Compete à autoridade credenciadora estabelecer os critérios de adequação da aplicação do disposto no número anterior, para efeitos da emissão de certificados de credenciação a entidades certificadoras públicas a quem tal atribuição esteja legalmente cometida.

3.- Os certificados de credenciação podem ser emitidos, a título provisório, por períodos anuais renováveis até um máximo de três anos, sempre que a autoridade credenciadora considere necessário determinar procedimentos de melhor cumprimento dos requisitos técnicos aplicáveis.»

Artigo 18º.- Norma revogatória

São revogados:

a) O Decreto-Lei nº 234/2000, de 25 de Setembro;

b) A alínea i) do artigo 18º do Decreto-Lei nº 146/2000, de 18 de Julho;

c) A alínea j) do artigo 5º do Decreto-Lei nº 103/2001, de 29 de Março.

Visto e aprovado em Conselho de Ministros de 4 de Maio de 2006.

José Sócrates Carvalho Pinto de Sousa.

António Luís Santos Costa.

Fernando Teixeira dos Santos.

Manuel Pedro Cunha da Silva Pereira.

Alberto Bernardes Costa.

Mário Lino Soares Correia.

José Mariano Rebelo Pires Gago.

Promulgado em 8 de Junho de 2006.

Publique-se.

O Presidente da República, ANÍBAL CAVACO SILVA.

Referendado em 12 de Junho de 2006.

O Primeiro-Ministro, José Sócrates Carvalho Pinto de Sousa.

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, el artículo 75 del Texto Único Ordenado de la Ley de Telecomunicaciones aprobado por Decreto Supremo nº 013-93/TCC, en adelante el TUO de la Ley, establece que el Ministerio de Transportes y Comunicaciones, fija la política de telecomunicaciones a seguir y controla sus resultados;

Que, el artículo 5 del acotado texto legal, dispone que las telecomunicaciones se prestan bajo el principio de servicio con equidad. El derecho a servirse de ellas se extiende a todo el territorio nacional promoviendo la integración de los lugares más apartados de los centros urbanos;

Que, por su parte, el artículo 6 del TUO de la Ley, establece que el Estado fomenta la libre competencia en la prestación de los servicios de telecomunicaciones, regula el mercado de forma que se asegure su normal desenvolvimiento, se controle los efectos de situaciones de monopolio, se evite prácticas y acuerdos restrictivos derivados de la posición dominante de una empresa o empresas en el mercado;

Que, el numeral 2 del articulo 16 del Título I «Lineamientos para Desarrollar y Consolidar la Competencia y la Expansión de los Servicios de Telecomunicaciones en el Perú» incorporado al Decreto Supremo nº 020-98-MTC, por Decreto Supremo nº 003-2007-MTC, establece que el Ministerio de Transportes y Comunicaciones y el Organismo Supervisor de Inversión Privada en Telecomunicaciones -OSIPTEL, a través de políticas regulatorias, en el ámbito de sus competencias, fomentarán la expansión de las redes y servicios públicos de telecomunicaciones;

Que, de las reiteradas denuncias efectuadas al Ministerio de Transportes y Comunicaciones, por concesionarios del servicio público de distribución de radiodifusión por cable, se advierte el desarrollo de ciertas conductas que vienen afectando el normal desenvolvimiento de; este mercado, consistentes en la redistribución por parte de concesionarios de estos servicios, de la señal de un competidor como parte de su programación, sin contar con la autorización correspondiente;

Que, esta actividad genera perjuicios directos a los concesionarios del servicio público de radiodifusión por cable, cuya señal se redistribuye sin su consentimiento y al mercado en sí mismo; al incidir negativamente en los compromisos de expansión asumidos por los operadores con el Estado, además de generar desincentivos para su operación acorde al ordenamiento legal vigente;

Que, en virtud a las consideraciones expuestas, resulta necesario establecer normativamente una medida disuasiva, que permita erradicar este tipo de conductas, la que consiste en prever como causal de resolución de los contratos de concesión, la redistribución de la señal o programación del servicio público de distribución de radiodifusión por cable, por parte de otro concesionario del mismo servicio, sin la debida autorización; así como que las concesionarias del servicio público de distribución de radiodifusión por cable que incurran en dicha causal, sus accionistas, socios, asociados, director o representante legal, sean éstos solicitantes o formen parte de una persona jurídica solicitante, no puedan obtener en el plazo de dos (2) años, otro título que lo habilite a brindar servicios públicos de telecomunicaciones. Ello, a fin de desincentivar este tipo de conductas y evitar que en breve término, estas personas naturales obtengan a título personal o formando parte de otra persona jurídica, el derecho a prestar nuevamente estos servicios e incurran reiteradamente en la conducta que se pretende erradicar;

Que, de otro lado, el artículo 245 del Texto Único Ordenado del Reglamento General de la Ley de Telecomunicaciones, aprobado por Decreto Supremo nº 020-2007/MTC, en adelante el TUO del Reglamento, dispone que se otorgará permiso de internamiento temporal, para el ingreso al país de equipos y aparatos de telecomunicaciones destinados a la realización de pruebas, exhibiciones, muestras y demostraciones de su operatividad en el territorio nacional;

Que, en atención a las solicitudes de internamiento presentadas por los administrados al Ministerio de Transportes y Comunicaciones, es necesario ampliar los supuestos de la normativa vigente a efectos de comprender en el citado artículo 245 a los equipos y aparatos de telecomunicaciones a ser utilizados para brindar auxilio en situaciones de emergencia o cubrir eventos deportivos, culturales o diplomáticos;

Que, asimismo, considerando que, el empleo de más de un terminal portátil de telefonía móvil es una práctica usual entre empresarios, diplomáticos y/o turistas que viajan con periodicidad; resulta necesario exonerar de la obtención del permiso de internamiento, el ingreso de estos terminales, siempre que sean utilizados para uso privado y no excedan de tres (3) unidades por pasajero;

Que, el TUO del Reglamento en el artículo 260, prevé las infracciones graves; además de las tipificadas en el artículo 88 del TUO de la Ley; siendo necesario comprender en las mismas a las derivadas del incumplimiento de lo dispuesto en el numeral 6.2.5 de la Directiva nº 001-2009-MTC/03 «Norma que Regula el Procedimiento para el Otorgamiento de Permisos de Internamiento de Equipos y/o Aparatos de Telecomunicaciones en el Territorio Nacional», aprobada por Resolución Ministerial nº 204-2009-MTC/03, referida a la obligación que vencido el plazo conferido para el internamiento temporal, los equipos deberán ser retirados del país;

Que, de otro lado, el artículo 63 del TUO de la Ley, modificado por Ley nº 28737, dispone que todo equipo o aparato a conectarse a una red pública para prestar un servicio o se utilice para realizar emisiones radioeléctricas, deberá contar con el correspondiente certificado de homologación, con el objeto de garantizar el correcto funcionamiento de la red y la seguridad del usuario; así como evitar interferencias a otros servicios de telecomunicaciones;

Que, asimismo el precitado artículo 245 y la Tercera Disposición Complementaria Final, del TUO del Reglamento, establece que podrán internarse al país, equipos y aparatos de telecomunicaciones que carezcan del certificado de homologación, siempre y cuando no sean instalados, utilizados o comercializados hasta la obtención del certificado correspondiente;

Que, en tal sentido, a fin de cautelar que los equipos y aparatos de telecomunicaciones que ingresen al país bajo el supuesto antes descrito, cumplan con la obtención del certificado de homologación, cuando corresponda, resulta necesario establecer un plazo de treinta (30) días hábiles, para la presentación de la respectiva solicitud al Ministerio, siendo necesario tipificar el incumplimiento de esta obligación, como infracción grave;

Que, de igual forma, resulta necesario establecer un plazo de treinta (30) días hábiles, a efectos que aquellos equipos y aparatos de telecomunicaciones, que ingresaron al país, antes de la entrada en vigencia de la presente norma, soliciten el otorgamiento del certificado de homologación, según corresponda;

Que, por Resoluciones Ministeriales números 278 y 571-2009-MTC/03, de fechas 12 de abril y 15 de agosto de 2009, respectivamente, se dispuso la prepublicación, en el Diario Oficial El Peruano y en el Portal de Internet del Ministerio de Transportes y Comunicaciones, del Proyecto de Decreto Supremo que modifica el TUO del Reglamento en aspectos referidos a los procedimientos de internamiento y homologación, así como respecto a la propuesta de establecer medidas disuasivas que permitan erradicar conductas ilegales en perjuicio del servicio público de distribución de radiodifusión por cable, habiéndose recibido y evaluado los
comentarios de los interesados;

De conformidad con el numeral 8 del artículo 118 de la Constitución Política del Perú, la Ley nº 29370, Ley de Organización y Funciones del Ministerio de Transportes y Comunicaciones, el Texto Único Ordenado de la Ley de Telecomunicaciones, aprobado por Decreto Supremo nº 013-93/TCC, modificado por Ley nº 28737, el Texto Único Ordenado de su Reglamento General, aprobado por Decreto Supremo nº 020-2007/MTC y el Decreto Supremo nº 003-2007-MTC, que incorpora el Título I «Lineamientos para Desarrollar y Consolidar la Competencia y la Expansión de los Servicios de Telecomunicaciones en el Perú» al Decreto Supremo nº 020-98-MTC;

DECRETA:

Artículo 1º.-Modificación

Modifíquese el artículo 245 del Texto Único Ordenado del Reglamento General de la Ley de Telecomunicaciones, aprobado por Decreto Supremo nº 020-2007/MTC, de acuerdo al texto siguiente:

«Artículo 245.- Permisos de internamiento Se otorgarán permisos de internamiento definitivo a las casas comercializadoras que estén inscritas en el registro y a las personas naturales y jurídicas que tengan concesión o autorización para prestar servicios de telecomunicaciones otorgadas por el Ministerio. Dichos equipos deben estar homologados; en caso no lo estuvieran, éstos no podrán ser utilizados o comercializados hasta que obtengan él certificado de homologación expedido por el órgano competente del Ministerio.

Asimismo, se otorgarán permisos de internamiento temporal de equipos y/o aparatos de telecomunicaciones hasta por seis (6) meses, no siendo necesario contar con certificado de homologación, en los siguientes casos:

1. Para realizar pruebas, exhibiciones, muestras y demostraciones de operatividad.

2. Para ser utilizados en Situaciones de Emergencia originadas por desastres naturales tales como terremotos, maremotos, aludes, deslizamientos, inundaciones u otros hechos que requieran atención especial. En este supuesto, excepcionalmente, el plazo del permiso de internamiento temporal podrá ser prorrogado hasta por seis (6) meses adicionales, siempre que se acredite la necesidad de su prórroga.

3. Para cubrir eventos de carácter noticioso, deportivo, cultural o diplomático, empleados por la prensa extranjera, siempre y cuando las personas que ingresen al territorio nacional con los respectivos equipos y/o aparatos, se encuentren debidamente acreditadas ante el Ministerio de Relaciones Exteriores, conforme a lo dispuesto en el Decreto Supremo nº 208-89-EF.

Los requisitos para el otorgamiento del permiso de internamiento serán establecidos por el órgano competente del Ministerio.

No será exigible contar con el permiso de internamiento a que se refiere el presente artículo, para el ingreso al país de terminales de telefonía móvil, para uso privado y siempre que no excedan de tres (3) terminales por pasajero.»

Artículo 2º.- Incorporación

Incorpórense el numeral 8 al artículo 113, el numeral 10 al artículo 137, el artículo 245-A y los numerales 7 y 8 al artículo 260 del Texto Único Ordenado del Reglamento General de la Ley de Telecomunicaciones, aprobado por Decreto Supremo nº 020-2007/MTC, de conformidad con el texto siguiente:

«Artículo 113.- Causas para denegar la concesión o autorización El Ministerio no otorgará la concesión o autorización cuando:

(…)

8. Al solicitante, se le hubiera resuelto su contrato Je concesión por incurrir en la causal de resolución prevista en el numeral 10 del articulo 137 y no haya transcurrido dos (2) años desde la notificación de la resolución correspondiente. Esta causal, también es aplicable a los accionistas, socios, asociados, director o representante legal, de la persona jurídica que incurrió en la referida causal, sean éstos solicitantes o formen parte de una persona jurídica solicitante.

9. Otras que se contemplen en la Ley u otra norma can rango de ley.

El presente artículo no será de aplicación a las solicitudes sobre renovación de concesión o autorización que presenten los titulares.

Lo dispuesto en los numerales 5 y 6 se aplicará adema» a los accionistas, socios, asociados, director o representante legal de la persona jurídica, sea ésta solicitante o forme parte de una persona jurídica solicitante.»

«Artículo 137.- Causales de resolución del contrato El contrato de concesión se resuelve por:

(…)

10. La redistribución parcial o total, a través del servicio público de distribución de radiodifusión por cable, de la señal o programación proveniente de otro concesionario del mismo servicio, siempre que dicha redistribución no haya sido materia de acuerdo escrito entre ambos concesionarios.

Esta causal también será aplicable, si el concesionario redistribuye la señal o programación de otro operador del mismo servicio, contratada por cualquier abonado.»

«Artículo 245-A.- Plazo para homologar equipos con permiso de internamiento Los equipos y aparatos de telecomunicaciones que cuenten con permiso de internamiento, sin estar homologados, debelan cumplir con solicitar la respectiva homologación dentro del plazo máximo de treinta (30) días hábiles de expedido el citado permiso, incluyendo aquellos ingresados al territorio nacional para uso privado. Están exceptuados de esta obligación, aquellos equipos y/o aparatos de telecomunicaciones para los que la homologación no es exigible.»

«Articulo 260.- Infracciones graves Constituyen infracciones graves, además de las tipificadas en el artículo 88 de la Ley, las siguientes:

(…)

7. No cumplir con solicitar la homologación de los equipos a los que se les hubiere otorgado permiso de internamiento sin estar homologados, dentro del plazo establecido en el artículo 245 A; con excepción de aquellos en los que la homologación no es exigible.

8. No cumplir con reembarcar los equipos y aparatos de telecomunicaciones, culminado el periodo de internamiento temporal concedido.

(…)»

DISPOSICIÓN COMPLEMENTARIA FINAL

Única.- Refrendo

El presente Decreto Supremo será refrendado por el Ministro de Transportes y Comunicaciones.

DISPOSICIÓN COMPLEMENTARIA TRANSITORIA

Única.- Plazo de Regularización

Otórguese un plazo de treinta (30) días hábiles contados a partir de la entrada en vigencia del presente Decreto Supremo para que, los equipos y aparatos de telecomunicaciones, incluyendo los de uso privado, que cuenten con permiso de internamiento, sin estar homologados, soliciten el otorgamiento del certificado de homologación respectivo, según corresponda.

Dado en la Casa de Gobierno, en Lima, a los cuatro días del mes de enero del año dos mil diez.

ALAN GARCÍA PÉREZ
Presidente Constitucional de la República

ENRIQUE CORNEJO RAMÍREZ
Ministro de Transportes y Comunicaciones

CONSIDERANDO:

Que, mediante la Ley nº 27269, modificada por la Ley nº 27310, se aprobó la Ley de Firmas y Certificados Digitales, que regula la utilización de la firma digital otorgándole la misma validez y eficacia jurídica que la firma manuscrita u otra análoga, estableciéndose los lineamientos generales respecto de los Prestadores de Servicios de Certificación Digital y la necesidad de contar con una Autoridad Administrativa Competente encargada de regular de manera más específica esta materia.

Que, mediante el Decreto Supremo nº 019-2002-JUS, modificado por el Decreto Supremo nº 024-2002-JUS, se aprobó el Reglamento de la Ley nº 27269 – Ley de Firmas y Certificados Digitales, el cual finalmente fuera derogado mediante Decreto Supremo nº 004-2007-PCM, publicado en el Diario Oficial El Peruano con fecha 14 de enero de 2007, que aprobó el Reglamento de la Ley de Firmas y Certificados Digitales.

Que, conforme a la Ley nº 26497, Ley Orgánica del Registro Nacional de Identificación y Estado Civil – RENIEC, corresponde a esta Entidad planear, dirigir, coordinar y controlar las actividades de registro e identificación de las personas, así como emitir el documento único que acredita la identidad de las personas. Habiéndosele señalado, en la Sétima disposición transitoria del Reglamento de la Ley de Firmas y Certificados Digitales vigente, la responsabilidad de implementar la infraestructura necesaria para la operación de la Entidad de Certificación Nacional del Estado Peruano, a fin de emitir certificados digitales para los DNI electrónicos en tarjetas inteligentes y las entidades de la Administración Pública que operen bajo la modalidad de Entidades de Certificación del Estado Peruano.

Que, ha cobrado gran importancia dentro de la Administración Pública el empleo de las nuevas tecnologías para interactuar con los ciudadanos, como mecanismos de ahorro de tiempo y costos en la tramitación de solicitudes y procedimientos administrativos. En tal sentido, mediante Ley nº 27658, Ley Marco de Modernización de la Gestión del Estado, se declara al Estado Peruano en proceso de modernización en sus diferentes instancias y procedimientos, con la finalidad de mejorar la gestión pública y contribuir en el fortalecimiento de un Estado moderno, descentralizado y con mayor participación del ciudadano. Por su parte, El artículo 20.1.2 de la Ley nº 27444 – Ley del Procedimiento Administrativo General establece entre las modalidades de notificación, las cursadas a través de medios electrónicos que permitan comprobar de manera fehaciente su acuse de recibo y quien lo recibe; asimismo el artículo 46º de la Ley nº 27444 permite la cancelación de los derechos de tramitación mediante transferencias electrónicas de fondos; y, el artículo 123.1 de la Ley nº 27444 señala que los administrados puedan solicitar que el envío de información o documentación que les corresponda recibir dentro de un procedimiento, sea realizado por medios de transmisión a distancia.

Que, a fin de lograr un verdadero desarrollo de las transacciones de gobierno electrónico resulta indispensable establecer un sistema integral que permita acercar de manera efectiva y segura al ciudadano a la realización de transacciones por medios electrónicos, siendo para ello importante que se reconozca a los ciudadanos, al igual que sucede en la experiencia comparada, el derecho a acceder electrónicamente a las entidades de la Administración Pública de manera sencilla, progresiva y bajo parámetros de seguridad y protección de las transacciones en sí mismas y de los datos personales utilizados en ellas.

Que, el artículo 50º del Decreto Supremo nº 063-2007-PCM encomienda a la Oficina Nacional de Gobierno Electrónico e Informática, entre otras funciones, proponer la Estrategia Nacional de Gobierno Electrónico y coordinar y supervisar su implementación, así como también aprobar los estándares tecnológicos para asegurar las medidas de seguridad de la información en las entidades de la Administración Pública, lo que resulta indispensable para lograr la materialización del derecho ciudadano de acceso a los servicios públicos electrónicos seguros.

Que, mediante Decreto Legislativo nº 681 se establecen las normas que regulan el uso de tecnologías avanzadas en materia de documentos e información tanto respecto a la elaborada en forma convencional cuanto a la producida por procedimientos informáticos en computadoras y sus normas técnicas, complementarias y reglamentarias, disponiendo un marco jurídico para la validez y archivo de documentos en formato digital.

Que, en consecuencia, es necesario aprobar un nuevo Reglamento de la Ley nº 27269 modificada por Ley nº 27310 – Ley de Firmas y Certificados Digitales.

Que, de conformidad con el Decreto Supremo nº 066-2003-PCM y el artículo 49º del Decreto Supremo nº 063-2007-PCM, la Presidencia del Consejo de Ministros, actúa como ente rector del Sistema Nacional de Informática;

De conformidad con lo dispuesto en el inciso 8) del artículo 118º de la Constitución Política del Perú, el inciso 3) del artículo 11º de la Ley nº 29158 – Ley Orgánica del Poder Ejecutivo, la Ley nº 27269 modificada por Ley nº 27310 – Ley de Firmas y Certificados Digitales y el Decreto Ley nº 25868;

DECRETA:

Artículo 1º.- Aprobación
Apruébese el Reglamento de la Ley nº 27269 modificada por Ley nº 27310 – Ley de Firmas y Certificados Digitales, que consta de tres (3) Títulos, setenta y cinco (75) Artículos y catorce (14) Disposiciones Finales, que en Anexo forma parte del presente Decreto Supremo.

Artículo 2º.- Derogación
Deróguese el Decreto Supremo nº 004-2007-PCM.

Artículo 3º.- Refrendo
El presente Decreto Supremo será refrendado por el Presidente del Consejo de Ministros.

Dado en la Casa de Gobierno, en Lima, a los dieciocho días del mes de julio del año dos mil ocho.

ALAN GARCÍA PÉREZ, Presidente Constitucional de la República

JORGE DEL CASTILLO GÁLVEZ, Presidente del Consejo de Ministros

REGLAMENTO DE LA LEY DE FIRMAS Y CERTIFICADOS DIGITALES

TÍTULO I.- DISPOSICIONES GENERALES

Artículo 1º.- Del objeto
El objeto de la presente norma es regular, para los sectores público y privado, la utilización de las firmas digitales y el régimen de la Infraestructura Oficial de Firma Electrónica, que comprende la acreditación y supervisión de las Entidades de Certificación, las Entidades de Registro o Verificación, y los Prestadores de Servicios de Valor Añadido; de acuerdo a lo establecido en la Ley nº 27269 – Ley de Firmas y Certificados Digitales, modificada por la Ley nº 27310, en adelante la Ley.

Reconociendo la variedad de modalidades de firmas electrónicas, la diversidad de garantías que ofrecen, los diversos niveles de seguridad y la heterogeneidad de las necesidades de sus potenciales usuarios, la Infraestructura Oficial de Firma Electrónica no excluye ninguna modalidad, ni combinación de modalidades de firmas electrónicas, siempre que cumplan los requisitos establecidos en el artículo 2º de la Ley.

Artículo 2º.- De la utilización de las firmas digitales
Las disposiciones contenidas en el presente Reglamento no restringen la utilización de las firmas digitales generadas fuera de la Infraestructura Oficial de Firma Electrónica, las cuales serán válidas en consideración a los pactos o convenios que acuerden las partes.

CAPÍTULO I.- DE LA VALIDEZ Y EFICACIA JURÍDICA DE LAS FIRMAS DIGITALES Y DOCUMENTOS ELECTRÓNICOS

Artículo 3º.- De la validez y eficacia de la firma digital
La firma digital generada dentro de la Infraestructura Oficial de Firma Electrónica tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita. En tal sentido, cuando la ley exija la firma de una persona, ese requisito se entenderá cumplido en relación con un documento electrónico si se utiliza una firma digital generada en el marco de la Infraestructura Oficial de la Firma Electrónica.

Lo establecido en el presente artículo y las demás disposiciones del presente Reglamento no excluyen el cumplimiento de las formalidades específicas requeridas para los actos jurídicos y el otorgamiento de fe pública.

Artículo 4º.- De los documentos firmados digitalmente como medio de prueba
Los documentos electrónicos firmados digitalmente dentro del marco de la Infraestructura Oficial de Firma Electrónica deberán ser admitidos como prueba en los procesos judiciales y/o procedimientos administrativos, siempre y cuando la firma digital haya sido realizada utilizando un certificado emitido por una Entidad de Certificación acreditada en cooperación con una Entidad de Registro o Verificación acreditada, salvo que se tratara de la misma entidad con ambas calidades y con la correspondiente acreditación para brindar ambos servicios, asimismo deberá haberse aplicado un software de firmas digitales acreditado ante la Autoridad Administrativa Competente. Esto incluye la posibilidad de que a voluntad de las partes pueda haberse utilizado un servicio de intermediación digital.

La firma digital generada en el marco de la Infraestructura Oficial de Firma Electrónica garantiza el no repudio del documento electrónico original. Esta garantía no se extiende a los documentos individuales que conforman un documento compuesto, a menos que cada documento individual sea firmado digitalmente.

La comprobación de la validez de un documento firmado digitalmente se realiza en un ambiente electrónico aplicando el Software de Verificación de la firma digital. En caso de controversia sobre la validez de la firma digital, el Juez podrá solicitar a la Autoridad Administrativa Competente el nombramiento de un perito especializado en firmas digitales, sin perjuicio de lo dispuesto por los artículos 252, 264 y 268 del Código Procesal Civil.

Si el documento firmado digitalmente se ha convertido en una microforma o microarchivo, el notario o fedatario con Diploma de Idoneidad Técnica vigente cumplirá con las normas del Decreto Legislativo nº 681 y cuidará de cumplir aquellas normas que sean pertinentes de la Ley y de este Reglamento.

Artículo 5º.- De la conservación de documentos electrónicos
Cuando los documentos, registros o informaciones requieran de una formalidad para la conservación de documentos electrónicos firmados digitalmente, deberán:

a) Ser accesibles para su posterior consulta.

b) Ser conservados con su formato original de generación, envío, recepción u otro formato que reproduzca en forma demostrable la exactitud e integridad del contenido electrónico.

c) Ser conservado todo dato que permita determinar el origen, destino, fecha y hora del envío y recepción.

Para estos casos, los documentos electrónicos deberán ser conservados mediante microformas o microarchivos, observando para ello lo regulado en el Decreto Legislativo nº 681 y normas complementarias y reglamentarias; siendo, en tales supuestos, indispensable la participación de un notario o fedatario que cuente con Diploma de Idoneidad Técnica y se encuentre registrado ante su correspondiente Colegio o Asociación Profesional conforme a lo establecido por la legislación de la materia.

CAPÍTULO II.- DE LA FIRMA DIGITAL

Artículo 6º.- De la firma digital
Es aquella firma electrónica que utilizando una técnica de criptografía asimétrica, permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su control, de manera que está vinculada únicamente al signatario y a los datos a los que refiere, lo que permite garantizar la integridad del contenido y detectar cualquier modificación ulterior, tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita, siempre y cuando haya sido generada por un Prestador de Servicios de Certificación Digital debidamente acreditado que se encuentre dentro de la Infraestructura Oficial de Firma Electrónica, y que no medie ninguno de los vicios de la voluntad previstos en el Título VIII del Libro IV del Código Civil.

Las firmas digitales son las generadas a partir de certificados digitales que son:

a) Emitidos conforme a lo dispuesto en el presente Reglamento por entidades de certificación acreditadas ante la Autoridad Administrativa Competente.

b) Incorporados a la Infraestructura Oficial de Firma Electrónica bajo acuerdos de certificación cruzada, conforme al artículo 74º del presente Reglamento.

c) Reconocidos al amparo de acuerdos de reconocimiento mutuo suscritos por la Autoridad Administrativa Competente conforme al artículo 72º del presente Reglamento.

d) Emitidos por Entidades de Certificación extranjeras que hayan sido incorporados por reconocimiento a la Infraestructura Oficial de Firma Electrónica conforme al artículo 73º del presente Reglamento.

Artículo 7º.- De las características de la firma digital
Las características mínimas de la firma digital generada dentro de la Infraestructura Oficial  de Firma Electrónica son:

a) Se genera al cifrar el código de verificación de un documento electrónico, usando la clave privada del titular del certificado.

b) Es exclusiva del suscriptor y de cada documento electrónico firmado por éste.

c) Es susceptible de ser verificada usando la clave pública del suscriptor.

d) Su generación está bajo el control exclusivo del suscriptor.

e) Está añadida o incorporada al documento electrónico mismo de tal manera que es posible detectar si la firma digital o el documento electrónico fue alterado.

Artículo 8º.- De las presunciones
Tratándose de documentos electrónicos firmados digitalmente a partir de certificados digitales generados dentro de la Infraestructura Oficial de Firma Electrónica, se aplican las siguientes presunciones:

a) Que el suscriptor del certificado digital tiene el control exclusivo de la clave privada asociada.

b) Que el documento electrónico fue firmado empleando la clave privada del suscriptor del certificado digital.

c) Que el documento electrónico no ha sido alterado con posterioridad al momento de la firma.

Como consecuencia de los literales previos, el suscriptor no podrá repudiar o desconocer un documento electrónico que ha sido firmado digitalmente usando su clave privada, siempre que no medie ninguno de los vicios de la voluntad previstos en el Título VIII del Libro II del Código Civil.

Artículo 9º.- Del suscriptor
Dentro de la Infraestructura Oficial de Firma Electrónica, la responsabilidad sobre los efectos jurídicos generados por la utilización de una firma digital corresponde al titular del certificado.

Tratándose de personas naturales, éstas son titulares y suscriptores del certificado digital.

En el caso de personas jurídicas, éstas son titulares del certificado digital. Los suscriptores son las personas naturales responsables de la generación y uso de la clave privada, con excepción de los certificados digitales para su utilización a través agentes automatizados, situación en la cual las personas jurídicas asumen las facultades de titulares y suscriptores del certificado digital.

Artículo 10º.- De las obligaciones del suscriptor
Las obligaciones del suscriptor son:

a) Entregar información veraz bajo su responsabilidad.

b) Generar la clave privada y firmar digitalmente mediante los procedimientos señalados por la Entidad de Certificación.

c) Mantener el control y la reserva de la clave privada bajo su responsabilidad.

d) Observar las condiciones establecidas por la Entidad de Certificación para la utilización del certificado digital y la generación de firmas digitales.

e) En caso de que la clave privada quede comprometida en su seguridad, el suscriptor debe notificarlo de inmediato a la Entidad de Registro o Verificación o a la Entidad de Certificación que participó en su emisión para que proceda a la cancelación del certificado digital.

Artículo 11º.- De la invalidez
Una firma digital generada bajo la Infraestructura Oficial de Firma Electrónica carece de validez, además de los supuestos que prevé la legislación civil, cuando:

a) Es utilizada en fines distintos para los que fue extendido el certificado.

b) El certificado haya sido cancelado conforme a lo establecido en el Capítulo III del presente Título.

CAPÍTULO III.- DEL CERTIFICADO DIGITAL

Artículo 12º.- De los requisitos
Para la obtención de un certificado digital, el solicitante deberá acreditar lo siguiente:

a) Tratándose de personas naturales, tener plena capacidad de ejercicio de sus derechos civiles.

b) Tratándose de personas jurídicas, acreditar la existencia de la persona jurídica y su vigencia mediante los instrumentos públicos o norma legal respectiva, debiendo contar con un representante debidamente acreditado para tales efectos.

Artículo 13º.- De las especificaciones adicionales para ser titular
Para ser titular de un certificado digital adicionalmente se deberá cumplir con entregar la información solicitada por la Entidad de Registro o Verificación, de acuerdo a lo estipulado por la Entidad de Certificación correspondiente, asumiendo el titular la responsabilidad por la veracidad y exactitud de la información proporcionada, sin perjuicio de la respectiva comprobación.

En el caso de personas naturales, la solicitud del certificado digital y el registro o verificación de su identidad son estrictamente personales. La persona natural solicitante se constituirá en titular y suscriptor del certificado digital.

Artículo 14º.- Del procedimiento para ser titular
Las personas naturales deberán presentar una solicitud a la Entidad de Registro o Verificación; dicha solicitud deberá estar acompañada de toda la información requerida por la Declaración de Prácticas de Registro o Verificación, o en los procedimientos declarados. La Entidad de Registro o Verificación deberá comprobar la identidad del solicitante a través de su documento oficial de identidad.

En el caso de personas jurídicas, la solicitud del certificado digital y el registro o verificación de su identidad deberán realizarse a través de un representante debidamente acreditado. La persona jurídica se constituirá en titular del certificado digital. Conjuntamente con la solicitud, debe indicarse la persona natural que será el suscriptor, señalando para tal efecto las atribuciones y los poderes de representación correspondientes.

Tratándose de certificados digitales solicitados por personas jurídicas para su utilización a través de agentes automatizados, las facultades de titular y suscriptor de dicho certificado corresponderán a la persona jurídica,
quien asumirá la responsabilidad por el uso de dicho certificado digital.

Artículo 15º.- De las obligaciones del titular
Las obligaciones del titular son:

a) Entregar información veraz durante la solicitud de emisión de certificados y demás procesos de certificación (cancelación, suspensión, re-emisión y modificación).

b) Actualizar la información provista tanto a la Entidad de Certificación como a la Entidad de Registro o Verificación, asumiendo responsabilidad por la veracidad y exactitud de ésta.

c) Solicitar la cancelación de su certificado digital en caso de que la reserva sobre la clave privada se haya visto comprometida, bajo responsabilidad.

d) Cumplir permanentemente las condiciones establecidas por la Entidad de Certificación para la utilización del certificado.

Artículo 16º.- Del contenido y vigencia
Los certificados emitidos dentro de la Infraestructura Oficial de Firma Electrónica deberán contener como mínimo, además de lo establecido en el artículo 7º de la Ley, lo siguiente:

a) Para personas naturales:
• Nombres completos
• Número de documento oficial de identidad
• Tipo de documento
• Dirección oficial de correo electrónico

b) Para personas jurídicas:
• Razón social
• Número de RUC
• Nombres completos del suscriptor
• Número de documento oficial de identidad del suscriptor
• Tipo de documento del suscriptor
• Facultades del suscriptor
• Correo electrónico del suscriptor
• Dirección oficial de correo electrónico del suscriptor
• Dirección oficial de correo electrónico de la persona jurídica

La Entidad de Certificación podrá incluir, a pedido del solicitante del certificado, información adicional siempre y cuando la Entidad de Registro o Verificación compruebe de manera fehaciente la veracidad de ésta.

El período de vigencia de los certificados digitales comienza y finaliza en las fechas indicadas en él, salvo en los supuestos de cancelación conforme a lo establecido en el artículo 17º del presente Reglamento.

Artículo 17º.- De las causales de cancelación
La cancelación del certificado digital puede darse:

a) A solicitud del titular del certificado digital o del suscriptor sin previa justificación, siendo necesario para tal efecto la aceptación y autorización de la Entidad de Certificación o la Entidad de Registro o Verificación, según sea el caso, dentro del plazo establecido por la Autoridad Administrativa Competente. Si una solicitud de cancelación es aprobada por la Entidad de Registro o Verificación, y luego tal entidad supere el plazo máximo en el cual debe comunicar dicha aprobación a la Entidad de Certificación correspondiente, dicha Entidad de Registro o Verificación será responsable por los daños ocasionados debido a la demora. De otro modo, habiendo sido notificada dentro del plazo establecido, la Entidad de Certificación será responsable de los daños que pueda ocasionar la demora en dicha cancelación. Del mismo modo ocurrirá en el caso que un suscriptor o titular solicite directamente a la Entidad de Certificación la cancelación de su certificado. Compete a la Autoridad Administrativa Competente establecer las sanciones respectivas.

b) Por decisión de la Entidad de Certificación (por revocación, según los supuestos contenidos en el artículo 10º de la Ley), con expresión de causa.

c) Por expiración del plazo de vigencia.

d) Por cese de operaciones de la Entidad de Certificación que emitió el certificado.

e) Por resolución administrativa o judicial que ordene la cancelación del certificado.

f) Por interdicción civil judicialmente declarada o declaración de ausencia o de muerte presunta, del titular del certificado.

g) Por extinción de la personería jurídica o declaración judicial de quiebra.

h) Por muerte, o por inhabilitación o incapacidad declarada judicialmente de la persona natural suscriptor del certificado.

i) Por solicitud de un tercero que informe y pruebe de manera fehaciente alguno de los supuestos de revocación contenidos en los incisos 1) y 2) del artículo 10º de la Ley.

j) Otras causales que establezca la Autoridad Administrativa Competente.

Las condiciones bajo las cuales un certificado digital pueda ser cancelado deben ser estipuladas en los contratos de los suscriptores y titulares.

El uso de certificados digitales con posterioridad a su cancelación conlleva la inaplicabilidad de los artículos 3º, 4º y 8º del presente Reglamento.

En todos los casos la Entidad de Certificación debe indicar el momento desde el cual se aplica la cancelación, precisando la fecha, hora, minuto y segundo en la que se efectúa. La cancelación no puede ser aplicada retroactivamente y debe ser notificada al titular del certificado digital cuando corresponda. La Entidad de Certificación debe incluir el certificado digital cancelado en la siguiente publicación de la Lista de Certificados Digitales Cancelados.

Artículo 18º.- De la cancelación del certificado a solicitud de su titular, suscriptor o representante.

La solicitud de cancelación de un certificado digital puede ser realizada por su titular, suscriptor o a través de un representante debidamente acreditado; tal solicitud podrá realizarse mediante documento electrónico firmado digitalmente, de acuerdo con los procedimientos definidos en cada caso por las Entidades de Certificación o las Entidades de Registro o Verificación.

El titular y el suscriptor del certificado están obligados, bajo responsabilidad, a solicitar la cancelación del certificado al tomar conocimiento de la ocurrencia de alguna de las siguientes circunstancias:

a) Exposición, puesta en peligro o uso indebido de la clave privada.

b) Deterioro, alteración o cualquier otro hecho u acto que afecte la clave privada.

c) Revocación de las facultades de representación y/o poderes de sus representantes legales o apoderados.

d) Cuando la información contenida en el certificado ya no resulte correcta.

e) Cuando el suscriptor deja de ser miembro de la comunidad de interés o se sustrae de aquellos intereses relativos a la Entidad de Certificación.

Artículo 19º.- De la cancelación por revocación
La revocación supone la cancelación de oficio de los certificados por parte de la Entidad de Certificación, quien debe contar, para tal efecto, con procedimientos detallados en su Declaración de Prácticas de Certificación.

TÍTULO II.- DE LA INFRAESTRUCTURA OFICIAL DE FIRMA ELECTRÓNICA

CAPÍTULO I.- ASPECTOS GENERALES

Artículo 20º.- De los elementos
La Infraestructura Oficial de Firma Electrónica está constituida por:

a) El conjunto de firmas digitales, certificados digitales y documentos electrónicos generados bajo la Infraestructura Oficial de Firma Electrónica.

b) Las políticas y declaraciones de prácticas de los Prestadores de Servicios de Certificación Digital, basadas en estándares internacionales o compatibles con los internacionalmente vigentes, que aseguren la interoperabilidad entre dominios y las funciones exigidas, conforme a lo establecido por la Autoridad Administrativa Competente.

c) El software, el hardware y demás componentes adecuados para las prácticas de certificación y las condiciones de seguridad adicionales comprendidas en los estándares señalados en el literal b).

d) El sistema de gestión que permita el mantenimiento de las condiciones señaladas en los incisos anteriores, así como la seguridad, confidencialidad, transparencia y no discriminación en la prestación de sus servicios.

e) La Autoridad Administrativa Competente, así como los Prestadores de Servicios de Certificación Digital acreditados o reconocidos.

Artículo 21º.- De los estándares aplicables
La Autoridad Administrativa Competente determinará los estándares compatibles aplicando el principio de neutralidad tecnológica y los criterios que permitan lograr la interoperabilidad entre componentes, aplicaciones e infraestructuras de la firma digital análogas a la Infraestructura Oficial de Firma Electrónica.

Artículo 22º.- De los niveles de seguridad
A fin de garantizar el cumplimiento de los requerimientos de seguridad necesarios para la implementación de los componentes y aplicaciones de la Infraestructura Oficial de Firma Electrónica, se establecen tres niveles: Medio, Medio Alto y Alto, cuyas precisiones adicionales a lo establecido en el presente Reglamento serán definidas por la Autoridad Administrativa Competente.

El nivel de seguridad Alto se emplea en aplicaciones militares.

CAPÍTULO II.- DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN DIGITAL

Artículo 23º.- De las modalidades
Los Prestadores de Servicios de Certificación Digital (PSC) pueden adoptar cualquiera de las modalidades siguientes:

a) Entidad de Certificación.

b) Entidad de Registro o Verificación.

c) Prestador de Servicios de Valor Añadido.

De conformidad con lo establecido en la Ley, resulta factible que una misma Entidad preste sus servicios en más de una de las modalidades establecidas anteriormente. No obstante, deberá contar con una acreditación independiente y particular para cada una de las modalidades de prestación de servicios de certificación que decida adoptar, a efectos de formar parte de la Infraestructura Oficial de Firma Electrónica.

Artículo 24º.- De la acreditación
La acreditación del Prestador de Servicios de Certificación permite su ingreso a la Infraestructura Oficial de Firma Electrónica, gozando de las presunciones legales que rigen para tal supuesto. A tal efecto, el Prestador de Servicios de Certificación será inscrito en el correspondiente Registro de Prestadores de Servicios de Certificación Digital.

De manera general el proceso de acreditación se rige por lo establecido en el presente Reglamento y de manera particular por lo establecido en los Reglamentos Específicos y Guías de Acreditación aprobados para tales efectos por la Autoridad Administrativa Competente.

SECCIÓN I.- DE LAS ENTIDADES DE CERTIFICACIÓN

Artículo 25º.- De las funciones
Las Entidades de Certificación tendrán las siguientes funciones:

a) Emitir certificados digitales manteniendo una secuencia correlativa en el número de serie.

b) Cancelar certificados digitales.

c) Reconocer certificados digitales emitidos por entidades de certificación extranjeras que hayan sido incorporadas por reconocimiento a la Infraestructura Oficial de Firma Electrónica conforme al artículo 73º del presente Reglamento. Caso contrario, dichos certificados no gozarán del amparo de la Infraestructura Oficial de Firma Electrónica.

d) Adicionalmente a las anteriores funciones, realizará las señaladas en los artículos 29º y 33º del presente Reglamento, en caso opten por asumir las funciones de Entidad de Registro o Verificación, o de Prestador de Servicios de Valor Añadido, respectivamente.

Artículo 26º.- De las obligaciones
Las Entidades de Certificación registradas tienen las siguientes obligaciones:

a) Cumplir con los requerimientos de la Autoridad Administrativa Competente en lo referente a la Política de Certificación, Declaración de Prácticas de Certificación, Política de Seguridad, Política de Privacidad y Plan de Privacidad. Estos documentos deberán ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditación.

b) Informar a los usuarios de todas las condiciones de emisión y de uso de sus certificados digitales, incluyendo las referidas a la cancelación de éstos.

c) Mantener el control y la reserva de la clave privada que emplea para firmar digitalmente los certificados digitales que emite. Mantener la debida diligencia y cuidado respecto a la clave privada de la Entidad de Certificación, estando en la obligación de comunicar inmediatamente a la Autoridad Administrativa Competente cualquier potencial o real compromiso de la clave privada.

d) Mantener depósito de los certificados digitales emitidos y cancelados, consignando su fecha de emisión y vigencia. No almacenar las claves privadas de los usuarios finales a menos que correspondan a certificados cuyo uso se limite al cifrado de datos.

e) Cancelar el certificado digital al suscitarse alguna de las causales establecidas en el artículo 17º del presente Reglamento. Las causales y condiciones bajo las cuales deba efectuarse la cancelación del certificado deben ser estipuladas en los contratos de los titulares y suscriptores.

f) Mantener la confidencialidad de la información relativa a los titulares y suscriptores de certificados digitales limitando su empleo a las necesidades propias del servicio de certificación, salvo orden judicial o pedido del titular o suscriptor del certificado digital (según sea el caso) realizado mediante un mecanismo que garantice el no repudio, debiendo respetar para tales efectos los lineamientos establecidos por la Autoridad Administrativa Competente y contenidos en la Norma Marco sobre Privacidad.

g) Mantener la información relativa a los certificados digitales, por un período mínimo de diez (10) años a partir de su cancelación.

h) Cumplir los términos bajo los cuales obtuvo la acreditación, así como los requerimientos adicionales que establezca la Autoridad Administrativa Competente conforme a lo establecido en el Reglamento.

i) Informar y solicitar autorización a la Autoridad Administrativa Competente respecto de acuerdos de certificación cruzada que proyecte celebrar, así como los términos bajo los cuales dichos acuerdos se suscribirían.

j) Informar y solicitar autorización a la Autoridad Administrativa Competente para efectos del reconocimiento de certificados emitidos por entidades extranjeras.

k) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el artículo 27º del presente Reglamento.

l) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisión y auditoría.

m) Demostrar que los controles técnicos que emplea son adecuados y efectivos a través de la verificación independiente del cumplimiento de los requisitos especificados en el estándar WebTrust for Certification Authorities y la obtención del sello de Webtrust.

n) Acreditar domicilio en el país.

Estas obligaciones podrán ser precisadas por la Autoridad Administrativa Competente, a excepción de las que señale expresamente la Ley.

Artículo 27º.- De la responsabilidad por riesgos
Para operar en el marco de la Infraestructura Oficial de Firma Electrónica y afrontar los riesgos que puedan surgir como resultado de sus actividades de certificación, las Entidades de Certificación acreditadas o reconocidas, de acuerdo a los niveles de seguridad establecidos, deberán cumplir con mantener vigente la contratación de seguros o garantías bancarias que respalden sus certificados, así como con informar a los usuarios los montos contratados a tal efecto.

La Autoridad Administrativa Competente establecerá la cuantía mínima de las pólizas de seguros o garantías bancarias, así como las medidas tecnológicas correspondientes al nivel de seguridad respectivo.

Asimismo, la Autoridad Administrativa Competente determinará los criterios para evaluar el cumplimiento de este requisito.

Artículo 28º.- Del cese de operaciones
La Entidad de Certificación cesa sus operaciones en el marco de la Infraestructura Oficial de Firma Electrónica, en los siguientes casos:

a) Por decisión unilateral comunicada a la Autoridad Administrativa Competente, asumiendo la responsabilidad del caso por dicha decisión.

b) Por extinción de su personería jurídica.

c) Por cancelación de su registro.

d) Por sentencia judicial.

e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal, o resolución judicial de quiebra.

f) Por decisión debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Específicos y Guías de Acreditación, observado en el proceso de evaluación técnica anual a que se refiere el artículo 71º del presente Reglamento.

Para los supuestos contemplados en los incisos a) y b) la Entidad de Certificación tiene un plazo de treinta (30) días calendario para notificar el cese de sus operaciones tanto a la Autoridad Administrativa Competente como a los titulares de los certificados digitales que hubiera emitido. En tales supuestos, la Autoridad Administrativa Competente deberá adoptar las medidas necesarias para preservar las obligaciones contenidas en los incisos c), g) y h) del artículo 26º del presente Reglamento.

La Autoridad Administrativa Competente establecerá los procedimientos para hacer público el cese de operaciones de las entidades de certificación.

Los certificados digitales emitidos por una Entidad de Certificación cuyas operaciones han cesado deben ser cancelados a partir del día, hora, minuto y segundo en que se aplica el cese.

SECCIÓN II.- DE LAS ENTIDADES DE REGISTRO O VERIFICACIÓN

Artículo 29º.- De las funciones
Las Entidades de Registro o Verificación tienen las siguientes funciones:

a) Identificar a los titulares y/o suscriptores del certificado digital mediante el levantamiento de datos y la comprobación de la información brindada por aquél.

b) Aprobar y/o denegar, según sea el caso, las solicitudes de emisión, modificación, reemisión, suspensión o cancelación de certificados digitales, comunicándolo a la respectiva Entidad de Certificación, según se encuentre estipulado en la correspondiente Declaración de Prácticas de Certificación.

Artículo 30º.- De las obligaciones
Las Entidades de Registro o Verificación acreditadas tienen las siguientes obligaciones:

a) Cumplir con los requerimientos de la Autoridad Administrativa Competente respecto de la Política de Registro o Verificación, Declaración de Prácticas de Registro o Verificación, Política de Seguridad y Política y Plan de Privacidad. Estos documentos deberán ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditación.

b) Determinar objetivamente y en forma directa la veracidad de la información proporcionada por los solicitantes del certificado digital, bajo su responsabilidad.

c) Mantener la confidencialidad de la información relativa a los suscriptores y titulares de certificados digitales, limitando su empleo a las necesidades propias del servicio de registro o verificación, salvo orden judicial o pedido del titular o suscriptor del certificado digital, según sea el caso, realizado mediante un mecanismo que garantice el no repudio, debiendo respetar para tales efectos los lineamientos establecidos por la Autoridad Administrativa Competente en la Norma Marco sobre Privacidad.

d) Recoger únicamente información o datos personales de relevancia para la emisión de los certificados.

e) Acreditar domicilio en el Perú.

f) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el artículo 31º del presente Reglamento.

g) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisión y auditoría.

Estas obligaciones podrán ser precisadas por la Autoridad Administrativa Competente, a excepción de las que señale expresamente la Ley.

Artículo 31º.- De la responsabilidad por riesgos
Para operar en el marco de la Infraestructura Oficial de Firma Electrónica y afrontar los riesgos que puedan surgir como resultado de sus actividades de registro o verificación, las Entidades de Registro o Verificación acreditadas, de acuerdo a los niveles de seguridad establecidos, deberán cumplir con:

a) Nivel de seguridad Medio: mantener vigente la contratación de seguros o garantías bancarias y emplear para efectos de la verificación de la identidad de los ciudadanos:
• De nacionalidad peruana, la base de datos del Registro Nacional de Identificación y Estado Civil – RENIEC.
• Extranjeros, carné de extranjería actualizado (residentes) o pasaporte (no residentes); o

b) Nivel de seguridad Medio Alto: mantener vigente la contratación de seguros o garantías bancarias y emplear para efectos de la verificación de la identidad de los ciudadanos:
• De nacionalidad peruana, el sistema de identificación biométrica AFIS del Registro Nacional de Identificación y Estado Civil – RENIEC.
• Extranjeros, carné de extranjería actualizado (residentes) o pasaporte (no residentes).

La Autoridad Administrativa Competente establecerá la cuantía mínima de las pólizas de seguros o garantías bancarias.

Asimismo, la Autoridad Administrativa Competente determinará los criterios para evaluar el cumplimiento de este requisito.

Artículo 32º.- Del cese de operaciones
La Entidad de Registro o Verificación cesa de operar en el marco de la Infraestructura Oficial de Firma Electrónica en los siguientes casos:

a) Por decisión unilateral comunicada a la Autoridad Administrativa Competente, asumiendo la responsabilidad del caso por dicha decisión.

b) Por extinción de su personería jurídica.

c) Por cancelación de su registro.

d) Por sentencia judicial.

e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal o resolución judicial de quiebra.

f) Por decisión debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Específicos y Guías de Acreditación, observado en el proceso de evaluación técnica anual a que se refiere el artículo 71º del presente Reglamento.

Para los supuestos contenidos en los incisos a) y b), la Entidad de Registro o Verificación tiene un plazo de treinta (30) días calendario para notificar el cese de sus operaciones a la Autoridad Administrativa Competente debiendo dejar constancia ante aquélla de los mecanismos utilizados para preservar el cumplimiento de lo dispuesto en el inciso c) del artículo 30º del presente Reglamento.

SECCIÓN III.- DE LOS PRESTADORES DE SERVICIOS DE VALOR AÑADIDO

Artículo 33º.- De las funciones
Los Prestadores de Servicios de Valor Añadido tienen las siguientes funciones:

a) Participar en la transmisión o envío de documentos electrónicos firmados digitalmente, siempre que el usuario lo haya solicitado expresamente.

b) Certificar los documentos electrónicos con fecha y hora cierta (Sellado de Tiempo) o en el almacenamiento de tales documentos, aplicando medios que garanticen la integridad y no repudio de los datos de origen y recepción (Sistema de Intermediación Digital).

c) Generar certificados de autenticación a los usuarios que lo soliciten. Dichos certificados serán utilizados sólo en caso que se requiera la autenticación del usuario para el control de acceso a domicilios electrónicos correspondientes a los servicios vinculados a notificaciones electrónicas. Su uso fuera del servicio, en aplicaciones ajenas al Prestador de Servicios de Valor Añadido que lo emitió, no gozará del amparo de la Infraestructura Oficial de Firma Electrónica.

Los usuarios que así lo deseen podrán emplear su propio certificado digital de autenticación para los usos descritos en el presente inciso.

Artículo 34º.- De las modalidades del Prestador de Servicios de Valor Añadido
Los Prestadores de Servicios de Valor Añadido pueden adoptar cualquiera de las modalidades siguientes:

a) Prestador de Servicios de Valor Añadido con firma digital del usuario final. En este caso, se requiere en determinada etapa del servicio de valor añadido la firma digital del usuario final en el documento.

b) Prestador de Servicios de Valor Añadido sin firma digital del usuario final. En ninguna parte del servicio de valor añadido se requiere la firma digital del usuario final.

En cualquiera de los casos, el Prestador de Servicios de Valor Añadido puede contar con los servicios de un notario o fedatario con diploma de idoneidad técnica registrado ante su correspondiente colegio o asociación profesional, de conformidad con lo establecido en el Decreto Legislativo nº 681, para los casos de prestación de servicios al amparo de lo señalado en el artículo 35º inciso a) del presente Reglamento.

Artículo 35º.- De las modalidades del Prestador de Servicios de Valor Añadido con firma digital del usuario final
Los Prestadores de Servicios de Valor Añadido que realizan procedimientos con firma digital del usuario final, podrán a su vez adoptar dos modalidades:

a) Sistema de Intermediación Digital cuyo procedimiento concluye con una microforma o microarchivo.

b) Sistema de Intermediación Digital cuyo procedimiento no concluye en microforma o microarchivo.

En la modalidad de Sistema de Intermediación Digital cuyo procedimiento concluye con una microforma o microarchivo y se requiera de una formalidad para la conservación de documentos electrónicos firmados digitalmente, se deberá respetar para tales efectos lo establecido en el artículo 5º del presente Reglamento.

Artículo 36º.- De la modalidad del Prestador de Servicios de Valor Añadido sin firma digital del usuario final
El Prestador de Servicios de Valor Añadido sin firma digital del usuario final se refiere al sistema de Sellado de Tiempo, el cual permite consignar la fecha y hora cierta de la existencia de un documento electrónico.

Artículo 37º.- De las obligaciones
Los Prestadores de Servicios de Valor Añadido tienen las siguientes obligaciones:

a) Cumplir con los requerimientos de la Autoridad Administrativa Competente respecto de la Política de Valor Añadido, Declaración de Prácticas de Servicios de Valor Añadido, Política de Seguridad, Política y Plan de Privacidad. Estos documentos deberán ser aprobados por la Autoridad Administrativa Competente dentro del procedimiento de acreditación.

b) Informar a los usuarios de todas las condiciones para la prestación de sus servicios.

c) Mantener la confidencialidad de la información relativa a los usuarios de los servicios, limitando su empleo a las necesidades propias del servicio de valor añadido prestado, salvo orden judicial o pedido del usuario utilizando medios que garanticen el no repudio, debiendo respetar para tales efectos los lineamientos establecidos en la Norma Marco sobre Privacidad.

d) Tener operativo software, hardware y demás componentes adecuados para la prestación de servicios de valor añadido y las condiciones de seguridad adicionales basadas en estándares internacionales o compatibles a los internacionalmente vigentes que aseguren la interoperabilidad y las condiciones exigidas por la Autoridad Administrativa Competente.

e) Cumplir los términos bajo los cuales obtuvo la acreditación, así como los requerimientos adicionales que establezca la Autoridad Administrativa Competente conforme a lo establecido en el presente Reglamento.

f) Cumplir con las disposiciones de la Autoridad Administrativa Competente a que se refiere el artículo 38º del presente Reglamento.

g) Brindar todas las facilidades al personal autorizado por la Autoridad Administrativa Competente para efectos de supervisión y auditoría.

Estas obligaciones podrán ser precisadas por la Autoridad Administrativa Competente, a excepción de las que señale expresamente la Ley.

Artículo 38º.- De la responsabilidad por riesgos
Para operar en el marco de la Infraestructura Oficial de Firma Electrónica y afrontar los riesgos que puedan surgir como resultado de sus actividades de valor añadido, los Prestadores de Servicios de Valor Añadido acreditados, de acuerdo a los niveles de seguridad establecidos, deberán cumplir con:

a) Nivel de seguridad Medio: mantener vigente la contratación de seguros o garantías bancarias; o

b) Nivel de seguridad Medio Alto: acreditar una certificación internacional, según:
• Sistema de Intermediación Digital cuyo procedimiento concluye con una microforma o microarchivo: certificación de acuerdo al Decreto Legislativo nº 681.
• Sistema de Intermediación Digital cuyo procedimiento no concluye con una microforma o microarchivo: certificación internacional de calidad para la provisión de sus servicios, de acuerdo a lo establecido por la Autoridad Administrativa Competente.
• Sistema de Sellado de Tiempo: certificación internacional de calidad para la provisión de sus servicios, de acuerdo a lo establecido por la Autoridad Administrativa Competente.

La Autoridad Administrativa Competente establecerá la cuantía mínima de las pólizas de seguros o garantías bancarias, las certificaciones de calidad internacional, así como las medidas tecnológicas correspondientes a cada nivel de seguridad.

Asimismo, la Autoridad Administrativa Competente determinará los criterios para evaluar el cumplimiento de este requisito.

Artículo 39º.- Del cese de operaciones
El Prestador de Servicios de Valor Añadido cesa de operar en el marco de la Infraestructura Oficial de Firma Electrónica en los siguientes casos:

a) Por decisión unilateral comunicada a la Autoridad Administrativa Competente), asumiendo la responsabilidad del caso por dicha decisión.

b) Por extinción de su personería jurídica.

c) Por cancelación de su registro.

d) Por sentencia judicial.

e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal o resolución judicial de quiebra.
Para los supuestos contenidos en los incisos a) y b) el Prestador de Servicios de Valor Añadido tiene un plazo de treinta (30) días calendario para notificar el cese de sus operaciones a la Autoridad Administrativa Competente.

f) Por decisión debidamente sustentada de la Autoridad Administrativa Competente frente al incumplimiento de los requerimientos exigidos en sus Reglamentos Específicos y Guías de Acreditación observado en el proceso de evaluación técnica anual a que se refiere el artículo 71º del presente Reglamento;

Para los supuestos contenidos en los incisos a) y b), el Prestador de Servicios de Valor Añadido tiene un plazo de treinta (30) días calendario para notificar el cese de sus operaciones a la Autoridad Administrativa Competente debiendo dejar constancia ante aquélla de los mecanismos utilizados para preservar el cumplimiento de lo dispuesto en el inciso c) del artículo 37º del presente Reglamento.

CAPÍTULO III.- DE LA PRESTACIÓN DE SERVICIOS DE GOBIERNO ELECTRÓNICO Y DE LA CERTIFICACIÓN DIGITAL A CARGO DEL ESTADO

SECCIÓN I.- ASPECTOS GENERALES

Artículo 40º.- Del derecho ciudadano de acceso a servicios públicos electrónicos seguros
El ciudadano tiene derecho al acceso a los servicios públicos a través de medios electrónicos seguros para la realización de transacciones de gobierno electrónico con las entidades de la Administración Pública, como manifestación de su voluntad y en el marco de lo previsto en la Ley del Procedimiento Administrativo General – Ley nº 27444.

Artículo 41º.- De los principios generales de acceso a los servicios públicos electrónicos seguros
La prestación de servicios públicos por medios electrónicos seguros deberá respetar lo establecido para tales efectos por la Ley del Procedimiento Administrativo General – Ley nº 27444 y en particular deberá ajustarse a los principios siguientes:

41.1. Principio de legalidad, que exige respetar y observar las garantías y normativa vigente que regula las relaciones entre los ciudadanos y las entidades de la Administración Pública, principalmente observando el marco jurídico establecido por la Ley del Procedimiento Administrativo General – Ley nº 27444.

41.2. Principio de responsabilidad y calidad respecto a la veracidad, autenticidad e integridad de la información y servicios ofrecidos por las entidades de la Administración Pública a través de medios electrónicos.

41.3. Principio de presunción, reconocimiento y validez de los documentos electrónicos y medios de identificación y autenticación empleados en los trámites y procedimientos administrativos, siempre y cuando se respeten los lineamientos y requisitos establecidos por el presente Reglamento.

41.4. Principio de seguridad en la implantación y utilización de medios electrónicos para la prestación de servicios de gobierno electrónico, según el cual se exigirá a las entidades de la Administración Pública el respeto a los estándares de seguridad y requerimientos de acreditación necesarios para poder dotar de respaldo tecnológico y presunción legal suficiente a las operaciones que realicen por medios electrónicos, según lo establecido para tales efectos por la Autoridad Administrativa Competente.

41.5. Principio de protección de datos personales empleados en los trámites y procedimientos ante las entidades de la Administración Pública, así como aquellos mantenidos en sus archivos y sistemas, para lo cual se deberá tener en consideración los lineamientos establecidos por la Norma Marco sobre la Privacidad.

41.6. Principio de cooperación, tanto en la utilización de medios electrónicos, como en el acceso a la información obtenida de los ciudadanos por las entidades de la Administración Pública, a fin de lograr el intercambio seguro de datos entre ellas y garantizar la interoperabilidad de los sistemas y soluciones que adopten para lograr, de manera progresiva y en la medida de lo posible, la prestación integrada de servicios a los ciudadanos.

41.7. Principio de usabilidad en la prestación de los servicios de certificación, brindando la información y los sistemas de ayuda necesarios, de manera que los usuarios puedan acceder a dichos servicios de manera efectiva, eficiente y satisfactoria.

Artículo 42º.- De los derechos conexos
El derecho ciudadano de acceso a servicios públicos electrónicos seguros tiene como correlato el reconocimiento de los siguientes derechos:

42.1. A relacionarse con las entidades de la Administración Pública por medios electrónicos seguros para el ejercicio de todos los derechos y prerrogativas que incluye, entre otros, los consagrados en el artículo 55º de la Ley del Procedimiento Administrativo General – Ley nº 27444. En tal sentido, constituye obligación de la Administración Pública facilitar el ejercicio de estos derechos ciudadanos, debiendo promover la prestación de servicios por medios electrónicos. Los trámites y procedimientos administrativos ante las entidades de la Administración Pública, la constancia documental de la transmisión a distancia por medios electrónicos entre autoridades administrativas o con sus administrados, o cualquier trámite, procedimiento o proceso por parte de los administrados o ciudadanos ante las Entidades Públicas o entre estas entidades, no excluyendo a las representaciones del Estado Peruano en el exterior, se entenderán efectuadas de manera segura siempre y cuando sean realizados empleando firmas y certificados digitales emitidos por los Prestadores de Servicios de
Certificación Digital que se encuentren acreditados y operando dentro de la Infraestructura Oficial de Firma Electrónica.

42.2. A optar por relacionarse con las entidades de la Administración Pública ya sea empleando los centros de acceso ciudadano o a través de canales seguros para la realización de transacciones de gobierno electrónico que éstas deberán poner a su disposición.

42.3. A conocer por medios electrónicos el plazo y los requisitos necesarios para el inicio de cualquier procedimiento o tramitación ante una entidad de la Administración Pública. Teniendo asimismo derecho a conocer por medios electrónicos el estado en el que tales procedimientos o trámites se encuentran y solicitar la emisión de copias y constancias electrónicas. Esto no resulta aplicable para los casos de procedimientos o trámites que pudieran afectar a la intimidad personal, las vinculadas a la seguridad nacional o las que expresamente sean excluidas por Ley.

