Resolución 7652/2000, de 22 de septiembre de la Dirección General de Impuestos y Aduanas Nacionales , por la cual se reglamenta la administración, publicación y uso de la información electrónica vía INTRANET e INTERNET en la Dirección de Impuestos y Aduanas Nacionales.

El Director General de Impuestos y Aduanas Nacionales,

en uso de sus facultades legales y en especial las dispuestas en el artículo 19º literales h), cc), mm), nn) y oo) del Decreto 1071 de 1999, y

CONSIDERANDO:

Que la Dirección de Impuestos y Aduanas Nacionales, cuenta con los recursos tecnológicos necesarios para ofrecer servicios de información a través de la red corporativa Intranet y la red mundial de información Internet;

Que es necesario reglamentar el proceso de recepción, aprobación, generación, inclusión, publicación, evaluación, consulta y seguimiento de los servicios e información ofrecida a través de Internet e Intranet de la entidad;

Que se debe promover en la entidad, la cultura de servicio mediante la generación y divulgación oportuna de información electrónica;

Que se deben canalizar las iniciativas que en materia de producción de información electrónica se generen, en las áreas del nivel central, direcciones regionales y administraciones de la Dirección de Impuestos y Aduanas Nacionales;

Que es necesario garantizar la actualización de la información disponible en Intranet e Internet;
Que se deben reglamentar las responsabilidades de las áreas frente a la administración, publicación y uso de la información de los sitios WEB (web site) de Internet e Intranet y de las responsabilidades de los funcionarios en el uso de la información electrónica;

Que la información de la Dirección de Impuestos y Aduanas Nacionales debe ser protegida a través de toda la organización, de acuerdo con las políticas de seguridad de la información;

Que las áreas del nivel central, las direcciones regionales y las administraciones deben garantizar la calidad y la coherencia de la información a publicar en Intranet e Internet,

RESUELVE:

TÍTULO I. DEFINICIONES

Artículo 1°. Para efectos de entendimiento y aplicación de la presente resolución se definen los siguientes términos:
Browser (navegador, visualizador, visor): Aplicación para visualizar documentos WWW y navegar por el espacio Internet. En su forma básica son aplicaciones hipertexto que facilitan la navegación por los servidores de información Internet; los más avanzados cuentan con funcionalidades plenamente multimedia y permiten indistintamente la navegación por servidores WWW, FTP, Gopher, el acceso a grupos de noticias, la gestión del correo electrónico, etc.
Cifrado (encriptación): Procedimientos para codificar información de manera que pueda transmitirse sin peligro de ser interceptada o alterada, antes de que llegue al destinatario.
Contraseña (password): Es la protección que garantiza que el acceso no será utilizado por otras personas.
Ftp (protocolo de transferencia de archivos): Método común para transferir archivos en Internet desde y hacia computadoras remotas.
Hipertexto: Es una forma de organizar información. En lugar de leer un texto en forma continua, ciertos términos están unidos a otros mediante enlaces que tienen entre ellos. El hipertexto permite saltar de un punto a otro en uno o varios documentos a través del texto y por medio de los enlaces permite que los navegantes busquen información de su interés en la red, guiándose por un camino propio de razonamiento.
Home page (página principal): Documento en el WWW que es la página de entrada o principal de una organización, empresa o persona.
Internet: Tecnología basada en la red electrónica global a través de la cual el usuario puede acceder a información en forma de texto, gráfico o video, generadas por universidades, instituciones públicas, centros de investigación, empresas e individuos, con alto valor agregado para el servicio de la comunidad global.
El Internet ofrece entre otros servicios, el de transferencia de archivos, correo electrónico, consulta de temas generales y específicos, grupos de discusión y comercio electrónico de productos.
Intranet: Red electrónica interna y corporativa basada en la tecnología web de Internet, la cual optimiza los procesos de la entidad y la comunicación institucional reduciendo notoriamente sus costos.
La Intranet, se considera como una gran cartelera interna electrónica, donde se presenta información de carácter general como revistas, boletines, circulares, noticias, grupos de discusión y otros.
Listas de correo electrónico: También llamadas listas de discusión, a las que se subscriben los usuarios para intercambiar mensajes referentes a un tema específico. El correo se envía a una dirección específica y éste es reproducido y enviado a cada suscriptor. El manejo de la lista es usualmente automatizado y a menudo es moderada por su propietario.
Multimedia: Combinación o uso simultáneo de varios lenguajes o tecnologías de presentación de información (imágenes, sonido, animación, video, texto).
Políticas de uso: Conjunto de normas que establecen el uso que se puede dar de un servicio o recurso de información de una red en un ámbito dado. Estas políticas establecen el comportamiento esperado de los funcionarios de la entidad, hacia los diferentes recursos y servicios de información.
Sitio (site): Término utilizado para definir un conjunto coherente y unificado de páginas y objetos intercomunicados, almacenados en un servidor bajo una misma dirección.
Telnet: Programa informático que permite la conexión de una computadora a otra. Telnet necesita conocer el nombre de la computadora remota o en su defecto el número que le corresponde en la red.
Virus: Programa nocivo que se mantiene oculto y se reproduce duplicándose en archivos de programas y disquetes, ocasionando daños, siendo uno de los más comunes el borrado de información.
World wide web, w3 o www: Conjunto de servidores que proveen información organizada en sitios, cada uno con cierta cantidad de páginas relacionadas. La web es una forma novedosa de organizar toda la información existente en Internet a través de un mecanismo de acceso común de fácil uso, con la ayuda del hipertexto y la multimedia.

TÍTULO II. POLITICAS DE USO

Artículo 2°. Sin perjuicio de las directrices que imparta la Oficina de Servicios Informáticos, los servidores públicos de la contribución deben cumplir con las políticas de administración, publicación y uso de la información vía Intranet e Internet y los lineamientos de comportamiento apropiado que se definen en la presente resolución.

1. Acceso al servicio

a) Toda cuenta de usuario de Internet debe tener asociada una contraseña;

b) Las cuentas de acceso a Internet, sólo pueden crearse para funcionarios de la entidad y son de carácter personal e intransferible;

c) Todos los servidores públicos de la contribución tendrán acceso a la Intranet;

d) Las contraseñas deben ajustarse a los estándares de la entidad y no debe corresponder a nombres comunes o aspectos fáciles que identifique al usuario. Debe ser cambiada periódicamente o por solicitud, para los casos en que por algún motivo la contraseña haya sido publicada;

e) Las contraseñas deben ser almacenadas en forma cifrada por el administrador de la red. El acceso al archivo de contraseñas debe ser limitado al administrador del sistema;

f) Los usuarios deben acceder a los servicios, a través del browser estándar definido por la entidad.

2. Puntos de acceso
Los usuarios autorizados para acceder a los servicios de Internet, solamente podrán hacerlo a través de las estaciones de trabajo conectadas a redes de la Dirección de Impuestos y Aduanas Nacionales.

3. Uso de Internet e Intranet
La Información consultada en cualquier horario de trabajo a través de Internet e Intranet, debe apoyar directamente las funciones relacionadas con el campo de responsabilidad laboral del servidor público de la contribución y/o servir como herramienta para desempeñar sus funciones.
Las políticas y estándares documentan formalmente las reglas para la protección de la información de la Dirección de Impuestos y Aduanas Nacionales, cuando se utilicen los servicios de Internet e Intranet y establecen que la información de la entidad debe ser protegida por todos los servidores públicos de la contribución.

4. Prevención de virus
Es responsabilidad del servidor público que toda información que baje de Internet, sea adecuadamente inspeccionada y vacunada por el software antivirus definido como estándar para la entidad. Esta acción se debe realizar antes que la información sea consultada o divulgada a través de la red.

5. Uso legal del software
El software obtenido a través de Internet debe cumplir con la política que tiene la Dirección de Impuestos y Aduanas Nacionales en cuanto al uso del software. La entidad sólo utilizará software debidamente legalizado; en consecuencia, queda absolutamente prohibido usar, copiar y/o distribuir software que no cumpla con las normas legales existentes al respecto.

6. Confidencialidad
La información publicada en Internet es de carácter público y por tanto, aquella que la entidad haya clasificado como confidencial no podrá emitirse a través de esta red. Excepto en los casos en que su utilización se autorice por un medio catalogado por la Oficina de Servicios Informáticos como seguro, de acuerdo con la reglamentación que se expida para tal efecto.
La información publicada en Intranet es de carácter privado y para uso exclusivo de los servidores públicos de la contribución.
La información relacionada con las configuraciones de las redes Internet e Intranet es de responsabilidad exclusiva de la División de Administración y Soporte Técnico de la Oficina de Servicios Informáticos. Esta información es clasificada como confidencial.
Las cuentas de usuarios y contraseñas de acceso a Internet son responsabilidad exclusiva de cada usuario autorizado.

7. Canalización de problemas
Todo problema técnico que se les presente a los usuarios internos de la Dirección de Impuestos y Aduanas Nacionales, en el ambiente de Internet e Intranet se debe reportar una vez se conozca, al Centro Nacional de Soporte Informático ‘CENSI’ de la División de Administración y Soporte Técnico de la Oficina de Servicios Informáticos

8. Servicios de la red
Los servicios de TELNET y FTP de Internet solo se habilitarán para ser ejecutados desde las redes de la entidad, a personal autorizado por el Jefe de la Oficina de Servicios Informáticos, manteniendo el esquema de seguridad de la entidad.

9. Publicación de la información
Para la publicación de información en la página web de la Dirección de Impuestos y Aduanas Nacionales, la División de Investigación Tecnológica de la Oficina de Servicios Informáticos tendrá en cuenta los estándares de diseño que ofrece el mercado y mantendrá la imagen corporativa utilizando el logotipo institucional y el manual de identidad visual que para el efecto defina el Grupo Interno de Trabajo de Comunicaciones.
La información que se publique debe corresponder exclusivamente al desarrollo de las funciones propias de la Dirección de Impuestos y Aduanas Nacionales y su publicación se realizará con el software estándar de la entidad.
Las dependencias que publiquen información deberán definir el tiempo de permanencia y actualización de la misma e informarlo a la Oficina de Servicios Informáticos.

TÍTULO III. RESPONSABILIDADES

Artículo 3°. Para efectos de garantizar el cumplimiento de la presente resolución se establecen las siguientes responsabilidades para las oficinas, subdirecciones y subsecretarías:

a) Preparar y enviar la información por correo electrónico a la Oficina de Servicios Informáticos al usuario [email protected] o al que haga sus veces, garantizando su consistencia, calidad, contenido y oportunidad;

b) Mantener actualizados los web sites de la Intranet e Internet en los temas relacionados con sus funciones;

c) Verificar la calidad e integridad de la información que se está publicando, en los temas de su competencia;

d) Clasificar la información a publicar, de acuerdo a su uso como de carácter público, interno o confidencial;

e) En coordinación con la Oficina de Servicios Informáticos, implementar nuevos servicios de información en Internet e Intranet previa factibilidad y viabilidad jurídica, económica y técnica;

f) En coordinación con la Subsecretaría Comercial identificar si la información a publicar puede ser susceptible de comercialización;

g) Autorizar el intercambio de información por medio de Internet e Intranet con las entidades públicas y privadas y con las administraciones, de acuerdo con las normas y políticas de seguridad vigentes;

h) Evaluar y aprobar las propuestas de información presentadas por las direcciones regionales y administraciones especiales según corresponda;

i) Presentar informe trimestral al Director General, Director de Impuestos, Director de Aduanas, Secretario de Desarrollo Institucional o al Secretario General, según corresponda, sobre la información aprobada y publicada durante el citado periodo en cada área.

Artículo 4°. Sin perjuicio de lo señalado en el artículo anterior, se establecen las siguientes responsabilidades específicas:

1. Oficina Jurídica

a) Emitir concepto sobre la conveniencia o viabilidad jurídica de publicar temas tributarios, aduaneros y de control cambiario en la Intranet e Internet, cuando las diferentes dependencias de la entidad lo requieran;

b) Remitir oportunamente el concepto técnico para que esta pueda continuar con el trámite de publicación de la información.

2. Oficina de estudios económicos
En coordinación con la Subsecretaría Comercial definir la información estadística que se publica en Internet e Intranet y su respectiva valoración.

3. Oficina de servicios informáticos

a) Generar estadísticas de uso sobre la información publicada a través de la División de Administración y Soporte Técnico de la Oficina de Servicios Informáticos.

b) Publicar en intranet o Internet la información autorizada por las áreas competentes.

c) Monitorear y evaluar las pistas de auditoría y los informes generados por los registros de seguridad de Internet e Intranet.

d) Coordinar con la Subsecretaría de Desarrollo Humano los programas de formación y capacitación sobre Internet e Intranet a los funcionarios de la entidad.

3.1. DIVISION DE INVESTIGACIÓN TECNOLÓGICA

a) Administrar las páginas web de Internet e Intranet.

b) Definir el esquema de actualización automática de la información en Internet e Intranet.

c) Diseñar el home page de la entidad y los esquemas de presentación de la información en Internet e Intranet, así como los estándares de publicación que deben seguir las áreas.

4. Subsecretaría Comercial

a) Definir conjuntamente con el área que corresponda según el tema de que se trate, los precios del servicio de información que se ofrece por Internet.o Intranet;

b) Comercializar la venta de servicios que se ofrecen o puedan ofrecer en la Intranet o Internet.

5. Subsecretaría de Planeación

a) Realizar evaluaciones periódicas a la estructura de los contenidos de los web site de la entidad, para lo cual invitará a las áreas del nivel central involucradas;

b) Coordinar con las áreas del nivel central, la publicación de información de las regionales y administraciones, cuando el contenido de los temas involucren a dos (2) o más áreas.

6. Grupo Interno de Trabajo de Comunicaciones

a) Revisar y proponer ajustes al diseño de los sitios de Internet e Intranet en cuanto a la forma de presentación de la información a publicar;

b) Realizar la divulgación de los asuntos inherentes al fortalecimiento de la imagen institucional.

7. Directores Regionales, Administradores Especiales de Impuestos Nacionales, Administradores Especiales de Aduanas Nacionales

a) Evaluar y clasificar la información funcional que considere de interés para los usuarios internos y/o externos de la entidad, dentro de su jurisdicción;

b) Producir la información a publicar, verificando la consistencia, calidad y contenido de la misma;

c) Remitir para aprobación al área en el nivel central, según corresponda, de acuerdo al tema de que se trate, la información que se quiere publicar;

d) Remitir a la Subsecretaría de Planeación la propuesta a publicar en Internet e Intranet, cuando el contenido involucre temas que competen a diferentes áreas.

TÍTULO IV. ETAPAS DEL PROCESO DE PUBLICACIÓN DE LA INFORMACIÓN VÍA INTERNET E INTRANET

Artículo 5°: Generación de nuevas propuestas de información. Durante el proceso de presentación de nuevas propuestas de publicación de información se deben tener en cuenta las siguientes etapas:

a) Los administradores locales o delegados, deberán remitir a la Dirección Regional de su jurisdicción, las propuestas de publicación de información para su evaluación y consolidación;

b) Los directores regionales, administradores especiales, interesados en publicar información a través de las redes de Internet e Intranet, deberán remitir las propuestas a las áreas correspondientes del nivel central o a la Subsecretaría de Planeación, según lo señalado en el artículo anterior;

c) Las áreas en el nivel central deberán elaborar la propuesta, utilizando el logotipo institucional para mantener la imagen corporativa de acuerdo con el manual de identidad visual, siguiendo el estándar y línea gráfica de las páginas generadas y publicadas por la Oficina de Servicios Informáticos.

Artículo 6°: Recepción, aprobación y publicación de la información. Antes de la publicación de la información, se revisará y aprobará en las siguientes etapas:

a) El área del nivel central, según su competencia consolidará las propuestas recibidas, las evaluará y remitirá a la Oficina de Servicios Informáticos, para su publicación;

b) Cuando se encuentre que las propuestas enviadas no cumplen con las especificaciones establecidas, las áreas del nivel central, según su competencia dentro de los cinco (5) días hábiles siguientes a la fecha de recibo devolverá la propuesta al solicitante para que éste la envíe nuevamente con los ajustes dentro de los dos (2) días hábiles siguientes a su recibo. Cuando no sea procedente la inclusión, se comunicará al interesado la decisión de rechazo definitivo de la propuesta, exponiendo las razones pertinentes;

c) Cuando la propuesta amerite de concepto jurídico deberá producirse con la oportunidad requerida, comunicando al interesado la decisión adoptada, exponiendo las razones pertinentes;

d) En cualquier caso cuando no proceda la inclusión de la propuesta, el competente comunicará al interesado su decisión con la justificación respectiva;

e) La División de Investigación Tecnológica de la Oficina de Servicios Informáticos incluirá, modificará o suprimirá las propuestas definitivas presentadas por las áreas responsables, dentro de los tres (3) días hábiles siguientes a su recibo.

Artículo 7°: Evaluación y seguimiento.

a) Mensualmente, la Oficina de Servicios Informáticos, entregará a la Subsecretaría de Planeación un informe que contenga las estadísticas de utilización de los diferentes servicios de que trata la presente resolución;

b) La Oficina de Servicios Informáticos presentará a la Dirección General un informe de monitoreo y evaluación de las pistas de auditoría y de los reportes generados por los registros de seguridad de Internet e Intranet;

c) La Subsecretaría de Control Interno deberá realizar periódicamente auditorías a la información publicada y enviar los resultados a la Subsecretaría de Planeación para su conocimiento y coordinación de la aplicación de las consideraciones y recomendaciones del caso;

d) La Oficina de Investigaciones Disciplinarias recibirá las peticiones, sugerencias y quejas sobre el uso de Internet e Intranet, para coordinar la ejecución de los correctivos en el menor tiempo posible.

Artículo 8°: El acceso a Intranet se extenderá a todos los servidores públicos de la contribución. El acceso a Internet se autorizará a través de la red corporativa a nivel directivo hasta los jefes de grupo interno de trabajo y demás servidores públicos autorizados por el jefe de área correspondiente.

Artículo 9°: A los servidores públicos de la contribución, que cometan alguna irregularidad relacionada con la administración y publicación de la información electrónica se les aplicará las sanciones previstas en la ley.

A los servidores públicos que cometan alguna irregularidad en el uso de los servicios de Internet e Intranet se le suspenderá en forma transitoria por tres (3) meses o permanente el acceso a estos servicios, sin perjuicio de las sanciones previstas en la ley.

En todo caso, los servicios de Internet e Intranet no deben ser usados, entre otras, en situaciones como las que se enuncian a continuación:

a) Para beneficio o ganancia propia;

b) Para presentarse como otra persona;

c) Para realizar desarrollos no autorizados;

d) Para solicitar información no relacionada con el cumplimiento de las funciones de la entidad;

e) Para copiar o poner información de terceras partes sin permiso.

f) Para expresar opiniones personales respecto a clientes de la Dirección de Impuestos y Aduanas Nacionales o proveedores;

g) Para proveer información de los funcionarios de la Dirección de Impuestos y Aduanas Nacionales a otras instituciones;

h) Para solicitudes comerciales que no correspondan a la misión de la Dirección de Impuestos y Aduanas Nacionales;

i) Cuando interfiere en el trabajo del servidor de la contribución o en el de otro empleado de la Dirección de Impuestos y Aduanas Nacionales;

j) Cuando interfiere con la operación de los equipos de comunicaciones de Internet;

k) Para realizar intentos no autorizados de penetración en sistemas de computación sean de la Dirección de Impuestos y Aduanas Nacionales o de otras instituciones;

l) Para enviar mensajes que amenacen u hostiguen a otros;

m) Para sustraer o copiar sin autorización archivos electrónicos;

n) Para colocar información confidencial de la Dirección de Impuestos y Aduanas Nacionales fuera de los sistemas autorizados;

o) Para bajar o subir información cuyo contenido pueda causar demandas legales a la Dirección de Impuestos y Aduanas Nacionales o crear una imagen negativa a su reputación. Incluye material con declaraciones despectivas raciales, sexuales o religiosas; material con imágenes, gráficas o lenguaje ofensivo o material prohibido por la ley;

p) Por ver en forma no autorizada tráfico de red, a menos que sea parte de las responsabilidades del trabajo y se cuente con la autorización correspondiente.

Artículo 10. Vigencia. La presente resolución, rige a partir de la fecha de su publicación y deroga la Resolución 4941 del 17 de julio de 1998 y todas las demás normas que le sean contrarias.

Publíquese, comuníquese y cúmplase

Dada en Bogotá D. C., a 22 de septiembre de 2000.

El Director General, Guillermo Fino Serrano.

Disposición número 2/2003 de la Dirección Nacional de Protección de Datos Personales, de 20 de noviembre de 2003, que habilita el Registro Nacional de Bases de Datos y dispone la realización del Primer Censo Nacional de Bases de Datos. (Boletín Oficial de 27 de noviembre de 2003).

Buenos Aires, 20 de noviembre de 2003

VISTO las competencias atribuidas a esta DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES por la Ley número 25.326 y su reglamentación aprobada por Decreto número 1558 del 29 de noviembre de 2001, y;

CONSIDERANDO:

Que entre las atribuciones asignadas a la Dirección Nacional de Protección de Datos Personales, se encuentra la de organizar un registro público de archivos, registros o bancos de datos alcanzados por la ley.

Que asimismo, entre las facultades reconocidas a la Dirección Nacional, se encuentra la de realizar censos de archivos, registros o bancos de datos previstos en la Ley número 25.326.

Que se estima oportuno en una primera etapa implementar el registro de referencia con relación a las bases de datos privadas, para posteriormente, hacer lo propio con las bases de datos públicas.

Que la Dirección Nacional se encuentra en condiciones operativas de habilitar el REGISTRO NACIONAL DE BASES DE DATOS, dando cumplimiento de este modo a lo establecido por el artículo 21º de la Ley número 25.326.

Que se hace necesario establecer los lineamientos que deberán seguirse para implementar la inscripción al registro.

Que a esos efectos se ha desarrollado un sistema informático que servirá de base para tal fin, utilizando para ello recursos humanos y materiales del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS.

Que el sistema de inscripción desarrollado ha sido abierto para su prueba a distintos actores del sector, quienes han aportado observaciones y sugerencias, siendo receptadas en el esquema final.

Que en consecuencia procede aprobar las bases técnico jurídicas de dicho instrumento de inscripción, teniendo en cuenta para ello los criterios que establece la Ley número 25.326, su reglamentación y la necesidad de regular la actividad que es materia de la competencia de esta Dirección Nacional.

Que teniendo en consideración las complejidades técnicas que presenta su puesta en funcionamiento, resulta menester implementar el registro en forma gradual, estimándose conveniente su implementación dentro de los CIENTO OCHENTA (180) días desde el dictado de la presente, plazo dentro del cual se concluirán las etapas finales del desarrollo del sistema informático.

Que sin perjuicio de la habilitación del registro, se estima necesario disponer la realización de un censo de archivos, registros o bancos de datos alcanzados por la Ley número 25.326, fijándose para ello un plazo prudencial de NOVENTA (90) días para su ejecución.

Que el objetivo del censo, además de cuantificar el universo de archivos, registros o bancos de datos regulados por la Ley de Protección de Datos Personales, tiene por finalidad conocer la composición cualitativa y sectorial de los actores que desarrollan el tratamiento de datos personales.

Que toda la información que proporcionará el censo servirá de soporte fáctico para la mejor implementación del REGISTRO NACIONAL DE BASES DE DATOS que se habilita por la presente.

Que en atención a la importancia que reviste la información que el censo suministrará, se considera imperativo disponer la obligatoriedad de la realización del mismo para todas las bases de datos alcanzadas por la Ley número 25.326.

Que a los efectos de la realización del censo se entienden obligadas aquellas bases de datos definidas en el artículo 1º de la Reglamentación de la Ley número 25.326, aprobada por el Decreto número 1558/01.

Que corresponde aprobar las bases técnico jurídicas del formulario que deberá ser completado por los responsables de las bases de datos a los efectos de cumplir con el censo dispuesto.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURIDICOS DEL MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS ha tomado la intervención que les compete.

Que la presente medida se dicta en uso de las facultades conferidas en el artículo 29º inciso b) y c) de la Ley número 25.326.

Por ello,

EL DIRECTOR NACIONAL DE PROTECCIÓN DE DATOS PERSONALES DISPONE:

Artículo 1º. Habilítase el REGISTRO NACIONAL DE BASES DATOS que funcionará en el ámbito de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES de la SECRETARIA DE POLITICA JUDICIAL Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS, el que se implementará dentro de los CIENTO OCHENTA (180) días de publicada la presente, para los archivos, registros o bancos de datos privados.

Artículo 2º. Apruébanse las bases técnico jurídicas del Formulario de Inscripción al Registro Nacional de Bases de Datos, que como Anexo I forman parte de la presente.

Artículo 3º. Dispónese la realización del PRIMER CENSO NACIONAL DE BASES DE DATOS que, con carácter obligatorio, se implementará dentro de los NOVENTA (90) días de publicada la presente.

Artículo 4º. Apruébanse las bases técnico jurídicas del formulario del PRIMER CENSO NACIONAL DE BASES DE DATOS, que como Anexo II forman parte de la presente.

Artículo 5º. Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese, previo registro.

Juan A. Travieso

Resolución 1616/1998, de 23 de julio de la Secretaría de Comunicaciones. (Boletín Oficial de 7 de agosto de 1998).

VISTO, los Decretos número 1185/1990, 1620/1996 y 554/1997, la Resolución S.C. número 57/1996 y el expediente número 1425/1997 del registro de esta Secretaría, y

CONSIDERANDO:

Que el Decreto número 554/1997 declaró de Interés nacional el acceso a la red mundial INTERNET para todos los habitantes del territorio nacional, en igualdad de condiciones sociales y geográficas.

Que se instruyó a esta SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN, en tanto Autoridad de Aplicación, la tarea de remover todos los obstáculos que impidiesen el crecimiento de la red en nuestro país, fomentando la creación de sitios con contenidos locales y en español, como así también el desarrollo de aplicaciones destinadas para la educación y la telemedicina.

Que se destacó la importancia de la red mundial para actividades científicas, culturales y educativas, en el Decreto citado precedentemente se destacó entre otros conceptos que, “en todo el mundo las tecnologías de la informática y las comunicaciones están generando una nueva y profunda revolución basada en la información, que es en si misma la expresión del conocimiento humano”.

Que también se sostuvo que, “es posible inferir que uno de los principales cometidos Gobierno nacional para aprovechar las oportunidades de esta revolución tecnológica es impedir que se concrete su mayor amenaza, esto es, la formación en el seno de su sociedad de grupos humanos que no tienen la información y grupos que si la tienen”.

Que en el Artículo número 7 de la norma citada se estableció que “La Autoridad de Aplicación fomentará el desarrollo de redes alternativas con aptitud para la implementación, difusión y provisión de INTERNET en todo el ámbito geográfico de la República Argentina”

Que el Gobierno nacional ha emprendido una tarea decisiva en el desarrollo de la red INTERNET en todo el país, lo que se ha visto reflejado en el crecimiento de abonados y empresas licenciatarias de servicios de valor agregado.

Que se ha plasmado la voluntad de no intromisión en materia de contenidos por parte del gobierno central, destacando la libertad de prensa como un valuarte del Estado de Derecho vigente en el país, y que en este sentido INTERNET representa un medio de libertad, de creatividad y de enorme potencialidad para el desarrollo personal y social del hombre en una comunidad sin fronteras geográficas.

Que el desarrollo, crecimiento y expansión social y geográfica de la red encuadra en el concepto precedente, y que en una sociedad distinta los conflictos a sortear representan nuevos desafíos para todos sus protagonistas.

Que el Gobierno nacional ha fomentado la aplicación de estas modernas tecnologías de la comunicación en materia educativa y cultural. Como así también, ha quedado demostrado el crecimiento del sector, con la creciente inversión registrada en el desarrollo de tecnología de última generación.

Que en los considerandos de la Resolución SC número 57/1996 Reglamento General de Audiencias Públicas se afirma, entre las características que debe reunir un evento de esta naturaleza, que “el carácter estrictamente técnico de los temas a tratar en las audiencias públicas, es necesario no sólo garantizar la participación de representantes de los consumidores y de las provincias -en los casos que así correspondiere- sino también de técnicos, académicos y especialistas en las materias que se traten”, como así también que “podrá convocarse a representantes de las distintas universidades de todo el país, así como a representantes de fundaciones y centros especializados de estudio sin fines de lucro, todos los cuales contribuirán a garantizar las necesarias excelencia e imparcialidad”.

Que oportunamente, ha sido convocada la Primera Audiencia Pública sobre la temática, a la cual han asistido más de 800 personas e hicieron uso de la palabra un centenar de personas, representantes de los más diversos sectores, entre los que se destacan representantes del ámbito científico, académico, empresarial, de organizaciones no gubernamentales, cámaras empresariales, empresas de telecomunicaciones, universidades, organismos oficiales y público en general.

Que esta Secretaría, satisfecha por la convocatoria realizada en la primera audiencia, por la variedad de las ponencias, por el nivel del debate, por los diversos representantes que en ella participaron, y que como la red INTERNET toda representa el conjunto del interés humano, desea profundizar este camino emprendido.

Que en tal sentido, se cree oportuno convocar a la Segunda Audiencia Pública sobre INTERNET, a fin de recabar las opiniones de los distintos sectores sobre la red en actualidad.

Que con el solo fin de enriquecer el debate, las ponencias y facilitar la información disponible sobre INTERNET en la Argentina, se cree oportuno ofrecer a todos los participantes de la misma, la documentación recogida por la Comisión de INTERNET, creada por Resolución SC número 81/1997, la que acompañará como Anexo de la presente.

Que por los motivos expuestos resulta conveniente y oportuno, convocar a Audiencia Pública a fin de abordar las temáticas de INTERNET.

Que ha tomado intervención la Dirección de Asuntos Legales de esta Secretaría.

Que la presente se dicta en uso de las atribuciones conferidas por los Decretos número 1620/1996 y 554/1997.

Por ello,

EL SECRETARIO DE COMUNICACIONES

RESUELVE:

Artículo 1º. Adóptese el procedimiento de Audiencia Pública previsto en el artículo número 15 del “Reglamento General de Audiencias Públicas y Documentos de Consultas” a fin de que los distintos interesados hagan conocer al Gobierno nacional sus inquietudes sobre los diferentes aspectos relacionados con INTERNET, en especial con respecto a los siguientes tópicos o características de la red:

a) Situación de INTERNET en la Argentina. Contenidos. Desarrollo de contenidos de interés locales o regionales y en español. Contenidos educativos. Contenidos sociales y de bien comunitario. Contenidos de creación artística. Contenidos para Telemedicina, Teleeducación y Museos Virtuales. Calidad en la prestación del servicio. Costos. Nodos.

b) Ciberciudades. Bibliotecas Virtuales. Proyectos especiales.

c) Administración de dominios DNS (Domain Name Servers).

d) INTERNET 2 Argentina.

e) Penetración del servicio de acceso a INTERNET en el territorio nacional.

f) Protección del consumidor.

g) Comisión de delitos mediante la utilización de INTERNET.

h) Comercio Electrónico.

Artículo 2º. Fíjese como fecha de realización de la Audiencia Pública el día 24 de septiembre de 1998, comenzando a las 10:00 horas en el Hotel de La Cañada, sito en calle Marcelo T. de Alvear número 580 de la Ciudad de Córdoba, Provincia de Córdoba.

Artículo 3º. Ordénese la apertura del Registro de Oradores para la Audiencia Pública convocada por la presente, el que funcionará de la siguiente manera:

a) Los interesados deberán registrarse como oradores del 31 de agosto al 23 de septiembre de 1998, por telegrama, fax al número del teléfono (01) 347-9327, o por nota a Sarmiento 151, 4º piso, Oficina Mesa de Entradas; o

b) el día 24 de septiembre en forma personal entre las 8:30 y las 9:30 horas en el Hotel de La Cañada, sito en calle Marcelo T. de Alvear 580 de la Ciudad de Córdoba. Provincia de Córdoba.

Artículo 4º. Incorpórese la documentación que como Anexo forma parte de la presente Resolución.

Artículo 5º. Remítase la presente a fin de tomar conocimiento e invitase a: Gobiernos Provinciales y Municipales, Gobierno de la Ciudad Autónoma de Buenos Aires, Secretaría de Política Universitaria del Ministerio de Educación de la Nación, Secretaría de Cultura de la Nación, Defensor del Pueblo de la Nación, Dirección nacional de Bibliotecas Populares, Secretaría de Ciencia y Técnica, Universidades Públicas y Privadas de todo el país, Asociación Argentina de Televisión por Cable, Cámara Argentina de Aplicaciones Satelitales (CADAS), Cámara Argentina de Bases de Datos y Servicios en línea (CABASE), Cámara Argentina de la Industria Electrónica (CADIE), CTI Compañía de Teléfonos del Interior S.A., Compañía de Radiocomunicaciones Móviles S.A.. Telecom Personal S.A., Unifon S.A., Nahuelsat S.A., Organización Internacional de Telecomunicaciones por Satélites (INTELSAT), PANAMSAT, Banco Interamericano de Desarrollo (BID), Banco Mundial, Academia de Ingeniería, Telecomunicaciones Internacionales de Argentina S.A. (TELINTAR), Consejo Profesional de Ingeniería en Telecomunicaciones, ISOC Capítulo Argentino (INTERNET Society), Telefónica de Argentina S.A., Telecom Argentina Stet France Telecom S.A., Academia nacional de Medicina, Cámara de Informática y Comunicaciones de la República Argentina (CICOMRA), Cámara Argentina de Software y Servicios Informáticos (CESSI), Instituto nacional de Educación Técnica (INET), Retina, Red Interuniversitaria (RIU), Motorola S.A., TeleVISA, Grupo Cisneros, Arnet S.A., Advance S.A., Datacoorp, Intel, Microsoft Argentina, TTI, 2B1 Argentina, MIT Lab, Asociación de Diarios del Interior de la República Argentina (ADIRA), Instituto Interamericano de Cooperación para la Agricultura (IICA), Federación de Cooperativas Telefónicas (FECOTEL), Federación de Cooperativas Telefónicas del Sur (FECOSUR), DATACOOP S.A., Federación Argentina de Municipios, Asociación de Empresas Periodísticas Argentinas (ADEPA), Cámara Argentina de Televisión (CATV), Consejo Profesional de Ingeniería en Telecomunicaciones (COPITEC), Asociación Radiodifusoras Privadas Argentinas (ARPA), Asociación Teledifusoras Argentinas (ATA), Radio LV3, Supercanal S.A., Cámara Argentina de Telefonía y Afines (CATYA), Federación de Cooperativas Eléctricas y de Obras y Servicios Públicos LTDA. de Córdoba (FECESCOR), VCC, TCI – Cablevisión S.A., Multicanal S.A., Federación Argentina de Cooperativas Eléctricas (FACE), Consejo Superior de Educación Católica (CONSUDEC), Mandeville, A.S.E., IMPSAT S.A., COMSAT S.A., TELEDESIC, Ciudad Digital, El Sitio, Gaucho Net, La Brújula, Directorio nacional Argentino, Sr. Seymour Papert y al público general interesado en la materia.

Artículo 6º. Regístrese, comuníquese, publíquese, dése a la Dirección nacional del Registro Oficial y archívese.

Germán Kammerath.

ANEXO A LA RESOLUCION S S.C. número 1616/1998

INFORME DE LA COMISION DE INTERNET DE LA SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN (Resolución S.C. No 81/1996)

DOCUMENTO PARA UNA GUIA DE DISCUSION EN LA SEGUNDA AUDIENCIA PUBLICA DE INTERNET.
“INTERNET ha dejado de tener interés sólo para un reducido sector de la población. La red mundial se ha constituido hoy en la expresión más acabada de lo que se llama la “Sociedad Global”. En este medio de comunicación humana se dan cita todos los intereses del hombre: la ciencia, la cultura, el esparcimiento y la información, entre otros. Allí radica su gran éxito, su expansión y su crecimiento cuantitativo y cualitativo para el planeta. Como en todo nuevo fenómeno comunicacional, los desafíos a sortear son un reto para los diferentes sectores de la sociedad en las puertas del nuevo milenio”(1).

1.- El Poder Ejecutivo nacional, a mediados del año pasado, sancionó el Decreto número 554/1997. En el mismo se declaró de Interés nacional el acceso a la red INTERNET para todos los habitantes del territorio nacional en igualdad de condiciones sociales y geográficas. Esta norma, sancionada por el señor Presidente de la Nación, remarcó la importancia que esta red posee para el Gobierno nacional así como también, el rol de las nuevas herramientas comunicacionales en el desarrollo de un país y los propósitos en torno a la misma.

En dicho instrumento, se definió a INTERNET como un fenómeno digno de reflexión por sus características de descentralización, arquitectura abierta, la masividad de acceso y su autorregulación normativa. Algunas consideraciones que se hacían de esta red giraban en torno a conceptos tales como que constituía un soporte propicio para

a) el intercambio de información,

b) para la difusión de ideas,

c) para la información,

d) como un medio de expresión artística y cultural, y que era un deber del Gobierno nacional el fijarse como una meta de política pública el iniciar acciones afirmativas tendientes al fomento, difusión y promoción de INTERNET y sus aplicaciones.

Asimismo, se destacó su importancia como un medio de comunicación plenamente democrático, por el pluralismo de ideas que en ella se encuentran, por las oportunidades de acceso y la posibilidad de manifestar posturas sobre los distintos temas que integran el conocimiento humano.

En la misma tesitura, esta norma advierte en sus considerandos sobre las oportunidades, los beneficios y los desafíos a afrontar por el conjunto de la sociedad. En este sentido, se afirma que “… es mejor anticipar los problemas antes que se produzcan efectivamente, y que el tema de la sociedad de la información no es menor de cara al futuro de millones de argentinos y que es función del Estado proveer el acceso equitativo a esta moderna infraestructura de las comunicaciones para toda la población”.

De esta manera, este Decreto facultó a la SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN, en su carácter de autoridad de aplicación, a tomar, entre otras, las siguientes medidas:

Desarrollar un plan estratégico para la expansión de INTERNET.

Estimular y diversificar la utilización de INTERNET.

Incorporar sitios propios, bibliotecas argentinas.

Fomentar a INTERNET como soporte de actividades educativas, culturales, informativas, recreativas y relativas a la provisión de la salud.

2.-La SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN, a través de la Comisión de INTERNET, creada por Resolución S.C. número 81/1996, y ante la carencia de datos sobre el desarrollo, configuración, ancho de banda disponible, usuarios, entre otros, realizó el relevamiento de la situación de INTERNET en el territorio nacional mediante la Primera Encuesta nacional de INTERNET.

Concomitantemente, y con el fin de recabar información a efectos de configurar lo que se dio en llamar “el mapa de INTERNET en la Argentina”, se realizaron una serie de reuniones con todos los protagonistas del sector, organizaciones no gubernamentales, proveedores de acceso a INTERNET, cámaras empresariales, organismos gubernamentales, empresas licenciatarias del Servicio Básico Telefónico (SBT), la empresa licenciataria de Servicios Internacionales (TELINTAR), etc.

Una vez finalizadas las mismas, se recomendó la realización de una Audiencia Pública para que todos los interesados en la problemática del sector vertieran sus opiniones, sugerencias e ideas, y se discutiera y propusieran ideas a fin de disertar los mejores medios posibles para el logro de los objetivos establecidos en el Decreto número 554/1997.

La SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN entendió que el contacto directo con los protagonistas del sector era valioso a la hora de tomar decisiones en la materia. También se entendió que como la red INTERNET la conforman miles de anónimos internautas, que conocen, tal vez mejor que nadie los defectos, ventajas; ellos seguramente (y así lo hicieron), podrían proponer sugerencias a los fines de mejorar la calidad de la prestación del servicio, convocarlos a participar en la misma.

La Primera Audiencia Pública sobre INTERNET fue realizada el día 6 de agosto de 1997. En ella hicieron uso de la palabra más de un centenar de oradores. Presenciaron la misma más de 800 personas y se hicieron varias presentaciones por escrito con estudios sobre el tema.

Se trataron todos los temas que conforman el universo de la red. Entre otros se destacaron, el control de contenidos, el rol del estado a la hora de regular los mismos, los fines científicos y académicos que posibilita, impuestos, medios de información, la velocidad de la red, los costos, precios, etc.

Las versión integra del desarrollo de la misma se puede encontrar en la página WEB de esta Secretaría (www.secom.gov.ar).

Finalizada la misma, se visualizaron tres aspectos principales que constituían dificultades o barreras que frenaban el espontáneo crecimiento del sector, los que a juicio de los expositores fueron:

a) Los altos costos en la contratación de vínculos internacionales por parte de las empresas Proveedoras de Acceso a INTERNET con la empresa licenciataria en exclusividad para la provisión de estos vínculos.

b) Los altos costos telefónicos que debían solventar los usuarios finales, por sus conexiones dial-up.

c) Escasos contenidos locales y en español.

A fin de resolver los inconvenientes de la coyuntura, la SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN sancionó dos resoluciones. Estas fueron la Resolución S.C. número 2765/1997 y la Resolución S.C. número 2814/1997.

La Resolución S.C. número 2765/1997 aprobó nuevos precios para la contratación de vínculos internacionales, los que se redujeron en un 50 %. Al respecto y a modo de ejemplo mencionamos en el siguiente cuadro un estado de situación previo y posterior a la Resolución SC número 2765/1997.(2)

Velocidad/ Precio Vigente/ Nuevos Precios/ Variación %

64 Kbps/ $ 8.905/ $ 4.793/ -46.18%

2 Mbps/ $ 114.096/ $ 63.182/ -44.62%

Asimismo, la Resolución S.C. número 2814/1997 estableció la modalidad de facturación especial para llamadas de INTERNET, conocida como números “0610”. La misma redujo la pulsación de las comunicaciones en un 60 % en términos promedio.

En el siguiente cuadro, se desarrolla el impacto de estas dos medidas en el mercado nacional, no sólo en su relación con el uso de los usuarios finales que hacen de la red, sino también en cuanto a los nuevos operadores que prestan servicios de acceso.(3)

Ejemplos de descuentos: Antes/ Ahora/ Variación %

Horario Pico 10 a 13 hs. : $ 1,35/ $ 0,64/ -52,50%

Horario Normal 8 a 19 hs.: $ 1,01/ $ 0,64/ -36,67%

Horario Nocturno 19 a 22 hs.: $ 1,01/ $ 0,42/ -58,25%

Sábados de 8 a 13 hs.: $ 1,01/ $ 0,64/ -36,67%

Nocturno Sábados y Domingos : $ 0,51/ $ 0,42/ -16,50%

3.- Posteriormente a estas acciones -que marcaron verdaderos hitos en el desarrollo de INTERNET en la Argentina-, la SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN, con el fin de evaluar la opinión de los usuarios sobre INTERNET conforme a las disposiciones de referencia, lanzó el día 29 de mayo del corriente año, la Segunda Encuesta nacional de INTERNET (4). A la misma respondieron 4384 personas, computados hasta el día 16 de julio del presente.

Es interesante realizar un análisis preliminar de algunos de los resultados obtenidos. Algunos de los tópicos relevados denotaron los siguientes resultados:

a) El 25% tiene una antigüedad en la red menor a 6 meses y el 38,6% tiene una antigüedad menor a un año. Ello demuestra un aumento importante de usuarios desde la implementación del servicio de llamadas “0610”, la que fue aprobada aproximadamente hace 6 meses.

b) Frecuencia de acceso a INTERNET: Aproximadamente el 73% respondieron que acceden a la misma una vez por día. Promediando la cantidad de usuarios con las horas de navegación, se obtiene un promedio de 69,60 minutos por día.

c) Porcentaje de uso de la Web, resulta mayor al uso del correo electrónico.

d) Sigue siendo mayoritario el acceso vía dial.up, aunque es llamativo el 4,83% de accesos por cable modem, a pesar de su corta comercialización. La mayoría de modems utilizados es de 33.600 bps, representando el 51,09%.

e) En cuanto al propósito de uso de la red se hace muy bajo el uso académico representando sólo el 8,13%.

A los fines de un análisis exhaustivo de esta y otra información disponible, aconsejamos la lectura de los resultados de la Segunda Encuesta nacional de INTERNET, la que acompañamos a este Anexo.

4.- La implementación de la modalidad de facturación “0610” merece una consideración aparte, debido a la incidencia en el mercado, el cambio de las costumbres en uso de la red, el aumento de proveedores de acceso y una nueva distribución geográfica de los mismos.

El reclamo, mayoritariamente puesto de manifiesto en la 1ª Encuesta nacional de INTERNET (5), realizada a mediados del año pasado, estuvo centrado en el alto costo de la pulsación telefónica, definido por los participantes como el principal escollo para lograr un mayor número de conexiones. En aquel estudio manifestaron su opinión 1582 personas usuarias de INTERNET, las que en un 40,08% expresaron su disconformidad por los altos precios del servicio.

Obviamente que esta constatación motivo la adopción de las medidas aludidas por parte de la SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN, directrices de política que modificaron el mapa de INTERNET en la Argentina.

Las Resoluciones correspondientes a la implementación y asignación de numeración 0610 implicaron importantes descuentos para los usuarios finales y provocaron, consecuentemente, particulares modificaciones en el mercado local de los Proveedores de Servicio de INTERNET (ISPs -INTERNET Service Providers).

a) El siguiente cuadro muestra la sensible mejora en la distribución geográfica de los proveedores de acceso a INTERNET (INTERNET Service Providers ISP).
Concentración de ISP antes del 0610 Concentración de ISP después del 0610
Cap. Fed. 70%
Provincias 30%
Cap. Fed. 50%
Provincias 50%

b) En consonancia con esta política de promoción de desarrollo de INTERNET, esta SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN implementó un expeditivo sistema de otorgamiento de licencias de valor agregado para prestar INTERNET y de asignación de numeración 0610, con el objeto que hubiese la mayor cantidad de prestadores al 15 de marzo, fecha de comienzo del servicio.

c) Asimismo, esta SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN aprobó la rebaja adicional a la anterior del 50%, para escuelas, bibliotecas populares y universidades 6. Así también el mecanismo de validación para las Instituciones comprendidas en la norma. Conjuntamente con el Ministerio de Educación se efectuará el cotejo correspondiente, para que todas las Instituciones comprendidas en la Resolución accedan al beneficio (7).

d) El siguiente cuadro muestra la cantidad de nuevas licencias otorgadas y en trámite para la prestación de los servicios de valor agregado, luego del establecimiento del “0610”:
Nuevas Licencias luego del 0610
98 otorgadas
26 en trámite

e) De la misma manera, el siguiente cuadro compara el crecimiento de otorgamiento de licencias para la prestación del servicio de acceso a INTERNET, antes y después del dictado de las Resoluciones que promueven su desarrollo. Total de Licencias para Servicios de Valor agregado:
Otorgamiento de Licencia de Valor Agregado
Antes: 234

Ahora: 332

Crecimiento: 29.52%

f) De acuerdo con la 2a Encuesta de INTERNET, actualmente el 66 % de los usuarios acceden a través de numeración 0610.

g) El siguiente cuadro muestra la cantidad de números 0610 asignados.

Números asignados a empresas :

52

16 en trámite

h) El incremento del tráfico desde el 0610 es del 35% desde el 15 de marzo al 29 de mayo.

5.- Tal como se ha señalado en reiteradas oportunidades, la tecnología de INTERNET tiene un profundo efecto en los servicios del comercio mundial. El comercio mundial, que abarca tanto el software de computación, como los productos de entretenimiento (películas, videos, juegos, grabaciones musicales), los servicios de información (las bases de datos, los periódicos en línea), la información técnica, las licencias de productos, los servicios financieros y los servicios profesionales (consultas comerciales y técnicas, contabilidad, diseño arquitectónico, asesoramiento legal, servicio de turismo, etc.) ha crecido rápidamente en los últimos años.

Una parte cada vez mayor de estas transacciones se efectuar en línea. La infraestructura mundial de la información tiene el potencial de revolucionar el comercio en estas y otras áreas disminuyendo drásticamente los costos de transacción y facilitando nuevas formas de operaciones comerciales.

INTERNET promete revolucionar la comercialización directa y las ventas al por menor. Los consumidores podrán comprar desde sus hogares una amplia variedad de productos directamente a los fabricantes y comerciantes minoristas de todo el mundo. Podrán ver estos productos en sus computadoras o televisores, tener acceso a información acerca de los productos, visualizar la manera en que los productos pueden combinarse (por ejemplo, construyendo en la pantalla una habitación con muebles) y efectuar el pedido y enviar el pago del producto elegido, todo desde su hogar.

El comercio a través de INTERNET podría totalizar decenas de miles de millones de dólares al finalizar el siglo (8). Para que este potencial se pueda realizar plenamente, se deberá adoptar un enfoque no intervencionista que tenga como premisas básicas las siguientes:

I) El sector privado debe marcar el rumbo.

Consideramos que, para que florezca el comercio electrónico, el sector privado debe marcar el rumbo. La innovación los servicios expendidos, una mayor participación y precios más bajos surgirán en un ambiente impulsado por las leyes del mercado, no en un entorno que opera como una industria regulada.

Por consiguiente, el gobierno deberá fomentar la auto regulación de la industria siempre que fuese conforme a derecho y respaldar los esfuerzos de las organizaciones del sector privado para desarrollar mecanismos para facilitar la exitosa operación de INTERNET.

II) El gobierno deberá evitar imponer restricciones indebidas sobre el comercio electrónico.

Las partes deberán poder celebrar acuerdos legítimos para comprar y vender productos y servicios a través de INTERNET con una mínima intervención del gobierno. La innecesaria regulación de las actividades comerciales distorsionaría el desarrollo del mercado electrónico, haciendo que baje la oferta y suba el costo de los productos y servicios para los consumidores en todo el mundo. Los modelos comerciales deben evolucionar rápidamente para estar de acuerdo con la vertiginosa velocidad de cambios que sufre la tecnología; los intentos del gobierno de regular probablemente queden anticuados para cuando sean finalmente sancionados, especialmente si esas regulaciones son específicas en cuanto a la tecnología.

Por consiguiente, el gobierno debería abstenerse de imponer nuevas e innecesarias regulaciones, procedimientos burocráticos, o impuestos y aranceles sobre las actividades comerciales que se llevan a cabo a través de INTERNET.

III) Donde se necesite la intervención del gobierno, su finalidad deberá ser la de respaldar y aplicar un entorno legal simple, consistente, minimalista y previsible.

En algunas áreas, los acuerdos del gobierno pueden ser necesarios para facilitar el comercio electrónico y proteger a los consumidores. En estos casos, el gobierno deberá establecer un entorno legal simple y previsible basado en un modelo de ley contractual descentralizado más que en uno basado en la regulación de arriba hacia abajo. Cuando es necesaria la intervención del gobierno para facilitar el comercio electrónico, sus objetivos deberán ser asegurar la competencia, proteger el derecho de autor y la privacidad, prevenir el fraude, fomentar la transparencia, respaldar las transacciones comerciales y facilitar la resolución de las controversias.

IV) El gobierno debe reconocer las cualidades únicas de la INTERNET.

El genial y explosivo suceso de INTERNET puede atribuirse en parte a su naturaleza descentralizada y a que tradicionalmente se administra de “abajo hacia arriba”. Estas mismas características brindan desafíos logísticos y tecnológicos significativos a los modelos regulatorios existentes y los gobiernos deberían disertar sus políticas en consecuencia.

El comercio electrónico se enfrenta con desafíos significativos donde éste se cruza con los esquemas regulatorios preexistentes. La regulación deberá imponerse sólo como un medio necesario para lograr un importante objetivo sobre el que hay un gran consenso. Las leyes y reglamentaciones existentes que pueden obstaculizar el comercio electrónico deberán reverse y revisarse o eliminarse para reflejar las necesidades de la nueva era electrónica.

V) El comercio electrónico a través de INTERNET debería facilitarse sobre una base mundial.

INTERNET está surgiendo como un mercado mundial. El marco legal que respalde las transacciones comerciales en la INTERNET deberá estar gobernado por principios consistentes que atraviesen los límites nacionales e internacionales que conduzcan a resultados previsibles sin tener en cuenta la jurisdicción donde reside un comprador o vendedor en particular.

Muchas empresas y consumidores son todavía cautelosos de realizar importantes negocios a través de INTERNET debido a la falta de un entorno legal previsible que rija las transacciones. Esto es particularmente cierto para la actividad comercial internacional donde las preocupaciones acerca del cumplimiento de los contratos, la responsabilidad, la protección del derecho de autor, la privacidad, la seguridad y otros asuntos han provocado que las empresas y los consumidores sean cautelosos.

La política adoptada por el gobierno puede tener un profundo efecto en el crecimiento del comercio en INTERNET. Mediante su acción, puede facilitar el comercio electrónico o impedirlo. Saber cuando actuar y de manera igualmente importante, cuando no actuar, será crucial para el desarrollo del comercio electrónico.

A los fines del debate planteado, constituye un documento importante el proyecto de Ley modelo sobre el comercio electrónico que apoya el uso comercial de contratos internacionales en el comercio electrónico, elaborado en 1996 por la Comisión de Derecho Comercial Internacional de Naciones Unidas (CNyDMI). La Ley modelo estableció normas y reglamentaciones que definen las características de una escritura electrónica válida y de un documento original, provee la admisibilidad de firmas electrónicas para fines legales y comerciales, y apoya la admisión de evidencia computarizada. También ratifica y reconoce los contratos formados a través de medios electrónicos, estableciendo reglas de comisión para la formalización de contratos y la autoridad sobre el desempeño de contratos electrónicos.

El verdadero foco del nuevo mercado no se encuentra en las transacciones entre los consumidores y los comerciantes, sino en las ventas y consultas electrónicas de empresa a empresa, lo que generalmente se denomina comunidades de negocio.

En la Segunda Encuesta de INTERNET, la SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN pudo relevar la información sobre comercio electrónico que se expresa en los gráficos adjuntos.

5.- La sola idea que millones de personas ubicadas en cualquier rincón del planeta puedan acceder a la misma información en el mismo tiempo, demuestran más que nunca la eficacia de INTERNET a la hora de expandir información, conectar culturas, etc.

La difusión de las ideas ha tomado un nuevo medio. El conocimiento hoy más que nunca se encuentra descentralizado. La red INTERNET presenta ventajas y desafíos a superar. Entre todos hemos encarado una transformación profunda de las comunicaciones en la Argentina. Este es un primer paso.

Es por ello que invitamos a todos los interesados a participar de la segunda Audiencia Pública sobre INTERNET.

6.- Entre el temario consignado en la Resolución S.C. número 1616/98 se encuentra una mención al tema “INTERNET 2”, verdadera revolución en las aplicaciones futuras de INTERNET. La SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN pretende generar una reflexión nacional sobre este importante tema, para adoptar, posteriormente, una política pública proactiva al desarrollo de este concepto en la República Argentina, obrando con anticipación y buscando un liderazgo regional en la materia, una suerte de “ventaja competitiva” de la Nación de cara al próximo milenio.

Entonces, y con el objeto de impulsar un Proyecto Tecnológico de última generación orientado al ámbito científico y educativo, la SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN efectuó un exhaustivo relevamiento de experiencias tecnológicas relevantes llevadas a cabo en otros países. En particular se consideraron las experiencias de los siguientes países: a) Estados Unidos, con el proyecto INTERNET 2; b) Malasia, con el proyecto Multimedia Super Corridor (MSC); c) Singapur, con el proyecto Singapore 2000; d) Australia; e) Nueva Zelanda; y f) Reino Unido.

Teniendo en cuenta el grado de maduración de cada uno de estos proyectos, el tipo de tecnologías utilizadas en cada caso y las implementaciones exitosas llevadas a cabo, se consideró oportuno llevar adelante un proyecto tecnológico de características similares al impulsado por Estados Unidos, con su proyecto INTERNET 2.

Es por esto que a través de la resolución 999/1998 la Secretaría de Comunicaciones ha comenzado a implementar el programa “INTERNET 2” en la Argentina, cuyos objetivos -entre otros-, son a) desarrollar una red de datos de alta velocidad con fines educativos y científicos, orientada al desarrollo y utilización de aplicaciones de avanzada; b) crear un consorcio mixto en el que participe el Gobierno nacional, las Universidades, centros de investigación, y empresas de informática y telecomunicaciones, con el objeto de administrar la red; y c) Coordinar demostraciones de la potencialidad de “INTERNET 2”.

Asimismo, y por resolución 1550/1998, se ha conformado la Mesa de Coordinación de INTERNET 2 Argentina, la que tendrá, entre otras, las siguientes funciones:

a) Coordinar la conformación del consorcio mixto de INTERNET 2 Argentina.

b) Organizar presentaciones del proyecto a los efectos de hacer público su alcance.

c) Implementar una prueba piloto de INTERNET 2 (Expo).

d) Llevar adelante la negociación con la red INTERNET 2 de los Estados Unidos.

e) Conceptualizar la funcionalidad, el diseño técnico y prioridades de los desarrollos de las aplicaciones de investigación y desarrollo; y definir estándares tecnológicos a ser aplicados en proyecto INTERNET 2 Argentina.

f) Planificar y dimensionar la red de datos (“backbone”) de INTERNET 2 Argentina.

g) Asistir técnicamente a los potenciales usuarios de la red (universidades y centros de investigación) en la migración y conversión de los sistemas computacionales existentes que sean utilizados bajo la nueva infraestructura de red INTERNET 2 Argentina.

h) Efectuar el seguimiento e inventario de los proyectos que se desarrollen para INTERNET 2 Argentina.

i) Evaluar y aprobar las solicitudes de organismos que deseen participar en la red INTERNET 2 Argentina.

j) Mantener permanentemente actualizada la información del proyecto en el sitio Web de Secretaría de Comunicaciones (www.secom.gov.ar).

k) Aprobar un estatuto para el Consorcio de INTERNET 2 Argentina.

La SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN estima como muy propicia oportunidad la realización de esta 2ª Audiencia Pública de INTERNET para el debate público sobre las oportunidades y acciones que este tema requiere por parte de toda la comunidad de las comunicaciones argentinas, conjuntamente con la comunidad científica y educativa.

7.- Como se ha afirmado, la SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN ha sancionado una serie de resoluciones que forman hoy el plexo normativo sobre INTERNET.

Con el mero propósito de informar a los participantes de la 2ª Audiencia Pública se acompaña el listado de las mismas con un breve resumen de cada una de ellas. Para aquellas personas que deseen acceder al texto completo, las mismas se encuentran en la página WEB de la Secretaría (www.secom.gov.ar), en el apartado “Normativa”. También se encuentran dos decretos sobre tema en el apartado “Decretos” de la citada página. Asimismo, podrá encontrarse adjunto -amén de la ya mencionada encuesta de INTERNET, las actas de la Primera Audiencia Pública de INTERNET realizada en agosto de 1997. La lectura de las mismas posibilitarán a quienes deseen concurrir un meditado análisis sobre los desafíos planteados en aquella oportunidad y las respuestas del Gobierno NACIÓNal frente a los mismos, así como también las asignaturas pendientes y las nuevas decisiones que habrán de tomarse.

Buenos Aires, Julio de 1998.

APENDICE

PRINCIPALES DISPOSICIONES NACIÓNALES SOBRE INTERNET

Decretos.

1) Decreto número 554/1997. Declaración de interés nacional el acceso a la red INTERNET en igualdad de condiciones sociales y geográficas. a) Autoridad de aplicación. b) Plan estratégico. c) Objetivos en la materia. d) Características y funciones de la red. e) Definición en relación a los contenidos.

2) Decreto número 1279/1997. Reconocimiento de la garantía constitucional de libertad de expresión para la información vertida en INTERNET. Artículo 14 de la Constitución nacional. Jurisprudencia de la Corte Suprema de la República Argentina. Jurisprudencia de la Corte Suprema de los Estados Unidos.

Resoluciones.

1) Resolución CNT número 1083/1995, Definición de servicios de Valor Agregado; a) definición en general y en particular de cada uno de los servicios de valor agregado.

2) Resolución S.C. número 81/1996: Formación de la Comisión de INTERNET; a) Composición y funciones; b) Objeto. Miembros.

3) Resolución S.C. número 97/1996: Obligación para los prestadores de servicios de valor agregado; a) Libertad de partes para el acuerdo de los términos, b) precios y condiciones de la provisión del enlace solicitado: c) vínculos Internacionales.

4) Resolución S.C. número 194/1996: Obligaciones para la empresa que provee los servicios internacionales: a) derecho de los licenciatarios del SVA; b) precios Internacionales, cuadro comparativo de países; c) voz por INTERNET.

5) Resolución S.C. número 2132/1997: Convocatoria de primera audiencia Pública sobre INTERNET; a) objetivo de la Secretaría para convocar a la Audiencia. Evaluación de la situación de la red, b) protección del cliente final; c) definiciones en cuanto al control de contenidos de la red; d) fallo de la Corte Suprema de los Estados Unidos; e) proyecto Multimedia Super Corridor.

6) Resolución S.C. número 2765/1997: Nuevos Precios para vínculos Internacionales para INTERNET; a) rebaja de un casi 50%; b) conclusiones de la Audiencia; c) ponencias vertidas en la Audiencia e) relación a los precios Internacionales; d) comparación con otros países; e) cuadro de precios.

7) Resolución S.C. número 2814/1997, denominada INTERNET “0610”: a) Primera resolución aprobatoria de la nueva modalidad; b) descuento para la región Norte; c) ponencias vertidas en la Audiencia en relación a los costos de las llamadas telefónicas, d) resultados de la primera encuesta nacional sobre INTERNET en relación al tema de precios.

8) Resolución S.C. número 499/1998: Tarifas Promocionales INTERNET “0610”: a) cuadro de precios para todo el país; b) promoción sólo para llamadas telefónicas para conexión a INTERNET; c) duración.

9) Resolución S.C. número 613/1998: asignación de numeración 0610 para los ISP. Derogada por la Resolución número 699/1998.

10) Resolución S.C. número 699/1998: Asignación de numeración con carácter transitorio para lo prestadores de SVA; a) listado de empresas y su correspondiente número.

11) Resolución S.C. número 999/1998. Implementación del Programa INTERNET 2 Argentina: a) Principios del Decreto número 554/1997; b) red educativa y científica de alta velocidad; c) Objeto; d) educación y las nuevas tecnologías; e) bibliotecas multimedias; f) Telemedicina; g) investigación; h) consorcio mixto.

12) Resolución S.C. número 1235/1998. Contenidos de INTERNET; a) advertencia de páginas webs; b) inconvenientes para menores; c) no intervención del Estado; d) inscripción que deberán incluir las facturas emitidas por los ISP.

13) Resolución S.C. número 1246/1998. Principios del Decreto número 554/1997: a) permisos para la prestación de servicios de accesos para diversas instituciones y organismos gubernamentales; b) condiciones de comerciabilidad de los servicios.

14) Resolución S.C. número 1550/1998. Conformación de la Mesa de Coordinación de INTERNET 2 Argentina: a) funciones; b) miembros; c) invitación a participar al Ministerio de Cultura y Educación; d) Universidades Públicas, Universidades Privadas; e) Centros de Investigación científica; f) Empresas de Telecomunicaciones y Empresas de informática.

—————————————————————————————————

(1). Extracto del discurso del Dr. German Luis Kammerath. Secretario de Comunicaciones de la Presidencia de la Nación, en ocasión de la apertura de la 1ª Audiencia Pública sobre INTERNET, realizada en Buenos Aires el 6/8/97.