42.4. A obtener y utilizar firmas y certificados digitales emitidos por Prestadores de Servicios de Certificación Digital acreditados y que se encuentren dentro de la Infraestructura Oficial de Firma Electrónica como medio de identificación en todo tipo de trámite y actuación ante cualquier entidad de la Administración Pública.

42.5. A presentar solicitudes, escritos y comunicaciones todos los días del año durante las veinticuatro (24) horas, para tal efecto las entidades de la Administración Pública deberán contar con un archivo electrónico detallado de recepción de solicitudes. Corresponde a la Oficina Nacional de Gobierno Electrónico e Informática, el establecimiento de los lineamientos para el cómputo de plazos en los casos de solicitudes, escritos y comunicaciones recibidas bajo estas condiciones.

42.6. A obtener servicios de gobierno electrónico de calidad, en estricta observancia de los lineamientos y requisitos establecidos para tales efectos por el presente Reglamento y por la Autoridad Administrativa Competente.

Artículo 43º.- De las garantías para el acceso de los ciudadanos a los servicios públicos electrónicos seguros
Las diferentes entidades y dependencias de la Administración Pública deberán garantizar el acceso a los ciudadanos para la realización de transacciones de gobierno electrónico, debiendo para tales efectos:

a) Adecuar sus trámites y procedimientos aplicados en sus comunicaciones tanto con los ciudadanos como con las distintas entidades de la Administración Pública, a fin de llevarlos a cabo por medios electrónicos; debiendo asegurar en todo momento la disponibilidad de acceso, la integridad, la autenticidad, el no repudio y la confidencialidad de las transacciones realizadas por estos medios, empleando para tales fines los certificados y firmas digitales emitidos dentro de la Infraestructura Oficial de Firma Electrónica de acuerdo al artículo 4º del presente Reglamento, así como canales seguros.

b) Proveer a su personal competente de certificados digitales y sistemas basados en firma digital reconocidos por la Infraestructura Oficial de Firma Electrónica de acuerdo al artículo 4º del presente Reglamento. Asimismo, cada Administración Pública deberá brindar a sus empleados la capacitación en la utilización de las firmas y certificados digitales, y demás medios electrónicos requeridos en las actividades propias de dicha entidad. Además, deberán ser capacitados en los temas de seguridad y privacidad respecto de los documentos de carácter personal que les competen según la función o cargo que ocupen.

c) Poner a disposición de los interesados, por vía electrónica, la información actualizada acerca de los trámites y procedimientos a su cargo, con especial indicación de aquellos que resulten factibles de ser iniciados por vía electrónica.

d) Informar a los ciudadanos de las condiciones tecnológicas necesarias para el acceso a servicios públicos electrónicos seguros y, de ser el caso, el modo de obtención de los implementos o dispositivos requeridos para tal efecto.

e) El equipo informático constituido por los servidores empleados por las instituciones para la prestación y realización de transacciones de gobierno electrónico, deberá brindar las garantías necesarias para una comunicación segura, debiendo obtener los correspondientes certificados de dispositivo seguro emitidos por una Entidad de Certificación debidamente acreditada ante la Autoridad Administrativa Competente.

f) Las entidades de la Administración Pública deberán admitir la recepción de documentos firmados digitalmente de acuerdo al artículo 4º del presente Reglamento, siempre que hayan sido emitidos por Entidades de Certificación y Entidades de Registro o Verificación que se encuentren acreditadas y operen dentro de la Infraestructura Oficial de Firma Electrónica.

g) Contar con personal capacitado para brindar información a los usuarios sobre el manejo y uso de la tecnología requerida (implementos y dispositivos) para la realización de transacciones de gobierno electrónico. Esta información podrá ser proporcionada por el mencionado personal y deberá necesariamente estar incorporada en el mismo medio o instrumento requerido para la realización del trámite o solicitud correspondiente.

h) Contar con una red de puntos de acceso a nivel nacional a través de centros de acceso ciudadano que por medio de canales seguros permitan la interacción con otras dependencias de la Administración Pública. Estos centros de acceso ciudadano deberán estar dotados de personal capacitado para brindar la información y facilidades necesarias para que el ciudadano pueda realizar transacciones seguras de gobierno electrónico, debiendo igualmente contar con un servicio integral de atención de reclamos y solicitudes de información respecto al empleo de los mecanismos necesarios para la interacción con el Estado a través de medios electrónicos.

i) Implementar los procedimientos necesarios para que en los casos de ciudadanos que no cuenten con el conocimiento y la tecnología necesaria para poder realizar transacciones electrónicas, su identificación y autenticación a efectos de poder acceder a los mismos podrá ser realizada por un notario que cuente con Diploma de Idoneidad Técnica inscrito en su correspondiente Colegio profesional. En este caso, el ciudadano deberá identificarse ante el depositario de la fe pública y prestar su consentimiento expreso, dejando constancia de ello para los casos de discrepancia o litigio.

j) Aplicar los criterios de usabilidad establecidos por la Autoridad Administrativa Competente.

Artículo 44º.- De la implementación de los procedimientos y trámites administrativos por medios electrónicos seguros
A fin de lograr una correcta implementación de la prestación de servicios de gobierno electrónico a través del empleo de canales seguros, certificados y firmas digitales reconocidos por la Infraestructura Oficial de Firma Electrónica, de acuerdo con el artículo 4º del presente Reglamento, para el intercambio seguro de datos, resulta indispensable la elaboración de un análisis de rediseño funcional y simplificación de los procedimientos, trámites y servicios administrativos, debiéndose poner principal énfasis en los aspectos siguientes:

a) La creación y mantenimiento de archivos electrónicos para el almacenamiento y gestión de los documentos electrónicos generados durante los trámites y procedimientos públicos: recepción y envío de solicitudes, escritos y comunicaciones.

Las entidades de la Administración Pública, mediante convenios de colaboración, podrán habilitar sus respectivos archivos electrónicos para la recepción de solicitudes, escritos y comunicaciones de competencia de otra entidad, según lo establecido en el convenio.

Los sistemas informáticos encargados de la gestión de los archivos electrónicos emitirán automáticamente un acuse de recibo o cargo electrónico consistente en una copia autenticada del escrito, solicitud o comunicación, incluyendo la fecha y la hora de presentación y el número de ingreso al archivo.

b) El establecimiento de convenios que hagan factible el intercambio electrónico seguro de información y documentos obtenidos de los ciudadanos, entre las entidades encargadas de su archivo y las entidades interesadas, con el propósito de suprimir su reiterada solicitud.

c) La puesta a disposición de los ciudadanos de sus servicios empleando firmas digitales, certificados digitales y canales seguros que se encuentren dentro del ámbito de la Infraestructura Oficial de Firma Electrónica.

d) La protección del derecho a la intimidad y a la confidencialidad de las comunicaciones dentro de lo establecido para tales efectos por la Norma Marco sobre Privacidad.

e) El empleo de la dirección oficial de correo electrónico cuando dicho servicio sea implementado.

En cumplimiento de lo establecido en el presente artículo, las entidades de la Administración Pública que brinden el servicio de Sistema de Intermediación Digital deberán acreditarse ante la Autoridad Administrativa Competente como Prestador de Servicios de Valor Añadido para el Estado Peruano.

Artículo 45º.- Del Documento Nacional de Identidad electrónico (DNIe)
El Documento Nacional de Identidad electrónico (DNIe) es un Documento Nacional de Identidad, emitido por el Registro Nacional de Identificación y Estado Civil – RENIEC, que acredita presencial y electrónicamente la identidad personal de su titular, permitiendo la firma digital de documentos electrónicos y el ejercicio del voto electrónico presencial. A diferencia de los certificados digitales que pudiesen ser provistos por otras Entidades de Certificación públicas o privadas, el que se incorpora en el Documento Nacional de Identidad electrónico (DNIe) cuenta con la facultad adicional de poder ser utilizado para el ejercicio del voto electrónico
primordialmente no presencial en los procesos electorales.

El voto electrónico presencial o no presencial se dará en la medida que la Oficina Nacional de Procesos Electorales – ONPE reglamente e implante dichas alternativas de conformidad con lo dispuesto por la Ley que establece normas que regirán para las Elecciones Generales del año 2006 – Ley nº 28581.

SECCIÓN II.- DE LAS TRANSACCIONES DE GOBIERNO ELECTRÓNICO EN LAS QUE INTERVIENEN PRESTADORES DE SERVICIOS DE CERTIFICACION DIGITAL PÚBLICOS

Artículo 46º.- De la Estructura Jerárquica de Certificación del Estado Peruano
Las entidades que presten servicios de certificación digital en el marco de la Infraestructura Oficial de Firma Electrónica son las entidades de la administración pública o personas jurídicas de derecho público siguientes:

a) Entidad de Certificación Nacional para el Estado Peruano, la cual será la encargada de emitir los certificados raíz para las Entidades de Certificación para el Estado Peruano que lo soliciten, además de proponer a la Autoridad Administrativa Competente, las políticas y estándares de las Entidades de Certificación para el Estado Peruano y Entidades de Registro o Verificación para el Estado Peruano, según los requerimientos de la Autoridad Administrativa Competente y lo establecido por el presente Reglamento.

b) Entidades de Certificación para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, las cuales serán las encargadas de proporcionar, emitir o cancelar los certificados digitales:

i. A los administrados, personas naturales y jurídicas, los cuales serán utilizados prioritariamente en los trámites, procedimientos administrativos y similares;

ii. A los funcionarios, empleados y servidores públicos para el ejercicio de sus funciones y la realización de actos de administración interna e interinstitucional, y a las personas expresamente autorizadas por la entidad pública correspondiente.

c) Entidades de Registro o Verificación para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, las cuales serán las encargadas del: levantamiento de datos, comprobación de la información del solicitante, identificación y autenticación de los titulares y suscriptores, aceptación y autorización de solicitudes de emisión, cancelación, modificación, reemisión y suspensión, si fuera el caso, de certificados digitales además de su gestión ante las Entidades de Certificación; para los fines previstos en el inciso b) del presente artículo.

d) Prestador de Servicios de Valor Añadido para el Estado Peruano acreditados por la Autoridad Administrativa Competente, quienes se encargarán de intervenir en la transmisión o envío de documentos electrónicos, pudiendo participar grabando, almacenando o conservando cualquier información enviada por medios electrónicos que permitan certificar los datos de envío y recepción, fecha y hora y no repudio de origen y recepción, concernientes a alguna tramitación o procedimiento realizado ante una entidad de la Administración Pública.

Las entidades señaladas en los incisos a) y b) podrán brindar servicios de valor añadido en condición de Prestador de Servicios de Valor Añadido para el Estado Peruano conforme a lo dispuesto en la Ley y el presente Reglamento, siempre y cuando cuenten con la correspondiente acreditación.

Cualquier entidad pública que cumpla con lo requerido para su acreditación ante la Autoridad Administrativa Competente puede operar bajo la modalidad de Entidad de Certificación para el Estado Peruano, Entidad de Registro o Verificación para el Estado Peruano y/o Prestador de Servicios de Valor Añadido para el Estado Peruano.

En ningún caso se admitirá la existencia de sistemas de certificación digital fuera de la Infraestructura Oficial de Firma Electrónica por parte de las entidades de la Administración Pública.

Los servicios brindados por los Prestadores de Servicios de Certificación Digital públicos se sustentan en los principios de acceso universal y no discriminación del uso de las tecnologías de la información y de comunicaciones, procurando que los beneficios resultantes contribuyan a la mejora de la calidad de vida de todos los ciudadanos. En consecuencia, las entidades públicas que presten servicios como Entidad de Certificación Nacional para el Estado Peruano, Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestador de Servicios de Valor Añadido para el Estado Peruano, sólo podrán considerar los costos asociados a la prestación del servicio al momento de determinar su valor.

Artículo 47º.- De la designación de las entidades responsables
Se designa al Registro Nacional de Identificación y Estado Civil – RENIEC como Entidad de Certificación Nacional para el Estado Peruano, Entidad de Certificación para el Estado Peruano y Entidad de Registro o Verificación para el Estado Peruano. Los servicios a ser prestados en cumplimiento de los roles señalados estarán a disposición de todas las Entidades Públicas del Estado Peruano y de todas las personas naturales y jurídicas que mantengan vínculos con él, no excluyendo ninguna representación del Estado Peruano en el territorio nacional o en el extranjero.

A fin de viabilizar la prestación segura de los servicios públicos a los ciudadanos, el Registro Nacional de Identificación y Estado Civil – RENIEC deberá realizar los trámites correspondientes para su acreditación ante la Autoridad Administrativa Competente a fin de ingresar a la Infraestructura Oficial de Firma Electrónica.

Las demás entidades de la Administración Pública que opten por constituirse como Entidad de Certificación para el Estado Peruano y/o Entidad de Registro o Verificación para el Estado Peruano deberán cumplir con las políticas y estándares que sean propuestos por la Entidad de Certificación Nacional para el Estado Peruano y aprobadas por la Autoridad Administrativa Competente, y solicitar su acreditación correspondiente a fin de ingresar a la Infraestructura Oficial de Firma Electrónica.

Artículo 48º.- De la Entidad de Certificación Nacional para el Estado Peruano

a) El Registro Nacional de Identificación y Estado Civil – RENIEC será la única Entidad de Certificación Nacional para el Estado Peruano y actuará también como Entidad de Certificación para el Estado Peruano y Entidad de Registro o Verificación para el Estado Peruano. Todas las Entidades de Certificación para el Estado Peruano y las Entidades de Registro o Verificación para el Estado Peruano deben seguir las políticas y estándares propuestos por la Entidad de Certificación Nacional para el Estado Peruano y aprobados por la Autoridad Administrativa Competente.

b) La Entidad de Certificación Nacional para el Estado Peruano contará con una estructura funcional y jurídica estable, no cambiante en el mediano plazo, sólo variable en la cantidad de Entidades de Certificación para el Estado Peruano y Entidades de Registro o Verificación para el Estado Peruano que pueda tener.

c) La Entidad de Certificación Nacional para el Estado Peruano y las Entidades de Certificación para el Estado Peruano observarán los lineamientos establecidos por la Autoridad Administrativa Competente en relación al grado de seguridad adecuado en la selección del algoritmo, en la longitud de la clave, en el medio de almacenamiento de la clave privada y en la implementación de los algoritmos empleados, así como el contenido de los certificados digitales que permitan la interoperabilidad entre los distintos componentes tecnológicos, aplicaciones informáticas e infraestructuras de firmas digitales.

d) La Entidad de Certificación Nacional para el Estado Peruano será auditada periódicamente por la Autoridad Administrativa Competente, de conformidad con lo establecido para tales efectos en el presente Reglamento y en las correspondientes Guías de Acreditación.

Los informes de auditoria deben ser tenidos en cuenta para continuar su operación.

Artículo 49º.- De las Entidades de Certificación para el Estado Peruano y las Entidades de Registro o Verificación para el Estado Peruano

a) Las Entidades de Certificación para el Estado Peruano deberán ofrecer un servicio de directorio y permitir que las aplicaciones accedan a los certificados digitales emitidos y a la Lista de Certificados Digitales Cancelados, de conformidad con los lineamientos establecidos para tales efectos por la Autoridad Administrativa Competente en las correspondientes Guías de Acreditación, debiendo encontrarse actualizado dicho servicio con la frecuencia indicada en las Guías de Acreditación. Junto al Servicio de Directorio se puede disponer del servicio de consulta en línea del estado de un certificado digital.

b) Una Entidad de Certificación para el Estado Peruano podrá ofrecer distintos servicios y mecanismos para recibir un requerimiento de certificado digital, siendo necesario que en todos los casos de primera emisión de un certificado digital, el solicitante comparezca de manera personal ante la correspondiente Entidad. Además, deberá ofrecer en forma obligatoria los servicios de recepción de solicitudes de cancelación y la publicación periódica de la Lista de Certificados Digitales Cancelados. Asimismo, deberá garantizar el acceso permanente a dichos servicios, proponiendo una solución para una eventual contingencia, todo lo cual deberá
encontrarse en estricta observancia de lo establecido para tales efectos por la Autoridad Administrativa Competente en sus correspondientes Guías de Acreditación.

c) Las Entidades de Certificación para el Estado Peruano deberán ofrecer el servicio de emisión y cancelación de certificados digitales, conforme a los lineamientos establecidos por la Autoridad Administrativa Competente. Podrán ofrecer servicios de re-emisión, modificación o suspensión de certificados digitales.

d) Las Entidades de Certificación para el Estado Peruano deberán brindar el nivel de seguridad adecuado en relación a los equipos informáticos y de comunicación utilizados, el personal empleado para operar la Entidad de Certificación para el Estado Peruano, así como los responsables de operar las claves de la Entidad de Certificación para el Estado Peruano y los procedimientos utilizados para la autenticación de los datos a ser incluidos en los certificados digitales, serán establecidos de conformidad con lo señalado para tales efectos en las Guías de Acreditación aprobadas por la Autoridad Administrativa Competente.

e) Las Entidades de Certificación para el Estado Peruano y Entidades de Registro o Verificación para el Estado Peruano serán auditadas periódicamente por la Autoridad Administrativa Competente, de conformidad con lo establecido para tales efectos en el presente Reglamento y en las correspondientes Guías de Acreditación. Los informes de auditoria deben ser tenidos en cuenta para continuar su operación.

f) La integridad del Directorio de Certificados Digitales y la Lista de Certificados Digitales Cancelados debe estar permanentemente asegurada. Es responsabilidad de la Entidad de Certificación para el Estado Peruano garantizar la disponibilidad de este servicio y la calidad de los datos suministrados por éste.

g) Respecto a los elementos que componen el nombre diferenciado de un certificado digital, los nombres correspondientes al titular y suscriptor del certificado deberán ser distinguidos unívocamente. Para el caso de los funcionarios, empleados o servidores públicos y de las personas expresamente autorizadas por la entidad pública correspondiente, deberá incluirse en los certificados digitales, el organismo en el cual desempeñan sus funciones o el organismo por el cual ha sido autorizada la emisión de los certificados digitales.

h) Los campos que indiquen el período de validez o vigencia («no antes de» y «no después de») deberán detallar la fecha y la hora.

Artículo 50º.- De los Prestadores de Servicios de Valor Añadido para el Estado Peruano

a) Los Prestadores de Servicios de Valor Añadido para el Estado Peruano podrán adoptar cualquiera de las dos modalidades de prestación de servicios de valor añadido a que se refiere el artículo 34º del presente Reglamento.

b) En todos los casos, los Prestadores de Servicios de Valor Añadido para el Estado Peruano que realicen procedimientos que incluyan la firma digital del usuario final, y cuyo procedimiento concluya con una microforma o microarchivo, será indispensable emplear los servicios de un notario o fedatario que cuente con Diploma de Idoneidad Técnica y se encuentre registrado ante su correspondiente Colegio o Asociación Profesional, conforme a lo establecido por el Decreto Legislativo Normas que regulan el uso de Tecnología Avanzada en materia de documentos e información – Decreto Legislativo nº 681.

c) Los Prestadores de Servicios de Valor Añadido para el Estado Peruano serán auditados periódicamente por la Autoridad Administrativa Competente, de conformidad con lo establecido para tales efectos en el presente Reglamento y en las correspondientes Guías de Acreditación.
Los informes de auditoria deben ser tenidos en cuenta para continuar su operación.

SECCIÓN III.- DE LOS CENTROS DE ACCESO CIUDADANO

Artículo 51º.- De los modos de acceso del ciudadano
Los ciudadanos titulares y suscriptores de certificados digitales emitidos por un Prestador de  Servicios de Certificación Digital dentro de la Infraestructura Oficial de Firma Electrónica pueden realizar transacciones electrónicas a través de cualquier computador o punto de acceso que cuente con la tecnología necesaria para tales efectos, no están limitados a ningún modo en particular.

Artículo 52º.- De los Centros de Acceso Ciudadano
Se entiende por Centros de Servicios Ciudadanos a los locales, instituciones o puntos que sirven para el acceso ciudadano a la realización de transacciones de gobierno electrónico prioritariamente, a fin que a través de tales Centros los ciudadanos puedan materializar los derechos a que se refieren los artículos 40º, 41º y 42º del presente Reglamento.

Artículo 53º.- De los elementos de los Centros de Acceso Ciudadanos
A fin de poder dotar al ciudadano de todas las facilidades necesarias para una óptima interacción con el Estado, resulta indispensable que un Centro de Acceso Ciudadano ponga a disposición de los usuarios, como mínimo, los siguientes elementos:

a) Equipos de cómputo que cuenten con lectoras de tarjetas inteligentes, incluyendo sus respectivos controladores de dispositivo (drivers), a fin de permitir a los usuarios su autenticación y empleo de firma digital para las transacciones en que ésta sea requerida.

b) Infraestructura tecnológica adecuada (computadores, equipos de red, etc.).

c) Sistemas que garanticen la seguridad en las transacciones que realizan, confidencialidad, privacidad y no almacenamiento de información personal.

d) Personal capacitado para la asistencia en el empleo de los mecanismos y dispositivos necesarios para la realización de transacciones de gobierno electrónico

e) Terminales equipados con los componentes de software necesarios para la realización de transacciones públicas a través de medios electrónicos, incluyendo los componentes de firma digital y verificación de firma digital.

Adicionalmente, los Centros de Acceso Ciudadano podrán también encargarse de la prestación de los servicios siguientes:

• Línea de producción de microformas digitales a partir de documentos en formato papel, debiendo respetar para tal efecto lo establecido por el Decreto Legislativo nº 681.
• Archivo y almacenamiento de documentos electrónicos, debiendo para tales efectos respetar igualmente lo establecido por el Decreto Legislativo nº 681.
• Prestación de servicios de registro o verificación, para tales efectos deberán contar con la acreditación correspondiente por parte de la Autoridad Administrativa Competente.
• Prestación de servicios de valor añadido, para tal efecto deberán contar con la acreditación correspondiente por parte de la Autoridad Administrativa Competente.

Corresponde a la Oficina Nacional de Gobierno Electrónico e Informática verificar el cumplimiento de los requisitos necesarios para operar un Centro de Acceso Ciudadano, de acuerdo a lo establecido en el presente artículo, debiendo asimismo llevar un Registro Nacional de los Centros de Acceso Ciudadano autorizados para la prestación de este tipo de servicios.

SECCIÓN IV.- DEL INTERCAMBIO DE INFORMACIÓN Y COOPERACIÓN ENTRE ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA

Artículo 54º.- Del intercambio de documentos electrónicos por medios seguros

a) Todas las entidades de la Administración Pública contarán con facultades suficientes para la emisión válida de comunicaciones y resoluciones por medios electrónicos de todo tipo de documento administrativo, siempre que se respete para tales efectos los lineamientos establecidos por el presente Reglamento y normas complementarias.

b) El intercambio de documentos electrónicos tanto al interior de las entidades de la Administración Pública, como aquellos realizados entre entidades, requerirá para su validez y a efecto de gozar del principio de equivalencia funcional, del empleo de firmas y certificados digitales.

c) Los certificados digitales a que alude el inciso anterior, necesariamente deberán haber sido emitidos por una Entidad de Certificación para el Estado Peruano que cuente con la correspondiente acreditación por parte de la Autoridad Administrativa Competente. Las firmas digitales deben ser generadas por programas de software o componentes acreditados por la Autoridad Administrativa Competente según su Guía de Acreditación de Software.

Artículo 55º.- De la cooperación de información entre las entidades de la Administración Pública
Cada entidad de la Administración Pública deberá facilitar, mediante convenios, el acceso de las demás entidades a los documentos de los ciudadanos que obren en su poder y que se encuentren en archivo electrónico, especificando las condiciones y criterios para el acceso a dicha información. La disponibilidad de dichos documentos estará limitada estrictamente a aquellos que son requeridos por las entidades de la Administración Pública para la tramitación y resolución de los procedimientos de su competencia. El acceso a los documentos con información de carácter personal estará condicionado al cumplimiento de lo establecido en la
Norma Marco sobre Privacidad.

Artículo 56º.- De la interoperabilidad de los sistemas para la prestación de servicios de gobierno electrónico
Las entidades de la Administración Pública utilizarán las tecnologías y sistemas para la prestación de sus servicios a los ciudadanos y para sus relaciones con las demás entidades y dependencias del Estado, aplicando medidas informáticas, tecnológicas, organizativas y de seguridad que garanticen la interoperabilidad, en estricta observancia de lo establecido para tales efectos por la Autoridad Administrativa Competente.

TÍTULO III.- DE LA AUTORIDAD ADMINISTRATIVA COMPETENTE

CAPÍTULO I.- DE LAS FUNCIONES

Artículo 57º.- De las funciones
La Autoridad Administrativa Competente tiene las siguientes funciones:

a) Aprobar las Políticas de Certificación, de Registro o Verificación y de Valor Añadido, las Declaraciones de Prácticas de Certificación, de Registro o Verificación y de Valor Añadido, las Políticas de Seguridad y las Políticas y Planes de Privacidad de las Entidades de Certificación, de Registro o Verificación y de Valor Añadido, de los Prestadores de Servicios de Certificación tanto públicos como privados.

b) Acreditar Entidades de Certificación nacionales tanto públicas como privadas y establecer acuerdos de reconocimiento mutuo con otras Infraestructuras compatibles con la Infraestructura Oficial de Firmas Electrónicas.

c) Acreditar Entidades de Registro o de Verificación tanto públicas como privadas.

d) Acreditar a los Prestadores de Servicios de Valor Añadido tanto públicos como privados y el software que emplean en la prestación de sus servicios en los casos del artículo 34º inciso a).

e) Registrar a las entidades acreditadas señaladas en los incisos c), d) y e) del presente artículo en el Registro de Prestadores de Servicios de Certificación Digital, previsto en el artículo 15º de la Ley.

f) Supervisar a los Prestadores de Servicios de Certificación Digital.

g) Cancelar las acreditaciones otorgadas a los Prestadores de Servicios de Certificación Digital conforme a lo dispuesto en el presente Reglamento.

h) Publicar, por medios telemáticos, la relación de Prestadores de Servicios de Certificación Digital acreditados.

i) Aprobar el empleo de estándares técnicos internacionales dentro de la Infraestructura Oficial de Firma Electrónica, así como de otros estándares técnicos determinando su compatibilidad con los estándares internacionales; cooperar, dentro de su competencia, en la unificación de los sistemas que se manejan en los organismos de la Administración Pública, tendiendo puentes entre todos sus niveles; y, en la obtención de la interoperabilidad del mayor número de aplicaciones, componentes e infraestructuras de firmas digitales (análogos a la Infraestructura Oficial de Firma Electrónica en otros países).

j) Formular los criterios para el establecimiento de la idoneidad técnica de los Prestadores de Servicios de Certificación Digital, así como aquellas relacionadas con la prevención y solución de conflictos.

k) Establecer los requisitos mínimos para la prestación de los diferentes servicios a cargo de los Prestadores de Servicios de Certificación Digital.

l) Impulsar la solución de conflictos por medio de la conciliación y el arbitraje.

m) Definir los criterios para evaluar el cumplimiento del requisito relativo al riesgo por los daños que los Prestadores de Servicios de Certificación Digital puedan ocasionar como resultado de sus actividades de certificación.

n) Suscribir acuerdos de reconocimiento mutuo con Autoridades Administrativas Extranjeras que cumplan funciones similares a las de la Autoridad Administrativa Competente.

o) Autorizar la realización de certificaciones cruzadas con entidades de certificación extranjeras.

p) Fomentar y coordinar el uso y desarrollo de la Infraestructura Oficial de Firma Electrónica en las entidades del sector público nacional en coordinación con la Entidad de Certificación Nacional para el Estado Peruano.

q) Delegar a terceros, bajo sus órdenes y responsabilidad, las funciones que estime pertinentes conforme a lo previsto en el presente Reglamento.

r) Elaborar el Reglamento de infracciones y sanciones a los usuarios finales y los procedimientos correspondientes en caso de incumplimiento por parte de los Prestadores de Servicios de Certificación Digital de lo establecido en la Ley, el presente Reglamento y en los Reglamentos y Guías de Acreditación de la Autoridad Administrativa Competente.

s) Sancionar a los Prestadores de Servicios de Certificación Digital, por el incumplimiento o infracción al presente Reglamento y demás disposiciones vinculadas a la Infraestructura Oficial de Firma Electrónica, de acuerdo al Reglamento de infracciones y sanciones a que se refiere el inciso anterior.

t) Definir las precisiones adicionales a lo establecido en el presente Reglamento, correspondientes a cada uno de los niveles de seguridad contemplados en el artículo 22º del referido Reglamento, bajo los cuales podrán operar los Prestadores de Servicios de Certificación acreditados.

u) Definir los criterios para evaluar el cumplimiento de la responsabilidad por riesgos por parte de los Prestadores de Servicios de Certificación acreditados, considerando los niveles de seguridad establecidos.

v) Las demás que sean necesarias para el buen funcionamiento de la infraestructura Oficial de Firma Electrónica.

Se designa al Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI como Autoridad Administrativa Competente.

CAPÍTULO II.- DEL RÉGIMEN DE ACREDITACIÓN DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN DIGITAL

Artículo 58º.- De la acreditación de Entidades de Certificación
Las entidades que soliciten su acreditación y registro ante la Autoridad Administrativa Competente, como Entidades de Certificación, incluyendo las Entidades de Certificación para el Estado Peruano, deben contar con los elementos de la Infraestructura Oficial de Firmas Electrónicas señalados en los incisos b), c) y d) del artículo 20º del presente Reglamento y someterse al procedimiento de evaluación comprendido en el artículo 70º del presente Reglamento.

Cuando alguno de los elementos señalados en el párrafo precedente sea administrado por un tercero, la entidad solicitante deberá demostrar su vinculación con aquél, asegurando la viabilidad de sus servicios bajo dichas condiciones, y la disponibilidad de estos elementos para la evaluación y supervisión que la Autoridad Administrativa Competente considere necesarias. La Autoridad Administrativa Competente, de ser el caso, precisará los términos bajo los cuales se regirán los supuestos del servicio de certificación.

Artículo 59º.- De la presentación de la solicitud de acreditación de Entidades de Certificación

La solicitud para la acreditación de Entidades de Certificación debe presentarse a la Autoridad Administrativa Competente, observando lo dispuesto en el artículo anterior y adjuntando lo siguiente:

a) El pago por derecho de solicitud de acreditación por un monto equivalente al 100% de la UIT, vigente a la fecha de pago.

b) Los documentos que acrediten la existencia y vigencia de la persona jurídica mediante los instrumentos públicos o norma legal respectiva, así como las facultades del representante.

c) Los documentos que acrediten contar con un domicilio en el país.

d) Los documentos que acrediten contar con la infraestructura e instalaciones necesarias para la prestación del servicio y presentar declaración jurada de aceptación de la visita comprobatoria de la Autoridad Administrativa Competente.

e) Los procedimientos detallados que garanticen el cumplimiento de las funciones establecidas en el presente Reglamento.

f) La Política de Certificación, la Declaración de Prácticas de Certificación, la Política de Seguridad, la Política de Privacidad y el Plan de Privacidad, y documentación que comprende el sistema de gestión implementado conforme al inciso d) del artículo 20º del presente Reglamento.

g) La declaración jurada del cumplimiento de los requisitos señalados en los Incisos c) y d) del artículo 20º del presente Reglamento; información que será comprobada por la Autoridad Administrativa Competente.

h) La documentación que acredite el cumplimiento de lo dispuesto en los artículos 26º y 27º del presente Reglamento y demás requisitos que la Autoridad Administrativa Competente señale.

i) El informe favorable de la entidad sectorial correspondiente, cuando lo solicite la Autoridad Administrativa Competente, para el caso de personas jurídicas supervisadas, respecto de la legalidad y seguridad para el desempeño de actividades de certificación.

j) Otros documentos o requisitos establecidos por la Autoridad Administrativa Competente.

Artículo 60º.- De la acreditación de Entidades de Registro o Verificación
Las entidades que soliciten su acreditación y registro ante la Autoridad Administrativa Competente, como Entidades de Registro o Verificación, incluyendo las Entidades de Registro o Verificación para el Estado Peruano, deben contar con los requerimientos establecidos por la Autoridad Administrativa Competente para la prestación de sus servicios, los que tendrán que asegurar la verificación presencial de la identidad del solicitante de un nuevo certificado digital.

Artículo 61º.- De la presentación de la solicitud de acreditación de Entidades de Registro o Verificación
La solicitud para la acreditación de Entidades de Registro o Verificación debe presentarse a la Autoridad Administrativa Competente, observando lo dispuesto en el artículo anterior y adjuntando lo siguiente:

a) El pago por derecho de solicitud de acreditación por un monto equivalente al cien por ciento (100%) de la UIT, vigente a la fecha de pago.

b) Los documentos que acrediten la existencia y vigencia de la persona jurídica mediante los instrumentos públicos o norma legal respectiva, así como las facultades del representante.

c) Los documentos que acrediten contar con domicilio en el país.

d) Los documento que acrediten contar con la infraestructura e instalaciones necesarias para la prestación del servicio y presentar declaración jurada de aceptación de las visitas comprobatorias de la Autoridad Administrativa Competente.

e) Los procedimientos detallados que garanticen el cumplimiento de las funciones establecidas en el presente Reglamento.

f) Las Políticas de Registro, la Declaración de Prácticas de Registro o Verificación, la Política de Seguridad, la Política y el Plan de Privacidad.

g) La declaración jurada del cumplimiento de las obligaciones y los requisitos señalados en los artículos 30º y 31º del presente Reglamento.

h) Otros documentos o requisitos establecidos por la Autoridad Administrativa Competente.

Artículo 62º.- De la acreditación de los Prestadores de Servicios de Valor Añadido
Las entidades públicas y privadas que soliciten su acreditación y registro ante la Autoridad Administrativa Competente como Prestadores de Servicios de Valor Añadido, deben contar con procedimientos idóneos para la prestación de sus servicios, los cuales se encontrarán recogidos en su correspondiente Declaración de Prácticas de Valor Añadido. En el caso de los Prestadores de Servicios de Valor Añadido con modalidad de Servicios de Valor Añadido con firma digital del usuario, y cuyo procedimiento concluya con una microforma o microarchivo, sus procedimientos tendrán que asegurar la presencia de un notario o fedatario que cuente con Diploma de Idoneidad Técnica y se encuentre inscrito en su correspondiente Colegio o Asociación Profesional, conforme a lo establecido por el Decreto Legislativo nº 681.

Artículo 63º.- De la acreditación del Software de los Prestadores de Servicios de Valor Añadido que realizan procedimientos con firma digital del usuario final
A fin de garantizar la seguridad de la prestación de los servicios de los Prestadores de Servicios de Valor Añadido que involucran la realización de procesos de firma digital por parte de los usuarios, resulta indispensable la acreditación del software a ser empleado en la prestación de los servicios, conforme a los lineamientos y parámetros establecidos por la Autoridad Administrativa Competente.

Artículo 64º.- De la presentación de la solicitud de acreditación de los Prestadores de Servicios de Valor Añadido
La solicitud para la acreditación de Prestadores de Servicios de Valor Añadido debe presentarse a la Autoridad Administrativa Competente, observando lo señalado en los artículos anteriores y adjuntando lo siguiente:

a) El pago por derecho de solicitud de acreditación por un monto equivalente al cien por ciento (100%) de la UIT vigente a la fecha de pago.

b) Los documentos que acrediten la existencia y vigencia de la persona jurídica mediante os instrumentos públicos o norma legal respectiva, así como las facultades del representante.

c) Los documentos que acrediten contar con domicilio en el país.

d) Los documentos que acrediten contar con la infraestructura e instalaciones necesarias para la prestación del servicio y presentar declaración jurada de aceptación de la visita comprobatoria de la Autoridad Administrativa Competente.

e) Las Políticas de Registro, la Declaración de Prácticas de Valor Añadido, la Política de Seguridad, Política y el Plan de Privacidad.

f) La declaración jurada de tener operativo el software, hardware y demás componentes adecuados para la prestación de servicios de valor añadido y las condiciones de seguridad adicionales basadas en estándares internacionales o compatibles a los internacionalmente vigentes que aseguren la interoperabilidad y las condiciones exigidas por la Autoridad Administrativa Competente.

g) La declaración jurada del cumplimiento de las obligaciones y los requisitos señalados en los artículos 37º y 38º del presente Reglamento.

h) Otros documentos o requisitos establecidos por la Autoridad Administrativa Competente.

Artículo 65º.- Del procedimiento Administrativo de la Acreditación

Admitida la solicitud, la Autoridad Administrativa Competente procederá a la evaluación del cumplimiento de los requisitos establecidos en la Ley, el Reglamento y las respectivas Guías de Acreditación.

La evaluación de los requisitos de competencia técnica de la Entidad de Certificación, Entidad de Registro o Verificación o Prestadores de Servicios de Valor Añadido solicitante podrá ser realizada directamente por la Autoridad Administrativa Competente, o a través de terceros, o reconociendo aquellas realizadas en el extranjero por otras Autoridades Extranjeras que cumplan funciones equivalentes a las de la Autoridad Administrativa Competente, y siempre que los requisitos evaluados por ellas sean equivalentes a los requisitos comprendidos en el Reglamento, para lo cual la Autoridad Administrativa Competente adoptará los requerimientos, estándares y procedimientos empleados a nivel internacional para la realización de esta función.

En todos los casos, el procedimiento de acreditación se regirá en particular por lo establecido para tales efectos por la Autoridad Administrativa Competente en los correspondientes Reglamentos y Guías de Acreditación, y en todos los casos de respuesta favorable a la acreditación, implicará el ingreso de la entidad solicitante a la Infraestructura Oficial de Firmas Electrónicas a través de su Registro como Prestador de Servicios de Certificación Digital acreditado.

Artículo 66º.- Del reconocimiento de evaluaciones en el extranjero

La Autoridad Administrativa Competente reconocerá las evaluaciones sobre los requisitos de competencia técnica de la Entidad de Certificación solicitante realizadas en el extranjero siempre y cuando se cumpla con las normas establecidas por la Autoridad Administrativa Competente en el marco del Reglamento, en especial si dichas evaluaciones consisten en certificaciones de cumplimiento de estándares internacionales que sean estipuladas por la Autoridad Administrativa Competente.

Artículo 67º.- De la subsanación de observaciones
Dentro del procedimiento y en el plazo máximo de seis (6) meses, podrán subsanarse las deficiencias técnicas observadas durante la evaluación. Las entidades podrán solicitar la suspensión del procedimiento a fin de implementar las medidas necesarias para superar estas dificultades.

Si, culminada la etapa de evaluación, subsisten observaciones, se denegará el Registro y se archivará el procedimiento.

Artículo 68º.- Del Costo del Registro y otros procedimientos
Las entidades solicitantes asumirán los costos por la tramitación del procedimiento, y aquellos por evaluación, auditoria y demás previstos por la Autoridad Administrativa Competente.

Artículo 69º.- Del otorgamiento y vigencia de la acreditación
La acreditación se otorga por un período de cinco (5) años, renovable por períodos similares. La Entidad beneficiaria estará sujeta a evaluaciones técnicas anuales para mantener la vigencia de la referida acreditación.

Artículo 70º.- De la cancelación de la acreditación
La cancelación de la acreditación de los Prestadores de Servicios de Certificación Digital procede:

a) Por decisión unilateral comunicada a la Autoridad Administrativa Competente.

b) Por extinción de su personería jurídica.

c) Por cancelación de su registro.

d) Por sentencia judicial.

e) Por liquidación, decidida por la junta de acreedores en el marco de la legislación concursal o resolución judicial de quiebra.

f) Por determinación de la Autoridad Administrativa Competente frente al incumplimiento observado en los procesos de evaluación técnica anual, de los requerimientos exigidos en sus Reglamentos Específicos y Guías de Acreditación.

CAPÍTULO III.- DE LOS CERTIFICADOS EMITIDOS POR ENTIDADES EXTRANJERAS

Artículo 71º.- De los acuerdos de reconocimiento mutuo
La Autoridad Administrativa Competente podrá suscribir acuerdos de reconocimiento mutuo con entidades extranjeras que cumplan funciones similares, a fin de reconocer la validez de los certificados digitales otorgados en el extranjero y extender la interoperabilidad de la Infraestructura Oficial de Firmas Electrónicas. Los acuerdos de reconocimiento mutuo deben garantizar en forma equivalente las funciones exigidas por la Ley y su Reglamento.

Artículo 72º.- Del reconocimiento
La Autoridad Administrativa Competente podrá reconocer los certificados digitales emitidos por Entidades Extranjeras, de acuerdo con las prácticas y políticas que para tal efecto apruebe, las que deben velar por el cumplimiento de las obligaciones y responsabilidades establecidas en el presente Reglamento u otra norma posterior.

Asimismo, podrá autorizar la operación de aquellas Entidades de Certificación nacionales que utilicen los servicios de Entidades de Certificación extranjeras, de verificarse tal supuesto, las entidades nacionales asumirán las responsabilidades del caso.

Para tal efecto, la entidad extranjera deberá comunicar a la Autoridad Administrativa Competente los nombres de aquellas Entidades de Certificación que autorizarán las solicitudes de emisión de certificados digitales y que asumirán la gestión de tales certificados.

La Autoridad Administrativa Competente emitirá las normas que aseguren el cumplimiento de lo establecido en el presente artículo, así como los mecanismos adecuados de información a los agentes del mercado.

Artículo 73º.- De la certificación cruzada
Las Entidades de Certificación acreditadas pueden realizar certificaciones cruzadas con Entidades de Certificación extranjeras a fin de reconocer los certificados digitales que éstas emitan en el extranjero, incorporándolos como suyos dentro de la Infraestructura Oficial de Firmas Electrónicas, siempre y cuando obtengan autorización previa de la Autoridad Administrativa Competente.

Las entidades que presten servicios de acuerdo a lo establecido en el párrafo precedente, asumirán responsabilidad de daños y perjuicios por la gestión de tales certificados.

Las Entidades de Certificación acreditadas que realicen certificaciones cruzadas conforme al primer párrafo del presente artículo, garantizarán ante la Autoridad Administrativa Competente que las firmas digitales y/o certificados digitales reconocidos han sido emitidos bajo requisitos equivalentes a los exigidos en la Infraestructura Oficial de Firmas Electrónicas, y que cumplen las funciones señaladas en el artículo 2º de la Ley.

El incumplimiento de lo estipulado en el párrafo anterior ameritará las sanciones correspondientes, de acuerdo a lo establecido en el Reglamento de infracciones y sanciones a que se refiere el inciso r) del artículo 57 del presente Reglamento.

CAPÍTULO IV.- DE LA SUPERVISIÓN DE ENTIDADES ACREDITADAS

Artículo 74º.- De las facultades de supervisión
La Autoridad Administrativa Competente tiene la facultad de verificar la correcta prestación de los servicios de certificación y/o emisión de firmas digitales, así como de los servicios de registro o verificación y de los servicios de valor añadido, el cumplimiento de las obligaciones legales y técnicas por parte de las entidades acreditadas que operen bajo la Infraestructura Oficial de Firmas Electrónicas, así como la facultad de verificar el cumplimiento de las disposiciones establecidas en la Ley, el Reglamento, y en sus Resoluciones.

Artículo 75º.- De la fiscalización
La Autoridad Administrativa Competente ejercerá su facultad fiscalizadora y sancionadora de conformidad con lo dispuesto en el Decreto Ley de Organización y Funciones del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – Decreto Ley nº 25868. Las sanciones a aplicar son determinadas por la Autoridad Administrativa Competente en el marco de la Decisión Andina 562 dada la naturaleza de reglamento técnico de la presente norma.

La Autoridad Administrativa Competente deberá aplicar el Reglamento de infracciones y sanciones a que se refiere el inciso r) del artículo 58º de este Reglamento a efectos de regular el procedimiento administrativo sancionador a ser seguido en caso de incumplimiento o infracción al presente Reglamento, las Guías de Acreditación de los Prestadores de Servicios de Certificación Digital y demás disposiciones vinculadas a la Infraestructura Oficial de Firma Electrónica; asimismo, debe fiscalizar el cumplimiento de lo establecido en las Políticas de Certificación, de Registro o Verificación y de Valor Añadido, las Declaraciones de Prácticas de
Certificación, de Registro o Verificación y de Valor Añadido, las Políticas de Seguridad y las Políticas y Planes de Privacidad.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera.- De la cooperación internacional

Las entidades del Sector Público Nacional pueden suscribir acuerdos de cooperación con sus similares a nivel mundial o con instituciones de cooperación internacional, para recibir apoyo, asesoría y financiamiento para el empleo de la tecnología relativa a las firmas digitales y transacciones electrónicas en general en la Administración Pública, en el marco de la Ley.

Encárguese al Consejo Nacional de Ciencia Tecnología e Innovación Tecnológica – CONCYTEC para que en coordinación con la Entidad de Certificación Nacional para el Estado Peruano, la Oficina Nacional de Gobierno Electrónico e Informática y la Autoridad Administrativa Competente desarrolle las acciones tendientes a masificar el uso de las firmas digitales en la Administración Pública, dentro del marco de la investigación e innovación tecnológica.

Segunda.- Del procedimiento administrativo contra decisiones de las Entidades de Certificación

Los Prestadores de Servicios de Certificación Digital deben establecer procedimientos ágiles y sencillos para que sus usuarios puedan presentar directamente reclamaciones por la prestación de sus servicios, las cuales deberán ser atendidas en el más breve plazo. La Autoridad Administrativa Competente aprobará o reformará estos procedimientos y regulará lo relativo a las reclamaciones. Agotada la vía previa de la reclamación ante el Prestador de Servicios de Certificación Digital, procederá recurrir en vía administrativa ante la Autoridad Administrativa Competente, con sujeción a la Ley nº 27444 – Ley del Procedimiento Administrativo General. La Autoridad Administrativa Competente determinará todos aquellos procedimientos y políticas necesarios para la aplicación del presente Reglamento. En los casos que proceda la reclamación, la Autoridad Administrativa Competente adoptará las medidas correctivas pertinentes.

Tercera.- De la compatibilidad de la normativa con los avances tecnológicos

Dentro del marco conformado por la Ley y el presente Reglamento, la Autoridad Administrativa Competente se encargará de emitir las resoluciones que sean necesarias para mantener la presente normativa compatible con la evolución tecnológica de la materia y el desarrollo de las necesidades de los usuarios de la Infraestructura Oficial de Firmas Electrónicas.

Cuarta.- Del plan de implementación de los procedimientos y trámites administrativos por medios electrónicos seguros en las entidades de la Administración Pública

En el plazo de seis (6) meses a partir de la vigencia del presente Reglamento, las entidades de la Administración Pública deberán elaborar y presentar a la Oficina Nacional de Gobierno Electrónico e Informática un plan para el cumplimiento de lo estipulado en los artículos 40º, 41º,42º, 43º, 44º y 45º del presente Reglamento, asimismo deberán proponer las normas complementarias necesarias para tal fin. La Oficina Nacional de Gobierno Electrónico e Informática evaluará y aprobará dichas propuestas.

Considerando que las entidades de la Administración Pública que brinden el servicio de Sistema de Intermediación Digital deberán acreditarse como Prestadores de Servicios de Valor Añadido ante la Autoridad Administrativa Competente, el mencionado plan deberá incorporar las estimaciones de los recursos económicos, técnicos y humanos, así como los plazos necesarios para su implantación. El plazo máximo para la implementación de lo descrito en dicho plan es de veinticuatro (24) meses a partir de su aprobación por la Oficina Nacional de Gobierno Electrónico e Informática.

Durante la implementación progresiva de los servicios de Gobierno Electrónico por parte de las entidades de la Administración Pública, éstas deberán incentivar la utilización de los medios electrónicos para la realización de sus trámites y procedimientos, considerando aquellos casos donde los ciudadanos se vean imposibilitados debido a que no cuentan con la tecnología, conocimientos necesarios para poder acceder a la prestación de los servicios electrónicos, ni con centros de acceso ciudadano disponibles en su respectiva provincia.

Quinta.- De la capacitación de empleados públicos

Cada entidad de la Administración Pública deberá garantizar de manera gradual la capacitación de sus empleados en los temas competentes a su función, que impliquen el uso de certificados y firmas digitales, así como los requerimientos de seguridad en la utilización de los medios electrónicos, la protección de la información personal de los ciudadanos y el respeto a la propiedad intelectual.

Sexta.- De la implementación del Registro Nacional de Centros de Acceso Ciudadano

En un plazo no mayor de ciento veinte (120) días calendario contados a partir de la vigencia del presente Reglamento, la Oficina Nacional de Gobierno Electrónico e Informática deberá tomar las medidas necesarias a fin de implementar el Registro Nacional de los Centros de Acceso Ciudadano a que hace referencia el artículo 53º de este Reglamento.

Séptima.- De la importación de computadoras personales con lectoras de tarjetas inteligentes para uso en el sector público y en aquéllas que se vinculen a éste

A partir de los ciento veinte (120) días calendario de vigencia del presente Reglamento, las Entidades del Sector Público adquirirán, preferentemente, computadoras personales que deberán incorporar lectoras de tarjetas inteligentes, incluyendo sus respectivos controladores de dispositivo (drivers), según los estándares correspondientes.

Octava.- Del plazo de Implementación de la Entidad de Certificación Nacional para el Estado Peruano

El Registro Nacional de Identificación y Estado Civil – RENIEC, en su calidad de Entidad de Certificación Nacional para el Estado Peruano, tendrá un plazo de diez (10) meses a partir de la vigencia del presente Reglamento, para implementar y poner al servicio de las personas naturales y jurídicas, así como de las entidades de la Administración Pública, la infraestructura indicada en el artículo 48º del presente Reglamento. Dicho plazo podrá ser prorrogado si por motivo de fuerza mayor debidamente acreditado, el Registro Nacional de Identificación y Estado Civil – RENIEC se viera imposibilitado de cumplir con lo señalado.

Después de vencido el plazo, la Entidad de Certificación Nacional para el Estado Peruano emitirá los certificados raíz correspondientes a las Entidades de Certificación para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, con el fin de garantizar la interoperabilidad y la confianza en el uso de los certificados digitales emitidos por las referidas entidades.

Novena.- Del plazo para la habilitación del Registro de Prestadores de Servicios de
Certificación Digital

La Autoridad Administrativa Competente se encargará de la aprobación de las Guías de Acreditación de los Prestadores de Servicios de Certificación Digital y realizar las gestiones, procedimientos legales y técnicos necesarios para iniciar los procesos de acreditación, a fin de habilitar el Registro de Prestadores de Servicios de Certificación Digital señalado en el Artículo 15º de la Ley.

Corresponde a la Oficina Nacional de Gobierno Electrónico e Informática supervisar la efectiva implementación de la Infraestructura Oficial de Firma Electrónica y el cumplimiento del plazo establecido en la presente Disposición Final.

En caso de incumplimiento del plazo establecido, la Oficina Nacional de Gobierno Electrónico e Informática asumirá la responsabilidad de aprobar las mencionadas Guías de Acreditación en un plazo adicional no mayor de quince (15) días calendario. Corresponderá a la Autoridad Administrativa Competente la ejecución de los procesos de acreditación aprobados.

Décima.- De la reutilización de aplicaciones de software de propiedad de la Administración Pública

Las entidades de la Administración Pública que sean titulares de derechos de propiedad intelectual de aplicaciones de software desarrolladas para la prestación de sus servicios o cuyo desarrollo haya sido objeto de contratación, deberán ponerlas a disposición de cualquier otra entidad de la Administración Pública sin necesidad de pago de contraprestación alguna.

Corresponde a la Oficina Nacional de Gobierno Electrónico e Informática, llevar un registro actualizado de las diferentes aplicaciones de software desarrolladas por las entidades de la Administración Pública o las contrataciones que pudieran haberse realizado para tales efectos, debiendo poner dicha información a disposición de todas las entidades de la Administración Pública, a efectos de lograr un efectivo intercambio tecnológico y reutilización de las citadas aplicaciones.

Décima Primera.- De la contratación de seguros o garantías bancarias

A fin de fomentar el registro de los Prestadores de Servicios de Certificación Digital ante la Autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operación de la Infraestructura Oficial de Firma Electrónica y el desarrollo de las transacciones de gobierno y comercio electrónico seguras, exonérese a los Prestadores de Servicios de Certificación Digital, por un período de un (1) año, a partir de la vigencia del presente Reglamento, de la contratación de seguros o garantías bancarias, sea cual fuera la modalidad bajo la que decidan operar; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos requerimientos.

Décima Segunda.- Del cumplimiento de los criterios WebTrust

A fin de fomentar el registro de los Entidades de Certificación ante la Autoridad Administrativa Competente, como presupuesto indispensable para la efectiva operación de la Infraestructura Oficial de Firmas Electrónicas y el desarrollo de las transacciones de gobierno y comercio electrónico seguras, exonérese a las Entidades de Certificación, por un periodo de tres (3) años a partir de la vigencia del presente Reglamento, del cumplimiento de los requisitos especificados en el estándar WebTrust for Certification Authorities y la obtención del sello de WebTrust; sin perjuicio de aquellos que opten voluntariamente por el cumplimiento de dichos
requerimientos.

Décima Tercera.- Del voto electrónico

En tanto no se implemente el Documento Nacional de Identidad electrónico (DNIe), los ciudadanos podrán utilizar los certificados de persona natural emitidos por cualquier Entidad de Certificación para el Estado Peruano a efectos del ejercicio del voto electrónico en los procesos electorales, en la medida que la Oficina Nacional de Procesos Electorales (ONPE) implemente dicha alternativa.

Décima Cuarta.- Del glosario de términos

De conformidad con lo establecido por la segunda disposición complementaria, transitoria y final de la Ley, se incluye el Glosario de Términos siguiente:

Acreditación.- Es el acto a través del cual la Autoridad Administrativa Competente, previo cumplimiento de las exigencias establecidas en la Ley, el Reglamento y las disposiciones dictadas por ella, faculta a las entidades solicitantes reguladas en el presente Reglamento a prestar los servicios solicitados en el marco de la Infraestructura Oficial de Firma Electrónica.

Acuse de Recibo.- Son los procedimientos que registran la recepción y validación de la Notificación Electrónica Personal recibida en el domicilio electrónico, de modo tal que impide rechazar el envío y da certeza al remitente de que el envío y la recepción han tenido lugar en una fecha y hora determinada a través del sello de tiempo electrónico.

Agente Automatizado.- Son los procesos y equipos programados para atender requerimientos predefinidos y dar una respuesta automática sin intervención humana, en dicha fase.

Ancho de banda.- Especifica la cantidad de información que se puede enviar a través de una conexión de red en un período de tiempo dado (generalmente un segundo). El ancho de banda se indica generalmente en bites por segundo (bps), kilobits por segundo (Kbps), o megabits por segundo (Mbps).
Cuánto más elevado el ancho de la banda de una red, mayor es su aptitud para transmitir un mayor caudal de información.

Archivo.- Es el conjunto organizado de documentos producidos o recibidos por una entidad en el ejercicio de las funciones propias de su fin, y que están destinados al servicio.

Archivo Electrónico.- Es el conjunto de registros que guardan relación. También es la organización de dichos registros.

Autenticación.- Es el proceso técnico que permite determinar la identidad de la persona que firma digitalmente, en función del documento electrónico firmado por éste y al cual se le vincula; este proceso no otorga certificación notarial ni fe pública.

Autoridad Administrativa Competente.- Es el organismo público responsable de acreditar a las Entidades de Certificación, a las Entidades de Registro o Verificación y a los Prestadores de Servicios de Valor Añadido, públicos y privados, de reconocer los estándares tecnológicos aplicables en la Infraestructura Oficial de Firma Electrónica, de supervisar dicha Infraestructura, y las otras funciones señaladas en el presente Reglamento o aquellas que requiera en el transcurso de sus operaciones. Dicha responsabilidad recae en el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI.

Canal seguro.- Es el conducto virtual o físicamente independiente a través del cual se pueden transferir datos garantizando una transmisión confidencial y confiable, protegiéndolos de ser interceptados o manipulados por terceros.

Certificación Cruzada.- Es el acto por el cual una Entidad de Certificación acreditada reconoce la validez de un certificado emitido por otra, sea nacional, extranjera o internacional, previa autorización de la Autoridad Administrativa Competente; y asume tal certificado como si fuera de propia emisión, bajo su responsabilidad.

Certificado Digital.- Es el documento credencial electrónico generado y firmado digitalmente por una Entidad de Certificación que vincula un par de claves con una persona natural o jurídica confirmando su identidad. El ciclo de vida de un certificado digital podría comprender:

La suspensión consiste en inhabilitar la validez de un certificado digital por un periodo de tiempo establecido en el momento de la solicitud de suspensión, dicho periodo no puede superar la fecha de expiración del certificado digital.

La modificación de la información contenida en un certificado sin la re-emisión de sus claves.

La re-emisión consiste en generar un nuevo par de claves y un nuevo certificado, correspondiente a una nueva clave pública pero manteniendo la mayor parte de la información del suscriptor contenida en el certificado a expirar.

Clave privada.- Es una de las claves de un sistema de criptografía asimétrica que se emplea para generar una firma digital sobre un documento electrónico y es mantenida en reserva por el titular de la firma digital.

Clave pública.- Es la otra clave en un sistema de criptografía asimétrica que es usada por el destinatario de un documento electrónico para verificar la firma digital puesta en dicho documento. La clave pública puede ser conocida por cualquier persona.

Código de verificación o resumen (hash).- Es la secuencia de bits de longitud fija obtenida como resultado de procesar un documento electrónico con un algoritmo, de tal manera que:
(1) El documento electrónico produzca siempre el mismo código de verificación (resumen) cada vez que se le aplique dicho algoritmo.
(2) Sea improbable a través de medios técnicos, que el documento electrónico pueda ser derivado o reconstruido a partir del código de verificación (resumen) producido por el algoritmo.
(3) Sea improbable por medios técnicos, se pueda encontrar dos documentos electrónicos que produzcan el mismo código de verificación (resumen) al usar el mismo algoritmo.

Controlador de dispositivo (driver).- Es el programa informático que permite a un Sistema Operativo entender y manejar diversos dispositivos electrónicos físicos que se conectan o forman parte de la computadora.

Criptografía Asimétrica.- Es la rama de las matemáticas aplicadas que se ocupa de transformar documentos electrónicos en formas aparentemente ininteligibles y devolverlas a su forma original, las cuales se basan en el empleo de funciones algorítmicas para generar dos «claves» diferentes pero matemáticamente relacionadas entre sí. Una de esas claves se utiliza para crear una firma numérica o transformar datos en una forma aparentemente ininteligible (clave privada), y la otra para verificar una firma numérica o devolver el documento electrónico a su forma original (clave pública). Las claves están matemáticamente relacionadas, de tal modo
que cualquiera de ellas implica la existencia de la otra, pero la posibilidad de acceder a la clave privada a partir de la pública es técnicamente ínfima.

Declaración de Prácticas de Certificación.- Es el documento oficialmente presentado por una Entidad de Certificación a la Autoridad Administrativa Competente, mediante el cual define sus Prácticas de Certificación.

Declaración de Prácticas de Registro o Verificación.- Documento oficialmente presentado por una Entidad de Registro o Verificación a la Autoridad Administrativa Competente, mediante el cual define sus Prácticas de Registro o Verificación.

Declaración de Prácticas de Valor Añadido.- Documento oficialmente presentado por una Entidad de Registro o Verificación a la Autoridad Administrativa Competente, mediante el cual define las prácticas y procedimientos que emplea en la prestación de sus servicios.

Depósito de Certificados.- Es el sistema de almacenamiento y recuperación de certificados, así como de la información relativa a éstos, disponible por medios telemáticos.

Destinatario.- Es la persona designada por el iniciador para recibir un documento electrónico, siempre y cuando no actúe a título de intermediario.

Dirección de correo electrónico.- Es el conjunto de palabras que identifican a una persona que puede enviar y recibir correo. Cada dirección es única y pertenece siempre a la misma persona.

Dirección oficial de correo electrónico.- Es la dirección de correo electrónico del ciudadano, reconocido por el Gobierno Peruano para la realización confiable y segura de las notificaciones electrónicas personales requeridas en los procesos públicos.
Esta dirección recibirá los mensajes de correo electrónico que sirvan para informar al usuario acerca de cada notificación o acuse de recibo que haya sido remitida a cualquiera de sus domicilios electrónicos. A diferencia del domicilio electrónico, esta dirección centraliza todas las comunicaciones que sirven para informar al usuario que se ha realizado una actualización de los documentos almacenados en sus domicilios electrónicos. Su lectura es de uso obligatorio.

Documento.- Es cualquier escrito público o privado, los impresos, fotocopias, facsímil o fax, planos, cuadros, dibujos, fotografías, radiografías, cintas cinematográficas, microformas tanto en la modalidad de microfilm como en la modalidad de soportes informáticos, y otras reproducciones de audio o video, la telemática en general y demás objetos que recojan, contengan o representen algún hecho, o una actividad humana o su resultado.
Los documentos pueden ser archivados a través de medios electrónicos, ópticos o cualquier otro similar.

Documento electrónico.- Es la unidad básica estructurada de información registrada, publicada o no, susceptible de ser generada, clasificada, gestionada, transmitida, procesada o conservada por una persona o una organización de acuerdo a sus requisitos funcionales, utilizando sistemas informáticos.

Documento oficial de identidad.- Es el documento oficial que sirve para acreditar la identidad de una persona natural, que puede ser:
a) Documento Nacional de Identidad (DNI);
b) Carné de extranjería actualizado, para las personas naturales extranjeras domiciliadas en el país; o,
c) Pasaporte, si se trata de personas naturales extranjeras no residentes.

Domicilio electrónico.- Está conformado por la dirección electrónica que constituye la residencia habitual de una persona dentro de un Sistema de Intermediación Digital, para la tramitación confiable y segura de las notificaciones, acuses de recibo y demás documentos requeridos en sus procedimientos. En el caso de una persona jurídica el domicilio electrónico se asocia a sus integrantes.
Para estos efectos, se empleará el domicilio electrónico como equivalente funcional del domicilio habitual de las personas naturales o jurídicas.
En este domicilio se almacenarán los documentos y expedientes electrónicos correspondientes a los procedimientos y trámites realizados en el respectivo Sistema de Intermediación Digital. El acceso a este
domicilio se realiza empleando un certificado digital de autenticación.

Entidad de Certificación.- Es la persona jurídica pública o privada que presta indistintamente servicios de producción, emisión, gestión, cancelación u otros servicios inherentes a la certificación digital. Asimismo, puede asumir las funciones de registro o verificación.

Entidad de Certificación Extranjera.- Es la Entidad de Certificación que no se encuentra domiciliada en el país, ni inscrita en los Registros Públicos del Perú, conforme a la legislación de la materia.

Entidades de la Administración Pública.- Es el organismo público que ha recibido del poder político la competencia y los medios necesarios para la satisfacción de los intereses generales de los ciudadanos y la industria.