(2). De acuedo a estudios realizados por esta SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN.

(3). Información suministrada por estudios de la propia SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE IA NACIÓN.

(4). 2da. Encuesta nacional de INTERNET, realizada sobre universo aproximado (no conocido), sin definición de ningún tipo de estrato. El relevamiento se realiz6 por medio de formulario de autoadministración publicado en el sitio Web de esta SECRETARÍA DE COMUNICACIONES DE LA PRESIDENCIA DE LA NACIÓN (www.Secom.gov.ar). Las preguntas realizadas fueron de tipo cerradas, estructuradas, de opciones múltiples, escalas actitudinales, y abiertas. Sugerimos al lector evaluar sus resultados en la publicación adjunta al presente anexo.

(5). 1a. Encuesta nacional de INTERNET, realizada entre el 22 de julio y el 5 de agosto de 1997, de similar estructura metodológica a la aplicada en la 2a. Encuesta nacional de INTERNET, ya citada.

(6). Resolución 499/1998 Apruébanse tarifas promocionales propuestas por las empresas Telecom Argentina Stet France Telecom S.A. y Telefónica de Argentina S.A. para los usuarios del servicio básico telefónico a fin de acceder al servicio de valor agregado de “Acceso a Internet”.

(7). Resolución SC número 1617/1998, por la que se aprueba el mecanismo de aplicación de las tarifas promocionales a fin de acceder al servicio de valor agregado de “Acceso a Internet”.

(8). Dicha actividad comercial ya había comenzado, con las ventas de 1995 estimadas en $ 200 millones. Ver AMERICAN ELECTRONICS ASSOCIATION / AMERICAN UNIVERSITY, INTERCONNECT COMMERCE (Sept. 1996).

Arrêté du 13 septembre 2005 portant création d'un traitement automatisé de données à caractère personnel relatif au calcul et à la liquidation des salaires des personnels civils français de droit privé employés par lui et détachés auprès de la Bundeswehr.

La ministre de la défense,

Vu la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel faite à Strasbourg le 28 janvier 1981, approuvée par la loi nº 82-890 du 19 octobre 1982, entrée en vigueur le 1er octobre 1985 et publiée par le décret nº 85-1203 du 15 novembre 1985 ;

Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en dernier lieu par la loi nº 2004-801 du 6 août 2004 ;

Vu le décret nº 91-1404 du 27 décembre 1991 autorisant l'utilisation du répertoire national d'identification des personnes physiques par les employeurs dans les traitements automatisés de la paie et de la gestion du personnel ;

Vu l'arrêté du 16 mai 2002 modifié portant délégation de signature ;

Vu le récépissé de la Commission nationale de l'informatique et des libertés en date du 1er août 2005 portant le numéro 1062971,

Arrête :

Article 1. Il est créé au ministère de la défense, à la direction centrale du commissariat de l'armée de terre, un traitement automatisé de données à caractère personnel dénommé “MIDAS” mis en oeuvre par le commissariat de l'armée de terre de Paris et dont la finalité principale est d'assurer le calcul et la liquidation des salaires des personnels civils français de droit privé employés par l'organisme et détachés auprès de la Bundeswehr.

Article 2. Les catégories de données à caractère personnel enregistrées sont celles relatives :

– à l'identité (nom, prénoms) ;

– au numéro d'inscription au répertoire national d'identification des personnes physiques ;

– à la situation familiale (situation matrimoniale, enfants à charge) ;

– à la vie professionnelle (emploi et affectation, échelon, indice brut ou réel majoré, ancienneté dans l'échelon, position administrative, numéro d'adhésion à une mutuelle) ;

– à la situation économique et financière (salaire brut, indemnités compensatrices, toutes indemnités se rapportant à la fonction, indemnités de transport, de déplacement, cotisations au titre des régimes obligatoires, complémentaires et volontaires de couverture sociale et de retraite, numéro de compte et identification de l'organisme teneur du compte).

Les données à caractère personnel ainsi enregistrées sont conservées jusqu'à la rupture du lien de l'employé avec la personne morale gestionnaire.

Article 3. Les destinataires des données à caractère personnel ainsi enregistrées sont, en fonction de leurs attributions respectives et du besoin d'en connaître :

– la direction centrale du commissariat de l'armée de terre ;

– le service du personnel et les autorités hiérarchiques du commissariat de l'armée de terre de Paris ;

– les agents chargés du calcul des rémunérations et des accessoires, ainsi que des opérations de liquidation et de paiement aux intéressés ;

– l'autorité qui reçoit la déclaration des revenus dans le cadre de la procédure de transfert de données sociales et fiscales ;

– les organismes et institutions pour le compte desquels sont calculées les cotisations sociales ;

– les organismes bancaires et financiers assurant la tenue des comptes personnels des agents concernés par le traitement ;

– les organismes habilités à recevoir des informations statistiques relatives à la paie ;

– les membres des corps d'inspection.

L'information relative au numéro d'inscription au répertoire national d'identification des personnes physiques des allocataires concernés par le traitement ne peut être communiquée que pour les seules opérations visées à l'article 1er du décret du 27 décembre 1991 susvisé.

Article 4. Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 susvisée ne peut pas être invoqué dans le cadre de ce traitement.

Article 5. Le droit d'accès et de rectification prévu aux articles 39 et suivants de la loi du 6 janvier 1978 précitée s'exerce auprès du commissariat de l'armée de terre de Paris, BP 32, 00445 Armées.

Article 6. Le directeur central du commissariat de l'armée de terre est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

Fait à Paris, le 13 septembre 2005.

Pour la ministre et par délégation :

Le sous-chef d'état-major de l'armée de terre, D. Royal

Le ministre des technologies de la communication,

Vu le code des télécommunications promulgué par la loi n° 2001-1 du 15 janvier 2001, tel qu’il a été complété par la loi n° 2002-46 du 7 mai 2002,

Vu le décret n° 2000-2475 du 31 octobre 2000, relatif à la formalité unique pour la création des projets individuels,

Vu décret n° 2006-3315 du 25 décembre 2006, fixant les procédures et les conditions d’exploitation des centres publics des télécommunications.

Arrête :

Article premier. –

Est approuvé, le cahier des charges relatif à l’exploitation des centres publics des télécommunications, annexé au présent arrêté.

Article 2. –

Le présent arrêté sera publié au Journal Officiel de la République Tunisienne.

Tunis, le 11 avril 2007.

Le ministre des technologies de la communication Mountassar Ouaïli

Vu

Le Premier ministre Mohamed Ghannouch　

I medfør af § 5, stk. 1, § 13, stk. 1, og § 14 i bekendtgørelse Nr. 591 af 26. juni 2003 om offentlige arkiver og offentlige arkivers virksomhed og efter drøftelse med de kommunale og regionale parter fastsættes:

Område

§ 1.– Bestemmelserne i denne bekendtgørelse gælder for arkivalier skabt af den offentlige forvaltning og domstolene, og som af Statens Arkiver er bestemt til bevaring.

§ 2.– Bevaring af data fra it-systemer og af lyd og video skal ske i form af arkiveringsversioner.

Stk. 2.– Statens Arkiver kan af bevaringsmæssige grunde fastsætte, at bevaringen af andre arkivalier skal ske i form af arkiveringsversioner.

§ 3.– En arkiveringsversion af bevaringsværdige data skal fremstilles efter de anvisninger, der udstedes af rigsarkivaren, jf. bilag 2-8.

Stk. 2.– Rigsarkivaren kan anvise anden bevaringsform end en arkiveringsversion, fremstillet efter anvisningerne i bilag 2-8, hvis bevaringsmæssige hensyn tilsiger det.

Produktion og aflevering

§ 4.– Produktion og aflevering af arkiveringsversioner af data fra den statslige forvaltning og domstolenes it-systemer skal finde sted på tidspunkter, der fastsættes af Statens Arkiver.

§ 5.– Produktion og aflevering af arkiveringsversioner af data fra kommunernes og regionernes it-systemer, som indeholder personoplysninger, skal finde sted, inden data skal slettes. Den pågældende kommune eller region kan træffe aftale om tidligere tidspunkter med det modtagende arkiv.

Stk. 2.– Produktion af arkiveringsversioner af data fra øvrige it-systemer skal finde sted, inden data slettes, eller når it-systemet tages ud af brug.

Stk. 3.– Statens Arkiver kan derudover fastsætte, at der skal produceres en arkiveringsversion af data fra et it-system, når det af bevaringsmæssige hensyn er nødvendigt.

§ 6.– Arkiveringsversioner af statslige myndigheders data skal godkendes af Statens Arkiver. Arkiveringsversioner af kommunale og regionale myndigheders data skal godkendes af det modtagende arkiv. Arkiveringsversioner af bevaringsværdige kommunale og regionale data, som ikke er omfattet af afleveringspligt, skal godkendes af samme offentlige arkiv, som modtager myndighedens afleveringspligtige arkiveringsversioner.

Stk. 2.– Data, som er overført til en arkiveringsversion, må ikke slettes hos myndigheden, før arkiveringsversionen er godkendt.

Ikrafttrædelse m.v.

§ 7.– Bekendtgørelsen træder i kraft den 1. september 2010.

Stk. 2.– Bekendtgørelse Nr. 342 af 11. marts 2004 om arkiveringsversioner af bevaringsværdige data fra elektroniske arkivsystemer ophæves.

Stk. 3.– Bekendtgørelse Nr. 302 af 16. april 2009 om aflevering af lyd og video ophæves.

Stk. 4.– Til og med 1. juli 2011 kan der indgås aftale med offentligt arkiv om, at arkiveringsversion af data udarbejdes efter reglerne i den i stk. 2 nævnte bekendtgørelse.

Stk. 5.– Arkiveringsversioner af data efter reglerne i den i stk. 2 nævnte bekendtgørelse skal være afleveret til det pågældende offentlige arkiv inden 31. december 2011.

Stk. 6.– Rigsarkivaren kan efter ansøgning meddele dispensation for reglerne i stk. 4 og 5.

Rigsarkivet, den 20. august 2010

Asbjørn Hellum

 Kirsten Villadsen Kristmar

LE PREMIER MINISTRE,

Vu la loi 09-08 relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel, promulguée par le dahir nº 1-09-15 du 22 safar 1430 (18 février 2009) ;

Après examen par le conseil des ministres, réuni le 11 joumada I 1430 (7 mai 2009),

DECRETE

Chapitre I.- La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP)

Section 1.- Conditions et modalités de désignation des membres de la CNDP

Article 1

La Commission nationale de contrôle de la protection des données à caractère personnel créée en vertu de l'article 27 de la Loi nº 09-08 est désignée en abrégé par la ” CNDP “.

Article 2

En application de l'article 32 de la Loi nº 09-08, la CNDP est composée de sept (7) membres dont le président est nommé par le Roi et six (6) membres nommés également par le Roi et proposés comme suit :

– deux membres par le Premier ministre ;

– deux membres par le président de la Chambre des représentants ;

– deux membres par le président de la Chambre des conseillers.

Article 3

Outre le président, les membres de la CNDP proposés en vue de leur désignation conformément aux dispositions de l'article 32 de la Loi nº 09-08, sont choisis parmi des personnalités du secteur public ou privé qualifiées.

La CNDP doit comprendre parmi ses membres des personnalités qualifiées pour leur compétence dans les domaines juridique et judiciaire, des personnalités justifiant d'une grande expertise en matière informatique ainsi que des personnalités reconnues pour leur connaissance des questions touchant aux libertés individuelles.

Les membres de la CNDP sont choisis parmi les personnalités notoirement connues pour leur impartialité, leur probité morale, leur expertise et leur compétence.

Article 4

En cas de vacance, d'empêchement ou d'absence pour quelque cause que ce soit d'un membre de la Commission, il est pourvu dans les mêmes conditions, à son remplacement dans les 30 jours suivant celui où la vacance est constatée par le président de la CNDP.

Les membres de la CNDP nommés en remplacement de ceux dont le mandat a pris fin avant son terme normal, achèvent le mandat des membres auxquels ils succèdent.

Article 5

Le président de la CNDP peut déléguer une partie de ses fonctions à un autre membre et au secrétaire général de la CNDP. Il préside les réunions de la CNDP ou délègue un autre membre à cette fin et le représente.

Section 2.- Règles de fonctionnement de la CNDP

Article 6

La CNDP se réunit sur convocation de son président, agissant de sa propre initiative ou à la demande de la moitié des membres, selon une périodicité précisée par son règlement intérieur et, en tout cas, au moins une fois par mois.

Article 7

Conformément à l'article 39 de la Loi nº 09-08 susvisée, la CNDP établit son règlement intérieur qui fixe notamment les conditions de son fonctionnement et de son organisation, et ce dans un délai d'un mois après son installation et le communique au premier ministre ou à l'autorité gouvernementale qu'il désigne, pour approbation et publication au ” Bulletin officiel “.

Article 8

Les crédits nécessaires à l'accomplissement des missions de la CNDP sont inscrits au budget du Premier ministre.

Article 9

La CNDP peut bénéficier de dons et legs d'organismes nationaux et internationaux publics ou privés.

Article 10

Le projet de budget de la CNDP est préparé par le secrétaire général. Avant son approbation par la CNDP, le projet de budget est soumis par le président de la CNDP au Premier ministre.

Article 11

Le président de la CNDP est ordonnateur de son budget. Il est assisté par le secrétaire général qui est sous ordonnateur pour les missions qui lui sont confiées par la Loi nº 09-08.

Section 3.- Administration de la CNDP

Article 12

L'administration de la CNDP est assurée par un secrétaire général sous l'autorité de son président.

Article 13

Le secrétaire général dirige les services administratifs et financiers de la CNDP et peut à ce titre, outre les pouvoirs qu'il exerce par délégation du président de la CNDP, signer tous actes et décisions d'ordre administratif. Il prépare et soumet pour approbation du président, le projet de budget de la CNDP.

Article 14

Le secrétaire général est chargé de prendre toute mesure nécessaire à la préparation et à l'organisation des travaux de la CNDP. Il est responsable de la tenue et de la conservation des dossiers et archives de la CNDP.

Article 15

Afin d'assurer la gestion de la CNDP, le secrétaire général dispose selon l'article 41 de la Loi nº 09-08 d'un personnel administratif et technique composé de fonctionnaires des administrations publiques ou d'agents publics, qui peuvent être placés en position de détachement auprès de la CNDP, sur décision conjointe de l'autorité gouvernementale dont ils relèvent et du président de la CNDP.

Les contrats de travail sont soumis à l'approbation du premier ministre pour le personnel recruté par voie contractuelle.

Section 4.- Des pouvoirs d'investigation et de contrôle de la CNDP

Article 16

Pour l'accomplissement des pouvoirs d'investigation et d'enquête dont elle est investie en vertu de l'article 30 de la Loi nº 09-08, la CNDP charge ses agents régulièrement commissionnés par le président et placés sous son autorité, de rechercher et contrôler, par procès-verbal, les infractions aux dispositions de la loi susvisée et des textes pris pour son application.

Article 17

L'opération de contrôle, fait l'objet d'une décision de la CNDP qui précise :

1) le nom et l'adresse du responsable du traitement concerné ;

2) le nom de l'agent commissionné ou des agents chargés de l'opération ;

3) l'objet ainsi que la durée de l'opération.

Article 18

Aucun agent ne peut être désigné pour effectuer un contrôle auprès d'un organisme au sein duquel il a, au cours des 5 années précédant le contrôle, détenu un intérêt direct ou indirect, exercé des fonctions, une activité professionnelle ou un mandat électif.

Article 19

En cas d'opération de contrôle, le procureur du Roi territorialement compétent en est préalablement informé au plus tard vingt-quatre (24) heures avant la date à laquelle doit avoir lieu le contrôle sur place. Cet avis précise la date, l'heure, le lieu et l'objet du contrôle.

Les personnes chargées du contrôle doivent présenter leur ordre de mission et, le cas échéant, leur habilitation à procéder auxdits contrôles.

Article 20

En application de l'article 66 de la Loi nº 09-08 chaque contrôle, doit faire l'objet d'un procès-verbal qui énonce la nature, le jour, l'heure et le lieu des contrôles effectués. Le procès-verbal indique l'objet de l'opération, les membres de la CNDP ayant participé à celle-ci, les personnes rencontrées, le cas échéant, leurs déclarations, les demandes formulées par les contrôleurs ainsi que les éventuelles difficultés rencontrées.

L'inventaire des pièces et documents dont, les personnes chargées du contrôle ont pris copie, est annexé au procès-verbal signé par les personnes chargées du contrôle et par le responsable soit des lieux, soit des traitements, soit par toute personne désignée par celuici.

Article 21

Les agents de la CNDP peuvent également, sur autorisation du procureur du Roi, procéder à la saisie des matériels objets de l'infraction.

La demande de l'autorisation précitée doit comporter tous les éléments d'information de nature à justifier la saisie. Celle-ci s'effectue sous l'autorité et le contrôle du procureur du Roi qui l'a autorisée.

Article 22

Les personnes chargées du contrôle peuvent convoquer et entendre toute personne susceptible de leur fournir toute information ou justification utiles pour l'accomplissement de leur mission.

La convocation, adressée par lettre recommandée ou remise en main propre contre décharge, doit parvenir au moins sept jours avant la date de l'audition.

La convocation rappelle à la personne convoquée qu'elle est en droit de se faire assister d'un conseil de son choix.

Le refus de répondre à une convocation des personnes chargées du contrôle doit être mentionné sur procès-verbal.

Chapitre II.- Des avis, des autorisations et des déclarations

Section 1.- Dispositions générales

Article 23

La CNDP définit des modèles de déclaration, de demande d'avis et de demande d'autorisation et fixe la liste des annexes qui, le cas échéant, doivent être jointes.

Article 24

Les déclarations, demandes d'avis et demandes d'autorisation sont présentées par le responsable du traitement ou par la personne ayant qualité pour le représenter. Lorsque le responsable du traitement est une personne physique ou un service, la personne morale ou l'autorité publique dont il relève doit être mentionnée.

Les déclarations et demandes d'avis et d'autorisations sont adressées à la CNDP :

1) soit par lettre recommandée ;

2) soit remises au secrétariat de la commission contre reçu ;

3) soit par voie électronique, avec accusé de réception qui peut être adressé par la même voie.

La date de l'avis de réception, du reçu ou de l'accusé de réception électronique fixe le point de départ du délai :

– de 24 heures dont dispose la CNDP pour délivrer le récépissé de la déclaration en application de l'article 19 de la Loi nº 09-08 susvisée ;

– de deux mois pour notifier son avis conformément à l'article 25 du présent décret. La décision par laquelle le président renouvelle ce délai est notifiée au responsable du traitement par lettre remise contre signature ;

– de deux mois fixé par l'article 28 du présent décret à la CNDP pour accorder l'autorisation mentionnée dans les articles 12 et 21 de la Loi nº 09-08 susvisée ;

– de 8 jours dont dispose la CNDP pour notifier sa décision de soumettre le traitement au régime de la déclaration en application de l'article 20 de la Loi nº 09-08 susvisée.

Section 2.- Des avis de la CNDP

Article 25

La CNDP saisie dans le cadre de l'alinéa A de l'article 27 ainsi que dans le cadre de l'article 50 de la Loi nº 09-08 susvisée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande d'avis. Ce délai peut être prolongé d'un mois sur décision motivée du président de la CNDP.

En cas d'urgence, ce délai est ramené à un mois à la demande du gouvernement ou du parlement.

Section 3.- De la déclaration

Article 26

Lorsque la déclaration satisfait aux prescriptions de la Loi nº 09-08 et de ses textes d'application. La CNDP délivre le récépissé prévu à l'article 19 de la loi susvisée.

La CNDP peut délivrer le récépissé de la déclaration préalable par voie électronique avec accusé de réception par la même voie.

Lorsque le récépissé est délivré par voie électronique, le responsable du traitement peut en demander une copie sur support papier.

Section 4.- Des autorisations

Article 27

En application de l'article 21 de la Loi nº 09-08 susvisée, les demandes d'autorisations préalables doivent préciser :

1) l'identité et l'adresse du responsable du traitement ou, si celui-ci n'est pas établi sur le territoire national, celles de son représentant dûment mandaté ;

2) la ou les finalités du traitement envisagé ainsi que sa dénomination et ses caractéristiques ;

3) les interconnexions envisagées ou toutes autres formes de mise en relation avec d'autres traitements ;

4) les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

5) la durée de conservation des informations traitées ;

6) le ou les services chargés de mettre en oeuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

7) les destinataires habilités à recevoir communication des données ;

8) la fonction de la personne ou le service auprès duquel s'exerce le droit d'accès ;

9) les dispositions prises pour assurer la sécurité des traitements et des données ;

10) l'indication du recours à un sous-traitant ;

11) les transferts de données à caractère personnel envisagés à destination d'un pays étranger.

Le responsable d'un traitement déjà déclaré ou autorisé introduit une nouvelle demande auprès de la CNDP, en cas de changement affectant les informations mentionnées à l'alinéa précédent. En outre, il doit informer la CNDP en cas de suppression du traitement.

Article 28

La CNDP se prononce dans un délai de deux mois (2) à compter de la réception de la demande d'autorisation. Toutefois, ce délai peut être prorogé une fois sur décision motivée de la CNDP. Lorsque la CNDP ne s'est pas prononcée dans ces délais, l'autorisation est réputée accordée.

Chapitre III.- Dispositions particulières à certaines catégories de traitements

Section 1.- Les conditions de traitement des données génétiques et celles relatives à la santé

Article 29

En application de l'article 12 alinéas 1-a et 1-c, et de l'article 21 alinéa 1 de la Loi nº 09-08 susvisée, les traitements portant sur des données génétiques et celles relatives à la santé doivent faire l'objet d'une autorisation de la CNDP.

Article 30

Les dossiers de demandes d'autorisation de traitements de données relatives à la santé adressés à la CNDP doivent comprendre :

1) l'identité et l'adresse du responsable du traitement et de la personne responsable du traitement, leurs titres, expériences et fonctions, les catégories de personnes qui seront appelées à mettre en oeuvre le traitement ainsi que celles qui auront accès aux données collectées ;

2) lorsqu'il s'agit de recherche dans le domaine médical, le protocole de recherche ou ses éléments utiles, indiquant notamment l'objectif de la recherche, les catégories de personnes intéressées, la méthode d'observation ou d'investigation retenue, l'origine et la nature des données à caractère personnel recueillies et la justification du recours à celles-ci, la durée et les modalités d'organisation de la recherche, la méthode d'analyse des données ;

3) le cas échéant, les avis rendus antérieurement par des instances scientifiques ou éthiques ;

4) les caractéristiques du traitement envisagé ;

5) l'engagement du responsable du traitement de coder les données permettant l'identification des personnes intéressées ;

6) le cas échéant, la justification scientifique et technique de toute demande de dérogation à l'obligation de codage des données permettant l'identification des personnes intéressées, et la justification de toute demande de dérogation à l'interdiction de conservation desdites données au-delà de la durée nécessaire à la recherche.

Toute modification de ces éléments est portée à la connaissance de la CNDP.

Section 2.- Traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques

Article 31

En application de l'article 12 alinéa 1-b de la Loi nº 09-08 susvisée, lorsque le responsable d'un traitement des données à caractère personnel communique ces dites données à un tiers, en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques, lesdites données sont, préalablement à leur communication, rendues anonymes ou codées par ledit responsable ou par tout organisme compétent.

Article 32

Les résultats du traitement des données à caractère personnel à des fins historiques, statistiques ou scientifiques ne peuvent être rendus publics sous une forme qui permet l'identification de la personne concernée, sauf si :

1) la personne concernée a donné expressément son consentement ;

2) la publication des données à caractère personnel non anonymes et non codées est limitée à des données manifestement rendues publiques par la personne concernée.

Article 33

La CNDP est compétente pour se prononcer sur le caractère historique, statistique ou scientifique des données à caractère personnel.

Chapitre IV.- Des droits des personnes

Section 1.- Dispositions communes

Article 34

1) Les informations à fournir par le responsable du traitement, en application de l'article 5 de la Loi nº 09-08 susvisée, peuvent être délivrées par tous moyens, notamment par :

– courrier électronique ou sur support papier ;

– affichage ou formulaire électronique ;

– annonce dans un support approprié ;

– ou bien, au cours d'un entretien individuel.

2) les codes, sigles et abréviations figurant dans les documents délivrés par le responsable de traitement en réponse à une demande doivent être explicités, si nécessaire sous la forme d'un lexique.

Article 35

1) Les demandes tendant à la mise en oeuvre des droits prévus aux articles 7 à 9 de la Loi nº 09-08 susvisée peuvent être présentées au responsable du traitement par écrit, par voie électronique ou sur place.

2) lorsqu'elles sont présentées par écrit au responsable du traitement, elles doivent être signées et accompagnées de la photocopie d'une pièce d'identité et préciser avec exactitude l'objet de la demande.

3) lorsque le responsable du traitement n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège de la personne morale, de l'autorité publique, du service ou de l'organisme dont il relève. La demande est transmise immédiatement au responsable du traitement.

Article 36

1) Lorsqu'une demande est présentée sur place, l'intéressé justifiant de son identité auprès du responsable du traitement, peut se faire assister d'un conseil de son choix.

La demande peut être également présentée par une personne spécialement mandatée à cet effet par l'intéressé, après justification de son mandat, de son identité et de l'identité du mandant.

2) Lorsque la demande relative au droit d'accès ne peut être satisfaite immédiatement conformément à l'article 7 de la Loi nº 09-08 susvisée, il est délivré à son auteur un avis de réception, daté et signé avec la mention du motif du report de la réponse et le responsable du traitement saisit immédiatement la CNDP pour la fixation d'un délai de réponse.

3) Lorsque la demande rectification ne peut être satisfaite dans le délai de 10 jours conformément à l'alinéa a de l'article 8 de la Loi nº 09-08 susvisée, il est délivré au demandeur un avis de réception, daté et signé et contenant le motif du report de la réponse. Dans ce cas le responsable du traitement saisit immédiatement la CNDP pour la fixation d'un délai de réponse.

Article 37

Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration des délais fixés dans l'article 7 et l'alinéa a de l'article 8 de la Loi nº 09-08 et des textes pris pour son application.

La demande de compléments d'information suspend les délais mentionnés à l'alinéa précédent.

Section 2.- Du droit d'accès

Article 38

En application de l'article 7 de la Loi nº 09-08, toute personne justifiant de son identité, a le droit d'être informée, sur les données la concernant faisant l'objet d'un traitement, soit en s'adressant directement au responsable du traitement, soit en adressant à ce dernier une demande écrite d'accès aux informations, signée et datée, quel que soit le support :

La demande écrite doit contenir : le nom, le prénom, la date de naissance, ainsi qu'une photocopie de la carte d'identité.

La demande d'accès aux informations contient en outre et dans la mesure où le demandeur dispose de ces informations :

1) tous les éléments pertinents concernant les données, tels que leur nature, les circonstances ou l'origine de la prise de connaissance du traitement de ces données ;

2) la désignation de l'autorité ou du service concerné.

Article 39

Si plusieurs responsables de traitement des données gèrent en commun un ou plusieurs fichiers, le droit d'accès aux informations peut être exercé auprès de chacun d'eux, à moins que l'un d'eux soit considéré comme responsable de l'ensemble des traitements.

Si la personne sollicitée n'est pas autorisée à communiquer les informations demandées, elle doit transmettre la requête à qui de droit dans les meilleurs délais.

Section 3.- Du droit de rectification

Article 40

En application de l'article 8 de la Loi nº 09-08 toute personne justifiant de son identité dispose d'un droit de rectification des données personnelles la concernant, soit en s'adressant directement au responsable du traitement, soit en adressant à la CNDP une demande écrite de rectification signée et datée, quel que soit le support :

La demande écrite doit contenir : le nom, le prénom, la date de naissance, ainsi qu'une photocopie de la carte d'identité du demandeur et énoncer clairement l'objet de la rectification.

La demande rectification des informations contient en outre et dans la mesure où le demandeur dispose de ces informations :

– tous les éléments pertinents concernant les données contestées, tels que leur nature, les circonstances ou l'origine de la prise de connaissance des données contestées, ainsi que les rectifications éventuellement souhaitées;

– la désignation de l'autorité ou du service concerné.

Article 41

Lorsqu'une personne fait une demande en vue de rectifier ou de supprimer des données la concernant, le responsable du traitement ou la CNDP doit l'informer par écrit des dispositions prises.

Article 42

L'héritier d'une personne décédée qui souhaite la mise à jour des données concernant le défunt doit, lors de sa demande, outre la justification de son identité, apporter la preuve de sa qualité d'héritier par la production d'un acte notarié ou d'un livret de famille.

Section 4.- Du droit d'opposition

Article 43

Lorsque des données à caractère personnel sont collectées par écrit auprès de la personne concernée, le responsable du traitement demande à celle-ci, sur le document lui servant de support pour collecter les données, si elle souhaite exercer le droit d'opposition prévu à l'article 9 de la Loi nº 09-08 susvisée.

La personne concernée doit être en mesure d'exprimer son choix avant la validation définitive de ses réponses.

Article 44

Lorsque les données à caractère personnel sont collectées auprès de la personne concernée autrement que par écrit, le responsable du traitement demande à celle-ci, avant la fin de la collecte si elle souhaite exercer le droit d'opposition. Dans cette hypothèse, le responsable du traitement doit conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit d'opposition.

Article 45

Le responsable du traitement auprès duquel le droit d'opposition a été exercé, informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition.

Chapitre V.- Du transfert des données à caractère personnel vers un pays étranger

Article 46

Les demandes de transfert des données à caractère personnel vers un pays étranger offrant un niveau de protection suffisant au sens de l'article 43 de la Loi nº 09-08 susvisée doivent contenir, les indications suivantes :

1) les nom et adresse de la personne communiquant les données ;

2) les nom et adresse du destinataire des données ;

3) le nom et la description complète du fichier ;

4) les catégories de données personnelles transférées ;

5) les personnes concernées et leur nombre approximatif ;

6) le but du traitement des données effectué par le destinataire ;

7) le mode et la fréquence des transferts envisagés ;

8) la date du premier transfert.

Article 47

Lorsqu'en vertu de l'article 44 de la Loi nº 09-08 susvisée, le responsable du traitement envisage un transfert de données à caractère personnel vers un pays qui ne figure pas dans la liste fixée par la CNDP prévue à l'article 43 de la même loi et qu'il invoque pour justifier ce transfert l'une des dérogations prévues aux Iº et 2e alinéa de l'article 44 de la Loi nº 09-08 susvisée, il indique à la CNDP, outre les informations prévues à l'article précédent, le cas précis de dérogation qu'il invoque à l'appui de sa demande.

Article 48

Lorsqu'en application du 3e alinéa de l'article 44 de la Loi nº 09-08 susvisée, le responsable du traitement envisage un transfert de données à caractère personnel qui requiert une autorisation expresse de la CNDP, il précise à la CNDP, outre les informations prévues à l'article 44 du présent décret, les mesures ou le dispositif destinés à garantir un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes.

Concernant les autorisations de transfert, la CNDP se prononce, selon la procédure régissant les autorisations, prévue par la Loi nº 09-08 susvisées et ces textes d'application.

Article 49

Toute modification des informations mentionnées aux articles 46, 47 et 48 du présent décret doit être portée à la connaissance de la CNDP dans un délai de 8 jours ouvrables.

Article 50

Le transfert, prévu au sein d'un groupe d'entreprises ou à l'adresse de plusieurs destinataires pour les mêmes catégories de données et les mêmes finalités, peut faire l'objet d'une déclaration commune.

Article 51

Le ministre de l'industrie, du commerce et des nouvelles technologies et le ministre de l'économie et des finances sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Bulletin officiel.

Fait à Rabat, le 25 joumada I 1430 (21 mai 2009).

ABBAS EL FASSI.

Pour contreseing : Le ministre de l'industrie, du commerce et des nouvelles technologies, AHMED REDA CHAMI.

Le ministre de l'économie et des finances, SALAHEDDINE MEZOUAR.

Decreto 160/2004, de 5 de febrero de 2004

Desígnanse a los integrantes de la Comisión Asesora para la Infraestructura de Firma Digital creada por la Ley Nº 25.506.

VISTO la Ley Nº 25.506, el Decreto Nº 2628 del 19 de diciembre de 2002, el Decreto Nº 624 del 21 de agosto de 2003, y el Decreto Nº 1028 del 6 de noviembre de 2003, y

CONSIDERANDO:

Que por la Ley Nº 25.506 se creó la COMISION ASESORA PARA LA INFRAESTRUCTURA DE FIRMA DIGITAL, se estableció su integración y definieron sus funciones.

Que por el Decreto Nº 2628/02 se estableció que dicha Comisión Asesora funcionará en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, así como los requisitos que deben reunir sus integrantes y el carácter ad honorem que tiene el ejercicio de dichas funciones.

Que en el Decreto Nº 1028/03 se determinó que la COMISION ASESORA PARA LA INFRAESTRUCTURA DE FIRMA DIGITAL actuará en el ámbito de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS.

Que resulta necesario designar a sus integrantes, para asegurar el cumplimiento de las funciones asignadas a la citada Comisión.

Que la presente medida se dicta en uso de las atribuciones conferidas por el artículo 99 inciso 7, de la CONSTITUCION NACIONAL, el artículo 35 de la Ley Nº 25.506 y lo dispuesto por el artículo 1º del Decreto Nº 491 del 12 de marzo de 2002.

Por ello,

EL PRESIDENTE DE LA NACION ARGENTINA

DECRETA:

Artículo 1º. Desígnase a los integrantes de la COMISION ASESORA PARA LA INFRAESTRUCTURA DE FIRMA DIGITAL creada por la Ley Nº 25.506, de acuerdo con el detalle obrante en la planilla anexa al presente artículo.

Artículo 2º. Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

KIRCHNER.

Alberto A. Fernández.

PLANILLA ANEXA AL ARTICULO 1º

Apellidos
Nombres
Documento

ALTMARK
Daniel Ricardo
LE 4.527.543

AQUERRETA
Juan Carlos
DNI 10.134.048

BRUSA
Graciela María
DNI 12.545.190

CARRATALA EGEA
Armando Oscar
DNI 18.518.600

JENSEN
Cristian Alcídes
DNI 8.370.794

SAENZ
Carlos Agustín
DNI 17.759.675

VASSALLO
Guido Mario Adolfo Héctor
LE 4.374.480

VISTO

La Ley de Ministerios (t.o. por Decreto nº 438 del 12 de marzo de 1992), sus modificatorios y complementarios, y

CONSIDERANDO

Que con el fin de perfeccionar el uso de los recursos públicos incrementando la calidad de la acción estatal, corresponde efectuar un reordenamiento estratégico que permita concretar las metas públicas diagramadas, así como racionalizar y tornar más eficiente la gestión pública.

Que desde el año 1987 por delegación de la entonces autoridad de Internet, esto es la INTERNET ASSIGNED NUMBERS AUTHORITY- IANA, el MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO ha actuado como primera entidad con conexión permanente a Internet, propiciando asimismo el desarrollo local de la misma y brindando desde esa fecha servicios de correo electrónico a los distintos ámbitos del Gobierno Nacional y académico.

Que asimismo el rol principal del MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO, abarca la administración del Dominio de Nivel Superior Argentina ( .AR), sus servicios de registro, la promoción del desarrollo de la infraestructura y tecnología de Internet, y la cooperación mutua con otras entidades del Estado Nacional, canalizándose este esfuerzo a través de NIC-ARGENTINA.

Que es necesario concentrar los recursos en el ámbito del MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO, con el objeto de concretar un reordenamiento de la actividad de referencia, atento al permanente desarrollo del tema, que permita mejorar la prestación del servicio y actualizar las reglas de registración de nombres, velando por la correcta aplicación de las mismas.

Que como consecuencia de los objetivos perseguidos por el Gobierno y en virtud de la experiencia acumulada por esa cartera, es aconsejable asignar las competencias relativas a la administración del Dominio de Nivel Superior Argentina ( .AR) y sus servicios de registro al MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO.

Que como consecuencia de dicha asignación, se hace necesario la actualización de las competencias del MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO.

Que la imperiosa necesidad de efectuar la incorporación de la mencionada competencia configura una circunstancia excepcional que hace imposible seguir los trámites ordinarios previstos por la CONSTITUCION NACIONAL para la sanción de las leyes.

Que el presente Decreto se dicta en uso de las facultades conferidas por el artículo 99, inciso 3. de la CONSTITUCIÓN NACIONAL.

Por ello,

EL PRESIDENTE DE LA NACION ARGENTINA

EN ACUERDO GENERAL DE MINISTROS

DECRETA:

Artículo 1º – Sustitúyese el artículo 18 de la Ley de Ministerios (texto ordenado por Decreto nº 438 del 12 de marzo de 1992), sus modificatorios y complementarios, por el siguiente:

“Artículo 18.- Compete al MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO asistir al Presidente de la Nación, y al Jefe de Gabinete de Ministros en orden a sus competencias, en todo lo inherente a las relaciones exteriores de la Nación y su representación ante los gobiernos extranjeros, la Santa Sede y las entidades internacionales en todos los campos del accionar de la República, y en particular:

1.- Entender en la determinación de los objetivos y políticas del área de su competencia;

2.- Ejecutar los planes, programas y proyectos del área de su competencia elaborados conforme las directivas que imparta el PODER EJECUTIVO NACIONAL;

3.- Entender, desde el punto de vista de la política exterior, en todas las reuniones, congresos y conferencias de carácter internacional y en las misiones especiales ante los gobiernos extranjeros, organismos y entidades internacionales, así como en las instrucciones que corresponda impartir en cada caso, y su ejecución;

4.- Entender en las relaciones con el cuerpo diplomático y consular extranjero, y con los representantes gubernamentales, de organismos y entidades intergubernamentales en la República;

5.- Entender, desde el punto de vista de la política exterior, en la elaboración, registro e interpretación de los tratados, pactos, convenios, protocolos, acuerdos, arreglos o cualquier otro instrumento de naturaleza internacional, en todas las etapas de la negociación, adopción, adhesión, accesión y denuncia;

6.- Entender, desde el punto de vista de la política exterior, en todo lo inherente a las actividades de las misiones especiales enviadas a la República por los gobiernos extranjeros o por organismos o entidades internacionales;

7.- Entender en la protección y asistencia de los ciudadanos e intereses de los argentinos en el exterior, así como fortalecer sus vínculos con la República;

8.- Intervenir, en su área, en las decisiones sobre el uso de la fuerza armada, en las materias relacionadas con el estado de guerra y su declaración, en la solución de las controversias internacionales, los ajustes de paz, la aplicación de sanciones decididas por organismos internacionales competentes y otros actos contemplados por el derecho internacional;

9.- Entender en la política vinculada con las operaciones de mantenimiento de la paz en el ámbito de las organizaciones internacionales y como resultado de compromisos bilaterales adquiridos por la República, e intervenir en su ejecución;

10.- Entender en la política de desarme, seguridad y antiterrorismo internacional;

11.- Entender en la introducción y tránsito de fuerzas extranjeras por el territorio de la República y la salida de fuerzas nacionales;

12.- Entender, desde el punto de vista de la política exterior, en las materias referidas a la no proliferación de tecnologías sensitivas vinculadas a las armas de destrucción en masa e intervenir en el control de exportaciones sensitivas y material bélico;

13.- Entender, desde el punto de vista de la política exterior, en la tramitación de los tratados de arreglos concernientes a los límites internacionales, y en el registro y difusión de los mapas oficiales de los límites de la República;

14.- Entender en la tramitación de rogatorias judiciales, pedidos de extradición y en los asuntos relativos a la asistencia judicial internacional;

15.- Entender en la concesión del derecho de asilo y el otorgamiento de la condición de refugiado;

16.- Entender en la promoción y difusión de la imagen de la República en el exterior, coordinando previamente con los organismos que correspondan;

17.- Entender, en los aspectos políticos y económicos internacionales, en la formulación y conducción de los procesos de integración de los que participa la República, como así también en el establecimiento y conducción de los órganos comunitarios surgidos de dichos procesos, y en todo lo relativo a su convergencia futura con otros procesos de integración;

18.- Entender, desde el punto de vista de la política exterior y en coordinación con los organismos nacionales, provinciales y regionales de enlace, en el desarrollo de los procesos de integración física con los países limítrofes;

19.- Entender en la ejecución de la política comercial en el exterior, incluyendo la promoción y las negociaciones internacionales de naturaleza económica y comercial, así como en la conducción del servicio económico y comercial exterior e intervenir en la formulación, definición y contenidos de la política comercial en el exterior;

20.- Entender en las relaciones con los organismos económicos y comerciales internacionales;

21.- Entender en la promoción, organización y participación en exposiciones, ferias, concursos, muestras y misiones de carácter económico, oficiales y privadas, en el exterior, atendiendo a las orientaciones de política económica global y sectorial que se definan;

22.- Entender en las políticas y determinación de acciones de asistencia humanitaria internacional, ayuda de emergencia y rehabilitación para el desarrollo a nivel internacional, su implementación, financiación y ejecución, en coordinación con los organismos competentes del sistema de las Naciones Unidas y otros organismos internacionales;

23.-Entender en todo lo relacionado con las representaciones permanentes o transitorias de la República en el exterior;

24.- Entender en la organización del Servicio Exterior de la Nación y en el ingreso, capacitación, promoción y propuestas de ascensos de sus integrantes que se realicen al HONORABLE CONGRESO DE LA NACION;

25.- Entender en la legalización de documentos para y del exterior;

26.- Entender en la publicación del texto oficial de los tratados y demás acuerdos internacionales concluidos por la Nación;

27.- Entender, desde el punto de vista de la política exterior, en la negociación de la cooperación internacional en los ámbitos educativos, cultural, ambiental, económico, social, científico, técnico, tecnológico, nuclear, espacial, laboral y jurídico, en coordinación con los respectivos ministerios y con los demás organismos nacionales que tengan competencia en alguno de dichos ámbitos;

28.- Intervenir, desde el punto de vista de la política exterior, en la elaboración y ejecución de la política de migración e inmigración en el plano internacional y en lo relacionado con la nacionalidad, derechos y obligaciones de los extranjeros y su asimilación e integración con la comunidad nacional;

29.- Entender en las negociaciones internacionales y participar, desde el punto de vista de las relaciones exteriores en la formulación y ejecución de las políticas sobre protección del medio ambiente, y de la preservación del territorio terrestre y marítimo argentino y sus áreas adyacentes, así como del espacio aéreo;

30.- Entender, desde el punto de vista de la política exterior, en todo lo relativo a la prevención y sanción de delitos internacionales;

31.- Entender en las negociaciones internacionales e intervenir en la formulación de políticas que conduzcan a convenios bilaterales y multilaterales de cooperación internacional en materia de lucha contra el tráfico ilícito de estupefacientes y sustancias psicotrópicas;

32.- Entender en el reconocimiento de Estados, Gobiernos y situaciones internacionales;

33.- Entender en la aplicación del derecho humanitario internacional en cooperación con los organismos especializados de Naciones Unidas, con la Cruz Roja Internacional, así como también en la formulación y ejecución del programa internacional denominado “Cascos Blancos”;

34.- Participar en la formulación de políticas, elaboración de planes y programas, y en la representación del Estado Nacional ante los organismos internacionales en materia de Derechos Humanos y en aquellos relativos a la condición y situación de la mujer, e intervenir en la reforma de la legislación nacional en dichas materias;

35.- Intervenir en todos los actos del PODER EJECUTIVO NACIONAL que tengan conexión con la política exterior de la Nación o se vinculen con los compromisos asumidos por la República;

36.- Entender en la planificación y dirección de la política antártica, como así también en la implementación de los compromisos internacionales, e intervenir en la ejecución de la actividad antártica;

37.- Entender en las relaciones del gobierno con la Iglesia Católica, Apostólica y Romana; en la centralización de las gestiones que ante la autoridad pública hicieren la Iglesia, personas y entidades del culto y en las acciones correspondientes al otorgamiento de credenciales eclesiásticas;

38.- Entender en las relaciones con todas las organizaciones religiosas que funcionen en el país para garantizar el libre ejercicio del culto y en el registro de las mismas;

39.- Intervenir en la elaboración de las políticas para el desarrollo de áreas y zonas de frontera y entender en su ejecución en el área de su competencia.

40.- Entender, en su carácter de administrador del Dominio de Nivel Superior Argentina (.AR), en el procedimiento de registro de nombres de dominio Web de las personas físicas y jurídicas, como así también ejecutar los planes, programas y proyectos relativos al tema, interviniendo en los procesos de negociación y conclusión de acuerdos y otros instrumentos de carácter internacional, y propiciando las medidas necesarias tendientes a lograr armonizar las disposiciones generales y globales que regulan la registración de los nombres de dominio en la República con el derecho interno.”

Artículo 2º – El presente Decreto entrará en vigencia a partir de su publicación en el Boletín Oficial.

Artículo 3º – Dése cuenta al HONORABLE CONGRESO DE LA NACION.

Artículo 4º – Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

KIRCHNER-Fernández-Fernández-Pampuro-Bielsa-Lavagna-Kirchner-Ginés González García-Tomada-Rosatti-Filmus-De Vido

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84, inciso VI, alínea “a”, da Constituição,

DECRETA:

Artigo 1º.- O parágrafo único do art. 3º do Decreto nº 4.901, de 26 de novembro de 2003, passa a vigorar com a seguinte redação:

Artigo 2º.- O art. 8º do Decreto nº 4.901, de 2003, passa a vigorar acrescido do seguinte parágrafo único:

Artigo 3º.- Este Decreto entra em vigor na data de sua publicação.

Brasília, 10 de março de 2005; 184º da Independência e 117º da República.

LUIZ INÁCIO LULA DA SILVA
Eunício Oliveira

La Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de la Administraciones Públicas y del Procedimiento Administrativo Común, establece en el artículo 45 la obligación a las administraciones públicas de impulsar el empleo y la aplicación de técnicas y medios electrónicos, informáticos y telemáticos en el desarrollo de su actividad y en el ejercicio de sus competencias.

Con posterioridad, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos ha establecido entre los fines de la misma el contribuir a la mejora del funcionamiento interno de las Administraciones Públicas, incrementando la eficacia y la eficiencia de las mismas mediante el uso de las tecnologías de la información, con las debidas garantías legales en la realización de sus funciones así como simplificar los procedimientos administrativos. Además reconoce a los ciudadanos el derecho a relacionarse con dichas Administraciones por medios electrónicos y establece que las comunicaciones entre Administraciones se realicen preferentemente por dichos medios.

La Disposición Adicional Segunda del Decreto 58/2004, de 29 de octubre, por el que se regula el Registro en el ámbito de la Administración General de la Comunidad Autónoma de La Rioja y sus Organismos Públicos establece que las comunicaciones entre órganos y/o unidades de una misma Consejería o Consejerías entre sí con independencia del asunto sobre el que traten, podrán realizarse a través de soportes, medios y aplicaciones informáticas, electrónicas y telemáticas. Estas comunicaciones serán válidas si existe constancia de la transmisión y recepción y de sus fechas, si se identifica fidedignamente al remitente y al destinatario de la comunicación y siempre que se respeten las normas reguladoras de la distribución de competencias entre órganos administrativos.

Al margen de los requerimientos legales y reglamentarios la implantación de una interacción electrónica dentro de la propia Administración aparece recogida ya en el Plan Estratégico para la Calidad en el Gobierno de La Rioja como una acción concreta a realizar para el desarrollo de la Administración Telemática, señalando que las acciones a desarrollar irían encaminadas primero al intercambio de documentación en la dirección Administración -Administración.

Para la implementación de estos mandatos desde la Consejería de Administración Pública y Hacienda se realizan dos proyectos, uno dirigido a posibilitar las comunicaciones con los ciudadanos a través de las notificaciones electrónicas, que contribuirá, entre otros aspectos, a reducir los tiempos de tramitación, y un segundo proyecto destinado a permitir las comunicaciones internas de forma electrónica, reduciendo los tiempos por desplazamiento entre las sedes de los diferentes órganos, organismos u otros entes integrantes del sector público de la Comunidad Autónoma de La Rioja.

Por otra parte la posibilidad recogida en el artículo 27.6 de la precitada Ley de que reglamentariamente las Administraciones Públicas establezcan la obligatoriedad de comunicarse con ellas utilizando sólo medios electrónicos cuando los interesados se correspondan con colectivos de personas físicas que tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos, permite otro avance en la implantación de la administración electrónica y mediante esta norma se establece la obligatoriedad, en la Administración General, de la utilización de una aplicación informática en la tramitación de determinados procedimientos relativos a personal.

Se procede en este texto a la modificación del Decreto 8/2012, de 24 de enero, que aprueba el Reglamento Orgánico y Funcional del Consejo Consultivo de La Rioja, en concreto se introduce un nuevo párrafo al artículo 40 que permitirá que las consultas a dicho órgano puedan ser remitidas por medios electrónicos.

Por todo ello, el Consejo de Gobierno a propuesta de la Consejera de Administración Pública y Hacienda, conforme con el Consejo Consultivo de La Rioja y previa deliberación de sus miembros, en su reunión celebrada el día, 14 de diciembre de 2012 acuerda aprobar el siguiente,

Decreto:

Artículo 1º.- Objeto y ámbito de aplicación.

1. El presente Decreto tiene por objeto regular las comunicaciones y notificaciones electrónicas con los ciudadanos, así como las comunicaciones entre los diferentes órganos y unidades del sector público de de la Comunidad Autónoma de La Rioja y de éste con otras administraciones.

2. Las previsiones de este Decreto serán de aplicación:

a) A los ciudadanos cuando se relacionan con las entidades referidas en el apartado siguiente.

b) A los órganos y unidades de la Administración General de la Comunidad Autónoma de La Rioja así como a los Organismos Públicos que dependan de la misma y a otros entes instrumentales de su sector público salvo en el desarrollo de sus actuaciones regidas por derecho privado.

c) A las comunicaciones que puedan tener lugar con otras Administraciones Públicas.

Artículo 2º.- Comunicaciones electrónicas con los ciudadanos.

1. De conformidad con lo dispuesto en el artículo 27.1 de la Ley 11/2007, de 22 de junio, los ciudadanos podrán elegir en todo momento la manera de comunicarse con la Administración Pública de la Comunidad Autónoma de La Rioja y sus organismos públicos dependientes, sea o no por medios electrónicos, excepto en aquellos casos en los que de una norma con rango de Ley se establezca o infiera la utilización de un medio no electrónico. La opción de comunicarse por unos u otros medios no vincula al ciudadano, que podrá, en cualquier momento, optar por un medio distinto del inicialmente elegido. Esta modificación tendrá efectos a partir del día siguiente a su recepción en el registro competente.

2. Los entes públicos incluidos en el ámbito de aplicación del presente Decreto utilizarán medios electrónicos en sus comunicaciones con los ciudadanos siempre que así lo hayan solicitado o consentido expresamente. La solicitud y el consentimiento podrán, en todo caso, emitirse y recabarse por medios electrónicos. Los medios electrónicos disponibles en cada supuesto se publicarán en el Boletín Oficial de La Rioja y en la sede electrónica.

3. Las comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la transmisión y recepción, de sus fechas, del contenido íntegro de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas.

4. Reglamentariamente, podrá establecerse la obligación de que las comunicaciones se realicen utilizando únicamente medios electrónicos, cuando las personas interesadas sean personas jurídicas o colectivos de personas físicas que, por razón de su capacidad económica o técnica, actividad profesional u otros motivos acreditados, tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos.
En la norma que establezca dicha obligación se especificarán las comunicaciones a las que se aplica, las personas obligadas y el medio electrónico de que se trate.

Artículo 3º.- Comunicaciones internas.

1 Son comunicaciones internas, a los efectos de este Decreto, las que se producen entre órganos y unidades de una misma Consejería o Consejerías entre sí y de todos éstos con Organismos Públicos y otros entes integrantes del sector público de la Comunidad Autónoma de La Rioja y entre estos.

2. Las comunicaciones internas que precisen constancia de la transmisión y recepción, de sus fechas y de la identificación fidedigna de remitente y destinatario deberán realizarse utilizando la aplicación informática específica de comunicaciones, accesible desde la Sede electrónica del Gobierno de La Rioja.

3. El correo electrónico corporativo se utilizará en las comunicaciones que no precisen dejar constancia de los extremos señalados en el apartado anterior.

4. Las aplicaciones informáticas de gestión mantendrán sus propios sistemas de comunicación y registro de las tareas realizadas de forma interna siempre que permitan la constancia e identificación previstas en el apartado 2.

Artículo 4º.- Comunicaciones Interadministrativas.

1. Los órganos de la Administración General de la Comunidad Autónoma de La Rioja, sus organismos públicos y entidades de derecho público, cuando los medios técnicos lo permitan, utilizarán preferentemente medios electrónicos en las comunicaciones con otras Administraciones Públicas y adoptarán las medidas necesarias para garantizar las condiciones de dichas comunicaciones suscribiendo, a tal efecto, los convenios necesarios.

2. La aplicación informática especifica de comunicaciones desarrollada por el Gobierno de La Rioja podrá ser extensible a las comunicaciones con otras instituciones públicas del ámbito de la Comunidad Autónoma de La Rioja no integradas en su sector público a través de los correspondientes acuerdos o convenios.

Artículo 5º.- Notificaciones electrónicas.

1. Las notificaciones se realizarán por medios electrónicos cuando la persona interesada lo haya señalado como medio preferente o lo haya consentido, sin perjuicio de lo dispuesto en el artículo 2.4 de este Decreto. Tanto la solicitud para señalar la preferencia en el uso de medios electrónicos como el consentimiento a que se le notifique electrónicamente podrán emitirse y recabarse por medios electrónicos.

2.- El sistema de notificación permitirá acreditar la fecha y hora en que se produzca la puesta a disposición del interesado del acto objeto de notificación, así como la de acceso a su contenido, momento a partir del cual la notificación se entenderá practicada a todos los efectos legales. Cuando exista constancia de la puesta a disposición y transcurran diez días naturales sin acceder a su contenido, se entenderá que la notificación ha sido rechazada con los efectos previstos en el artículo 59.4 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común salvo que de oficio o a instancia del destinatario se compruebe la imposibilidad técnica o material del acceso.

3. En la medida que existan varias formas de notificación electrónica disponibles, la persona interesada podrá elegir entre ellas, salvo que una norma imponga un tipo de notificación específica.

Artículo 6º.- Práctica de las notificaciones por medios electrónicos.

1. Los entes públicos incluidos en el ámbito de aplicación del presente Decreto practicarán las notificaciones electrónicas mediante el acceso de la persona interesada, previa su identificación, a una dirección electrónica habilitada en la sede electrónica que acreditará los extremos señalados en el artículo anterior. Se podrá avisar al interesado, por cualquier medio electrónico, de la existencia de notificaciones en la dirección electrónica. Este aviso tendrá valor informativo, sin que su omisión afecte a la corrección de la notificación.

2. Igualmente producirá los efectos propios de la notificación por comparecencia el acceso electrónico por los interesados al contenido de las actuaciones administrativas correspondientes, siempre que se cumplan las siguientes condiciones:

a) Con carácter previo al acceso a su contenido, el interesado deberá visualizar un aviso del carácter de notificación de la actuación administrativa que tendrá dicho acceso.

b) El sistema de información correspondiente dejará constancia de dicho acceso con indicación de fecha y hora.

3. Se podrán utilizar otros sistemas de notificación, siempre que quede constancia de la recepción por el interesado en el plazo y en las condiciones que se establezcan en su regulación específica.

Artículo 7º.- Competencia y requisitos formales.

1. La gestión electrónica de la actividad administrativa propia de las comunicaciones y notificaciones electrónicas respetará la titularidad y el ejercicio de la competencia atribuida y el cumplimiento de los requisitos formales y materiales establecidos en las normas que regulen la correspondiente actividad.

2. En las aplicaciones informáticas de gestión así como en la aplicación específica de comunicaciones la firma de aquellos documentos que precisen constancia de la identidad del firmante, la autenticidad e integridad del documento se realizará utilizando sistemas de portafirmas electrónico.

DISPOSICIONES ADICIONALES

Disposición adicional primera. Procedimientos relativos al personal.

1. En la realización de los trámites inherentes a los procedimientos relativos a vacaciones, permisos y licencias recogidos en los Acuerdos-Convenios vigentes en cada momento para el personal funcionario y laboral al servicio del Sector Público de la Comunidad Autónoma de La Rioja se observará lo siguiente:

a) La tramitación de los procedimientos anteriormente referidos por los órganos y unidades de la Administración General, se efectuará a través de la aplicación informática específica de comunicaciones siempre que el personal afectado disponga de los medios informáticos necesarios en su puesto de trabajo. En el supuesto de no disponer de dichos medíos la tramitación se efectuará de la misma forma que se viene realizando.

b) Los Organismos Públicos y demás entes incluidos en el ámbito de aplicación de este Decreto podrán continuar su tramitación en la forma que lo vienen realizando hasta ahora. En el caso de que dichos organismos y entes deseen incorporar medios electrónicos en la tramitación de estos procedimientos deberán utilizar la aplicación informática de comunicaciones a que se refiere el apartado anterior.

Disposición adicional segunda procedimientos especiales.

Lo dispuesto en este Decreto se entiende sin perjuicio de la regulación específica establecida por las normas especiales en materia tributaria y de contratación pública.

Disposición adicional tercera. Futuras aplicaciones informáticas específicas de gestión de procedimientos.

Para las comunicaciones recogidas en el artículo 3 de este Decreto el uso de la aplicación informática específica de comunicaciones será de aplicación en tanto no tenga lugar el desarrollo de aplicaciones informáticas específicas de gestión de los procedimientos incluidos en su ámbito de aplicación.

DISPOSICIÓN DEROGATORIA

Disposición derogatoria única.

Queda derogada expresamente la Disposición Adicional Segunda del Decreto 58/2004, de 29 de octubre, por el que se regula el registro en el ámbito de la Administración General de la Comunidad Autónoma de La Rioja y sus organismos públicos y cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en el presente Decreto.

DISPOSICIONES FINALES

Disposición final primera. Modificación del Decreto 8/2002, de 24 de enero, que aprueba el Reglamento Orgánico y Funcional del Consejo Consultivo de La Rioja.

Se introduce un nuevo párrafo 4 en el artículo 40 del Reglamento Orgánico y Funcional del Consejo Consultivo de La Rioja, aprobado por Decreto 8/2002, de 24 de enero, con la siguiente redacción:

“4. Las consultas podrán ser remitidas por medios electrónicos de acuerdo con el sistema electrónico que a tal efecto se implante. En todo caso, el sistema deberá permitir que la consulta se remita en los términos ordenados por el apartado 2 de este artículo, y deberá contar con las debidas herramientas de autenticación documental, fehaciencia de la consulta formulada por el órgano administrativo solicitante y firma electrónica. En este caso, no será preciso enviar el expediente por duplicado.”

Disposición final segunda. Habilitación.

Se faculta a la titular de la Consejería con competencia en materia de administración pública para dictar las disposiciones necesarias para el desarrollo del presente Decreto.

Disposición final tercera. Efectividad del uso de la aplicación específica de comunicaciones.

La utilización del aplicativo informático específico de comunicaciones, tanto para las comunicaciones internas como para los procedimientos relativos al personal, por los órganos y unidades de la Consejería de Administración Pública y Hacienda será obligatoria desde la entrada en vigor de este Decreto, y para el resto de Consejerías, organismos y entes incluidos en su ámbito de aplicación desde el 1 de marzo de 2013.

Disposición final cuarta. Uso del sistema notificaciones electrónicas.

La práctica de las notificaciones electrónicas por los entes públicos incluidos en el ámbito de aplicación de este Decreto a través del sistema establecido en su artículo 6.1 se hará efectiva a medida que sus aplicaciones informáticas lo vayan permitiendo, haciéndose público en la Sede electrónica.

Disposición final quinta. Entrada en vigor.

El presente Decreto entrará en vigor el día siguiente de su publicación en el Boletín Oficial de La Rioja. 

LA PRESIDENTA DE LA REPÚBLICA Y EL MINISTRO DE JUSTICIA Y PAZ

Con fundamento en los artículos 24 y 140 incisos 3), 8) y 18) de la Constitución Política; el Transitorio III de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, nº 8968 del 7 de julio del 2011 y el artículo 28 inciso 2) acápite b) de la Ley General de la Administración Pública.

Considerando:

1º.- Que el Estado democrático y constitucional de derecho costarricense está comprometido en garantizar a cualquier persona, el respeto a sus derechos fundamentales.

2º.- Que en actualidad las tecnologías de la información y de la comunicación han hecho posible que las personas puedan acceder a condiciones para interactuar en una gran cantidad de escenarios, y por ende incursionar en medios o plataformas tecnológicas que pueden contener información personal y en consecuencia se ha transformado profundamente la forma en que la humanidad crea y distribuye sus conocimientos, lo que a su vez genera un riesgo a su intimidad o actividad privada.

3º.- Que en razón del riesgo a la intimidad o actividad privada del individuo, deviene necesario velar por la defensa de la libertad e igualdad del mismo con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona, cuando estos figuren en bases de datos de organismos públicos o privados.

4º.- Que mediante Ley nº 8968 del 7 de julio del 2011, se promulgó la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, siendo que la misma en su Transitorio III impone al Poder Ejecutivo emitir la debida reglamentación.

5º.- Que dado lo anterior, mediante Acuerdo Ejecutivo nº 212-MJP de fecha 22 de noviembre de 2011, publicado en el Diario Oficial La Gaceta nº 11 del 16 de enero de 2012, el Poder Ejecutivo conformó una Comisión Interinstitucional asignándole la responsabilidad de redactar el Reglamento a la citada Ley.

6º.- Que la Agencia de Protección de Datos de los Habitantes quedó conformada e integrada según lo dispone el Transitorio III de la Ley 8968, siendo que la Agencia participó en las sesiones de la Comisión y emitió sus recomendaciones técnicas, las cuales fueron analizadas e incorporadas, cuando así se consideró oportuno.

7º.- Que de conformidad con el numeral 361 de la Ley General de la Administración Pública el proyecto de Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, salió a consulta pública mediante aviso divulgado en el Diario Oficial La Gaceta, de fecha 24 de agosto de 2012, Alcance 119, con plazo de recepción de observaciones de 10 días hábiles, que transcurrieron del 27 de agosto al 11 de setiembre, ambas fechas del 2012.

8º.- Que para la atención de las observaciones se habilitó un blog en la página Web del Ministerio de Justicia y Paz, así como se recibieron documentos físicos y digitales. Todas las observaciones, comentarios y sugerencias recibidas dentro del plazo establecido, fueron debidamente estudiados por la Comisión Redactora instaurada para ese efecto. Realizado el análisis correspondiente, se arribó al presente texto de Reglamento.

Por tanto,

DECRETAN:

Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales

Capítulo I.- Disposiciones Generales

Artículo 1. Objeto.

Las presentes disposiciones tienen por objeto reglamentar la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, en cuanto a garantizar a cualquier individuo, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su intimidad o actividad privada, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

Artículo 2. Definiciones, siglas y acrónimos.