Entidad de Registro o Verificación.- Es la persona jurídica, con excepción de los notarios públicos, encargada del levantamiento de datos, la comprobación de éstos respecto a un solicitante de un certificado digital, la aceptación y autorización de las solicitudes para la emisión de un certificado digital, así como de la aceptación y autorización de las solicitudes de cancelación de certificados digitales. Las personas encargadas de ejercer la citada función serán supervisadas y reguladas por la normatividad vigente.

Entidad final.- Es el suscriptor de un certificado digital.

Estándares Técnicos Internacionales.- Son los requisitos de orden técnico y de uso internacional que deben observarse en la emisión de certificados digitales y en las prácticas de certificación.

Estándares Técnicos Nacionales.- Son los estándares técnicos aprobados mediante Normas Técnicas Peruanas por la Comisión de Reglamentos Técnicos y Comerciales – CRT del INDECOPI, en su calidad de Organismo Nacional de Normalización.

Equivalencia funcional.- Principio por el cual los actos jurídicos realizados por medios electrónicos que cumplan con las disposiciones legales vigentes poseen la misma validez y eficacia jurídica que los actos realizados por medios convencionales, pudiéndolos sustituir para todos los efectos legales. De conformidad con lo establecido en la Ley y su Reglamento, los documentos firmados digitalmente pueden ser presentados y admitidos como prueba en toda clase de procesos judiciales y procedimientos administrativos.

Expediente electrónico.- El expediente electrónico se constituye en los trámites o procedimientos administrativos en la entidad que agrupa una serie de documentos o anexos identificados como archivos, sobre los cuales interactúan los usuarios internos o externos a la entidad que tengan los perfiles de accesos o permisos autorizados.

Gobierno Electrónico.- Es el uso de las Tecnologías de Información y Comunicación para redefinir la relación del gobierno con los ciudadanos y la industria, mejorar la gestión y los servicios, garantizar la transparencia y la participación, y facilitar el acceso seguro a la información pública, apoyando la integración y el desarrollo de los distintos sectores.

Identificador de objeto OID.- Es una cadena de números, formalmente definida usando el estándar ASN.1 (ITU-T Rec. X.660 | ISO/IEC 9834 series), que identifica de forma única a un objeto. En el caso de la certificación digital, los OIDs se utilizan para identificar a los distintos objetos en los que ésta se enmarca (por ejemplo, componentes de los Nombres Diferenciados, CPS, etc.).

Infraestructura Oficial de Firma Electrónica.- Sistema confiable, acreditado, regulado y supervisado por la Autoridad Administrativa Competente, provisto de instrumentos legales y técnicos que permiten generar firmas digitales y proporcionar diversos niveles de seguridad respecto de:

1) La integridad de los documentos electrónicos;

2) La identidad de su autor, lo que es regulado conforme a Ley.

El sistema incluye la generación de firmas digitales, en la que participan entidades de certificación y entidades de registro o verificación acreditadas ante la Autoridad Administrativa Competente incluyendo a la Entidad de Certificación Nacional para el Estado Peruano, las Entidades de Certificación para el Estado Peruano, las Entidades de Registro o Verificación para el Estado Peruano y los Prestadores de Servicios de Valor Añadido para el Estado Peruano.

Integridad.- Es la característica que indica que un documento electrónico no ha sido alterado desde la transmisión por el iniciador hasta su recepción por el destinatario.

Interoperabilidad.- Según el OASIS Forum Group la interoperabilidad puede definirse en tres áreas:
• Interoperabilidad a nivel de componentes: consiste en la interacción entre sistemas que soportan o consumen directamente servicios relacionados con PKI.
• Interoperabilidad a nivel de aplicación: consiste en la compatibilidad entre aplicaciones que se comunican entre sí.
• Interoperabilidad entre dominios o infraestructuras PKI: consiste en la interacción de distintos sistemas de certificación PKI (dominios, infraestructuras), estableciendo relaciones de confianza que permiten el reconocimiento indistinto de los certificados digitales por parte de los terceros que confían.

Ley.- Ley nº 27269 – Ley de Firmas y Certificados Digitales, modificada por la Ley nº 27310.

Lista de Certificados Digitales Cancelados.- Es aquella en la que se deberá incorporar todos los certificados cancelados por la entidad de certificación de acuerdo con lo establecido en el presente Reglamento.

Mecanismos de firma digital.- Es un programa informático configurado o un aparato informático configurado que sirve para aplicar los datos de creación de firma digital. Dichos mecanismos varían según el nivel de seguridad que se les aplique.

Medios electrónicos.- Son los sistemas informáticos o computacionales a través de los cuales se puede generar, procesar, transmitir y archivar de documentos electrónicos.

Medios electrónicos seguros.- Son los medios electrónicos que emplean firmas y certificados digitales emitidos por Prestadores de Servicios de Certificación Digital acreditados, donde el intercambio de información se realiza a través de canales seguros.

Medios telemáticos.- Es el conjunto de bienes y elementos técnicos informáticos que en unión con las telecomunicaciones permiten la generación, procesamiento, transmisión, comunicación y archivo de datos e información.

Neutralidad tecnológica.- Es el principio de no discriminación entre la información consignada sobre papel y la información comunicada o archivada electrónicamente; asimismo, implica la no discriminación, preferencia o restricción de ninguna de las diversas técnicas o tecnologías que pueden utilizarse para firmar, generar, comunicar, almacenar o archivar electrónicamente información.

Niveles de seguridad.- Son los diversos niveles de garantía que ofrecen las variedades de firmas digitales, cuyos beneficios y riesgos deben ser evaluados por la persona, empresa o institución que piensa optar por una modalidad de firma digital para enviar o recibir documentos electrónicos.

No repudio.- Es la imposibilidad para una persona de desdecirse de sus actos cuando ha plasmado su voluntad en un documento y lo ha firmado en forma manuscrita o digitalmente con un certificado emitido por una Entidad de Certificación acreditada en cooperación de una Entidad de Registro o Verificación acreditada, salvo que la misma entidad tenga ambas calidades, empleando un software de firmas digitales acreditado, y siempre que cumpla con lo previsto en la legislación civil.
En el ámbito del artículo 2º de la Ley de Firmas y Certificados Digitales, el no repudio hace referencia a la vinculación de un individuo (o institución) con el documento electrónico, de tal manera que no puede negar su vinculación con él ni reclamar supuestas modificaciones de tal documento (falsificación).

Nombre Diferenciado (X.501).- Es un sistema estándar diseñado para consignar en el campo sujeto de un certificado digital los datos de identificación del titular del certificado, de manera que éstos se asocien de forma inequívoca con ese titular dentro del conjunto de todos los certificados en vigor que ha emitido la Entidad de Certificación. En inglés se denomina «Distinguished Name».

Norma Marco sobre Privacidad.- Es la norma basada en la normativa aprobada en la 16º Reunión Ministerial del APEC, que fuera llevada a cabo en Santiago de Chile el 17 y 18 de noviembre de 2004, la cual forma parte integrante de las Guías de Acreditación aprobadas por la Autoridad Administrativa Competente.

Notificación electrónica personal.- En virtud del principio de equivalencia funcional, la notificación electrónica personal de los actos administrativos se realizará en el domicilio electrónico o en la dirección oficial de correo electrónico de las personas por cualquier medio electrónico, siempre que permita confirmar la recepción, integridad, fecha y hora en que se produce. Si la notificación fuera recibida en día u hora inhábil, ésta surtirá efectos al primer día hábil siguiente a dicha recepción.

Par de claves.- En un sistema de criptografía asimétrica comprende una clave privada y su correspondiente clave pública, ambas asociadas matemáticamente.

Políticas de Certificación.- Documento oficialmente presentado por una entidad de certificación a la Autoridad Administrativa Competente, mediante el cual establece, entre otras cosas, los tipos de certificados digitales que podrán ser emitidos, cómo se deben emitir y gestionar los certificados, y los respectivos derechos y responsabilidades de las Entidades de Certificación. Para el caso de una Entidad de Certificación Raíz, la Política de Certificación incluye las directrices para la gestión del Sistema de Certificación de las Entidades de Certificación vinculadas.

Práctica.- Es el modo o método que particularmente observa alguien en sus operaciones.

Prácticas de Certificación.- Son las prácticas utilizadas para aplicar las directrices de la política establecida en la Política de Certificación respectiva.

Prácticas específicas de Certificación.- Son las prácticas que completan todos los aspectos específicos para un tipo de certificado que no están definidos en la Declaración de Prácticas de Certificación respectiva.

Prácticas de Registro o Verificación.- Son las prácticas que establecen las actividades y requerimientos de seguridad y privacidad correspondientes al Sistema de Registro o Verificación de una Entidad de Registro o Verificación.

Prestador de Servicios de Certificación.- Es toda entidad pública o privada que indistintamente brinda servicios en la modalidad de Entidad de Certificación, Entidad de Registro o Verificación o Prestador de Servicios de Valor Añadido.

Prestador de Servicios de Valor Añadido.- Es la entidad pública o privada que brinda servicios que incluyen la firma digital y el uso de los certificados digitales. El presente Reglamento presenta dos modalidades:

a. Prestadores de Servicio de Valor Añadido que realizan procedimientos sin firma digital de usuarios finales, los cuales se caracterizan por brindar servicios de valor añadido, como Sellado de Tiempo que no requieren en ninguna etapa de la firma digital del usuario final en documento alguno.

b. Prestadores de Servicio de Valor Añadido que realizan procedimientos con firma digital de usuarios finales, los cuales se caracterizan por brindar servicios de valor añadido como el sistema de intermediación electrónico, en donde se requiere en determinada etapa de operación del procedimiento la firma digital por parte del usuario final en algún tipo de documento.

Prestador de Servicios de Valor Añadido para el Estado Peruano.- Es la Entidad pública que brinda servicios de valor añadido, con el fin de permitir la realización de las transacciones públicas de los ciudadanos a través de medios electrónicos que garantizan la integridad y el no repudio de la información (Sistema de Intermediación Digital) y/o registran la fecha y hora cierta (Sello de Tiempo).

Reconocimiento de Servicios de Certificación Prestados en el Extranjero.- Es el proceso a través del cual la Autoridad Administrativa Competente, acredita, equipara y reconoce oficialmente a las entidades de certificación extranjeras.

Registro.- En términos informáticos, es un conjunto de datos relacionados entre sí, que constituyen una unidad de información en una base de datos.

Reglamento.- El presente documento, denominado Reglamento de la Ley nº 27269 – Ley de Firmas y Certificados Digitales, modificada por la Ley nº 27310.

Servicio de Valor Añadido.- Son los servicios complementarios de la firma digital brindados dentro o fuera de la Infraestructura Oficial de Firma Electrónica que permiten grabar, almacenar, conservar cualquier información remitida por medios electrónicos que certifican los datos de envío y recepción, su fecha y hora, el no repudio en origen y de recepción. El servicio de intermediación electrónico dentro de la Infraestructura Oficial de Firma Electrónica es brindado por persona natural o jurídica acreditada ante la Autoridad Administrativa Competente.

Servicio OCSP (Protocolo del estado en línea del certificado, por sus siglas en inglés).- Es el servicio que permite utilizar un protocolo estándar para realizar consultas en línea (on line) al servidor de la Autoridad de Certificación sobre el estado de un certificado.

Sistema de Intermediación Digital.- Es el sistema WEB que permite la transmisión y almacenamiento de información, garantizando el no repudio, confidencialidad e integridad de las transacciones a través del uso de componentes de firma digital, autenticación y canales seguros.

Sistema de Intermediación Electrónico.- Es el sistema WEB que permite la transmisión y almacenamiento de información, garantizando el no repudio, confidencialidad e integridad de las transacciones a través del uso de componentes de firma electrónica, autenticación y canales seguros.

Sistema WEB («World Wide Web»).- Sistema de documentos electrónicos enlazados y accesibles a través de Internet. Mediante un navegador Web, un usuario visualiza páginas Web que pueden contener texto, imágenes, vídeos u otros contenidos multimedia, y navega a través de ellas usando hiperenlaces.

Suscriptor.- Es la persona natural responsable de la generación y uso de la clave privada, a quien se le vincula de manera exclusiva con un documento electrónico firmado digitalmente utilizando su clave privada. En el caso que el titular del certificado digital sea una persona natural, sobre ella recaerá la responsabilidad de suscriptor. En el caso que una persona jurídica sea el titular de un certificado digital, la responsabilidad de suscriptor recaerá sobre el representante legal designado por esta entidad. Si el certificado está designado para ser usado por un agente automatizado, la titularidad del certificado y de las firmas digitales generadas a
partir de dicho certificado corresponderán a la persona jurídica. La atribución de responsabilidad de suscriptor, para tales efectos, corresponde a la misma persona jurídica.

Tercero que confía o tercer usuario.- Se refiere a las personas naturales, equipos, servicios o cualquier otro ente que actúa basado en la confianza sobre la validez de un certificado y/o verifica alguna firma digital en la que se utilizó dicho certificado.

Titular.- Es la persona natural o jurídica a quien se le atribuye de manera exclusiva un certificado digital.

Usabilidad.- En el contexto de la certificación digital, el término Usabilidad se aplica a todos los documentos, información y sistemas de ayuda necesarios que deben ponerse a disposición de los usuarios para asegurar la aceptación y comprensión de las tecnologías, aplicaciones informáticas, sistemas y servicios de certificación digital de manera efectiva, eficiente y satisfactoria.

Usuario final.- En líneas generales, es toda persona que solicita cualquier tipo de servicio por parte de un Prestador de Servicios de Certificación Digital acreditado.

Voto electrónico.- Sistema de votación que utiliza una combinación de procedimientos, componentes de hardware y software, y red de comunicaciones que permiten automatizar los procesos de identificación del elector, emisión del voto, conteo de votos, emisión de reportes y/o presentación de resultados de un proceso electoral, referéndum y otras consultas populares. El voto electrónico se puede clasificar en:

a) Presencial: cuando los procesos de votación se dan en ambientes o lugares debidamente supervisados por las autoridades electorales; y

b) No presencial: cuando los procesos de identificación del elector y emisión del voto se dan desde cualquier ubicación geográfica o ambiente que el elector elija y disponga de los accesos apropiados.

WebTrust.- Certificación otorgada a prestadores de servicios de certificación digital – PSC, específicamente a las Entidades Certificadoras – EC, que de manera consistente cumplen con estándares establecidos por el Instituto Canadiense de Contadores Colegiados (CICA por sus siglas en inglés – ver Cica.ca) y el Instituto Americano de Contadores Públicos Colegiados (AICPA). Los estándares mencionados se refieren a áreas como privacidad, seguridad, integridad de las transacciones, disponibilidad, confidencialidad y no repudio

Délibération nº 2006-188 du 6 juillet 2006 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel relatifs à la gestion du contentieux lié au recouvrement des contraventions au code de la route et à l'identification des conducteurs dans le cadre du système de contrôle automatisé des infractions au code de la route (décision d'autorisation unique nº AU-010).

La Commission nationale de l'informatique et des libertés,

Vu la convention nº 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 25 (3°) et 25 (5°) ;

Vu le code de procédure pénale, et notamment ses articles 529 à 529-2, 529-6 à 530-3 et 537 ;

Vu le code de la route, et notamment ses articles L. 121-2 et L. 121-3, L. 130-1 à L. 130-9, L. 225-1 à L. 225-9 et L. 330-2 à L. 330-5 ;

Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 ;

Vu l'arrêté du 29 juin 1992 modifié portant création du Système national des permis de conduire ;

Vu l'arrêté du 20 janvier 1994 portant création du fichier national des immatriculations ;

Vu l'arrêté du 18 juillet 1994 portant création du traitement automatisé de suivi du recouvrement des amendes et des condamnations pécuniaires ;

Vu l'arrêté du 13 octobre 2004 portant création du système de contrôle automatisé ;

Vu la délibération de la Commission nationale de l'informatique et des libertés nº 2004-076 du 5 octobre 2004 portant avis sur un projet d'arrêté interministériel portant création d'un dispositif dénommé système » contrôle automatisé » visant à automatiser la constatation, la gestion et la répression de certaines infractions routières ;

Vu la délibération nº 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Après avoir entendu M. Guy Rosier, vice-président délégué, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

Les organismes de droit public ou de droit privé ayant pour activité la location de véhicules ou mettant des véhicules à disposition de leurs collaborateurs ou clients, lorsqu'ils sont titulaires du certificat d'immatriculation desdits véhicules, sont redevables pécuniairement de l'amende encourue pour des contraventions à la réglementation :

– sur le stationnement des véhicules ;

– sur l'acquittement des péages ;

– sur les vitesses maximales autorisées ;

– sur le respect des distances de sécurité entre les véhicules ;

– sur l'usage de voies et chaussées réservées à certaines catégories de véhicules ;

– sur les signalisations imposant l'arrêt des véhicules.

A cet égard, les organismes publics ou privés précités sont destinataires des procès-verbaux établis par les personnes habilitées à constater les contraventions susvisées. Ils peuvent néanmoins s'exonérer de leur responsabilité, notamment s'ils fournissent des renseignements permettant d'identifier l'auteur véritable de l'infraction.

Pour ce faire, ils doivent adresser une requête tendant à leur exonération auprès du service indiqué dans l'avis de contravention. Cette requête prend la forme d'une lettre signée précisant l'identité, l'adresse ainsi que la référence du permis de conduire de la personne qui était présumée conduire le véhicule lorsque la contravention a été constatée.

En outre, pour faciliter l'identification des contrevenants et donc le recouvrement des contraventions, l'arrêté du ministère de l'intérieur, de la sécurité intérieure et des libertés locales du 13 octobre 2004 portant création du système de contrôle automatisé prévoit que ce système peut faire l'objet d'interconnexion, de mise en relation ou de rapprochement avec les traitements relatifs à la gestion :

– des contrats de location et des véhicules loués mis en oeuvre par les organismes publics ou privés ayant pour activité la location de véhicules ;

– du parc automobile mis en oeuvre par les organismes publics ou privés mettant des véhicules à disposition de leurs collaborateurs ou clients.

Les conditions de cette interconnexion entre des traitements ayant des finalités principales différentes, à savoir, d'une part, automatiser la constatation, la gestion et la répression de certaines infractions routières et, d'autre part, assurer la gestion des contrats de location et du parc automobile, sont prévues par une convention signée avec le Centre national de traitement.

Dès lors, il y a lieu de faire application :

– d'une part, de l'article 25 (3°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées ;

– d'autre part, de l'article 25 (5°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés ayant pour objet l'interconnexion de fichiers relevant d'une ou de plusieurs personnes morales et dont les finalités, principales sont différentes.

En vertu de l'article 25-II de la loi du 6 janvier 1978 susvisée, la commission peut adopter une décision unique d'autorisation pour des traitements répondant notamment aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques.

Le responsable de traitement qui met en oeuvre un traitement de données à caractère personnel ayant pour finalités, d'une part, l'identification des conducteurs conformément aux dispositions de l'arrêté du 13 octobre 2004 portant création du système de contrôle automatisé des infractions au code de la route et, d'autre part, la gestion du contentieux lié au recouvrement des contraventions au code de la route, dans le respect des dispositions de cette décision unique, adresse à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation,

Décide que les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en oeuvre ces traitements.

Article 1. Finalités et caractéristiques techniques du traitement.

Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements mis en oeuvre par les publics ou privés ayant pour activité la location de véhicules ou mettant des véhicules à disposition de leurs collaborateurs ou clients, lorsqu'ils sont titulaires du certificat d'immatriculation desdits véhicules :

– ayant pour finalité l'identification des conducteurs ayant commis une infraction au code de la route et qui sont mis en oeuvre dans les conditions prévues par une convention à signer avec le Centre national de traitement du contrôle automatisé ;

– ayant pour finalité la gestion du contentieux lié au recouvrement des contraventions au code de la route dont peuvent être redevables pécuniairement les organismes publics ou privés susvisés.

Article 2. Données à caractère personnel traitées.

a) Les seules données à caractère personnel relatives au conducteur traitées et transmises au Centre national de traitement par les organismes publics ou privés ayant pour activité la location de véhicules ou mettant des véhicules à disposition de leurs collaborateurs ou clients sont :

1. Le nom, le nom d'usage et le(s) prénom(s) ;

2. La date et le lieu de naissance ;

3. La nationalité ;

4. L'adresse ;

5. Le numéro de permis de conduire ;

6. Le numéro d'immatriculation du véhicule concerné.

b) Les seules données à caractère personnel relatives au conducteur traitées et transmises, auprès du service indiqué dans l'avis de contravention, par les organismes publics ou privés ayant pour activité la location de véhicules ou mettant des véhicules à disposition de leurs collaborateurs ou clients sont :

7. Le nom, le nom d'usage et le(s) prénom(s) ;

8. La date et le lieu de naissance ;

9. L'adresse ;

10. Le numéro de permis de conduire ;

11. La date et le lieu d'obtention du permis de conduire ;

12. Le numéro d'immatriculation du véhicule concerné ;

13. Le numéro, la date et l'heure du contrat de location ou de prêt du véhicule ;

14. Le numéro de procès-verbal ;

15. Le numéro de l'amende forfaitaire majorée.

Lorsque le véhicule a été loué ou mis à disposition d'un client, personne morale, les organismes publics ou privés ayant pour activité la location de véhicules ou mettant des véhicules à disposition de leurs clients peuvent transmettre au service indiqué dans l'avis de contravention l'identité d'un contact au sein de l'organisme concerné.

c) Outre les données susvisées, les organismes publics ou privés ayant pour activité la location de véhicules ou mettant des véhicules à disposition de leurs collaborateurs ou clients peuvent traiter :

1. La date et l'heure de la contravention ;

2. Le montant de la contravention ;

3. Les informations relatives au service émetteur du procès-verbal ;

4. Le type de courrier envoyé.

Article 3. Destinataires des informations.

S'agissant des traitements d'identification des conducteurs mis en oeuvre dans le cadre de l'arrêté du 13 octobre 2004 portant création du système de contrôle automatisé des infractions au code de la route, le destinataire des données à caractère personnel précitées est le Centre national de traitement du contrôle automatisé.

S'agissant des traitements ayant pour finalité la gestion du contentieux lié au recouvrement des contraventions au code de la route :

– le destinataire des données à caractère personnel précitées est le service indiqué dans l'avis de contravention ;

– seules les personnes en charge de la gestion du contentieux au sein des organismes publics ou privés ayant pour activité la location de véhicules ou mettant des véhicules à disposition de leurs collaborateurs ou clients sont, dans la limite de leurs attributions respectives et pour la poursuite de la finalité visée à l'article 1er de la présente décision unique d'autorisation, destinataires de données à caractère personnel susvisées.

Article 4. Durée de conservation.

Les traces des requêtes effectuées par le Centre national de traitement sur les conducteurs de véhicules ayant commis une infraction au code de la route sont détruites après le retour d'information au Centre national de traitement.

En aucun cas, les organismes publics ou privés visés à l'article 1er et dont les traitements de gestion du parc automobile, des contrats de location et des véhicules loués sont interconnectés, mis en relation ou rapprochés avec le système de contrôle automatisé ne peuvent garder traces de ces requêtes, les consolider ou les archiver.

S'agissant des traitements ayant pour finalité la gestion du contentieux lié au recouvrement des contraventions au code de la route, les organismes publics ou privés ayant pour activité la location de véhicules ou mettant des véhicules à disposition de leurs collaborateurs ou clients peuvent consulter en ligne les données visées à l'article 2 de la présente décision unique d'autorisation au maximum un mois à compter de la réception de l'avis de contravention. A l'issue de cette période, ces données peuvent être archivées pendant au maximum dix-huit mois.

Article 5. Mesures de sécurité.

Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.

En particulier, les accès aux traitements de données s'effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification. Ces accès sont enregistrés et leur régularité est contrôlée.

S'agissant des traitements d'identification des conducteurs mis en oeuvre dans le cadre de l'arrêté du 13 octobre 2004 précité, les contraintes techniques d'échange informatique ainsi que les mesures destinées à assurer la sécurité des systèmes d'information des données et des mécanismes d'échange doivent être mises en oeuvre dans les conditions prévues par la convention à signer avec le Centre national de traitement et notamment son Cahier des clauses techniques particulières.

Article 6. Information des personnes.

Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée en août 2004, à l'information des personnes susceptibles d'être concernées par la diffusion à chacune d'entre elles d'une note explicative pouvant figurer, le cas échéant, dans le contrat de location ou de prêt du véhicule.

Par ailleurs, les organismes publics ou privés mettant des véhicules à disposition de leurs collaborateurs procèdent également, conformément aux dispositions de l'article L. 432-2-1 du code du travail et à la législation applicable aux trois fonctions publiques, à l'information et à la consultation des instances représentatives du personnel avant la mise en oeuvre des traitements visés à l'article 1er.

Article 7. Exercice des droits d'accès et de rectification.

Le droit d'accès défini au chapitre V de la loi du 6 janvier 1978 modifiée s'exerce auprès du ou des services que le responsable de traitement aura désignés.

Article 8. Tout traitement automatisé de données à caractère personnel ayant pour objet l'interconnexion, le rapprochement ou la mise en relation de traitements relatifs à la gestion des contrats de location, des véhicules loués ou du parc automobile avec le système de contrôle automatisé qui n'est pas conforme aux dispositions qui précèdent doit faire l'objet de demandes d'autorisation auprès de la commission dans les formes prescrites par les articles 25 (3°), 25 (5°) et 30 de la loi du 6 janvier 1978 modifiée.

Article 9. La présente délibération sera publiée au Journal officiel de la République française.

Le président, A. Türk

Dictamen 2001/3 de 26 de enero de 2001, sobre el nivel de protección que proporciona la Ley australiana de 2000, aplicable al sector privado, sobre protección de la vida privada.(Privacy Amendment -Private Sector- Act 2000)(5095/00 WP40)

WP 40 Grupo de trabajo sobre protección de datos del artículo 29

Dictamen 3/2001 sobre el nivel de protección que proporciona la Ley australiana de 2000, aplicable al sector privado, sobre protección de la vida privada [Privacy Amendment (Private Sector) Act 2000]

Adoptado el 26 de enero de 2001

EL GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES

Creado en virtud del artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995(1),

Vistos el artículo 29 y los apartados 1, letra a), y 3 del artículo 30 de dicha Directiva,

Visto su Reglamento interno y, en particular, sus artículos 12 y 14,

ha adoptado el presente DICTAMEN:

(1) Diario Oficial L 281 de 23.11.1995, p. 31, disponible en inglés en la siguiente dirección:

 http://europa.eu.int/comm/dg15/en/media/dataprot/index.htm

Introducción

Australia dispone de legislación sobre el sector público de la Commonwealth (administración federal) desde 1988. En este ámbito, la Privacy Act (Ley de protección de la vida privada de 1988) fija exhaustivamente los principios sobre información y vida privada, que se basan en las directrices que la OCDE señaló en 1980. La Privacy Act se aplica también al sector privado, pues contiene preceptos y orientaciones para regular el crédito de consumo y restringe la utilización de la información contenida en el número de identificación fiscal(2). En virtud de la Privacy Act se creó la Comisaría de protección de la vida privada, en calidad de miembro de la Comisión de derechos humanos e igualdad de oportunidades. Sin embargo, desde el 1 de julio de 2000 esta Comisaría constituye un organismo oficial independiente.

El Parlamento australiano aprobó la Privacy Amendment (Private Sector) Bill 2000 (proyecto de Ley) el 6 de diciembre de 2000, que recibió sanción real el 21 de diciembre de 2000. La nueva ley introduce una serie de modificaciones a la Commonwealth Privacy Act 1988, por las que se regulará el tratamiento de información personal por las entidades del sector privado. Entrará en vigor el 21 de diciembre de 2001.

En la Ley se aplican los Principios nacionales de protección de la vida privada basados en los Principios nacionales para el buen tratamiento de la información personal (National Principles for Fair Handling of Personal Information [NPP]), que concibió el Comisario federal de protección de la vida privada y se publicaron por primera vez en 1998 tras amplias consultas con empresarios y consumidores. En dicha Ley, los NPP constituyen una regulación de mínimos, de carácter subsidiario, que se aplica a las modalidades de recogida, utilización y divulgación de la información personal por las entidades. Los principios nacionales vinculan a las entidades del sector privado a menos que dispongan de su propio código de protección de la vida privada, aprobado por el Comisario federal. En el anexo 1 se adjuntan los principios nacionales para facilitar su consulta.

(2) Otras normas de la Commonwealth contienen preceptos específicos de protección de la vida privada, aplicables a la información sobre solicitudes del seguro de enfermedad, el cruce de datos, las condenas penales cumplidas y la información personal divulgada por las empresas de telecomunicaciones (Telecommunications Act 1997).

Privacy Amendment (Private Sector) Act 2000

El Grupo de trabajo se congratula de la aprobación de la Ley y de la labor llevada a cabo en los últimos dos años por el Comisario de protección de la vida privada, el Gobierno y las partes interesadas. Dicha labor condujo primero a la elaboración de los NPP. El Grupo de trabajo apoya el objetivo, que se ha marcado el Gobierno australiano, de reforzar la protección de los datos personales tratados por el sector privado. Considera asimismo que esta labor tiene gran importancia para que Australia cumpla su compromiso de aplicar las directrices de la OCDE de 1980. Por último, reconoce el carácter innovador del régimen de corregulación propuesto, cuya finalidad es el acercamiento entre ley y autorregulación confiriendo a ésta fuerza de ley.

Desde una perspectiva europea, las autoridades nacionales de protección de datos acogen favorablemente toda circunstancia que refuerce la protección de la vida privada en terceros países con vistas al cumplimiento de los requisitos establecidos en los artículos 25 y 26 de la Directiva CE en lo referente a los flujos de datos hacia terceros países. El Grupo de trabajo observa también con interés que las entidades tienen la posibilidad de solicitar al Comisario de protección de la vida privada que apruebe un código en substitución de los requisitos legales. El Comisario sólo lo aprobará si proporciona como mínimo el mismo nivel de protección de la vida privada que los NPP.

Exclusión de ciertos sectores y actividades

El Grupo de trabajo señala con preocupación, no obstante, que se excluyen de la protección que ofrece la Ley algunos sectores y actividades. En particular:

Pequeñas empresas: sólo se exige cumplir la legislación a las pequeñas empresas cuya acción pueda acarrear riesgos graves para la vida privada(3).

Además, los pequeños empresarios pueden, acogiéndose a la Ley, notificar que se adhieren a los requisitos del Comisario de protección de la vida privada, que lleva un registro al efecto. Aunque esta posibilidad permite identificar a las pequeñas empresas que se acogen voluntariamente a la Ley, la complejidad de la excepción es tal que dificulta enormemente la determinación de:

a) el concepto de pequeña empresa; b) si la pequeña empresa disfruta o no de una excepción a tenor de la Ley.

El Grupo de trabajo señala que esta incertidumbre hace necesario suponer que todas las transmisiones de datos a empresas australianas se realizan potencialmente a una pequeña empresa no sujeta a la ley, a menos que figure el nombre de ésta en el Registro del Comisario de protección de la vida privada. Información sobre los empleados: quedan exentos del cumplimiento de la ley los actos o prácticas llevados a cabo por una entidad que sea o haya sido empleador de un particular, siempre que dicho acto o práctica esté directamente relacionado con lo siguiente:

a) una relación laboral presente o pasada entre el empleador y el particular

b) un expediente laboral detentado por la entidad y que se refiera a dicho particular.

Los expedientes laborales se definen en el apartado 6.1 en su sentido más amplio, que incluye la información sobre la contratación, las condiciones del contrato, las evaluaciones del cumplimiento del contrato, los contactos del empleado en caso de urgencia, la afiliación a sindicatos, las vacaciones anuales, la situación fiscal, la información bancaria, etc.

El Grupo de trabajo advierte de que la información sobre los empleados contiene con frecuencia datos confidenciales y no ve razones para excluirlos, por lo menos, de la protección que proporcionan el NPP 10, relativo a la información delicada. Además, las excepciones permiten la recogida de información sobre los empleadores precedentes y su divulgación a terceros (por ejemplo, el futuro empleador) sin que se informe de ello al empleado.

En opinión del Grupo de trabajo, el riesgo de vulneración de la vida privada hace aún más importante el imponer nuevas medidas de protección cuando se exporte este tipo de datos a Australia(4) y recomienda que los operadores tomen las medidas oportunas (por ejemplo, a través de cláusulas contractuales).

(3) Estas pequeñas empresas se caracterizan en el artículo 6D de la Ley como aquellas que tienen un volumen anual de negocios inferior a 3 millones de dólares australianos y: proporcionan servicios sanitarios a particulares y detentan información sanitaria, excepto la contenida en el expediente laboral recogen de terceros y/o divulgan información personal sobre otro particular a terceros para obtener un beneficio, servicio o ventaja, a menos que la recogida o divulgación se realice con el consentimiento del particular o lo exija o autorice la ley son contratadas para prestar servicio a la Commonwealth

(4) La Privacy Act 1988 no contempla ninguna excepción relativa a los expedientes laborales en el sector público.

Excepciones

Excepciones a los principios sustantivos de protección de datos, fundamentadas en la autorización por ley:

La letra g) del punto 1 del NPP 2 permite la autorización o divulgación de la información con un fin secundario cuando lo exija o autorice la ley(5) o de conformidad con ella.

En opinión del Grupo de trabajo, una excepción es aceptable si las entidades tienen que enfrentarse a obligaciones jurídicas contrapuestas, pero extenderla a todas las opciones ofrecidas por las leyes particulares de un sector, pasadas, presentes y futuras, podría minar la seguridad jurídica y vaciar de contenido la protección básica. El término «autorizada», por oposición a «específicamente autorizada», que ya se utilizaba en la versión de los principios nacionales de enero de 1999, puede asimismo interpretarse en el sentido de que están permitidos aquellos fines secundarios que no estén prohibidos. En

opinión del Grupo de trabajo una excepción tan amplia vaciaría de contenido prácticamente la finalidad del principio de limitación.

(5) Según figura en la página 119 de la Exposición de motivos, el término «autorizada» abarca aquellas circunstancias en que la ley permite, pero no exige, la utilización o divulgación de la información. La mención de «ley» (en lugar de legislación) es amplia e puede incluir cualquier acto con carácter vinculante.

Datos de dominio público:

Aunque la recogida de datos para publicaciones de dominio público entra en el ámbito de los NPP 1 (recogida), si la información se presenta en un formato que entre dentro de la definición de este tipo de publicación no se aplica el resto de los principios nacionales de protección de la vida privada. Esta circunstancia excluye la aplicación de todos los derechos individuales, por ejemplo, los de consulta y corrección.

El Grupo de trabajo señala que es contrario al enfoque de la Directiva no dar protección alguna a los datos personales de dominio público, señaladamente los destinados a fines secundarios. Por otra parte, las directrices de la OCDE de 1980 no contienen excepciones de carácter tan general.

Transparencia para los interesados: El apartado 3 del NPP 1 (recogida) permite a las entidades que informen de la recogida a los particulares antes de emprenderla o en el momento de llevarla a cabo, aunque añade que, si no se pudiera entonces, se podría informar posteriormente en cuanto fuera posible.

El Grupo de trabajo señala que permitir a las entidades que informen a los particulares después de la recogida va contra el Principio 9 de las directrices de la OCDE(6). Este problema reviste particular importancia respecto de los datos delicados, que a tenor del apartado 1 del NPP 10 exigen el consentimiento para que la recogida sea legal.

(6) «Deberán especificarse los fines para los que se recogen datos personales a más tardar en el momento de la recogida de los datos y su posterior uso deberá restringirse al cumplimiento de dichos fines o cualesquiera otros que no sean incompatibles con éstos y que habrán de especificarse cada vez que se cambie de finalidad.»

Recogida y utilización de datos, en lo tocante al márketing directo

Los NPP 1 (recogida) y 2 (utilización y divulgación) encierran el principio de limitación de la finalidad, al exigir que la recogida de información personal sea necesaria y se efectúe de modo leal y lícito(7), así como poner límites y condiciones para su uso y su divulgación(8).

Sin embargo, las limitaciones de la utilización y la divulgación sólo afectan al fin secundario. En efecto: se permite el tratamiento de la información con vistas al fin «primario» de la recogida y «otros fines relacionados que estén dentro de las razonables expectativas del particular», siempre que dicho particular haya tenido conocimiento de él.

(7) Privacy Amendment (Private Sector) Act 2000, Schedule 3, NPP1.1 ñ 1.2

(8) Privacy Amendment (Private Sector) Act 2000, Schedule 3, NPP2

El consentimiento no constituye pues un requisito.

Un resultado práctico de este régimen es que no es necesario obtener el consentimiento del particular para utilizar datos personales con fines de márketing directo (o para las otras limitaciones impuestas por el NPP 2), si constituye el fin primario de la recogida de información. Si, por el contrario, se tratara del fin secundario, debe proporcionarse la opción de exclusión cada vez que la entidad envíe al particular material de márketing directo.

El Grupo de trabajo recuerda su dictamen sobre «transmisión de datos personales a países terceros – WP 12», en el que se establece que bajo ninguna circunstancia puede considerarse adecuada la utilización de datos personales con fines de márketing directo sin ofrecer la opción de exclusión.

Datos delicados

El NPP 10 (información delicada) establece limitaciones sólo para la recogida de datos delicados. No hay restricciones o condiciones especiales para la utilización o divulgación de este tipo de datos, excepción hecha de la información sanitaria, a la cual se consagran algunos de los preceptos del NPP 2. La Ley permite, sin embargo, utilizar con otros fines la información recogida con una finalidad legítima, aunque se considere muy delicada.

Dicha utilización sólo está sujeta a las restricciones que se aplican normalmente a todos los tipos de datos.

El Grupo de trabajo señala que en la UE está prohibido tratar (es decir, recoger, utilizar y divulgar) datos sensibles a menos que se aplique una de las excepciones particulares.

Inexistencia de derechos de corrección en favor de los ciudadanos de la UE

De conformidad con el apartado 4 del artículo 41, el Comisario de protección de la vida privada sólo podrá investigar un acto o práctica en el ámbito de los NPP 6 ó 7, si interfiere con la vida privada de los ciudadanos australianos y de los residentes permanentes. Así pues, los ciudadanos de la UE que no tengan residencia permanente en Australia, pero cuyos datos se hayan transferido de la UE a Australia, no podrán ejercitar los derechos de acceso y corrección.

Transmisiones ulteriores desde Australia a otros terceros países

El NPP 9 prohíbe que las entidades exporten información personal a los residentes en países extranjeros (que no sean miembros de la propia entidad), a menos que se aplique uno de los seis requisitos siguientes:

Respecto a la letra a) del NPP 9: (aplicable cuando el receptor de la información está sujeto a un régimen jurídico, vínculo o contrato que apoya principios para el buen tratamiento de la información básicamente similares a los Principios nacionales de protección de la vida privada) en opinión del Grupo de trabajo, es aconsejable que el Comisario de protección de la vida privada indique qué países terceros tienen un régimen similar al de Australia en lo fundamental.

En cuanto a la letra f) del NPP 9 (que se aplica en defecto de los otros cinco requisitos, es decir, cuando el receptor no está sujeto a ningún régimen jurídico, vínculo o contrato): el Grupo de trabajo advierte que este precepto no tiene en cuenta el derecho de los particulares a que se amparen sus derechos.

Además, el Grupo de trabajo advierte que el artículo 5, relativo a la eficacia extraterritorial de la Ley, se aplica sólo a los australianos, de modo que la protección del NPP 9 no se extiende a quienes no lo sean. Esto significa que una empresa australiana puede importar datos de ciudadanos europeos y, a continuación, exportarlos a un país en el que no exista legislación sobre protección de la vida privada sin que se aplique la Ley australiana. Si se reconociese que Australia proporciona una protección adecuada, esta medida permitiría soslayar la Directiva UE.

Conclusiones

Sobre la base de lo anteriormente expuesto, el Grupo de trabajo opina que sólo pueden considerarse adecuadas las transferencias de datos a Australia si se introducen las medidas necesarias para disipar las preocupaciones mencionadas, por ejemplo, mediante los códigos de conducta voluntarios previstos en la Parte IIIAA de la Ley, teniendo en cuenta que la aplicación de códigos voluntarios es garantizada por el propio Comisario de protección de la vida privada o por un órgano decisorio independiente.

No obstante, para producir una resolución de adecuación más completa, el Grupo de trabajo alienta a la Comisión a seguir de cerca el problema para proponer mejoras de aplicación general y mantenerle informado sobre la evolución de los acontecimientos.

Bruselas, 26 de enero de 2001

Principios nacionales de protección de la vida privada (adjuntos a la Privacy Amendment (Private Sector) Act 2000

1 Recogida

1.1 Las entidades no recogerán datos personales a menos que la información que contengan fuere necesaria para una o varias de sus funciones o actividades.

1.2 La entidad recogerá datos personales sólo por medios lícitos y legales, que sean proporcionados y no vulneren el derecho a la vida privada.

1.3 Antes de que una entidad proceda a recoger de un particular información sobre el propio particular, o durante la recogida (o, si no fuera posible, en cuanto lo sea), la entidad tomará las medidas adecuadas para garantizar que dicho particular tiene conocimiento de los elementos siguientes:

(a) referencias sobre la entidad y la manera de contactar con ella

(b) disponibilidad de acceso a la información

(c) fines para los que se recoge ésta

(d) entidades (o tipos de entidades), a los cuales la entidad suele divulgar la información de este tipo

(e) leyes que exijan la recogida de esa información en particular

(f) consecuencias principales (si las hubiere) para el particular en caso de que no facilite la totalidad o parte de la información.

1.4 Si fuere proporcionado y viable, las entidades sólo recogerán información personal sobre un particular a partir de ese mismo particular.

1.5 Si una entidad recogiere información personal sobre un particular a partir de un tercero, adoptará las medidas adecuadas para garantizar que el particular tiene o ha tenido conocimiento de los elementos que se relacionan en el apartado 1.3, siempre que poner en conocimiento del particular estos elementos no suponga una amenaza grave para la vida o la salud de cualquier persona.

2 Utilización y divulgación

2.1 Las entidades no utilizarán ni divulgarán información personal sobre un particular con un fin (fin secundario) distinto del fin principal de la recogida, a menos que:

(a) se reúnan los dos requisitos siguientes:

(i) el fin secundario tiene relación con el fin principal de la recogida y, en el caso de que la información personal fuera información delicada, tiene relación directa con el fin principal de la recogida y

(ii) el particular prevé, dentro de los límites de lo razonable, que la entidad utilizará o divulgará la información para el fin secundario, o

(b) el particular hubiere consentido en la utilización o divulgación, o

(c) si la información no es delicada y la utilización que se hace de ella se destina al fin secundario de márketing directo:

(i) sea inviable para la entidad conseguir el consentimiento del particular antes de que se realice la utilización específica  y

(ii) la entidad no penalice al particular si este solicita no recibir más informaciones de márketing directo y

(iii) el particular no haya solicitado a la entidad no recibir información por márketing directo y

(iv) en cada comunicación por márketing directo con el particular, la entidad le indique, o incluya un claro aviso al respecto, que puede expresar su deseo de no recibir más comunicaciones por márketing directo y (v) en cada una de las comunicaciones por márketing directo de la entidad con el particular (con inclusión de aquellas que conlleven la utilización) figuren las señas de la entidad y su número de teléfono y, si la comunicación con el particular se efectúa por fax, telex u otros medios electrónicos, un número o señas en los que pueda contactarse con ella directamente por medios electrónicos, o

(d) si la información consistiese en información sanitaria, y su utilización o divulgación fuere necesaria para la investigación, o la elaboración o análisis de estadísticas relacionadas con la salud y seguridad públicas:

(i) sea inviable para la entidad conseguir el consentimiento del particular antes de que se realice la utilización específica y

(ii) la utilización o divulgación se lleve a cabo de conformidad con las orientaciones aprobadas por el Comisario, con arreglo al artículo 95A a efectos del presente apartado y

(iii) en el caso de divulgación, la entidad cree razonablemente que el receptor de la información sanitaria no divulgará ésta ni cualquier otra personal derivada de la anterior, o

(e) la entidad tenga razones para pensar que la utilización o divulgación es necesaria para paliar o evitar:

(i) una amenaza grave e inminente contra la vida, salud o seguridad de un particular

(ii) una amenaza grave contra la salud y seguridad públicas

(f) la entidad tenga razones para sospechar que se ha cometido o se va a cometer un delito, y utiliza o divulga la información personal como parte necesaria de su investigación sobre el asunto o para informar de sus preocupaciones a las personas o autoridades que corresponda

(g) la utilización o divulgación se exige por ley o está autorizada por ella

(h) la entidad tenga razones para creer que la utilización o divulgación es razonablemente necesaria por uno o más de los motivos siguientes o para actuar en nombre de las autoridades de represión:

(i) la prevención, detección, investigación, denuncia o castigo de las infracciones penales, las vulneraciones de leyes que conlleven penas o sanciones o de las demás leyes

(ii) la aplicación de leyes relacionadas con la confiscación del producto de las actividades delictivas

(iii) la protección del tesoro público

(iv) la prevención, detección, investigación o reparación de conductas graves o contrarias a la deontología,

(v) la preparación o presentación de procesos ante un tribunal, o la ejecución de las resoluciones de un tribunal o una instancia de recurso.

Nota 1: No se pretende disuadir a las entidades de que cooperen legalmente con los órganos que en el ejercicio de sus funciones realicen tareas de represión.

Nota 2: El punto 2.1 no deroga las obligaciones jurídicas de no divulgar datos personales. Nada de lo que se dispone en él obliga a ninguna entidad a divulgar datos personales. Una entidad siempre tendrá derecho a no divulgar datos personales en ausencia de obligación jurídica en contrario.

Nota 3: Las entidades están sujetas también a los requisitos del NPP 9 en caso de transmitir datos personales a países extranjeros.

2.2 Si una entidad utilizare o divulgare información personal de conformidad con la letra h) del punto 2.1, deberá notificarlo por escrito.

2.3 El punto 2.1 se aplicará respecto de la información personal que una entidad haya recogido, en calidad de persona jurídica, de una persona jurídica relacionada con ella, de modo que el fin principal de la recogida sea el mismo por el cual la persona jurídica relacionada con la entidad recogió la información.

2.4 Sin perjuicio de lo dispuesto en el punto 2.1, una entidad que preste servicios sanitarios a un particular podrá divulgar información de carácter sanitario sobre dicho particular a la persona a cuyo cargo esté, siempre que:

(a) el particular:

(i) fuere incapaz física o jurídicamente de consentir en la divulgación, o

(ii) no pudiera comunicar físicamente su consentimiento a la divulgación y

(b) una persona física (el prestador) encargada de prestar los servicios sanitarios a la entidad estuviere de acuerdo en que:

(i) la divulgación es necesaria para proporcionar al particular los cuidados o tratamiento necesarios, o

(ii) la divulgación se efectúa por razones humanitarias y

(c) la divulgación no es contraria a la voluntad:

(i) expresada por el particular antes de ser incapaz de dar o comunicar su consentimiento y

(ii) conocida por el prestador o que éste pueda razonablemente conocer y

(d) la divulgación se restringe en la medida necesaria a los efectos que se mencionan en el apartado b).

2.5 A efectos del apartado 2.4, una persona es responsable de un particular, si dicha persona fuere:

(a) uno de los padres

(b) un hijo o hermano del particular que tenga como mínimo 18 años de edad

(c) cónyuge de hecho o de derecho

(d) un pariente que tenga como mínimo 18 años de edad y esté acogido en el hogar del particular

(e) su tutor

(f) un apoderado nombrado con carácter permanente por el particular y que pueda ejercer su poder para tomar decisiones sobre la salud de dicho particular

(g) una persona que tenga una relación personal íntima con el particular

(h) una persona que haya sido nombrada por éste como contacto en caso de urgencia.

2.6 En el apartado 2.5, hijo de un particular abarca la noción de hijo adoptivo, hijastro e hijo acogido; padre, de padrastro y madrastra, padres adoptivos y padres acogidos; pariente, de abuelo, nieto, tío, o sobrino; hermano, de hermanastros, hermanos adoptivos y hermanos acogidos.

3 Calidad de los datos

Las entidades tomarán las medidas necesarias para garantizar que la información personal que recogen, utilizan o divulgan sea exacta, completa y actualizada.

4 Seguridad de los datos

4.1 Las entidades tomarán las medidas necesarias para proteger la información personal que detenten de cualquier utilización abusiva y pérdida, así como de cualquier consulta, modificación o divulgación no autorizadas.

4.2 Las entidades tomarán las medidas necesarias para destruir o hacer anónima de manera definitiva la información personal cuando ya no fuere necesaria a ningún fin de los que justificaron su utilización y divulgación de conformidad con el NPP 2.

5 Apertura

5.1 Las entidades declararán de forma clara y explícita su política en materia de tratamiento de los datos personales. Asimismo, pondrán dicho documento a disposición de quien lo pida.

5.2 Cuando alguien lo solicite, las entidades tomarán las medidas necesarias para poner en conocimiento de la persona, de manera general, qué tipo de información personal detentan y con qué fines, así como las modalidades de recogida, tenencia, utilización y divulgación de dicha información.

6 Acceso y corrección

6.1 Si una entidad detentare información personal sobre un particular, proporcionará a éste acceso a la información cuando el particular lo solicite, excepto si:

(a) en el caso de información personal distinta de la relativa a la salud, proporcionar acceso supusiere una amenaza inminente contra la vida o la salud de un particular cualquiera

(b) en el caso de información sobre la salud, proporcionar acceso supusiere una grave amenaza contra la vida o la salud de una persona cualquiera

(c) proporcionar acceso tuviere una repercusión desproporcionada en la vida privada de otros particulares

(d) la solicitud de acceso fuere superflua o vejatoria

(e) la información se refiere a un proceso legal presente o futuro, que enfrente a la entidad con el particular, y la información no fuere accesible a través de los medios de prueba de dicho proceso

(f) proporcionar acceso pudiere dar a conocer las intenciones de la entidad respecto de negociaciones con el particular, de modo que resultare perjudicial para dichas negociaciones

(g) fuere ilegal

(h) la ley requiriere que se deniegue el acceso o autorizare a ello

(i) fuere perjudicial, verosímilmente, para una investigación sobre una actividad presuntamente ilegal

(j) pudiere verosímilmente perjudicar:

(i) la prevención, detección, investigación, denuncia o castigo de las infracciones penales, las vulneraciones de leyes que conlleven penas o sanciones o de las demás leyes

(ii) la aplicación de leyes relacionadas con la confiscación del producto de las actividades delictivas

(iii) la protección del tesoro público

(iv) la prevención, detección, investigación o reparación de conductas graves o contrarias a la deontología,

(v) la preparación o presentación de procesos ante un tribunal, o la ejecución de las resoluciones de un tribunal o una instancia de recurso

(k) un órgano de represión, que lleve a cabo una función lícita de seguridad, solicitare a la entidad que no proporcione acceso a la información, fundándose en los daños que ello podría causar a la seguridad de Australia.

6.2 No obstante, cuando proporcionar acceso supusiere revelar información elaborada dentro de la entidad con vistas a la toma de decisiones comerciales de carácter sensible, aquella podrá dar al particular una explicación sobre la decisión comercial de carácter sensible correspondiente en lugar de darle acceso directo a dicha información.

Nota: Las entidades vulnerarán el apartado 6.1 si se fundamentan en el apartado 6.2 para dar al particular una explicación sobre una decisión comercial de carácter sensible cuando no sea de aplicación dicho apartado.

6.3 Si la entidad no estuviere obligada a proporcionar al particular acceso a la información sobre la base de lo dispuesto en las letras a) a k) (inclusive) del apartado 6.1, la entidad deberá, en la medida de los razonable, estudiar si el recurso a intermediarios nombrados de mutuo acuerdo proporcionaría un nivel de acceso que satisfaga las necesidades de ambas partes.

6.4 En el caso de que las entidades cobren por proporcionar acceso a la información personal, los precios:

(a) no serán excesivos y

(b) no se aplicarán a la solicitud de acceso.

6.5 En el caso de que una entidad detentare información personal sobre un particular y que dicho particular fuere capaz de demostrar que la información no es exacta, completa y actualizada, la entidad tomará las medidas necesarias para corregir la información de modo que resulte exacta, completa y actualizada.

6.6 Si el particular y la entidad no estuvieren de acuerdo sobre si la información es exacta, completa y actualizada, y el particular solicitare a la entidad que adjunte a la información una declaración en este sentido, la entidad tomará las medidas necesarias para ello.

6.7 Las entidades tendrán que justificar la negativa a dar acceso o la información personal o a corregirla.

7 Identificadores

7.1 Las entidades no adoptarán como identificador propio de un particular un identificador del particular que haya sido atribuido por:

(a) un organismo público

(b) un funcionario de un organismo público que actúe en su calidad de funcionario

(c) un prestador de servicios contratado en el ámbito de la Commonwealth, que actúe en calidad de prestador de servicios para el contrato correspondiente.

7.1A Sin embargo, el apartado 7.1 no se aplicará a la adopción por una determinada entidad de una identidad concreta en determinadas circunstancias.

Nota : Para determinar los aspectos indicados deberán reunirse una serie de requisitos previos (véase el apartado 100 (2) al efecto).

7.2 Las entidades no utilizarán ni divulgarán los identificadores atribuidos a un particular por un organismo, funcionario o prestador de servicios como los que se mencionan en el apartado 7.1, a menos que:

(a) la utilización o divulgación fuere necesaria para que la entidad cumpla sus obligaciones con el organismo o

(b) uno o varias de las letras e) a h), inclusive, del apartado 2.1 se aplicare a la utilización o divulgación.

(c) la utilización o divulgación de una identidad concreta la realizare una determinada entidad en determinadas circunstancias

Nota : Para determinar los aspectos indicados en la letra (c) deberán reunirse una serie de requisitos previos; véase el apartado 100 (2) al efecto.

7.3 A los efectos de este apartado, el identificador consiste en un número que la entidad atribuye a un particular con el fin de identificarlo exclusivamente a los fines de sus actividades. Sin embargo, no se considera identificador un nombre de persona o el ABN (con arreglo a la definición de la New Tax System (Australian Business Number) Act, 1999).

8 Anonimato

Siempre que sea lícito y viable, los particulares tendrán la opción de no identificarse cuando participen en transacciones con las entidades.

9 Flujos transfronterizos de datos

Las entidades localizadas en Australia o en un territorio exterior sólo podrán transferir información personal de un particular a un tercero, (que no sea la propia entidad o el propio particular) que esté localizado en un país extranjero, en los casos siguientes:

(a) la entidad tienen razones para creer que el receptor de la información está sujeto a una ley, mecanismo vinculante o contrato que defienda efectivamente principios de tratamiento justo de la información sustancialmente similares a los NPP, o

(b) el particular consiente en que se realice la transmisión, o

(c) la transmisión es necesaria para la buena ejecución de un contrato celebrado entre el particular y la entidad o, con vistas a la ejecución de medidas precontractuales tomadas a solicitud del particular, o

(d) la transmisión es necesaria para la conclusión o buena ejecución de un contrato concertado entre la entidad y un tercero en interés del particular, o

(e) se aplican todas las condiciones siguientes:

(i) la transmisión se realiza en beneficio del particular

(ii) no es viable la obtención del consentimiento del particular a dicha transmisión

(iii) si fuera viable la obtención de dicho consentimiento, el particular lo concedería, o

(f) la entidad ha tomado las medidas necesarias para garantizar que la información que se transmite no será detentada, ni utilizada, ni divulgada por el receptor de manera contraria a los NPP.

10 Información delicada

10.1 Las entidades no recogerán información delicada sobre un particular, a menos que:

(a) el particular diere su consentimiento, o

(b) la ley exigiere la recogida, o

(c) la recogida fuere necesaria para evitar o paliar una amenaza grave e inminente para la vida o la salud de un particular cualquiera, cuando el particular al que se refiere la información:

(i) carezca de capacidad física o jurídica para consentir en la recogida

(ii) no pueda comunicar físicamente su consentimiento a la recogida

(d) si la información se recogiere durante las actividades de una entidad sin fines lucrativos, se darán las condiciones siguientes:

(i) la información se referirá exclusivamente a los miembros de la entidad o a particulares que mantienen contacto regular con ella en relación con sus actividades

(ii) en el momento de la recogida de información o antes de emprenderla, la entidad se comprometerá con el sujeto de la información a no divulgarla sin su consentimiento

(e) la recogida fuere necesaria para iniciar, ejercer o defender una acción con arreglo a la ley o la equidad.

10.2 Sin perjuicio de lo dispuesto en el apartado 10.1, las entidades podrán recoger información sobre la salud de un particular si:

(a) la información fuere necesaria para prestar un servicio sanitario a dicho particular y

(b) la información se recogiere:

(i) según lo dispuesto en la ley (a demás de lo dispuesto en la presente disposición legal)

(ii) de conformidad con las normas establecidas por los órganos médicos o sanitarios competentes en materia de obligaciones de secreto profesional vinculantes para la entidad.

10.3 Sin perjuicio en lo dispuesto en el apartado 10.1, las entidades podrán recoger información sobre un particular si:

(a) fuere necesario efectuar la recogida por alguno de los objetivos siguientes:

(i) investigación relacionada con la sanidad o seguridad públicas

(ii) elaboración o análisis de estadísticas sobre la sanidad o seguridad públicas

(iii) gestión, financiación o supervisión de un servicio de salud

(b) tal fin no pudiere alcanzarse mediante la recogida de información en la que no se identifique al particular o a partir de la cual no sea posible deducir su identidad

(c) la entidad no tuviere opción de obtener el consentimiento del particular para la recogida

(d) la información se recogiere:

(i) según lo dispuesto en la ley (a demás de lo dispuesto en la presente disposición legal)

(ii) de conformidad con las normas establecidas por los órganos médicos o sanitarios competentes en materia de obligaciones de secreto profesional vinculantes para la entidad

(iii) de conformidad con las directrices aprobadas por el Comisario con arreglo al artículo 95A a efectos de este apartado.

10.4 En el caso de que una entidad recogiere información sanitaria sobre un particular de conformidad con el apartado 10.3, la entidad tomará las medidas necesarias para hacerla definitivamente anónima antes de divulgarla.

10.5 A los efectos de este apartado, una entidad sin fines lucrativos es una entidad sin fines lucrativos que tiene exclusivamente objetivos de naturaleza racial, étnica, política, religiosa, filosófica, profesional, comercial o sindical.

Hecho en Bruselas, el 26 de enero de 2001

Por el Grupo de trabajo

El Presidente

Stefano RODOTA

(Nieders. GVBl. Nr. 19/1993, S. 141 ff., ausgegeben am 28.6.1993)
(in der Fassung der Änderung vom 28.11.1997, Nds.GVBl. Nr.22/1997, S. 489)
Inhaltsübersicht
Erster Abschnitt
Allgemeine Bestimmungen

1 Aufgabe des Gesetzes
2 Anwendungsbereich
3 Begriffsbestimmungen
4 Zulässigkeit der Datenverarbeitung
5 Datengeheimnis
6 Verarbeitung personenbezogener Daten im Auftrag
7 Technische und organisatorische Maßnahmen
8 Sicherstellung des Datenschutzes

Zweiter Abschnitt
Rechtsgrundlagen der Datenverarbeitung
9 Erhebung
10 Speicherung, Veränderung, Nutzung; Zweckbindung
11 Übermittlung innerhalb des öffentlichen Bereichs
12 Automatisiertes Abrufverfahren und regelmäßige Datenübermittlung
13 Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs
14 Übermittlung an Personen oder Stellen im Ausland
15 Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften

Dritter Abschnitt
Rechte der Betroffenen
16 Auskunft, Einsicht in Akten
17 Berichtigung, Löschung und Sperrung
18 Schadensersatz
19 Anrufung der Landesbeauftragten oder des Landesbeauftragten
20 Verzicht auf Rechte der Betroffenen

Vierter Abschnitt
Landesbeauftragte oder Landesbeauftragter für den Datenschutz
21 Rechtsstellung der Landesbeauftragen oder des Landesbeauftragten
22 Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des Landesbeauftragten
23 Beanstandungen durch die Landesbeauftragte oder den Landesbeauftragten

Fünfter Abschnitt
Besonderer Datenschutz
25 Verarbeitung personenbezogener Daten für Forschungsvorhaben
26 Fernmessen und Fernwirken
27 Öffentliche Auszeichnungen

Sechster Abschnitt
Übergangs- und Schlußvorschriften
28 Straftaten
29 Ordnungswidrigkeiten
30 Übergangsvorschrift
31 Aufhebung von Rechtsvorschriften
32 Änderung des Niedersächsischen Meldegesetzes
33 Änderung des Niedersächsischen Verfassungsschutzgesetzes
34 Inkrafttreten

—————————————————————————————————————————————————————-

(Nieders. GVBl. Nr. 19/1993, S. 141 ff., ausgegeben am 28.6.1993)
(in der Fassung der Änderung vom 28.11.1997, Nds.GVBl. Nr.22/1997, S. 489)
Inhaltsübersicht
Erster Abschnitt
Allgemeine Bestimmungen

§ 1 Aufgabe des Gesetzes

§ 2 Anwendungsbereich

§ 3 Begriffsbestimmungen

§ 4 Zulässigkeit der Datenverarbeitung

§ 5 Datengeheimnis

§ 6 Verarbeitung personenbezogener Daten im Auftrag

§ 6 a Mobile personenbezogene Speicher- und Verarbeitungsmedien

§ 7 Technische und organisatorische Maßnahmen

§ 8 Verfahrensbeschreibung

§ 8 a Behördliche Datenschutzbeauftragte

ZweiterAbschnitt

Rechtsgrundlagen der Datenverarbeitung

§ 9 Erhebung

§ 10 Speicherung, Veränderung, Nutzung; Zweckbindung

§ 10 a Automatisierte Einzelentscheidung

§ 11 Übermittlung innerhalb des öffentlichen Bereichs

§ 12 Automatisiertes Abrufverfahren

§ 13 Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs

§ 14 Übermittlung an Personen oder Stellen in Staaten außerhalb des Europäischen Wirtschaftsraums

§ 15 Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften

DritterAbschnitt

Rechte der Betroffenen

§ 16 Auskunft, Einsicht in Akten

§ 17 Berichtigung, Löschung und Sperrung

§ 17 a Widerspruchsrecht

§ 18 Schadensersatz

§ 19 Anrufung der Landesbeauftragten oder des Landesbeauftragten

§ 20 Verzicht auf Rechte der Betroffenen

VierterAbschnitt

Landesbeauftragte oder Landesbeauftragter für den Datenschutz

§ 21 Rechtsstellung der Landesbeauftragten oder des Landesbeauftragten

§ 22 Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des Landesbeauftragten

§ 23 Beanstandungen durch die Landesbeauftragte oder den Landesbeauftragten

FünfterAbschnitt

Besonderer Datenschutz

§ 24 – aufgehoben –

§ 25 Verarbeitung personenbezogener Daten für Forschungsvorhaben

§ 25 a Beobachtung durch Bildübertragung

§ 26 Fernmessen und Fernwirken

§ 27 Öffentliche Auszeichnungen

SechsterAbschnitt

Übergangs- und Schlussvorschriften

§ 28 Straftaten

§ 29 Ordnungswidrigkeiten

§ 30 Übergangsvorschrift

§ 31 Aufhebung von Rechtsvorschriften

§ 32 Änderung des Niedersächsischen Meldegesetzes

§ 33 Änderung des Niedersächsischen Verfassungsschutzgesetzes

§ 34 In-Kraft-Treten

————————————————————————————————————————————————————-

(Nieders. GVBl. Nr. 19/1993, S. 141 ff., ausgegeben am 28.6.1993)
(in der Fassung der Änderung vom 28.11.1997, Nds.GVBl. Nr.22/1997, S. 489)
Inhaltsübersicht
Erster Abschnitt
Allgemeine Bestimmungen

§ 1.- Aufgabe des Gesetzes

Aufgabe dieses Gesetzes ist es, das Recht einer jeden Person zu gewährleisten, selbst über die Preisgabe und Verwendung ihrer Daten zu bestimmen (Recht auf informationelle Selbstbestimmung). Dieses Gesetz bestimmt, unter welchen Voraussetzungen personenbezogene Daten durch öffentliche Stellen verarbeitet werden dürfen.