Además de las definiciones establecidas en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, para los efectos del presente Reglamento se entenderá por:

a) Agencia o PRODHAB: Agencia de Protección de Datos de los Habitantes.

b) Base de datos: Cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales públicos o privados, que sean objeto de tratamiento, automatizado o manual, en el sitio o en la nube, bajo control o dirección de un responsable, cualquiera que sea la modalidad de su elaboración, organización o acceso.

c) Base de datos interna, personal o doméstica: Cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales públicos o privados, mantenidos por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando éstas no sean venidas o administradas con fines de distribución, difusión o comercialización.

d) Bases de datos de acceso público: Aquellos ficheros, archivos, registro u otro conjunto estructura de datos que pueden ser consultados por cualquier persona que no estén impedidos por una norma limitativa, o sin más exigencia que el pago de una contraprestación.

e) Comercializar: Vender, transar, intercambiar o de cualquier manera enajenar o pignorar, con fines de lucro a favor de un tercero, una o más veces, aquellos datos personales que consten en bases de datos.

f) Consentimiento del titular de los datos personales: Toda manifestación de voluntad, expresa, libre, inequívoca, informada y específica que se otorgue por escrito, para un fin determinado, mediante la cual el titular de los datos personales o su representante, consienta el tratamiento de sus datos personales.

g) Consulta: Solicitud realizada a una base de datos, en la que se requiere información concreta en función de criterios de búsqueda definidos, siempre que dicha solicitud no resulte en una trasbase o réplica de la base de datos.

h) Contrato global: Acuerdo de voluntades mediante el cual las partes manifiestan o expresan su consentimiento, sea de manera física o electrónica, y que tiene por objeto el servicio de un conjunto de consultas realizadas por un mismo solicitante a una base de datos que contenga datos personales, mediante el pacto de una remuneración pecuniaria en atención al volumen.

i) Datos en la nube: Archivo, fichero, registro u otro conjunto estructurado de datos a los cuales se accesa haciendo uso de Internet.

j) Distribución, difusión: Cualquier forma en la que se repartan o publiquen datos personales, a un tercero, por cualquier medio.

k) Encargado: Toda persona física o jurídica, entidad pública o privada, o cualquier otro organismo que da tratamiento a los datos personales por cuenta del responsable de la base de datos.

l) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma, fin o modalidad de su creación, almacenamiento, organización y acceso.

m) Garantía de confidencialidad: Obligación de toda persona física o jurídica, pública o privada, que tenga participación en el tratamiento o almacenamiento de datos personales, de cumplir con el deber de confidencialidad que exige la Ley.

n) Intermediario tecnológico o proveedor de servicios: Persona física o jurídica, pública o privada que brinde servicios de infraestructura, plataforma, software u otros servicios, sin realizar tratamiento de datos personales.

o) Investigación científica: Proceso de aplicación de un método científico que procura obtener información relevante y fidedigna para entender, verificar, corregir o aplicar datos, entre ellos personales de carácter no sensible o que siendo sensibles no sean identificables, con la finalidad de obtener conocimientos y solucionar problemas científicos, filosóficos o empíricotécnicos.

p) Ley: Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, número 8968.

q) Persona física identificable: Persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad anatómica, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.

r) Procedimiento de desasociación: Acción y efecto de disociar los datos personales, de modo que la información que se obtenga no pueda asociarse o vincularse a persona determinada o determinable.

s) Responsable: Toda persona física o jurídica, pública o privada, que administre o, gerencia o, se encargue o, sea propietario, de una o más bases de datos públicas o privadas, competente con arreglo a la Ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento les aplicarán.

t) Superusuario: Perfil de ingreso que cuenta con acceso para consultar la base de datos, de forma inmediata, actualizada y sin restricción alguna.

u) Supresión o eliminación: Procedimiento en virtud del cual el responsable o el encargado de la base de datos, borra o destruye total o parcialmente de manera definitiva, los datos personales del titular, de su base de datos.

v) Titular o interesado: Persona física dueña de los datos personales tutelados en la Ley, o su representante.

w) Transferencia de datos personales: Acción mediante la cual se trasladan datos personales, a un responsable de Base de Datos Personales o un tercero.

x) Tratamiento de datos: Cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión, distribución o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

y) Tratamiento de datos automatizado: Cualquier operación, conjunto de operaciones o procedimientos, aplicados a datos personales, efectuados mediante la utilización de hardware, software, redes, servicios, aplicaciones, en el sitio o en la nube, o cualquier otra tecnología de la información que permitan la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión, distribución o cualquier otra forma que facilite el acceso a estos, el cotejo, o la interconexión, así como su bloqueo, supresión o destrucción, intercambio o digitalización de datos personales, entre otros.

Artículo 3. Ámbito de aplicación.

Este Reglamento será de aplicación a los datos personales que figuren en las bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos, en tanto surtan efectos dentro del territorio nacional, o les resulte aplicable la legislación costarricense derivada de la celebración de un contrato o en los términos del derecho internacional.

El régimen de protección de los datos de carácter personal que se establece en este Reglamento, no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas, públicas o privadas, con fines exclusivamente internos, personales o domésticos, siempre y cuando éstas no sean de cualquier manera comercializadas.

No será de aplicación este Reglamento a los datos referentes al comportamiento crediticio que se regirán por la normativa especial del Sistema Financiero Nacional.

Capítulo II.- Del Consentimiento

Artículo 4. Requisitos del Consentimiento.

La obtención del consentimiento deberá ser:

a) Libre: no debe mediar error, mala fe, violencia física o psicológica o dolo, que puedan afectar la manifestación de voluntad del titular;

b) Específico: referido a una o varias finalidades determinadas y definidas que justifiquen el tratamiento;

c) Informado: que el titular tenga conocimiento previo al tratamiento, a qué serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento. Asimismo, de saber quién es el responsable que interviene en el tratamiento de sus datos personales, y su lugar o medio de contacto;

d) Expreso: debe ser escrito e inequívoco, de forma tal que pueda demostrarse de manera indubitable su otorgamiento.

e) Individualizado: debe existir mínimo un otorgamiento del consentimiento por parte de cada titular de los datos personales.

Artículo 5. Formalidades del consentimiento.

Quien recopile datos personales deberá, en todos los casos, obtener el consentimiento expreso del titular para el tratamiento de datos personales, con las excepciones establecidas en la Ley.

El consentimiento deberá ser otorgado por el titular, en un documento físico o electrónico, de forma independiente de cualquier otro documento, y deberá ser debidamente resguardado por el responsable de la base de datos.

De igual manera, el documento por medio del cual el autorizante de los datos personales extiende su consentimiento, debe ser de fácil comprensión, gratuito y debidamente identificado.

No será necesario el consentimiento expreso cuando:

a) Exista orden fundamentada, dictada por autoridad judicial competente o acuerdo adoptado por una comisión especial de investigación de la Asamblea Legislativa en el ejercicio de su cargo.

b) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.

c) Los datos deban ser entregados por disposición constitucional o legal.

Artículo 6. Carga de la prueba del consentimiento.

Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable de la base de datos.

Artículo 7. De la revocación.

En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos expeditos, sencillos y gratuitos, que permitan al titular revocar su consentimiento.

Artículo 8. Trámite de la revocación.

El responsable de la base de datos, ante la presentación de la solicitud de revocación del consentimiento, contará con un plazo de cinco días hábiles a partir del recibido de la misma, para proceder conforme a la revocación.

Asimismo, dentro del mismo plazo de cinco días hábiles, deberá informarles de dicha revocación a aquellas personas físicas o jurídicas a quienes haya transferido los datos, mismas que deberán proceder en un plazo de cinco días hábiles a partir de la notificación a ejecutar la revocación del consentimiento.

La revocación del consentimiento no tendrá efecto retroactivo.

Artículo 9. Plazo para la confirmación de la revocación.

Cuando el titular solicite la confirmación del cese del tratamiento de sus datos, el responsable deberá responder en forma gratuita, expresamente en el plazo de tres días hábiles, a partir de la presentación de dicha solicitud.

Artículo 10. Negativa a la revocación.

En caso de negativa, expresa o tácita, por parte del responsable, a tramitar la revocación del consentimiento, el titular podrá presentar ante la Agencia la denuncia correspondiente a que refiere la Ley y este Reglamento.

Artículo 11. Derecho al olvido.

La conservación de los datos personales, que puedan afectar a su titular, no deberá exceder el plazo diez años, desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que establezca otro plazo o porque el acuerdo de las partes haya establecido un plazo menor. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados los datos personales de su titular.

Capítulo III.- De los Derechos de los Titulares y su Ejercicio

Artículo 12. Autodeterminación informativa.

Es el derecho fundamental de toda persona física, a conocer lo que conste sobre ella, sus bienes o derechos en cualquier base de datos, de toda naturaleza, pública o privada, el fin para el cual está siendo utilizada o recabada su información personal, así como exigir que sea rectificada, actualizada, complementada o suprimida, cuando la misma sea incorrecta o inexacta, o esté siendo empleada para un fin distinto del autorizado o del que legítimamente puede cumplir.

Artículo 13. Ejercicio de los derechos.

El ejercicio de cualquiera de los derechos de acceso, rectificación, modificación, revocación o eliminación de los datos personales por parte del titular, no excluye la posibilidad de ejercer unos u otros, ni puede constituir requisito previo para el ejercicio de cualquiera de estos derechos.

Artículo 14. Restricciones al ejercicio de los derechos.

El ejercicio de los derechos mencionados en el artículo anterior, podrá restringirse por razones de seguridad nacional, disposiciones de orden público y salud pública o para proteger los derechos de terceras personas, en los casos y con los alcances previstos en las leyes aplicables en la materia, mediante resolución de la autoridad competente debidamente fundamentada y motivada.

Artículo 15. Personas facultadas para el ejercicio de los derechos.

Los derechos de acceso, rectificación, modificación, revocación o eliminación, se ejercerán por el titular o su representante, previa acreditación de la titularidad o de la representación.

Artículo 16. Medios y formas para el ejercicio de los derechos.

El responsable, deberá poner a disposición del titular, los medios y formas simplificados de comunicación electrónica u otros que considere pertinentes para facilitar a los titulares el ejercicio de sus derechos.

Artículo 17. Medio para recibir notificaciones del titular.

En la solicitud de acceso, rectificación, modificación, revocación o eliminación, para los efectos de la Ley y el presente Reglamento, se deberá indicar medio para recibir notificaciones.

En caso de no cumplir con este requisito, opera la notificación automática señalada en la Ley de Notificaciones Judiciales, Ley nº 8687, del 4 del diciembre del 2008, publicado en La Gaceta nº 20 del 29 de enero de 2009, y sus reformas.

Artículo 18. De las solicitudes del titular hacia el responsable.

El responsable, deberá dar trámite a toda solicitud para el ejercicio de los derechos personales del titular. El plazo para que se atienda la solicitud será de cinco días hábiles, contados a partir del día siguiente en que la misma haya sido recibida por el responsable, en cuyo caso éste anotará en el acuse de recibo que entregue al titular, la correspondiente fecha de recepción.

El plazo señalado se interrumpirá en caso de que el responsable requiera información adicional al titular.

Artículo 19. Requerimiento de información adicional.

En el caso de que la información proporcionada en la solicitud sea insuficiente o errónea para atenderla, el responsable podrá requerir al titular, por una vez y dentro de los cinco días hábiles siguientes a la recepción de la solicitud, que aporte los elementos o documentos necesarios para dar trámite a la misma. El titular contará con un plazo de cinco días hábiles, contados a partir del día siguiente de su recepción, para atender el requerimiento.

De no dar respuesta en dicho plazo, se tendrá por no presentada la solicitud correspondiente. En caso de que el titular, atienda el requerimiento de información, el plazo para que el responsable dé respuesta a la solicitud,será de cinco días hábiles, que empezarán a correr el día siguiente de que el titular, haya atendido el requerimiento.

Artículo 20. Respuesta por parte del responsable.

En todos los casos, el responsable deberá dar respuesta a las solicitudes que reciba del titular, con independencia de que figuren o no datos personales de éste en sus bases de datos, de conformidad con el plazo establecido en la Ley y este Reglamento.

La respuesta del responsable al titular, deberá referirse sobre la totalidad del registro perteneciente al titular, aún cuando el requerimiento solo comprenda un aspecto de los datos personales, y deberá presentarse en un formato legible, comprensible y de fácil acceso. En caso de uso de códigos, siglas o claves se deberán proporcionar los significados correspondientes.

Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aún cuando se vinculen con el titular solicitante.

Artículo 21. Derecho de acceso a la información.

El titular tiene derecho a obtener del responsable, la información relacionada con sus datos personales, entre ellos lo relativo a las condiciones, finalidad y generalidades de su tratamiento.

Podrá realizar las consultas de información a la base de datos, con un intervalo mínimo de seis meses, salvo que de manera fundamentada el titular exprese al responsable de la base de datos sus motivos y pruebas, por los cuales considera existe una vulneración de sus derechos protegidos en la Ley y el presente Reglamento. En caso de que el responsable de la base de datos considere que los motivos no son de recibo y existiera la posibilidad de un uso abusivo de ese derecho, dentro de los cinco días hábiles siguientes a la solicitud, elevará el asunto ante la PRODHAB, quien resolverá en definitiva, dentro del plazo de diez días hábiles, a partir de la recepción de dicha gestión.

El responsable, deberá evacuar la consulta de información dentro del plazo de cinco días hábiles a partir de la recepción de la solicitud.

Artículo 22. Negativa por parte del responsable.

El responsable que niegue el ejercicio de cualquier gestión del titular, deberá justificar por escrito su respuesta. Si el titular lo considera pertinente, podrá acudir ante la Agencia conforme el Capítulo VII “De la Protección de Derechos ante la Agencia” de este Reglamento.

Artículo 23. Derecho de rectificación.

El titular podrá solicitar en todo momento al responsable, que rectifique sus datos personales que resulten ser inexactos, incompletos o confusos.

Artículo 24. Requisitos para el ejercicio del derecho de rectificación.

La solicitud de rectificación, deberá indicar a qué datos personales se refiere, así como la corrección que se solicita realizar y deberá ser acompañada de la documentación o prueba pertinente que ampare la procedencia de lo solicitado. El responsable, deberá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.

Artículo 25. Derecho de supresión o eliminación.

El titular podrá solicitar en cualquier momento al responsable, la supresión o eliminación total o parcial de los datos personales del titular, de manera definitiva.

Artículo 26. Ejercicio del derecho de supresión o eliminación.

El titular podrá solicitar en cualquier momento al responsable, la supresión o eliminación total o parcial de los datos personales, salvo en los siguientes casos:

a) La seguridad del Estado;

b) Los datos deban ser mantenidos por disposición constitucional, legal o resolución de órgano judicial;

c) La seguridad ciudadana y el ejercicio de la autoridad pública;

d) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones;

e) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas;

f) La adecuada prestación de servicios públicos;

g) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales;

h) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.

Capítulo IV.- Del Tratamiento de los Datos Personales y las Medidas de Seguridad

Artículo 27. Procedimientos para el tratamiento.

El responsable establecerá y documentará procedimientos para la inclusión, conservación, modificación, bloqueo y supresión de los datos personales, en el sitio o en la nube, con base en los protocolos mínimos de actuación y las medidas de seguridad en el tratamiento de los datos personales. Además deberá el responsable de la base de datos velar por la aplicación del principio de calidad de la información.

Artículo 28. Condiciones del tratamiento.

Corresponde al responsable o al encargado, la difusión, comercialización y distribución de dichos datos, según lo que determine el consentimiento informado otorgado por el titular, aún y cuando estos datos sean almacenados o alojados por un intermediario tecnológico.

Artículo 29. Contratación o subcontratación de servicios.

Se podrá contratar o subcontratar los servicios del intermediario tecnológico o proveedor de servicios, siempre y cuando no implique tratamiento de datos personales. El responsable deberá verificar que dicho intermediario o proveedor cumpla con las medidas de seguridad mínimas que garanticen la integridad y seguridad de los datos personales.

Artículo 30. Tratamiento de datos por parte del encargado.

El encargado solo podrá intervenir en el tratamiento de las bases de datos personales, según lo establecido en el contrato celebrado con el responsable y sus indicaciones.

Artículo 31. Obligaciones del encargado.

El encargado tendrá las siguientes obligaciones en el tratamiento de las bases de datos personales:

a) Tratar únicamente los datos personales conforme a las instrucciones del responsable;

b) Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;

c) Implementar las medidas de seguridad y cumplir con los protocolos mínimos de actuación conforme a la Ley, el presente Reglamento y las demás disposiciones aplicables;

d) Guardar confidencialidad respecto de los datos personales tratados;

e) Abstenerse de transferir o difundir los datos personales, salvo instrucciones expresas por parte del responsable.

f) Suprimir los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales.

Artículo 32. De los protocolos mínimos de actuación.

Los responsables deberán confeccionar un protocolo mínimo de actuación, el cual deberá ser transmitido al encargado para su fiel cumplimiento y donde al menos, se deberá especificar lo siguiente:

a) Elaborar políticas y manuales de privacidad obligatorios y exigibles al interior de la organización del responsable;

b) Poner en práctica un manual de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;

c) Establecer un procedimiento de control interno para el cumplimiento de las políticas de privacidad;

d) Instaurar procedimientos ágiles, expeditos y gratuitos para recibir y responder dudas y quejas de los titulares de los datos personales o sus representantes, así como para acceder, rectificar, modificar, bloquear o suprimir la información contenida en la base de datos y revocar su consentimiento.

e) Crear medidas y procedimientos técnicos que permitan mantener un historial de los datos personales durante su tratamiento.

f) Constituir un mecanismo en el cual el responsable transmitente, le comunica al responsable receptor, las condiciones en las que el titular consintió la recolección, la transferencia y el tratamiento de sus datos.

Estas medidas, así como sus posteriores modificaciones, deberán ser inscritas ante la Agencia como protocolos mínimos de actuación.

Artículo 33. Facultad de verificación.

La Agencia podrá verificar, en cualquier momento, que la base de datos esté cumpliendo con los términos establecidos en el protocolo mínimo de actuación.

Artículo 34. De las medidas de seguridad en el tratamiento de datos personales.

El responsable, deberá establecer y mantener las medidas de seguridad administrativas, físicas y lógicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Reglamento. Se entenderá por medidas de seguridad el control o grupo de controles para proteger los datos personales.

Asimismo, el responsable deberá velar porque el encargado de la base de datos y el intermediario tecnológico cumplan con dichas medidas de seguridad, para el resguardo de la información.

Artículo 35. Factores para determinar las medidas de seguridad.

El responsable determinará las medidas de seguridad, aplicables a los datos personales que trate o almacene, considerando los siguientes factores:

a) La sensibilidad de los datos personales tratados, en los casos que la ley lo permita;

b) El desarrollo tecnológico;

c) Las posibles consecuencias de una vulneración para los titulares de sus datos personales.

d) El número de titulares de datos personales;

e) Las vulnerabilidades previas ocurridas en los sistemas de tratamiento o almacenamiento;

f) El riesgo por el valor, cuantitativo o cualitativo, que pudieran tener los datos personales; y

g) Demás factores que resulten de otras leyes o regulación aplicable al responsable.

Artículo 36. Acciones para la seguridad de los datos personales.

A fin de establecer y mantener la seguridad física y lógica de los datos personales, el responsable deberá realizar al menos las siguientes acciones, las cuales podrán ser requeridas en cualquier momento por la Agencia:

a) Elaborar una descripción detallada del tipo de datos personales tratados o almacenados;

b) Crear y mantener actualizado un inventario de la infraestructura tecnológica, incluyendo los equipos y programas de cómputo y sus licencias;

c) Señalar el tipo de sistema, programa, método o proceso utilizado en el tratamiento o almacenamiento de los datos;

d) Contar con un análisis de riesgos, que consiste en identificar peligros y estimar los riesgos que podrían afectar los datos personales;

e) Establecer las medidas de seguridad aplicables a los datos personales, e identificar aquellas implementadas de manera efectiva;

f) Calcular el riesgo residual existente basado en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;

g) Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivados del resultado del cálculo del riesgo residual.

Artículo 37. Actualizaciones de las medidas de seguridad.

Los responsables deberán actualizar las medidas de seguridad cuando ocurran los siguientes eventos:

a) Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable;

b) Se produzcan modificaciones sustanciales en el tratamiento o almacenamiento, que deriven en un cambio del nivel de riesgo;

c) Se modifique la plataforma tecnológica;

d) Se vulneren los sistemas de tratamiento o almacenamiento de datos personales, de conformidad con lo dispuesto en la Ley y el presente Reglamento; o,

e) Exista una afectación a los datos personales, distinta a las anteriores.

En el caso de datos personales sensibles, cuando la ley lo permita, el responsable deberá revisar y, en su caso, actualizar las medidas de seguridad correspondientes, al menos una vez al año.

Artículo 38. Vulnerabilidad de seguridad.

El responsable deberá informar al titular sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, tales como pérdida, destrucción, extravío, entre otras, como consecuencia de una vulnerabilidad de la seguridad o que tuviere conocimiento del hecho, para lo cual tendrá cinco días hábiles a partir del momento en que ocurrió la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes.

Dentro de este mismo plazo deberá iniciar un proceso de revisión exhaustiva para determinar la magnitud de la afectación, y las medidas correctivas y preventivas que correspondan.

Artículo 39. Información mínima.

El responsable deberá informar al titular y a la Agencia, en caso de vulnerabilidades de seguridad, al menos lo siguiente:

a) La naturaleza del incidente;

b) Los datos personales comprometidos;

c) Las acciones correctivas realizadas de forma inmediata; y,

d) Los medios o el lugar, donde puede obtener más información al respecto.

Capítulo V.- De la Transferencia de Datos Personales

Artículo 40. Condiciones para la transferencia.

La transferencia implica la comercialización de datos personales por parte, única y exclusivamente, del responsable que transfiere al responsable receptor de los datos personales. Dicha transferencia de datos personales requerirá siempre del consentimiento expreso e informado del titular, salvo disposición legal en contrario, asimismo que los datos a transferir hayan sido recabados o recolectados de forma lícita y según los criterios que la Ley y el presente Reglamento disponen.

Toda venta de datos del fichero o de la base de datos, parcial o total, deberá reunir los requerimientos establecidos en el párrafo anterior.

Artículo 41. Cumplimiento de los protocolos mínimos de actuación.

Las transferencias de datos personales por parte de los responsables, estarán supeditadas al fiel cumplimiento de los protocolos mínimos de actuación, debidamente inscritos ante la Agencia.

Artículo 42. Carga de la prueba.

Para efectos de demostrar que la transferencia de datos personales se realizó conforme a la Ley y el presente Reglamento, la carga de la prueba recaerá en el responsable.

Artículo 43. Contrato para la transferencia de datos.

El responsable de la transferencia de datos personales deberá establecer un contrato con el responsable receptor, en el que se prevean, al menos las mismas obligaciones a las que se encuentra sujeto el responsable de la transferencia de dichos datos.

Capítulo VI.- De la Inscripción del Registro de Bases de Datos y Ficheros ante la Agencia

Artículo 44. Inscripción del registro de base de datos.

Las personas físicas o jurídicas propietarias de bases de datos personales, de conformidad con la Ley y este Reglamento, deberán inscribir ante la Agencia un registro de dichas bases de datos, proporcionando la siguiente información:

a) Solicitud del propietario físico o jurídico, debidamente autenticado notarialmente o confrontada la firma. En el caso de persona jurídica deberá presentarse personería jurídica vigente con máximo un mes de haber sido expedida;

b) Designación del responsable de la base de datos personales ante la Agencia y ante terceros, con indicación del medio y lugar de contacto. Así como carta de aceptación del cargo y las responsabilidades inherentes al mismo.

c) Identificación de los encargados, incluyendo sus datos de contacto, ubicación de los datos, y una copia certificada o confrontada del contrato firmado entre estos y el responsable;

d) Nombres de las bases de datos y su ubicación física;

e) Especificación de las finalidades y los usos previstos;

f) Tipos de datos personales sometidos a tratamiento en dichas bases de datos;

g) Procedimientos de obtención, según el consentimiento informado, de los datos personales, así como el sistema de tratamiento de éstos;

h) Descripción técnica de las medidas de seguridad que se utilizan en el tratamiento de los datos personales, según lo dispuesto en el presente Reglamento;

i) Los destinatarios de transferencias de los datos personales;

j) Copia certificada o confrontada de los protocolos mínimos de actuación;

k) Listado de los contratos globales y ventas de ficheros vigentes, así como indicación de la estimación pecuniaria de cada uno de esos contratos.

l) El superusuario que al efecto asignará el responsable a la Agencia.

m) Señalamiento de fax o correo electrónico para recibir notificaciones de la Agencia.

Asimismo, el responsable deberá mantener el registro de la base de datos, en todo momento, actualizados ante la Agencia, según lo establecido en el presente Reglamento.

Artículo 45. Superusuario.

El responsable deberá proporcionar a la Agencia un superusuario con perfil de consulta, aún cuando los datos estén siendo tratados por un encargado.

La creación y puesta en funcionamiento de este superusuario debe ser diseñada y financiada por el responsable de la base de datos personales y debe operar a partir de la inscripción del registro de la base de datos ante la Agencia.

La Agencia podrá en cualquier momento y de oficio consultar dicha base de datos sin restricción alguna, cuando exista denuncia presentada ante la Agencia o se tenga evidencia de un mal manejo de la base de datos o sistema de información. Para tales efectos, la Agencia deberá establecer lineamientos que garanticen el debido cumplimiento del secreto profesional o funcional, y para todos los casos llevar una bitácora en donde al menos se consignen el motivo, los accesos y consultas realizadas, así como el funcionario asignado que los realice.

Artículo 46. Constatación de posibles infracciones.

La Agencia podrá realizar inspecciones administrativas de oficio, con el fin de constatar si existen posibles infracciones a la Ley o a este Reglamento. En dicho caso el funcionario asignado deberá dejar constancia de la inspección mediante el levantamiento de un acta.

Artículo 47. Bases de datos manuales.

La Agencia podrá en cualquier momento y de oficio acceder a las bases de datos manuales sin restricción alguna, cuando exista denuncia presentada ante la Agencia o se tenga evidencia de un mal manejo de la base de datos o sistema de información. Para tales efectos, la Agencia deberá establecer lineamientos que garanticen el debido cumplimiento del secreto profesional o funcional, y para todos los casos llevar una bitácora en donde al menos se consignen el motivo, los accesos y consultas realizadas, así como el funcionario asignado que los realice.

Artículo 48. Procedimiento de inscripción.

Inicia con la presentación de la solicitud de inscripción del registro de la base de datos personales ante la Agencia. Dicha solicitud, deberá contener los requisitos exigidos en el presente Reglamento.

La Agencia contará con un plazo de veinte días hábiles, contados a partir de la presentación de la solicitud, para verificar los requisitos de forma y fondo presentados.

Artículo 49. Subsanación de defectos y archivo de la solicitud.

Si la solicitud de inscripción del registro de la base de datos presentada, no cumple con los requisitos exigidos por el presente Reglamento, la Agencia requerirá al solicitante que en el plazo de diez días hábiles subsane la omisión. Transcurrido el plazo máximo, sin que el solicitante haya cumplido con la información prevenida, se procederá al archivo de la misma, sin perjuicio que pueda presentarse una nueva solicitud.

Artículo 50. Del pago.

Cumplidos todos los requisitos de forma y fondo o subsanada la prevención, se otorgará al solicitante un plazo de diez días hábiles para que cancele el canon anual. De no realizarse el pago del canon en este plazo, se archivará la gestión sin perjuicio de que pueda presentarse una nueva solicitud.

Artículo 51. Resolución de inscripción.

El Director de la Agencia, dictará dentro del plazo de diez días hábiles siguientes a la recepción del pago del canon, la resolución de inscripción del registro de la base de datos.

La inscripción del registro de una base de datos ante la Agencia, no exime al responsable al cumplimiento y seguimiento del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias.

Artículo 52. Contenido de la resolución de inscripción.

En los casos en los que proceda la inscripción del registro de la base de datos ante la Agencia, deberá al menos, consignarse en la resolución de inscripción, la siguiente información:

a) El código asignado por la Agencia a la base de datos;

b) El nombre de la base de datos inscrita y la ubicación de los datos;

c) La identificación del responsable de la base de datos personales y su medio de contacto;

d) Identificación del encargado y su medio de contacto;

e) La categoría de los datos personales que contiene;

f) Los procedimientos de obtención de los datos;

g) Finalidad de tratamiento de los datos personales.

Artículo 53. Resolución de improcedencia.

El Director de la Agencia, dentro de los veinte días hábiles contados a partir de la presentación de la solicitud de inscripción, cuando del análisis de los requisitos se determine la improcedencia de la inscripción de la base de datos, según lo dispuesto en la Ley y el presente Reglamento, dictará resolución denegándola.

Artículo 54. Actualización y modificación de los datos inscritos del registro.

La información inscrita del registro de la base de datos, deberá mantenerse actualizada. Cualquier modificación a la información de inscripción, que afecte el contenido del registro de la base de datos, deberá ser comunicada por el responsable de la base de datos a la Agencia dentro del plazo de cinco días hábiles posteriores a la modificación o el cambio, a fin de proceder a su actualización.

Artículo 55. Cancelación de la inscripción del registro de las bases de datos.

Cuando el propietario o el responsable de la base de datos personales decida la cancelación del registro de la base de datos, deberá presentar una solicitud en tal sentido a la Agencia, indicando expresamente el destino de los datos personales o las previsiones para su eliminación, supresión o destrucción. La Agencia tendrá un mes para proceder con la cancelación de la inscripción del registro de la base de datos.

Artículo 56. Medios de impugnación.

Contra la resolución final al procedimiento de inscripción del registro de la base de datos, procede dentro del tercer día hábil a partir de la respectiva notificación del acto final, la interposición ante la Agencia de los Recursos ordinarios de Reconsideración y Apelación, siendo potestativo usar ambos recursos o uno solo de ellos, pero será inadmisible el que se interponga pasado dicho plazo.

Artículo 57. Plazo para resolver.

Los recursos interpuestos deberán ser resueltos, el de Reconsideración por la Agencia dentro de los ocho días hábiles posteriores a su presentación y en caso de haberse interpuesto Recurso de Apelación deberá remitir el mismo y el respectivo expediente al Ministro (a) de Justicia y Paz dentro de los siguientes tres días hábiles, a partir de la notificación de la Resolución del Recurso de Reconsideración. El Ministro de Justicia y Paz, deberá resolver el Recurso de apelación dentro del plazo de ocho días hábiles posteriores al recibo del expediente.

Capítulo VII.- De la Protección de Derechos ante la Agencia

Artículo 58. Inicio del procedimiento de Protección de Derechos.

Cualquier persona que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Agencia, que una base de datos pública o privada actúa en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa, establecidas por la Ley y el presente Reglamento.

Asimismo, la Agencia podrá de oficio iniciar un procedimiento tendiente a verificar si una base de datos, está siendo utilizada o no, conforme a la Ley y al presente Reglamento.

La Agencia en la tramitación del procedimiento de protección de datos, aplicará los principios establecidos en el Libro Segundo de la Ley General de la Administración Pública.

Artículo 59. Causales.

El procedimiento de protección de derechos procederá cuando:

a. Se recolecten datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada;

b. Se recolecten, almacenen y transmitan datos personales por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos;

c. Se recolecten, almacenen, transmitan o de cualquier otra forma empleen datos personales sin el consentimiento informado y expreso del titular de los datos;

d. Se transfieran datos personales a otras personas o empresas en contravención de las reglas establecidas en la Ley y el presente Reglamento;

e. Se recolecten, almacenen, transmitan o de cualquier otro modo empleen datos personales para una finalidad distinta de la autorizada por el titular de la información;

f. Se niegue injustificadamente a dar acceso a un titular sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a la Ley y este Reglamento;

g. Se niegue injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco;

h. Se recolecten, almacenen, transmitan o de cualquier otra forma empleen, por parte de personas físicas o jurídicas privadas datos sensibles, sin el consentimiento de su titular o sin ley o norma especial que lo autorice;

i. Se obtengan de los titulares o terceros, datos personales por medio de engaño, violencia, dolo, mala fé o amenaza;

j. Se revele información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la Ley:

k. Se proporcione a un tercero, información falsa o distinta contenida en un archivo de datos, con conocimiento de ello;

l. Se realice tratamiento de datos personales sin encontrarse debidamente inscrito ante la Agencia;

m. Se transfieran, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

n. Por otras causas que a juicio de la Agencia afecten los derechos del titular conforme a la Ley y al presente Reglamento.