§ 2.- Anwendungsbereich

(1) 1Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen

1. des Landes,

2. der Gemeinden und Landkreise,

3. der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts und deren Vereinigungen. 2Sind einer Person oder Stelle außerhalb des öffentlichen Bereichs Aufgaben der öffentlichen Verwaltung übertragen, so ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.

(2) Der Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen und Beschäftigten unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie bei der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten und dabei die vom Landtag erlassene Datenschutzordnung anzuwenden haben.

(3) 1Abweichend von Absatz 1 gelten nur die §§ 8, 19 und 26 sowie die Regelungen des Vierten Abschnitts, soweit personenbezogene Daten in Ausübung ihrer wirtschaftlichen Tätigkeit verarbeitet werden von

1. juristischen Personen des öffentlichen Rechts oder deren organisatorisch selbständigen Einrichtungen, die am Wettbewerb teilnehmen,

2. wirtschaftlichen Unternehmen der Gemeinden und Landkreise ohne eigene Rechtspersönlichkeit (Eigenbetriebe) und Zweckverbänden, die überwiegend wirtschaftliche Aufgaben wahrnehmen,

3. öffentlichen Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden.

2Für diese finden im Übrigen die für nicht öffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (BGBl. I S. 2954), zuletzt geändert durch Artikel Abs. 3 des Gesetzes vom 26. Juni 2001 (BGBl. I S. 1254) Anwendung*).

*)Anm. d. Red.:

Vgl. BDSG in der Fassung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Artikel 1 des Gesetzes vom 22. August 2006 (BGBl. I S. 1970),

(4) Auf öffentlich-rechtliche Kreditinstitute und öffentlich-rechtliche Versicherungsanstalten sowie deren Vereinigungen finden § 24 des Niedersächsischen Datenschutzgesetzes in der Fassung vom 17. Juni 1993 (Nds. GVBl. S. 141, Anm.: siehe Anlage zum Gesetzestext) – und im Übrigen die Vorschriften des Bundesdatenschutzgesetzes über nicht öffentliche Stellen Anwendung.

(5) Für öffentlich-rechtliche Rundfunkanstalten gilt das Recht des jeweiligen Sitzlandes.

(6) Besondere Rechtsvorschriften über die Verarbeitung personenbezogener Daten gehen den Bestimmungen dieses Gesetzes vor.

(7) Die Vorschriften dieses Gesetzes gehen denen des Niedersächsischen Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhaltes personenbezogene Daten verarbeitet werden.

(8) Auf das Gnadenverfahren findet dieses Gesetz mit Ausnahme des Vierten Abschnitts keine Anwendung.

§ 3.- Begriffsbestimmungen

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse von bestimmten oder bestimmbaren natürlichen Personen (Betroffene).

(2) 1Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen und Nutzen personenbezogener Daten. 2Im Einzelnen ist

1. Erheben das Beschaffen von Daten über die Betroffenen,

2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger,

3. Verändern das inhaltliche Umgestalten von Daten,

4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, dass

a) die Daten durch die Daten verarbeitende Stelle weitergegeben werden oder

b) Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsehen oder abrufen,

5. Sperren das Kennzeichnen von Daten, um ihre weitere Verarbeitung einzuschränken,

6. Löschen das Unkenntlichmachen von Daten,

7. Nutzen jede sonstige Verwendung von Daten.

(3) Daten verarbeitende Stelle ist jede Stelle, die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt.

(4) 1Empfänger ist jede Person oder Stelle, die Daten erhält. 2Dritte sind Personen oder Stellen außerhalb der Daten verarbeitenden Stelle. 3Dritte sind nicht die Betroffenen sowie diejenigen Personen und Stellen, die im Auftrag personenbezogene Daten verarbeiten (Auftragnehmer).

(5) Automatisierte Verarbeitung ist die Verarbeitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

(6) 1Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage und die Zusammenfassung solcher Unterlagen einschließlich der Bild- und Tonträger. 2Hierunter fallen nicht Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen.

§ 4.- Zulässigkeit der Datenverarbeitung

(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn

1. dieses Gesetz oder eine andere Rechtsvorschrift dies vorsieht oder

2. die Betroffenen eingewilligt haben.

(2) 1Die Einwilligung bedarf der Schriftform, es sei denn, dass wegen besonderer Umstände eine andere Form angemessen ist. 2Soweit die Einwilligung personenbezogene Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben betrifft, muss sie sich ausdrücklich auf diese Angaben beziehen. 3Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, so ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben. 4Die Betroffenen sind in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung auch über die Empfänger der Daten aufzuklären. 5Die Betroffenen sind unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern oder mit Wirkung für die Zukunft widerrufen können.

(3) Die Einwilligung ist unwirksam, wenn sie durch Androhung rechtswidriger Nachteile oder durch Fehlen der Aufklärung bewirkt wurde.

§ 5.- Datengeheimnis

Den Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, diese zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren; dies gilt auch nach Beendigung ihrer Tätigkeit.

§ 6.- Verarbeitung personenbezogener Daten im Auftrag

(1) 1Werden personenbezogene Daten im Auftrag öffentlicher Stellen verarbeitet, so bleiben diese für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die im Dritten Abschnitt genannten Rechte sind ihnen gegenüber geltend zu machen.

(2) 1Die Auftragnehmer dürfen personenbezogene Daten nur im Rahmen der Weisungen der Auftraggeber verarbeiten. 2Auftraggeber haben sich über die Beachtung der Maßnahmen nach § 7 und der erteilten Weisungen zu vergewissern.

(3) 1Auftragnehmer müssen Gewähr für die Einhaltung der technischen und organisatorischen Maßnahmen nach § 7 bieten. 2Aufträge, Weisungen zu technischen und organisatorischen Maßnahmen und die Zulassung von Unterauftragsverhältnissen sind schriftlich festzuhalten.

(4) 1Sofern die Vorschriften dieses Gesetzes auf Auftragnehmer keine Anwendung finden, hat die Daten verarbeitende Stelle den Auftragnehmer zu verpflichten, jederzeit vom Auftraggeber veranlasste Kontrollen zu ermöglichen. 2Wird der Auftrag außerhalb des Geltungsbereichs dieses Gesetzes durchgeführt, so unterrichtet der Auftraggeber die zuständige Datenschutzkontrollbehörde.

§ 6 a.- Mobile personenbezogene Speicher- und Verarbeitungsmedien

(1) Stellen, die personenbezogene Speicher- und Verarbeitungsmedien herausgeben oder die auf solchen Medien Verfahren zur automatisierten Verarbeitung personenbezogener Daten aufbringen oder ändern, müssen die betroffene Person in allgemein verständlicher Form

1. über ihre Identität und Anschrift,

2. über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten,

3. darüber, wie die betroffene Person ihre Rechte nach den §§ 16 und 17 ausüben kann, und

4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit die oder der Betroffene nicht bereits Kenntnis erlangt hat.

(2) Die nach Absatz 1 verpflichteten Stellen haben dafür Sorge zu tragen, dass die zur Wahrnehmung der Rechte nach den §§ 16 und 17 erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen.

(3) Die Tatsache der Kommunikation des mobilen personenbezogenen Speicherund Verarbeitungsmediums muss für die betroffene Person eindeutig erkennbar sein.

§ 7.- Technische und organisatorische Maßnahmen

(1) Öffentliche Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen. Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen.

(2) Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind,

1. Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren (Zugangskontrolle),

2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle),

3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle),

4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),

5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle),

6. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit an wen übermittelt worden sind (Übermittlungskontrolle),

7. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),

8. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

9. zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der Auftraggeber verarbeitet werden können (Auftragskontrolle),

10. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle),

11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(3) Ein automatisiertes Verfahren darf nur eingesetzt oder wesentlich geändert werden, soweit Gefahren für die Rechte Betroffener, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können, durch Maßnahmen nach Absatz 1 wirksam beherrscht werden können. Die nach Satz 1 zu treffenden Feststellungen sind schriftlich festzuhalten.

(4) Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten.

(5) Personenbezogene Daten, die in Akten oder in anderer Weise ohne Einsatz automatisierter Verfahren verarbeitet werden, sind insbesondere vor dem Zugriff Unbefugter zu schützen.

§ 8.- Verfahrensbeschreibung

1Jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, hat in einer Beschreibung festzulegen:

1. die Bezeichnung der automatisierten Verarbeitung und ihre Zweckbestimmung,

2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung,

3. den Kreis der Betroffenen,

4. die Art regelmäßig zu übermittelnder Daten, deren Empfänger, in den Fällen des § 6 auch die Auftragnehmer, sowie die Herkunft regelmäßig empfangener Daten,

5. die Absicht, Daten in Staaten nach § 14 zu übermitteln,

6. Fristen für die Sperrung und Löschung der Daten,

7. die technischen und organisatorischen Maßnahmen nach § 7,

8. die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung.

2Satz 1 gilt nicht, wenn die Daten nur vorübergehend und zu einem anderen Zweck als dem der inhaltlichen Auswertung gespeichert werden, sowie für Register nach § 8 a Abs. 4 und Verarbeitungen nach § 8 a Abs. 5 Satz 1.

§ 8 a.- Behördliche Datenschutzbeauftragte

(1) 1Jede öffentliche Stelle, die personenbezogene Daten automatisiert verarbeitet, hat eine Beauftragte oder einen Beauftragten für den Datenschutz zu bestellen. 2Mit dieser Aufgabe kann auch eine Person beauftragt werden, die nicht der verarbeitenden Stelle angehört. 3Ist die Person bereits von einer anderen Stelle zur Beauftragten für den Datenschutz bestellt worden, so setzt die weitere Bestellung das Einvernehmen mit der anderen Stelle voraus.

(2) 1Bestellt werden darf nur, wer die erforderliche Sachkenntnis und Zuverlässigkeit besitzt und durch die Bestellung keinem Interessenkonflikt mit anderen dienstlichen Aufgaben ausgesetzt ist. 2Beauftragte sind in dieser Eigenschaft weisungsfrei; sie können sich unmittelbar an die Behördenleitung wenden und dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. 3Sie unterstützen die öffentliche Stelle bei der Sicherstellung des Datenschutzes und wirken auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. 4Sie sind über geplante Verfahren der automatisierten Verarbeitung personenbezogener Daten zu unterrichten. 5Sie erhalten eine Übersicht der automatisierten Verarbeitungen mit den Angaben nach § 8 Satz 1. 6Die öffentlichen Stellen haben die Beauftragten für den Datenschutz bei der Aufgabenerfüllung zu unterstützen.

(3) 1Die Beauftragten haben auf Antrag die Angaben gemäß § 8 Satz 1 Nrn. 1 bis 6 jedermann in geeigneter Weise verfügbar zu machen. 2Hiervon ausgenommen sind Beschreibungen nach § 22 Abs. 5 und Beschreibungen für Verarbeitungen zum Zweck der Strafverfolgung. 3Den Beauftragten obliegt die Vorabprüfung von Verfahren nach § 7 Abs. 3, wobei in Zweifelsfällen die Landesbeauftragte oder der Landesbeauftragte für den Datenschutz zu beteiligen ist. 4Betroffene können sich unmittelbar an die Beauftragte oder den Beauftragten für den Datenschutz wenden

(4) Wird in einer öffentlichen Stelle ein Register geführt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse geltend machen, zur Einsichtnahme offen steht, so ist Absatz 1 nur anzuwenden, soweit in dieser öffentlichen Stelle andere automatisierte Verarbeitungen stattfinden.

(5) 1Die Landesregierung wird ermächtigt, durch Verordnung die Pflicht zur Bestellung einer Beauftragten oder eines Beauftragten für den Datenschutz einzuschränken, soweit in einer öffentlichen Stelle automatisierte Verarbeitungen solche Daten betreffen, bei denen eine Beeinträchtigung des Rechts auf informationelle Selbstbestimmung nicht zu erwarten ist. 2In der Verordnung sind die Zweckbestimmungen der Verarbeitung, die Kategorien der Daten, die Empfänger, denen die Daten übermittelt werden dürfen, und die Dauer der Aufbewahrung festzulegen.

Zweiter Abschnitt

Rechtsgrundlagen der Datenverarbeitung

§ 9.- Erhebung

(1)1Personenbezogene Daten dürfen erhoben werden, wenn ihre Kenntnis zur Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. 2Die Daten sind bei den Betroffenen mit ihrer Kenntnis zu erheben. 3Bei Dritten dürfen personenbezogene Daten nur erhoben werden, wenn

1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,

2. die Erhebung zur Abwehr von Gefahren für Leib, Leben oder die persönliche Freiheit erforderlich ist,

3. Angaben der Betroffenen überprüft werden müssen,

4. offensichtlich ist, dass die Erhebung im Interesse der Betroffenen liegt und sie einwilligen würden,

5. die Daten aus allgemein zugänglichen Quellen entnommen werden können, soweit nicht schutzwürdige Interessen der Betroffenen offensichtlich entgegenstehen, oder

6. a) die zu erfüllende Aufgabe ihrer Art nach eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder

b.) die Erhebung bei den Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der Betroffenen beeinträchtigt werden.

(2) 1Werden Daten bei den Betroffenen erhoben, so sind sie über den Zweck der Erhebung aufzuklären. Werden die Daten aufgrund einer Rechtsvorschrift erhoben, so sind die Betroffenen in geeigneter Weise über diese aufzuklären. 2Soweit eine Auskunftspflicht besteht oder die Gewährung von Rechtsvorteilen die Angabe von Daten voraussetzt, sind die Betroffenen hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

(3) 1Werden Daten bei einer dritten Person oder einer Stelle außerhalb des öffentlichen Bereichs erhoben, so ist diese auf Verlangen über den Verwendungszweck aufzuklären. 2Soweit eine Auskunftspflicht besteht, ist sie hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

§ 10.- Speicherung, Veränderung, Nutzung; Zweckbindung

(1) 1Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist und die Daten für diese Zwecke erhoben worden sind. 2Erlangt die öffentliche Stelle Kenntnis von personenbezogenen Daten, ohne diese erhoben zu haben, so darf sie diese Daten nur für Zwecke verarbeiten, für die sie diese Daten erstmals speichert.

(2) 1Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, 1. wenn die Betroffenen eingewilligt haben, 2. in den Fällen des § 9 Abs. 1 Satz 3 Nrn. 1 bis 5 oder 3. wenn sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden geboten ist.

2Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis und sind sie der Daten verarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden, so dürfen sie für andere Zwecke nur gespeichert, verändert oder genutzt werden, wenn die Betroffenen eingewilligt haben oder wenn eine Rechtsvorschrift dies zulässt.

(3) 1Ein Speichern, Verändern oder Nutzen zu anderen Zwecken liegt nicht vor, wenn dies zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung oder zur Durchführung von Organisationsuntersuchungen erfolgt.

2Zulässig ist auch die Verarbeitung zu Ausbildungs- und Prüfungszwecken, soweit nicht berechtigte Interessen der Betroffenen an der Geheimhaltung der Daten offensichtlich überwiegen.

(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nicht für andere Zwecke verarbeitet werden.

§ 10 a.- Automatisierte Einzelentscheidung

(1) Entscheidungen, die für die Betroffenen eine rechtliche Folge nach sich ziehen oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen.

(2) 1Dies gilt nicht, wenn

1. eine Rechtsvorschrift dies vorsieht,

2. dem Begehren der Betroffenen stattgegeben wurde oder

3. die Wahrung der berechtigten Interessen der Betroffenen durch geeignete

Maßnahmen gewährleistet und den Betroffenen von der verantwortlichen Stelle die Tatsache, dass eine Entscheidung nach Absatz 1 vorliegt, mitgeteilt wird.

2Als geeignete Maßnahme im Sinne der Nummer 3 gilt insbesondere die Möglichkeit der Betroffenen, ihren Standpunkt geltend zu machen; die verantwortliche Stelle ist verpflichtet, ihre Entscheidung erneut zu prüfen.

(3) Das Recht der Betroffenen auf Auskunft nach § 16 erstreckt sich in den Fällen des Absatzes 1 auch auf den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten.

§ 11.- Übermittlung innerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist nur zulässig, wenn die Übermittlung zur Erfüllung der Aufgaben der übermittelnden Stelle oder des Empfängers erforderlich ist und die Daten nach § 10 verarbeitet werden dürfen.

(2) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten der Betroffenen oder Dritter in Akten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen der Betroffenen oder Dritter an deren Geheimhaltung offensichtlich überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.

(3) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. 2Erfolgt die Übermittlung aufgrund eines Ersuchens, so hat die übermittelnde Stelle lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der Aufgaben der empfangenden Stelle hält. 3Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht; die empfangende Stelle hat der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen.

4Erfolgt die Übermittlung durch automatisierten Abruf (§ 12), so trägt die Verantwortung für die Rechtmäßigkeit des Abrufs die empfangende Stelle.

(4) Die Absätze 1 bis 3 gelten entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden.

§ 12.- Automatisiertes Abrufverfahren

(1) 1Ein automatisiertes Verfahren, das die Übermittlung personenbezogener Daten durch Abruf eines Dritten ermöglicht, darf nur eingerichtet werden, wenn eine Rechtsvorschrift dies zulässt. 2Die Zulässigkeit des einzelnen Abrufs bestimmt sich nach den Vorschriften dieses Gesetzes.

(2) 1Die Landesregierung wird ermächtigt, durch Verordnung für die Behörden und Einrichtungen des Landes sowie für die der Aufsicht des Landes unterliegenden sonstigen öffentlichen Stellen die Einrichtung automatischer Abrufverfahren zuzulassen. 2Für die Zulassung solcher Verfahren innerhalb des Geschäftsbereichs eines Ministeriums wird das jeweilige Ministerium ermächtigt, die Verordnung zu erlassen. 3Ein solches Verfahren darf nur eingerichtet werden, soweit dies unter Berücksichtigung der schutzwürdigen Interessen des betroffenen Personenkreises und der Aufgaben der beteiligten Stellen angemessen ist. 4In der Verordnung sind die Datenempfänger, die Art der zu übermittelnden Daten, der Zweck des Abrufs sowie die wesentlichen bei den beteiligten Stellen zu treffenden Maßnahmen zur Kontrolle der Verarbeitung festzulegen. 5Die Landesbeauftragte für den Datenschutz oder der Landesbeauftragte für den Datenschutz (die Landesbeauftragte oder der Landesbeauftragte) ist vorher zu hören.

(3) Sind automatisierte Abrufverfahren in einer Verordnung nach Absatz 2 zugelassen, so dürfen sie auf Verlangen des Landesrechnungshofs auch für die Rechnungsprüfung eingesetzt werden.

(4) 1Personenbezogene Daten dürfen nicht zum Abruf durch Personen oder Stellen außerhalb des öffentlichen Bereichs bereitgehalten werden. 2Dies gilt nicht für den Abruf durch Betroffene.

(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus solchen Datenbeständen, die jeder Person offen stehen oder deren Inhalt veröffentlicht werden darf.

§ 13.- Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs

(1) Die Übermittlung personenbezogener Daten an Personen oder Stellen außerhalb des öffentlichen Bereichs ist zulässig, wenn

1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Daten nach § 10 verarbeitet werden dürfen,

2. die Empfänger ein rechtliches Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft machen und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Betroffenen an der Geheimhaltung überwiegt, oder

3. sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend gemacht wird und die Betroffenen in diesen Fällen der Übermittlung nicht widersprochen haben.

In den Fällen des Satzes 1 Nr. 3 sind die Betroffenen über die beabsichtigte Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck in geeigneter Weise und rechtzeitig zu unterrichten.

(2) Die übermittelnde Stelle hat die Empfänger zu verpflichten, die Daten nur für die Zwecke zu verarbeiten, zu denen sie ihnen übermittelt wurden.

§ 14.- Übermittlung an Personen oder Stellen in Staaten außerhalb des Europäischen Wirtschaftsraums

(1) 1Die Übermittlung personenbezogener Daten an Personen und Stellen in Staaten außerhalb der Europäischen Union und der Vertragsstaaten des Abkommens überden Europäischen Wirtschaftsraum sowie an über- und zwischenstaatliche Stellen ist zulässig, soweit die Übermittlung in einem Gesetz, einem Rechtsakt der Europäischen Gemeinschaften oder einem internationalen Vertrag geregelt ist. 2Eine Übermittlung an öffentliche Stellen darf auch erfolgen, wenn die Voraussetzungen des § 11 Abs. 1 sowie an andere Empfänger, wenn die Voraussetzungen des § 13 Abs. 1 erfüllt sind und im Empfängerland gleichwertige Datenschutzregelungen gelten. 3Die Übermittlung nach Satz 2 darf nicht erfolgen, soweit Grund zu der Annahme besteht, dass die Übermittlung einen Verstoß gegen wesentliche Grundsätze des deutschen Rechts, insbesondere gegen Grundrechte, zur Folge haben würde.

(2) Eine Übermittlung ist abweichend von Absatz 1 Satz 2 auch dann zulässig, wenn sie

1. für die Wahrnehmung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,

2. für die Wahrung lebenswichtiger Interessen der Betroffenen erforderlich ist oder

3. aus einem Register erfolgt,

a) das zur Information der Öffentlichkeit bestimmt ist oder

b) in das alle Personen, die ein berechtigtes Interesse an der Einsichtnahme haben, Einsicht nehmen können, soweit der ausländische Empfänger die Voraussetzungen für die Einsichtnahme erfüllt.

§ 15.- Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften

1Die Übermittlung personenbezogener Daten an Stellen öffentlich-rechtlicher Religionsgesellschaften ist zulässig, wenn

1. die Betroffenen eingewilligt haben,

2. eine Rechtsvorschrift dies vorsieht,

3. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Daten nach § 10 verarbeitet werden dürfen,

4. offensichtlich ist, dass die Übermittlung im Interesse der Betroffenen liegt und sie einwilligen würden, oder

5. sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend gemacht wird und die Betroffenen in diesen Fällen der Übermittlung nicht widersprochen haben und sichergestellt ist, dass bei den Empfängern ausreichende Datenschutzmaßnahmen, insbesondere Regelungen zur Zweckbindung, getroffen sind. 2In den Fällen des Satzes 1 Nr. 5 sind die Betroffenen über die beabsichtigte Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck in geeigneter Weise und rechtzeitig zu unterrichten.

Dritter Abschnitt

Rechte der Betroffenen

§ 16.- Auskunft, Einsicht in Akten

(1) 1Betroffenen ist von der Daten verarbeitenden Stelle auf Antrag Auskunft zu erteilen über

1. die zu ihrer Person gespeicherten Daten,

2. den Zweck und die Rechtsgrundlage der Speicherung,

3. die Herkunft der Daten, die Empfänger von Übermittlungen, in den Fällen des § 6 auch die Auftragnehmer, sowie

4. in den Fällen des § 10 a über die Art und Struktur der automatisierten Verarbeitung.

2Dies gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind. 3Für gesperrte Daten, die nur deshalb noch gespeichert sind, weil sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen, gilt die Verpflichtung zur Auskunftserteilung nur, wenn Betroffene ein berechtigtes Interesse an der Erteilung der Auskunft über diese Daten glaubhaft machen.

(2) 1In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft begehrt wird, näher bezeichnet werden. 2Die Daten verarbeitende Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen.

(3) Sind die Daten in Akten gespeichert, so können Betroffene Auskunft aus Akten oder Akteneinsicht verlangen, soweit sie Angaben machen, die das Auffinden der Daten mit angemessenem Aufwand ermöglichen.

(4) Anträge nach Absatz 1 oder 3 können abgelehnt werden, soweit und solange

1. die Erfüllung des Auskunfts- oder Einsichtsverlangens die ordnungsgemäße Wahrnehmung der übrigen Aufgaben der datenverarbeitenden Stelle gefährden würde,

2. die Auskunft oder Einsicht die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde oder

3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder wegen der berechtigten Interessen von Dritten geheim zu halten sind.

(5) 1Die Ablehnung der Auskunft oder der Akteneinsicht bedarf keiner Begründung, soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. 2Die Gründe der Ablehnung sind aktenkundig zu machen.

(6) Wird die Auskunft oder die Akteneinsicht abgelehnt, so sind die Betroffenen darauf hinzuweisen, dass sie sich an die Landesbeauftragte oder den Landesbeauftragten wenden können.

(7) Auskunft und Akteneinsicht sind kostenfrei.

§ 17.- Berichtigung, Löschung und Sperrung

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.

(2) 1Personenbezogene Daten sind zu löschen, wenn

1. ihre Speicherung unzulässig ist oder

2. ihre Kenntnis für die Daten verarbeitende Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist.

2In den Fällen des Satzes 1 Nr. 2 tritt an die Stelle der Löschung die Abgabe an das zuständige Archiv, soweit dies in den entsprechenden Rechtsvorschriften vorgesehen ist. 3Sind personenbezogene Daten in Akten gespeichert, so ist die Löschung nach Satz 1 Nr. 2 durchzuführen, wenn die gesamte Akte nach Maßgabe der entsprechenden Rechts- oder Verwaltungsvorschriften zur Aufgabenerfüllung nicht mehr erforderlich ist. 4Werden durch die weitere Speicherung nach Satz 3 schutzwürdige Belange der Betroffenen erheblich beeinträchtigt, so sind die entsprechenden Daten zu sperren.

(3) 1Personenbezogene Daten sind zu sperren,

1. solange und soweit ihre Richtigkeit von den Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt,

2. wenn die Betroffenen anstelle der Löschung unzulässig gespeicherter Daten die Sperrung verlangen oder die weitere Speicherung im Interesse der Betroffenen geboten ist, oder

3. solange sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen.

2Gesperrte Daten sind mit einem Sperrvermerk zu versehen; in automatisierten Verfahren ist die Sperrung durch zusätzliche technische Maßnahmen zu gewährleisten. 3Gesperrte Daten dürfen nicht mehr weiter verarbeitet werden, es sei denn, dass dies zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder Dritter liegenden Gründen unerlässlich ist oder die Betroffenen eingewilligt haben. 4Die Gründe für die Verarbeitung gesperrter Daten sind aufzuzeichnen.

(4) 1Sind Daten nach den Absätzen 1 bis 3 berichtigt, gesperrt oder gelöscht worden, so sind die Personen oder Stellen unverzüglich zu unterrichten, denen die Daten übermittelt worden sind. 2Die Unterrichtung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordern würde und kein Grund zu der Annahme besteht, dass dadurch schutzwürdige Belange der Betroffenen beeinträchtigt werden.

§ 17 a.- Widerspruchsrecht

1Betroffene haben gegenüber der Daten verarbeitenden Stelle das Recht, der Verarbeitung der sie betreffenden Daten aus schutzwürdigen persönlichen Gründen zu widersprechen. 2Soweit diese Gründe überwiegen, ist die Verarbeitung der Daten unzulässig. 3Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Verarbeitung verpflichtet.

§ 18.- Schadensersatz

(1) 1Wird den Betroffenen durch eine nach datenschutzrechtlichen Vorschriften unzulässige Verarbeitung ihrer personenbezogenen Daten ein Schaden zugefügt, so sind ihnen die Träger der Daten verarbeitenden Stellen unabhängig von einem Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet; im Fall einer nicht automatisierten Verarbeitung besteht die Ersatzpflicht nicht, wenn die Daten verarbeitende Stelle nachweist, dass die Unzulässigkeit nicht von ihr zu vertreten ist. 2Bei einer schweren Verletzung des Persönlichkeitsrechts kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld verlangt werden. 3Ersatzpflichtige haften gegenüber jeder betroffenen Person für jedes schädigende Ereignis bis zu einem Betrag von 250 000 Euro. Mehrere Ersatzpflichtige haften als Gesamtschuldner.

(2) Auf ein Mitverschulden der Betroffenen ist § 254 und auf die Verjährung des Schadensersatzanspruchs § 852 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden.

§ 19.- Anrufung der Landesbeauftragten oder des Landesbeauftragten

(1) 1Jede Person, die meint, durch die Verarbeitung ihrer personenbezogenen Daten in ihren Rechten durch eine Stelle verletzt worden zu sein, die der Kontrolle nach den Vorschriften dieses Gesetzes unterliegt, kann sich an die Landesbeauftragte oder den Landesbeauftragten wenden. 2Keine Person darf deswegen benachteiligt werden.

(2) 1Die Bediensteten der Behörden und sonstigen öffentlichen Stellen, auf die dieses Gesetz Anwendung findet, dürfen sich unbeschadet ihres Rechts nach Absatz 1 in allen Angelegenheiten des Datenschutzes jederzeit an die Landesbeauftragte oder den Landesbeauftragten wenden. 2Der Einhaltung des Dienstweges bedarf es nicht, wenn die Bedienstete oder der Bedienstete auf einen Verstoß gegen datenschutzrechtliche Vorschriften oder auf die Gefahr hingewiesen hat, dass eine Person in unzulässiger Weise in ihrem Recht auf informationelle Selbstbestimmung beeinträchtigt wird, und diesem Hinweis binnen angemessener Frist nicht abgeholfen worden ist. 3Im Übrigen bleiben die dienstrechtlichen Pflichten der Bediensteten unberührt.

§ 20.- Verzicht auf Rechte der Betroffenen

Die in diesem Abschnitt genannten Rechte können auch durch die Einwilligung der Betroffenen nicht im Voraus ausgeschlossen oder beschränkt werden.

Vierter Abschnitt

Landesbeauftragte oder Landesbeauftragter für den Datenschutz

§ 21.- Rechtsstellung der Landesbeauftragten oder des Landesbeauftragten

(1) 1Die Landesbeauftragte oder der Landesbeauftragte muss das 35. Lebensjahr vollendet und soll die Befähigung zum Richteramt haben. 2Sie oder er wird nach der Wahl durch den Landtag auf die Dauer von acht Jahren in ein Beamtenverhältnis auf Zeit berufen. 3Die Wiederwahl und die Berufung für eine weitere Amtszeit sind zulässig. 4Das Amt ist im Übrigen bis zum Eintritt der Nachfolge weiterzuführen. 5Die Landesbeauftragte oder der Landesbeauftragte kann außer auf Antrag nur entlassen werden, wenn der Pflicht nach Satz 4 nicht nachgekommen wird oder wenn Gründe vorliegen, die bei einem Richterverhältnis auf Lebenszeit die Entlassung aus dem Dienst rechtfertigen.

(2) 1Die Landesbeauftragte oder der Landesbeauftragte ist oberste Dienstbehörde im Sinne des § 96 der Strafprozessordnung und trifft die Entscheidungen nach § 37 Abs. 3 bis 5 des Beamtenstatusgesetzes für sich selbst und die zugeordneten Bediensteten. 2Im Übrigen untersteht sie oder er der Dienstaufsicht der Landesregierung.

(3) 1Die Geschäftsstelle der Landesbeauftragten oder des Landesbeauftragten wird beim Innenministerium eingerichtet. 2Die der Landesbeauftragten oder dem Landesbeauftragten zugeordneten Stellen werden auf ihren oder seinen Vorschlag besetzt. 3Die Bediensteten können ohne ihre Zustimmung nur im Einvernehmen mit der Landesbeauftragten oder dem Landesbeauftragten versetzt, abgeordnet oder umgesetzt werden.

(4) 1Ist die Landesbeauftragte oder der Landesbeauftragte länger als sechs Wochen an der Ausübung des Amtes verhindert, so kann die Landesregierung eine Vertreterin oder einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen.

2Die Landesbeauftragte oder der Landesbeauftragte soll dazu gehört werden. 3Bei einer kürzeren Verhinderung oder bis zu einer Regelung nach Satz 1 führt die leitende Beamtin oder der leitende Beamte der Geschäftsstelle die Geschäfte.

§ 22.- Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des Landesbeauftragten

(1) 1Die Landesbeauftragte oder der Landesbeauftragte kontrolliert die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz bei den Behörden und sonstigen öffentlichen Stellen. 2Der Landtag, die Gerichte und der Landesrechnungshof unterliegen dieser Kontrolle aber nur, soweit sie in Verwaltungsangelegenheiten tätig werden. 3Außerdem kann die Landesbeauftragte oder der Landesbeauftragte den Landtag, die Landesregierung, die übrigen Behörden und sonstigen öffentlichen Stellen über Verbesserungen des Datenschutzes beraten. 4Die Landesbeauftragte oder der Landesbeauftragte ist bei der Ausarbeitung von Rechts- und Verwaltungsvorschriften anzuhören, die Regelungen zum Recht auf informationelle Selbstbestimmung zum Gegenstand haben.

(2) Die Landesbeauftragte oder der Landesbeauftragte ist rechtzeitig über Planungen des Landes und der kommunalen Gebietskörperschaften zum Aufbau automatisierter Informationssysteme zu unterrichten.

(3) 1Die Landesbeauftragte oder der Landesbeauftragte legt dem Landtag jeweils für zwei Kalenderjahre einen Tätigkeitsbericht vor. 2Die Landesregierung nimmt hierzu gegenüber dem Landtag innerhalb von sechs Monaten Stellung. 3Die Landesbeauftragte oder der Landesbeauftragte unterrichtet den Landtag und die Öffentlichkeit auch über wesentliche Entwicklungen des Datenschutzes. 4Auf Ersuchen des Landtages, seines zuständigen Ausschusses oder der Landesregierung hat die Landesbeauftragte oder der Landesbeauftragte ferner Angelegenheiten von besonderer datenschutzrechtlicher Bedeutung zu untersuchen und über die Ergebnisse zu berichten. 5Die Landesbeauftragte oder der Landesbeauftragte hat in bedeutsamen Fällen alsbald dem Landtag schriftlich oder in den Sitzungen seiner Ausschüsse mündlich zu berichten. 6Schriftliche Äußerungen gegenüber dem Landtag sind gleichzeitig der Landesregierung vorzulegen.

(4) 1Die Behörden und sonstigen öffentlichen Stellen sind verpflichtet, die Landesbeauftragte oder den Landesbeauftragten bei der Erfüllung der Aufgaben zu unterstützen. 2Dazu haben sie insbesondere

1. Auskunft zu erteilen sowie Einsicht in alle Unterlagen zu gewähren, die die Landesbeauftragte oder der Landesbeauftragte zur Erfüllung der Aufgaben für erforderlich hält,

2. die in Nummer 1 genannten Unterlagen auf Verlangen innerhalb einer bestimmten Frist zu übersenden,

3. jederzeit Zutritt in alle Diensträume zu gewähren.

3Die oberste Landesbehörde entscheidet, ob der Landesbeauftragten oder dem Landesbeauftragten personenbezogene Daten einer betroffenen Person zu offenbaren sind, wenn dieser Vertraulichkeit besonders zugesichert worden ist.

(5) Beschreibungen nach § 8 sind der Landesbeauftragten oder dem Landesbeauftragten zu übersenden, wenn die Verarbeitungen zur Erfüllung der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen.

(6) 1Die Landesregierung kann der Landesbeauftragten oder dem Landesbeauftragten die Aufgaben der Aufsichtsbehörde für die Datenverarbeitung im nicht öffentlichen Bereich nach den Bestimmungen des Bundesdatenschutzgesetzes übertragen. 2Abweichend von § 21 Abs. 2 unterliegt sie oder er insoweit der Fachaufsicht der Landesregierung. 3Auch für diesen Tätigkeitsbereich ist ein Bericht nach Absatz 3 vorzulegen.

§ 23.- Beanstandungen durch die Landesbeauftragte oder den Landesbeauftragten

(1) 1Stellt die Landesbeauftragte oder der Landesbeauftragte Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen fest, so ist dies

1. bei der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde,

2. bei den Gemeinden, Landkreisen und den sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen gegenüber dem vertretungsberechtigten Organ mit der Aufforderung zu beanstanden, innerhalb einer bestimmten Frist Stellung zu nehmen. 2In den Fällen des Satzes 1 Nr. 2 ist gleichzeitig auch die zuständige Aufsichtsbehörde zu unterrichten.

(2) 1Die Stellungnahme soll auch die Maßnahmen darstellen, die der Beanstandung abhelfen sollen. 2Die in Absatz 1 Satz 1 Nr. 2 genannten Stellen leiten der zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme zu.

(3) Die Landesbeauftragte oder der Landesbeauftragte kann insbesondere dann von einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle verzichten, wenn es sich um unerhebliche Mängel handelt oder die Beseitigung der Mängel sichergestellt ist.

Fünfter Abschnitt

Besonderer Datenschutz

§ 24.-  aufgehoben

§ 25.- Verarbeitung personenbezogener Daten für Forschungsvorhaben

(1) Für die Verarbeitung personenbezogener Daten zur Durchführung von wissenschaftlichen Forschungsvorhaben sind die §§ 9 bis 15 nach Maßgabe der Absätze 2 bis 5 und 7 anzuwenden.

(2) Für wissenschaftliche Forschungsvorhaben dürfen personenbezogene Daten, die für andere Zwecke oder für ein anderes Forschungsvorhaben erhoben oder gespeichert worden sind, verarbeitet werden, wenn

1. die Betroffenen eingewilligt haben,

2. eine Rechtsvorschrift dies vorsieht oder

3. Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges Interesse der Betroffenen der Verarbeitung der Daten für das Forschungsvorhaben nicht entgegensteht oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens das schutzwürdige Interesse der Betroffenen erheblich überwiegt. Das Ergebnis der Abwägung und seine Begründung sind aufzuzeichnen. Über die Verarbeitung ist die Datenschutzbeauftragte oder der Datenschutzbeauftragte nach § 8 a zu unterrichten.

(3) Die für ein Forschungsvorhaben gespeicherten oder übermittelten Daten dürfen nur für Zwecke der wissenschaftlichen Forschung verarbeitet werden.

(4) Sobald der Stand des Forschungsvorhabens es gestattet, sind die Merkmale, mit deren Hilfe ein Bezug auf eine bestimmte natürliche Person hergestellt werden kann, gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck dies gestattet.

(5) Im Rahmen von wissenschaftlichen Forschungsvorhaben dürfen personenbezogene Daten nur veröffentlicht werden, wenn

1. die Betroffenen eingewilligt haben oder

2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.

(6) Die Einwilligung der Betroffenen bedarf nicht der Schriftform, wenn hierdurch das Forschungsvorhaben erheblich beeinträchtigt würde.

(7) 1Eine Übermittlung personenbezogener Daten an Empfänger, auf die dieses Gesetz keine Anwendung findet, ist nach Maßgabe des Absatzes 2 zulässig, wenn sich die Empfänger verpflichten, die Daten nur für das von ihnen zu bezeichnende Forschungsvorhaben und nach Maßgabe der Absätze 3 bis 5 zu verarbeiten. 2Die Übermittlung ist der Landesbeauftragten oder dem Landesbeauftragten rechtzeitig vorher anzuzeigen.

§ 25 a.- Beobachtung durch Bildübertragung

(1) Die Beobachtung öffentlich zugänglicher Räume durch Bildübertragung (Videoüberwachung) ist nur zulässig, soweit sie

1. zum Schutz von Personen, die der beobachtenden Stelle angehören oder diese aufsuchen, oder

2. zum Schutz von Sachen, die zu der beobachtenden Stelle oder zu den Personen nach Nummer 1 gehören, erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der von der Beobachtung betroffenen Personen überwiegen.

(2) 1Die Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. 2Für einen anderen Zweck dürfen sie nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder die Betroffenen ausdrücklich eingewilligt haben.

(3) Die Möglichkeiten der Beobachtung und der Aufzeichnung sowie die verarbeitende Stelle sind durch geeignete Maßnahmen erkennbar zu machen.

(4) 1Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet und verarbeitet, so ist diese über die jeweilige Verarbeitung zu unterrichten. 2Von einer Unterrichtung kann abgesehen werden,

1. solange das öffentliche Interesse an einer Strafverfolgung das Unterrichtungsrecht der betroffenen Person erheblich überwiegt oder

2. wenn die Unterrichtung im Einzelfall einen unverhältnismäßigen Aufwand erfordert.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

(6) Dem Einsatz der Videoüberwachung muss stets eine Prüfung nach § 7 Abs. 3 vorausgehen.

§ 26.- Fernmessen und Fernwirken

(1) 1Ferngesteuerte Messungen oder Beobachtungen (Fernmessdienste) dürfen in Wohnungen oder Geschäftsräumen nur vorgenommen werden, wenn die Betroffenen zuvor über den Verwendungszweck sowie über Art, Umfang und Zeitraum des Einsatzes unterrichtet worden sind und nach der Unterrichtung schriftlich eingewilligt haben. 2Entsprechendes gilt, soweit eine Übertragungseinrichtung dazu dienen soll, in Wohnungen oder Geschäftsräumen Wirkungen auszulösen (Fernwirkdienste). 3Die Einrichtung von Fernmess- und Fernwirkdiensten ist nur zulässig, wenn die Betroffenen erkennen können, wann ein Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist. 4Die Betroffenen können ihre Einwilligung jederzeit widerrufen, soweit dies mit der Zweckbestimmung des Dienstes vereinbar ist. 5Das Abschalten eines Dienstes gilt im Zweifel als Widerruf der Einwilligung.

(2) 1Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses dürfen nicht von der Einwilligung nach Absatz 1 abhängig gemacht werden.2Betroffenen dürfen keine Nachteile entstehen, die über die unmittelbaren Folgekosten hinausgehen, wenn sie ihre Einwilligung verweigern oder widerrufen.

(3) 1Die im Rahmen von Fernmess- oder Fernwirkdiensten erhobenen Daten dürfen nur zu den vereinbarten Zwecken verarbeitet werden. 2Sie sind zu löschen, sobald sie zur Erfüllung dieser Zwecke nicht mehr erforderlich sind.

§ 27.- Öffentliche Auszeichnungen

(1) 1Zur Vorbereitung öffentlicher Auszeichnungen dürfen die dazu erforderlichen personenbezogenen Daten auch ohne Kenntnis der Betroffenen bei anderen Personen oder Stellen erhoben werden. 2Auf Anforderung dürfen öffentliche Stellen die erforderlichen Daten übermitteln.

(2) § 16 findet keine Anwendung.

Sechster Abschnitt

Übergangs- und Schlussvorschriften

§ 28.- Straftaten

(1) 1Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, personenbezogene Daten, die nicht allgemein zugänglich sind,

1. unbefugt erhebt, speichert, verändert, löscht, übermittelt oder nutzt oder

2. durch Vortäuschung falscher Tatsachen ihre Weitergabe an sich oder andere veranlasst, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 2Ebenso wird bestraft, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit anderen Informationen zusammenführt und dadurch die betroffene Person wieder bestimmbar macht.

(2) Der Versuch ist strafbar.

§ 29.- Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer personenbezogene Daten, die nicht allgemein zugänglich sind,

1. entgegen § 5 zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck verarbeitet oder offenbart oder

2. sich durch Vortäuschung falscher Tatsachen verschafft oder an sich oder andere übermitteln lässt.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50 000 Euro geahndet werden.

§§ 30 bis 34

Vom Abdruck der §§

30 (Übergangsvorschrift)

31 (Aufhebung von Rechtsvorschriften)

32 (Änderung des Niedersächsischen Meldegesetzes)

33 (Änderung des Niedersächsischen Verfassungsschutzgesetzes) und

34 (In-Kraft-Treten)

wird abgesehen.

Anlage zum Gesetzestext

§ 24

(des Niedersächsischen Datenschutzgesetzes in der Fassung vom 17. Juni 1993)

(Nds. GVBl. S. 141)

Datenverarbeitung bei Dienst- und Arbeitsverhältnissen

(1) Daten von Bewerberinnen oder Bewerbern, Beschäftigten und ehemaligen Beschäftigten dürfen abweichend von § 10 Abs. 1 und 2 und § 11 nur verarbeitet werden, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung dies vorsieht. Bei der erstmaligen Speicherung in Dateien ist den Betroffenen die Art der über sie gespeicherten Daten mitzuteilen, bei wesentlichen Änderungen sind sie zu benachrichtigen. Abweichend von § 13 Abs. 1 ist eine Übermittlung der Daten von Beschäftigten an Personen und Stellen außerhalb des öffentlichen Bereichs nur zulässig, wenn die Empfänger ein rechtliches Interesse darlegen oder der Dienstverkehr es erfordert. Die Datenübermittlung an künftige Dienstherrn oder Arbeitgeber ist nur mit Einwilligung der Betroffenen zulässig.

(2) Die Weiterverarbeitung der bei ärztlichen oder psychologischen Untersuchungen und Tests zum Zwecke der Eingehung eines Dienst- oder Arbeitsverhältnisses erhobenen Daten ist nur mit schriftlicher Einwilligung der Bewerberin oder des Bewerbers zulässig. Die Einstellungsbehörde darf von der untersuchenden Person oder Stelle grundsätzlich nur das Ergebnis der Eignungsuntersuchung und die dabei festgestellten Risikofaktoren anfordern. Fordert die Einstellungsbehörde die Übermittlung weiterer personenbezogener Daten an, so hat sie die Gründe hierfür aufzuzeichnen. Sie hat die Bewerberin oder den Bewerber in diesen Fällen zu unterrichten.

(3) Personenbezogene Daten, die zur Aufzeichnung des Bewerbungsvorganges nicht erforderlich sind, sind unverzüglich zu löschen, sobald feststeht, dass ein Dienst- oder Arbeitsverhältnis nicht zustande kommt, es sei denn, dass die Betroffenen in die weitere Speicherung schriftlich eingewilligt haben.

(4) Medizinische und psychologische Befunde von Beschäftigten dürfen von den Personal verwaltenden Stellen nicht in automatisierten Dateien verarbeitet werden. Dies gilt nicht für Dateien, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend vorgehalten werden.

(5) Daten von Beschäftigten, die zur Durchführung technischer oder organisatorischer Maßnahmen nach § 7 Abs. 2 gespeichert werden, dürfen nicht zu Zwecken der Verhaltens- oder Leistungskontrolle genutzt werden.

(6) Beurteilungen sowie dienst- und arbeitsrechtliche Entscheidungen dürfen nicht allein auf Informationen gestützt werden, die unmittelbar durch automatisierte Datenverarbeitung gewonnen werden.

(7) Die Verarbeitungs- und Nutzungsformen automatisierter Personalverwaltungsverfahren sind zu dokumentieren und einschließlich des jeweiligen Verwendungszweckes allgemein bekannt zu geben.

Dentro del procedimiento de recaudación por la vía de apremio, el Reglamento de Recaudación del Territorio Histórico de Gipuzkoa, aprobado por Decreto Foral 27/1991, de 9 de abril (r. 91/43), establece en su artículo 109que el embargo de dinero en cuentas de depósito se llevará a cabo mediante diligencia de embargo que comprenderá todos los saldos del deudor existentes en una oficina de Entidad de depósito, sean o no conocidos por la Administración los datos identificativos de cada cuenta, hasta alcanzar el importe de la deuda no pagada en período voluntario, recargos correspondientes , intereses y, en su caso, las costas producidas.

En el apartado 2 de dicho artículo se prevé que la diligencia de embargo podrá, asimismo, comprender todos los saldos del deudor existentes en todas las oficinas de una misma Entidad, hasta alcanzar el importe de la deuda no pagada en período voluntario, recargos correspondientes, intereses y, en su caso, las costas producidas. En este caso, esa diligencia de embargo será presentada a los responsables de la Entidad o de sus Oficinas territoriales correspondientes, siendo en lo demás aplicable lo dispuesto en el apartado anterior.

La forma, medio, lugar y demás circunstancias relativas a la notificación de la diligencia de embargo a la Entidad depositaria, así como el plazo máximo en que habrá de efectuarse la retención de los fondos, podrá ser convenido, con carácter general, entre el Departamento de Hacienda y Finanzas y la Entidad depositaria afectada.

Tal es el propósito de la presente Orden Foral, que tiene por objeto la determinación del procedimiento para la centralización de las operaciones de ingreso en la Hacienda Foral de las cantidades recaudadas por las entidades colaboradoras y el envío de la información necesaria para la gestión y seguimiento de las trabas, a través del establecimiento de la comunicación vía teleproceso entre la Diputación Foral de Gipuzkoa y las entidades colaboradoras; procedimiento que será de aplicación para el embargo de dinero en cuentas abiertas en entidades de depósito para diligencias de cuantía igual o inferior a 4.000 euros.

Por todo ello y en virtud de la facultad conferida por la disposición final del Decreto Foral 27/1991 (r. 91/43) más arriba citado,

DISPONGO

Artículo 1. Objeto.

Mediante el procedimiento establecido en la presente Orden Foral se llevará a cabo el embargo de dinero en cuentas a la vista abiertas en entidades de depósito, siempre que el importe de las diligencias de embargo sea igual o inferior a 4.000 euros, incluidos recargos, intereses y costas, documentándose tales diligencias por medios telemáticos (a través de EDITRAN).

La totalidad de las especificaciones técnicas, así como la descripción general del procedimiento se recogen en el anexo de esta Orden Foral.

Artículo 2. Ambito de aplicación e inicio de actuaciones.

Las entidades de depósito interesadas en adherirse al procedimiento para realizar por medios telemáticos el embargo de dinero en cuentas en ellas abiertas, deberán comunicar su adhesión mediante escrito de su representante legal o de persona especialmente apoderada al efecto, dirigido al Subdirector General de Recaudación y Of icinas Tributarias del Departamento de Hacienda y Finanzas de la Diputación Foral de Gipuzkoa.

La adhesión al citado procedimiento en los términos de la presente Orden Foral podrá ser valorada a los efectos de la autorización a las entidades de depósito para su actuación como colaboradoras en la gestión recaudatoria del Departamento de Hacienda y Finanzas.

En su escrito de adhesión al procedimiento, cada entidad deberá hacer constar en forma expresa los datos siguientes:

– Nombre de la persona designada por la entidad para relacionarse con la Administración Tributaria en esta materia, así como sus números de teléfono, fax y, en su caso,  dirección de correo electrónico.

– Identificación de la entidad que se encargará de transmitir los datos a la Administración Tributaria (entidad transmisora). Cuando la entidad de depósito adherida no ostente la condición de colaboradora en la gestión recaudatoria deberá actuar obligatoriamente con una entidad transmisora que sí la tenga.

– Localidad desde la que efectuarán las transmisiones.

Cada entidad podrá optar por presentar su escrito de adhesión directamente ante la Subdirección General de Recaudación y Oficinas Tributarias del Departamento de Hacienda y Finanzas o en su respectiva Asociación representativa (Asociación Española de la Banca Privada, Confederación Española de Cajas de Ahorro o Unión Nacional de Cooperativas de Crédito). En este último caso, la Asociación correspondiente dará traslado del escrito de adhesión a la Subdirección General de Recaudación y Oficinas Tributarias.

La Subdirección General de Recaudación y Oficinas Tributarias procederá, en todo caso, a comunicar, con suficiente antelación, a cada entidad de depósito el momento en que, con respecto a ella, se iniciarán de forma efectiva las actuaciones previstas en el presente procedimiento.

Artículo 3. Procedimiento.

I. NORMAS GENERALES

Los intercambios de información que, en aplicación de la presente Orden Foral, deban llevarse a cabo entre el Departamento de Hacienda y Finanzas y las diferentes entidades de depósito serán efectuadas mediante EDITRAN.

A tales efectos, cada entidad de depósito deberá utilizar una entidad transmisora (que puede ser ella misma o cualquier otra entidad).

Una entidad transmisora podrá dar servicio a varias entidades de depósito, con la única limitación de que para un mismo ciclo mensual todas las transmisiones de información correspondientes a una entidad de depósito se realizarán a través de la misma entidad transmisora.

En el supuesto de que una entidad de depósito decidiera cambiar de entidad transmisora, deberá comunicarlo de forma expresa a la Subdirección General de Recaudación y Oficinas Tributarias, con una antelación mínima de dos meses.

A los efectos de lo establecido en la presente Orden Foral, se considerarán inhábiles los sábados y aquellas festividades que afecten a la localidad de Donostia-San Sebastián y a la de la oficina desde la que transmitan los datos a la Administración Tributaria por cada entidad de depósito.

En aquellos casos en los que, debido a motivos técnicos, sea imposible para las entidades la conexión telemática con la Administración tributaria, aquéllas deberán ponerlo en conocimiento del Departamento de Hacienda y Finanzas a los efectos que pudieran resultar procedentes. Del mismo modo, deberán actuar las entidades cuando los ficheros que les suministre el Departamento de Hacienda y Finanzas contengan errores que impidan su correcto tratamiento por parte de aquéllas.

II. FASES DEL PROCEDIMIENTO

II.1. Inicio.

El procedimiento propiamente dicho se inicia en el Departamento de Hacienda y Finanzas donde, mediante la ejecución de los procesos informáticos diseñados al efecto, se procederá a seleccionar los deudores y a investigar las cuentas a la vista de las que aquéllos sean titulares. Una vez obtenida dicha información, se seleccionarán la entidad y sucursal de la misma donde se encuentren abiertas las cuentas con el fin de obtener las diligencias de embargo correspondientes, sin que, en ningún caso, puedan simultanearse para un mismo deudor varias diligencias.

II.2. Transmisión de las diligencias de embargo a las entidades.

El último día hábil de cada mes o el inmediato hábil posterior cuando aquél resulte inhábil, el Departamento de Hacienda y Finanzas generará un fichero por cada entidad transmisora con las diligencias de embargo generadas para las entidades de depósito a las que aquélla dé servicio y que en ese ciclo mensual tuvieran diligencias.

Ese fichero se remitirá ese mismo día de modo directo a la entidad transmisora correspondiente.

Cada diligencia de embargo contendrá los siguientes datos:

– NIF/CIF del deudor.

– Nombre/razón social del deudor.

– Número de diligencia de embargo.

– Importe total a embargar (en ningún caso, podrá ser superior a 4.000 euros por diligencia).

– Fecha de generación de la diligencia de embargo.

– Codificación (CCC) de la o las cuentas a embargar (se consignarán los códigos de un máximo de tres cuentas a la vista por cada diligencia, todas ellas abiertas en la misma sucursal de la entidad de depósito).

Los órganos de recaudación del Departamento de Hacienda y Finanzas, y siempre a petición de las entidades, facilitarán a éstas duplicados de las órdenes de embargo que motivan las diligencias que se incluyen en los ficheros.

II.3. Traba.

Antes de las nueve de la mañana del segundo día hábil siguiente a aquél en que la entidad de depósito (o su transmisora, en su caso) reciba del Departamento de Hacienda y Finanzas el fichero de diligencias, deberá efectuarse la retención del importe a embargar si existe saldo suficiente o el total de los saldos en otro caso. Previo requerimiento de los órganos competentes de la Administración tributaria, la entidad de depósito viene obligada a justificar de forma fehaciente la fecha y hora en la que se ha producido la traba efectiva.

La entidad de depósito deberá realizar la traba con respecto a las cuentas consignadas por el Departamento de Hacienda y Finanzas en la diligencia de embargo. Cuando en dichas cuentas no existiera saldo disponible que cubra el importe total a embargar, la entidad extenderá el embargo a aquellas otras cuentas a la vista de titularidad del deudor que se encontrasen abiertas en la misma sucursal, hasta un máximo de seis cuentas por diligencia (incluidas las comunicadas por el Departamento de Hacienda y Finanzas).

A los efectos de su posterior comunicación al Departamento de Hacienda y Finanzas, el resultado de las actuaciones se consignará por la entidad de depósito conforme a los siguientes códigos:

00. Sin actuación: Solo podrá utilizarse en aquellas cuentas sobre las que no se practique ninguna actuación, por haberse cubierto la totalidad del embargo en otras cuentas incluidas en la misma diligencia.

01. Traba realizada: Este código será utilizado en aquellas cuentas en las que haya efectuado alguna retención, tanto por la totalidad del importe a embargar como por una parte del mismo.

02. NIF/CIF no titular de la cuenta comunicada por el Departamento de Hacienda y Finanzas.

03. Inexistencia de saldo: Será utilizado cuando la cuenta a embargar tenga saldo negativo o cero.

04. Saldo no disponible: Será consignado en aquellos casos en los que exista saldo en la cuenta a embargar, pero éste no resulte disponible de acuerdo con la normativa vigente (existencia de otros embargos ordenados por órganos administrativos o judiciales con anterioridad a la recepción de la diligencia por la entidad, cuentas o depósitos a plazo incluidos por error en las diligencias de embargo por parte de la Administración tributaria,…).

05. Cuenta inexistente o cancelada.

06. Otros motivos: Se utilizará cuando el embargo en la cuenta sea cero por causa distinta a las reflejadas en el resto de los códigos.

07. Traba condicionada: Se utilizará cuando difieran el saldo contable y el saldo disponible y el disponible sea menor que el contable.

La entidad deberá trabar por el disponible pero indicando como código de respuesta el 07, siempre que la traba sea parcial, lo que permitir á conocer a l Departamento de Hacienda y Finanzas la existencia de esa divergencia de saldos. La entidad deberá ingresar posteriormente el importe trabado.

II.4. Transmisión de la información de trabas desde las entidades al Departamento de Hacienda y Finanzas.

En el plazo de los cuatro días hábiles siguientes al de la fecha de recepción del fichero de diligencias, cada entidad transmisora transmitirá al Departamento de Hacienda y Finanzas el fichero que contenga la información con el resultado de las trabas.

Cuando una entidad transmisora dé servicio a varias entidades de depósito, aquél la podrá transmitir al Departamento de Hacienda y Finanzas el resultado de las trabas de cada entidad de depósito individualmente en el

momento en que las tenga disponibles, sin que sea necesario esperar al resultado de todas las entidades de depósito de las que sea transmisora. En cualquier caso, el resultado de las trabas de la totalidad de las entidades de depósito deberá ser transmitido en el plazo anteriormente señalado.

II.5. Transmisión por el Departamento de Hacienda y Finanzas a las entidades del resultado de la validación de información de trabas.

El segundo día hábil a contar desde el siguiente a la recepción del fichero de trabas por el Departamento de Hacienda y Finanzas, éste transmitirá a las entidades transmisoras el resultado de la validación de las trabas.

Dicha validación puede suponer la aceptación de las trabas o su rechazo por contener errores la información transmitida. En este último caso, la entidad dispondrá de dos días hábiles a contar desde el siguiente a la recepción del rechazo de la información para subsanar los errores detectados y transmitir de nuevo dicha información (que deberá contener nuevamente todas las trabas de ese envío para la entidad de depósito).

Cuando una entidad transmisora dé servicio a varias entidades de depósito, la aceptación o rechazo del envío de cada una de ellas es independiente.

II.6. Levantamientos de embargo.

En el caso de que en el plazo de veinte días naturales desde el día siguiente al que se produjo la traba fuese necesario levantar total o parcialmente algún embargo, el Departamento de Hacienda y Finanzas remitirá vía fax (o por medios telemá t i cos , inc luido EDITRAN, en caso de mutuo acuerdo entre la Administración tributaria y las entidades) la correspondiente orden de levantamiento a la persona de contacto designada en esta materia por la entidad respectiva, la cual procederá a liberar la traba de la cantidad o cantidades indicadas en la citada orden.

En todo caso, los órganos de recaudación del Departamento de Hacienda y Finanzas deberán remitir las órdenes de levantamiento de embargo a las entidades de depósito antes de las catorce treinta horas del día 25 o el inmediato hábil posterior de cada mes, si aquél fuera inhábil.

II.7. Ingreso en cuenta de las cantidades embargadas.

El día 25 ó el inmediato hábil posterior de cada mes, si aquél fuera inhábil, la entidad procederá a ingresar en la cuenta restringida «Diputación Foral de Gipuzkoa. Departamento de Hacienda y Finanzas. Cuenta restringida Recaudación de Tributos. Notificaciones» el importe de los saldos embargados, minorando, en su caso, las cantidades objeto de los levantamientos realizados de acuerdo con las órdenes recibidas al efecto por los órganos de recaudación del Departamento de Hacienda y Finanzas.

La operación de ingreso en la Tesorería Foral de las cantidades embargadas y la presentación a la Administración Tributaria de la Información de detalle de estos ingresos se efectuará de acuerdo con las fechas de ingreso y valoración, y fechas de entrega de documentación establecidas para los ingresos por domiciliación bancaria regulados en la Orden Foral 350/2000 de 5 de mayo (r. 00/131) por la que se desarrolla el Decreto Foral 42/2000 de 2 de mayo (r. 00/51) (BOLETÍN OFICIAL de Gipuzkoa n.º 89 de 12-5-2000).

Artículo 4. Incumplimientos.

El incumplimiento en sus propios términos del procedimiento regul ado en l a presente Orden Foral por parte de las entidades a él adheridas constituye una vulneración del deber genérico de colaboración con la Hacienda Foral y podrá, por ello, suponer la adopción por el Departamento de Hacienda y Finanzas de las medidas previstas por la normativa vigente contra la entidad de depósito que corresponda.

Artículo 5. Comisión de seguimiento.

A partir de la entrada en vigor de la presente Orden Foral, se creará una Comisión que estará integrada por siete miembros: Tres pertenecientes a la Subdirección General de Recaudación y Oficinas Tributarias designados por el Subdirector, tres pertenecientes a las Asociaciones representativas de las entidades financieras (AEB, CECA Y UNACC) y un Presidente, que será el Subdirector General de Recaudación y Oficinas Tributarias o la persona designada por éste.

Las funciones de la Comisión serán, entre otras, el seguimiento del procedimiento previsto en la presente Orden Foral, la resolución de aquellas incidencias generales que pudieran ponerse de manifiesto en aplicación del mismo y la revisión de aquellos aspectos relativos al contenido de dicho procedimiento que, por la índole de la materia, pudieran resultar susceptibles de modificación normativa.

La Comisión se reunirá una vez al año, salvo que por la naturaleza de los asuntos a tratar sus miembros a corda sen reuni r se con una mayor periodicidad.

DISPOSICIÓN DEROGATORIA

A partir de la entrada en vigor de la presente Orden Foral quedan derogadas cuantas disposiciones, de igual o inferior rango, se opongan a lo previsto en la misma.

DISPOSICIÓN FINAL

La presente Orden Foral entrará en vigor el día siguiente al de su publicación en el BOLETÍN OFICIAL de Gipuzkoa.

ANEXO

ESPECIFICACIONES TECNICAS SOBRE LOS PROCESOS DE TRANSMISION  CENTRALIZADA DE DILIGENCIAS DE EMBARGO DE CUENTAS BANCARIAS, RECEPCION DE LAS TRABAS  Y COMUNICACION DE RESULTADOS (EDITRAN)

1. Descripción general del procedimiento.

El intercambio de información mediante EDITRAN entre la Diputación Foral de Gipuzkoa a través de su Sociedad Foral de Servicios Informáticos (IZFE, S.A.) y las Entidades de Depósito para el embargo de cuentas bancarias repite todos los meses un ciclo del tipo:

———————————————————————————————

ORDENANZA Nº 13712

Artículo 1º.- Toda persona física o jurídica, por sí o por medio de su representante, tiene derecho, de conformidad con el principio de publicidad de los actos de gobierno, a solicitar y a recibir información completa, veraz, adecuada y oportuna, de cualquier órgano dependiente del Honorable Concejo Deliberante o del Departamento Ejecutivo ya sea en la administración central, Entes Descentralizados, Sociedades de Estado, Juzgados de Faltas en cuanto a su actividad administrativa y todas aquellas otras organizaciones donde la Municipalidad del Partido de General Pueyrredón tenga participación.

Artículo 2º.- A los efectos de esta ordenanza se entiende por archivo la pertenencia, la guarda o custodia de cualquier expediente, legajo, protocolo, correspondencia, memorándum, libro, plano, mapa, dibujo, diagrama, representación pictórica o gráfica, fotografía, film, microfilm, disco grabado, vídeotape, soporte magnético o digital, diskette y cualquier otro medio de almacenamiento documental existente o que sean incorporadas en el futuro independientemente de sus características o formas externas en originales o en copias.

Artículo 3º.- Asimismo, se define como información cualquier tipo de documentación que sirva de base a un acto administrativo. El órgano requerido no tiene obligación de crear o producir información al momento de efectuarse el pedido.

Artículo 4º.- Cuando el grado de complejidad de la fuente o de la información requerida lo aconseje o el interesado expresamente así lo solicite, se facilitará el acceso personal y directo a la documentación y a los funcionarios pertinentes. En todos los casos, el solicitante y la autoridad administrativa deberán evitar la perturbación o entorpecimiento del normal funcionamiento y/o atención de los servicios de la Administración Pública.

Artículo 5º.- No se suministrará información:

a. Que afecte la intimidad y/o el honor de las personas, ni Bases de Datos de domicilios, teléfonos o propiedades inmuebles.

b. De terceros que la administración hubiera obtenido en carácter confidencial y la protegida por el secreto bancario.

c. Cuya publicidad pudiera revelar la estrategia a adoptarse en la defensa o tramitación de una causa judicial o de cualquier tipo que resulte protegida por el secreto profesional.

d. Contenida en notas internas con recomendaciones u opiniones producidas como parte del proceso previo a la toma de una decisión de autoridad pública que no formen parte de los expedientes.

e. Sobre materias exceptuadas por leyes u ordenanzas específicas.

Artículo 6º.- En caso de que exista un documento que contenga en forma parcial información cuyo acceso esté limitado en los términos del artículo anterior, debe suministrarse el resto de la información solicitada.

Artículo 7º.- El acceso público a la información es gratuito en tanto no se requiera la reproducción de la misma. Los costos de reproducción son a cargo del solicitante.

Artículo 8º.- La solicitud de información debe ser realizada por escrito, con la identificación del requirente, sin estar sujeta a ninguna otra formalidad. No puede exigirse la manifestación del propósito de requisitoria. Debe entregarse al solicitante de la información una constancia del requerimiento.

Artículo 9º.- Toda solicitud de información requerida en los términos de la presente debe ser satisfecha en una plazo no mayor de diez (10) días hábiles. El plazo se podrá prorrogar en forma excepcional por igual período de mediar circunstancias que hagan difícil reunir la información solicitada. En su caso, el órgano requerido debe comunicar, antes del vencimiento del plazo de diez (10) días, las razones por las cuales hará uso de la prórroga excepcional.

Artículo 10º.- Si una vez cumplido el plazo previsto en el artículo anterior, la

demanda de información no se hubiera satisfecho o si la respuesta a la requisitoria hubiere sido ambigua o parcial, se considera que existe negativa en brindarla, quedando habilitada la acción de amparo ante cualquier juez conforme lo establecido en el artículo 20º inciso 2) de la Constitución Provincial.

Artículo 11º.- La denegatoria de la información debe ser dispuesta por un funcionario de jerarquía equivalente o superior a Director, en forma fundada explicitando la norma que ampara la negativa.

Artículo 12º.- Los funcionarios y agentes responsables que arbitrariamente y sin razón que lo justifique no hicieren entrega de la información solicitada o negaren el acceso a su fuente, la suministraren incompleta u obstaculizaren en alguna forma el cumplimiento de los objetivos de esta ordenanza serán considerados incursos en falta grave en el ejercicio de sus funciones, siéndole aplicable el régimen sancionatorio vigente.

Artículo 13º.- La presente ordenanza constituye una norma de carácter operativo no susceptible de reglamentación y debe estar visible en todos los lugares de atención al público.

Artículo 14º.- Comuníquese, etc.-

Expediente D.E.:19667-7.2000

Expediente H.C.D.:1794-J-1999

Nº de registro: O-7918

Fecha de sanción: 9 de noviembre de 2000

Fecha de promulgación: 6 de diciembre de 2000 

Publicación Boletín nº 1625 de 3 de enero de 2001 

Le Président de la République,

Sur le rapport du Premier ministre et du ministre de l'économie, des finances et de l'industrie,

Vu la Constitution, notamment son article 38 ;
Vu le règlement (CE) nº 1211/2009 du Parlement européen et du Conseil du 25 novembre 2009 instituant l'Organe des régulateurs européens des communications électroniques (ORECE) ainsi que l'Office ;
Vu la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électronique, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) nº 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l'application de la législation en matière de protection des consommateurs ;
Vu la directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l'accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu'à leur interconnexion, et 2002/20/CE relative à l'autorisation des réseaux et services de communications électroniques;
Vu le code de la consommation, notamment ses articles L. 121-15-1, L. 121-83, L. 121-84, L. 121-84-9 et L. 121-84-10;
Vu le code pénal, notamment ses articles 226-3 et 226-17;
Vu le code des postes et des communications électroniques;
Vu la loi nº 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 32 ;
Vu la loi nº 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, notamment son article 36 ;
Vu la loi nº 2011-302 du 22 mars 2011 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière de santé, de travail et de communications électroniques, notamment son article 17 ;
Vu l'avis de l'Autorité de régulation des communications électroniques et des postes en date du 10 mai 2011 ;
Vu l'avis de la Commission supérieure du service public des postes et des communications électroniques en date du 17 mai 2011 ;
Vu l'avis du Conseil supérieur de l'audiovisuel en date du 25 mai 2011 ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 9 juin 2011 ;
Le Conseil d'Etat entendu ;
Le conseil des ministres entendu,　

Ordonne :

Fait le 24 août 2011.

Nicolas Sarkozy　

Par le Président de la République :

Le Premier ministre, François Fillon

Le ministre auprès du ministre de l'économie, des finances et de l'industrie, chargé de l'industrie, de l'énergie et de l'économie numérique, Eric Besson

Le garde des sceaux, ministre de la justice et des libertés, Michel Mercier

Le ministre de l'économie, des finances et de l'industrie, François Baroin 

Propuestas de la CANIETI para la formulación de la Política Informática en México

Proyecto de ley de adhesión a la ley nacional de protección de datos personales

LA LEGISLATURA DE LA PROVINCIA SANCIONA CON FUERZA DE LEY

Artículo 1º: Objeto.

La presente Ley tiene por objeto brindar efectiva vigencia a los derechos humanos amparados por el art. 43 de la Constitución nacional y la ley de protección de datos personales 25.326, y asimismo propender a la adecuación de la estructura jurídica y administrativa de la Provincia a los requerimientos emanados de dichas normas.

Artículo 2º: Adhesión.

Adhiérese a la ley nacional de protección de datos personales 25.326, de conformidad con lo prescripto en su art. 44 y con relación a normas en ella contenidas que no son de aplicación obligatoria en todo el territorio nacional; en concreto respecto de los arts. 30 (códigos de conducta), y 31 (sanciones administrativas).

Artículo 3º: Autoridad de Aplicación.

1. Desígnase como Autoridad de Aplicación de la presente Ley a la «Contraloría General de Protección de datos personales», la que se instituye como órgano de control extra poderes y la que será dotada de las atribuciones necesarias a fin de cumplir con los objetivos declarados en la ley nacional nº 25.326 y la presente.

2. La Contraloría gozará de autonomía funcional, tendrá la integración que determine la reglamentación, y será dirigida y administrada por un funcionario designado por el término de cuatro (4) años, por el Poder Ejecutivo con acuerdo de la Asamblea Legislativa.

3. El titular de la Contraloría, que será seleccionado por concurso público entre personas con antecedentes en la materia, tendrá dedicación exclusiva en su función, encontrándose alcanzado por las incompatibilidades fijadas por ley para los funcionarios públicos y sólo podrá ser removido por el voto de las dos terceras partes de la totalidad de los miembros de cada cámara por mal desempeño de sus funciones.

Artículo 4º: Funciones.

Corresponde a la Contraloría, además de las funciones que le adicione la reglamentación:
1. Realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente ley, en especial respecto de las bases y bancos de datos del sector público creados en la provincia, con excepción de los nacionales, y de los privados que excedan del uso estrictamente personal y no estén interconectados en redes interjurisdiccionales nacionales o internacionales.

2. Actuar en coordinación con el órgano de control designado por la ley 25.326, en especial respecto de los bancos de datos públicos nacionales y de los privados interconectados en redes interjurisdiccionales, nacionales o internacionales, pudiendo a tal efecto integrar la redes federales o internacionales de Protección de datos personales en cuanto fuera necesario para dar vigencia efectiva a los derechos comprometidos en el tratamiento de datos personales.

3. Establecer los requisitos y procedimientos que deberán cumplimentar los archivos, registros, bases o bancos de datos personales alcanzados por la ley 25.326 que estén fuera de la jurisdicción del órgano de control creado por aquella, y autorizar y habilitar su creación, uso y funcionamiento.

4. Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley.

5. Realizar un censo de archivos, registros o bancos de datos alcanzados por la ley y mantener el registro permanente de los mismos, el que será de acceso gratuito por los interesados.

6. Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los sistemas de información alcanzados por la ley. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones.

7. Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados.

8. Imponer las sanciones administrativas que en su caso correspondan por violación a las normas de la ley 25.326, de la presente ley y de las reglamentaciones que se dicten en consecuencia de ellas, en los casos en que los titulares, usuarios o encargados del tratamiento en los casos de los archivos, registros, bases o bancos de datos no alcanzados por la ley 25.326, incurrieran en las infracciones descriptas en el art. 31 de aquélla, en concreto los sistemas de información de titularidad privada no interconectados en redes interjurisdiccionales, nacionales o internacionales, y los archivos, registros, bases o bancos de datos del sector público de la Provincia de Santa Fe, entendiéndose por éstos a todos los de titularidad provincial, municipal o comunal, ya sea que pertenezcan a la administración central, descentralizada, de entes autárquicos, Empresas y Sociedades del Estado, sociedades anónimas con participación estatal mayoritaria, sociedades de economía mixta y todas aquellas otras organizaciones empresariales donde la provincia de Santa Fe, sus municipios o comunas tengan participación en el capital o en la formación de las decisiones societarias, pertenezcan al Poder Ejecutivo, Legislativo o Judicial, o a cualquiera de los demás órganos establecidos por la Constitución provincial.

9. Establecer los casos en que existe nivel de protección adecuado a los fines de la transferencia interjurisdiccional de datos personales.

10. Homologar los códigos de conducta que se presenten a su aprobación.

11. Formular advertencias, recomendaciones, recordatorios y propuestas a los responsables, usuarios y encargados de archivos, registros, bases o bancos de datos del sector público y privado.

12. Proponer la iniciación de procedimientos disciplinarios contra quien estime responsable de la comisión de infracciones al régimen de protección de datos personales.

13. Elaborar informes sobre los proyectos de Ley de la Legislatura provincial que de alguna forma tengan impacto en el derecho a la protección de los datos personales.

14. Elevar un informe anual a la Legislatura sobre el desarrollo de la protección de los datos personales en la Provincia de Santa Fe.

15. Recibir denuncias sobre violaciones a la presente ley o a la ley 25.326, tramitándolas en su seno o derivándolas al órgano competente.

16. Asistir y asesorar a las personas que lo requieran acerca de los alcances de las normas sobre protección de datos personales y de los medios legales de que disponen para la defensa de sus derechos.

17. Formular denuncias y reclamos judiciales por sí, cuando tuviere conocimiento de manifiestos incumplimientos respecto de las reglas de tratamiento de datos personales por parte de los sujetos obligados a su observancia.

18. Articular la acción de hábeas data respecto del tratamiento de masivo de datos personales en contravención de las reglas vigentes al respecto.

19. Desarrollar cuantas otras funciones le sean atribuidas por normas legales o reglamentarias.

Artículo 5º: Transferencia interprovincial.

1. Es prohibida la transferencia de datos personales a cualquier provincia o municipio cuya administración pública no proporcione niveles de protección adecuados a los establecidos por la Ley Nacional 25.326 y la presente ley.

2. La prohibición no regirá en los supuestos de colaboración judicial interjurisdiccional y en los previstos en el art. 12 de la ley 25.326.

Artículo 6º: Acción de hábeas data.

Por vía de esta acción se podrá demandar la plena vigencia del derecho a la protección de los datos de carácter personal, la que procederá:

a) para tomar conocimiento de los datos, de su finalidad, de la forma en que se encuentran tratados, del autor de los mismos, y de las transferencias que se hubieren realizado, cuando éstos se encuentren almacenados en archivos, registros, bases o bancos públicos de datos, o en los privados que excedan del uso exclusivamente personal;

b) para operar sobre los datos o sobre los sistemas de información en los casos en que se acredite el tratamiento ilegal o arbitrario de aquellos, de conformidad con lo dispuesto en los artículos siguientes.

Artículo 7º: Procedimiento.

La acción de hábeas data se sujetará al procedimiento que a continuación se establece, y se regirá subsidiariamente por las reglas referentes al amparo individual o, en su caso, el colectivo, según la naturaleza y características de la acción incoada, en todo aquello que no neutralice o disminuya el carácter expedito, rápido y tuitivo de la acción.

Artículo 8º: Legitimación activa.

La acción de hábeas data podrá ser interpuesta por el afectado, de manera individual o en representación sectorial o colectiva; el Defensor del Pueblo; el titular de la Contraloría; el Ministerio Público; las asociaciones sectoriales entre cuyas finalidades estatutarias se incluya la defensa de los derechos que se pretendan tutelar con la demanda, y las organizaciones no gubernamentales destinadas a los fines específicos por cuya tutela se demande.

En el caso de personas fallecidas o ausentes, podrá ser incoada por los sucesores universales de las personas físicas, y por sus herederos en línea directa o colateral hasta el segundo grado.

Artículo 9º: Legitimación pasiva.

La acción procederá respecto de los tratantes de datos de carácter personal cuyo sistema de información exceda del uso exclusivamente personal.

Artículo 10: Competencia.

Será competente para entender en esta acción el juez del domicilio del actor; el del domicilio del demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del actor.

Procederá la competencia provincial:

a) cuando la demanda no se interponga contra de archivos de datos públicos de organismos nacionales, y

b) cuando los sistemas de información no se encuentren interconectados en redes interjurisdiccionales, nacionales o internacionales.

Artículo 11: Requisitos de la demanda.

La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el sistema de información sobre el que se pretende operar, y, en su caso, el nombre de su responsable.

En el caso de los sistemas públicos de información, se procurará establecer el organismo estatal del cual dependen.

El accionante deberá alegar las razones por las cuales entiende que en el archivo, registro o banco de datos individualizado obra información referida a su persona; los motivos por los cuales considera que la información que le atañe resulta lesiva, y justificar que se han cumplido los recaudos que hacen al ejercicio de los derechos que le reconoce la ley 25.326.

Artículo 12: Trámite.

Admitida la acción el juez requerirá al archivo, registro o banco de datos la remisión de la información concerniente al accionante. Podrá asimismo solicitar informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime procedente.

El plazo para contestar el informe será fijado prudencialmente por el juez tratando de no exceder de cinco días hábiles.

Artículo 13º: Excepciones al derecho de acceso.

Los registros, archivos o bancos de datos privados no podrán alegar la confidencialidad de la información que se les requiere salvo el caso en que se afecten las fuentes de información periodística.

Cuando un archivo, registro o banco de datos público se oponga a la remisión del informe solicitado con invocación de las excepciones al derecho de acceso, rectificación o supresión, autorizadas por la ley, deberá acreditar los extremos que hacen aplicable la excepción legal. En tales casos, el juez podrá tomar conocimiento personal y directo de los datos solicitados asegurando el mantenimiento de su confidencialidad.

Artículo 14: Medidas cautelares específicas.

El afectado podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente que la información cuestionada está sometida a un proceso judicial.

Cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la información de que se trate, el Juez podrá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo del juicio.

Artículo 15: Contestación del informe.

Al contestar el informe, el archivo, registro o banco de datos deberá expresar las razones por las cuales incluyó la información cuestionada y aquellas por las que no evacuó el pedido efectuado por el interesado, de conformidad a lo establecido en los artículos 13 a 15 de la ley 25.326.

Artículo 16: Ampliación de la demanda.

Contestado el informe, el actor podrá, en el término de tres días, ampliar el objeto de la demanda solicitando se realicen las operaciones sobre los datos o sobre los sistemas de información que considere pertinentes, ofreciendo en el mismo acto la prueba pertinente. De esta presentación se dará traslado al demandado por el término de tres días.

Artículo 17: Sentencia.

Vencido el plazo para la contestación del informe o contestado el mismo, y en el supuesto ampliación, luego de contestada ésta, y habiendo sido producida en su caso la prueba, el juez dictará sentencia.

En el caso de estimarse procedente la acción, se especificará si la información debe ser modificada, estableciendo un plazo para su cumplimiento.

El rechazo de la acción no constituye presunción respecto de la responsabilidad en que hubiera podido incurrir el demandante.

Artículo 18: Reglamentación.

La presente Ley deberá ser reglamentada dentro de los noventa (90) días a contar desde su sanción.

Artículo 19: Vigencia.

La presente Ley entrará en vigencia desde el día de su publicación en el Boletín Oficial de la Provincia.

Artículo 20: Disposiciones Finales.

Autorízase al Poder Ejecutivo para efectuar en el Presupuesto para el ejercicio vigente las adecuaciones presupuestarias que resulten pertinentes para el cumplimiento de la presente Ley.

Artículo 21: Comuníquese al Poder Ejecutivo.

Señor Presidente:

Como consecuencia de la reglamentación del art. 43 de la Constitución nacional, realizada por la ley 25.326 (de protección de datos personales), existen a la fecha normas de aplicación obligatoria en las provincias (art. 44, párr. 1°) y otras a las que éstas deben adherir (art. 44, párr. 2°), a fin de que las reglas pergeñadas por el constituyente y el legislador nacional tengan aplicación efectiva en todo el territorio nacional.

Para ello, la Provincia de Santa Fe debe dictar una serie de normas, en especial respecto de los mecanismos de control que deben llevarse a cabo, tanto en la esfera administrativa, como en la judicial, lo que requiere, por un lado, de la creación de un órgano de control con fuerte independencia del Poder Ejecutivo (que sin embargo interviene en su designación) y, por el otro, de la adecuación de las reglas procesales vigentes, en concreto a través de la creación de la figura del hábeas data, ausente en nuestra legislación provincial pese a su incorporación, desde hace más de una década, en el art. 43 de la Constitución nacional.

Por tal motivo, se promueve la adhesión, del modo que se propone en este proyecto, a la mayoría de las normas emanadas de la ley 25.326 que no son de aplicación obligatoria en todo el territorio nacional y que no presentan incompatibilidad alguna con la legislación local, creando entonces la Contraloría de Datos Personales e incorporando legislativamente la figura de la acción de hábeas data, con perfiles similares al establecido en el plano nacional.

Por lo expuesto, se solicita a las Sras. y Sres. Diputados el acompañamiento de la presente iniciativa.

Lic. MARCELO LUIS GASTALDI

DIPUTADO PROVINCIAL PJ

COUNCIL OF EUROPE

COMMITTEE OF MINISTERS

RECOMMENDATION nº R (87) 15

OF THE COMMITTEE OF MINISTERS TO MEMBER STATES

REGULATING THE USE OF PERSONAL DATA IN THE POLICE SECTOR (1)

(Adopted by the Committee of Ministers on 17 September 1987 at the 410th meeting of the Ministers' Deputies)

The Committee of Ministers, under the terms of Article 15.b of the Statute of the Council of Europe,

Considering that the aim of the Council of Europe is to achieve a greater unity between its members;

Aware of the increasing use of automatically processed personal data in the police sector and of the possible benefits obtained through the use of computers and other technical means in this field;

Taking account also of concern about the possible threat to the privacy of the individual arising through the misuse of automated processing methods;

Recognising the need to balance the interests of society in the prevention and suppression of criminal offences and the maintenance of public order on the one hand and the interests of the individual and his right to privacy on the other;

Bearing in mind the provisions of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 28 January 1981 and in particular the derogations permitted under Article 9;

Aware also of the provisions of Article 8 of the Convention for the Protection of Human Rights and Fundamental Freedoms,

Recommends the governments of member states to:

– be guided in their domestic law and practice by the principles appended to this recommendation, and

– ensure publicity for the provisions appended to this recommendation and in particular for the rights which its application confers on individuals.

Appendix to Recommendation nº R (87) 15

Scope and definitions

The principles contained in this recommendation apply to the collection, storage, use and communication of personal data for police purposes which are the subject of automatic processing.

For the purposes of this recommendation, the expression «personal data» covers any information relating to an identified or identifiable individual. An individual shall not be regarded as «identifiable» if identification requires an unreasonable amount of time, cost and manpower.

The expression «for police purposes» covers all the tasks which the police authorities must perform for the prevention and suppression of criminal offences and the maintenance of public order.

The expression «responsible body» (controller of the file) denotes the authority, service or any other public body which is competent according to national law to decide on the purpose of an automated file, the categories of personal data which must be stored and the operations which are to be applied to them.

A member state may extend the principles contained in this recommendation to personal data not undergoing automatic processing.

Manual processing of data should not take place if the aim is to avoid the provisions of this recommendation.

A member state may extend the principles contained in this recommendation to data relating to groups of persons, associations, foundations, companies, corporations or any other body consisting directly or indirectly of individuals, whether or not such bodies possess legal personality.

The provisions of this recommendation should not be interpreted as limiting or otherwise affecting the possibility for a member state to extend, where appropriate, certain of these principles to the collection, storage and use of personal data for purposes of state security.

Basic principles

Principle 1 .- Control and notification

1.1. Each member state should have an independent supervisory authority outside the police sector which should be responsible for ensuring respect for the principles contained in this recommendation.

1.2. New technical means for data processing may only be introduced if all reasonable measures have been taken to ensure that their use complies with the spirit of existing data protection legislation.

1.3. The responsible body should consult the supervisory authority in advance in any case where the introduction of automatic processing methods raises questions about the application of this recommendation.

1.4. Permanent automated files should be notified to the supervisory authority. The notification should specify the nature of each file declared, the body responsible for its processing, its purposes, the type of data contained in the file and the persons to whom the data are communicated.

Ad hoc files which have been set up at the time of particular inquiries should also be notified to the supervisory authority either in accordance with the conditions settled with the latter, taking account of the specific nature of these files, or in accordance with national legislation.

Principle 2 .- Collection of data

2.1. The collection of personal data for police purposes should be limited to such as is necessary for the prevention of a real danger or the suppression of a specific criminal offence. Any exception to this provision should be the subject of specific national legislation.

2.2. Where data concerning an individual have been collected and stored without his knowledge, and unless the data are deleted, he should be informed, where practicable, that information is held about him as soon as the object of the police activities is no longer likely to be prejudiced.

2.3. The collection of data by technical surveillance or other automated means should be provided for in specific provisions.

2.4. The collection of data on individuals solely on the basis that they have a particular racial origin, particular religious convictions, sexual behaviour or political opinions or belong to particular movements or organisations which are not proscribed by law should be prohibited. The collection of data concerning these factors may only be carried out if absolutely necessary for the purposes of a particular inquiry.

Principle 3 .- Storage of data

3.1. As far as possible, the storage of personal data for police purposes should be limited to accurate data and to such data as are necessary to allow police bodies to perform their lawful tasks within the framework of national law and their obligations arising from international law.

3.2. As far as possible, the different categories of data stored should be distinguished in accordance with their degree of accuracy or reliability and, in particular, data based on facts should be distinguished from data based on opinions or personal assessments.

3.3. Where data which have been collected for administrative purposes are to be stored permanently, they should be stored in a separate file. In any case, measures should be taken so that administrative data are not subject to rules applicable to police data.

Principle 4 .- Use of data by the police

4. Subject to Principle 5, personal data collected and stored by the police for police purposes should be used exclusively for those purposes.

Principle 5 .- Communication of data

5.1. Communication within the police sector

The communication of data between police bodies to be used for police purposes should only be permissible if there exists a legitimate interest for such communication within the framework of the legal powers of these bodies.

5.2.i. Communication to other public bodies Communication of data to other public bodies should only be permissible if, in a particular case:

a. there exists a clear legal obligation or authorisation, or with the authorisation of the supervisory authority, or if

b. these data are indispensable to the recipient to enable him to fulfil his own lawful task and provided that the aim of the collection or processing to be carried out by the recipient is not incompatible with the original processing, and the legal obligations of the communicating body are not contrary to this.

5.2.ii. Furthermore, communication to other public bodies is exceptionally permissible if, in a particular case:

a. the communication is undoubtedly in the interest of the data subject and either the data subject has consented or circumstances are such as to allow a clear presumption of such consent, or if

b. the communication is necessary so as to prevent a serious and imminent danger.

5.3.i. Communication to private parties

The communication of data to private parties should only be permissible if, in a particular case, there exists a clear legal obligation or authorisation, or with the authorisation of the supervisory authority.

5.3.ii. Communication to private parties is exceptionally permissible if, in a particular case:

a. the communication is undoubtedly in the interest of the data subject and either the data subject has consented or circumstances are such as to allow a clear presumption of such consent, or if

b. the communication is necessary so as to prevent a serious and imminent danger.

5.4. International communication

Communication of data to foreign authorities should be restricted to police bodies. It should only be permissible:

a. if there exists a clear legal provision under national or international law,

b. in the absence of such a provision, if the communication is necessary for the prevention of a serious and imminent danger or is necessary for the suppression of a serious criminal offence under ordinary law, and provided that domestic regulations for the protection of the person are not prejudiced.

5.5.i. Requests for communication

Subject to specific provisions contained in national legislation or in international agreements, requests for communication of data should provide indications as to the body or person requesting them as well as the reason for the request and its objective.

5.5.ii. Conditions for communication

As far as possible, the quality of data should be verified at the latest at the time of their communication. As far as possible, in all communications of data, judicial decisions, as well as decisions not to prosecute, should be indicated and data based on opinions or personal assessments checked at source before being communicated and their degree of accuracy or reliability indicated.

If it is discovered that the data are no longer accurate and up to date, they should not be communicated. If data which are no longer accurate or up to date have been communicated, the communicating body should inform as far as possible all the recipients of the data of their non-conformity.

5.5.iii. Safeguards for communication

The data communicated to other public bodies, private parties and foreign authorities should not be used for purposes other than those specified in the request for communication.

Use of the data for other purposes should, without prejudice to paragraphs 5.2 to 5.4 of this principle, be made subject to the agreement of the communicating body.

5.6. Interconnection of files and on-line access to files

The interconnection of files with files held for different purposes is subject to either of the following conditions:

a. the grant of an authorisation by the supervisory body for the purposes of an inquiry into a particular offence, or

b. in compliance with a clear legal provision.

Direct access/on-line access to a file should only be allowed if it is in accordance with domestic legislation which should take account of Principles 3 to 6 of this recommendation.

Principle 6 .- Publicity, right of access to police files, right of rectification and right of appeal

6.1. The supervisory authority should take measures so as to satisfy itself that the public is informed of the existence of files which are the subject of notification as well as of its rights in regard to these files. Implementation of this principle should take account of the specific nature of ad hoc files, in particular the need to avoid serious prejudice to the performance of a legal task of the police bodies.

6.2. The data subject should be able to obtain access to a police file at reasonable intervals and without excessive delay in accordance with the arrangements provided for by domestic law.

6.3. The data subject should be able to obtain, where appropriate, rectification of his data which are contained in a file.

Personal data which the exercise of the right of access reveals to be inaccurate or which are found to be excessive, inaccurate or irrelevant in application of any of the other principles contained in this recommendation should be erased or corrected or else be the subject of a corrective statement added to the file.

Such erasure or corrective measures should extend as far as possible to all documents accompanying the police file and, if not done immediately, should be carried out, at the latest, at the time of subsequent processing of the data or of their next communication.

6.4. Exercise of the rights of access, rectification and erasure should only be restricted insofar as a restriction is indispensable for the performance of a legal task of the police or is necessary for the protection of the data subject or the rights and freedoms of others.

In the interests of the data subject, a written statement can be excluded by law for specific cases.

6.5. A refusal or a restriction of those rights should be reasoned in writing. It should only be possible to refuse to communicate the reasons insofar as this is indispensable for the performance of a legal task of the police or is necessary for the protection of the rights and freedoms of others.

6.6. Where access is refused, the data subject should be able to appeal to the supervisory authority or to another independent body which shall satisfy itself that the refusal is well founded.

Principle 7 .- Length of storage and updating of data

7.1. Measures should be taken so that personal data kept for police purposes are deleted if they are no longer necessary for the purposes for which they were stored.

For this purpose, consideration shall in particular be given to the following criteria: the need to retain data in the light of the conclusion of an inquiry into a particular case; a final judicial decision, in particular an acquittal; rehabilitation; spent convictions; amnesties; the age of the data subject, particular categories of data.

7.2. Rules aimed at fixing storage periods for the different categories of personal data as well as regular checks on their quality should be established in agreement with the supervisory authority or in accordance with domestic law.

Principle 8 .- Data security

8. The responsible body should take all the necessary measures to ensure the appropriate physical and logical security of the data and prevent unauthorised access, communication or alteration.

The different characteristics and contents of files should, for this purpose, be taken into account.

——————————————————————————————————————

(1). When this recommendation was adopted:

– in accordance with Article 10.2.c of the Rules of Procedure for the meetings of the Ministers' Deputies, the Representative of Ireland reserved the right of his Government to comply with it or not, the Representative of the United Kingdom reserved the right of her Government to comply or not with Principles 2.2 and 2.4 of the recommendation, and the Representative of the Federal Republic of Germany reserved the right of his Government to comply or not with Principle 2.1 of the recommendation;

– in accordance with Article 10.2.d of the said Rules of Procedure, the Representative of Switzerland abstained, stating that he reserved the right of his Government to comply with it or not and underlining that his abstention should not be interpreted as expressing disapproval of the recommendation as a whole.

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea y, en particular, sus artículos 95 y 133,

Vista la propuesta de la Comisión,

Visto el dictamen del Comité Económico y Social Europeo (1), Previa consulta al Comité de las Regiones, De conformidad con el procedimiento establecido en el artículo 251 del Tratado (2),

Considerando lo siguiente:

(1) Es necesario garantizar que los productos que se benefician de la libre circulación de mercancías en la Comunidad cumplen los requisitos que proporcionan un elevado nivel de protección del interés público en ámbitos como la salud y seguridad en general, la salud y seguridad en el trabajo, la protección de los consumidores, la protección del medio ambiente y la seguridad, al mismo tiempo que la libre circulación de los productos no se restringe más de lo permitido por la legislación comunitaria de armonización y otras normas comunitarias pertinentes. Por lo tanto, deben preverse normas en lo concerniente a la acreditación, la vigilancia del mercado, los controles de los productos procedentes de terceros países y el marcado CE.

(2) Es necesario establecer un marco general de principios y normas en materia de acreditación y vigilancia del mercado.

Dicho marco no debe afectar a las normas sustantivas de la legislación existente por las que se establecen las disposiciones que deben observarse para proteger los intereses públicos de la salud, la seguridad y la protección de los consumidores y del medio ambiente, sino que debe tener por objeto aumentar la eficacia de su aplicación.

(3) El presente Reglamento debe considerarse complementario de la Decisión nº 768/2008/CE del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre un marco común para la comercialización de los productos (3).

(4) Es muy difícil adoptar un acto legislativo comunitario para cada producto existente o que se pueda crear; se necesita un marco legislativo horizontal amplio para regular esos productos, colmar las lagunas existentes, en particular mientras se efectúa la revisión de la legislación específica existente, y para complementar las disposiciones de la legislación específica actual o futura, con el objetivo concreto de asegurar un nivel elevado de protección de la salud, la seguridad, el medio ambiente y los consumidores, según prevé el artículo 95 del Tratado.

(5) El marco de vigilancia del mercado establecido por el presente Reglamento debe complementar y reforzar las disposiciones vigentes en la legislación comunitaria de armonización en materia de vigilancia del mercado y de aplicación de la misma. Sin embargo, de conformidad con el principio de lex specialis, el presente Reglamento debe aplicarse solamente en la medida en que no haya otras disposiciones que tengan igual objetivo, naturaleza o efecto en otras disposiciones de la legislación comunitaria de armonización existentes o futuras. Pueden encontrarse ejemplos en los siguientes sectores: precursores de drogas, productos sanitarios, medicamentos para uso humano y veterinario, vehículos de motor y aviación. Por lo tanto, las disposiciones correspondientes del presente Reglamento no deben aplicarse en los ámbitos cubiertos por tales disposiciones específicas.

(6) La Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 de diciembre de 2001, relativa a la seguridad general de los productos (4), estableció normas para garantizar la seguridad de los productos destinados al consumo. Las autoridades de vigilancia del mercado deben tener la posibilidad de acogerse a las medidas más específicas que proporciona dicha Directiva.

(7) Sin embargo, con el fin de conseguir una mayor seguridad para los productos destinados al consumo, se deben reforzar los mecanismos de vigilancia del mercado establecidos en la Directiva 2001/95/CE para los productos que planteen riegos graves, de acuerdo con los principios establecidos en el presente Reglamento. Por tanto, debe modificarse la Directiva 2001/95/CE en consecuencia.

(8) La acreditación forma parte de un sistema global, que incluye también la evaluación de la conformidad y la vigilancia del mercado, diseñado para evaluar y garantizar la conformidad con los requisitos aplicables.

(9) La especial importancia de la acreditación radica en que ofrece una declaración oficial de la competencia técnica de los organismos encargados de velar por la conformidad con los requisitos aplicables.

(10) Aunque hasta ahora no estaba regulada a escala comunitaria, la acreditación se lleva a cabo en todos los Estados miembros. Al no existir normas comunes para esa actividad, en la Comunidad se utilizan enfoques y sistemas diferentes, por lo que el nivel de rigor aplicado en la actividad de acreditación varía de un Estado miembro a otro. Por tanto, es necesario elaborar un marco global para la acreditación y para fijar a escala comunitaria los principios de su funcionamiento y organización.

(11) La creación de un organismo nacional de acreditación uniforme debe realizarse sin perjuicio del reparto de funciones en el seno de los Estados miembros.

(12) Cuando la legislación comunitaria de armonización prevea la selección de organismos de evaluación de la conformidad para su aplicación, la acreditación transparente tal como se dispone en el marco del presente Reglamento, para garantizar el nivel necesario de confianza en los certificados de conformidad, debe considerarse, por las autoridades públicas nacionales en toda la Comunidad, como el medio preferente de demostrar la competencia técnica de dichos organismos. No obstante, las autoridades nacionales pueden estimar que cuentan con los medios adecuados para llevar a cabo esta evaluación por sí solas. En tales casos, con el fin de garantizar el nivel adecuado de credibilidad de evaluaciones llevadas a cabo por otras autoridades nacionales, deben aportar a la Comisión y a los demás Estados miembros las pruebas documentales necesarias de que los organismos de evaluación de la conformidad evaluados cumplen con los requisitos reglamentarios pertinentes.

(13) Un sistema de acreditación que funciona conforme a normas vinculantes ayuda a reforzar la confianza recíproca de los Estados miembros en cuanto a la competencia de los organismos de evaluación de la conformidad y, en consecuencia, en los certificados e informes de ensayo que expiden. De esta forma, se potencia el principio de reconocimiento mutuo y, por ello, deben aplicarse las disposiciones del presente Reglamento en materia de acreditación a los organismos que realicen evaluaciones de la conformidad tanto en los ámbitos regulados como en los no regulados. Lo importante es velar por la calidad de los certificados e informes de ensayo, con independencia de si corresponden al ámbito regulado o al no regulado, y, por tanto, no debe hacerse distinción entre dichos ámbitos.

(14) A efectos del presente Reglamento, la actuación de los organismos nacionales de acreditación sin fines lucrativos debe entenderse como una actividad que no pretenda acrecentar las ganancias de los recursos de los propietarios o miembros de los organismos. Si bien estos organismos nacionales de acreditación no tienen como objetivo la maximización o la distribución de los beneficios, podrán proporcionar servicios a cambio de pagos o percibir ingresos. Cualquier excedente de ingresos que se derive de estos servicios podrá utilizarse para aumentar sus actividades, siempre que estén en línea con sus actividades principales. En consecuencia, cabe destacar que el objetivo principal de los organismos nacionales de acreditación debe ser apoyar o participar activamente en actividades que no pretendan ganancias.

(15) Dado que el objetivo de la acreditación es proporcionar una declaración oficial de la competencia de un organismo para ejercer actividades de evaluación de la conformidad, los Estados miembros no deben mantener más de un organismo nacional de acreditación y deben velar por que dicho organismo se organice de forma que preserve la objetividad e imparcialidad de sus actividades. Tales organismos nacionales de acreditación deben operar independientemente de sus actividades comerciales de evaluación de la conformidad. Por tanto, es necesario prever que los Estados miembros velen por que se dote a los organismos nacionales de acreditación, de autoridad pública para el ejercicio de la actividad de acreditación, con independencia de su personalidad jurídica.

(16) Para evaluar y controlar permanentemente la competencia de un organismo de evaluación de la conformidad, es esencial determinar su experiencia y conocimientos tecnológicos, así como su capacidad para realizar evaluaciones. Por tanto, es necesario que el organismo nacional de acreditación posea los conocimientos, la competencia y los medios pertinentes para ejercer adecuadamente sus tareas.

(17) En principio, la acreditación debe gestionarse como actividad autosuficiente. Los Estados miembros deben velar por que exista apoyo financiero para llevar a cabo tareas especiales.

(18) Si para un Estado miembro no es económicamente oportuno o viable crear un organismo nacional de acreditación, dicho Estado miembro debe poder recurrir al organismo nacional de acreditación de otro Estado miembro y se le debe animar a aprovechar todo lo posible dicho recurso.

(19) La competencia entre los organismos nacionales de acreditación podría dar lugar a una comercialización de su actividad que, por lo tanto, sería incompatible con su papel de último nivel de control de la cadena de evaluación de la conformidad. El objetivo del presente Reglamento es garantizar que, dentro de la Unión Europea, un certificado de acreditación baste para todo el territorio de la Unión, así como evitar la acreditación múltiple, que supone un coste añadido sin valor añadido. Los organismos nacionales de acreditación pueden competir en los mercados de terceros países, pero esto no debe afectara sus actividades en el seno de la Comunidad, ni en las actividades de cooperación y evaluación por pares organizadas por el organismo reconocido en el presente Reglamento.

(20) Para evitar la acreditación múltiple, incentivar la aceptación y el reconocimiento de los certificados de acreditación, y para controlar de forma eficaz a los organismos de evaluación de la conformidad acreditados, estos deben solicitar la acreditación al organismo nacional de acreditación del Estado miembro en el que están establecidos. Sin embargo, es necesario garantizar que un organismo de evaluación de la conformidad pueda solicitar acreditarse en otro Estado miembro si en el suyo no hay ningún organismo nacional de acreditación o si este no posee competencias para prestar los servicios de acreditación solicitados. En estos casos, debe existir una cooperación y un intercambio de información adecuados entre los organismos nacionales de acreditación.

(21) Para garantizar que los organismos nacionales de acreditación cumplen los requisitos y las obligaciones que exige el presente Reglamento, es importante que los Estados miembros presten apoyo al buen funcionamiento del sistema de acreditación, controlen regularmente a sus organismos nacionales de acreditación y, en su caso, adopten las medidas correctivas necesarias dentro de un plazo razonable.

(22) Para garantizar la equivalencia del nivel de competencia de los organismos de evaluación de la conformidad, facilitar el reconocimiento mutuo y fomentar la aceptación general de los certificados de acreditación y de los resultados de la evaluación de la conformidad expedidos por los organismos acreditados, es necesario que los organismos nacionales de acreditación apliquen un sistema riguroso y transparente de evaluación por pares y se sometan periódicamente a dicha evaluación.

(23) El presente Reglamento debe prever que se reconozca a una única organización a nivel europeo para determinadas funciones en el ámbito de la acreditación. La Cooperación Europea para la Acreditación («la EA»), cuya misión principal es fomentar que se aplique un sistema transparente y orientado hacia la calidad para evaluar las competencias de los organismos de evaluación de la conformidad en Europa, gestiona un sistema de evaluación por pares que abarca los organismos nacionales de acreditación de todos los Estados miembros y de otros países europeos. Se ha demostrado que este sistema es eficaz y ofrece confianza recíproca. Por tanto, la EA debe ser el organismo reconocido inicialmente en el presente Reglamento y los Estados miembros deben velar por que sus organismos nacionales de acreditación soliciten ser miembros de la EA y sigan siéndolo mientras la EA siga estando reconocida. Al mismo tiempo, debe preverse la posibilidad de cambios en el organismo competente reconocido en virtud del presente Reglamento, para el caso de que ello sea necesario en un futuro.

(24) Para aplicar adecuadamente la evaluación por pares y la acreditación transfronteriza, es esencial una cooperación eficaz entre los organismos nacionales de acreditación. Por tanto, en aras de la transparencia, resulta necesario exigir a los organismos nacionales de acreditación que intercambien información entre ellos y faciliten la información pertinente a las autoridades nacionales y a la Comisión. Asimismo, es preciso hacer pública (y, por tanto, accesible a los organismos de evaluación de la conformidad) información actualizada y exacta sobre la disponibilidad de las actividades de acreditación ofrecidas por los organismos nacionales de acreditación.

(25) Los esquemas de acreditación sectoriales deben abarcar los ámbitos de actividad en los que los requisitos generales de competencia que deben cumplir los organismos de evaluación de la conformidad no bastan para garantizar el nivel necesario de protección cuando se imponen requisitos específicos detallados en materia de tecnología o relativos a la salud y seguridad. Dado que la EA dispone de un amplio abanico de conocimientos técnicos, como organismo reconocido inicialmente en virtud del presente Reglamento, se le debe solicitar que desarrolle tales esquemas, especialmente en ámbitos regulados por la legislación comunitaria.

(26) Para garantizar una aplicación homogénea y coherente de la legislación comunitaria de armonización, el presente Reglamento establece un marco comunitario de vigilancia del mercado en el que se definen los requisitos mínimos en función de los objetivos que deben alcanzar los Estados miembros y un marco de cooperación administrativa que incluye el intercambio de información entre Estados miembros.

(27) En el caso de operadores económicos que tengan informes de ensayo o certificados que demuestren la conformidad y que hayan sido emitidos por un organismo de evaluación de la conformidad acreditado, aun cuando en la legislación comunitaria de armonización correspondiente no se requieran tales informes o certificados, las autoridades de vigilancia del mercado deben tenerlos debidamente en cuenta al realizar controles de las características de los productos.

(28) La cooperación entre las autoridades competentes a escala nacional y transfronteriza para intercambiar información, investigar infracciones y adoptar medidas para ponerles fin, incluso antes de la comercialización de los productos peligrosos, reforzando su identificación, especialmente en los puertos marítimos, es esencial para proteger la salud y la seguridad y garantizar el buen funcionamiento del mercado interior. Las autoridades nacionales de protección de los consumidores deben cooperar, a nivel nacional, con las autoridades nacionales de vigilancia del mercado e intercambiar información con estas sobre los productos de los que sospechen que plantean riesgos.

(29) Para la evaluación del riesgo se deben tener en cuenta todos los datos relevantes, incluidos, en caso de que estén disponibles, datos sobre riesgos que se hayan materializado en relación con el producto de que se trate. Se deben tener en cuenta, asimismo, cualesquiera medidas que los agentes económicos afectados hayan podido adoptar para reducir los riesgos.

(30) Cuando un producto plantea un riesgo grave, es necesario intervenir rápidamente, lo que puede implicar que el producto sea retirado del mercado o recuperado, o que se prohíba su comercialización. En esas situaciones, es necesario poder recurrir a un sistema de intercambio rápido de información entre los Estados miembros y la Comisión. El sistema previsto en el artículo 12 de la Directiva 2001/95/CE ha demostrado su eficacia y eficiencia en el ámbito de los productos de consumo. Para evitar una duplicación innecesaria, debe utilizarse dicho sistema a efectos del presente Reglamento. Además, la vigilancia del mercado coherente en toda la Comunidad requiere un intercambio completo de información sobre las actividades nacionales en la materia, más allá del presente sistema.

(31) La información que intercambian las autoridades competentes debe respetar las garantías más absolutas de confidencialidad y secreto profesional y ha de tratarse con arreglo a las normas en materia de confidencialidad de conformidad con el Derecho interno pertinente o, por lo que se refiere a la Comisión, el Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (5), para garantizar que las investigaciones no se vean comprometidas o no se perjudique injustamente la reputación de los agentes económicos. En el contexto del presente Reglamento, son aplicables la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (6), y el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (7).

(32) La legislación comunitaria de armonización de las condiciones de comercialización de productos prevé procedimientos específicos que establecen si una medida nacional de restricción de la libre circulación de un producto está justificada o no (procedimientos de cláusula de salvaguardia). Tales procedimientos se aplican también al intercambio rápido de información sobre productos que plantean un riesgo grave.

(33) Los puntos de entrada en las fronteras exteriores son lugares propicios para detectar productos peligrosos y no conformes o productos en los que el marcado CE sea falso o figure de manera engañosa, incluso antes que se comercialicen.

Por tanto, si las autoridades encargadas del control de los productos que entran en el mercado comunitario están obligadas a efectuar controles a una escala adecuada, el mercado será más seguro. Para aumentar la eficacia de dichos controles, las autoridades deben recibir de las autoridades de vigilancia del mercado, con antelación suficiente, toda la información necesaria relativa a productos peligrosos y no conformes.

(34) El Reglamento (CEE) nº 339/93 del Consejo, de 8 de febrero de 1993, relativo a los controles de conformidad de productos importados de terceros países respecto a las normas aplicables en materia de seguridad de los productos (8), establece normas relativas a la suspensión del despacho de productos por parte de las autoridades aduaneras y prevé otras medidas, incluida la intervención de las autoridades de vigilancia del mercado. Por tanto, dichas disposiciones, incluida la intervención de las autoridades de vigilancia del mercado, deben incorporarse en el presente Reglamento.

(35) Se ha constatado que, a menudo, los productos que no se despachan se reexportan y entran en el mercado comunitario por otros puntos de entrada, lo que menoscaba el trabajo de las autoridades aduaneras. Por tanto, se debe dotar a las autoridades de vigilancia del mercado de los medios para destruir productos si lo creen oportuno.

(36) En el plazo de un año a partir de la publicación del presente Reglamento en el Diario Oficial de la Unión Europea, la Comisión debe presentar un análisis en profundidad en el ámbito de los marcados relacionados con la seguridad del consumidor, seguido, si procede, de las correspondientes propuestas legislativas.

(37) El marcado CE, que indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio. En el presente Reglamento deben establecerse los principios generales por los que se rige el marcado CE, de modo que sean aplicables con carácter inmediato y con objeto de simplificar la futura legislación.

(38) El marcado CE debe ser el único marcado de conformidad que indique que el producto es conforme a la legislación comunitaria de armonización. No obstante, pueden usarse otros marcados en la medida en que contribuyan a mejorar la protección del consumidor y no estén cubiertos por la legislación comunitaria de armonización.

(39) Es necesario que los Estados miembros establezcan las vías de recurso apropiadas ante las jurisdicciones competentes en lo relativo a las medidas adoptadas por las autoridades competentes que restrinjan la puesta en el mercado de un producto o impongan su retirada o su recuperación.

(40) Los Estados miembros pueden considerar conveniente establecer una cooperación con las partes interesadas, en particular, con organizaciones profesionales sectoriales y organizaciones de consumidores, con el fin de aprovechar la información disponible sobre mercados a la hora de establecer, aplicar y actualizar programas de vigilancia del mercado.

(41) Conviene que los Estados miembros establezcan normas relativas a las sanciones aplicables en caso de infracción del presente Reglamento y velen por su aplicación. Estas sanciones deben ser eficaces, proporcionadas y disuasorias y pueden aumentarse si el operador económico responsable ya ha cometido con anterioridad infracciones similares contra las disposiciones del presente Reglamento.

(42) Para poder alcanzar los objetivos del presente Reglamento, la Comunidad debe contribuir a financiar las actividades necesarias para aplicar las políticas de acreditación y vigilancia del mercado. Debe facilitarse financiación en forma de subvenciones, sin convocatoria de propuestas, al organismo reconocido en aplicación del presente Reglamento, o en forma de subvenciones con convocatoria de propuestas o adjudicación de contrato a dicho organismo o a otros, en función de la naturaleza de la actividad que deba financiarse y de conformidad con el Reglamento (CE, Euratom) nº 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas (9), en lo sucesivo, «el Reglamento financiero».

(43) Para determinadas tareas especializadas, tales como la elaboración y revisión de esquemas de acreditación sectoriales, y para otras tareas relacionadas con la verificación de la competencia técnica y de las instalaciones de laboratorios y organismos de certificación o inspección, inicialmente la EA debe poder beneficiarse de financiación comunitaria, ya que puede aportar los conocimientos técnicos especializados necesarios a tal efecto.

(44) Dada la función del organismo reconocido en aplicación del presente Reglamento en la evaluación por pares de organismos de acreditación, y su capacidad para ayudar a los Estados miembros a gestionar dicha evaluación, la Comisión debe poder conceder subvenciones de funcionamiento a la Secretaría del organismo reconocido en aplicación del presente Reglamento, que debe apoyar permanentemente las actividades de acreditación a escala comunitaria.

(45) La Comisión y el organismo reconocido en aplicación del presente Reglamento deben firmar un acuerdo de asociación, conforme a lo dispuesto en el Reglamento financiero, para fijar las normas administrativas y financieras de financiación de las actividades de acreditación.

(46) También es preciso que exista financiación para otros organismos, distintos del organismo reconocido en aplicación del presente Reglamento, en lo que respecta a otras actividades en materia de evaluación de la conformidad, metrología, acreditación y vigilancia del mercado, tales como elaboración y actualización de directrices, actividades de intercomparación relacionadas con la aplicación de cláusulas de salvaguardia, actividades preliminares o accesorias relacionadas con la aplicación de la legislación comunitaria en tales ámbitos y programas de asistencia técnica y de cooperación con terceros países, así como la consolidación de las políticas en dichos ámbitos a escala comunitaria e internacional.

(47) El presente Reglamento respeta los derechos fundamentales y observa los principios reflejados en la Carta de Derechos Fundamentales de la Unión Europea.

(48) Dado que el objetivo del presente Reglamento, a saber, asegurar que los productos del mercado regulados por la legislación comunitaria cumplan los requisitos que proporcionan un elevado nivel de protección de la salud y la seguridad, así como otros intereses públicos, y garantizar al mismo tiempo el funcionamiento del mercado interior, ofreciendo un marco para la acreditación y vigilancia del mercado, no puede ser alcanzado de manera suficiente por los Estados miembros y, por consiguiente, debido a su dimensión y sus efectos puede lograrse mejor a nivel comunitario, la Comunidad puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado. De conformidad con el principio de proporcionalidad, enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I.- DISPOSICIONES GENERALES

Artículo 1.- Objeto y ámbito de aplicación

1. El presente Reglamento establece normas sobre la organización y el funcionamiento de la acreditación de organismos de evaluación de la conformidad que llevan a cabo actividades de evaluación de la conformidad.

2. El presente Reglamento ofrece un marco para la vigilancia del mercado de los productos, a fin de garantizar que dichos productos cumplan los requisitos que proporcionan un elevado nivel de protección del interés público, en ámbitos como la salud y seguridad en general, la salud y seguridad en el trabajo, la protección de los consumidores, la protección del medio ambiente y la seguridad.

3. El presente Reglamento establece un marco para los controles de los productos procedentes de terceros países.

4. El presente Reglamento establece los principios generales relativo al marcado CE.

Artículo 2.- Definiciones

A efectos del presente Reglamento, se aplicarán las definiciones siguientes:

1) «comercialización»: todo suministro, remunerado o gratuito, de un producto para su distribución, consumo o uso en el mercado comunitario en el transcurso de una actividad comercial;

2) «introducción en el mercado»: primera comercialización de un producto en el mercado comunitario;

3) «fabricante»: toda persona física o jurídica que fabrica un producto, o que manda diseñar o fabricar un producto y lo comercializa con su nombre o marca comercial;

4) «representante autorizado»: toda persona física o jurídica establecida en la Comunidad que ha recibido un mandato por escrito de un fabricante para actuar en su nombre en relación con tareas específicas relativas a obligaciones de este último en virtud de la legislación comunitaria correspondiente;

5) «importador»: toda persona física o jurídica establecida en la Comunidad que introduce un producto de un tercer país en el mercado comunitario;

6) «distribuidor»: toda persona física o jurídica de la cadena de suministro distinta del fabricante o el importador que comercializa un producto;

7) «agentes económicos»: el fabricante, el representante autorizado, el importador y el distribuidor;

8) «especificación técnica»: un documento en el que se definen las características técnicas requeridas de un producto, proceso o servicio;

9) «norma armonizada»: norma adoptada por uno de los organismos europeos de normalización que figuran en el anexo I de la Directiva 98/34/CE del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas y de las reglas relativas a los servicios de la sociedad de la información (10), sobre la base de una solicitud presentada por la Comisión, de conformidad con el artículo 6 de dicha Directiva;

10) «acreditación»: declaración por un organismo nacional de acreditación de que un organismo de evaluación de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades específicas de evaluación de la conformidad;

11) «organismo nacional de acreditación»: el único organismo de un Estado miembro con potestad pública para llevar a cabo acreditaciones;

12) «evaluación de la conformidad»: proceso por el que se demuestra si se cumplen los requisitos específicos relativos a un producto, un proceso, un servicio, un sistema, una persona o un organismo;

13) «organismo de evaluación de la conformidad»: organismo que desempeña actividades de evaluación de la conformidad, que incluyen calibración, ensayo, certificación e inspección;

14) «recuperación»: cualquier medida destinada a obtener la devolución de un producto ya puesto a disposición del usuario final;

15) «retirada»: cualquier medida destinada a impedir la comercialización de un producto que se encuentra en la cadena de suministro;

16) «evaluación por pares»: proceso de evaluación de un organismo nacional de acreditación por otros organismos nacionales de acreditación llevado a cabo con arreglo a los requisitos del presente Reglamento y, si procede, a otras especificaciones técnicas sectoriales;

17) «vigilancia del mercado»: actividades llevadas a cabo y medidas tomadas por las autoridades públicas para velar por que los productos cumplan los requisitos legales establecidos por la legislación comunitaria de armonización pertinente o no entrañen un riesgo para la salud y la seguridad o para otros asuntos relacionados con la protección del interés público;

18) «autoridad de vigilancia del mercado»: la autoridad o las autoridades de cada Estado miembro responsables de ejercer la vigilancia del mercado en el territorio del mismo;

19) «despacho a libre práctica»: el procedimiento establecido en el artículo 79 del Reglamento (CEE) no 2913/92 del Consejo, de 12 de octubre de 1992, por el que se aprueba el Código aduanero comunitario (11);

20) «marcado CE»: marcado por el que el fabricante indica que el producto es conforme a los requisitos aplicables establecidos en la legislación comunitaria de armonización que prevé su colocación;

21) «legislación comunitaria de armonización»: toda legislación comunitaria que armonice las condiciones para la comercialización de los productos;

CAPÍTULO II.- ACREDITACIÓN

Artículo 3.- Ámbito de aplicación

El presente capítulo se aplicará a la acreditación, utilizada con carácter obligatorio o voluntario, relacionada con la evaluación de la conformidad, independientemente de si dicha evaluación es obligatoria o no, y con independencia del régimen jurídico del organismo que lleve a cabo la acreditación.

Artículo 4.- Principios generales

1. Cada Estado miembro designará a un único organismo nacional de acreditación.

2. Si un Estado miembro no considera económicamente justificado o viable disponer de un organismo nacional de acreditación u ofrecer determinados servicios de acreditación, deberá recurrir en la medida de lo posible a un organismo nacional de acreditación de otro Estado miembro.

3. Un Estado miembro informará a la Comisión y a los demás Estados miembros si, en virtud de lo dispuesto en el apartado 2, recurre a un organismo nacional de acreditación de otro Estado miembro.

4. Sobre la base de la información mencionada en el apartado 3 y en el artículo 12, la Comisión elaborará y actualizará la lista de los organismos nacionales de acreditación, que hará accesible al público.

5. En caso de que la acreditación no sea operada directamente por las propias autoridades públicas, los Estados miembros dotarán al organismo nacional de acreditación de autoridad pública para el ejercicio de la actividad de acreditación y le otorgarán reconocimiento formal.

6. Las responsabilidades y tareas del organismo nacional de acreditación se diferenciarán claramente de las de otras autoridades nacionales.

7. El organismo nacional de acreditación no tendrá fines lucrativos.

8. El organismo nacional de acreditación no podrá ofrecer o facilitar actividades o servicios facilitados por los organismos de evaluación de la conformidad, ni podrá prestar servicios de consultoría, poseer acciones ni tener intereses financieros o de gestión en un organismo de evaluación de la conformidad.

9. Cada Estado miembro garantizará que sus organismos nacionales de acreditación tengan los recursos financieros y humanos adecuados para cumplir bien sus funciones, incluida la realización de tareas especiales, como actividades en el ámbito de la cooperación europea e internacional en materia de acreditación y actividades que sean requeridas para respaldar políticas públicas y que no se auto financien.

10. El organismo nacional de acreditación será miembro del organismo reconocido en aplicación del artículo 14.

11. Los organismos nacionales de acreditación establecerán y mantendrán estructuras adecuadas para garantizar que todas las partes interesadas participen de manera efectiva y equilibrada tanto en sus organizaciones como en el organismo reconocido en aplicación del artículo 14.

Artículo 5.- Funcionamiento de la acreditación

1. El organismo nacional de acreditación evaluará, previa solicitud de un organismo de evaluación de la conformidad, si este último es competente para ejercer una actividad específica de evaluación de la conformidad. Si resultara ser competente, el organismo nacional de acreditación expedirá un certificado de acreditación a tal efecto.

2. Cuando un Estado miembro decida no usar acreditación, facilitará a la Comisión y a los otros Estados miembros todas las pruebas documentales necesarias para verificar la competencia del organismo de evaluación de la conformidad que seleccione para la aplicación de la legislación comunitaria de armonización correspondiente.

3. El organismo nacional de acreditación controlará a los organismos de evaluación de la conformidad a los que haya expedido certificados de acreditación.

4. Si el organismo nacional de acreditación considera que un organismo de evaluación de la conformidad que ha recibido un certificado de acreditación ya no es competente para ejercer una actividad específica de evaluación de la conformidad o ha cometido un incumplimiento grave de sus obligaciones, adoptará, dentro de un plazo razonable, todas las medidas apropiadas para limitar, suspender o retirar el certificado de acreditación.

5. Los Estados miembros establecerán procedimientos, incluidas medidas legales, si procede, para la resolución de los recursos presentados contra las decisiones de acreditación o la ausencia de las mismas.

Artículo 6.- Principio de no competencia

1. Los organismos nacionales de acreditación no competirán con los organismos de evaluación de la conformidad.

2. Los organismos nacionales de acreditación no competirán con otros organismos nacionales de acreditación.

3. Los organismos nacionales de acreditación podrán operar de manera transfronteriza, en el territorio de otro Estado miembro, a petición de un organismo de evaluación de la conformidad en las circunstancias establecidas en el artículo 7, apartado 1, o, si así se lo solicita un organismo nacional de acreditación de conformidad con el artículo 7, apartado 3, en cooperación con el organismo nacional de acreditación de ese Estado miembro.

Artículo 7.- Acreditación transfronteriza

1. Cuando un organismo de evaluación de la conformidad solicite una acreditación, la presentará al organismo nacional de acreditación del Estado miembro en el que está establecido o al organismo nacional de acreditación al que haya recurrido dicho Estado miembro de conformidad con el artículo 4, apartado 2.

No obstante, un organismo de evaluación de la conformidad puede solicitar la acreditación a un organismo nacional de acreditación distinto de los previstos en el párrafo primero en cualquiera de las siguientes situaciones:

a) cuando el Estado miembro en el que está establecido haya decidido no crear un organismo nacional de acreditación y no haya recurrido a un organismo nacional de acreditación de otro Estado miembro de conformidad con el artículo 4, apartado 2;

b) cuando los organismos nacionales de acreditación mencionados en el párrafo primero no realicen acreditaciones en relación con las actividades de evaluación de la conformidad para las que se solicita la acreditación; c) cuando los organismos nacionales de acreditación mencionados en el párrafo primero no se hayan sometido con éxito a la evaluación por pares prevista en el artículo 10 en lo que respecta a las actividades de evaluación de la conformidad para las que se solicita acreditación.