Artículo 60. Requisitos de la denuncia.

La solicitud de protección de datos deberá contener lo siguiente:

a) Nombres, apellidos y calidades del titular o denunciante;

b) Nombre del dueño o responsable o de la base de datos o bien cualquier elemento que permita identificar al denunciado;

c) Hechos en que se funde la denuncia expuestos uno por uno, enumerados y bien especificados, en forma clara y precisa;

d) Copia de la solicitud del ejercicio de derechos que corresponda, así como copia de los documentos anexos para cada una de las partes, de ser el caso;

e) Documento en que conste la respuesta a su gestión, de ser el caso;

f) En el supuesto en que impugne la falta de respuesta, deberá acompañar una copia en la que conste el acuse o constancia de recepción de la solicitud del ejercicio de derechos;

g) Las pruebas documentales o pertinentes;

h) Pretensión que formule;

i) Señalamiento de medios para recibir notificaciones;

j) Cualquier otro documento que considere procedente someter a juicio de la Agencia.

Artículo 61. Acreditación de la documentación.

Si el titular no pudiera acreditar documentalmente que gestionó ante la base de datos, podrá acreditar ante la Agencia la gestión, mediante declaración jurada o acta notarial que haga constar el hecho.

Artículo 62. Subsanación, admisibilidad y archivo.

La Agencia podrá prevenir al titular para que en el plazo de diez días hábiles a partir del día siguiente a la recepción de la notificación, aclare y precise la información o documentación presentada, bajo la pena de inadmisibilidad de la denuncia y su consecuente archivo.

Artículo 63. Admisibilidad.

La Agencia deberá resolver sobre la admisibilidad de la solicitud de protección del derecho del titular, en un plazo de cinco días hábiles a partir de la recepción o subsanación de la denuncia.

Contra la resolución que resuelva sobre la admisibilidad de la solicitud, procede dentro del tercer día hábil a partir de la respectiva notificación, la interposición ante la Agencia de los Recursos ordinarios de Reconsideración y Apelación, siendo potestativo usar ambos recursos o uno solo de ellos, pero será inadmisible el que se interponga pasado dicho plazo.

Plazo para resolver. Los recursos interpuestos deberán ser resueltos, el de Reconsideración por la Agencia dentro de los ocho días hábiles posteriores a su presentación y en caso de haberse interpuesto Recurso de Apelación deberá remitir el mismo y el respectivo expediente al Ministro (a) de Justicia y Paz dentro de los siguientes tres días hábiles, a partir de la notificación de la Resolución del Recurso de Reconsideración. El Ministro de Justicia y Paz, deberá resolver el Recurso de apelación dentro del plazo de ocho días hábiles posteriores al recibo del expediente.

Artículo 64. Medidas cautelares.

En casos especiales, de manera excepcional, y en cualquier momento, la Agencia podrá disponer las medidas cautelares que estime necesarias para el cumplimiento de la protección de los derechos personales de un titular, respecto del tratamiento de sus datos, debiendo considerar especialmente el principio de proporcionalidad, los caracteres de instrumentalidad y provisionalidad, así como ponderar los eventuales daños y perjuicios que se provoquen con la medida a las partes.

A tal efecto, la Agencia dará audiencia por veinticuatro horas al responsable de la base de datos. Transcurrido dicho plazo, la Agencia deberá resolver sobre la medida, en un plazo máximo de tres días hábiles.

Artículo 65. Recurso contra la resolución que resuelve la medida cautelar.

Contra la resolución que resuelve la medida cautelar, cabrá únicamente el Recurso de Reconsideración ante la Agencia, que deberá interponerse dentro del plazo de veinticuatro horas a partir de la notificación. La Agencia deberá resolver el recurso dentro del plazo de tres días hábiles a partir de la interposición del recurso.

Artículo 66. Presupuestos de las medidas cautelares.

Para la aplicación de las respectivas medidas cautelares, la Agencia ponderará los intereses en juego y deberá constatar que se esté en presencia de los siguientes presupuestos:

a. Apariencia de buen derecho;

b. Daño inminente y de difícil reparación;

c. Ponderación de los intereses en juego, particularmente la no afectación al interés público.

Artículo 67. Traslado de cargos.

Admitida la denuncia la Agencia hará el traslado de cargos a quien corresponda, para que dentro del plazo de tres días hábiles, brinde informe sobre la veracidad de los cargos y aporte la prueba que estime pertinente.

Las manifestaciones realizadas se considerarán dadas bajo fe de juramento.

La omisión de rendir informe en el plazo estipulado hará que se tengan por ciertos los hechos acusados.

Artículo 68. Medios de prueba.

Los medios de prueba serán los siguientes:

a. Documental físico o electrónico;

b. El resultado de un estudio pericial;

c. Declaraciones juradas de los testigos, debidamente autenticadas;

Las pruebas de cargo y de descargo deberán ser presentadas junto con la denuncia o la contestación, según corresponda.

Artículo 69. Acto final.

La Agencia resolverá el procedimiento de protección de derechos en el plazo de un mes, a partir la firmeza de la resolución que resuelva sobre la admisibilidad de la denuncia.

Artículo 70. Fijación de sanciones.

La Agencia, en caso de que así correspondiere como resultado del procedimiento administrativo realizado, procederá a imponer las sanciones respectivas según éstas hayan sido determinadas como leves, graves o gravísimas, conforme lo dispone la Ley, lo anterior tomando en cuenta el hecho generador de la infracción, en el mismo acto final. En tal supuesto, se deberá enumerar las infracciones en las que incurrió el responsable, el monto que debe cancelar, el plazo para hacerlo y el número de cuenta que para el efecto designará la Agencia, a su vez cuando corresponda, el plazo para la modificación, suspensión o eliminación de los datos personales.

Además, la Agencia podrá imponer apercibimientos escritos a aquellas acciones u omisiones que atenten contra los derechos consagrados en la Ley y este Reglamento.

Artículo 71. Medios de impugnación.

Contra el acto final del procedimiento procede dentro del tercer día hábil a partir de la respectiva notificación, la interposición ante la Agencia de los Recursos ordinarios de Reconsideración y Apelación, siendo potestativo usar ambos recursos o uno solo de ellos, pero será inadmisible el que se interponga pasado dicho plazo.

Artículo 72. Plazo para resolver.

Los recursos interpuestos deberán ser resueltos, el de Reconsideración por la Agencia dentro de los ocho días hábiles posteriores a su presentación y en caso de haberse interpuesto Recurso de Apelación deberá remitir el mismo y el respectivo expediente al Ministro (a) de Justicia y Paz dentro de los siguientes tres días hábiles, a partir de la notificación de la Resolución del Recurso de Reconsideración. El Ministro de Justicia y Paz, deberá resolver el Recurso de apelación dentro del plazo de ocho días hábiles posteriores al recibo del expediente.

Capítulo VIII.- Del Procedimiento de Cobro

Artículo 73. Inicio del Procedimiento de Cobro Administrativo.

Cuando no se cancelen las sanciones pecuniarias impuestas o los cánones que correspondan, en el plazo dado por la Agencia en el acto final del procedimiento de protección de derechos o resolución al efecto, procederá el inicio del procedimiento de cobro.

Corresponderá al Área Administrativa de la Agencia, proceder a gestionar el cobro de dichos montos a los responsables.

La resolución inicial deberá contener al menos:

a) La indicación del expediente correspondiente.

b) La identificación de la entidad pública o privada, responsable de una base de datos personales, contra quien se procede a realizar el cobro.

c) Enumeración de las infracciones en las que se incurrió el responsable o en los cánones omitidos, según corresponda.

d) El monto que debe cancelar dentro del plazo de diez días hábiles, a partir de la notificación de la resolución inicial, y el número de cuenta que para el efecto designará la Agencia.

Artículo 74. Multas e intereses moratorios.

Cumplido el plazo dentro del cual el responsable debió cancelar la multa impuesta, empezarán a correr los intereses moratorios sobre las sumas sin pagar a tiempo, desde el momento en que debió satisfacerse la obligación, hasta la fecha de su efectivo pago, los cuales se fijarán según la resolución vigente que define la base de cálculo de la tasa de interés a cobrar sobre deudas a cargo del sujeto pasivo, emitida por la Dirección General de Hacienda, de conformidad con el Código de Normas y Procedimientos Tributarios.

Artículo 75. Criterio de oportunidad.

El Área Administrativa deberá actualizar cada mes de enero, el monto sobre el cual procederá la Declaratoria de Cuenta Incobrables para el cobro judicial, de conformidad con el análisis de costo beneficio de acuerdo con el Índice de Precios al Consumidor (IPC) del Banco Central de Costa Rica. Considerando al menos:

a. Examen de la magnitud de la deuda.

b. Existencia de bienes del deudor.

c. Bienes gravados en exceso.

d. Costo probable de la ejecución o bien de la interposición de las acciones judiciales.

e. Indicación de los obstáculos materiales con que se cuenta, tales como deudor no localizable, deudor sin actividades, entre otros.

El Área Administrativa en los casos que corresponda, declarará la incobrabilidad de la deuda, atendiendo al escaso beneficio de su cobro en relación con los costos en que debe de incurrirse para llevar adelante la gestión.

Artículo 76. Acto final del procedimiento de cobro.

Vencido el plazo otorgado para cancelar la deuda y sin que el pago se haya realizado en tiempo y forma, el Área Administrativa, previa aplicación del criterio de oportunidad, emitirá resolución trasladando al Área Jurídica de la Agencia, el expediente de cobro administrativo para que se proceda con el trámite del cobro judicial correspondiente.

Artículo 77. Arreglo de pago.

Procederá el arreglo de pago en toda gestión de cobro administrativo o judicial, en que el responsable en su condición de deudor, lo solicite ante el Área Administrativa, siempre que se cuente con las garantías y demás condiciones que así se requieran para el caso en particular.

Procederá el arreglo de pago, en el tanto se cumplan los siguientes requisitos:

a) Cancelar las costas procesales y personales irrogadas en relación con la prosecución del juicio, en caso de que las hubiere.

b) Constituir una garantía suficiente a juicio del Área Administrativa, según corresponda, que cubra el monto adeudado, más los intereses y mora vencidos.

En ningún caso se podrá condonar capital, intereses o mora.

Capítulo IX.- Del Pago de los Cánones

Artículo 78. Canon anual de regulación y administración de bases de datos.

De conformidad con la Ley, todas las bases de datos, públicas o privadas, con fines de distribución, difusión o comercialización, deben inscribirse ante la Agencia, y por ende cancelar ante ésta, la suma de doscientos dólares moneda de curso legal de los Estados Unidos de América (USD $200,00), al tipo de cambio mayor de referencia de venta del Banco Central de Costa Rica del día en que se realice el pago. Dicho monto corresponde al canon anual de regulación y administración de las bases de datos.

Artículo 79. Plazo para el pago.

El plazo para el pago del canon anual será del 1º al 31º enero de cada año.

Los responsables de las bases de datos inscribibles, deberán depositar en la cuenta bancaria que la Agencia determine el monto correspondiente al canon anual.

Artículo 80. Pago proporcional.

Cuando el tratamiento de los datos personales, inicie posterior a la fecha del pago del canon anual de regulación y administración de bases de datos, el responsable, deberá pagar de manera proporcional el monto que le corresponda de los doscientos dólares moneda de curso legal de los Estados Unidos de América (USD $200,00).

El plazo para el pago del canon anual en estos casos, será de un mes calendario a partir de la fecha de inicio del tratamiento de los datos personales o de la fecha de inscripción de la base de datos ante la Agencia, la primera que sea fehacientemente verificable.

Artículo 81. Canon por venta de datos del fichero.

El responsable deberá depositar en la cuenta bancaria que la Agencia determine, la suma de un dólar moneda de curso legal de los Estados Unidos de América (USD $1,00), al tipo de cambio mayor de referencia de venta del Banco Central de Costa Rica del día en que se realice la venta, por concepto de canon por cada venta de datos del fichero que corresponda a una persona, identificada o identificable, que se encuentre registrada en una base de datos de forma legítima.

El pago de este canon deberá realizarse a favor de la Agencia, dentro de los primeros diez días hábiles, del mes siguiente en que se realizó la venta de datos de cada fichero.

Artículo 82. Contratos globales.

El responsable que realice contratos globales, ya sean de bajo, medio o alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicación, deberá pagar el canon correspondiente conforme al siguiente detalle:

a) Bajo consumo de consultas: desde una y hasta quinientas mil consultas, el 10% del precio contractual;

b) Medio consumo de consultas: desde quinientas un mil y hasta novecientas noventa y nueve mil consultas, el 7.5% del precio contractual;

c) Alto consumo de consultas: desde un millón de consultas y en adelante, el 5% del precio contractual.

El pago de este canon deberá realizarse a favor de la Agencia, dentro de los primeros diez días hábiles del mes siguiente a la firma del contrato global.

Artículo 83. Canon e intereses moratorios.

Cumplido el plazo dentro del cual el responsable debió cancelar el canon correspondiente, empezarán a correr los intereses moratorios sobre las sumas sin pagar a tiempo, desde el momento en que debió satisfacerse la obligación, hasta la fecha de su efectivo pago, los cuales se fijarán según la resolución vigente que define la base de cálculo de la tasa de interés a cobrar sobre deudas a cargo del sujeto pasivo, emitida por la Dirección General de Hacienda, de conformidad con el Código de Normas y Procedimientos Tributarios.

Artículo 84. Incumplimiento.

En caso de incumplimiento del pago del canon respectivo, se aplicará el mismo procedimiento de cobro establecido en este Reglamento.

Capítulo X.- De la Agencia

Artículo 85. Régimen de empleo.

La Agencia de Protección de Datos estará bajo el Régimen de Empleo Público y excluido del Régimen del Servicio Civil, estando facultada para la incorporación del personal administrativo, técnico y profesional que satisfaga las necesidades del servicio público.

Para hacerse acreedor de este Régimen bajo el principio de idoneidad demostrada, deberá realizarse un concurso público, para lo cual se deberá realizar y aprobar las pruebas que la Agencia determine necesarias.

Artículo 86. Tipos de concursos.

Posterior a la realización del concurso público y con el fin de administrar el recurso humano según las necesidades y promover la carrera administrativa, la Agencia estará en la facultad de llevar a cabo concursos internos, internos ampliados, externos, nombramientos interinos u otros mecanismos que puedan garantizar el funcionamiento de la Institución.

Artículo 87. Manual de cargos y puestos.

La Agencia, deberá contar con los manuales de cargos y puestos. Será responsabilidad de la Agencia la continua actualización de los mismos.

Artículo 88. Reclutamiento y selección.

El proceso de reclutamiento y selección deberá de contar con las siguientes fases:

a) Reclutamiento: Con base en los requerimientos de los manuales de cargos y puestos y las necesidades de la Agencia en cuanto a personal, se definirán y publicarán los requisitos de cada puesto requerido. El reclutamiento puede hacerse tanto a lo interno como externo de la Agencia. Asimismo, se conformará un registro de elegibles por cada puesto, mismo que se integrará de notas de mayor a menor.

b) Selección: La Agencia definirá las metodologías, pruebas, herramientas y criterios de selección que considere oportunas a aplicar para la selección del personal.

c) Conformación de ternas o nóminas: Estarán conformadas de acuerdo con la posición de los participantes dentro del registro de elegibles, pudiendo la Agencia escoger a cualquiera de las personas que las integren.

Todos los procesos de gestión y administración de recurso humano que aplique la Agencia deberán cumplir las normas técnicas generalmente aceptadas en la materia.

Artículo 89. Periodo de prueba.

Todo el personal de la Agencia estará sometido a un periodo de prueba de hasta seis meses.

TRANSITORIO I

Por una única vez, las personas responsables de una base de datos, deberán pagar el canon anual de regulación y administración de bases de datos, a partir del 06 de Marzo del 2013, cancelando por tanto, el monto proporcional que corresponda.

Artículo 90. Vigencia

Rige a partir de su publicación.

Dado en la Presidencia de la República, San José, a los treinta días del mes de octubre del dos mil doce.

LAURA CHINCHILLA MIRANDA.

El Ministro de Justicia y Paz, FERNANDO FERRARO CASTRO.

Decreto Legislativo nº 638 (Derogado por Decreto Legislativo nº 957 de 22 de junio de 2004. Nuevo Código Procesal Penal).

EL PRESIDENTE DE LA REPÚBLICA

POR CUANTO:

De conformidad con lo dispuesto en el artículo nº 188 de la Constitución Política del Perú, por la Ley nº 25.281 publicada el 30 de octubre de 1990, el Congreso de la República delega en el Poder Ejecutivo la facultad de dictar mediante Decreto Legislativo el CODIGO PROCESAL PENAL, dentro del término de 180 días, nombrando para tal efecto una Comisión Revisora de los proyectos elaborados y, facultándola a introducir en ellos las reformas que estime pertinentes;

Que la mencionada Comisión Revisora ha cumplido con presentar al Poder Ejecutivo el Proyecto de nuevo CODIGO PROCESAL PENAL, aprobado por ella de acuerdo con lo dispuesto por el artículo 2º de la Ley nº 25.281.

Que resulta conveniente disponer la vigencia inmediata de algunas normas de este Código como son: el principio de oportunidad regulado en el artículo nº 2; algunas prescripciones destinadas a la descongestión de los establecimientos carcelarios y a la limitación de los supuestos para la restricción de la libertad de la libertad del imputado, artículo 135º; motivación de la detención, artículo nº 136º; libertad por exceso de detención, artículo nº 138º; supuestos de conversión de la comparecencia, artículos nº 143º al 145º; y a la libertad provisional, artículos nº 182º al 188º; pues es objetivo del gobierno garantizar la seguridad jurídica de los ciudadanos mediante un efectivo control social;

Con el voto aprobatorio del Consejo de Ministros y

Con cargo de dar cuenta al Congreso;

Ha dado el Decreto Legislativo siguiente:

Artículo 1º.- Promulgase el CÓDIGO PROCESAL PENAL, aprobado por la Comisión Revisora, constituida por la Ley nº 25.281, según el texto adjunto que consta de 410 artículos distribuidos de modo y forma que a continuación se detallan:

Título Preliminar: Artículos I a X

Libro Primero: La Acción Penal: Artículos 1º a 90º.

Libro Segundo: La investigación: Artículos 91º A 260º.

Libro Tercero: El Juzgamiento: Artículos 261º a 311º.

Libro Cuarto: La Actividad Procesal: Artículos 312º a 372º.

Libro Quinto: De los Procesos Especiales: Artículos 373º a 400º.

Artículo 2º.-El CÓDIGO PROCESAL PENAL entrará en vigencia el 01 de mayo de 1992; salvo lo referente a los artículos 2º, 135º, 136º, 138º, 143º a 145º y 182º a 188º; los mismos que entrarán en vigencia al día siguiente de la publicación del presente Decreto Legislativo.

POR TANTO

Dado en la Casa de Gobierno, a los veinticinco días del mes de abril de mil novecientos noventaiuno.

ALBERTO FUJIMORI FUJIMORI, Presidente Constitucional de la República

AUGUSTO ANTONIOLI VASQUEZ, Ministro de Justicia.

Promulgado : 25-04-91

Publicado : 27-04-91

Artículo 2º.-

El Ministerio Público con consentimiento expreso del imputado, podrá abstenerse de ejercitar la acción penal en cualquiera de los siguientes casos :

1. Cuando el agente haya sido afectado directa y gravemente por las consecuencias de su delito y la pena resulte inapropiada.

2. Cuando se tratare de delitos que por su insignificancia o su poca frecuencia no afecten gravemente el interés público, salvo cuando la pena mínima supere los dos (02) años de pena privativa de la libertad o se hubiere cometido por un funcionario público en ejercicio de su cargo.

3. Cuando la culpabilidad del agente en la comisión del delito, o su contribución a la perpetración del mismo sean mínimos, salvo que se tratare de un hecho delictuoso cometido por un funcionario público en ejercicio de su cargo.

En los supuestos previstos en los incisos 2) y 3), será necesario que el agente hubiere reparado el daño ocasionado o exista un acuerdo con la víctima en ese sentido.

Si la acción penal hubiera sido ya ejercida, el Juez podrá, a petición del Ministerio Público, dictar auto de sobreseimiento en cualquier etapa del proceso, bajo los supuestos ya establecidos.

(Artículo puesto en vigencia por el Art. 2º del Decreto Legislativo nº 638).

Artículo 135º.-

El Juez puede dictar mandato de detención si atendiendo a los primeros recaudos acompañados por el Fiscal Provincial sea posible determinar:

1. Que existen suficientes elementos probatorios de la comisión de un delito doloso que vincule al imputado como autor o participe del mismo.

No constituye elemento probatorio suficiente la condición de miembro de directorio, gerente, socio, accionista, directivo o asociado cuando el delito imputado se haya cometido en el ejercicio de una actividad realizada por una persona jurídica de derecho privado.

2. Que la sanción a imponerse sea superior a los cuatro años de pena privativa de la libertad; y,

3. Que existan suficientes elementos probatorios para concluir que el imputado intenta eludir la acción de la justicia o perturbar la actividad probatorio. No constituye criterio suficiente para establecer la intención de eludir a la justicia, la pena prevista en la Ley para el delito que se le imputa.

En todo caso, el Juez Penal podrá revocar de oficio el mandato de detención previamente ordenado cuando nuevos actos de investigación pongan en cuestión la suficiencia de las pruebas que dieron lugar a la medida.

Artículo 136º.-

El mandato de detención será motivado, con expresión de los fundamentos de hecho y de derecho que los sustenten. El oficio mediante el cual se dispone la ejecución de la detención deberá contener los datos de identidad personal del requerido.

Las requisitorias cursadas a la autoridad policial tendrán una vigencia de seis meses. Vencido este plazo caducarán automáticamente bajo responsabilidad, salvo que fuesen renovadas. La vigencia de la requisitoria para los casos de narcotráfico y terrorismo no caducarán hasta la detención y juzgamiento de los requisitoriados.(*)

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

(*) (Segundo Párrafo modificado por el Art. 1º del Decreto Ley nº 25660, publicado el 13-08-92).

Artículo 137º.-

La detención no durará más de nueve (09) meses en el procedimiento ordinario y de quince (15) meses en el procedimiento especial. Tratándose de procedimientos por delitos de tráfico ilícito de drogas, terrorismo, espionaje y otros de naturaleza compleja seguidos contra más de diez imputados, o en agravio de igual número de personas, el plazo límite de detención se duplicará. A su vencimiento, sin haberse dictado la sentencia de primer grado, deberá decretarse la inmediata libertad del inculpado, debiendo el Juez dictar las medidas necesarias para asegurar su presencia en las diligencias judiciales.

Cuando concurren circunstancias que importen una especial dificultad o una especial prolongación de la investigación y que el inculpado pudiera sustraerse a la acción de la justicia, la detención podrá prolongarse por un plazo igual.

La prolongación de la detención se acordará mediante auto debidamente motivado, a solicitud del Fiscal y con audiencia del inculpado. Contra este auto procede el recurso de apelación, que resolverá la Sala previo dictamen del Fiscal Superior.

No se tendrá en cuenta para el cómputo de los plazos establecidos en este artículo, el tiempo en que la causa sufriere dilaciones maliciosas imputables al inculpado o su defensa.

La libertad será revocada si el inculpado no cumple con asistir, sin motivo legítimo a la primera citación que se le formule cada vez que se considere necesaria su concurrencia.

El Juez deberá poner en conocimiento de la Sala la orden de libertad, como la de prolongación de la detención. La Sala, de oficio o a solicitud de otro sujeto procesal, o del Ministerio Público, y previo informe del Juez, dictará las medidas correctivas y disciplinarias que correspondan.(*)

(*) (Artículo modificado por el Art. 1º del Decreto Ley nº 25824).

Artículo 138º.-

Si el juez omite fundamentar el mandato de detención, el inculpado podrá interponer recurso de queja, a cuyo efecto solicitará al Juez eleve el cuaderno correspondiente dentro de las 24 horas de presentada la impugnación, bajo responsabilidad. La Sala se pronunciará en el mismo término sin necesidad de vista fiscal. Si se declara fundada se ordenará que el conocimiento de la causa se remita a otro Juez, sin perjuicio de la sanción a que hubiere lugar. El Juez que reciba el cuaderno, en igual término, deberá dictar el mandato que corresponda con arreglo a lo prescrito en el artículo 136º.(*)

Contra el mandato de detención procede recurso de apelación, que será concedido en un sólo efecto y seguirá el mismo trámite que el señalado para la queja.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

(*) Párrafo rectificado por Fe de Erratas, publicada el 01-06-91 en el Diario Oficial El Peruano.

Artículo 143º.-

Se dictará mandato de comparecencia cuando no corresponda la medida de detención. También podrá imponerse comparecencia con la restricción prevista en el inciso 1), tratándose de imputados mayores de 65 años que adolezan de una enfermedad grave o de incapacidad física, siempre que el peligro de fuga o de perturbación de la actividad probatoria pueda evitarse razonablemente.

El juez podrá imponer algunas de las alternativas siguientes :

1. La detención domiciliaria del inculpado, en su propio domicilio o en custodia de otra persona, de la autoridad policial o sin ella, impartiéndose las órdenes necesarias.

2. La obligación de someterse al cuidado y vigilancia de una persona o institución determinada, quien informará periódicamente en los plazos designados.

3. La obligación de no ausentarse de la localidad en que reside, de no concurrir a determinados lugares, o de presentarse a la autoridad en los días que se le fijen.

4. La prohibición de comunicarse con personas determinadas, siempre que ello no afecte el derecho de defensa.

5. La prestación de una caución económica, si las posibilidades del imputado lo permiten.

El Juez podrá imponer una de estas alternativas o combinar varias de ellas, según resulte adecuada al caso y ordenará las medidas necesarias para garantizar su cumplimiento. Si el hecho punible denunciado está penado con una sanción leve o las pruebas aportadas no la justifiquen, podrá prescindir de tales alternativas.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 144º.-

La infracción de la comparecencia, en los casos en que el imputado sea citado para su declaración o para otra diligencia determinará la orden de ser conducido compulsivamente por la policía.

Si el imputado no cumple con las restricciones impuestas en el artículo 143º, previo requerimiento realizado por Fiscal o por el Juzgador en su caso, se revocará la medida y se dictará mandato de detención. Asimismo, de ser el caso perderá la caución y se ejecutará la garantía patrimonial constituida o la fianza personal otorgada.(*)

(*) Artículo puesto en vigencia mediante el Art. 1º de la Ley nº 26480.

Artículo 145º.-

El mandato de comparecencia y las demás restricciones impuestas serán notificadas al imputado mediante citación que le entregará el secretario por intermedio de la Policía, o la dejará en su domicilio a persona responsable que se encargue de entregarla sin perjuicio de notificársele por la vía postal, adjuntándose a los autos constancia razonada de tal situación.

La Policía, además dejará constancia de haberse informado de la identificación del procesado a quien notificó o de la verificación de su domicilio, si estaba ausente.

Para estos efectos otórgase franquicia postal al Poder Judicial y al Ministerio Público.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 182º.-

El procesado que se encuentra cumpliendo detención podrá solicitar libertad provisional, cuando nuevos elementos de juicio permitan razonablemente prever que:

1. La pena privativa de libertad a imponérsele no será mayor de cuatro años, o que el inculpado esté sufriendo una detención mayor a las dos terceras partes de la pena solicitada por el Fiscal en su acusación escrita.

2. Se haya desvanecido la probabilidad de que el procesado eluda la acción de la justicia o perturbe la actividad probatoria.

3. Que el procesado cumpla con la caución fijada o, en su caso, el insolvente ofrezca fianza personal.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 183º.-

La caución se fijará solamente cuando se trate de imputados con solvencia económica, y consistirá en una suma de dinero que se fijará en la resolución. El imputado puede empozarla en el Banco de la Nación o constituir una garantía patrimonial suficiente a nombre del Juzgado de la Sala hasta por dicho monto.

El imputado que carezca de solvencia económica ofrecerá fianza personal escrita de una persona natural o jurídica.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 184º.-

Presentada la solicitud de libertad por el detenido, el Fiscal formará el incidente en el término de 24 horas y lo remitirá al Juez; con conocimiento de los demás sujetos procesales. (*)

(*)Artículo puesto en vigencia inicialmente por el Art. 2º del Decreto Legislativo nº 638, posteriormente el texto fue modificado por el Art. 1º de la Ley nº 2537.

Artículo 185º.-

El Juez resolverá en el término de 24 horas de recibido el incidente, notificará a los sujetos procesales y comunicará al Fiscal el tenor de la resolución.

La resolución es apelable en el término común de dos días.(*)

(*)Artículo puesto en vigencia inicialmente por el Art. 2º del Decreto Legislativo nº 638, posteriormente el texto fue modificado por el Art. 1º de la Ley nº 25371.

Artículo 186º.-

Si el Juez ordena la libertad fijará las reglas de conducta. La apelación no impide la excarcelación.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 187º.-

Si el procesado infringe las reglas de conducta se revocará la libertad y se ordenará su recaptura. Perderá la caución, la que pasará a un fondo de tecnificación de la administración de justicia.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 188º.-

La caución le será devuelta al imputado por el Banco de la Nación con los respectivos intereses devengados, cuando sea absuelto o sobreseído.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 230. Intervención, grabación o registro de comunicaciones telefónicas o de otras formas de comunicación y geolocalización de teléfonos móviles

(…)

4. Los concesionarios de servicios públicos de telecomunicaciones deben facilitar, en forma inmediata, la geolocalización de teléfonos móviles y la diligencia de intervención, grabación o registro de las comunicaciones que haya sido dispuesta mediante resolución judicial, en tiempo real y en forma ininterrumpida, las 24 horas de los 365 días del año, bajo apercibimiento de ser pasible de las responsabilidades de Ley en caso de incumplimiento. Los servidores de las indicadas empresas deben guardar secreto acerca de las mismas, salvo que se les citare como testigo al procedimiento.

Dichos concesionarios otorgarán el acceso, la compatibilidad y conexión de su tecnología con el Sistema de Intervención y Control de las Comunicaciones de la Policía Nacional del Perú. Asimismo, cuando por razones de innovación tecnológica los concesionarios renueven sus equipos y software, se encontrarán obligados a mantener la compatibilidad con el sistema de intervención y control de las comunicaciones de la Policía Nacional del Perú. (…).

(Incorporado por el artículo 6 de la Ley nº 30.171)

Artículo 239º.-

Cuando se trate de una muerte sospechosa de haber sido causada por un hecho punible se procederá al levantamiento del cadáver, haciendo constar en acta.

El levantamiento del cadáver lo realizará el Fiscal pudiendo delegar la responsabilidad en su Adjunto o en la policía o en el Juez de Paz.

La identificación, ya sea antes de la inhumación o ya sea después de la exhumación, tendrá lugar mediante la descripción externa, la documentación de la huella dactiloscópica o palmatoscópica o por cualquier otro medio.

Cuando sea probable que se trate de un caso de criminalidad se practicará la necropsia para determinar la causa de la muerte.

Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825.

Artículo 240º.-

La necropsia será practicada por peritos, en presencia del Fiscal o de su Adjunto. Al acto pueden asistir los Defensores de los sujetos procesales incluso acreditar perito de parte.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 241º.-

Cuando se trate de homicidio doloso está prohibido el embalsamamiento. En ese mismo supuesto la incineración sólo podrá ser autorizada por el Fiscal después de vencido el plazo investigatorio.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 242º.-

Si existen indicios de envenenamiento, los peritos examinarán las vísceras y las materias sospechosas que se encuentran en el cadáver o en otra parte y las remitirán en envases aparentes, cerrados y lacrados, al laboratorio especializado correspondiente.