2. Cuando un organismo nacional de acreditación reciba una solicitud conforme a lo dispuesto en el apartado 1, letras b) o c), informará al organismo nacional de acreditación del Estado miembro en el que esté establecido el organismo de evaluación de la conformidad solicitante. En tales casos, el organismo nacional de acreditación del Estado miembro en el que esté establecido el organismo de evaluación de la conformidad solicitante podrá participar como observador.

3. Un organismo nacional de acreditación podrá solicitar a otro organismo nacional de acreditación que realice parte de la actividad de evaluación. En tal caso, el certificado de acreditación será expedido por el organismo solicitante.

Artículo 8.- Requisitos aplicables a los organismos nacionales de acreditación

El organismo nacional de acreditación deberá cumplir los siguientes requisitos:

1) se organizará de manera que sea independiente de los organismos de evaluación de la conformidad a los que evalúa, así como de cualquier presión comercial, y que evite conflictos de interés con los organismos de evaluación de la conformidad;

2) se organizará y funcionará de forma adecuada para salvaguardar la objetividad e imparcialidad de sus actividades;

3) garantizará que cada decisión relativa a la declaración de la competencia sea adoptada por personas competentes distintas de las que realizaron la evaluación;

4) adoptará medidas para proteger la confidencialidad de la información obtenida;

5) identificará las actividades de evaluación de la conformidad para las que tiene competencia para realizar acreditaciones, haciendo referencia, si procede, a la legislación y la normativa comunitaria o nacional pertinente;

6) establecerá los procedimientos necesarios para garantizar una gestión eficaz y controles internos apropiados;

7) dispondrá de suficiente personal competente para ejecutar bien sus tareas de forma apropiada;

8) documentará las funciones, las responsabilidades y los poderes de su personal que puedan afectar a la calidad de la evaluación y a la declaración de competencia;

9) establecerá, aplicará y mantendrá los procedimientos necesarios para controlar el rendimiento y la competencia del personal implicado;

10) verificará que las evaluaciones de la conformidad se lleven a cabo de manera adecuada, evitando imponer cargas innecesarias a las empresas y teniendo debidamente en cuenta su tamaño, el sector en el que operan, su estructura, el grado de complejidad de la tecnología del producto de que se trate y si el proceso de producción es en serie;

11) publicará cuentas anuales auditadas preparadas de conformidad con unos principios contables generalmente aceptados.

Artículo 9.- Cumplimiento de los requisitos

1. Si un organismo nacional de acreditación no cumple los requisitos o las obligaciones del presente Reglamento, el Estado miembro correspondiente adoptará las medidas correctivas adecuadas o garantizará que se adopten tales medidas, e informará de ello a la Comisión.

2. Los Estados miembros controlarán a sus organismos nacionales de acreditación a intervalos regulares para garantizar que cumplen los requisitos previstos en el artículo 8 de forma continuada.

3. Los Estados miembros tomarán sumamente en cuenta los resultados de la evaluación por pares en virtud del artículo 10 cuando realicen el control mencionado en el apartado 2 del presente artículo.

4. Los organismos nacionales de acreditación contarán con los procedimientos necesarios para ocuparse de las reclamaciones relativas a los organismos de evaluación de la conformidad que hayan acreditado.

Artículo 10.- Evaluación por pares

1. Los propios organismos nacionales de acreditación estarán sujetos a evaluación por pares tal y como la organice el organismo reconocido en aplicación del artículo 14.

2. Las partes interesadas tendrán derecho a participar en el sistema establecido para supervisar las actividades de evaluación por pares, pero no en los procedimientos individuales de evaluación por pares.

3. Los Estados miembros garantizarán que sus organismos nacionales de acreditación se sometan periódicamente a la evaluación por pares, como se dispone en el apartado 1.

4. La evaluación por pares se llevará a cabo sobre la base de criterios y procedimientos de evaluación bien fundados y transparentes, en particular en lo relativo a los requisitos estructurales, de recursos humanos y de proceso, la confidencialidad y las reclamaciones. Existirán procedimientos apropiados de recurso contra las decisiones adoptadas a consecuencia de la evaluación.

5. La evaluación por pares determinará si los organismos nacionales de acreditación cumplen los requisitos previstos en el artículo 8, teniendo en cuenta las normas armonizadas pertinentes a que se hace referencia en el artículo 11.

6. Los resultados de la evaluación por pares serán publicados y comunicados por el organismo reconocido en aplicación del artículo 14 a todos los Estados miembros y a la Comisión.

7. La Comisión, en colaboración con los Estados miembros, controlará las normas y el buen funcionamiento del sistema de evaluación por pares.

Artículo 11.- Presunción de conformidad para organismos nacionales de acreditación

1. Se considerará que los organismos nacionales de acreditación que demuestren, mediante su pasar con éxito el sistema de evaluación por pares en virtud del artículo 10, su conformidad con los criterios exigidos por la norma armonizada pertinente, cuya referencia se haya publicado en el Diario Oficial de la Unión Europea, cumplen los requisitos establecidos en el artículo 8.

2. Las autoridades nacionales reconocerán la equivalencia de los servicios prestados por los organismos de acreditación que se hayan sometido con éxito al sistema de evaluación por pares en virtud del artículo 10, y aceptarán de ese modo, sobre la base de la presunción mencionada en el apartado 1, los certificados de acreditación de dichos organismos y las certificaciones emitidas por los organismos de evaluación de la conformidad acreditados por ellos.

Artículo 12.- Obligación de informar

1. Cada organismo nacional de acreditación informará a los demás organismos nacionales de acreditación de las actividades de evaluación de la conformidad para las que lleva a cabo acreditaciones, así como de cualquier modificación de las mismas.

2. Cada Estado miembro informará a la Comisión y al organismo reconocido en aplicación del artículo 14 de la identidad de su organismo nacional de acreditación y de todas las actividades de evaluación de la conformidad para las que dicho organismo lleva a cabo acreditaciones en apoyo de la legislación comunitaria de armonización, así como de cualquier modificación al respecto.

3. Cada organismo nacional de acreditación hará accesible al público, con regularidad, la información sobre los resultados de su evaluación por pares y las actividades de evaluación de la conformidad para las que lleva a cabo acreditaciones, así como sobre cualquier modificación al respecto.

Artículo 13.- Peticiones al organismo reconocido en aplicación del artículo 14

1. La Comisión, previa consulta al Comité creado por el artículo 5 de la Directiva 98/34/CE, podrá solicitar al organismo reconocido en aplicación del artículo 14 que contribuya al desarrollo, al mantenimiento y a la aplicación de la acreditación en la Comunidad.

2. Asimismo, la Comisión podrá, con arreglo al procedimiento contemplado en el apartado 1:

a) solicitar al organismo reconocido en aplicación del artículo 14 que establezca criterios de evaluación y procedimientos de evaluación por pares y que desarrolle esquemas de acreditación sectoriales;

b) aceptar esquemas existentes que ya establezcan criterios de evaluación y procedimientos de evaluación por pares.

3. La Comisión se asegurará de que los esquemas sectoriales identifiquen las especificaciones técnicas necesarias para alcanzar el nivel de competencia exigido por la legislación comunitaria de armonización en ámbitos con requisitos específicos en materia de tecnología o relativos a la salud, la seguridad y el medio ambiente o a la protección de cualesquiera otros aspectos de interés público.

Artículo 14.- Infraestructura europea de acreditación

1. La Comisión, previa consulta con los Estados miembros, reconocerá un organismo que satisfaga los requisitos establecidos en el anexo I del presente Reglamento.

2. Un organismo que sea reconocido conforme al apartado 1, deberá concluir un acuerdo con la Comisión. Dicho acuerdo especificará, entre otros elementos, la descripción detallada de los cometidos del organismo, así como las disposiciones relativas a la financiación y a su supervisión. Tanto la Comisión como el organismo podrán denunciar el acuerdo sin causa expresa al término de un período de notificación razonable que deberá establecerse en él.

3. La Comisión y el organismo darán publicidad al acuerdo.

4. La Comisión comunicará a los Estados miembros y a los organismos nacionales de acreditación el reconocimiento de un organismo conforme al apartado 1.

5. La Comisión solo podrá reconocer a un organismo al mismo tiempo.

6. El primer organismo reconocido en virtud del presente Reglamento será la Cooperación Europea para la Acreditación, siempre que haya celebrado un acuerdo como se indica en el apartado 2.

CAPÍTULO III.- MARCO COMUNITARIO DE VIGILANCIA DEL MERCADO Y CONTROL DE LOS PRODUCTOS QUE SE INTRODUCEN EN EL MERCADO COMUNITARIO

SECCIÓN 1.- Disposiciones generales

Artículo 15.- Ámbito de aplicación

1. Los artículos 16 a 26 se aplicarán a los productos sujetos a la legislación comunitaria sobre armonización.

2. Todas las disposiciones de los artículos 16 a 26 se aplicarán en la medida en que no existan disposiciones específicas con el mismo objetivo en la legislación comunitaria de armonización.

3. La aplicación del presente Reglamento no impedirá que las autoridades de vigilancia del mercado adopten medidas más específicas, como se establece en la Directiva 2001/95/CE.

4. A efectos de los artículos 16 a 26, se entenderá por «producto» la sustancia, el preparado o la mercancía producidos por medio de un proceso de fabricación que no sean alimentos, piensos, plantas y animales vivos, productos de origen humano y productos de origen vegetal y animal directamente relacionados con su futura reproducción.

5. Los artículos 27, 28 y 29 serán aplicables a todos los productos cubiertos por la legislación comunitaria, en la medida en que otros actos legislativos comunitarios no incluyan disposiciones específicas sobre organización de controles en las fronteras.

Artículo 16.- Requisitos generales

1. Los Estados miembros organizarán y llevarán a cabo la vigilancia del mercado en la forma prevista en el presente capítulo.

2. La vigilancia del mercado garantizará que los productos sujetos a la legislación comunitaria de armonización que, cuando se utilizan conforme al fin previsto o en condiciones que razonablemente cabe prever y con una instalación y un mantenimiento adecuados, puedan comprometer la salud o la seguridad de los usuarios, o que por otras razones no sean conformes a los requisitos aplicables establecidos en la legislación comunitaria de armonización, se retiren, se prohíban o se restrinja su comercialización, y que se informe de ello al público, a la Comisión y a los Estados miembros.

3. Las infraestructuras y programas nacionales de vigilancia del mercado garantizarán que puedan adoptarse medidas efectivas referentes a cualquier categoría de producto sometida a la legislación comunitaria de armonización.

4. La vigilancia del mercado cubrirá productos montados o fabricados para el propio uso del fabricante cuando la legislación comunitaria de armonización estipule que sus disposiciones se apliquen a tales productos.

SECCIÓN 2.- Marco comunitario de vigilancia del mercado

Artículo 17.- Obligación de informar

1. Los Estados miembros informarán a la Comisión sobre la autoridad responsable de la vigilancia del mercado y sus ámbitos de competencia. La Comisión transmitirá estas informaciones a los restantes Estados miembros.

2. Los Estados miembros se asegurarán de que el público conoce la existencia, las responsabilidades y la identidad de las autoridades nacionales de vigilancia del mercado, así como la forma de ponerse en contacto con dichas autoridades.

Artículo 18.- Obligaciones de los Estados miembros en materia de organización

1. Los Estados miembros establecerán mecanismos adecuados de comunicación y coordinación entre sus autoridades de vigilancia del mercado.

2. Los Estados miembros establecerán procedimientos adecuados para:

a) realizar un seguimiento de las reclamaciones o los informes sobre cuestiones relativas a los riesgos relacionados con los productos sujetos a la legislación comunitaria de armonización;

b) controlar los accidentes y daños a la salud que se sospeche que dichos productos han causado;

c) verificar que se hayan tomado las medidas correctivas, y

d) realizar un seguimiento de los conocimientos científicos y técnicos sobre cuestiones de seguridad.

3. Los Estados miembros otorgarán a las autoridades de vigilancia del mercado los poderes, recursos y conocimientos necesarios para ejercer correctamente sus funciones.

4. Los Estados miembros se asegurarán de que sus autoridades de vigilancia del mercado ejerzan sus poderes de acuerdo con el principio de proporcionalidad.

5. Los Estados miembros establecerán programas de vigilancia del mercado y los aplicarán y actualizarán periódicamente. Los Estados miembros elaborarán o bien un programa general de vigilancia del mercado o programas sectoriales específicos que cubran los sectores en los que lleven a cabo una vigilancia del mercado, comunicarán dichos programas a los demás Estados miembros y a la Comisión y los pondrán a disposición del público mediante las comunicaciones electrónicas entre otros. La primera comunicación de ese tipo tendrá lugar a más tardar el 1 de enero de 2010. Las subsiguientes actualizaciones de los programas se publicarán de la misma manera. A este fin, los Estados miembros podrán establecer una cooperación con todas las partes interesadas.

6. Los Estados miembros revisarán y evaluarán periódicamente el funcionamiento de sus actividades de vigilancia. Las revisiones y evaluaciones se efectuarán cada cuatro años como mínimo y sus resultados se comunicarán a los demás Estados miembros y a la Comisión y se pondrán a disposición del público, mediante las comunicaciones electrónicas u otros medios cuando proceda.

Artículo 19.- Medidas de vigilancia del mercado

1. Las autoridades de vigilancia del mercado realizarán, a una escala adecuada, controles apropiados de las características de los productos mediante controles de documentos y, si procede, controles físicos y de laboratorio a partir de muestras adecuadas.

Para ello tendrán en cuenta los principios establecidos de evaluación de riesgos, las reclamaciones y otras informaciones.

Las autoridades de vigilancia del mercado podrán exigir a los agentes económicos que presenten la documentación e información que consideren necesaria para llevar a cabo sus actividades, incluido, si es necesario y está justificado, entrar en los locales de los agentes económicos y recoger las necesarias muestras de productos. Si lo consideran necesario, podrán destruir o inutilizar de otro modo los productos que entrañen un riesgo grave.

En el caso de agentes económicos que presenten informes de ensayo o certificados que demuestren la conformidad, emitidos por un organismo de evaluación de la conformidad acreditado, las autoridades de vigilancia del mercado deberán tener debidamente en cuenta dichos informes de ensayo o certificados.

2. Las autoridades de vigilancia del mercado adoptarán medidas apropiadas para alertar a los usuarios en su territorio, en un plazo adecuado, sobre los riesgos que hayan identificado en relación con cualquier producto, a fin de reducir el riesgo de que se produzca una lesión u otro daño.

Cooperarán con los agentes económicos para adoptar medidas que puedan prevenir o reducir los riesgos que planteen los productos que han comercializado dichos agentes.

3. Cuando las autoridades de vigilancia del mercado de un Estado miembro decidan retirar un producto fabricado en otro Estado miembro, informarán al agente económico afectado en la dirección indicada en el producto en cuestión o en la documentación que lo acompaña.

4. Las autoridades de vigilancia del mercado ejercerán sus funciones de manera independiente, imparcial y objetiva.

5. Las autoridades de vigilancia del mercado deberán respetar el imperativo de confidencialidad cuando ello sea necesario para proteger los secretos comerciales o para preservar los datos de carácter personal en virtud de la legislación nacional, a condición de que la información se publique con arreglo al presente Reglamento en la medida necesaria para proteger los intereses de los usuarios en la Comunidad.

Artículo 20.- Productos que plantean un riesgo grave

1. Los Estados miembros garantizarán que los productos que planteen un riesgo grave que requiera una intervención rápida, incluidos los riesgos graves que no provoquen efectos inmediatos, sean recuperados o retirados, o que se prohíba su comercialización en su mercado, así como que se informe sin demora a la Comisión con arreglo a lo dispuesto en el artículo 22.

2. La decisión acerca de si un producto plantea o no un riesgo grave se basará en una evaluación adecuada del riesgo que tenga en cuenta la índole del peligro y la probabilidad de que ocurra. La posibilidad de obtener unos niveles superiores de seguridad o la disponibilidad de otros productos que presenten un menor riesgo no será razón suficiente para considerar que un producto plantea un riesgo grave.

Artículo 21.- Medidas restrictivas

1. Los Estados miembros garantizarán que las medidas adoptadas, en virtud de la legislación comunitaria de armonización pertinente, para prohibir o restringir la puesta en el mercado de un producto, su retirada del mercado o recuperación, sean proporcionadas e indiquen los motivos exactos que las fundamentan.

2. Dichas medidas se notificarán sin demora al agente económico pertinente, indicándole las vías de recurso que ofrece la legislación vigente en el Estado miembro de que se trate y los plazos de presentación de los recursos.

3. Antes de adoptar una medida en virtud de lo dispuesto en el apartado 1, se ofrecerá al agente económico afectado la oportunidad de ser oído en un plazo adecuado que no podrá ser inferior a diez días, a menos que la urgencia de la medida de que se trate no permita dicha consulta, habida cuenta de los requisitos de salud o seguridad u otros motivos relacionados con los intereses públicos protegidos en la legislación comunitaria de armonización pertinente. Si se han adoptado medidas sin haber oído al agente económico, deberá darse a este la oportunidad de ser oído tan pronto como sea posible, y a continuación se deberán revisar las medidas adoptadas sin demora.

4. Cualquier medida prevista en el apartado 1 se anulará o modificará de inmediato tan pronto como el agente económico demuestre que ha adoptado medidas efectivas.

Artículo 22.- Intercambio de información: sistema comunitario de intercambio rápido de información

1. Si un Estado miembro adopta, o prevé adoptar, una medida de conformidad con lo dispuesto en el artículo 20 y considera que las razones o efectos de la medida rebasan las fronteras de su territorio, notificará de inmediato a la Comisión, con arreglo al apartado 4 del presente artículo, las medidas adoptadas. También notificará sin demora a la Comisión toda modificación o retirada de dichas medidas.

2. Cuando un producto que plantea un riesgo grave haya sido comercializado, los Estados miembros notificarán a la Comisión las medidas voluntarias adoptadas y comunicadas por los agentes económicos.

3. La información aportada de conformidad con lo dispuesto en los apartados 1 y 2 incluirá todos los detalles disponibles, en especial los datos necesarios para identificar el producto, su origen y cadena de suministro, el riesgo asociado, la naturaleza y duración de la medida nacional adoptada y las medidas voluntarias adoptadas por los agentes económicos.

4. A efectos de lo dispuesto en los apartados 1, 2 y 3 se utilizará el sistema de vigilancia del mercado e intercambio de información previsto en el artículo 12 de la Directiva 2001/95/ CE. Se aplicará mutatis mutandis, el artículo 12, apartados 2, 3 y 4 de dicha Directiva.

Artículo 23.- Sistema general de apoyo a la información

1. La Comisión desarrollará y gestionará un sistema general de archivo e intercambio de información, utilizando los medios electrónicos, sobre cuestiones relativas a las actividades y programas de vigilancia del mercado, así como la información relacionada con el incumplimiento de la legislación comunitaria de armonización. El sistema reflejará debidamente las notificaciones y la información aportada en el marco del artículo 22.

2. A efectos de lo dispuesto en el apartado 1, los Estados miembros comunicarán a la Comisión la información de que dispongan y que no se haya establecido ya en el marco del artículo 22 sobre productos que planteen riesgo, en especial la identificación de los riesgos, los resultados de los ensayos efectuados, las medidas restrictivas provisionales adoptadas, los contactos con los agentes económicos afectados y la justificación de la adopción o no adopción de medidas.

3. Sin perjuicio de lo establecido en el artículo 19, apartado 5, y de la legislación nacional en el ámbito de la confidencialidad, se garantizará la protección de la confidencialidad del contenido de la información. La protección de la confidencialidad no impedirá que se comunique a las autoridades de vigilancia del mercado la información pertinente para garantizar la eficacia de las actividades de control y vigilancia del mercado.

Artículo 24.- Principios de la cooperación entre los Estados miembros y la Comisión

1. Los Estados miembros garantizarán una cooperación eficaz y el intercambio de información entre sus autoridades de vigilancia del mercado y las de los demás Estados miembros, así como entre sus propias autoridades y la Comisión y las agencias comunitarias pertinentes sobre sus programas de vigilancia del mercado y sobre toda cuestión relativa a productos que planteen riesgos.

2. A efectos de lo dispuesto en el apartado 1, las autoridades de vigilancia del mercado de cada Estado miembro prestarán ayuda a las autoridades de vigilancia del mercado de otros Estados miembros en una escala adecuada facilitándoles información o documentación, llevando a cabo investigaciones u otras medidas apropiadas o participando en investigaciones iniciadas en otros Estados miembros.

3. La Comisión recopilará y organizará dichos datos sobre medidas de vigilancia de los mercados nacionales de manera que le permitan cumplir las obligaciones que le incumben.

4. Toda información aportada por un agente económico con arreglo al artículo 21, apartado 3, o de otra forma se incluirá en la información que un Estado miembro comunique a otros Estados miembros y a la Comisión acerca de sus resultados y acciones. Toda información subsiguiente se identificará claramente como relacionada con la información proporcionada anteriormente.

Artículo 25.- Puesta en común de recursos

1. La Comisión o los Estados miembros pertinentes podrán establecer iniciativas de vigilancia del mercado destinadas a compartir recursos y experiencia entre las autoridades competentes de los Estados miembros. La Comisión coordinará de estas actividades.

2. A efectos de lo dispuesto en el apartado 1, la Comisión, en cooperación con los Estados miembros:

a) desarrollará y organizará programas de formación e intercambio de funcionarios nacionales;

b) desarrollará, organizará y establecerá programas para el intercambio de experiencia, información y mejores prácticas, así como programas y acciones para proyectos comunes, campañas de información, programas de visitas conjuntas, y puesta en común de recursos.

3. Los Estados miembros garantizarán que sus autoridades competentes participen plenamente en las actividades mencionadas en el apartado 2 cuando proceda.

Artículo 26.- Cooperación con las autoridades competentes de terceros países

1. Las autoridades de vigilancia del mercado podrán cooperar con las autoridades competentes de terceros países con vistas a intercambiar información y apoyo técnico, promover y facilitar el acceso a los sistemas europeos, promover actividades referentes a la evaluación de la conformidad, la vigilancia del mercado y la acreditación.

La Comisión, en colaboración con los Estados miembros, desarrollará los programas apropiados para tal fin.

2. La cooperación con las autoridades competentes de terceros países se llevará a cabo, entre otras cosas, en forma de actividades como las contempladas en el artículo 25, apartado 2. Los Estados miembros garantizarán que sus autoridades competentes participen plenamente en dichas actividades.

SECCIÓN 3.- Controles de los productos que se introducen en el mercado comunitario

Artículo 27.- Controles de los productos que se introducen en el mercado comunitario

1. Las autoridades de los Estados miembros encargadas del control de los productos que se introducen en el mercado comunitario dispondrán de los poderes y recursos necesarios para ejercer correctamente sus funciones. Efectuarán controles apropiados de las características de los productos a una escala adecuada, de conformidad con los principios establecidos en el artículo 19, apartado 1, antes que se despachen a libre práctica.

2. Si en un Estado miembro hay más de una autoridad responsable de la vigilancia del mercado o de los controles en las fronteras exteriores, estas autoridades cooperarán entre sí, y esta cooperación comprenderá, entre otras, la puesta en común de información relevante para el ejercicio de sus funciones o de otra manera si procede.

3. Las autoridades encargadas de los controles en las fronteras exteriores suspenderán el despacho a libre práctica de un producto en el mercado comunitario cuando los controles mencionados en el apartado 1 muestren cualquiera de los siguientes resultados:

a) el producto posee características que inducen a creer que, cuando su instalación, mantenimiento y uso sean adecuados, plantea un riesgo grave para la salud, la seguridad, medio ambiente u otros aspectos de intereses públicos de los indicados en el artículo 1;

b) el producto no lleva la documentación escrita o electrónica exigida por la legislación comunitaria de armonización pertinente o no lleva el marcado exigido por dicha legislación;

c) se ha colocado el marcado CE en el producto de forma falsa o engañosa.

Las autoridades encargadas de los controles en las fronteras exteriores notificarán inmediatamente toda suspensión de este tipo a las autoridades de vigilancia del mercado.

4. Cuando se trate de productos perecederos, las autoridades encargadas de los controles en las fronteras exteriores velarán por que, en la medida de lo posible, las condiciones de almacenamiento de los productos o de estacionamiento de los medios de transporte que pudieran imponer no resulten incompatibles con la conservación de dichos productos.

5. A efectos de la presente sección, el artículo 24 se aplicará a las autoridades encargadas de los controles en las fronteras exteriores, sin perjuicio de que se aplique la legislación comunitaria que prevea sistemas más específicos de cooperación entre dichas autoridades.

Artículo 28.- Despacho de los productos

1. Los productos cuyo despacho haya sido suspendido por las autoridades encargadas de los controles en las fronteras exteriores en virtud del artículo 27 se despacharán si, en el plazo de tres días laborables a partir de la suspensión del despacho, no se notifica a dichas autoridades ninguna medida adoptada por las autoridades de vigilancia del mercado, siempre y cuando se cumplan las demás condiciones y formalidades para su despacho.

2. Si las autoridades de vigilancia del mercado consideran que el producto en cuestión no plantea un riesgo grave para la salud y la seguridad o que no puede considerarse que infrinja la legislación comunitaria de armonización, se despachará el producto en cuestión, siempre y cuando se cumplan las demás condiciones y formalidades para su despacho.

Artículo 29.- Medidas nacionales

1. Si las autoridades de vigilancia del mercado consideran que el producto en cuestión plantea un riesgo grave, adoptarán medidas para prohibir la introducción del producto en el mercado y solicitarán a las autoridades encargadas de los controles en las fronteras exteriores que estampen la mención correspondiente sobre la factura comercial que acompañe al producto y sobre cualquier otro documento de acompañamiento pertinente o, cuando el tratamiento de datos se efectúa electrónicamente, en el propio sistema de tratamiento de datos:

«Producto peligroso — despacho a libre práctica no autorizado — Reglamento (CE) nº 765/2008«.

2. Si las autoridades de vigilancia del mercado comprueban que el producto en cuestión no cumple la legislación comunitaria de armonización, adoptarán las medidas adecuadas, que podrán llegar, si es necesario, hasta la prohibición de introducir el producto en el mercado.

Si prohíben la introducción del producto en el mercado, en virtud del párrafo primero, las autoridades de vigilancia del mercado requerirán a las autoridades encargadas de los controles en las fronteras exteriores para que no permitan su despacho a libre práctica y que estampen la mención correspondiente sobre la factura comercial que acompañe al producto y sobre cualquier otro documento de acompañamiento pertinente o, cuando el tratamiento de datos se efectúa electrónicamente, en el propio sistema de tratamiento de datos:

«Producto no conforme — despacho a libre práctica no autorizado — Reglamento (CE) nº 765/2008«.

3. Si el producto en cuestión es declarado a continuación para un procedimiento aduanero distinto del despacho a libre práctica, y siempre que no se opongan las autoridades de vigilancia del mercado, se estamparán igualmente y en las mismas condiciones, en el documento relativo a dicho procedimiento, las indicaciones previstas en los apartados 1 y 2.

4. Las autoridades de los Estados miembros podrán destruir o inutilizar de otro modo los productos que planteen un riesgo grave si lo consideran necesario y proporcionado.

5. Las autoridades de vigilancia del mercado facilitarán a las autoridades encargadas de los controles en las fronteras exteriores información sobre las categorías de productos respecto de las que se hayan detectado riesgos graves de incumplimiento en el sentido de los apartados 1 y 2.

CAPÍTULO IV.- MARCADO CE

Artículo 30.- Principios generales del marcado CE

1. El marcado CE será colocado únicamente por el fabricante o por un representante autorizado.

2. El marcado CE presentado en el anexo II se colocará únicamente en productos para los que su uso está contemplado en la legislación comunitaria de armonización y no se colocará en ningún otro producto.

3. Por el hecho de colocar o haber colocado el marcado CE, el fabricante indica que asume la responsabilidad de la conformidad del producto con todos los requisitos comunitarios aplicables establecidos en la legislación comunitaria de armonización que rige su colocación.

4. El marcado CE será el único que certifique la conformidad del producto con los requisitos aplicables establecidos en la legislación comunitaria de armonización pertinente que rige su colocación.

5. Se prohíbe colocar en un producto marcados, signos o inscripciones que puedan inducir a confusión a terceros en cuanto al significado o la forma del marcado CE. Puede colocarse cualquier otro marcado en el producto a condición de que ello no afecte a la visibilidad, la legibilidad y el significado del marcado CE.

6. Sin perjuicio del artículo 41, los Estados miembros se asegurarán de la correcta aplicación del régimen que regula el marcado CE y, si lo consideran adecuado, emprenderán las acciones oportunas para el caso de uso incorrecto del marcado.

Los Estados miembros establecerán asimismo sanciones por infracciones, que podrán incluir sanciones penales por infracciones graves. Dichas sanciones deberán ser proporcionadas a la gravedad de la infracción y constituir un elemento eficaz de disuasión contra el uso incorrecto del marcado.

CAPÍTULO V.- FINANCIACIÓN COMUNITARIA

Artículo 31.- Organismos que persiguen un objetivo de interés general europeo

El organismo reconocido en aplicación del artículo 14 se considerará un organismo que persigue un objetivo de interés general europeo en el sentido del artículo 162 del Reglamento (CE, Euratom) nº 2342/2002 de la Comisión, de 23 de diciembre de 2002, sobre normas de desarrollo del Reglamento (CE, Euratom) nº 1605/2002 (12).

Artículo 32.- Entidades que pueden optar a financiación comunitaria

1. La Comunidad podrá financiar las siguientes actividades en relación con la aplicación del presente Reglamento:

a) la producción y revisión de los esquemas de acreditación sectoriales mencionados en el artículo 13, apartado 3;

b) las actividades de la Secretaría del organismo reconocido en aplicación del artículo 14, tales como la coordinación de actividades de acreditación, la realización de tareas técnicas vinculadas al funcionamiento del sistema de evaluación por pares, la comunicación de información a los interesados y la participación del organismo en las actividades de organizaciones internacionales en el ámbito de la acreditación;

c) la redacción y actualización de contribuciones a las directrices en los ámbitos de la acreditación, la notificación a la Comisión de organismos de evaluación de la conformidad, la evaluación de la conformidad y la vigilancia del mercado;

d) las actividades comparativas relacionadas con el funcionamiento de las cláusulas de salvaguardia;

e) el hacer accesible a la Comisión los conocimientos técnicos especializados, a fin de ayudarle a aplicar la cooperación administrativa de vigilancia del mercado, incluida la financiación de grupos de cooperación administrativa, las decisiones de vigilancia del mercado y los casos relativos a la cláusula de salvaguardia;

f) la realización de trabajos preparatorios o accesorios relacionados con la ejecución de actividades de evaluación de la conformidad, metrología, acreditación y vigilancia del mercado vinculadas a la aplicación de la legislación comunitaria, tales como estudios, programas, evaluaciones, directrices, análisis comparativos, visitas conjuntas mutuas, trabajos de investigación, desarrollo y mantenimiento de bases de datos, actividades de formación, trabajos de laboratorio, pruebas de aptitud, ensayos interlaboratorios y trabajos de evaluación de la conformidad, así como las campañas de vigilancia de los mercados europeos y actividades similares;

g) las actividades realizadas en el marco de programas de cooperación y asistencia técnica con países terceros, y la promoción y mejora de políticas y sistemas de evaluación de la conformidad, vigilancia del mercado y acreditación entre las partes interesadas de la Comunidad y a escala internacional.

2. Las actividades que figuran en el apartado 1, letra a), solo podrán subvencionarse mediante financiación comunitaria si se ha consultado previamente al Comité creado por el artículo 5 de la Directiva 98/34/CE acerca de las solicitudes que han de presentarse al organismo reconocido en virtud del artículo 14 del presente Reglamento.

Artículo 33.- Entidades que pueden optar a financiación comunitaria Podrá concederse financiación comunitaria al organismo reconocido en aplicación del artículo 14 para la ejecución de las actividades establecidas en el artículo 32.

Sin embargo, también podrá concederse financiación comunitaria a otros organismos para la realización de las actividades enumeradas en el artículo 32, excepto para las que figuran en el apartado 1, letras a) y b), de dicho artículo.

Artículo 34.- Financiación

La autoridad presupuestaria determinará cada año los créditos asignados a las actividades previstas en el presente Reglamento dentro de los límites del marco financiero vigente.

Artículo 35.- Modalidades de financiación

1. Se concederá financiación comunitaria:

a) sin necesidad de una convocatoria de propuestas, al organismo reconocido en aplicación del artículo 14 para llevar a cabo las actividades que figuran en el artículo 32, apartado 1, letras a) a g), para las que puedan concederse subvenciones de conformidad con el Reglamento financiero;

b) mediante la concesión de subvenciones, tras la realización de una convocatoria de propuestas o procedimientos de contratación pública, a otros organismos para llevar a cabo las actividades que figuran en el artículo 32, apartado 1, letras c) a g).

2. Las actividades de la secretaría del organismo reconocido en aplicación del artículo 14 que figuran en el artículo 32, apartado 1, letra b), podrán financiarse sobre la base de subvenciones de funcionamiento. Las subvenciones de funcionamiento no se reducirán automáticamente en caso de renovación.

3. Los convenios de subvención podrán autorizar la asunción a tanto alzado de los gastos generales del beneficiario, hasta un máximo del 10 % del total de los costes directos subvencionables de las acciones, salvo si los costes indirectos del beneficiario están cubiertos mediante una subvención de funcionamiento financiada con cargo al presupuesto comunitario.

4. Los objetivos comunes de cooperación y las condiciones administrativas y financieras relativas a las subvenciones concedidas al organismo reconocido en aplicación del artículo 14 podrán definirse en un convenio marco de asociación firmado entre la Comisión y dicho organismo, de conformidad con lo dispuesto en el Reglamento (CE, Euratom) nº 2342/2002. Se informará al Parlamento Europeo y al Consejo de la conclusión de dicho convenio.

Artículo 36.- Gestión y seguimiento

1. Los créditos determinados por la autoridad presupuestaria para la financiación de actividades de evaluación de la conformidad, acreditación y vigilancia del mercado también podrán sufragar los gastos administrativos correspondientes a la preparación, seguimiento, inspección, auditoría y evaluación directamente necesarias para alcanzar los objetivos del presente Reglamento, en particular estudios, reuniones, actividades de información y publicación, y gastos vinculados a las redes informáticas para el intercambio de información, así como cualquier otro gasto de asistencia administrativa y técnica a la que pueda recurrir la Comisión para las actividades de evaluación de la conformidad y acreditación.

2. La Comisión evaluará la pertinencia de las actividades de evaluación de la conformidad, acreditación y vigilancia del mercado que reciban financiación comunitaria atendiendo a las necesidades de las políticas y la legislación de la Comunidad, e informará al Parlamento Europeo y al Consejo de los resultados de dicha evaluación antes del 1 de enero de 2013, y a continuación cada cinco años.

Artículo 37.- Protección de los intereses financieros de la Comunidad

1. La Comisión garantizará que, al ejecutar las actividades financiadas en virtud del presente Reglamento, se protejan los intereses financieros de la Comunidad mediante la aplicación de medidas preventivas contra el fraude, la corrupción y otras actividades ilegales, mediante la realización de controles efectivos y la recuperación de los importes indebidamente pagados, así como, si se constatan irregularidades, mediante la aplicación de sanciones efectivas, proporcionadas y disuasorias, con arreglo al Reglamento (CE, Euratom) nº 2988/95 del Consejo, de 18 de diciembre de 1995, relativo a la protección de los intereses financieros de las Comunidades Europeas (13), el Reglamento (Euratom, CE) nº 2185/96 del Consejo, de 11 de noviembre de 1996, relativo a los controles y verificaciones in situ que realiza la Comisión para la protección de los intereses financieros de las Comunidades Europeas contra los fraudes e irregularidades (14), y el Reglamento (CE) nº 1073/1999 del Parlamento Europeo y del Consejo, de 25 de mayo de 1999, relativo a las investigaciones efectuadas por la Oficina Europea de Lucha contra el Fraude (OLAF) (15).

2. A efectos de las actividades comunitarias financiadas con arreglo al presente Reglamento, el concepto de irregularidad mencionado en el artículo 1, apartado 2, del Reglamento (CE, Euratom) no 2988/95 se entenderá como toda infracción de una disposición del Derecho comunitario o incumplimiento de una obligación contractual correspondiente a una acción u omisión de un agente económico que tenga o pudiera tener un efecto perjudicial mediante un gasto indebido en el presupuesto general de la Unión Europea o en los presupuestos administrados por esta.

3. Los convenios y contratos que se deriven del presente Reglamento preverán un seguimiento y un control financiero por parte de la Comisión o de cualquier representante por ella autorizado, así como auditorías del Tribunal de Cuentas que, en su caso, podrán realizarse sobre el terreno.

CAPITULO VI.- DISPOSICIONES FINALES

Artículo 38.- Directrices técnicas

La Comisión elaborará directrices no vinculantes para facilitar la aplicación del presente Reglamento previa consulta con las partes interesadas.

Artículo 39.- Disposición transitoria

Los certificados de acreditación expedidos antes del 1 de enero de 2010 podrán ser válidos hasta la fecha de su vencimiento, pero no después del 31 de diciembre de 2014. Sin embargo, se aplicará el presente Reglamento para su extensión o renovación.

Artículo 40.- Revisión e informes

A más tardar el 2 de septiembre de 2013, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la aplicación del presente Reglamento, de la Directiva 2001/95/CE y de cualquier otro instrumento comunitario pertinente para la vigilancia del mercado. En particular, dicho informe analizará la coherencia de la normativa comunitaria en el ámbito de la vigilancia del mercado. Si procede, irá acompañado de propuestas de modificación o de consolidación de los instrumentos de que se trate, en aras de la mejora de la regulación y la simplificación. Incluirá una evaluación de la extensión del ámbito de aplicación del capítulo III del presente Reglamento a todos los productos.

A más tardar el 1 de enero de 2013, y a continuación cada cinco años, la Comisión, en cooperación con los Estados miembros, elaborará y presentará al Parlamento Europeo y al Consejo un informe sobre la aplicación del presente Reglamento.

Artículo 41.- Sanciones

Los Estados miembros establecerán la normativa sobre sanciones para los agentes económicos, incluidas sanciones penales en caso de infracción grave, aplicables a las infracciones de lo dispuesto en el presente Reglamento, y adoptarán las medidas necesarias para garantizar su aplicación. Estas sanciones deben ser eficaces, proporcionadas y disuasorias y podrán aumentar si el operador económico responsable ya ha cometido infracciones similares con anterioridad contra las disposiciones del presente Reglamento.

Los Estados miembros comunicarán dichas disposiciones a la Comisión a más tardar el 1 de enero de 2010 y le notificarán sin demora cualquier modificación de las mismas.

Artículo 42.- Modificación de la Directiva 2001/95/CE

En el artículo 8, el apartado 3 de la Directiva 2001/95/CE se sustituye por el texto siguiente:

«3. En el caso de los productos que presenten un riesgo grave, las autoridades competentes adoptarán con la debida celeridad las medidas apropiadas mencionadas en el apartado 1, letras b) a f). Los Estados miembros deberán juzgar cada caso en particular sobre la base de sus características intrínsecas, y teniendo en cuenta las directrices a las que hace referencia el punto 8 del anexo II.».

Artículo 43.- Derogación

El Reglamento (CEE) nº 339/93 queda derogado con efectos a partir del 1 de enero de 2010.

Las referencias al Reglamento derogado se entenderán hechas al presente Reglamento.

Artículo 44.- Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del 1 de enero de 2010.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Estrasburgo, el 9 de julio de 2008.

Por el Parlamento Europeo

El Presidente

H.-G. PÖTTERING

Por el Consejo

El Presidente

J.-P. JOUYET

ANEXO I.- Requisitos aplicables al organismo cuyo reconocimiento se contempla en el artículo 14

1. El organismo reconocido en el artículo 14 del presente Reglamento (en lo sucesivo, «el organismo») estará establecido en el interior de la Comunidad.

2. De conformidad con los estatutos del organismo, los organismos nacionales de acreditación de los Estados miembros tendrán derecho a ser miembros del mismo a condición de que respeten las normas y los objetivos del organismo y las demás condiciones expuestas en dichos estatutos y acordados con la Comisión en el convenio marco.

3. El organismo deberá consultar a todas las partes interesadas.

4. El organismo ofrecerá a sus miembros servicios de evaluación por pares que satisfagan los requisitos de los artículos 10 y 11.

5. El organismo cooperará con la Comisión de conformidad con el presente Reglamento.

ANEXO II.- Marcado CE

1. El marcado CE consistirá en las iniciales «CE» según el modelo siguiente:

IMAGEN OMITIDA EN PÁGINA 47

2. Si el marcado CE se reduce o amplía se respetarán las proporciones del dibujo graduado del apartado 1.

3. Si la legislación específica no impone dimensiones concretas, el marcado CE tendrá una altura mínima de 5 mm.

—————————————————————————————————————-

(1) DO C 120 de 16.5.2008, p. 1.

(2) Dictamen del Parlamento Europeo de 21 de febrero de 2008 (no publicado aún en el Diario Oficial) y Decisión del Consejo de 23 de junio de 2008.

(3) Véase la página 82 del presente Diario Oficial.

(4) DO L 11 de 15.1.2002, p. 4.

(5) DO L 145 de 31.5.2001, p. 43.

(6) DO L 281 de 23.11.1995, p. 31. Directiva modificada por el Reglamento (CE) nº 1882/2003 (DO L 284 de 31.10.2003, p. 1).

(7) DO L 8 de 12.1.2001, p. 1.

(8) DO L 40 de 17.2.1993, p. 1. Reglamento modificado en último lugar por el Reglamento (CE) nº 1791/2006 (DO L 363 de 20.12.2006, p. 1).

(9) DO L 248 de 16.9.2002, p. 1. Reglamento modificado en último lugar por el Reglamento (CEE) nº 1525/2007 (DO L 343 de 27.12.2007, p. 9).

(10) DO L 204 de 21.7.1998, p. 37. Directiva modificada en último lugar por la Directiva 2006/96/CE del Consejo (DO L 363 de 20.12.2006, p. 81).

(11) DO L 302 de 19.10.1992, p. 1. Reglamento modificado en último lugar por el Reglamento (CE) nº 1791/2006 (DO L 363 de 20.12.2006, p. 1).

(12) DO L 357 de 31.12.2002, p. 1. Reglamento modificado en último lugar por el Reglamento (CE, Euratom) nº 478/2007 (DO L 111 de 28.4.2007, p. 13).

(13) DO L 312 de 23.12.1995, p. 1.

(14) DO L 292 de 15.11.1996, p. 2.

(15) DO L 136 de 31.5.1999, p. 1.

LA ASAMBLEA GENERAL,

RECORDANDO:

Que la resolución COM/CITEL RES. 242 (XXV-11) «Contribución de la CITEL a la VI Cumbre de las Américas» invitó a los Estados Miembros de la CITEL a remitir a su coordinador nacional de la VI Cumbres de las Américas documentos emanados de diversas reuniones de la CITEL que reflejan el impacto positivo de las telecomunicaciones y las Tecnologías de la Información y la Comunicación (TIC) en temas de gran importancia para la Región como son la inclusión social, la seguridad ciudadana, la prevención y mitigación de desastres naturales y la promoción del acceso y uso de la tecnología;

Que la actuación de la CITEL en la UIT permite la consolidación de propuestas interamericanas, el fortalecimiento del bloque regional y la defensa del interés de los países de las Américas.

Que se discuten en el ámbito de la CITEL cuestiones relevantes para los Estados Miembros, tales como los temas relacionados a la implementación del dividendo digital, los planes de banda ancha, la definición y la armonización de bandas de frecuencia para el acceso a los servicios móviles, las comunicaciones de emergencia, entre otros.

La gran labor desempeñada por la CITEL como Organismo Regional de Telecomunicaciones de la Américas en la Conferencia Mundial de Radiocomunicaciones de 2012 (CMR-12) de la Unión Internacional de Telecomunicaciones, al presentar más de 200 propuestas interamericanas de enmiendas al Reglamento de Radiocomunicaciones , que es el tratado internacional por el cual se rige la utilización del espectro de frecuencias radioeléctricas y de las órbitas de los satélites geoestacionarios y no geoestacionarios;

Que por decisión de la Tercera Sesión Plenaria del Comité Consultivo Permanente I: Telecomunicaciones/Tecnologías de la Información y la Comunicación (CCP.I) se enviaron 14 propuestas interamericanas a la Asamblea Mundial de Normalización de las Telecomunicaciones de 2012 (AMNT-12) (Dubai, Emiratos Árabes Unidos, 20 al 29 de noviembre de 2012) y 39 propuestas interamericanas a la Conferencia Mundial de Telecomunicaciones Internacionales (CMTI-12) (Dubai, Emiratos Árabes Unidos, 3 al 14 de diciembre de 2012); y

Que la CITEL participó activamente en la preparación de la Cumbre «Conectar Américas» (Ciudad de Panamá, Panamá, 17 al 19 de julio de 2012) cuyo objetivo fue movilizar recursos humanos, financieros y técnicos para la implementación de los resultados de la Cumbre Mundial de la Sociedad de la Información (CMSI);

CONSIDERANDO:

Que en la VI Cumbre de las Américas se aprobaron mandatos en las áreas de «integración de la infraestructura física en las Américas», «acceso y uso de las tecnologías de la información y las comunicaciones», «pobreza, desigualdad e inequidad», «reducción y gestión del riesgo de desastre» y «seguridad ciudadana y delincuencia organizada transnacional» que tienen disposiciones relacionadas directamente al trabajo de la CITEL;

Que la CMR-12 adoptó resoluciones de gran impacto en los ámbitos de la banda ancha móvil, el dividendo digital, interferencias, y la coordinación y notificación de redes de satélite y desarrolló el orden del día de la CMR-15 que incluye temas de gran impacto en la región dado que el espectro radioeléctrico es un recurso finito, pero los requisitos de frecuencia y la multiplicidad de aplicaciones de radiocomunicaciones van en aumento por lo que los procedimientos regulatorios deben ser continuamente evaluados con el fin de satisfacer las necesidades de las administraciones;

Que la AMNT-12 adoptó resoluciones de gran importancia para la evolución y desarrollo de las telecomunicaciones mundiales y para la innovación continua y el crecimiento de mercado;

Que la CMTI-12 realizó la actualización del Reglamento de las Telecomunicaciones Internacionales (RTI), que sirve como tratado mundial vinculante en el que se describen los principios por los que se rige el tráfico internacional de voz, datos y vídeo, y sienta los cimientos para la innovación continua y el crecimiento del mercado; y

Que del 10 al 13 de febrero de 2014 se realizará la VI Asamblea de la CITEL en Santo Domingo, República Dominicana, que es el Foro Interamericano para que las más altas autoridades de telecomunicaciones/TIC de los Estados miembros de la CITEL intercambien opiniones y experiencias, tomando las decisiones adecuadas para orientar su actividad, por lo que en el año 2013 se deberá comenzar su preparación,

REAFIRMANDO:

Que, en su calidad de principal foro multilateral del Hemisferio, la OEA tiene un papel singular que desempeñar en el fortalecimiento de la conectividad de la región a fin de contribuir a su desarrollo socio-económico; y

Que la Comisión Interamericana de Telecomunicaciones (CITEL) tiene un papel crucial que desempeñar para establecer un punto de referencia en las Américas en lo que respecta a la sociedad de la información y que ha demostrado ser un mecanismo eficaz para facilitar las contribuciones de los Estados Miembros a Conferencias Internacionales,

RESUELVE:

1.- Invitar a los Estados Miembros a participar activamente en las actividades relacionadas con la preparación de la CMR-15, la VI Asamblea de la CITEL de 2014 que tendrá lugar del 10 al 13 de febrero en Santo Domingo, República Dominicana, la Conferencia Mundial de Desarrollo de las Telecomunicaciones de 2014 Sharm El Sheik, Egipto, del 31 de marzo al 11 de abril y la Conferencia de Plenipotenciarios de 2014 Busán, República de Corea, del 20 de octubre al 7 de noviembre, según proceda, para llegar a las mismas con una posición fuerte y consensuada de la región.

2.- Destacar que las competencias básicas de la CITEL en el campo de las TIC tales como la asistencia para disminuir la brecha digital, la cooperación regional e internacional, la gestión del espectro radioeléctrico y la difusión de información, revisten crucial importancia en la construcción de la sociedad de la información.

3.- Instar a la CITEL a impulsar el desarrollo, coordinación e implementación de estrategias según corresponda para expandir el uso de las TIC con el apoyo del sector privado y los actores sociales del hemisferio, en concordancia con los compromisos aprobados en la VI Cumbre de las Américas.

4.- Encomendar a la Secretaria General de la OEA que siga dedicando a la CITEL el apoyo financiero necesario que garantice la continuidad en la implementación de sus mandatos.

5.- Alentar a los Estados Miembros y miembros asociados de la CITEL a presentar propuestas y contribuciones para las reuniones de la CITEL y en caso sea posible a aportar contribuciones financieras voluntarias para la realización de trabajos que permitan impulsar el desarrollo, coordinación e implementación de estrategias para desarrollar y promover propuestas interamericanas de conformidad con el párrafo 1 y proyectos, según corresponda, para expandir el acceso y uso de las TIC en las Américas.

6.- Solicitar a la CITEL que presente un informe de seguimiento a la Asamblea General en su siguiente período ordinario de sesiones.

7.- Que la ejecución de las actividades previstas en esta resolución estará sujeta a la disponibilidad de recursos financieros en el programa-presupuesto de la Organización y otros recursos.

———————————————————————————————————————　

(1) desarrollo de la misma, los Jefes de Estado y de Gobierno no pudieron abordar, ni aprobaron la Declaración Política que incluía la voluntad solidaria de los países de América Latina y el Caribe para que la hermana República de Cuba participe de forma incondicional y en plano de igualdad soberana en dicho foro. Reafirmamos que no puede realizarse «Cumbre de las Américas» sin la presencia de Cuba. Los mandatos y las partes resolutivas de los ejes temáticos, formaban parte de la Declaración Política, y al no ser aprobada esta, aquellos también quedaron sin aprobación, razón por la cual Nicaragua no está de acuerdo en hacer mención de estos documentos y mandatos que no fueron aprobados.

(2) sin perjuicio de los contenidos aprobados por el Ecuador en otros contextos de negociación, según corresponda.

VISTO los Decretos números 78 del 20 de enero de 2000 y sus modificatorios, 2085 del 7 de diciembre de 2011 y 189 del 15 de diciembre de 2011, y

CONSIDERANDO:

Que por el referido Decreto nº 78/00 y sus modificatorios se aprobó la estructura organizativa de la Secretaría Legal y Técnica de la Presidencia de la Nación.

Que por el Decreto nº 2085/11 se asignaron a la Secretaría Legal y Técnica de la Presidencia de la Nación las competencias referidas a la administración del Dominio de Nivel Superior Argentina (.ar) a los efectos de optimizar el funcionamiento de dicho Dominio, en consonancia con la relevancia y trascendencia de sus objetivos.

Que mediante el Decreto citado en último término en el Visto se creó en el ámbito de la Subsecretaría Técnica de la Secretaría Legal y Técnica de la Presidencia de la Nación la Dirección Nacional de Registro de Dominios de Internet.

Que resulta necesario ajustar tanto la normativa como el glosario de términos a las características de la actualización técnica y a la modernización de los sistemas de registro de dominios de internet.

Que asimismo y de conformidad a los cambios implementados por la aludida Dirección Nacional resulta imprescindible el dictado de un nuevo cuerpo normativo que los contemple.

Que ha tomado la intervención de su competencia la Dirección General de Asuntos Jurídicos de la Subsecretaría de Asuntos Legales de la Secretaría Legal y Técnica de la Presidencia de la Nación.Que la presente medida se dicta en ejercicio de las atribuciones conferidas por el Decreto nº 78/00 y sus modificatorios y el Numeral 14 del Apartado II del Anexo II al artículo 2° del Decreto nº 357/02 y sus modificatorios.

Por ello,

EL SECRETARIO LEGAL Y TECNICO DE LA Presidencia de la Nación

RESUELVE:

Artículo 1º.– Apruébase el «REGLAMENTO PARA LA ADMINISTRACION DE DOMINIOS DE INTERNET EN ARGENTINA» que como ANEXO I forma parte de la presente resolución.

Artículo 2º.- Apruébase el «MANUAL DE REGISTRO DE DOMINIOS DE INTERNET» que como ANEXO II forma parte de la presente resolución.

Artículo 3º.- Apruébase el «GLOSARIO DE TERMINOS» que como ANEXO III forma parte de la presente resolución.

Artículo 4º.- Facúltase a la Dirección Nacional del Registro de Dominios de Internet de la Subsecretaría Técnica de la Secretaría Legal y Técnica de la Presidencia de la Nación a dictar las normas aclaratorias y complementarias de la presente medida.

Artículo 5º.- La presente medida entrará en vigencia a partir de su publicación en el Boletín Oficial.

Artículo 6º.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

Carlos A. Zannini.

ANEXO I.- REGLAMENTO PARA LA ADMINISTRACION DE DOMINIOS DE INTERNET EN ARGENTINA

PRINCIPIOS GENERALES

Artículo 1º.- NIC Argentina es la denominación que, siguiendo las prácticas internacionales en la materia, identifica a la Dirección Nacional del Registro de Dominios de Internet de la Subsecretaría Técnica de la Secretaría Legal y Técnica de la Presidencia de la Nación en su carácter de administrador del Dominio de Nivel Superior Argentina (.ar).

Artículo 2º.- NIC Argentina efectuará el registro de los nombres de dominio de internet, en adelante nombres de dominio, solicitados de acuerdo con las normas, reglas, procedimientos y glosario de términos vigentes. Podrán registrarse nombres de dominio bajo las zonas com.ar, org.ar, net.ar, tur.ar, int.aar, gob.ar, mil.ar y .ar. Este último sólo podrán registrarlo entidades gubernamentales, y todos en las formas y condiciones establecidas en el presente cuerpo normativo.

Artículo 3º- El registro de un determinado dominio se otorgará a la persona física o jurídica que primero lo solicite, y se encuentre debidamente registrada en el sistema como Usuario, con las excepciones señaladas en la presente normativa. Esta persona revestirá la calidad de Titular del nombre de dominio.

Las personas jurídicas nacionales o extranjeras que hubieran presentado copia simple de la documentación requerida revisten el carácter de Usuarios Transitorios, no pudiendo transferir ni dar de baja dominios.

Artículo 4º.- Todo Titular puede crear uno o más Alias asociados a su Usuario, otorgándoles permisos para que opere sobre sus dominios.

Artículo 5º.– Todo Titular que registre un nombre de dominio a través de la página web de NIC Argentina, sea una persona física o jurídica, manifiesta conocer y aceptar inexcusablemente las normas, reglas, procedimientos y glosario de términos vigentes de NIC Argentina establecidos en el presente cuerpo normativo.

Artículo 6º.– La información suministrada a NIC Argentina tendrá carácter de declaración jurada.

Artículo 7º.- NIC Argentina podrá modificar cuando lo estime pertinente este Reglamento, el que será publicado en el sitio nic.ar, con una anticipación de TREINTA (30) días corridos antes de su entrada en vigencia.

Artículo 8º.- NIC Argentina podrá modificar en cualquier momento sin previo aviso su página web y estará exento de cualquier responsabilidad por daños directos o indirectos que puedan derivarse del uso o acceso a la misma.

Artículo 9°.– NIC Argentina está facultado desde la entrada en vigencia de la presente Resolución, para percibir aranceles por todas las gestiones de registro de los dominios de Internet, entendiendo como tales: altas, modificaciones, transferencias, disputas y renovaciones. La falta de pago del arancel pertinente, provocará irrevocablemente la cancelación de los trámites iniciados y/o la revocación automática de los dominios registrados.

Artículo 10.- Todas las solicitudes de nuevos registros de nombres de dominio y las transferencias serán publicadas en la edición impresa y en la versión web del Boletín Oficial de la República Argentina, por el término de DOS (2) días.

Artículo 11.- NIC Argentina rechazará, sin necesidad de interpelación previa, solicitudes de registro de nombres de dominio ya registrados; o que considere agraviantes, discriminatorios o contrarios a la ley, a la moral o a las buenas costumbres; o que puedan prestarse a confusión, engaño o suplanten la identidad de instituciones, organismos o dependencias públicas nacionales, provinciales, municipales, de la Ciudad Autónoma de Buenos Aires, o de organismos internacionales.

Artículo 12.- Los registros en las zonas especiales deberán cumplir con los requisitos esenciales establecidos en el Anexo II pto.2. 2. A.

Artículo 13.– El Titular asume el compromiso de que el registro de un dominio no se realizará con un propósito ilegal, ni afectará o perjudicará a terceros.

Artículo 14.- La ocultación, omisión o falsificación de información que NIC Argentina considere necesaria para aceptar la solicitud de la registración del Usuario, podrá implicar la baja total del trámite pertinente.

Artículo 15.- Cualquier persona podrá denunciar ante NIC Argentina una suplantación de identidad a través del procedimiento de «Denuncia por Datos Falsos» regulado en el Anexo II de la presente normativa.

Artículo 16.- NIC Argentina podrá inhabilitar y/o revocar los dominios al Titular cuando en ellos se generen posibles acciones que perjudiquen a terceros, encontrándose facultado para radicar la correspondiente denuncia ante los organismos competentes.

Artículo 17.- La responsabilidad del Titular es objetiva e independiente de la responsabilidad civil o penal que se origine por los hechos u omisiones que configuren la infracción o irregularidad.

Artículo 18.- El otorgamiento del registro de un nombre de dominio no implica que NIC Argentina asuma responsabilidad alguna respecto de la legalidad de ese registro, ni de su contenido o uso que se haga con el mismo.

Artículo 19.- NIC Argentina no resultará responsable por los conflictos que se relacionen con marcas registradas o por cualquier otro tipo de conflicto que se relacione con derechos de propiedad intelectual que el registro de un nombre de dominio pudiera ocasionar.

Artículo 20.- NIC Argentina, excepto en los supuestos expresamente tipificados en la presente normativa, no intervendrá en los conflictos que eventualmente se susciten entre Titulares o entre éstos y Usuarios o terceros relativos al registro o al uso de un nombre de dominio.

Artículo 21.– NIC Argentina no será responsable por la eventual interrupción de negocios, ni por los daños y perjuicios de cualquier índole que pudiera causarle al Usuario o al Titular el rechazo de una solicitud, la revocación, la pérdida de un registro de un dominio, la caída del servicio de registración de nombres de dominio y/o servicio de DNS.

Artículo 22.- NIC Argentina podrá, en el momento que crea pertinente, requerir la documentación complementaria que considere necesaria, la que deberá será remitida en el plazo oportunamente fijado.

Artículo 23.- La notificación del requerimiento al que se refiere el artículo precedente se efectuará por correo electrónico a la dirección o direcciones denunciadas por el Usuario y que obran en sus datos de registro.

Artículo 24.- El registro de un nombre de dominio tendrá una validez de UN (1) año computado a partir de la fecha de su registración, pudiendo ser renovado en forma periódica. Se otorgará un período de gracia de TREINTA (30) días posteriores a la fecha de vencimiento durante los cuales el servicio no se encontrará disponible pero el Usuario no perderá la titularidad del dominio.

Artículo 25.- El Titular del dominio podrá realizar el trámite de renovación TREINTA (30) días antes de su vencimiento y hasta el último día del período de gracia señalado en el artículo precedente. La renovación deberá ser solicitada en forma expresa.

Artículo 26.- NIC Argentina está facultado para aplicar las siguientes sanciones: baja de dominio, baja de delegación de dominio, e inhabilitación del Usuario por tiempo indeterminado.

Artículo 27.- Si de un mismo hecho o hechos sucesivos derivasen una o más sanciones, NIC argentina podrá aplicarlas independientemente.

Artículo 28.- El nombre de dominio podrá ser dado de baja por las siguientes causales: unilateralmente por el Titular, por la falta de renovación, por el Alias en caso de estar facultado por el Titular y por decisión judicial o de autoridad administrativa.

Artículo 29.- NIC Argentina podrá revocar cuando lo estime pertinente el registro de un nombre de dominio si, por razones técnicas o de servicio ello sea conveniente o en caso de verificarse el incumplimiento de lo establecido en la presente normativa.

Artículo 30.- Para todas las controversias derivadas de la aplicación y vigencia de la presente reglamentación, será competente la Justicia Nacional en lo Contencioso Administrativo Federal de la Capital Federal.

Artículo 31.- Todas las notificaciones efectuadas al correo electrónico y datos registrales denunciados por los Titulares o Usuarios del sistema de NIC Argentina serán consideradas válidas, siendo de su exclusiva responsabilidad mantenerlos actualizados.

Artículo 32.- La cantidad mínima de caracteres que compongan el nombre de dominio a registrar es de CUATRO (4). Dicha cantidad no incluye los caracteres correspondientes a la zona de que se trate. Sólo por excepción debidamente fundada se permitirá cantidades menores a las referidas, quedando a criterio de NIC Argentina su otorgamiento o eventual renovación.

Artículo 33.- Los caracteres válidos para componer un nombre de dominio serán las letras del alfabeto español y portugués incluidas la «ñ» y la «ç», las vocales acentuadas y con diéresis, los números y el guión «-«. No podrán registrarse nombres que comiencen con los caracteres «xn- -» (equis ene guión guión), o que comiencen o terminen con el caracter «-» (guión). A los fines de determinar la prioridad ante oposiciones en la registración de nombres de dominio con caracteres multilingües, NIC Argentina utilizará los siguientes parámetros de conversión:

a. Los caracteres «á», «â», «ã» o «à» serán considerados como letra «a».

b. Los caracteres «é» o «ê» serán considerados como letra «e».

c. El caracter «í» será considerado como letra «i».

d. Los caracteres «ó», «ô» u «õ» serán considerados como letra «o».

e. Los caracteres «ú» o «ü» serán considerados como letra «u».

f. El caracter «ç» será considerado como letra «c» o «s», según corresponda.

g. El caracter «ñ» será considerado diferente del caracter «n».

Artículo 34.- Cualquier persona física o jurídica que registre nombres de dominio, se ajustará al proceso de disputa por parte de terceros establecido en el presente.

Artículo 35.- El trámite de disputa de un nombre de dominio se considerará ingresado cuando se acredite el pago del arancel estipulado.

Artículo 36.- Las disputas al registro de un nombre de dominio podrán interponerse a partir del día siguiente a la última publicación del nombre de dominio en el Boletín Oficial de la República Argentina. No podrá interponerse más de una disputa de manera simultánea.

Artículo 37.- Dicha disputa deberá ser autosuficiente, estar acompañada de la totalidad de la documentación que acredite su mejor derecho y del comprobante de pago del arancel correspondiente. El accionante deberá estar validado ante NIC Argentina como Usuario al momento de la presentación de la Disputa.

Artículo 38.- NIC Argentina notificará al Titular del dominio de la disputa incoada. El Titular del nombre de dominio objeto de la disputa tendrá un plazo de QUINCE (15) días hábiles, contados a partir del día siguiente a la fecha de notificación para la contestación de la disputa. Dicha contestación podrá efectuarse vía mail desde la casilla registrada ante NIC Argentina, y deberá ser autosuficiente y estar acompañada de la totalidad de la prueba que acredite su mejor derecho. NIC Argentina se reserva la facultad de requerir la presentación de los medios probatorios, cuando lo considere necesario.

Artículo 39.- Los plazos señalados para la presentación de la disputa o contestación de la disputa podrán ser ampliados, por única vez, por QUINCE (15) días hábiles a petición de parte, invocando razones suficientes. Sin perjuicio de ello, NIC Argentina podrá prorrogar los plazos de oficio, cuando existan fundadas razones.

Artículo 40.- Una vez contestada la disputa o vencido el plazo para hacerlo, NIC Argentina resolverá, previa intervención de las áreas competentes, y lo resuelto le será notificado a las partes quienes podrán recurrirlo de conformidad con las disposiciones establecidas en el Reglamento de Procedimientos Administrativos, Decreto 1759/72 t.o. 1991.

Artículo 41.– El Titular podrá transferir el registro del nombre de dominio a otra persona física o jurídica debidamente registrada en el sistema como Usuario, conforme surge del Anexo II de la presente medida. No podrán realizarse transferencias durante el plazo de disputa, o cuando sobre el nombre de dominio recae una manda judicial o administrativa.

Artículo 42.- La transferencia se llevará a cabo a través del formulario electrónico de transferencias disponible en la página web de NIC Argentina.

Artículo 43.– La transferencia tendrá efectos a partir de la aprobación de la solicitud por parte del Usuario Destino y la acreditación del pago. El registro por transferencia renovará el plazo de validez del dominio, de conformidad con lo establecido en el artículo 24 del presente.

Artículo 44.- El nombre de dominio puede ser transferido por sucesión, por manda judicial y/o administrativa competente.

Artículo 45.- El nombre de dominio no podrá ser transferido si sobre él recae una medida cautelar dictada por autoridad judicial o administrativa competente.

Artículo 46.- En caso de muerte del titular NIC Argentina procederá a la creación de un Alias al solo efecto de la renovación, hasta tanto se determine un sucesor universal del causante. Caso contrario, la no acreditación del proceso sucesorio en un espacio de tiempo razonable, reintegrará la disponibilidad del dominio.

ANEXO II.- Manual de Registro de Dominios de Internet

En esta guía oficial de NIC Argentina podrá encontrarse información útil sobre usuarios, dominios y condiciones de uso, así como los procedimientos para iniciar los trámites correspondientes.

1. SOBRE LOS USUARIOS

1.1 Usuario

Un Usuario de NIC Argentina es un visitante registrado en el sitio oficial. Para poder registrar dominios y administrarlos, es necesario el registro, creando un Usuario y una contraseña.

1.2 Registro de usuarios

Para acceder como Usuario a NIC Argentina es necesario registrarse, completando el formulario de registro desde el sitio oficial de NIC Argentina, https://nic.ar.

A continuación, deberá seleccionarse el tipo de persona a dar de alta:

• Persona Física / Monotributista• Persona Jurídica (empresa / organización) Dependiendo del caso, se deberá indicar si se posee DNI o no, o bien si la empresa u organización está registrada ante AFIP o no. Es importante que los datos ingresados sean verdaderos, ya que el sistema validará la información.

Al final del formulario, automáticamente, aparecerá tildada la opción «Publicar mis datos».

En caso de no querer que los datos personales sean visibles cuando otros Usuarios consulten los dominios registrados por el titular, deberá destildarse esta opción.

Al hacer clic en «Registrarme», el sistema enviará un correo electrónico para que el usuario confirme que la casilla está activa. Al recibirlo, deberá hacer clic en el vínculo facilitado para confirmar que se trata de una cuenta de correo vigente.

Una vez realizado esto, NIC Argentina procederá a validar los datos según corresponda a la condición de persona, empresa u organización, y cuando finalice el proceso, se notificará al usuario por correo electrónico. A partir de ese momento, éste podrá acceder a todas las funcionalidades del sistema.

En caso de estar registrando un usuario en condición de persona física extranjera o persona jurídica, será necesario presentar cierta documentación para completar el proceso de validación.

Una vez que el proceso finalice y los datos registrales estén validados, no podrá modificarse información como Nombre, Apellido, Razón Social, DNI, CUIT, fecha de nacimiento, etc., desde el sistema. Sólo podrán solicitarse estas modificaciones presentando la nota correspondiente.

En caso de haber tenido dominios registrados en el sistema anterior, es necesario que coincida el nº de DNI/CUIT del usuario nuevo con los de la Entidad Registrante del sistema anterior para poder recuperarlos una vez registrado en el nuevo sistema. Los monotributistas deberán registrarse como persona física, con nº de DNI, y no como persona jurídica.

1.3 Validación de usuarios

Para validar a una persona física o jurídica, es decir, acreditar que los datos que se ingresaron en el sistema son correctos y reales, se requiere de una nota que debe ser presentada ante NIC Argentina, junto con la documentación solicitada según el tipo de usuario. Podrán encontrarse los modelos de notas y los requisitos para cada caso ingresando a https://nic.ar/documentacion.xhtml.

1.3.A) Persona Física

Deberá presentarse la Nota de Acreditación de Identidad (ADI).

Toda la documentación original (o copias certificadas) debe ser presentada por mesa de entradas, personalmente o por correo postal, en JUNCAL 847, CP 1062, CABA, Argentina.

IMPORTANTE: La Dirección Nacional del Registro de Dominios de Internet se reserva el derecho de solicitar, en el momento que lo considere oportuno, los originales o copias certificadas de la documentación originalmente presentada, o cualquier otra información o documentación que considere necesaria a efectos de validar definitivamente al usuario.

1.3.B) Persona Física Extranjera

Deberá presentarse la Nota de Acreditación de Identidad (ADI), certificada por un escribano público.

Toda la documentación original (o copias certificadas) debe ser presentada por mesa de entradas, personalmente o por correo postal, en JUNCAL 847, CP 1062, CABA, Argentina.

IMPORTANTE: La validación realizada a partir de copias simples de la documentación (es decir, sin certificar) es de carácter transitorio, y por tal motivo no podrán darse de Baja ni Transferir dominios. Además, la Dirección Nacional del Registro de Dominios de Internet se reserva el derecho de solicitar, en el momento que lo considere oportuno, los originales o copias certificadas de la documentación originalmente presentada, o cualquier otra información o documentación que considere necesaria a efectos de validar definitivamente al usuario.

1.3.C) Persona Jurídica

Deberá presentarse la Nota de Validación de Persona Jurídica (DPJ).

Esta nota podrá ser presentada en forma personal, o por correo postal, en nuestras oficinas de Juncal 847, CABA (C1062ABE), Argentina, o en forma digital desde el formulario web en http://punto.ar/validacion.

La misma debe estar firmada de puño y letra, y certificada por un escribano público.

También puede presentarse adjuntando la documentación que a continuación se detalla, en original o copias certificadas:

Documentación Adicional para Persona Jurídica (S.R.L. / S.A. / Etc.):

• Documento de donde surja el carácter de representante legal/apoderado del presentante, sea contrato social, estatuto de la persona jurídica, último acta de asamblea de reunión de socios .-según tipo societario.- o poder

• Constancia vigente de inscripción ante la AFIP

• DNI/DU del presentante Documentación Adicional para Persona Jurídica Sociedad de Hecho:

• De corresponder, contrato constitutivo de la persona jurídica

• Constancia vigente de inscripción ante la AFIP

• DNI/DU de todos los socios

• De encontrarse la nota suscripta por un apoderado, deberá acompañarse con el instrumento pertinente

IMPORTANTE: La validación realizada a partir de copias simples de la documentación (es decir, sin certificar) es de carácter transitorio, y por tal motivo no podrán darse de Baja ni Transferir dominios. Además, la Dirección Nacional del Registro de Dominios de Internet se reserva el derecho de solicitar, en el momento que lo considere oportuno, los originales o copias certificadas de la documentación originalmente presentada, o cualquier otra información o documentación que considere necesaria a efectos de validar definitivamente al usuario.

1.3.D) Persona Jurídica Extranjera

Deberá presentarse la Nota de Validación de Persona Jurídica Extranjera (DPJE).

Esta nota deberá ser presentada en forma personal, o por correo postal, en nuestras oficinas de Juncal 847, CABA (C1062ABE), Argentina, o en forma digital desde el formulario web en http://punto.ar/validacion.

La misma debe estar firmada de puño y letra, y certificada por un escribano público.

También puede presentarse adjuntando la documentación que a continuación se detalla, en original o copias certificadas:

• Poder debidamente certificado en el país de origen, traducido al castellano por traductor público, junto con el certificado de autenticación de la firma, todo apostillado en el país de origen, de acuerdo a los modelos que se adjuntan a la presente

• Copia autenticada del DNI /DU/Pasaporte del apoderadoEn caso de que la empresa extranjera haya otorgado poder ante escribano de la República Argentina, bastará la presentación de dicho instrumento junto con copia autenticada del DNI/DU/Pasaporte del apoderado.

IMPORTANTE: La validación realizada a partir de copias simples de la documentación (es decir, sin certificar) es de carácter transitorio, y por tal motivo no podrán darse de Baja ni Transferir dominios. Además, la Dirección Nacional del Registro de Dominios de Internet se reserva el derecho de solicitar, en el momento que lo considere oportuno, los originales o copias certificadas de la documentación originalmente presentada, o cualquier otra información o documentación que considere necesaria a efectos de validar definitivamente al usuario.

1.4 Cambio de datos de usuarios

En caso de que un usuario necesite modificar datos registrados en el sistema anterior, como por ejemplo, el correo electrónico asociado .-por no recordarlo o no encontrarse activa.-, deberá hacerlo mediante la Nota de Acreditación de Identidad (ADI) o Validación de Persona Jurídica (DPJ), según corresponda. Podrán encontrarse los modelos de notas y los requisitos para cada caso ingresando a https://nic.ar/documentacion.xhtml.

En caso de que un usuario necesite modificar datos registrados en el nuevo sistema, deberá presentarse la Nota de Actualización de Usuario (ADU).

1.4.A) Persona Jurídica (S.R.L. / S.A. / ETC.):

Esta nota deberá ser presentada en Juncal 847, CABA (C1062ABE) Argentina, adjuntando la documentación que a continuación se detalla, en original o copia certificada:

• Contrato social o estatuto de la persona jurídica, última acta de asamblea o de reunión de socios .-según tipo societario.- o poder, de donde surja el carácter de representante legal/apoderado del presentante

• Constancia de inscripción ante la AFIP vigente

• DNI del presentante

IMPORTANTE: Con el objetivo de facilitar y agilizar el registro en el nuevo sistema podrá enviarse la documentación mencionada en forma digital desde el formulario web en http://punto.ar/validacion.

Además, la Dirección Nacional del Registro de Dominios de Internet se reserva el derecho de solicitar, en el momento que lo considere oportuno, los originales o copias certificadas de la documentación originalmente presentada, o cualquier otra información o documentación que considere necesaria a efectos de validar definitivamente al usuario.

1.4.B) Sociedades de Hecho:

Esta nota deberá ser presentada en Juncal 847, CABA (C1062ABE) Argentina, adjuntando la documentación que a continuación se detalla en original o copia certificada:

• De corresponder, contrato constitutivo de la persona jurídica

• Constancia de inscripción de AFIP vigente

• DNI de todos los socios

• De encontrarse la nota suscripta por apoderado, deberá acompañarse con el instrumento pertinente

IMPORTANTE: Con el objetivo de facilitar y agilizar el registro en el nuevo sistema podrá enviarse la documentación mencionada en forma digital desde el formulario web en http://punto.ar/validacion.

Además, la Dirección Nacional del Registro de Dominios de Internet se reserva el derecho de solicitar, en el momento que lo considere oportuno, los originales o copias certificadas de la documentación originalmente presentada, o cualquier otra información o documentación que considere necesaria a efectos de validar definitivamente al usuario.

1.4.C) Persona Jurídica Extranjera:

Esta nota deberá ser presentada en Juncal 847, CABA (C1062ABE) Argentina, adjuntando la documentación que a continuación se detalla:

• Poder debidamente certificado en el país de origen, traducido al castellano por traductor público junto con el certificado de autenticación de la firma, todo apostillado en el país de origen

• Copia autenticada del DNI/DU/pasaporte del apoderado

En caso de que la empresa extranjera haya otorgado poder ante escribano de la República Argentina, bastará la presentación de dicho instrumento junto con copia autenticada del DNI/DU/pasaporte del apoderado.

IMPORTANTE: Con el objetivo de facilitar y agilizar el registro en el nuevo sistema podrá enviarse la documentación mencionada en forma digital desde el formulario web en http://punto.ar/validacion.

Además, la Dirección Nacional del Registro de Dominios de Internet se reserva el derecho de solicitar, en el momento que lo considere oportuno, los originales o copias certificadas de la documentación originalmente presentada, o cualquier otra información o documentación que considere necesaria a efectos de validar definitivamente al usuario.

1.4.D) Sucesiones

En caso de fallecimiento del titular, NIC Argentina procederá a la creación de un Alias al solo efecto de la renovación, hasta tanto se determine un sucesor universal del causante. La no acreditación del proceso sucesorio en un espacio de tiempo razonable, reintegrará la disponibilidad del dominio.

Documentación Adicional:

La siguiente documentación podrá presentarse por original o copia certificada en forma personal o vía correo postal en Juncal 847 – C1062ABE – CABA – Argentina.

• Declaratoria de herederos

• DNI del presentante

• Conformidad o permiso de uso del resto de los herederos ante escribano público

• Copia simple de la Partida de Defunción del titular

1.5 Denuncia por Datos Falsos

Para denunciar datos falsos, deberá presentarse la Nota de Denuncia por Datos Falsos.

Podrán encontrarse los modelos de notas y los requisitos para cada caso ingresando a https://nic.ar/documentacion.xhtml#RDF

Documentación Adicional:

La nota deberá presentarse en forma personal, o por correo postal, en Juncal 847, CABA (C1062ABE), Argentina, firmada de puño y letra y certificada por escribano público, junto con todo elemento que se estime pertinente en apoyo de la denuncia en cuestión. Para el caso de personas jurídicas, deberá acreditarse personería y capacidad para tal acto. En caso de presentarse personalmente, la documentación original es suficiente, no siendo necesaria la certificación del escribano.

1.6 Baja de Usuarios

La Baja del Usuario podrá realizarla el propio usuario, desde el panel de control, en la sección «Usuario«. Para ello, no deben existir dominios asociados al mismo, ni trámites en estado pendiente.NIC Argentina podrá inhabilitar y/o dar de baja a un usuario cuando éste genere acciones que perjudiquen a terceros, pudiendo incluso radicar la correspondiente denuncia ante los organismos competentes.

2. SOBRE LOS DOMINIOS

2.1 Dominio

Un dominio registrado en NIC Argentina hace referencia a un nombre de dominio alojado en el Dominio de Primer Nivel con Código de País (ccTLD) .ar.

Dentro del ccTLD .ar hay 9 (siete) zonas: .com.ar, .org.ar, .tur.ar, .gob.ar, gov.ar .net.ar, .mil.ar, .int.ar y .ar. Cada una de estas zonas tiene diferentes requisitos que el usuario debe cumplir para registrar dominios en la misma.

2.2 Alta de dominios

Para registrar un nombre de dominio, el primer requisito es estar registrado como usuario en NIC Argentina, y haber validado los datos registrados, independientemente de la zona en que se vayan a registrar dominios.

En caso de no haberlo hecho previamente, es necesario registrarse antes de poder registrar dominios. Toda la información al respecto puede encontrarse en el punto 1.2 Registro de usuarios de este manual.

En primer lugar, deberá comprobarse la disponibilidad del dominio que se quiere registrar, desde https://nic.ar/buscarDominio.xhtml.

• Si el dominio no está disponible, es recomendable elegir otro nombre similar, o en su defecto, seleccionar una de las siguientes opciones:

• Avisarme, para que el sistema notifique al Usuario en el momento en que ese dominio se libere

• Disputa, en caso de querer iniciar un reclamo por ese nombre de dominio, si el usuario considera que tiene mejor derecho sobre el mismo que el actual titular

• Datos Falsos, si se quiere denunciar que el dominio fue registrado por un usuario dado de alta con datos irreales, y se tienen pruebas de ello

• Enviar Mensaje, si se quiere contactar al titular del dominio, y éste habilitó la opción para que otros puedan hacerlo

• Si el dominio está disponible, deberá seleccionarse la opción Registrar dominio, para agregarlo a las Solicitudes.

• ZONAS ESPECIALES.

Para registrar dominios en la zona «.com.ar», el único requisito es estar registrado y validado como usuario del sistema.

Para registrar un dominio en una zona que no sea «.com.ar» (net.ar., gob.ar, mil.ar, .org.ar, .int.ar, .tur.ar) deberá solicitarse la autorización de NIC Argentina, presentando la nota y documentación correspondiente, según el caso.

2.2.A) Requerimientos por zona

.COM.AR

Podrá registrar dominios en la zona .com.ar cualquier persona física o jurídica argentina o extranjera. No se requerirá otra documentación específica que no sea la ya enunciada.

.GOB.AR

Sólo podrán registrar dominios en la zona .gob.ar entidades pertenecientes al Gobierno Nacional, Provincial o Municipal y la Ciudad Autónoma de Buenos Aires de la República Argentina. La documentación a presentar debe respaldar este carácter:

• Nota de Validación de Organismos Oficiales (GOBA), firmada por un funcionario competente del organismo: https://nic.ar/documentacion.xhtml#GOBA

• Acto de nombramiento del funcionario firmante

• DNI del firmante

.GOV.AR

Sólo podrán renovarse registros de dominio en la zona .gov.ar. No se tomarán nuevos registros en esta zona.

.INT.AR

Sólo podrán registrar dominios en la zona .int.ar entidades que sean Representaciones Extranjeras u Organismos Internacionales con sede en la República Argentina, y hayan sido debidamente acreditados por el Ministerio de Relaciones Exteriores y Culto u otro organismo competente. La documentación a presentar debe respaldar este carácter:

• Nota de Validación de Organismos Oficiales (GOBA), firmada por un funcionario competente del organismo: https://nic.ar/documentacion.xhtml#GOBA

• Acreditación de la Representación Extranjera u Organismo Internacional con sede en la República Argentina, en hoja membretada, expedida por el Ministerio de Relaciones Exteriores y Culto

• Acto de nombramiento del funcionario firmante

• DNI del firmante

.MIL.AR

Sólo podrán registrar dominios en la zona .mil.ar entidades pertenecientes a las Fuerzas Armadas de la República Argentina. La documentación a presentar debe respaldar este carácter:

• Nota de Validación de Organismos Oficiales (GOBA), firmada por un funcionario competente del organismo: https://nic.ar/documentacion.xhtml#GOBA

• Acreditación del organismo/entidad que demuestre la pertenencia a las Fuerzas Armadas de la República Argentina

• Acto de nombramiento del funcionario firmante

• DNI del firmante

.NET.AR

Sólo podrán registrar dominios en la zona .net.ar las entidades argentinas o extranjeras que sean proveedoras de servicios de Internet y tengan licencia de la Comisión Nacional de Comunicaciones para prestar servicios de valor agregado en la República Argentina. La documentación a presentar debe respaldar este carácter:

• Nota de Acreditación de Identidad (ADI), tildando la opción correspondiente a la zona: https://nic.ar/documentacion.xhtml#ADI

• DNI del firmante

.ORG.AR

Sólo podrán registrar dominios en la zona .org.ar las entidades que sean organizaciones sin fines de lucro argentinas o extranjeras. No podrán registrar nombres en esta zona las personas físicas por más que la actividad que las mismas desempeñen carezca de fines de lucro. La documentación a presentar debe respaldar este carácter:

• Nota de Validación de Persona Jurídica (DPJ), tildando la opción correspondiente a la zona: https://nic.ar/documentacion.xhtml#DPJ

• Acta constitutiva o estatuto, de donde surja el carácter de organización sin fines de lucro

• Acto de nombramiento del funcionario firmante

• DNI del firmante

.TUR.ARSólo podrán registrar dominios en la zona .tur.ar las empresas de viajes y turismo, agencias de turismo o agencias de pasajes que se encuentren habilitadas por el Ministerio de Turismo para funcionar como tales conforme a la normativa vigente en la materia. También podrán registrar nombres en esta zona los organismos de los gobiernos provinciales o municipales que tengan competencia en materia de promoción turística de la provincia o municipio correspondiente. La documentación a presentar debe respaldar este carácter:

• Nota de Validación de Persona Jurídica (DPJ) o nota de Acreditación de Identidad (ADI), según corresponda, certificada por un escribano público, y tildando la opción correspondiente a la zona: https://nic.ar/documentacion.xhtml#DPJ

https://nic.ar/documentacion.xhtml#ADI

NOTA: Para registrar un nombre de dominio en la zona .edu.ar, deberá solicitarse ante la Red de Interconexión Universitaria (http://www.riu.edu.ar/)

. NIC Argentina no administra el registro de dominios en esa zona.

.AR: Sólo podrán registrar dominios de segundo nivel (.ar) entidades pertenecientes al Gobierno Nacional, Provincial o Municipal de la República Argentina.

2.2.B) Costos

El monto correspondiente al registro de dominios en cada zona podrán consultarse en la lista de aranceles publicada en el Boletín Oficial de la República Argentina, son los siguientes:

• .com.ar Registro: $ 160

• .net.ar Registro: $ 160

• .tur.ar Registro: $ 160

• .org.ar Registro: $ 160

• .gob.ar Registro: $ 65

• .gov.ar Registro: $ 65

• .int.arRegistro: $ 65

• .mil.ar Registro: $ 65

• .ar Registro: $ 450

2.2.C) DuraciónEl registro de un nombre de dominio tendrá una vigencia de UN (1) año computado a partir de la fecha de su registro, pudiendo ser renovado en forma periódica. Se otorgará un período de gracia de TREINTA (30) días posteriores a la fecha de vencimiento durante los cuales el servicio no se encontrará disponible pero el usuario no perderá la titularidad del dominio.

2.3 Obtención de dominios

En caso de haber tenido dominios registrados en el sistema anterior, al registrarse como usuario, deberá efectuarse el trámite de Obtención de dominios para incorporarlos al listado de dominios del panel de control. Este trámite es muy simple, se realiza online y se procesa en el día.

Deberá iniciarse sesión en el sitio https://nic.ar, y desde la sección Dominios del panel de control, hacer clic en el botón «Obtención de dominios«. A continuación, deberá ingresarse el correo electrónico asociado a la Entidad Registrante en el sistema anterior.

IMPORTANTE: Para realizar la obtención de dominios, el sistema validará que los datos del usuario coincidan con los de la Entidad Registrante en el sistema anterior. En caso de no recordar el correo electrónico asociado a la Entidad Registrante, o ya no tener acceso al mismo, deberá solicitarse su modificación a través de la nota de Validación de Persona Física (ADI) o Validación de Persona Jurídica (DPJ), según corresponda.

El sistema generará una lista con los dominios asociados a la Entidad Registrante vinculada a la cuenta de correo electrónico ingresada.

Una vez iniciado el trámite, el sistema enviará una Clave de Obtención a la casilla de correo electrónico asociada al usuario, y un Vínculo de confirmación a la casilla asociada a la Entidad Registrante. Dicho vínculo redirigirá a una página en la que habrá que ingresar la Clave de Obtención.

Al volver a iniciar sesión, podrá verse un listado de todos los dominios a obtener en la sección «Dominios« del panel de control.

2.4 Delegación de dominios

La Delegación es la configuración de DNS (Domain Name Service – Servicio de Nombres de Dominio) que debe asociarse a un nombre de dominio para relacionarlo con el servicio de hosting u hospedaje que almacenará la información del sitio web, correo electrónico, etc.La Delegación de dominios se realiza desde la sección «Dominios« del panel de control, seleccionando los dominios a delegar, o aquellos cuya delegación quiera modificarse.

A continuación, deberá seleccionarse una de las siguientes opciones:

• No delegar: Si el usuario no quiere delegar aún el dominio (sólo reservar el nombre).

En caso de no haber contratado todavía un servicio de hosting, es posible reservar el nombre de dominio sin delegarlo. El proceso de Delegación puede hacerse más tarde.

• Delegar: Al elegir esta opción, deberán agregarse los DNS que se deseen asociar, es decir, aquellos en los que va a estar alojado el dominio.

• La opción Autodelegación permite configurar servidores de DNS en el dominio que se está delegando. En ese caso, deberá indicarse el host + nombre del dominio y la IP correspondiente a cada host que se esté creando.

En caso de ingresar los datos suministrados por un ISP, no deberá tildarse esta opción.

• Si ya se dispone de un servicio de hosting, el usuario deberá solicitarle al mismo la información de los DNS (hosts) donde va a estar alojado el dominio.

La Delegación de un dominio requiere que se asocien al menos dos hosts para que el dominio funcione correctamente.

2.5 Renovación de dominios

El registro de un nombre de dominio tiene una vigencia de un (1) año computado a partir de la fecha en que se acredita el pago del mismo, pudiendo ser renovado en forma periódica.

La renovación del registro de un dominio extiende la vigencia del mismo por el plazo de (1) año, y podrá volver a renovarse una vez que vuelva a ingresar en período de baja.

La renovación no se realiza en forma automática: deberá ser solicitada por el usuario, a través del panel de control, en forma expresa, y durante el período de vencimiento, que comienza 30 días antes de la fecha de vencimiento, y podrá extenderse hasta 30 días después del vencimiento. En este plazo posterior al vencimiento, denominado período de baja, se mantendrá la titularidad del dominio, pero se dará de baja la delegación,por lo cual, si el dominio es renovado durante este período, deberá ser delegado nuevamente.

Para renovar dominios, es necesario estar registrado y validado como usuario en NIC Argentina, y haber obtenido los dominios del sistema anterior.En caso de no haberlo hecho previamente, es necesario registrarse antes de poder renovar dominios. Toda la información al respecto puede encontrarse en el punto 1.2 Registro de usuarios de este manual.

El inicio del trámite de renovación es muy simple: luego de haber iniciado sesión, deberán seleccionarse los dominios correspondientes y agregarlos a la lista de Solicitudes mediante el botón renovar, situado a la derecha de los dominios, en el panel de control.

Desde la sección «Dominios« del panel de control podrá verificarse que la fecha de vencimiento de los dominios cambiará automáticamente al finalizar el proceso.

2.5.A) Costos

El monto correspondiente a la renovación de dominios en cada zona podrá consultarse en la lista de aranceles publicada en el Boletín Oficial de la República Argentina, y son los que siguen:

• .com.ar Renovación: $ 160

• .net.ar Renovación: $ 160

• .tur.ar Renovación: $ 160

• .org.ar Renovación: $ 160

• .gob.ar Renovación: $ 65

• .gov.ar Renovación: $ 65

• .int.arRenovación: $ 65

• .mil.ar Renovación: $ 65

• .ar Renovación: $ 450

2.5.B) Duración

La renovación del registro de un nombre de dominio extenderá su validez por UN (1) año computado a partir de la fecha de renovación, pudiendo ser renovado nuevamente, en forma periódica. Se otorgará un período de gracia de TREINTA (30) días posteriores a la fecha de vencimiento, durante los cuales el servicio no se encontrará disponible pero el usuario no perderá la titularidad del dominio.

2.6 Alias

Una persona física o jurídica (nacional o extranjera) puede crear uno o más Alias, que estarán asociados a su usuario y a los cuales puede otorgarle diferentes permisos para que opere sobre determinados dominios, a elección del usuario titular.Cada Alias posee un nombre, una contraseña, un correo electrónico asociado y permisos de ejecución, que son configurables desde la cuenta del usuario titular.

El alta de un Alias requiere haber iniciado sesión, por lo que es requisito estar registrado como usuario y haber validado los datos registrales. El trámite se efectúa desde la sección «Usuario«, mediante la opción Alias, completando el formulario de alta.

No podrán existir en sistema dos Alias con el mismo nombre, contraseña o correo electrónico.

Será necesario indicar sobre qué dominios tendrá permisos cada Alias, y qué permisos le serán otorgados (es necesario seleccionar por lo menos un dominio y un permiso) antes de guardar los cambios. El sistema automáticamente enviará un correo de confirmación a la casilla de correo electrónico del usuario titular y a la del Alias.

El Alias va a iniciar sesión indicando en el campo «Usuario» un nombre compuesto por el nombre del usuario titular, un guión bajo (_) y el nombre de Alias que le haya sido asignado por el Usuario titular: [UsuarioTitular_Alias]

El usuario titular deberá contactar al Alias e informarle los datos de inicio de sesión que le consignó para que éste pueda ingresar al sistema.

2.7 Transferencia de dominios

Un usuario registrado y validado en forma definitiva en NIC Argentina puede transferir la titularidad de un dominio a otro usuario del sistema.

La transferencia de dominios se inicia desde la sección «Dominios« del panel de control, seleccionando los dominios a transferir, y completando los datos del Usuario Destino, que es quien recibirá la transferencia de dominios.

La transferencia de dominios tiene dos etapas, una que corresponde al Usuario Origen, que es el titular de los dominios y origina la transferencia, y otra que corresponde al Usuario Destino.

Al darse inicio al trámite desde el panel de control del Usuario Origen, el sistema enviará un correo electrónico con un vínculo de confirmación de la transferencia a su casilla. Una vez que éste preste conformidad con el trámite, se le enviará un correo electrónico de notificación al Usuario Destino. Este puede aceptar o rechazar la transferencia desde la sección «Trámites« de su panel de control, agregando el/los dominio/s a sus Solicitudes.

Para dar por finalizada la Transferencia, tendrá que abonar el arancel correspondiente.

Para transferir un dominio, tienen que cumplirse algunas condiciones:

• El Usuario Origen debe ser efectivamente el titular del dominio a transferir, ya sea una persona física o jurídica, y en este último caso, tiene que haber validado sus datos en forma definitiva.

• En caso de ser aceptada la transferencia de dominios por el Usuario Destino, se efectuará el cambio de titular, por lo tanto éste deberá encontrarse registrado previamente en sistema, y sus datos registrales deben haber sido validados, sea en forma definitiva o transitoria. De lo contrario, NIC Argentina se verá imposibilitada de efectuar los cambios.

IMPORTANTE: No se podrán efectuar transferencias de dominio toda vez que, a la fecha de inicio del trámite, los dominios se encuentren afectados por una disputa, en período de renovación, o de baja por falta de renovación. Asimismo, un usuario con una denuncia por datos falsos pendiente, no podrá transferir ni recibir transferencias de dominios.

2.7.A) Costos

El monto correspondiente a la transferencia de dominios en cada zona podrá consultarse en la lista de aranceles publicada en el Boletín Oficial de la República Argentina, son los siguientes:

• .com.ar Transferencia: $ 160

• .net.ar Transferencia: $ 160

• .tur.ar Transferencia: $ 160

• .org.ar Transferencia: $ 160

• .gob.ar Transferencia: $ 65

• .int.arTransferencia: $ 65

• .mil.ar Transferencia: $ 65

• .ar Transferencia: $ 450

2.7.B) Duración

l registro por transferencia renovará el plazo de validez del dominio por UN (1) año, computado a partir de la fecha de acreditación del pago del arancel correspondiente, pudiendo ser renovado nuevamente, en forma periódica.

2.8 Baja de dominiosAl dar de baja un dominio, se eliminará el registro y el mismo quedará automáticamente disponible para ser registrado por otro usuario.

Para poder efectuar la baja de un dominio, es necesario haberse registrado como usuario del sistema, haber validado los datos registrales y haber realizado la obtención de los dominios del sistema anterior.

La baja de un dominio se realiza desde la sección ‘Dominios’ del panel de control, a través de la opción dar de baja, a la derecha del dominio en cuestión.

Puede darse de baja más de un dominio por vez, seleccionándolos y eligiendo la opción correspondiente en las operaciones masivas al pie del panel de control.

2.9 Política de Disputa de Dominios

Si al comprobar la disponibilidad de un dominio (ver punto 2.2 Registro de dominios), éste ya se encuentra registrado, el usuario tiene la opción de iniciar una disputa.

La Política de Disputa de Dominios permite a un usuario reclamar para sí la titularidad de un dominio que fue registrado previamente por otro Usuario, en el caso de considerar que tiene un mejor derecho sobre el mismo.

Para invocar la Política de Disputa de Dominios, el usuario que efectúa el reclamo debe estar registrado en el sistema, y haber validado sus datos registrales en forma definitiva.

Desde la página de búsqueda de dominios (https://nic.ar/buscarDominio.xhtml) el usuario dispone de un botón desde el cual puede dar inicio al trámite de disputa. Luego de haber dado inicio al trámite desde https://nic.ar, el procedimiento continuará por correo electrónico. El trámite se considerará iniciado oficialmente cuando se acredite el pago correspondiente.

El trámite de disputa podrá iniciarse en cualquier momento, excepto en el caso de que el dominio o su titular se encuentren inhabilitados temporalmente, viéndose afectados por una disputa abierta o una denuncia por datos falsos.

Este trámite es individual, debiéndose iniciar una actuación por cada dominio a reclamar, y el mismo deberá formularse por escrito, ser autosuficiente, y presentarse junto con el comprobante de pago y la totalidad de la prueba que fundamente el mejor derecho del reclamante.

Una vez que se inicie la disputa, NIC Argentina notificará al actual titular del dominio en cuestión, quien a partir de ese momento dispondrá de DIEZ (10) días hábiles para formular su respuesta a los argumentos expuestos por el reclamante. La misma deberá formularse por escrito, ser autosuficiente, y presentarse acompañada de la totalidad de la prueba que fundamente su mejor derecho.

Cuando el actual titular del dominio objetado haya realizado su descargo, NIC Argentina resolverá la disputa mediante disposición dictada por la Dirección Nacional del Registro de Dominios de Internet, previa intervención de las áreas competentes, y se notificará a las partes sobre el resultado de la misma.

Documentación Adicional:

La nota deberá presentarse en forma personal, o por correo postal, en Juncal 847, CABA (C1062ABE), Argentina, firmada de puño y letra, y certificada ante un escribano público, acompañando todo elemento que se considere pertinente para apoyar el reclamo. En caso de iniciarse el trámite en forma personal, la documentación original será suficiente, y no resultará necesaria la certificación.

2.9.A) Costos

El monto correspondiente al trámite de Disputa de dominios será de $ 250 y no podrá iniciarse el trámite sin haber abonado el arancel.

2.10 Alertas

La nueva plataforma de NIC Argentina ofrece la posibilidad de crear alertas para que un usuario se entere en qué momento se libera un dominio. Si al comprobar la disponibilidad de un dominio (ver punto 2.2 Registro de dominios), éste ya se encuentra registrado, el usuario tiene la opción de crear una Alerta, mediante el botón «Avisarme».

Cuando el dominio esté disponible (por falta de renovación o baja), se enviará un aviso al usuario que creó la alerta, para que éste pueda solicitar el registro del mismo desde el sitio de NIC Argentina.

3. CONDICIONES DE USO

El registro de un nombre de dominio se otorgará a la persona física o jurídica que primero lo solicite, y se encuentre debidamente registrada en el sistema como Usuario, con las excepciones señaladas en la normativa vigente. Esta persona será el Titular del nombre de dominio.Las personas jurídicas nacionales o extranjeras que hubieran presentado copias simples de la documentación requerida revisten el carácter de Usuarios Transitorios, y no podrán transferir ni dar de baja dominios.

Al registrar un nombre de dominio a través del sitio web de NIC Argentina, se manifiesta conocer y aceptar inexcusablemente las normas, reglas, procedimientos y glosario de términos vigentes de NIC Argentina, establecidos en la normativa vigente. La totalidad de la información suministrada en los formularios del sitio web de NIC revestirá carácter de declaración jurada.

NIC Argentina podrá modificar, cuando lo estime pertinente, este Manual de Usuario, el que será publicado en el sitio https://nic.ar, con una anticipación de treinta días corridos antes de su entrada en vigencia. Transcurrido dicho período, será obligatorio para todos los usuarios. Así, podrá modificar en cualquier momento y sin previo aviso su página web, y estará exento de cualquier responsabilidad por daños directos o indirectos que puedan derivarse del uso o acceso a la misma.

NIC Argentina está facultado, desde la entrada en vigencia de la Normativa, para percibir aranceles por todas las gestiones de registro de los dominios de Internet, entendiendo como tales: altas, modificaciones, transferencias, disputas y renovaciones.

La falta de pago del arancel para el trámite pertinente, provocará irrevocablemente la cancelación de los trámites iniciados y/o revocación automática de los dominios registrados.

El Usuario Titular de un nombre de dominio autoriza a NIC Argentina a hacer pública la información no sensible relacionada con la administración del registro de nombres, y acepta que los datos del registro sean informados ante el pedido fundado de una autoridad judicial o administrativa competente.

3.1 Inhabilitación temporal de usuarios

La totalidad de la información suministrada en los formularios del sitio web de NIC Argentina revestirá carácter de declaración jurada. El ocultamiento, omisión o falsificación de información que NIC Argentina considere esencial para aceptar la solicitud del registro del usuario, podrá implicar la baja total del trámite pertinente.NIC Argentina podrá inhabilitar y/o revocar los dominios al usuario cuando en ellos se generen posibles acciones que perjudiquen a terceros, encontrándose facultado para radicar la correspondiente denuncia ante los organismos competentes.

3.2 Revocación de usuarios

Cualquier persona podrá denunciar ante NIC Argentina una suplantación de identidad, a través del procedimiento de Denuncia por Datos Falsos regulado en este Anexo de la normativa vigente, y ello abre la posibilidad de que NIC Argentina dé de baja al mismo, por accionar en contra de lo dispuesto en la misma.

3.3 Inhabilitación temporal de dominios

El titular asume el compromiso de que el registro de un dominio no se realizará con un propósito ilegal, ni afectará o perjudicará a terceros. NIC Argentina se encuentra facultado para inhabilitar parcialmente aquellos dominios que sean objeto de denuncias por estos tipos de uso.

3.4 Revocación de dominios

NIC Argentina podrá rechazar, sin necesidad de interpelación previa, aquellas solicitudes de registro de nombres de dominio que ya se encuentren registrados, o que considere agraviantes, discriminatorias o contrarias a la ley, a la moral o a las buenas costumbres, o que puedan prestarse a confusión, engaño o suplanten la identidad de instituciones, organismos o dependencias públicas nacionales, provinciales, municipales, de la Ciudad Autónoma de Buenos Aires, o de organismos internacionales. El ocultamiento, omisión o falsificación de información que NIC Argentina considere esencial para aceptar la solicitud del registro de nombre de dominio, podrá implicar la baja total del trámite pertinente.

GLOSARIO DE TERMINOS

• Actividad principal: Breve descripción del objeto principal que desarrolla un Titular, sea este una persona física o jurídica.

• Alerta: Aviso generado por el sistema hacia el Titular, Alias y Notificados sobre un suceso determinado.

• Alias: Acceso que puede otorgar un Usuario para que un tercero opere sobre sus dominios.

• Asignación de dominios: Cambio de titularidad de una Entidad Registrante NN a Usuario Registrado producto de la ejecución del trámite de Obtención de dominios.

• Avisarme: Acción que el Usuario registrado ejecuta para que se lo agregue en una lista, sin orden alguno, asociado a un dominio en particular. Cuando el dominio se libera se avisa a todos los Usuarios de dicha lista.

• Alta de Persona: Acción de dar de alta en el sistema a una Persona Física o Jurídica.

• Alta de Delegación: Acción de asociar un servidor de nombres (DNS) a un dominio para que el mismo direccione.

• Baja de delegación: Acción de eliminar los DNS asociados a un dominio, para que el mismo no direccione.

• Baja de dominio: Acción de eliminar el registro de un dominio. El mismo quedará automáticamente liberado, disponible para que otro usuario lo registre.

• Baja de Usuario: Acción de eliminar un Usuario del sistema. Previo a esto, es necesario dar de baja .-o transferir.- todos los dominios asociados, así como resolver los trámites en estado Pendiente.

• Baja de Alias: Acción de eliminar un Alias asociado a un Usuario.

• Cambio de Delegación: Acción de modificar los DNS asociados a un dominio.

• Captcha: Texto de verificación que permite determinar si un usuario es humano o máquina.

• Ciudad: Lugar donde se encuentra establecida una persona física o jurídica.

• Clave de Obtención: Clave generada al momento de iniciar el trámite de Obtención. Se envía por correo electrónico a la casilla de la Entidad Registrante (bajo el sistema anterior) y se ingresa en el Enlace de trámite de Obtención de dominios. Ver Obtención de dominios.

• Configuración de la cuenta: Acción que realiza el Usuario para configurar los parámetros de su cuenta. En función de los parámetros, el sistema llevará a cabo acciones diferenciales (ej. Visualizar datos o no).

• Correo electrónico: Casilla de correo del Usuario. Existe la obligación de mantener la casilla de correo designada en forma actualizada y activa.

• Datos Falsos: Es el trámite que se realiza para «denunciar» a un Usuario que se registró proporcionando datos inconsistentes.

• Delegación de dominio: Acción de transferir la responsabilidad del direccionamiento de un dominio a uno o varios servidores de nombres (DNS).• Direccionamiento de nombres: Genéricamente, es la traducción de nombres de dominio a direcciones IP y viceversa.

• Disputa: Es el trámite que presenta un Usuario para solicitar la revocación de la titularidad de un dominio, y que el mismo sea transferido a su nombre, justificando su mejor derecho para tal fin.

• Dominio: Identificador alfabético vinculado a una dirección IP. Está compuesto por la concatenación del nombre y la zona, separados por un punto. Por ejemplo «dominio.com.ar». Limitado actualmente a un mínimo de CUATRO (4) y a un máximo de DIECINUEVE (19) caracteres sin incluir la zona.

• Dominio Congelado: Dominio que sólo está habilitado a sufrir cambios por parte de NIC Argentina.

• Dominio Liberado: Dominio liberado para su registro por parte de cualquier Usuario.

• Domicilio Legal: Es el lugar donde la ley presume, sin admitir prueba en contra, que una persona reside de manera permanente para el ejercicio de sus derechos y cumplimiento de sus obligaciones, aunque de hecho no esté allí presente, y así:

1° Los funcionarios públicos, eclesiásticos o seculares, tienen su domicilio en el lugar en que deben llenar sus funciones, no siendo éstas temporarias, periódicas, o de simple comisión;

2° Los militares en servicio activo tienen su domicilio en el lugar en que se hallen prestando aquél, si no manifestasen intención en contrario, por algún establecimiento permanente, o asiento principal de sus negocios en otro lugar;

3° El domicilio de las corporaciones, establecimientos y asociaciones autorizadas por las leyes o por el Gobierno, es el lugar donde está situada su dirección o administración, si en sus estatutos o en la autorización que se les dio, no tuviesen un domicilio señalado;

4° Las compañías que tengan muchos establecimientos o sucursales tienen su domicilio especial en el lugar de dichos establecimientos para sólo la ejecución de las obligaciones allí contraídas por los agentes locales de la sociedad;

5° Los transeúntes o las personas de ejercicio ambulante, como los que no tuviesen domicilio conocido, lo tienen en el lugar de su residencia actual;

6° Los incapaces tienen el domicilio de sus representantes;

7° El domicilio que tenía el difunto determina el lugar en que se abre su sucesión;

8° Los mayores de edad que sirven, o trabajan, o que están agregados en casa de otros, tienen el domicilio de la persona a quien sirven, o para quien trabajan, siempre que residan en la misma casa, o en habitaciones accesorias, con excepción de la mujer casada, que, como obrera doméstica, habita otra casa que la de su marido;

9° (Artículo derogado por Artículo 9° de la Ley nº 23.515 B.O. 12/6/1987).

• Domicilio Real: Es el lugar donde tienen establecido el asiento principal de su residencia y de sus negocios. El domicilio de origen, es el lugar del domicilio del padre, en el día del nacimiento de los hijos.

• Dirección IP: Notación que representa las direcciones mediante las cuales se identifican los equipos conectados a Internet.

• DNS: Servidor de nombres de dominios (Domain Name Server). Es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en Internet. El DNS es capaz de asociar distintos tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio.

• Enlace de trámite de Obtención de dominio: Enlace generado por el sistema al crearse un trámite de Obtención de dominios. Será donde se ingrese la clave de obtención.

• Entidad Registrante: Figura del sistema anterior equivalente al actual Titular de un dominio.

• Hash: Algoritmo criptográfico para generar claves, es de orden unidireccional (sólo encripta, pero no desencripta).

• Historial: Registro de las acciones sobre los trámites a través del tiempo.

• Hosting: Es el proveedor de servidores de nombres de dominio (DNS). Es necesario contar con un servicio de hosting para que el dominio sea alojado en un espacio en internet.

• Identificador de Ticket: Clave única asignada a cada trámite en el Sistema de Registro de Dominios.

• Ingresar al sistema/logueo: Acción de entrar al sistema con una cuenta válida.

• Mensajería: Es la sección donde se podrá visualizar las «alertas» que emite el sistema y los «mensajes» que se envían entre Usuarios.

• Mensajes: Comunicación entre Usuarios dentro del sistema de NIC Argentina.• Modificación de datos de servidor de nombres: Acción de modificar datos registrados para un servidor de nombres (DNS), tales como su nombre o dirección IP.

• Modificación de datos de Usuario: Acción de modificar datos registrados de un Usuario registrado en el sistema, tales como su domicilio, teléfono, dirección de correo electrónico, etc.

• Modificación de datos de delegación: Acción de modificar el conjunto de servidores de nombre para un dominio.

• Nombre de servidor de nombres: Nombre del servidor de DNS.

• Nombre de dominio: Los dominios de Internet siguen un mecanismo estructurado (de derecha a izquierda) para que los servidores DNS puedan identificarlos. Por lo general tienen tres niveles.

El nivel superior «top level domain» (TLD) que puede contar con tres variantes:

• El «country code» (ccTLD) o «código país», basado en la norma ISO 3166, consistente en dos letras («ar» en el caso de Argentina).

• El genérico (gTLD), como «com», «net», «org», etc.

• O para el caso de un ccTLD, el «com.ar», «net.ar», «org.ar», etc. que identifican el tipo de organización a la que pertenece el dominio y su nacionalidad, la cual determina a qué Registro (NIC) corresponde.

El nivel secundario, «second level domain» (SLD), consiste en el nombre que identifica al dominio, compuesto por una concatenación de hasta 19 caracteres. Los válidos para un nombre de dominio son las letras del alfabeto español y portugués incluidas la «ñ» y la «ç», las vocales acentuadas y con diéresis, los números y el guión «-«. No podrán registrarse nombres que comiencen con los caracteres «xn- -» (equis ene guión guión), o que comiencen o terminen con el caracter «-» (guión).

• Notificado: El Notificado es un contacto (cuenta de correo electrónico o Twitter) escogido por el Titular al cual se le enviarán las mismas notificaciones que a éste. El mismo no puede operar en el sistema sobre la cuenta del Titular.

• Obtención de dominios: Acción de migrar al sistema de NIC Argentina aquellos dominios asociados a una Entidad Registrante en el sistema anterior. Lo inicia un Usuario registrado en el Nuevo sistema.• Panel de Control: Módulo que concentra las acciones que el Usuario puede realizar sobre sus dominios, trámites y configuración personal de su cuenta.

• Perfil: Es el carácter que se le asigna a un Usuario del sistema y con ello las acciones que puede realizar.

• Período de baja: Lapso de 30 días posteriores al vencimiento de un registro de dominio, durante los cuales no estará activa la Delegación, y el dominio no será direccionado.

Durante este período también es posible efectuar la Renovación, a fin de no perder la Titularidad. En caso de no renovar, se dará de baja automáticamente el dominio, quedando liberado para que otro Usuario lo registre.

• Período de vencimiento: Lapso de 30 días previos al vencimiento de un registro de dominio, durante los cuales es posible efectuar la Renovación.

• Permisos de Alias: Permisos otorgados por el Titular a un Alias para realizar determinadas acciones dentro de su Panel de Control en el sistema.

• Persona Física: Persona apta para realizar trámites y gestionar dominios con su DNI.

• Persona Física Extranjera: Persona apta para realizar trámites y gestionar dominios con su PASAPORTE.

• Persona Jurídica: Empresa u organismo apto para realizar trámites y gestionar dominios.

• Persona Jurídica Extranjera: Empresa u organismo extranjero apto para realizar trámites y gestionar dominios.

• QR: Un código QR (quick response code o código de respuesta rápida) es un módulo útil para almacenar información en una matriz de puntos o un código de barras bidimensional.

• Razón social: Es el atributo legal que figura en la escritura o documento de constitución que permite identificar a una persona jurídica y demostrar su constitución legal.

• Reenviar confirmación: Acción de reenviar la confirmación de un trámite por Correo electrónico.

• RENAPER: Registro Nacional de las Personas.

• Registro de dominio: Acción de registrar un nombre de dominio en favor de un Usuario Titular. La titularidad tiene una vigencia de un año y podrá ser renovada.

• Registro NS: Registro en el archivo de zona que indica un servidor de nombres para un dominio. En cada DNS que se declare en la delegación del dominio debe existir un registro NS. Todo servidor de nombres de un dominio debe responder a una consulta por registros NS de ese dominio, con la totalidad de los servidores de nombre para el mismo.

• Registro SOA: Registro de «Start of Authority» (Inicio de Autoridad) para un dominio.

Contiene identificadores del servidor de nombres con autoridad sobre el dominio y su operador y diversos contadores que regulan el funcionamiento general del sistema de nombres de dominio para el dominio. Todo servidor de nombres de un dominio debe responder a una consulta por el registro SOA de ese dominio en forma autoritativa.

• Registro y delegación de dominio: Acción de registrar un dominio en favor de un Titular y delegar el direccionamiento del mismo en servidores de nombres (DNS).

• Renovación de un registro de dominio: Acción de extender la titularidad de un dominio.

La renovación es válida por el mismo plazo que el registro (un año), y debe efectuarse durante el lapso de 30 días antes del vencimiento, y culmina 30 días después del mismo, con la Baja del dominio.

• Resolución de nombres: Ver Direccionamiento de nombres.

• Respuesta Autoritativa: Tipo de respuesta, dada por un DNS a una consulta por cualquier registro, en que se indica que el servidor de nombres tiene autoridad sobre el registro por el cual se lo consulta e implica que es uno de los servidores de nombre del dominio al que pertenece el registro.

• Respuesta no Autoritativa: Tipo de respuesta, dada por un DNS a una consulta por cualquier registro, que no está basada en tablas propias, sino que es obtenida consultando a otros servidores de nombres.

• Servidor de nombres: Equipo que efectúa la resolución de nombres para un dominio.

• Resultado de búsqueda de dominios: Visualización de los datos y estado de un dominio.

• Servidor de nombres: Equipo que efectúa la resolución de nombres para un dominio.

• Servidor de nombres primario: Es aquel que mantiene los datos originales de los servidores de nombres bajo un dominio para efectuar la resolución de nombres para el mismo.

• Servidor de nombres secundario: Es aquel que mantiene copia de los datos de los servidores de nombres bajo una denominación para efectuar la resolución de nombres para la misma. Obtiene periódicamente copia de los datos originales del servidor de nombres primario.

• Solicitudes: Es la sección del Panel de Control en la que se almacenan los dominios que un Usuario solicita.

• Teléfono: Número de teléfono, en el formato [código de país] [código de área] [número].

• Texto de Verificación (Captcha): Es el texto que un Usuario debe replicar para determinar si es humano o máquina.

• Ticket: Solicitud presentada mediante formulario electrónico.

• Timeout/Tiempo de expiración: Tiempo máximo para realizar una acción determinada.

• Titular: Persona física o jurídica que administra uno o más registros de nombres de dominio.

• Transferencia de dominio: Acción de transferir la Titularidad de un dominio a otro Usuario del sistema.

• Trámite congelado: Con el trámite congelado, el usuario no podrá ejecutar acción alguna.

• Trámite en Proceso: El trámite se encuentra en proceso de ejecución.

• Usuario: Persona física o jurídica registrada en el sistema de NIC Argentina.

• Usuario Congelado: Usuario que, si bien puede ingresar al sistema, no puede hacer cambios sobre su perfil ni sobre sus dominios, los cuales quedan congelados igualmente al congelar al Usuario que es Titular.

• URL: Uniform Resource Locator. Indicador de la localización de un objeto en la Red Global Mundial (WWW o «World Wide Web»).

• Warning: Mensaje de error o alertas que emite el sistema.

• WHOIS: Es un protocolo TCP basado en petición/respuesta que se utiliza para efectuar consultas a una base de datos, permitiendo determinar el propietario de un nombre de dominio o una dirección IP en Internet.

• Zona: Es una subdivisión del dominio de primer nivel ‘.ar’ (Argentina) en que puede Registrarse un dominio. Por ejemplo: .ar, .com.ar., .gob.ar, .org.ar, .int.ar, .net.ar, .mil.ar, .tur.ar, etc.

FE DE ERRATAS .-

Secretaría Legal y Técnica

Resolución 20/2014

En la Edición nº 32.842 del día 10 de marzo de 2014, en la que se publicó la citada norma, se deslizó una omisión de texto, el que se publica a continuación:

2.7.A) Costos

2.7.B) Duración

2.8 Baja de dominios

2.9 Política de Disputas de Dominios

2.9.A) Costos

2.10 Alertas

3. CONDICIONES DE USO

3.1 Inhabilitación temporal de usuarios

3.2 Revocación de usuarios

3.3 Inhabilitación temporal de dominios

3.4 Revocación de dominios

1. SOBRE LOS USUARIOS

1.1 Usuario

Un Usuario de NIC Argentina es un visitante registrado en el sitio oficial. Para poder registrar dominios y administrarlos, es necesario el registro, creando un Usuario y una contraseña.

1.2 Registro de usuarios

Para acceder como Usuario a NIC Argentina es necesario registrarse, completando el formulario de registro desde el sitio oficial de NIC Argentina, https://nic.ar. A continuación, deberá seleccionarse el tipo de persona a dar de alta:

• Persona Física / Monotributista

Notificación de denuncia del Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos (Diario Oficial C 219 de 12.9.2006, p. 1).

Tras la sentencia del Tribunal de Justicia de 30 de mayo de 2006 relativa a los asuntos acumulados C-317/04, Parlamento Europeo versus Consejo de la Unión Europea, y C-318/04, Parlamento Europeo versus Comisión de las Comunidades Europeas, el Consejo y la Comisión han notificado al Gobierno de los Estados Unidos el tres de julio de 2006, con arreglo al punto 7 del Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos (1) que el mencionado Acuerdo debe derogarse con efecto a partir del 30 de septiembre de 2006.

——————————————————————————————–

(1) DO L 183 de 20.5.2004, p. 84.

Statutory Instrument 2002 Nº 2157. The Financial Services and Markets Act 2000 (Financial Promotion) (Amendment) (Electronic Commerce Directive) Order 2002, 20th August 2002.

Whereas this Order varies a previous Order 81) (1) made under section 21(5) of the Financial Services and Markets Act 2000 (2), so as to make section 21(1) of that Act apply in circumstances in which it did not, as a result of that previous Order, apply;

Whereas a draft of this Order has been approved by resolution of both Houses of Parliament;

Now, therefore, the Treasury, in exercise of the powers conferred on them by sections 21(5) and (6), 238(6) and (7), and 428(3) of the Financial Services and Markets Act 2000, hereby make the following Order:

PART 1, GENERAL

Citation and commencement

1.-

This Order may be cited as the Financial Services and Markets Act 2000 (Financial Promotion) (Amendment) (Electronic Commerce Directive) Order 2002, and comes into force on the day after the day on which it is made.

PART 2. AMENDMENT OF THE FINANCIAL SERVICES AND MARKETS ACT 2000 (FINANCIAL PROMOTION) ORDER 2001

2.-

The Financial Services and Markets Act 2000 (Financial Promotion) Order 2001 is amended as set out in this Part.

Interpretation provisions

3.-

(1) In article 6, at the end insert :

» (f) «electronic commerce communication» means a communication, the making of which constitutes the provision of an information society service;

(g) «incoming electronic commerce communication» means an electronic commerce communication made from an establishment in an EEA State other than the United Kingdom;

(h) «outgoing electronic commerce communication» means an electronic commerce communication made from an establishment in the United Kingdom to a person in an EEA State other than the United Kingdom.».

(2) After article 8, insert :

» Interpretation: outgoing electronic commerce communications

8A.-

(1) For the purposes of the application of those articles to outgoing electronic commerce communications :

(a) any reference in article 48(4)(e), 50(1)(a) or (3)(c) or 52(3)(c) to an authorised person includes a reference to a person who is entitled, under the law of an EEA State other than the United Kingdom, to carry on regulated activities in that State;

(b) any reference in article 68, 72 or 73(2)(b) to Part II of the Public Offers of Securities Regulations 1995 (3) includes a reference to provisions corresponding to that Part in the law of an EEA State other than the United Kingdom;

(c) any reference in article 48 or 49 to an amount in pounds sterling includes a reference to an equivalent amount in another currency.

(2) For the purposes of the application of article 49 to outgoing electronic commerce communications, any reference in section 737 or 264(2) of the 1985 Act (or the equivalent provision in the 1986 Order) to a body corporate or company includes a reference to a body corporate or company registered under the law of an EEA State other than the United Kingdom.

(3) For the purposes of the application of articles 63 to 66 to outgoing electronic commerce communications, any reference in article 3 to Part II of the Public Offers of Securities Regulations 1995 includes a reference to provisions corresponding to that Part in the law of an EEA State other than the United Kingdom.

(4) For the purposes of the application of article 3 in respect of outgoing electronic commerce communications :

(a) any reference in section 163(2)(b) of the 1985 Act (or the equivalent provision in the 1986 Order) to a company includes a reference to a company registered under the law of an EEA State other than the United Kingdom;

(b) any reference in that section to an investment exchange includes a reference to an investment exchange which is recognised as an investment exchange under the law of an EEA State other than the United Kingdom.».

Outgoing electronic commerce communications

4.

In article 12 :

(a) in paragraph (1), for «paragraph (2)» substitute «paragraphs (2) and (7)»;

(b) after paragraph (6), insert :

» (7) Paragraph (1) does not apply to an outgoing electronic commerce communication.».

Mere conduits, caching and hosting

5.-

(1) In article 18 :

(a) in paragraph (1), at the beginning insert «Subject to paragraph (4),»;

(b) at the end, insert –

» (4) This article does not apply to an electronic commerce communication.».

(2) After article 18, insert :

» Electronic commerce communications: mere conduits, caching and hosting
18A. The financial promotion restriction does not apply to an electronic commerce communication in circumstances where :

(a) the making of the communication constitutes the provision of an information society service of a kind falling within paragraph 1 of Article 12, 13 or 14 of the electronic commerce directive («mere conduit», «caching» and «hosting»); and

(b) the conditions mentioned in the paragraph in question, to the extent that they are applicable at the time of, or prior to, the making of the communication, are or have been met at that time.».

Incoming electronic commerce communications

6.

After article 20A, insert :

» Incoming electronic commerce communications
20B.- (1) The financial promotion restriction does not apply to an incoming electronic commerce communication.

(2) Paragraph (1) does not apply to :

(a) a communication which constitutes an advertisement by the operator of a UCITS Directive scheme of units in that scheme;

(b) a communication consisting of an invitation or inducement to enter into a contract of insurance, where :

(i) the communication is made by an undertaking which has received official authorisation in accordance with Article 6 of the first life insurance directive or the first non-life insurance directive, and

(ii) the insurance falls within the scope of any of the insurance directives; or

(c) an unsolicited communication made by electronic mail.

(3) In this article, «UCITS Directive scheme» means an undertaking for collective investment in transferable securities which is subject to Directive 85/611/EEC of the Council of the European Communities of 20 December 1985 on the co-ordination of laws, regulations and administrative provisions relating to undertakings for collective investment in transferable securities (4), and has been authorised in accordance with Article 4 of that Directive.

(4) For the purposes of this article, a communication by electronic mail is to be regarded as unsolicited, unless it is made in response to an express request from the recipient of the communication.».

PART 3. AMENDMENT OF THE FINANCIAL SERVICES AND MARKETS ACT 2000 (PROMOTION OF COLLECTIVE INVESTMENT SCHEMES) (EXEMPTIONS) ORDER 2001

7.

The Financial Services and Markets Act 2000 (Promotion of Collective Investment Schemes) (Exemptions) Order 2001(5) is amended as set out in this Part.

Interpretation provisions

8.-

(1) In article 3, at the end insert –

» (f) «electronic commerce communication» means a communication, the making of which constitutes the provision of an information society service;

(g) «incoming electronic commerce communication» means an electronic commerce communication made from an establishment in an EEA State other than the United Kingdom;

(h) «outgoing electronic commerce communication» means an electronic commerce communication made from an establishment in the United Kingdom to a person in an EEA State other than the United Kingdom.».

(2) After article 5, insert :

» Interpretation: outgoing electronic commerce communications
5A.- (1) For the purposes of the application of those articles to outgoing electronic commerce communications –

(a) any reference in article 21(4)(d) or 23(1)(a) or (3)(d) to an authorised person includes a reference to a person who is entitled, under the law of an EEA State other than the United Kingdom, to carry on regulated activities in that State;

(b) any reference in article 21 or 22 to an amount in pounds sterling includes a reference to an equivalent amount in another currency.

(2) For the purposes of the application of article 22 to outgoing electronic commerce communications, any reference in section 737 or 264(2) of the Companies Act 1985 (6) (or the equivalent provision in the Companies (Northern Ireland) Order 1986 (7)) to a company includes a reference to a company registered under the law of an EEA State other than the United Kingdom.».

Outgoing electronic commerce communications

9.

In article 8 :

(a) in paragraph (1), for «paragraph (2)» substitute «paragraphs (2) and (7)»;

(b) after paragraph (6), insert :

» (7) Paragraph (1) does not apply to an outgoing electronic commerce communication.».

Incoming electronic commerce communications

10.

After article 10, insert :

» Incoming electronic commerce communications
10A.- (1) The scheme promotion restriction does not apply to an incoming electronic commerce communication.

(2) Paragraph (1) does not apply to –

(a) a communication which constitutes an advertisement by the operator of a UCITS Directive scheme of units in that scheme; or

(b) an unsolicited communication made by electronic mail.