Las materias objeto de las pericias se conservarán si fuese posible, para ser presentados en el debate oral.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 243º.-

En caso de lesiones corporales el Fiscal exigirá que los peritos determinen en su informe el arma o instrumentos que las haya ocasionado, y si dejaron o no deformaciones y señales permanentes en el rostro, puesto en peligro la vida causado enfermedad incurable o la pérdida de un miembro u órgano y en general, todas las circunstancias que conforme al Código Penal influyen en la calificación del delito.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 244º.-

En caso de aborto, se hará comprobar la preexistencia del embarazo, los signos demostrativos de la interrupción del mismo, las causas que lo determinaron, los probables autores y las circunstancias que sirvan para la determinación del carácter y gravedad del hecho.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 245º.-

En los delitos contra el patrimonio deberá acreditarse la preexistencia de la cosa materia del delito.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Queda derogado como también sus normas ampliatorias y modificatorias, por el  Numeral 2 de la Tercera Disposición Modificatoria y Derogatoria del Decreto Legislativo nº 957, publicado el 29-07-2004, derogación que tendrá efecto a la vigencia del citado Decreto Legislativo, de conformidad con los Numerales 1 y 2 de la Primera Disposición Complementaria – Disposición Final del Decreto Legislativo nº 957, publicado el 29-07-2004, que dispone que el Nuevo Código Proceso Penal entrará en vigencia progresivamente en los diferentes Distritos Judiciales según un Calendario Oficial, aprobado por Decreto Supremo, dictado de conformidad con lo dispuesto en el Decreto Legislativo que establecerá las normas complementarias y de implementación del Código Procesal Penal, precisándose además que, el día 1 de febrero de 2006 se pondrá en vigencia este Código en el Distrito Judicial designado por la Comisión Especial de Implementación que al efecto creará el Decreto Legislativo correspondiente.
El Distrito Judicial de Lima será el Distrito Judicial que culminará la aplicación progresiva del citado Código.

Decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004. Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici.(G.U. 27 aprile 2004, n. 98)

Titolo I. DISPOSIZIONI GENERALI

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa e in particolare l'Articolo 8, comma 2;

Visto il decreto legislativo 23 gennaio 2002, n. 10, recante attuazione della direttiva 1999/93/CE, relativa ad un quadro comunitario per le firme elettroniche;

Visto l'Articolo 15, comma 2, della legge 15 marzo 1997, n. 59;

Vista la decisione della Commissione europea 14 luglio 2003, relativa alla pubblicazione dei numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica conformemente alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio, pubblicata nella Gazzetta Ufficiale dell'Unione europea L 175/45 del 15 luglio 2003 che induce ad integrare in tal senso le premesse del provvedimento;

Visto il decreto del Presidente del Consiglio dei Ministri 9 agosto 2001, con il quale é stata attribuita al Ministro per l'innovazione e le tecnologie, dott. Lucio Stanca, tra l'altro, la delega ad esercitare le funzioni spettanti al Presidente del Consiglio dei Ministri nelle materie dell'innovazione tecnologica, dello sviluppo
della società dell'informazione, nonché delle connesse innovazioni per le amministrazioni pubbliche;

Sentito il Ministro per la funzione pubblica;

Sentito il Garante per la protezione dei dati personali;

Espletata la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, CE attuata con decreto legislativo 23 novembre 2000, n. 427;

Decreta:

Articolo 1. Definizioni

1. Ai fini delle presenti regole tecniche si applicano le definizioni contenute negli articoli 1 e 22 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e successive modificazioni. Si intende, inoltre, per:

a) testo unico, il testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, emanato con decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

b) Dipartimento, il dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri o altro organismo di cui si avvale il Ministro per l'innovazione e le tecnologie;

c) chiavi, la coppia di chiavi asimmetriche come definite all'Articolo 22, comma 1, lettera b), del testo unico;

d) impronta di una sequenza di simboli binari (bit), la sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash;

e) funzione di hash, una funzione matematica che genera, a partire da una generica sequenza di simboli binari (bit), una impronta in modo tale che risulti di fatto impossibile, a partire da questa, determinare una sequenza di simboli binari (bit) per le quali la funzione generi impronte uguali;

f) evidenza informatica, una sequenza di simboli binari (bit) che puó essere elaborata da una procedura informatica;

g) riferimento temporale, informazione, contenente la data e l'ora, che viene associata ad uno o piú documenti informatici;

h) validazione temporale, il risultato della procedura informatica, con cui si attribuisce, ad uno o piú documenti informatici, un riferimento temporale opponibile ai terzi;

i) marca temporale, un'evidenza informatica che consente la validazione temporale.

Articolo 2. Ambito di applicazione

1. Il presente decreto stabilisce, ai sensi dell'Articolo 8, comma 2, del testo unico, le regole tecniche per la generazione, apposizione e verifica delle firme digitali.

2. Le disposizioni di cui al titolo II si applicano ai certificatori che rilasciano al pubblico certificati qualificati ai sensi del testo unico.

3. Ai certificatori accreditati o che intendono accreditarsi ai sensi del testo unico si applicano, oltre a quanto previsto dal comma 2, anche le disposizioni di cui al titolo III.

4. I certificatori accreditati devono disporre di un sistema di validazione temporale conforme alle disposizioni di cui al titolo IV.

5. Ai prodotti sviluppati o commercializzati in uno degli Stati membri dell'Unione europea e dello spazio economico europeo in conformità alle norme nazionali di recepimento della direttiva 1999/93/CE, é consentito di circolare liberamente nel mercato interno.

6. Le disposizioni di cui al comma 5 si applicano anche agli Stati non appartenenti all'Unione europea con i quali siano stati stipulati specifici accordi di riconoscimento reciproco.

Titolo II. REGOLE TECNICHE DI BASE

Articolo 3. Norme tecniche di riferimento

1. I prodotti di firma digitale e i dispositivi sicuri di firma di cui all'Articolo 29-sexies del testo unico, devono essere conformi alle norme generalmente riconosciute a livello internazionale o individuate dalla Commissione europea secondo la procedura di cui all'Articolo 9 della direttiva 1999/93/CE.

2. Gli algoritmi di generazione e verifica delle firme digitali e le funzioni di hash sono individuati ai sensi del comma 1.

3. Il documento informatico, sottoscritto con firma digitale o altro tipo di firma elettronica avanzata basata su un certificato qualificato e generata mediante un dispositivo sicuro per la creazione di una firma, non produce gli effetti di cui all'Articolo 10, comma 3, del testo unico, se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati.

Articolo 4. Caratteristiche generali delle chiavi per la creazione e la verifica della firma

1. Una coppia di chiavi per la creazione e la verifica della firma puó essere attribuita ad un solo titolare.

2. Se il titolare appone la sua firma per mezzo di una procedura automatica, deve utilizzare una coppia di chiavi diversa da tutte le altre in suo possesso.

3. Se la procedura automatica fa uso di piú dispositivi per apporre la firma del medesimo titolare, deve essere utilizzata una coppia di chiavi diversa per ciascun dispositivo.

4. Ai fini del presente decreto, le chiavi di creazione e verifica della firma ed i correlati servizi, si distinguono secondo le seguenti tipologie:

a) chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti;

b) chiavi di certificazione, destinate alla generazione e verifica delle firme apposte o associate ai certificati qualificati, alle liste di revoca (CRL) e sospensione (CSL), ovvero alla sottoscrizione dei certificati relativi a chiavi di marcatura temporale;

c) chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali.

5. Non é consentito l'uso di una coppia di chiavi per funzioni diverse da quelle previste, per ciascuna tipologia, dal precedente comma 4.

6. In deroga a quanto stabilito al comma 5, le chiavi di certificazione di cui al comma 4, lettera b), possono essere utilizzate per altre finalità previa autorizzazione da parte del Dipartimento.

7. La robustezza delle chiavi deve essere tale da garantire un adeguato livello di sicurezza in rapporto allo stato delle conoscenze scientifiche e tecnologiche.

Articolo 5. Generazione delle chiavi

1. La generazione della coppia di chiavi deve essere effettuata mediante dispositivi e procedure che assicurino, in rapporto allo stato delle conoscenze scientifiche e tecnologiche, l'unicità e la robustezza della coppia generata, nonché la segretezza della chiave privata.

2. Il sistema di generazione della coppia di chiavi deve comunque assicurare:

a) la rispondenza della coppia ai requisiti imposti dagli algoritmi di generazione e di verifica utilizzati;

b) l'equiprobabilità di generazione di tutte le coppie possibili;

c) l'identificazione del soggetto che attiva la procedura di generazione.

Articolo 6. Modalità di generazione delle chiavi

1. Le chiavi di certificazione possono essere generate esclusivamente dal responsabile del servizio.

2. Le chiavi di sottoscrizione possono essere generate dal titolare o dal certificatore.

3. La generazione delle chiavi di sottoscrizione effettuata, autonomamente dal titolare, deve avvenire all'interno del dispositivo sicuro per la generazione delle firme, che deve essere rilasciato o indicato dal certificatore.

4. Il certificatore deve assicurarsi che il dispositivo sicuro per la generazione delle firme, da lui fornito o indicato, presenti le caratteristiche e i requisiti di sicurezza di cui all'Articolo 29-sexies del testo unico e all'Articolo 9 del presente decreto.

5. Il titolare é tenuto ad utilizzare esclusivamente il dispositivo fornito dal certificatore, ovvero un dispositivo scelto tra quelli indicati dal certificatore stesso.

Articolo 7. Conservazione delle chiavi

1. é vietata la duplicazione della chiave privata e dei dispositivi che la contengono.

2. Per fini particolari di sicurezza, é consentito che le chiavi di certificazione vengano esportate purché ció avvenga con modalità tali da non ridurre il livello di sicurezza.

3. Il titolare della coppia di chiavi deve:

a) conservare con la massima diligenza la chiave privata o il dispositivo che la contiene al fine di garantirne l'integrità e la massima riservatezza;

b) conservare le informazioni di abilitazione all'uso della chiave privata separatamente dal dispositivo contenente la chiave;

c) richiedere immediatamente la revoca dei certificati qualificati relativi alle chiavi contenute in dispositivi di firma difettosi o di cui abbia perduto il possesso.

Articolo 8. Generazione delle chiavi al di fuori del dispositivo di firma

1. Se la generazione delle chiavi avviene su un sistema diverso da quello destinato all'uso della chiave privata, il sistema di generazione deve assicurare:

a) l'impossibilità di intercettazione o recupero di qualsiasi informazione, anche temporanea, prodotta durante l'esecuzione della procedura;

b) il trasferimento della chiave privata, in condizioni di massima sicurezza, nel dispositivo di firma in cui verrà utilizzata.

2. Il sistema di generazione deve essere isolato, dedicato esclusivamente a questa attività ed adeguatamente protetto contro i rischi di interferenze ed intercettazioni.

3. L'accesso al sistema deve essere controllato e ciascun utente preventivamente identificato. Ogni sessione di lavoro deve essere registrata nel giornale di controllo.

4. Prima della generazione di una nuova coppia di chiavi, l'intero sistema deve procedere alla verifica della propria configurazione, dell'autenticità ed integrità del software installato e dell'assenza di programmi non previsti dalla procedura.

Articolo 9. Dispositivi sicuri e procedure per la generazione della firma

1. In aggiunta a quanto previsto all'Articolo 29-sexies del testo unico, la generazione della firma deve avvenire all'interno di un dispositivo sicuro di firma, cosi' che non sia possibile l'intercettazione della chiave privata utilizzata.

2. Il dispositivo sicuro di firma deve poter essere attivato esclusivamente dal titolare prima di procedere alla generazione della firma.

3. I dispositivi sicuri di firma sono sottoposti alla valutazione e certificazione di sicurezza ai sensi dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione, secondo i criteri indicati all'Articolo 53.

4. La personalizzazione del dispositivo sicuro di firma deve almeno garantire:

a) l'acquisizione da parte del certificatore dei dati identificativi del dispositivo di firma utilizzato e la loro associazione al titolare;

b) la registrazione nel dispositivo di firma del certificato qualificato, relativo alle chiavi di sottoscrizione del titolare.

5. La personalizzazione del dispositivo sicuro di firma puó prevedere, per l'utilizzo nelle procedure di verifica della firma, la registrazione, nel dispositivo di firma, del certificato elettronico relativo alla chiave pubblica del certificatore la cui corrispondente privata é stata utilizzata per sottoscrivere il certificato qualificato relativo alle chiavi di sottoscrizione del titolare;

6. La personalizzazione del dispositivo di firma é registrata nel giornale di controllo.

7. Il certificatore deve adottare, nel processo di personalizzazione del dispositivo sicuro per la generazione delle firme, procedure atte ad identificare il titolare di un dispositivo sicuro di firma e dei certificati in esso contenuti.

Articolo 10. Verifica delle firme digitali

1. I certificatori che rilasciano certificati qualificati devono fornire ovvero indicare almeno un sistema che consenta di effettuare la verifica delle firme digitali.

Articolo 11. Informazioni riguardanti i certificatori

1. I certificatori che rilasciano al pubblico certificati qualificati ai sensi del testo unico devono fornire al dipartimento le seguenti informazioni e documenti:

a) dati anagrafici ovvero denominazione o ragione sociale;

b) residenza ovvero sede legale;

c) sedi operative;

d) rappresentante legale;

e) certificati delle chiavi di certificazione;

f) piano per la sicurezza contenuto in busta sigillata;

g) manuale operativo di cui al successivo Articolo 38;

h) dichiarazione di impegno al rispetto delle disposizioni del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

i) dichiarazione di conformità ai requisiti previsti nel presente decreto;

l) relazione sulla struttura organizzativa;

m) copia di una polizza assicurativa di copertura dei rischi
dell'attività e dei danni causati a terzi.

2. Il Dipartimento rende accessibili, in via telematica, le informazioni di cui al comma 1, lettere a), b), d).

3. Restano salve le disposizioni del decreto del Presidente della Repubblica 23 dicembre 1997, n. 522, e successive modificazioni, con riferimento ai compiti di certificazione e di validazione temporale del Centro nazionale per l'informatica nelle pubbliche amministrazioni, in conformità alle disposizioni dei regolamenti previsti dall'Articolo 15, comma 2, della legge 15 marzo 1997, n. 59.

Articolo 12. Comunicazione tra certificatore e Dipartimento

1. I certificatori che rilasciano al pubblico certificati qualificati devono attenersi alle regole emanate dal Dipartimento per realizzare un sistema di comunicazione sicuro attraverso il quale scambiare le informazioni previste dal presente decreto.

Articolo 13. Generazione delle chiavi di certificazione

1. La generazione delle chiavi di certificazione deve avvenire in modo conforme a quanto previsto dal presente Titolo.

2. Per ciascuna chiave di certificazione il certificatore deve generare un certificato sottoscritto con la chiave privata della coppia cui il certificato si riferisce.

3. I valori contenuti nei singoli campi del certificato delle chiavi di certificazione devono essere codificati in modo da non generare equivoci relativi al nome, ragione o denominazione sociale del certificatore.

Articolo 14. Generazione dei certificati qualificati

1. In aggiunta agli obblighi previsti per il certificatore dall'Articolo 29-bis del testo unico prima di emettere il certificato qualificato il certificatore deve:

a) accertarsi dell'autenticità della richiesta;

b) verificare il possesso della chiave privata e il corretto funzionamento della coppia di chiavi.

2. Il certificato qualificato deve essere generato con un sistema conforme a quanto previsto dall'Articolo 28.

3. L'emissione dei certificati qualificati deve essere registrata nel giornale di controllo con la specificazione della data e dell'ora della generazione.

4. Il momento della generazione dei certificati deve essere attestato tramite un riferimento temporale.

Articolo 15. Informazioni contenute nei certificati qualificati

1. Fatto salvo quanto previsto dall'Articolo 27-bis del testo unico, i certificati qualificati devono contenere almeno le seguenti informazioni:

a) codice identificativo del titolare presso il certificatore;

b) tipologia della coppia di chiavi in base all'uso cui sono destinate.

2. Le informazioni personali contenute nel certificato sono utilizzabili unicamente per identificare il titolare della firma elettronica, per legittimare la sottoscrizione del documento informatico, nonché per indicare eventuali funzioni del titolare.

3. I valori contenuti nei singoli campi del certificato qualificato devono essere codificati in modo da non generare equivoci relativi al nome, ragione o denominazione sociale del certificatore.

4. Il certificatore determina il periodo di validità dei certificati qualificati in funzione della robustezza delle chiavi di creazione e verifica impiegate e dei servizi cui essi sono destinati.

5. Il certificatore custodisce le informazioni di cui all'Articolo 29-bis, comma 2, lettera m) del testo unico, per un periodo non inferiore a dieci anni dalla data di scadenza o revoca del certificato qualificato.

Articolo 16. Revoca e sospensione del certificato qualificato

1. Fatto salvo quanto previsto dall'Articolo 29-septies del testo unico, il certificato qualificato deve essere revocato o sospeso dal certificatore, ove quest'ultimo abbia notizia della compromissione della chiave privata o del dispositivo per la creazione della firma.

Articolo 17. Revoca dei certificati qualificati relativi a chiavi di sottoscrizione

1. La revoca del certificato qualificato relativo a chiavi di sottoscrizione viene effettuata dal certificatore mediante l'inserimento del suo codice identificativo in una delle liste di certificati revocati e sospesi (CRL/CSL).

2. Se la revoca avviene a causa della possibile compromissione della segretezza della chiave privata, il certificatore deve procedere tempestivamente alla pubblicazione dell'aggiornamento della lista di revoca.

3. La revoca dei certificati é annotata nel giornale di controllo con la specificazione della data e dell'ora della pubblicazione della nuova lista.

Articolo 18. Revoca su iniziativa del certificatore

1. Salvo i casi di motivata urgenza, il certificatore che intende revocare un certificato qualificato deve darne preventiva comunicazione al titolare, specificando i motivi della revoca nonché la data e l'ora a partire dalla quale la revoca é efficace.

Articolo 19. Revoca su richiesta del titolare

1. La richiesta di revoca deve essere inoltrata al certificatore munita della sottoscrizione del titolare e con la specificazione della sua decorrenza.

2. Le modalità di inoltro della richiesta devono essere indicate dal certificatore nel manuale operativo di cui al successivo Articolo 38.

3. Il certificatore deve verificare l'autenticità della richiesta e procedere alla revoca entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con le modalità previste dal comma 2.

4. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato.

Articolo 20. Revoca su richiesta del terzo interessato

1. La richiesta di revoca da parte del terzo interessato da cui derivano i poteri di rappresentanza del titolare deve essere inoltrata al certificatore munita di sottoscrizione e con la specificazione della sua decorrenza.

2. Il certificatore deve notificare la revoca al titolare.

3. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato.

Articolo 21. Sospensione dei certificati qualificati

1. La sospensione del certificato qualificato é effettuata dal certificatore attraverso l'inserimento di tale certificato in una delle liste dei certificati revocati e sospesi (CRL/CSL).

2. La sospensione dei certificati é annotata nel giornale di controllo con l'indicazione della data e dell'ora di esecuzione dell'operazione.

Articolo 22. Sospensione su iniziativa del certificatore

1. Salvo casi d'urgenza, che il certificatore é tenuto a motivare contestualmente alla comunicazione di cui al comma 2, il certificatore che intende sospendere un certificato qualificato deve darne preventiva comunicazione al titolare specificando i motivi della sospensione e la sua durata.

2. L'avvenuta sospensione del certificato qualificato deve essere tempestivamente comunicata al titolare specificando la data e l'ora a partire dalla quale il certificato qualificato risulta sospeso.

3. Se la sospensione é causata da una richiesta di revoca motivata dalla possibile compromissione della chiave privata, il certificatore deve procedere tempestivamente alla pubblicazione della sospensione.

Articolo 23. Sospensione su richiesta del titolare

1. La richiesta di sospensione deve essere inoltrata al certificatore munita della sottoscrizione del titolare e con la specificazione della sua durata.

2. Le modalità di inoltro della richiesta devono essere indicate dal certificatore nel manuale operativo.

3. Il certificatore deve verificare l'autenticità della richiesta e procedere alla sospensione entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con le modalità previste dal comma 2.

Articolo 24. Sospensione su richiesta del terzo interessato

1. La richiesta di sospensione da parte del terzo interessato, da cui derivano i poteri di rappresentanza del titolare, deve essere inoltrata al certificatore munita di sottoscrizione e con la specificazione della sua durata.

2. Il certificatore deve notificare la sospensione al titolare.

Articolo 25. Sostituzione delle chiavi di certificazione

1. Almeno novanta giorni prima della scadenza del certificato relativo a chiavi di certificazione il certificatore deve avviare la procedura di sostituzione, generando, con le modalità previste dall'Articolo 13, una nuova coppia di chiavi.

2. Il certificatore deve generare un certificato relativo alla nuova chiave pubblica sottoscritto con la chiave privata della vecchia coppia ed uno relativo alla vecchia chiave pubblica sottoscritto con la chiave privata della nuova coppia.

3. I certificati generati secondo quanto previsto dal comma 2 debbono essere inviati al dipartimento.

Articolo 26. Revoca dei certificati relativi a chiavi di certificazione

1. La revoca del certificato relativo ad una coppia di chiavi di certificazione é consentita solo nei seguenti casi:

a) compromissione della chiave privata, intesa come diminuita affidabilità nelle caratteristiche di sicurezza della chiave privata;

b) guasto del dispositivo di firma;

c) cessazione dell'attività.

2. La revoca deve essere notificata entro ventiquattro ore al dipartimento e a tutti i titolari di certificati qualificati firmati con la chiave privata appartenente alla coppia revocata.

3. I certificati qualificati per i quali risulti compromessa la chiave privata con cui sono stati sottoscritti devono essere revocati.

Articolo 27. Requisiti di sicurezza dei sistemi operativi

1. Il sistema operativo dei sistemi di elaborazione utilizzati nelle attività di certificazione per la generazione delle chiavi, la generazione dei certificati qualificati e la gestione del registro dei certificati qualificati, devono essere conformi quanto meno alle specifiche previste dalla classe ITSEC F-C2/E2 o equivalenti.

2. Il requisito di cui al comma 1 non si applica al sistema operativo dei dispositivi di firma.

Articolo 28. Sistema di generazione dei certificati qualificati

1. La generazione dei certificati qualificati deve avvenire su un sistema utilizzato esclusivamente per la generazione di certificati, situato in locali adeguatamente protetti.

2. L'entrata e l'uscita dai locali protetti deve essere registrata sul giornale di controllo.

3. L'accesso ai sistemi di elaborazione deve essere consentito, limitatamente alle funzioni assegnate, esclusivamente al personale autorizzato, identificato attraverso un'opportuna procedura di riconoscimento da parte del sistema al momento di apertura di ciascuna sessione.

4. L'inizio e la fine di ciascuna sessione devono essere registrate sul giornale di controllo.

Articolo 29. Accesso del pubblico ai certificati

1. Le liste dei certificati revocati e sospesi devono essere rese pubbliche.

2. I certificati qualificati, su richiesta del titolare, possono essere accessibili alla consultazione del pubblico, ovvero comunicati a terzi, esclusivamente nei casi consentiti dal titolare del certificato e nel rispetto del decreto legislativo 30 giugno 2003, n. 196.

3. Le liste pubblicate dei certificati revocati e sospesi, nonché i certificati qualificati eventualmente resi accessibili alla consultazione del pubblico, sono utilizzabili da chi le consulta per le sole finalità di applicazione delle norme che disciplinano la verifica e la validità della firma digitale.

Articolo 30. Piano per la sicurezza

1. Il certificatore deve definire un piano per la sicurezza nel quale devono essere contenuti almeno i seguenti elementi:

a) struttura generale, modalità operativa e struttura logistica;

b) descrizione dell'infrastruttura di sicurezza per ciascun immobile rilevante ai fini della sicurezza;

c) allocazione dei servizi e degli uffici negli immobili;

d) elenco del personale e sua allocazione negli uffici;

e) attribuzione delle responsabilità;

f) algoritmi crittografici o altri sistemi utilizzati;

g) descrizione delle procedure utilizzate nell'attività di certificazione;

h) descrizione dei dispositivi installati;

i) descrizione dei flussi di dati;

l) procedura di gestione delle copie di sicurezza dei dati;

m) procedura di gestione dei disastri;

n) analisi dei rischi;

o) descrizione delle contromisure;

p) specificazione dei controlli.

2. Fatto salvo quanto disposto al comma 3, il piano per la sicurezza, sottoscritto dal legale rappresentante del certificatore, deve essere consegnato al dipartimento in busta sigillata.

3. Le informazioni di cui al comma 1, lettere b), c) e d) devono essere consegnate al dipartimento in una busta sigillata, che verrà aperta solo in caso di contestazioni, diversa da quella nella quale é contenuto il piano per la sicurezza.

4. Il piano per la sicurezza deve attenersi quanto meno alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'Articolo 33, del decreto legislativo 30 giugno 2003, n. 196.

Articolo 31. Giornale di controllo

1. Il giornale di controllo é costituito dall'insieme delle registrazioni effettuate automaticamente dai dispositivi installati presso il certificatore, allorché si verificano le condizioni previste dal presente decreto.

2. Le registrazioni possono essere effettuate indipendentemente anche su supporti distinti e di tipo diverso.

3. A ciascuna registrazione deve essere associato un riferimento temporale.

4. Il giornale di controllo deve essere tenuto in modo da garantire l'autenticità delle annotazioni e consentire la ricostruzione, con la necessaria accuratezza, di tutti gli eventi rilevanti ai fini della sicurezza.

5. L'integrità del giornale di controllo deve essere verificata con frequenza almeno mensile.

6. Le registrazioni contenute nel giornale di controllo devono essere conservate per un periodo non inferiore a 10 anni.

Articolo 32. Sistema di qualità del certificatore

1. Entro un anno dall'avvio dell'attività di certificazione, il certificatore deve dichiarare la conformità del proprio sistema di qualità alle norme ISO 9000, successive evoluzioni o a norme equivalenti.

2. Il manuale della qualità deve essere depositato presso il dipartimento e reso disponibile presso il certificatore.

Articolo 33. Organizzazione del personale del certificatore

1. L'organizzazione del personale addetto al servizio di certificazione deve prevedere almeno le seguenti funzioni:

a) responsabile della sicurezza;

b) responsabile della generazione e custodia delle chiavi;

c) responsabile della personalizzazione dei dispositivi di firma;

d) responsabile della generazione dei certificati;

e) responsabile della gestione del registro dei certificati;

f) responsabile della registrazione degli utenti;

g) responsabile della sicurezza dei dati;

h) responsabile della crittografia o di altro sistema utilizzato;

i) responsabile dei servizi tecnici;

l) responsabile delle verifiche e delle ispezioni (auditing);

m) responsabile del sistema di riferimento temporale.

2. é possibile attribuire al medesimo soggetto piú funzioni tra quelle previste dal comma 1 purché tra loro compatibili; sono in ogni caso compatibili tra loro le funzioni specificate nei sotto indicati raggruppamenti:

a) generazione e custodia delle chiavi, generazione dei certificati, personalizzazione dei dispositivi di firma, crittografia, sicurezza dei dati;

b) registrazione degli utenti, gestione del registro dei certificati, crittografia, sicurezza dei dati, sistema di riferimento temporale.

Articolo 34. Requisiti di competenza ed esperienza del personale

1. Il personale cui sono attribuite le funzioni previste dall'Articolo 33 deve aver maturato una esperienza almeno quinquennale nell'analisi, progettazione e conduzione di sistemi informatici.

2. Per ogni aggiornamento apportato al sistema di certificazione deve essere previsto un apposito corso di addestramento.

Articolo 35. Formato dei certificati qualificati

1. I certificati qualificati e le informazioni relative alle procedure di sospensione e di revoca devono essere conformi alla norma ISO/IEC 9594-8:2001 e successive evoluzioni.

Articolo 36. Formato della firma

1. Alla firma digitale deve essere allegato il certificato qualificato corrispondente alla chiave pubblica da utilizzare per la verifica.

Articolo 37. Codice di emergenza

1. Per ciascun certificato qualificato emesso il certificatore deve fornire al titolare almeno un codice riservato, da utilizzare in caso di emergenza per confermare l'autenticità della eventuale richiesta di sospensione del certificato.

2. In caso di emergenza é possibile richiedere la sospensione immediata di un certificato qualificato utilizzando il codice previsto al comma 1. La richiesta deve essere successivamente confermata utilizzando una delle modalità previste dal certificatore.

3. Il certificatore adotta specifiche misure di sicurezza per assicurare la segretezza del codice di emergenza.

Articolo 38. Manuale operativo

1. Il manuale operativo definisce le procedure applicate dal certificatore che rilascia certificati qualificati nello svolgimento della sua attività.

2. Il manuale operativo deve essere depositato presso il dipartimento e pubblicato a cura del certificatore in modo da essere consultabile per via telematica.

3. Il manuale deve contenere almeno le seguenti informazioni:

a) dati identificativi del certificatore;

b) dati identificativi della versione del manuale operativo;

c) responsabile del manuale operativo;

d) definizione degli obblighi del certificatore, del titolare e dei richiedenti la verifica delle firme;

e) definizione delle responsabilità e delle eventuali limitazioni agli indennizzi;

f) indirizzo del sito web del certificatore ove sono pubblicate le tariffe;

g) modalità di identificazione e registrazione degli utenti;

h) modalità di generazione delle chiavi per la creazione e la verifica della firma;

i) modalità di emissione dei certificati;

l) modalità con cui viene espletato quanto previsto all'Articolo 27-bis, comma 1, lettera a) del testo unico;

m) modalità di sospensione e revoca dei certificati;

n) modalità di sostituzione delle chiavi;

o) modalità di gestione del registro dei certificati;

p) modalità di accesso al registro dei certificati;

q) modalità di protezione della riservatezza;

r) modalità per l'apposizione e la definizione del riferimento temporale;

s) modalità operative per l'utilizzo del sistema di verifica delle firme di cui all'Articolo 10, comma 1;

t) modalità operative per la generazione della firma digitale.

Articolo 39. Riferimenti temporali opponibili ai terzi

1. I riferimenti temporali realizzati in conformità con quanto disposto dal titolo IV sono opponibili ai terzi ai sensi dell'Articolo 14, comma 2, del testo unico.

2. I riferimenti temporali apposti sul giornale di controllo da un certificatore accreditato, secondo quanto indicato nel proprio manuale operativo, sono opponibili ai terzi ai sensi dell'Articolo 14, comma 2, del testo unico.

3. L'ora assegnata ai riferimenti temporali di cui al comma 2 del presente articolo, deve corrispondere alla scala di tempo UTC(IEN), di cui al decreto del Ministro dell'industria, del commercio e dell'artigianato 30 novembre 1993, n. 591, con una differenza non superiore ad un minuto primo.

4. Le pubbliche amministrazioni possono anche utilizzare come sistemi di validazione temporale:

a) il riferimento temporale contenuto nella segnatura di protocollo di cui all'Articolo 9 del decreto del Presidente del Consiglio dei Ministri, 31 ottobre 2000, pubblicato nella Gazzetta Ufficiale 21 novembre 2000, n. 272;

b) il riferimento temporale ottenuto attraverso la procedura di conservazione dei documenti in conformità alle norme vigenti;

c) il riferimento temporale ottenuto attraverso l'utilizzo di posta certificata ai sensi dell'Articolo 14 del testo unico.