(3) In this article, «UCITS Directive scheme» means an undertaking for collective investment in transferable securities which is subject to Directive 85/611/EEC of the Council of the European Communities of 20 December 1985 on the co-ordination of laws, regulations and administrative provisions relating to undertakings for collective investment in transferable securities (8), and has been authorised in accordance with Article 4 of that Directive.

(4) For the purposes of this article, a communication by electronic mail is to be regarded as unsolicited, unless it is made in response to an express request from the recipient of the communication.».

Ian Pearson

Jim Fitzpatrick

Two of the Lords Commissioners of Her Majesty's Treasury

20th August 2002

————————————————————————————————-

(1) The Financial Services and Markets Act 2000 (Financial Promotion) Order 2001, Nº 1335, amended by S.I. 2001/2633, S.I. 2001/3650, S.I. 2001/3800 and S.I. 2002/1310.

(2) 2000 c. 8.

(3) S.I. 1995/1537, amended by S.I. 1999/734, S.I. 1999/1146 and S.I. 2001/3649.

(4) OJ L375/3, 31 December 1985.

(5) S.I. 2001/1060, amended by S.I. 2001/2633 and S.I. 2002/1310.

(6) 1985 c. 6.

(7) S.I. 1986/1032 (N.I. 6).

(8) OJ L375/3, 31 December 1985.

Resolución 4536/1999 de la Secretaría de Comunicaciones, del 7 de diciembre de 1999, que designa al Correo Oficial de la República Argentina como autoridad oficial de certificación de la firma digital de los poseedores de una dirección de Correo Electrónicosobre autoridad de aplicación de la firma digital. (Boletín Oficial número 29297 de 21 de diciembre de 1999).

VISTO los Decretos números 554/97, 840/97, 427/ 98, 1018/98, 1335/99, las Resoluciones números 45/97 y 194/98 de la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros, y el expediente número 55/99 del Registro de la Secretaría de Comunicaciones de la Presidencia de la Nación, y

CONSIDERANDO:

Que por Decreto número 554/97 se declaró de Interés Nacional el acceso a INTERNET en condiciones sociales y geográficas equitativas, con tarifas razonables y con parámetros de calidad acordes a las modernas aplicaciones de la multimedia; tendiéndose a la promoción y el impulso de la expansión de la red.

Que en la citada norma se facultó a la Secretaría de Comunicaciones, como Autoridad de Aplicación en la materia, a tomar las siguientes medidas de política pública en relación con el tema: a desarrollar un plan estratégico para la expansión de INTERNET en la República Argentina, a analizar la incorporación de INTERNET dentro de los parámetros de análisis y las características definitorias del servicio universal, a proponer alternativas de política tarifaria a los efectos de estimular y diversificar la utilización de INTERNET como soporte de actividades educativas, culturales, informativas, recreativas y relativas a la provisión de servicios de salud.

Que en tal sentido el artículo 4º de la norma precitada estableció que, «La Autoridad de Aplicación coordinará sus actividades en lo relativo al cumplimiento del presente con las áreas del Estado Nacional cuyo quehacer se encuentre ligado, en forma directa al desarrollo de INTERNET. Asimismo, se encuentra facultada para celebrar convenios con todas las entidades, públicas o privadas, nacionales, provinciales o municipales que estén relacionadas con la provisión, utilización o desarrollo de la red, o que posean algún interés objetivo para con el cumplimiento del plan estratégico que dicha Autoridad diseñe de conformidad al presente».

Que por Resolución número 45/97 de la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros se autorizó el empleo de la Firma Digital en todo el ámbito del Sector Público Nacional.

Que por Decreto número 427/98 se aprobó el régimen al que se ajustaría el empleo de la Firma Digital, determinándose que tendrá los mismos efectos de la firma ológrafa, designándose como autoridad de aplicación en el ámbito antedicho a la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros.

Que en razón de la amplitud del ámbito de aplicación del presente proyecto, que implica la posibilidad de una implementación que abarque a la totalidad de los sectores de la sociedad, y en pos de evitar la superposición de funciones dentro de la estructura de la Administración Nacional, resulta conveniente instar la colaboración de la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros con este proyecto; como así también, evaluar la viabilidad de unificar el sistema de otorgamiento de certificaciones de Firma Digital de los poseedores de una dirección de correo electrónico en el ámbito de la República Argentina.

Que en los considerandos del Decreto precitado se sostuvo que la tecnología de Firma Digital ya ha sido incorporada en la legislación de otros países, con positiva repercusión tanto en el ámbito privado como público.

Que el mecanismo de la Firma Digital cumple con la condición de no repudio, por la cual resulta posible probar inequívocamente que una persona firmó efectivamente un documento digital y que dicho documento no fue alterado desde el momento de su firma, siempre que su implementación se ajuste a los procedimientos debidos.

Que dicho mecanismo fue concebido con el propósito de crear una alternativa válida a la firma ológrafa.

Que resulta indispensable establecer una Infraestructura de Firma Digital accesible a toda la población en su conjunto, para todas las relacionas jurídicas posibles ya sea entre particulares entre sí o entre los particulares y el Estado Nacional y aun dentro de la Administración Pública Nacional, Provincial y Municipal, con idénticas características técnicas que la prevista para el Sector Público Nacional, con el fin de crear las condiciones de un uso confiable del documento suscripto digitalmente.

Que por Resolución número 194/98 de la Secretaría de la Función Pública de la Presidencia de la Nación, se aprobaron los estándares aplicables a la «Infraestructura de Firma Digital para el Sector Público Nacional» a que alude el Decreto número 427/98.

Que por el Decreto número 1018/98 se aprobó dentro del ámbito de la Secretaría de Comunicaciones de la Presidencia de la Nación, el programa «[email protected]» destinado a masificar la utilización de equipamiento multimedia y el acceso a INTERNET.

Que la expansión del sistema de comunicaciones y el desarrollo de INTERNET en nuestro país se potencian mutuamente. Ello puede verificarse a través de la existencia de una vasta oferta de servicios y relaciones comerciales que se desenvuelven en este ámbito, como así también por la gran cantidad de transacciones, consultas y comunicaciones que se realizan por esta vía.

Que el ininterrumpido avance del comercio electrónico producido gracias a INTERNET conlleva la necesidad de buscar soluciones para los problemas de seguridad que ello presenta y que han actuado como freno de un desarrollo aún de mayor impacto. Las barreras geográficas ya no representan un límite real puesto que en la actualidad es posible realizar transacciones en línea con puntos remotos del planeta, lo que requiere que se garantice la identidad de los participantes en dichas transacciones. A tal fin, las Autoridades de Certificación constituyen la herramienta fundamental.

Que la administración del servicio de Registro del Dominio de Nivel Superior Argentina (.AR) carece de marco regulatorio, por lo que surge la necesidad de establecer procedimientos que puedan ordenar y facilitar la utilización de este medio.

Que en la reglamentación debe ponderarse adecuadamente la protección de la identidad de las personas físicas y jurídicas poseedoras de un dominio, como así también debe procurarse a los usuarios el fácil acceso al registro.

Que surge en consecuencia la necesidad de que la administración del Registro del Dominio de Nivel Superior Argentina (.AR) se desarrolle en la órbita del Estado Nacional, a fin de que pueda garantizarse la seguridad del sistema, la libre competencia, la igualdad de oportunidades y el fácil acceso a la titularidad de un dominio de carácter oficial; como así también, la promoción del desarrollo de la infraestructura y la tecnología INTERNET.

Que por Decreto número 1335/99 se declaró de Interés Nacional el proyecto «Una Dirección de Correo Electrónico para cada Argentino», en el marco del Programa «[email protected]», destinado a proveer una cuenta de correo electrónico gratuita a cada habitante de la República Argentina que posea Documento Nacional de Identidad y a cada persona jurídica que posea Clave Unica de Identificación Tributaria.

Que en los considerandos de dicha norma se sostuvo que, en razón de la naturaleza de los datos y del servicio, es aconsejable que sea prestado por el concesionario del servicio oficial de correo, con todas las garantías de privacidad y seguridad necesarias. Ello a fin de resguardar la garantía de inviolabilidad de la correspondencia y los documentos privados, de la que también goza el correo electrónico.

Que en tal sentido, el artículo 3º del Decreto precitado facultó a la Autoridad de Aplicación para que el correo oficial de la República Argentina de: «a) Implemente todos los mecanismos y procedimientos necesarios para que cada habitante disponga de una dirección de correo electrónico que identifique de manera clara, segura, fiable e inequívoca a una sola y única persona; b) Asigne en forma gratuita los códigos correspondientes a las direcciones de correo electrónico de conformidad con lo dispuesto en el artículo primero del presente; c) Analice técnicamente alternativas a los efectos de administrar el directorio de direcciones de correo resultante; d) Brinde el servicio de certificación de direcciones de correo electrónico con el objeto de que las comunicaciones enviadas por esta vía puedan revestir fehaciencia y certidumbre acerca del emisor y del receptor de los envíos; e) Garantice el acceso permanente e ininterrumpido a las casillas de correo de los usuarios y a todas sus funcionalidades; y f) Garantice la fiabilidad del sistema en cuanto a la integridad de los mensajes y de la información almacenada y procesada».

Que en los considerandos del Decreto antes citado, se expresó además que, es deber del Estado Nacional proveer el acceso equitativo a INTERNET de todos los habitantes del país, y que a tales fines, deberá tenderse a la optimización del uso de la infraestructura con la que directamente o a través de sus entidades descentralizadas o intermedias cuenta el Estado Nacional, de forma tal de conseguir el objetivo propuesto en el menor plazo posible y con la menor inversión directa factible.

Que el artículo 4º de la citada norma dispuso que, «La Autoridad de Aplicación deberá implementar el mencionado proyecto en un plazo no mayor a CUARENTA Y CINCO (45) días desde la fecha de publicación del presente Decreto, a cuyo fin queda expresamente facultada para: a) Solicitar la intervención de los restantes organismos oficiales que en razón de la materia tuvieren vinculación con el proyecto; b) Dictar todo acto administrativo y efectuar las contrataciones dentro de su órbita, que fueren necesarios para lograr el objetivo propuesto; c) Establecer los procedimientos para el alta, administración y baja de todos los dominios virtuales de acceso a INTERNET, siguiendo las recomendaciones internacionales en la materia y d) Evaluar la utilización de la infraestructura de acceso a la población con la que contare directa o indirectamente el Estado Nacional, de forma de lograr su optimización y conseguir en el menor tiempo posible el objetivo del presente Decreto».

Que a través del Decreto número 840/97 se concesionaron los servicios postales, monetarios y de telegrafía que prestaba ENCOTESA, como así también los restantes servicios que estaba facultada a realizar.

Que ya en el Pliego de Licitación aprobado por Decreto número 265/97 se fijaba como uno de los objetivos a conseguir por el Estado Nacional a través de la Licitación, que la población accediera a la mayor cantidad y calidad de servicios acordes con la evolución tecnológica de la actividad postal y conexas.

Que asimismo, en el artículo 4.10 del Contrato de Concesión se prevé que el concesionario deberá introducir los adelantos técnicos necesarios a fin de optimizar la prestación del servicio público concedido.

Que por su parte el artículo 11.11 del contrato mencionado en el considerando que antecede, establece como obligación a cargo del concesionario, la de incorporar a los servicios concedidos los adelantos tecnológicos que se produzcan durante la vigencia de la concesión.

Que el concesionario del correo oficial de la República Argentina reviste la calidad de concesionario de un servicio público, figura jurídica mediante la cual el Estado delega en una entidad privada potestades de naturaleza pública, sin desprenderse de su carácter de titular originario.

Que la doctrina administrativista ha acuñado el concepto de «delegación transestructural de cometidos», para definir la situación que surge de la concesión de un servicio público, tal como se describe en el considerando precedente.

Que dicha delegación implica que el ente privado toma el lugar del sujeto público en la relación jurídica administrativa, lugar que este último hubiera ocupado de no mediar tal delegación transestructural.

Que en tal sentido el concesionario tiene la obligación de prestar el servicio, y en consecuencia, la administración debe facilitarle su cumplimiento delegándole las facultades necesarias para ese objeto, porque la concesión implica una delegación.

Que entre los servicios que el concesionario debe prestar en forma obligatoria se encuentra el de comunicaciones fehacientes definidas en el Pliego de Licitación y en el Contrato de Concesión como aquéllas en las que se pueda probar el contenido y la entrega de las comunicaciones. En forma concomitante, el Decreto número 1335/99 ha facultado a la Autoridad de Aplicación para que el correo oficial de la República Argentina de la República Argentina brinde el servicio de certificación de direcciones de correo electrónico con el objeto de que las comunicaciones enviadas por esta vía puedan revestir fehaciencia y certidumbre acerca del emisor y del receptor de los envíos. A su vez, y con la finalidad expresada en el considerando precedente, es decir, delegar en el obligado a la prestación del servicio las facultades necesarias para ese objeto, el Estado Nacional ha transferido al concesionario el carácter fedatario.

Que el artículo 26.6 del Contrato de Concesión establece que al término de la concesión, el concesionario deberá restituir al concedente todos los servicios que recibió con los desarrollos y adelantos tecnológicos que le haya incorporado y los nuevos servicios conexos con los concedidos.

Que las tareas encomendadas al correo oficial de la República Argentina en relación con la asignación de una dirección de correo electrónico a cada habitante de la República Argentina que posea Documento Nacional de Identidad y a cada persona jurídica que posea Clave Unica de Identificación Tributaria guardan estrecha vinculación con la administración del servicio de Registro del Dominio de Nivel Superior Argentina (.AR) por cuanto posibilitarán -entre otras cuestiones- la efectiva reserva de dominios para la razón social de las personas jurídicas antes referidas. Asimismo, ambos aspectos de la misma cuestión se encuentran necesariamente ligados a la posibilidad de certificar la Firma Digital de los poseedores de una dirección de correo electrónico asignada conforme las previsiones del Decreto número 1335/99.

Que como consecuencia de lo hasta aquí expresado resulta propicio que el correo oficial de la República Argentina, a quien mediante el Decreto número 1335/99 se le encomendaron las tareas descriptas en su artículo 3º y además posee la infraestructura adecuada, efectúe las tareas relativas a la certificación de la Firma Digital de los poseedores de una dirección de correo electrónico y opere asimismo la administración del Registro del Dominio de Nivel Superior Argentina (.AR), por sí o por intermedio de terceros, pudiendo a tal fin celebrar los actos jurídicos que resulten necesarios para la consecución de la finalidad del proyecto.

Que ha tomado intervención la Dirección de Asuntos Jurídicos de esta Secretaría.

Que la presente se dicta en uso de las atribuciones conferidas por los Decretos números 1620/96 y 1335/99.

Por ello,

EL SECRETARIO DE COMUNICACIONES

RESUELVE:

Artículo 1º
Encomiéndase al correo oficial de la República Argentina la implementación de las tareas descriptas en el artículo 3º del Decreto número 1335/99 cuyo funcionamiento se desenvolverá conforme los procedimientos establecidos en el Anexo I que forma parte integrante de la presente.

Artículo 2º
Desígnase al correo oficial de la República Argentina como Autoridad Oficial de Certificación de la Firma Digital de los poseedores de una dirección de correo electrónico asignada de conformidad con lo previsto en el artículo 1º de la presente. Establécese que en sus funciones como Autoridad de Certificación, el correo deberá actuar de conformidad con los estándares aprobados por la Resolución número 194/98 de la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros.

Artículo 3º
Encomiéndase al correo oficial de la República Argentina la administración, altas y bajas del Registro del Dominio de Nivel Superior Argentina (AR) que deberá llevarse a cabo de conformidad con los procedimientos que se incorporan como Anexo II.

Artículo 4º
Establécese que las funciones descriptas en los artículos precedentes se encomiendan al correo oficial de la República Argentina con carácter exclusivo, no obstante lo cual, éste podrá desarrollarlo por sí o por intermedio de terceros. Asimismo podrá celebrar los actos jurídicos que resulten necesarios para la consecución de la finalidad del proyecto, sin perjuicio de continuar ostentando el carácter de principal responsable de su implementación.

Artículo 5º
Solicítese al Ministerio de Relaciones Exteriores, Comercio Internacional y Culto, adopte las medidas tendientes a efectivizar el traspaso de la administración de la Base de Datos «NIC Argentina» a la órbita de esta Secretaría y/o a quien ella designe. Dichas medidas consisten en: el suministro de la información relativa a:

(i) el detalle del personal afectado al servicio y sus roles o funciones,

(ii) el detalle del hardware y equipamiento específico utilizado,

(iii) el software y/o aplicaciones informáticas,

(iv) las comunicaciones y/o enlaces de transmisión de datos,

(v) los procedimientos y reglamentación del servicio,

(vi) los contratos asociados a equipamiento, software, servicios de comunicaciones o enlaces de transmisión de datos, (vii) el relevamiento contractual y

(viii) toda otra información que resulte menester.

Artículo 6º
Solicítese al Ministerio del Interior la base de datos correspondiente a los habitantes de la República Argentina que posean Documento Nacional de Identidad, en soporte magnético u óptico.

Artículo 7º
Solicítese a la Administración Federal de Ingresos Públicos la provisión de la base de datos de la totalidad de las personas jurídicas de la República Argentina que posean Clave Unica de Identificación Tributaria (C.U.I.T.), en soporte magnético u óptico.

Artículo 8º
Solicítese a la Secretaría de la Función Pública de la Jefatura de Gabinete de Ministros, la más amplia colaboración y la adopción de las medidas que resulten menester a efectos de que esta Secretaría, en su condición de Autoridad de Aplicación del programa «[email protected]», implemente las medidas que requiera la presente Resolución.

Artículo 9º
Regístrese, comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

ANEXO I . Mecanismos y Procedimientos para que cada habitante disponga de una Casilla de Correo Electrónico

1. INTRODUCCION: Mediante este nuevo servicio público todos los habitantes poseedores de D.N.I. de la República Argentina, como así también las personas jurídicas dispondrán de una dirección de correo electrónico gratuita, desde donde podrán enviar y recibir información independientemente de que cuenten con una computadora y/o acceso a la Red Internet en su hogar u oficina, ya que dicha dirección de correo será accesible desde cualquier computadora o mecanismo tecnológico que actualmente o en el futuro se encuentre disponible para el público. El acceso a la dirección individual podrá efectuarse, por lo tanto, desde cualquier lugar del mundo y en cualquier momento.

2. AMBITO DE APLICACION: El sistema permitirá la asignación de una dirección de correo electrónico oficial, reconocida como domicilio electrónico por el Estado Nacional con una dirección única segura y reconocible, permitiendo la recepción y emisión de mensajes electrónicos gratuitos desde y hacia cualquier otra dirección de email en el mundo sujeto al Reglamento que oportunamente el Administrador dicte, siendo esta vía de comunicación de vital importancia en la interrelación entre el Estado Nacional y los particulares de la Nación Argentina.

3. TECNOLOGIA: Es importante que la tecnología a aplicar en el presente proyecto sea apropiada, efectiva, de ágil acceso y disponibilidad, confiable y acorde a los estándares internacionales sobre la materia.

4. APORTES NECESARIOS: A fin de cumplir con lo dispuesto en el artículo 4º inc. a) del Decreto número 1335/99 y en uso de las facultades otorgadas en virtud del artículo 3º del mencionado Decreto, se requerirá a los organismos vinculados con este proyecto toda información necesaria tendiente al alta o baja de las direcciones pertenecientes al proyecto «UNA DIRECCION DE CORREO ELECTRONICO PARA CADA ARGENTINO»; como así también, se fijará la periodicidad en la actualización de la información.

5. ADMINISTRACION DE DIRECTORIOS: Los directorios producidos de la interrelación de las bases de datos aportadas según lo expresado en el punto 4, con el resultante de la actualización periódica podrán ser perfiladas por el operador del sistema, en función de las necesidades que los organismos encuentren convenientes. A tal fin se deberá remitir al operador la solicitud correspondiente con la debida antelación.

El Administrador pondrá a disposición de la autoridad competente, ante pedido expreso y fundado, toda información relacionada con la titularidad de la dirección de correo electrónico.

6. SEGURIDAD: Para proveer a los titulares de direcciones de correo electrónico de un nivel apropiado de seguridad y confianza, es necesario que todos los elementos involucrados en el desarrollo, mantenimiento, así como transmisión de mensajes, exhiban un nivel verificado de seguridad acorde con los estándares internacionales vigentes.

Todas las direcciones y comunicaciones serán administradas desde una única plataforma, denominada Plataforma de Servicios, brindando seguridad e integridad al sistema.

7. GENERACION DE DIRECCIONES: Al momento de la implementación del sistema se definirá, a partir de los datos obtenidos según el punto 4 APORTES NECESARIOS, un algoritmo que permitirá generar cada dirección de correo electrónico, de manera tal que resulte única e inequívoca.

Para su generación, se podrán utilizar los datos del nombre y apellido, razón social, del lugar o fecha de nacimiento y/o registración, número de D.N.I. o CUIT, o bien secuencias de números incrementales para diferenciar direcciones idénticas, o cualquier dato público suministrado por los organismos mencionados en la presente Resolución como proveedores de bases de datos y/o por el titular de la dirección de correo electrónico

Las direcciones de correo electrónico de todos los habitantes y personas jurídicas deberán generarse por primera vez en el momento de la implementación del sistema, y posteriormente cada vez que un nuevo D.N.I. o persona jurídica sea dado de alta en las respectivas bases de los organismos. De tal forma las direcciones de correo electrónico generadas, estarán disponibles y reservadas para sus respectivos titulares, en el momento en que los mismos decidan comenzar a utilizar el sistema dando de alta la dirección.

8. ADMINISTRACION DE DOMINIOS: El Administrador deberá mantener disponible el acceso a la información, respecto de las personas físicas y jurídicas que a partir de la Plataforma de Servicios se genere, suministradas por los organismos correspondientes y/o voluntariamente por el titular de la dirección de correo electrónico, disponiendo la administración de los directorios emergentes de forma de asegurar una rápida localización y la provisión de la mayor cantidad de datos posibles.

9. FIABILIDAD E INTEGRIDAD: El Administrador deberá hacer todo lo necesario para garantizar el acceso permanente e ininterrumpido a las direcciones de correo de los titulares y a todas sus funcionalidades, como así también garantizará la fiabilidad del sistema en cuanto a la integridad de los mensajes y de la información almacenada y procesada. En tal sentido el correo oficial de la República Argentina reviste el carácter de Autoridad de Certificación

10. CERTIFICACION DE FIRMA: El Administrador, a solicitud del titular, deberá extender certificado de firma digital, acorde a las normas de seguridad internacionales al respecto y el Reglamento que oportunamente dicte.

11. COMUNICACIONES FEHACIENTES: A solicitud del titular de la dirección de correo electrónico, el Administrador deberá brindar el servicio de comunicación digital fehaciente, siempre y cuando se cumplan las siguientes condiciones (i) la emisión y la recepción de la comunicación se realicen dentro de la Plataforma de Servicios; y (ii) tanto el emisor como el receptor del mensaje posean certificado de firma digital provisto por el Administrador, acorde al reglamento que oportunamente dicte.

12. REGLAMENTO DE SERVICIO: El Administrador, dentro del marco de la presente Resolución, deberá elaborar un Reglamento, donde hará constar las características de los servicios.

13. FINANCIAMIENTO: A fin de garantizar la gratuidad de la prestación encomendada al Correo Oficial de la República Argentina mediante el artículo 3º del Decreto número 1335/99, el costo de implementación, desarrollo, administración, mantenimiento y puesta en servicio estará a cargo del Administrador, pudiendo disponer éste, el acceso a servicios opcionales distintos al básico definido en esta Resolución, fijando a tal fin los aranceles correspondientes.

Asimismo el Administrador podrá recurrir a diversas fuentes de financiamiento, tales como las derivadas de la comercialización de los servicios adicionales a la asignación de una dirección de correo electrónico, comercialización de servicios de publicidad, ingresos provenientes de las actividades de certificación de Firma Digital, aranceles provenientes de la administración del Registro del Dominio de Nivel Superior Argentina (.AR) según parámetros tarifarios internacionales, entre otras, siendo la precedente enumeración meramente indicativa y no taxativa.

ANEXO II. Procedimientos para Alta, Administración y Baja de dominios en el Registro de Dominio de Nivel Superior Argentina (.AR)

1. INTRODUCCION: Actualmente existe una vasta oferta de servicios y relaciones comerciales que se desarrollan vía INTERNET en el país. Surge la necesidad de contar con una entidad que se dedique a la administración de Dominios Virtuales de Nivel Superior Argentina (.AR), sus servicios de registro, la promoción del desarrollo de la infraestructura y tecnología INTERNET.

En función del Decreto número 1335/99 y en uso de facultades conferidas a la Secretaria de Comunicaciones de la Presidencia de la Nación por el artículo 4º inc. c) del mencionado, se ha encomendado al correo oficial de la República Argentina la administración del Registro del Dominio de Nivel Superior Argentina (.AR).

2. AMBITO DE APLICACION: El Administrador tendrá a su cargo tanto el registro de las nuevas denominaciones, bajo los subdominios COM.AR, ORG.AR, GOV.AR, MIL.AR, NET.AR e INT.AR, y de cualquier otro que en el futuro se incorpore, como la administración de los subdominios existentes pertenecientes al Dominio de Nivel Superior Argentina. (AR)

3. REGISTRO: El Administrador procederá al registro de las denominaciones solicitadas de acuerdo con las siguientes reglas:

• Los poseedores de una dirección de correo electrónico en la Plataforma de Servicios podrán formular ante el Administrador requerimientos para: registro de denominación, cambio de persona responsable, baja de denominación, delegación de denominación, modificación de datos de delegación, baja de delegación, registro y delegación de denominación, registro de servidor de nombres, modificación de datos de servidor de nombres, baja de servidor de nombres, alta de persona, modificación de datos de persona, baja de persona, alta de entidad, modificación de datos de entidad, baja de entidad.

• El registro de una determinada denominación se otorgará al primer solicitante que demande la registración.

• No serán aceptadas solicitudes de registro de denominaciones iguales a otras ya existentes, o que puedan confundirse con instituciones o dependencias del Estado u Organizaciones Internacionales.

• Las denominaciones que contengan la palabra «nacional», «oficial» o «Argentina», o las letras, palabras o nombres distintivos que usen o deban usar la Nación y las Provincias, sólo podrán ser registradas por las entidades públicas que en cada caso corresponda.

• No son susceptibles de registro las denominaciones contrarias a la moral y las buenas costumbres.

• El Administrador no actuará como mediador ni como árbitro, ni intervendrá de ninguna manera, en los conflictos que eventualmente se susciten entre los registrantes y/o solicitantes y/o terceros, relativos al registro o uso de la denominación.

• El registrante es el único responsable de las consecuencias que pueda acarrear la selección de su denominación. En caso que el registro hubiera sido solicitado por una persona física o jurídica diferente del registrante, el solicitante será responsable solidariamente con el registrante. El hecho de que el Administrador registre una denominación a favor de un registrante, no implica la asunción de responsabilidad alguna respecto de la legalidad del uso de esa denominación por parte del registrante.

El Administrador tampoco evalúa si el registro o el uso de la denominación pueden eventualmente resultar violatorios de derechos de terceros.

• El solicitante que pide el registro de una denominación en representación de una persona física o jurídica registrante, declarará bajo juramento que tiene autorización del mismo para realizar tal solicitud, y será responsable por cualquier error, falsedad u omisión en la información suministrada al Administrador. Sin perjuicio de ello, el Administrador se encuentra facultado para denegar una denominación en caso de que la misma se refiera a una persona física o jurídica de trascendencia y/o notoriedad pública -circunstancia que será evaluada y determinada por el Administrador a su sola discreción- si el solicitante no pudiera demostrar a satisfacción del Administrador que se encuentra debidamente autorizado por esa persona a efectuar tal solicitud.

• El registrante y el solicitante, en el caso de tratarse de personas distintas, declararán bajo juramento que, de su conocimiento, el registro y uso de la denominación solicitada no interfieren ni afectan derechos de terceros.

• El registrante y el solicitante en caso de tratarse de personas distintas declararán bajo juramento que el registro de la denominación solicitada no se realiza con ningún propósito ilegal.

El Administrador está autorizado al cobro de una tarifa anual de renovación de cada dominio cuyo tope máximo será de $ 50 con más los cargos impositivos vigentes. Asimismo, por primera y única vez, el Administrador está autorizado al cobro de la tarifa bianual en concepto de registro, la administración y mantenimiento de cada dominio cuyo tope máximo será de $ 100.- con más los cargos impositivos vigentes.

• A los efectos de los controles y regulaciones de las adecuaciones posteriores de los aranceles indicado en el párrafo anterior, deberá darse intervención a la autoridad de aplicación según lo estipulado en el artículo 6º (Régimen de Inversiones) del contrato de concesión suscripto según el Decreto número 840/97.

• La tarifa por renovación anual será exigible una vez transcurridos los dos primeros años de la efectiva registración, a efectos de la fijación de las tarifas, los dominios registrados oportunamente por «NIC Argentina» serán considerados como nuevos. Las registraciones de los dominios EDU.AR, MIL.AR, GOV.AR serán gratuitas y no implicarán el pago al Administrador de cargo alguno.

• El registrante y el solicitante se comprometerán a no responsabilizar en ningún caso al Administrador por cualquier daño y/o perjuicio que pudiera sufrir directa o indirectamente por el hecho del registro o uso de la denominación.

• Al efectuar el registro de una nueva denominación, el registrante, en forma directa o a través de un solicitante, proporcionará datos de personas para contacto. Solamente las personas de contacto y el solicitante quedarán autorizados para efectuar requerimientos ulteriores sobre esa denominación.

• El Administrador mantendrá disponible la información corriente sobre las denominaciones, personas de contacto, entidades y servidores de nombre.

El Administrador mantendrá disponibles los formularios interactivos para efectuar los distintos requerimientos.

• La formulación de todo requerimiento implicará el conocimiento y aceptación de las reglas, procedimientos e instrucciones vigentes por parte del solicitante y del registrante.

• El Administrador establecerá un mecanismo para identificar cada requerimiento, y mantendrá disponible información sobre su situación.

La información relativa a la titularidad del registro de Dominio, sólo podrá ser develada a solicitud de autoridad competente.

4. BAJA:

• A solicitud de un registrante el Administrador procederá a dar de baja la denominación, quedando dicha denominación inmediatamente disponible para su nuevo registro.

• El Administrador podrá revocar el registro de una denominación cuando, por razones técnicas o de servicio ello sea conveniente, notificando al registrante con cinco (5) días hábiles de anterioridad a la efectivización de la revocación.

En el caso que el registrante no cumpliera con las obligaciones establecidas, el Administrador le notificará fehacientemente la comprobación del incumplimiento, determinando un plazo para que el mismo regularice su situación y/o presente su descargo. Este plazo no podrá ser menor de cinco (5) días hábiles. En caso que la situación de incumplimiento se mantenga transcurrido el plazo, o que el registrante no presente el descargo, el Administrador procederá a revocar el registro correspondiente.

• El registro podrá ser revocado cuando un registrante haya incurrido en tres (3) incumplimientos según lo establecido en el punto anterior en el lapso de seis (6) meses.

• El Administrador no será responsable por ninguna pérdida, ni por los daños y perjuicios de cualquier clase que la revocación del registro pudiera causar al registrante y/o al solicitante.

5. PLAZO: El registro de la denominación tendrá vigencia por un plazo dos (2) años, computados a partir de la fecha de su aceptación. La renovación deberá solicitarse durante el último mes de vigencia del registro. En el supuesto que el registrante no solicitara la renovación en dicho lapso, se producirá la baja automática de la titularidad del registro.

6. REGLAMENTO DE SERVICIO: El Administrador, dentro del marco de la presente Resolución, deberá elaborar un Reglamento, donde hará constar las características de los servicios.

SENTENCIA 236/2008 DEL TRIBUNAL SUPREMO DE 9 DE MAYO DE 2008

En la Villa de Madrid, a nueve de Mayo de dos mil ocho.

En el recurso de casación por infracción de ley y de precepto constitucional, que ante Nos pende, interpuesto por el MINISTERIO FISCAL, contra la sentencia dictada por la Audiencia Provincial de Tarragona, Sección Cuarta, que absolvió a Ángela del delito de facilitación de material de pornografía infantil del que venía siendo acusada, los Excmos. Sres. Magistrados componentes de la Sala Segunda del Tribunal Supremo que al margen de expresan, se han constituído para votación y fallo bajo la Presidencia del primero de los indicados y Ponencia del Excmo.Sr. D. José Ramón Soriano Soriano, habiendo comparecido como parte recurrida la anteriormente mencionada Ángela, representada por la Procuradora Sra. Bueno Ramírez.

ANTECEDENTES

1.- El Juzgado de Instrucción número 5 de Tarragona incoó Procedimiento Abreviado con el número 97/2006 contra Ángela , y una vez concluso se remitió a la Audiencia Provincial de Tarragona, cuya Sección Cuarta, con fecha dos de mayo de dos mil siete dictó sentencia que contiene los siguientes HECHOS PROBADOS:

«a) Sobre la obtención de las fuentes de prueba.

Con fecha 25 de octubre de 2005 tuvo entrada en el Juzgado de Instrucción número 7 de Sevilla comunicación escrita del Grupo de Delitos Telemáticos de la Policía Judicial de la Guardia Civil en la que se exponía que aprovechando la celebración en Sevilla del IV Foro Iberoamericano de Ciberpolicías, dicho grupo policial había iniciado el día 22 de octubre de 2005 y tenía previsto realizar hasta el dia 28 de ese mismo mes, búsquedas en Internet rastreando las redes de intercambio de archivos (Peer to Peer), para averiguar aquellos usuarios que descargasen o compartiesen entre dichas fechas archivos conteniendo fotografías o vídeos con contenido de pornografía infantil que previamente habían identificado e incluído en sus bases de datos.

Con carácter previo a dichos rastreos, ese grupo policial había creado una base de datos formada por 1.000 archivos de fotografías y vídeos con contenidos de pornografía infantil identificados de forma electrónica mediante su número «hash» con independencia del nombre que pueda asignarle en cada momento el usuario que es enteramente mudable.

En base a dichos rastreos policiales, realizados sin ningún tipo de autorización judicial, obtuvo dicho cuerpo policial un listado de «IPs (Internet Protocols)», esto es, claves de acceso que los Proveedores de Servicios de Internet asignan a cada ordenador en el momento en el que se conecta a Internet, el cual permite identificar de forma indubitada a través de dichos Proveedores el número telefónico desde el que se produce la conexión. Dicho listado de «IPs» obtenido por el cuerpo policial comprendía aquellos accesos a internet que se habían producido entre los días 22 a 29 de octubre de 2005, a través de los cuales se habían efectuado descargas o intercambios de los archivos cuyo número «hash» había sido incluído previamente en la base de datos creada por el Grupo de Delitos Telemáticos, identificando en dichos listados, las «IPs» concretas de cada conexión, los archivos concretos transmitidos desde cada una de ellas, así como las horas a las que se habían producido.

Dicho listado se presentó con posterioridad en el Juzgado de Instrucción número 7 de Sevilla, solicitando emisión de mandamiento judicial dirigido a los diferentes proveedores de servicios de internet existentes en España para que identificasen al titular, domicilio, número de teléfono y forma de pago correspondiente a cada uno de los «IPs» que habían identificado en sus rastreos. En cumplimiento de dicho mandamiento judicial se obtuvo que la acusada Ángela habia utilizado los accesos a internet correspondientes a los números IP NUM000 y NUM001 incluídas en dicho listado.

En base a dicha información se acordó por el Juzgado de Instrucción número 7 de Sevilla la entrada y registro en el domicilio de la acusada sito en el PASEO000 número NUM002 de la Pineda (Tarragona), que se efectuó el día 21 de febrero de 2006, en el que se intervino y analizó el contenido del ordenador personal que allí hallaron.

b) Sobre los hechos por los que se formula acusación:

La grave lesión al derecho fundamental al secreto de las comunicaciones en la obtención del material probatorio impide estimar acreditado que la acusada haya efectuado descarga alguna o acto de difusión de archivos con contenido de pornografía infantil, viciando de ilicitud al resultado del registrado del ordenador personal de la acusada, quedando tan sólo acreditado:

La acusada Ángela era usuaria del sistema de intercambio de archivos Emule del cual se servía para obtener la descarga de archivos de fotografía, música o películas, cuya selección efectuaba introduciendo palabras clave que pudieran aparecer en el título que otros usuarios habían asignado a los archivos que ponían a disposición de otros posibles usuarios para compartir. El propio sistema de intercambio de archivos no verifica que el contenido de cada archivo responda al título mudable que cada usuario pueda asignarle en cada momento, de tal forma que en ocasiones un título inocuo puede resultar con un contenido diferente al que en un principio pudiera sugerir el título con el que se selecciona la descarga, o incluso contener material pornográfico. El contenido únicamente puede ser averiguado a través de su visualización por el usuario que solicita la descarga una vez obtenida la descarga parcial o total del archivo, si bien incluso antes de dicha comprobación o incluso aunque ésta no se lleve a cabo, el propio archivo o las fracciones del mismo que ya se han descargado son a su vez compartidas de forma automática con otros usuarios del sistema.

En suma, un mismo archivo, identificado de forma electrónica mediante su número «hash» puede aparecer ofertado por diferentes usuarios bajo títulos diferentes, variables en cada momento, de la misma forma que un mismo título puede responder a contenidos diferentes.

En algunas ocasiones, meses antes de la entrada y registro efectuada en febrero de 2006, la acusada realizó búsquedas de archivos a través de títulos que contuvieran las palabras «bebés», «mamás», «papás», «niñas», «girls», «boys», «mamas con bebes», sin que quede acreditado que pretendiera obtener a través de dichas búsquedas archivos que contuvieran pornografía infantil. En varias ocasiones los archivos así descargados, resultaron contener pornografía infantil que la acusada borraba de su ordenador».

2.- La Audiencia de instancia dictó el siguiente pronunciamiento:

«Que debemos ABSOLVER Y ABSOLVEMOS a Ángela del delito de facilitación de la difusión de material de pornografía infantil, previsto y penado en el artículo 189 C.P . declarando de oficio las costas causadas en esta instancia.

Notifíquese esta resolución a las partes».

3.- Notificada la sentencia a las partes, se preparó recurso de casación por infracción de ley y de precepto constitucional, por el MINISTERIO FISCAL, que se tuvo por anunciado, remitiéndose a esta Sala Segunda del Tribunal Supremo las certificaciones necesarias para su sustanciación y resolución, formándose el correspondiente rollo y formalizándose dicho recurso.

4.- El recurso interpuesto por el MINISTERIO FISCAL se basó en el siguiente MOTIVO DE CASACIÓN:

Único.- Al amparo del artículo 852 de la L.E.Cr. por infracción del artículo 24 y 18.3 de la C.E . Articula el presente recurso por infracción del derecho a la tutela judicial efectiva en relación con el derecho a la prueba por cuanto la Audiencia dictó sentencia absolutoria tras declarar la nulidad de la prueba en que se sustentaba la acusación del Ministerio Fiscal, por estimar vulnerado el derecho al secreto de las comunicaciones.

5.- Dado traslado del recurso interpuesto por el Ministerio Fiscal a la parte recurrida, la misma se opuso a la admisión de dicho recurso; la Sala lo admitió a trámite y quedaron conclusos los autos para señalamiento de fallo cuando por turno correspondiera.

6.- Hecho el correspondiente señalamiento, se celebró la votación y fallo del presente recurso el día 24 de Abril del año 2008.

FUNDAMENTOS DE DERECHO

PRIMERO.- Al amparo del artículo 852 L.E.Cr . el Ministerio Fiscal en motivo único se alza contra la sentencia absolutoria recaída en esta causa por entender infringidos los arts. 24-1 y 18-3 C.E .

1. La sentencia declara la nulidad de la prueba (derecho a la prueba) que constituía el sustento de la imputación acusatoria del Fiscal y declara probado que el Grupo de Delitos Telemáticos de la Policía Judicial de la Guardia Civil, realizó búsquedas en Internet rastreando las redes de intercambio de archivos (Peer to Peer) para averiguar aquellos usuarios que descargasen o compartiesen archivos conteniendo fotografias o vídeos con contenido de pornografía infantil. En base a dichos rastreos policiales, realizados sin autorización judicial, se obtuvo un listado de IPS (Internet Protocols), esto es, claves de acceso que los proveedores de servicios de Internet asignan a cada ordenador en el momento en el que se conecta a Internet, el cual permite identificar de forma indubitada a través de dichos proveedores el número telefónico desde el que se produce la conexión.

2. El Fiscal entiende que la sentencia parte de unas premisas equivocadas y monta su argumentacion sobre los siguientes pilares:

a) A su juicio yerra la sentencia al afirmar que la Guardia Civil tuvo acceso, sin autorización judicial, a datos confidenciales de la acusada «preservados del conocimiento público y general», lo que no es enteramente cierto, ya que no hay secreto sobre datos que el partícipe en la comunicación informática voluntariamente aporta a la red de redes.

b) Mediante la utilización de un programa P2P no se afecta el derecho fundamental al secreto de las comunicaciones. Lo que se averigua por la Guardia Civil en los rastreos efectuados es qué IPS habían accedido a los «Hash» que contenían pornografía infantil. A esa información, que es la única que se obtiene sin autorización judicial, puede acceder cualquier usuario de la red. La huella de la entrada, el IP, queda registrado siempre y ello lo sabe el usuario.

c) Consecuentemente la Audiencia confunde -en opinión del Mº Público- las comunicaciones telefónicas tradicionales con el acceso telefónico a Internet, sus reglas, requisitos y efectos. Reconoce que la doctrina jurídica contenida en las sentencias que la fundamentación jurídica de la recurrida cita es correcta, siempre que se refieran a comunicaciones estrictamente telefónicas. En este sentido realiza las siguientes matizaciones:

– en la telefonía convencional los números desde donde se efectúan o reciben las llamadas se hallan protegidos por el derecho al secreto de las comunicaciones (S.T.E.D.H.: caso Malone de 2-8-84); sin embargo en las comunicaciones por Internet el teléfono es un mero instrumento de comunicación con la red.

– de ahí que quien utiliza voluntariamente un programa (Peer to Peer: P2P), en nuestro caso EMULE, asume y consiente que muchos de los datos que incorpora a la red pasen a ser de conocimiento público para cualquier usuario de Internet.

– a su vez las claves identificativas (Internet Protocols: IPs) no concretan a la persona del usuario, sino sólo el ordenador que se ha usado, lo que hace necesario para poder llegar a conocimiento del número de teléfono y titular del contrato (datos que pueden reputarse reservados) la autorización judicial, que es lo que se hizo en el caso que nos ocupa ante el Juzgado de Instrucción número 7 de Sevilla que expidió el correspondiente mandamiento.

– así las cosas es visto que los rastreos policiales previos que se tildan de ilegales, sólo afectaban a datos públicos de Internet no protegidos por el artículo 18-1º y 3º de la Constitución y en consecuencia las pruebas obtenidas y las derivadas no se hallaban afectas a vicio alguno.

3. Planteado así el problema, se hace preciso o cuando menos conveniente esbozar un esquema de los criterios legales y jurisprudenciales en orden a la calificación de la actuación policial de acuerdo con la legalidad procesal y constitucional.

En este sentido y en cuanto al alcance del contenido del derecho al secreto de las comunicaciones previsto en el artículo 18-3 C.E ., la sentencia recurrida concreta acertadamente su contenido material, circunstancia que concuerda con las tesis del Fiscal recurrente.

Desde la sentencia del Tribunal Constitucional número 123 de 20 de mayo de 2002 , se establece, haciéndose eco del caso Malone (2-8-84), resuelto por el Tribunal de Estrasburgo de Derechos Humanos, que la obtención del listado de llamadas hechas por los usuarios mediante el mecanismo técnico utilizado por las compañías telefónicas constituye una injerencia en el derecho fundamental al secreto de las comunicaciones reconocido en el artículo 8 del Convenio Europeo, equivalente al 18-3 C.E. En cuanto al concepto de secreto de la comunicación no sólo cubre su contenido, sino otros aspectos de la comunicación, como la identidad subjetiva de los interlocutores. Consecuentemente podemos afirmar que el secreto a las comunicaciones telefónicas garantiza también la confidencialidad de los comunicantes, esto es, alcanzaría no sólo al secreto de la existencia de la comunicación misma y el contenido de lo comunicado, sino a la confidencialidad de las circunstancias o datos externos de la conexión telefónica: su momento, duración y destino….». Hasta este nivel discursivo existe coincidencia entre la posición del tribunal de instancia y el Mº Fiscal.

También cita la sentencia combatida la de esta Sala número 130 de 19 de febrero de 2007 , por resultar oportuna dados los temas tratados, próximos al problema a discernir ahora. En dicha sentencia, completada por un voto particular de dos magistrados, también existía coincidencia en orden a insertar dentro del derecho al secreto de las comunicaciones todo lo referente al desvelamiento de los interlocutores de una conversación telefónica, así como el día, hora y duración de la misma, aunque no se haya interferido en el contenido de la comunicación.

El problema se suscitaba en la averiguación del número de teléfono o identidad del usuario de un determinado número. Usualmente, la policía judicial cuando interesa una actuación injerencial del juez, concreta y precisa los números telefónicos que deben ser intervenidos, incluso facilitando sus titulares o posibles usuarios, que coinciden con las sospechas sobre las mismos de estar cometiendo algún delito.

En el voto particular no se califica de injerencia ilegítima la simple averiguación de los números telefónicos usados por una persona, en cuanto no contravendría la doctrina del caso Malone ni la de nuestro Tribunal Constitucional, ya que sería preciso para merecer protección que se indagara (cosa que en el caso resuelto por la sentencia de 2007 no ocurre) el teléfono o la persona destinataria de la llamada, así como el momento y duración de la conversación mantenida.

La sentencia de 2007, en su voto reservado, siguiendo una línea doctrinal de esta Sala, acorde con la sentada por el Tribunal Constitucional, justifica el conocimiento por parte de la policía judicial del número telefónico perteneciente a una persona, por informaciones confidenciales, listines telefónicos, registros o documentos públicos o privados, etc.

Dicha sentencia, sin embargo, sin contradecir tal observación entiende con fundamento que necesariamente se debió intervenir una conversación para conocer dicho número, habida cuenta de los testimonios policiales que aludían a la utilización de un artilugio técnico para la obtención del dato.

4. Queda en pie la duda, de si para solicitar el número telefónico o identidad de una terminal telefónica (cabría extenderlo a una dirección o identificación de Internet: Internet protocols), es necesario acudir a la autorización judicial, si no han sido positivas las actuaciones policiales legítimas integradas por injerencias leves y proporcionadas, que puede respaldar la Ley Orgánica de Cuerpos y Fuerzas de Seguridad del Estado o Ley de Seguridad Ciudadana, en la misión de los agentes de descubrir delitos y perseguir a los delincuentes.

A nuestro juicio, sin pretensiones ni mucho menos de sentar doctrina (obiter dicta), los datos identificativos de un titular o de una terminal deberían ser encuadrados, no dentro del derecho al secreto de las comunicaciones (artículo 18-3 C.E .) sino en el marco del derecho a la intimidad personal (artículo 18.1º C.E .) con la salvaguarda que puede dispensar la Ley de Protección de Datos de Carácter Personal, L. O. 15/1999 de 13 de diciembre : artículo 11.2 d. o su Reglamento, Real – Decreto 1720/2007 de 21 de diciembre, que entró en vigor el 31 de marzo de 2008 , sin despreciar la Ley 32 de 3 de noviembre de 2003, General de Telecomunicaciones y su Reglamento, R.D. 424 de 15 de abril de 2005 , en los que parece desprenderse que sin el consentimiento del titular de unos datos reservados, contenidos en archivos informáticos, no pueden facilitarse a nadie, salvo los casos especiales que autorizan sus propias normas, entre las que se halla la autorización judicial, que lógicamente estaría justificada en un proceso de investigación penal.

Tampoco debe pasar por alto, aunque sólo sea con carácter dialéctico, el contenido de la Ley número 25 de 18 de octubre de Conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicación, que al igual que el Reglamento de la Ley de protección de datos son posteriores a los hechos aquí enjuiciados y por ende no aplicables.

La ley últimamente citada que se dicta en desarrollo de la Directiva de la Unión Europea 2006-24 – C.E. del Parlamento Europeo y del Consejo de 15 de marzo del mismo año tiene por objeto imponer la obligación a los operadores de Telecomuniaciones de retener determinados datos generados o tratados por los mismos con el fin de entregarlos a los agentes facultados, en caso de que le fueran requeridos por éstos, entendiendo por tales agentes los pertenecientes a los Cuerpos policiales, al Centro Nacional de Inteligencia y a la Dirección de Vigilancia aduanera. Esta ley exige para la cesión de estos datos, con carácter general, la autorización judicial previa y entre los datos que deben conservar figura el que es objeto del proceso que nos ocupa (los datos que deben ser custodiados por los operadores de telecomunicaciones están ampliamente descritos en su artículo 3º ).

SEGUNDO.- Visto el panorama jurisprudencial y legislativo y trasponiéndolo al caso que nos ocupa se puede concluir lo siguiente:

a) los rastreos que realiza el equipo de delitos telemáticos de la Guardia Civil en Internet tienen por objeto desenmascarar la identidad críptica de los IPS (Internet protocols) que habían accedido a los «hash» que contenían pornografía infantil. El acceso a dicha información, calificada de ilegítima o irregular, puede efectuarla cualquier usuario. No se precisa de autorización judicial para conseguir lo que es público y el propio usuario de la red es quien lo ha introducido en la misma. La huella de la entrada – como puntualiza con razón el Mº Fiscal- queda registrada siempre y ello lo sabe el usuario.

b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.

Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el artículo 18-1º ni por el 18-3 C.E .

TERCERO.- Por todo ello debe quedar patente que al verificar los rastreos la policía judicial estaba cumpliendo con su función de perseguir delitos y detener a los delincuentes que los cometen, siendo legítimos y regulares los rastreos efectuados, lo que trae como consecuencia la validez de los mismos y la de las diligencias policiales practicadas en ejecución del auto autorizando la identificación de los usuarios de IPs y el posterior de entrada y registro, determinando la nulidad de la sentencia que el Fiscal interesa.

Ello no empece, fijándonos en el segundo apartado de hechos probados y fundamentación jurídica a este particular referida, que a pesar de la validez de las pruebas indebidamente expulsadas del proceso, concurrieron en el caso otros elementos probatorios, capaces -quizás- de excluir la culpabilidad de la acusada. Pero ese punto no se cuestiona ni recurre.

Por consiguiente, la nulidad de la sentencia obligará al mismo Tribunal a dictar otra en el que se considere dentro del acervo probatorio todas las actuaciones, diligencias y pruebas practicadas en la causa que se han declarado nulas en la combatida y las que de ellas traen causa, para que en valoración conjunta con las demás practicadas dicten nueva sentencia, condenado o absolviendo, según proceda en derecho.

CUARTO.- Las costas del recurso se declaran de oficio, de conformidad con lo dispuesto en el artículo 901 L.E .Criminal.

FALLO

Que debemos DECLARAR Y DECLARAMOS HABER LUGAR al recurso interpuesto por el MINISTERIO FISCAL, por estimación del único motivo articulado, declarando NULA LA SENTENCIA dictada por la Audiencia Provincial de Tarragona, Sección Cuarta, procediendo por la misma Sala a dictar otra, en la que se tenga en consideración como pruebas legítimas las declaradas nulas por el Tribunal y las que de ellas deriven, valorándolas en conjunción con el resto del elenco probatorio válido.

Comuníquese esta resolución a la mencionada Audiencia Provincial de Tarragona, Sección Cuarta, a los efectos legales procedentes, con devolución de la causa.

Así por esta nuestra sentencia, que se publicará en la Colección Legislativa lo pronunciamos, mandamos y firmamos Joaquín Giménez García José Ramón Soriano Soriano Juan Ramón Berdugo Gómez de la Torre Manuel Marchena Gómez Diego Ramos Gancedo

PUBLICACION.- Leida y publicada ha sido la anterior sentencia por el Magistrado Ponente Excmo. Sr. D José Ramón Soriano Soriano , estando celebrando audiencia pública en el día de su fecha la Sala Segunda del Tribunal Supremo, de lo que como Secretario certifico.

Sentencia 108/2005, del Superior Tribunal de Justicia, de 24 de noviembre de 2005. Expediente 20499/05.

Habiéndose reunido en Acuerdo los señores Jueces del Superior Tribunal de Justicia de la Provincia de Río Negro, doctores Luis LUTZ, Víctor H. SODERO NIEVAS y Alberto I. BALLADINI, con la presencia del señor Secretario doctor Ezequiel LOZADA, para el tratamiento de los autos caratulados: «CONSEJO ASESOR INDIGENA (CAI) s/MANDAMUS» (Expte. Nº 20499/05 STJ ), deliberaron sobre la temática del fallo a dictar, de lo que da fe el Actuario. Se transcriben a continuación los votos emitidos, conforme al orden del sorteo previamente practicado.

V O T A C I O N

El señor Juez doctor Luis LUTZ dijo:

En ejercicio de la acción del art. 44 de la C.P. e invocando la representación del CONSEJO ASESOR INDIGENA, a fs. 16/23 vienen ante al S.T.J. los amparistas HERMENEGILDO LIEMPE y JULIETA VINAYA con el patrocinio del Dr. FERNANDO KOSOVSKY a interponer un «mandamus» contra el CODECI. (CONSEJO DE DESARROLLO DE COMUNIDADES INDIGENAS), dependiente del Ministerio de Gobierno, y la DIRECCION DE TIERRAS Y COLONIAS, a su vez dependiente del Ministerio de Producción, para que se les ordene la inmediata entrega de información requerida por escrito, acompañada por copias de todo lo solicitado y se les condene en costas, los que respectivamente responden a fs. 169/174 y fs. 150/153, juntamente con la FISCALIA DE ESTADO (art. 190 de la C.P. y Ley Nº 88) a fs. 156/157.

La señora Procuradora General de la Provincia se expide a fs. 188/197, en un dictamen cuyo contenido anticipo compartir y hago propio en cuanto al objeto de la pretensión de garantizar el derecho de acceso a la información pública que se dice vulnerado, invocado por ciudadanos que gozan de él, respecto de la que no le fue suministrada, o sea que no se la dieron ni se tramitó por las vías administrativas.

Sostiene la señora Procuradora General que el plexo normativo que componen el inc. 22 del art. 75 de la C.N. (Declaración Universal de los Derechos Humanos, Convención Americana de los Derechos Humanos, Pacto Internacional de Derechos Civiles y Políticos); arts. 4 y 26 de la C.P., Leyes Nº 1829 y Nº 3441, establecen con claridad meridiana el deber de la autoridad de proporcionar la información por escrito, agregando copia de la documentación, o permitiendo el acceso personal y directo, bajo determinadas circunstancias y que la argumentación del CODECI., respecto a que procedió a «bajar información en terreno», no suple el recaudo legal, ya que si bien la Ley Nº 1829 no está reglamentada, tiene operatividad y no hay excepciones regladas, por lo que está habilitada la acción en los términos del art. 7 de la Ley Nº 3441, concluyendo que el fin de ésta se encuentra satisfecho con la instrumental de fs. 29/149 y fs. 158/168, restando poner a disposición de los amparistas los informes suministrados y la documentación acompañada.
La comunidad, dentro de la estructura constitucional, tiene derecho a una información que le permita ajustar su conducta a las razones resultantes de la misma, y siempre que el uso de ese derecho no afecte la armonía de los demás derechos constitucionales (CSJN., ED., 9 537; asimismo STJRNCO.: Se. Nº 110 del 29.08.01, «LARROULET, NESTOR R. s/MANDAMUS», Expte. Nº 16014/01 STJ ).

El objeto de las garantías constitucionales es la comunicación de ideas y la de recibir información, por lo que tales garantías abarcan todas las diversas formas en que la libertad de información se traduce. No es posible sostener lo contrario, sin menoscabo del art. 31 de la Convención Americana de Derechos Humanos, que en su art. 13, inc. 1) ha incorporado al derecho positivo argentino del derecho de informar y de ser informado, especialmente sobre asuntos relativos a la cosa pública o de relevancia para el interés general (del voto del doctor Petracchi, en CSJN., Diciembre 11 1984, ED., 112 239; STJRNCO.: Se. Nº 110 del 29.08.01, «LARROULET, NESTOR R. s/MANDAMUS», Expte. Nº 16014/01 STJ ). Retacear el derecho a informarse y a informar sería ocultar al soberano, el pueblo, las maneras con que los mandatarios ejecutan sus obligaciones legales y constitucionales, sería impedir la crítica de la opinión pública, menoscabar la vigilada responsabilidad con que los funcionarios cumplen sus diarias labores sabiéndose controlados y evaluados a través de los múltiples canales de la comunicación ciudadana (STJ. del Chubut, setiembre 12 1995, ED., 165 301; STJRNCO.: Se. Nº 110del 29.08.01, «LARROULET, NESTOR R. s/MANDAMUS», Expte. Nº 16014/01 STJ ).

Que es principio de la actuación del Estado, derivado del sistema republicano de gobierno, la responsabilidad de la autoridad pública, teniéndose como una de sus consecuencias la publicidad de sus actos para aguzar el control de la comunidad y, en especial, de los posibles interesados directos, quienes podrán efectuar las impugnaciones que el ordenamiento permita (CS., 12 Mayo 1988; ED., 129 267).

Como sostiene Germán BIDART CAMPOS, (cf. «El panorama de los derechos humanos a fin de siglo», JA. 1998, 80 aniv. Lexis Nº 0003/007291) el derecho constitucional ha desarrollado una nueva dimensión a partir del momento de la incorporación de los intereses difusos o colectivos, los derechos de la tercera generación, o los que la Constitución Argentina reformada en 1994 denomina «derechos de incidencia colectiva en general», acumulando nuevos derechos a los civiles y políticos de la primera generación y a los derechos sociales de la segunda. Así, el derecho a la información y la comunicación, al medio ambiente sano, el derecho al desarrollo, el derecho a la paz, el derecho a los consumidores y usuarios, etc., con una apertura susceptible de otros acrecimientos.

También se ha señalado que el derecho a la información es preexistente a la incorporación del hábeas data en nuestra Ley Fundamental. No es que el reciente ingreso de este instituto haya incorporado a la Constitución el derecho a la información sobre los asuntos públicos, puesto que éste es inherente al sistema republicano y a la publicidad de los actos de gobierno (cf. Juz. de Primera Instancia en lo Civ. y Comercial del Distrito Judicial Sur, Ushuaia, 31 de octubre del 2005 en autos «Worman, Guillermo P. s/amparo por Mora»; Carlos S. FAYT, en «URTEAGA, Facundo R. c/Estado Nacional s/Amparo», Fallos 321:2767). Obviamente, el «derecho al libre acceso a la información», recibido expresamente en nuestro ordenamiento constitucional en el art. 13 inc. 1 de la Convención Americana sobre Derechos Humanos, también aparece vinculado al habeas data en el derecho comparado latinoamericano. Así, sigue esta línea la Constitución Política de Colombia (1991), en cuanto establece, con mayor amplitud aún que en el pacto citado, «todas las personas tienen derecho a acceder a los documentos públicos, salvo los casos que establezca la ley». Del mismo modo, la Constitución de 1993 del Perú reconoce en su art. 2 inc. 5, el derecho de toda persona a «solicitar sin expresión de causa la información que requiera, con la excepción de aquéllas que afecten la intimidad o las que se excluyan por ley o por razones de seguridad nacional», derecho que, con su notable amplitud, está garantizado con el recurso de habeas data (art. 200 inc. 3). También la Constitución Brasileña de 1988 asegura el derecho de información general (art. 5, XIV), por un lado, y el instrumento del hábeas data, por el otro, para asegurar el conocimiento de informaciones relativas a la persona impetrante y para rectificar los datos (art. 5, LXXII; cf. Eduardo A. ZANNONI, «La acción de amparo y la tutela efectiva de los derechos humanos», Jurip. Anotada, JA., 1999 I 44).

Por resultar satisfecho el objeto de la pretensión en el estado de los autos y ante la informalidad que caracteriza al instituto, no considero necesario ni conveniente a fin de evitar eventuales desinterpretaciones, extenderme más allá de ese dictamen de la señora Procuradora General ante la complejidad de las cuestiones conexas en orden a la legitimación, la naturaleza de la información que se requiere vinculada a normativa de raigambre constitucional y el deber del Estado y sus funcionarios.

Por ello, propongo al Acuerdo:

1º) Hacer lugar al mandamiento de ejecución en los términos antedichos.

2º) Tener por satisfechos los extremos de la pretensión con la documentación que se glosa a fs. 29/149 y fs. 158/168, que se pone a disposición de los amparistas. A todo evento, con autorización, extraer copias fotostáticas a su costa.

3º) Costas a los requeridos. Fijar los honorarios del Dr. FERNANDO KOSOVSKY en el equivalente a cincuenta (50) jus (art. 36 y cc., Ley 2212).

4º) De forma. MI VOTO.

El señor Juez doctor Víctor H. SODERO NIEVAS dijo:

ADHIERO a los fundamentos y solución que propone el señor Juez que me precede en el orden de votación.

El señor Juez doctor Alberto I. BALLADINI dijo:

Atento los votos coincidentes de los señores Jueces que me anteceden en la votación, ME ABSTENGO de emitir opinión (art. 39, L.O.).

Por ello,

EL SUPERIOR TRIBUNAL DE JUSTICIA DE LA PROVINCIA

R E S U E L V E:

Primero: Hacer lugar al mandamiento de ejecución deducido a fs. 16/23 y vta. de las presentes actuaciones por el Consejo Asesor Indígena, por los fundamentos dados.

Segundo: Poner a disposición de los amparistas la documentación que se glosa a fs. 29/149 y a fs. 158/168 a fin de que con autorización extraigan copias fotostáticas a su costa.

Tercero: Costas a los requeridos (art. 68 del CPCyC.). Fijar los honorarios profesionales del doctor Fernando KOSOVSKY en la suma de Pesos equivalente a CINCUENTA (50) Jus (art. 36 y cc., Ley Nº 2212). Notifíquese a la Caja Forense y cúmplanse con los aportes previstos en la Ley Nº 869.

Cuarto: Regístrese, notifíquese y oportunamente archívese.

Fdo.:LUIS LUTZ JUEZ VICTOR HUGO SODERO NIEVAS JUEZ ALBERTO I. BALLADINI JUEZ EN ABSTENCION

ANTE MI: EZEQUIEL LOZADA SECRETARIO SUPERIOR TRIBUNAL DE JUSTICIA

PROTOCOLIZACION Tomo III Se. Nº 108 Folios 1246/1251 Sec. Nº 4.