Titolo III. ULTERIORI REGOLE PER I CERTIFICATORI ACCREDITATI

Articolo 40. Obblighi per i certificatori accreditati

1. Il certificatore deve generare un certificato qualificato per ciascuna delle chiavi di firma elettronica avanzata utilizzate dal dipartimento per la sottoscrizione dell'elenco pubblico dei certificatori e pubblicarlo nel proprio registro dei certificati.

2. Il certificatore garantisce l'interoperabilità del prodotto di verifica di cui all'Articolo 10 ai documenti informatici sottoscritti con firma digitale emessa dalla struttura di certificazione della Rete unitaria della pubblica amministrazione e successive modifiche tecniche e organizzative.

3. Il certificatore deve mantenere copia della lista, sottoscritta dal dipartimento, dei certificati relativi alle chiavi di certificazione di cui all'Articolo 41, comma 1, lettera f), che deve rendere accessibile per via telematica.

4. I certificatori accreditati, al fine di ottenere e mantenere il riconoscimento di cui all'Articolo 28, comma 1 del testo unico, devono svolgere la propria attività in conformità con quanto previsto dalle regole per il riconoscimento e la verifica del documento elettronico.

Articolo 41. Elenco pubblico dei certificatori accreditati

1. L'elenco pubblico dei certificatori accreditati tenuto dal dipartimento ai sensi del testo unico, contiene per ogni certificatore accreditato le seguenti informazioni:

a) denominazione;

b) sede legale;

c) rappresentante legale;

d) nome X.500;

e) indirizzo internet;

f) lista dei certificati delle chiavi di certificazione;

g) manuale operativo;

h) data di accreditamento volontario;

i) data di cessazione ed eventuale certificatore sostitutivo.

2. L'elenco pubblico é sottoscritto e reso disponibile per via telematica dal dipartimento.

3. Il dipartimento provvede all'aggiornamento della lista dei certificati delle chiavi di certificazione e a rendere la stessa disponibile ai certificatori per la pubblicazione ai sensi dell'Articolo 40, comma 3.

4. L'elenco pubblico é sottoscritto dal Capo del dipartimento o dal dirigente da lui designato, mediante una firma elettronica avanzata, generata mediante un dispositivo sicuro per la creazione di una firma.

5. Sulla Gazzetta Ufficiale é dato avviso:

a) della costituzione dell'elenco di cui al comma 4;

b) dell'indicazione del soggetto preposto alla sottoscrizione dell'elenco pubblico di cui al comma 4;

c) del valore dei codici identificativi delle chiavi pubbliche relative alle coppie di chiavi utilizzate per la sottoscrizione dell'elenco pubblico, generati attraverso gli algoritmi dedicated hash-function 3, corrispondente alla funzione SHA- 1 e dedicated hash-function 1, corrispondente alla funzione RIPEMD-160, definiti nella norma ISO/IEC 10118-3:1998;

d) con almeno novanta giorni di preavviso, della scadenza delle chiavi utilizzate per la sottoscrizione dell'elenco pubblico;

e) della revoca delle chiavi utilizzate per la sottoscrizione dell'elenco pubblico sopravvenute per ragioni di sicurezza, ovvero a seguito di sostituzione dei soggetti designati ai sensi della lettera b).

6. Fino alla certificazione delle chiavi da parte del dipartimento ai sensi dell'Articolo 29-quinquies del testo unico si utilizzano, per la sottoscrizione dell'elenco pubblico, le chiavi di sottoscrizione di soggetti designati dal Ministro per l'innovazione e le tecnologie.

Articolo 42. Rappresentazione del documento informatico

1. Il certificatore deve indicare nel manuale operativo i formati del documento informatico e le modalità operative a cui il titolare deve attenersi per ottemperare a quanto prescritto dall'Articolo 3, comma 3.

Articolo 43. Limitazioni d'uso

1. Il certificatore, su richiesta del titolare o del terzo interessato, é tenuto a inserire nel certificato qualificato eventuali limitazioni d'uso.

Titolo IV. REGOLE PER LA VALIDAZIONE TEMPORALE E PER LA PROTEZIONE DEI DOCUMENTI INFORMATICI

Articolo 44. Validazione temporale

1. Una evidenza informatica é sottoposta a validazione temporale con la generazione di una marca temporale che le si applichi.

2. Le marche temporali sono generate da un apposito sistema elettronico sicuro in grado di:

a) mantenere la data e l'ora conformemente a quanto richiesto dal presente decreto;

b) generare la struttura di dati secondo quanto specificato negli articoli 45 e 48;

c) sottoscrivere digitalmente la struttura di dati di cui alla lettera b).

Articolo 45. Informazioni contenute nella marca temporale

1. Una marca temporale deve contenere almeno le seguenti informazioni:

a) identificativo dell'emittente;

b) numero di serie della marca temporale;

c) algoritmo di sottoscrizione della marca temporale;

d) identificativo del certificato relativo alla chiave di verifica della marca;

e) data ed ora di generazione della marca;

f) identificatore dell'algoritmo di hash utilizzato per generare l'impronta dell'evidenza informatica sottoposta a validazione temporale;

g) valore dell'impronta dell'evidenza informatica.

2. La marca temporale puó inoltre contenere un identificatore dell'oggetto a cui appartiene l'impronta di cui al comma 1, lettera g).

Articolo 46. Chiavi di marcatura temporale

1. Ogni coppia di chiavi utilizzata per la validazione temporale deve essere univocamente associata ad un sistema di validazione temporale.

2. Al fine di limitare il numero di marche temporali generate con la medesima coppia, le chiavi di marcatura temporale debbono essere sostituite ed un nuovo certificato deve essere emesso dopo non piú di un mese di utilizzazione, indipendentemente dalla durata del loro periodo di validità e senza revocare il corrispondente certificato.

3. Per la sottoscrizione dei certificati relativi a chiavi di marcatura temporale debbono essere utilizzate chiavi di certificazione appositamente generate.

4. Le chiavi di certificazione e di marcatura temporale possono essere generate esclusivamente dai responsabili dei rispettivi servizi.

Articolo 47. Gestione dei certificati e delle chiavi

1. Alle chiavi di certificazione utilizzate, ai sensi dell'Articolo 46, comma 3, per sottoscrivere i certificati relativi a chiavi di marcatura temporale, si applica quanto previsto per le chiavi di certificazione utilizzate per sottoscrivere certificati relativi a chiavi di sottoscrizione.

2. I certificati relativi ad una coppia di chiavi di marcatura temporale, oltre ad essere conformi alla norma ISO/IEC 9594-8:2001 e successive evoluzioni, devono contenere 1'identificativo del sistema di marcatura temporale che utilizza le chiavi.

Articolo 48. Precisione dei sistemi di validazione temporale

1. L'ora assegnata ad una marca temporale deve corrispondere, con una differenza non superiore ad un minuto secondo rispetto alla scala di tempo UTC(IEN), di cui al decreto del Ministro dell'industria, del commercio e dell'artigianato 30 novembre 1993, n. 591, al momento della sua generazione.

2. La data e l'ora contenute nella marca temporale sono specificate con riferimento al Tempo Universale Coordinato (UTC).

Articolo 49. Sicurezza dei sistemi di validazione temporale

1. Ogni sistema di validazione temporale deve produrre un registro operativo su di un supporto non riscrivibile nel quale sono automaticamente registrati gli eventi per i quali tale registrazione é richiesta dal presente decreto.

2. Qualsiasi anomalia o tentativo di manomissione che possa modificare il funzionamento dell'apparato in modo da renderlo incompatibile con i requisiti del presente decreto, ed in particolare con quello di cui all'Articolo 48, comma 1, deve essere annotato sul registro operativo e causare il blocco del sistema.

3. Il blocco del sistema di validazione temporale puó essere rimosso esclusivamente con l'intervento di personale espressamente autorizzato.

4. La conformità ai requisiti di sicurezza specificati nel presente articolo deve essere verificata secondo criteri di sicurezza almeno equivalenti a quelli previsti dal livello di valutazione E2 e robustezza dei meccanismi HIGH dell'ITSEC, o dal livello EAL 3 della norma ISO/IEC 15408 o superiori. Sono ammessi livelli di valutazione internazionalmente riconosciuti come equivalenti.

Articolo 50. Registrazione delle marche generate

1. Tutte le marche temporali emesse da un sistema di validazione sono conservate in un apposito archivio digitale non modificabile per un periodo non inferiore a cinque anni ovvero, su richiesta dell'interessato, per un periodo maggiore, alle condizioni previste dal certificatore.

2. La marca temporale é valida per l'intero periodo di conservazione a cura del fornitore del servizio.

Articolo 51. Richiesta di validazione temporale

1. Il certificatore stabilisce, pubblicandole nel manuale operativo, le procedure per l'inoltro della richiesta di validazione temporale.

2. La richiesta deve contenere l'evidenza informatica alla quale le marche temporali debbono fare riferimento.

3. L'evidenza informatica puó essere sostituita da una o piú impronte, calcolate con funzioni di hash previste dal manuale operativo. Debbono essere comunque accettate le funzioni di hash basate sugli algoritmi dedicated hash-function 3, corrispondente alla funzione SHA-1 e dedicated hash-function 1, corrispondente alla funzione RIPEMD-160, definiti nella norma ISO/IEC 10118-3:1998.

4. Il certificatore ha facoltà di implementare il sistema di validazione temporale in modo che sia possibile richiedere l'emissione di piú marche temporali per la stessa evidenza informatica. In tal caso debbono essere restituite marche temporali generate con chiavi diverse.

5. La generazione delle marche temporali deve garantire un tempo di risposta, misurato come differenza tra il momento della ricezione della richiesta e l'ora riportata nella marca temporale, non superiore al minuto primo.

Articolo 52. Estensione della validità del documento informatico

1. La validità di un documento informatico, i cui effetti si protraggano nel tempo oltre il limite della validità della chiave di sottoscrizione, puó essere estesa mediante l'associazione di una marca temporale.

Titolo V. DISPOSIZIONI FINALI E TRANSITORIE

Articolo 53. Norme transitorie

1. In attesa della pubblicazione degli algoritmi per la generazione e verifica della firma digitale secondo quanto previsto dall'Articolo 3, i certificatori accreditati ai sensi dell'Articolo 28 del testo unico, devono utilizzare l'algoritmo RSA (Rivest-Shamir-Adleman) con lunghezza delle chiavi non inferiore a 1024 bit.

2. In attesa della pubblicazione delle funzioni di hash secondo quanto previsto dall'Articolo 3, i certificatori accreditati ai sensi dell'Articolo 28 del testo unico devono utilizzare uno dei seguenti algoritmi, definiti nella norma ISO/IEC 10118-3:1998 e successive evoluzioni:

a) dedicated hash-function 3, corrispondente alla funzione SHA-1;

b) dedicated hash-function 1, corrispondente alla funzione RIPEMD-160.

3. In attesa che la Commissione europea, secondo la procedura di cui all'Articolo 9 della direttiva 1999/93/CE, indichi i livelli di valutazione relativamente alla certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma prevista dall'Articolo 10 del decreto legislativo 23 gennaio 2002, n. 10, tale certificazione é effettuata secondo criteri non inferiori a quelli previsti dal livello di valutazione E3 e robustezza HIGH dell'ITSEC, o dal livello EAL 4 della norma ISO/IEC 15408 o superiori. Sono ammessi livelli di valutazione internazionalmente riconosciuti come equivalenti.

4. Il dipartimento disciplina con circolare il riconoscimento e la verifica del documento elettronico; fino all'emanazione della prima circolare continueranno ad applicarsi le regole vigenti adottate dall'Autorità per l'informatica nelle pubbliche amministrazioni.

Articolo 54. Abrogazioni

1. Dall'entrata in vigore del presente decreto é abrogato il decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, recante le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici, pubblicato nella Gazzetta Ufficiale 15 aprile 1999, n. 87.

Roma, 13 gennaio 2004
p. Il Presidente: Stanca

Registrato alla Corte dei conti il 19 marzo 2004
Ministeri istituzionali – Presidenza del Consiglio dei Ministri, registro n. 3, foglio n. 16

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, el artículo 119° de la Ley nº 29571, Código de Protección y Defensa del Consumidor, establece la obligación del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual-INDECOPI de llevar un Registro de Infracciones y Sanciones a las disposiciones del mencionado Código, con la finalidad de contribuir a la transparencia de las transacciones entre proveedores y consumidores y orientar a éstos en la toma de sus decisiones de consumo. Los proveedores que sean sancionados mediante resolución firme en sede administrativa quedan automáticamente registrados por el lapso de cuatro (4) años contados a partir de la fecha de dicha resolución. Asimismo, se establece que la información del registro es de acceso público y gratuito;

Que, la Tercera Disposición Complementaria Final de la Ley nº 29571 establece que el Poder Ejecutivo expide las disposiciones reglamentarias sobre lo dispuesto en por el artículo 119º sobre el Registro de Infracciones y Sanciones;

Que, en tal sentido, corresponde aprobar el reglamento del Registro de Infracciones y Sanciones previsto en el artículo 119° de la Ley nº 29571, Código de Protección y Defensa del Consumidor;

De conformidad con el numeral 8) del artículo 118° de la Constitución Política del Perú y la Ley nº 29571, Código de Protección y Defensa del Consumidor;

DECRETA:

Artículo 1º.- Aprobación del Reglamento

Apruébese el Reglamento del Registro de Infracciones y Sanciones a que hace referencia el artículo 119° de la Ley nº 29571, Código de Protección y Defensa del Consumidor, el cual forma parte integrante del presente Decreto Supremo.

Artículo 2º. – Publicación

El presente Decreto Supremo y el Reglamento deberán ser publicados en el Diario Oficial El Peruano, en el Portal del Estado Peruano (www.peru.gob.pe), en el Portal de la Presidencia del Consejo de Ministros (www.pcm.gob.pe) y en el Portal del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (www.indecopi.gob.pe).

Artículo 3º. – Refrendo

El presente Decreto Supremo será refrendado por la Presidenta del Consejo de Ministros.

Dado en la Casa de Gobierno, en Lima, a los trece días del mes de abril del año dos mil once.

ALAN GARCÍA PÉREZ, Presidente Constitucional de la República

ROSARIO DEL PILAR FERNÁNDEZ FIGUEROA, Presidenta del Consejo de Ministros y Ministra de Justicia

REGLAMENTO DEL REGISTRO DE INFRACCIONES Y SANCIONES AL CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR

Artículo 1º. – Objeto

Las infracciones y sanciones a la Ley nº 29571, Código de Protección y Defensa del Consumidor serán consignadas en el Registro de Infracciones y Sanciones, conforme a lo previsto en el artículo 119° de dicho Código.

Artículo 2º. – Implementación y publicación

El Registro de Infracciones y Sanciones se implementa a través de un aplicativo informático y será publicado en el Portal Institucional del INDECOPI, a efectos de viabilizar que la información sea de acceso público y gratuito.

Artículo 3º. – Designación del responsable

Mediante Resolución de Presidencia del Consejo Directivo del INDECOPI se designará al responsable de la publicación y actualización del Registro de Infracciones y Sanciones.

Sin perjuicio de dicha designación, tos correspondientes órganos resolutivos del INDECOPI deberán proporcionar la información al responsable de la publicación y actualización del Registro de Infracciones y Sanciones, relativa a los proveedores que sean sancionados mediante resolución firme en sede administrativa, por infracciones a las disposiciones previstas en el Código de Protección y Defensa del Consumidor.

Para tal efecto, el órgano resolutivo al que le corresponde proporcionar la información actualizada sobre los proveedores sancionados es aquél ante el que la respectiva resolución de sanción adquiera el carácter de firme en sede administrativa.

Artículo 4º. – Contenido del Registro.

El Registro de Infracciones y Sanciones debe contener, como mínimo, la siguiente información:

a) Nombre, razón o denominación social del proveedor sancionado.

b) Nombre comercial del proveedor sancionado.

c) Número del documento de identidad o número de R.U.C. del proveedor sancionado.

d) Sector económico.

e) Materia.

f) Número y fecha de la resolución firme que impuso o confirmó la sanción.

g) Tipo de sanción y monto en caso de multa.

h) Hecho infractor.

Artículo 5º. – Período de publicación.

Los proveedores sancionados mediante resolución firme en sede administrativa quedan automáticamente registrados por el lapso de cuatro (4) años contados a partir de la fecha de dicha resolución.

Artículo 6º. – Implementación del Registro de Infracciones y Sanciones

El INDECOPI contará con un plazo de treinta (30) días hábiles para la implementación del Registro de Infracciones y Sanciones contado a partir del día siguiente de la publicación del presente Reglamento.

Délibération nº 2005-296 du 22 novembre 2005 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion de leur cabinet (norme simplifiée nº 50).

La Commission nationale de l'informatique et des libertés,

Vu la convention nº 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, notamment son article 8 ;

Vu la loi nº 78-17 du 6 janvier 1978, modifiée par la loi nº 2004-801 du 6 août 2004, relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 11, 22, 23, 24-I et 30 ;

Vu les articles 226-13 et 226-14 du Code pénal relatifs au secret professionnel ;

Vu le code de la santé publique, et notamment son article L. 1111-8 ;

Vu les articles L. 161-29, R. 115-1 et suivants et R. 161-47 du code de la sécurité sociale ;

Vu le décret nº 67-671 du 22 juillet 1967 modifié portant code de déontologie des chirurgiens-dentistes ;

Vu le décret nº 91-776 du 8 août 1991 portant code de déontologie des sages-femmes ;

Vu le décret nº 93-221 du 16 février 1993 relatif aux règles professionnelles des infirmiers et infirmières ;

Vu le décret nº 95-100 du 6 septembre 1995 portant code de déontologie médicale ;

Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, modifiée par la loi nº 2004-801 du 6 août 2004 ;

Vu la délibération nº 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données à caractère personnel ;

En vertu de l'article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en oeuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés ;

Les traitements informatisés de données à caractère personnel mis en oeuvre par les membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion de leur cabinet sont de ceux qui peuvent, sous certaines conditions, relever de cette définition,

Décide :

Article 1. Champ d'application.

Peuvent bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme les traitements mis en oeuvre par les membres des professions médicales et paramédicales exerçant à titre libéral qui répondent aux conditions définies aux articles 1er à 7 ci-après.

La présente norme ne s'applique ni aux traitements mis en oeuvre par les pharmacies ni aux traitements des laboratoires d'analyses de biologie médicale.

En cas de dépôt chez un hébergeur des données de santé, le traitement mis en oeuvre par le professionnel de santé ne peut être déclaré par référence à la présente norme.

Article 2. Finalités du traitement.

Les traitements sont mis en oeuvre pour faciliter la gestion administrative des cabinets et l'exercice des activités de prévention, de diagnostics et de soins.

Ils n'assurent pas d'autres fonctions que :

– la gestion des rendez-vous ;

– la gestion des dossiers médicaux et l'édition des ordonnances ;

– la gestion et la tenue des dossiers individuels de soins ;

– l'établissement et la télétransmission des feuilles de soins ;

– l'envoi de courriers aux confrères ;

– la tenue de la comptabilité ;

– la réalisation d'études statistiques à usage interne.

Les données personnelles de santé ne peuvent être utilisées que dans l'intérêt direct du patient et, dans les conditions déterminées par la loi, pour les besoins de la santé publique. Toute autre exploitation de ces données, notamment à des fins commerciales, est proscrite.

La constitution et l'utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales sont interdites, dès lors que ces fichiers permettent d'identifier directement ou indirectement un professionnel de santé.

Article 3. Informations collectées et traitées.

Les informations suivantes peuvent être collectées :

a) Identité : nom, prénom, date de naissance, adresse, numéro de téléphone ;

b) Numéro de sécurité sociale : pour l'édition des feuilles de soins et la télétransmission aux caisses d'assurance maladie dans les conditions définies par les articles R. 115-1 et suivants du code de la sécurité sociale ;

c) Situation familiale : situation matrimoniale, nombre d'enfants, nombre de grossesses ;

d) Vie professionnelle : profession, conditions de travail ;

e) Santé : historique médical, historique des soins, diagnostics médicaux, traitements prescrits, nature des actes effectués et tout élément de nature à caractériser la santé du patient et considéré comme pertinent par le professionnel de santé.

Des informations relatives aux habitudes de vie peuvent être collectées avec l'accord du patient et dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins.

Article 4. Destinataires des informations.

Afin d'assurer la continuité des soins et avec l'accord de la personne concernée, les professionnels de santé et dans les établissements de santé, les membres de l'équipe de soins, chargés de la prise en charge du patient peuvent être destinataires des données figurant dans l'application.

Les personnes affectées à la gestion du secrétariat n'ont accès, dans le respect des dispositions sur le secret professionnel, qu'aux informations relatives à la gestion du cabinet et en particulier à la gestion des rendez-vous.

Afin de permettre le remboursement des actes, des prestations et leur contrôle, les personnels des organismes d'assurance maladie ont connaissance, dans le cadre de leurs fonctions et pour la durée nécessaire à l'accomplissement de celles-ci, de l'identité de l'assuré, de son numéro de sécurité sociale et du code des actes effectués et des prestations servies. Outre ces données, les médecins-conseils des caisses accèdent au code des pathologies diagnostiquées dans les conditions définies à l'article L. 161-29 du code de la sécurité sociale.

Les personnels des organismes d'assurance maladie complémentaire sont destinataires, dans le cadre de leurs attributions, de l'identité de leurs assurés, de leur numéro de sécurité sociale et, sous la forme de codes regroupés, aux catégories des actes et prestations effectués.

Les organismes de recherche dans le domaine de la santé et les organismes spécialisés dans l'évaluation des pratiques de soins peuvent être destinataires de données personnelles de santé dans les conditions définies par la loi du 6 janvier 1978 modifiée.

Article 5. Durée de conservation.

Les informations enregistrées ne peuvent être conservées dans l'application au-delà d'une durée de cinq ans à compter de la dernière intervention sur le dossier du patient. A l'issue de cette période, elles sont archivées sur un support distinct et peuvent être conservées pendant quinze ans dans des conditions de sécurité équivalentes à celles des autres données enregistrées dans l'application.

Les doubles des feuilles de soins électroniques doivent être conservées quatre-vingt-dix jours conformément à l'article R. 161-47 du code de la sécurité sociale.

Article 6. Information et droit d'accès.

Conformément aux dispositions à la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, les personnes dont les données sont enregistrées et conservées dans le fichier du cabinet sont informées, par un document affiché dans les locaux du cabinet médical ou paramédical ou remis en main propre, de l'identité du responsable du traitement, de sa finalité, des destinataires des informations et des modalités pratiques d'exercice de leurs droits, en particulier du droit d'accès aux informations qui les concernent.

Article 7. Politique de confidentialité et sécurités.

Des mesures de sécurité physique et logique sont mises en place afin de préserver la confidentialité des informations couvertes par le secret médical et empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Le professionnel de santé accède à l'application en utilisant sa carte de professionnel de santé. Les personnels placés sous l'autorité du professionnel de santé doivent également disposer d'une carte d'accès personnelle ou d'un mot de passe personnel.

En cas d'utilisation du réseau internet pour transmettre des données personnelles de santé, un système de chiffrement ” fort ” de la messagerie doit être mis en place. En outre, un antivirus doit être installé et mis à jour régulièrement afin de se prémunir des risques de captation des données.

Le professionnel de santé précise par écrit, dans un protocole de confidentialité, les mesures effectivement mises en oeuvre. Ce protocole est communiqué à la CNIL à sa demande.

Article 8. La présente délibération sera publiée au Journal officiel de la République française.

Fait à Paris, le 22 novembre 2005.

Le président, A. Türk

Dictamen 3/99 relativo a la Información del sector público y protección de datos personales. Contribución a la consulta iniciada con el Libro Verde de la Comisión Europea Titulado La información del sector público: un recurso clave para Europa” COM(1998) 585, Aprobado el 3 de mayo de 1999 por el Grupo de trabajo sobre la protección de las personas físicas en loq ue respecta al tratamiento de datos personales (WP 20).

WP 20 Grupo de Protección de las Personas en lo que respecta al Tratamiento de Datos Personales

Dictamen 3/99 relativo a Información del sector público y protección de datos personales

Contribución a la consulta iniciada con el Libro Verde de la Comisión Europea titulado

“La información del sector público: un recurso clave para Europa” COM(1998) 585

Aprobado el 3 de mayo de 1999

INTRODUCCIÓN Y OBSERVACIONES PRELIMINARES:

1. La Comisión Europea sometió a consulta pública un Libro Verde sobre “La información del sector público: un recurso clave para Europa”(1). El principal objetivo de este Libro Verde es promover un debate sobre cómo hacer más accesible a los ciudadanos y a las empresas la información que posee el sector público, así como sobre la posible necesidad de armonizar las normas nacionales en este ámbito. Este documento parece ampliamente inspirado por la reivindicación de entidades privadas que desean disponer de un acceso al menor coste posible a la información pública e impugnan el mantenimiento de monopolios públicos en este ámbito.

Una de las cuestiones tratadas por el Libro Verde atañe a la disponibilidad de la información del sector público, es decir, de una categoría particular de datos llamados “públicos”: aquellos que, estando en posesión de organismos del sector público, se harían públicos en virtud de normas o de un uso(2) cuyo fundamento implícito o explícito puede residir en una voluntad de transparencia del estado respecto a sus ciudadanos(3).

No se ignora en este documento la protección de los datos personales, aunque aparentemente no constituye su principal razón de ser.

El apartado 111 (III. 7, página 17) menciona explícitamente que la Directiva 95/46/CE sobre protección de datos personales(4) “establece normas vinculantes tanto para el sector público como para el privado y [ … ] es de obligado cumplimiento en los casos de datos personales en manos del sector público.

El apartado 114 destaca que “El crecimiento de la sociedad de la información puede plantear nuevos riesgos para la intimidad del particular si se facilita el acceso a los registros públicos en formato electrónico (especialmente en línea y a través de Internet) y en grandes cantidades”.

Con todo, el Libro Verde en su conjunto suscita varias ambigüedades sobre la fuerza de esta convicción.

(1) COM(1998) 585, disponible en la siguiente dirección: http://www.echo.lu/legal/en/acces.html.

(2) Parece poder hacerse una distinción entre la publicidad ordenada por una legislación, el acceso a la información autorizado por ley y situaciones en las que la cuestión de la publicidad o del acceso es consecuencia de un requerimiento formulado por particulares o empresas respecto al sector público sin que la regule una ley.

(3) El presente dictamen no trata, pues, de la otra acepción – más amplia – del término “dato llamado “público””: la que comprende el conjunto de los datos tratados por las administraciones públicas.

(4) Directiva del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; DO L 281 de 23/11/95 pág. 31-51 Disponible en la dirección siguiente: http://www.europa.eu.int/comm/dg15/fr/media/dataprot/index.htm.

En primer lugar, la utilización (en la versión inglesa) del término “publicly available” (públicamente disponible) es propicia a la concepción de que los datos hechos públicos quedarían, así, disponibles para cualquier uso. Obsérvese que el principio de finalidad, pilar de nuestras legislaciones de protección de datos, se combina mal con el adjetivo “disponible”.

Además el principio de la lealtad de la recogida – garantizado, entre otras cosas, por la exigencia de seguridad en el tratamiento de los datos – podría verse afectado por el hecho de que un dato se haga público de forma descuidada e irreflexiva. Por ello convendría que la expresión “publicly available” se sustituya por otra más apropiada e inequívoca (por ejemplo “publicly accesible”)

En segundo lugar, de la pregunta n_ 7 (“Los problemas de intimidad ¿merecen especial atención en lo que atañe a la explotación de la información del sector público?”, página 17) se podría deducir que la recapitulación de los preceptos de la Directiva 95/46/CE no conduce tan firmemente como se habría podido imaginar a conclusiones precisas sobre este punto, al mismo tiempo que se precisa (apartado 111) que la Directiva 95/46/CE “consigue el equilibrio necesario entre el principio de acceso a la información del sector público y la protección de los datos personales”. Estas ambigüedades deberían desaparecer.

2. En este contexto, el presente dictamen tiene por objetivo alimentar la reflexión sobre la dimensión de la protección de los datos personales, esencial cuando se pretende facilitar el acceso a datos del sector público que se refieren a personas físicas. No pretende sin embargo ofrecer todas las respuestas a las cuestiones que plantea en cada caso la conciliación entre el objetivo de facilitar el acceso a los datos del sector público, fundada en la voluntad de reforzar la transparencia de los Estados respecto a los ciudadanos, y la protección de los datos personales, tal como se define en la Directiva 95/46/EC.

Este dictamen no tratará por tanto de las cuestiones planteadas por el Libro Verde que parecen sobrepasar la mera puesta a disposición de terceros de la información del sector público, como por ejemplo el punto de vista expresado en el apartado 56 (II 2, página 10) “la utilización de las nuevas tecnologías podrá aumentar considerablemente la eficacia de la recogida de la información. Proporciona a los entes públicos la posibilidad de compartir la información disponible, cuando ello sea conforme con las normas de protección de datos”.

Su objetivo es proporcionar, basándose en la Directiva 95/46/CE, así como en experiencias concretas recogidas con fines pedagógicos en el ámbito de los registros más conocidos de datos personales hechos públicos, un primer conjunto de puntos de referencia que conviene tener en cuenta cuando se toman decisiones concretas. Estos puntos de referencia y ejemplos concretos recogidos en distintos Estados miembros están destinados a ilustrar cómo deben considerarse en la sociedad de la información las normas de protección de datos cuando se trate de datos procedentes de registros públicos y a indicar algunas de las medidas de carácter técnico u organizativo que pueden contribuir (sin que por ello pretendan garantizar una protección sin fallas) a conciliar la publicidad de estos datos y el respeto de las disposiciones de protección de datos personales, sobre todo el de las relativas al principio fundamental en este tema, a saber, el principio de finalidad para la cual los datos se hacen públicos en el caso que aquí nos interesa.

I – LAS NORMAS DE PROTECCIÓN DE DATOS SE APLICAN A LOS DATOS PERSONALES HECHOS PÚBLICOS

La accesibilidad de las informaciones que dependen del sector público, sobre todo a través de la informatización preconizada por el Libro Verde, plantea el problema de saber de qué modo se utilizan estas informaciones. La solución no está en prohibir su utilización, la evolución de nuestras sociedades no va en ese sentido. Tampoco van en ese sentido nuestras legislaciones de protección de datos, garantes del acompañamiento de la informatización de la sociedad y no de su prohibición.

Por lo demás, afirmar la aplicabilidad de nuestras leyes de protección de datos a los datos personales hechos públicos, no es más que la expresión de una evidencia que deriva de los textos sobre protección de datos: un dato de carácter personal, incluso hecho público, sigue siendo un dato de carácter personal y goza, por lo tanto, de protección.

Esta afirmación implica necesariamente determinar cuál es la protección que se ofrece al dato de carácter personal hecho público. A este respecto, la Directiva 95/46/CE ya da algunas respuestas.

Directiva del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;

La Directiva permite tener en cuenta, en la aplicación de las normas que establece, el principio del derecho de acceso del público a los documentos administrativos(5) así como otros elementos pertinentes para la discusión (6).

Así el principio de finalidad exige que los datos personales se recojan para finalidades determinadas, explícitas y legítimas y no se traten posteriormente de manera incompatible con ellas.7 Este principio desempeña pues un papel central en la accesibilidad de datos personales en el sector público.

Conviene, sobre todo, determinar caso por caso en qué medida una ley exige o autoriza la publicación o el acceso por el público a datos personales: ¿contempla una accesibilidad íntegra e ilimitada en el tiempo, permite una utilización de esos datos con cualquier objetivo independientemente de la finalidad inicial o, al contrario, prevé la accesibilidad solamente a ciertas partes y/o una utilización vinculada a la finalidad para la cual el dato se hizo público?

Por lo tanto, no existe una sola categoría de datos personales, destinados a hacerse públicos, que deba tratarse uniformemente desde el punto de vista de la protección de datos, sino que conviene más bien proceder a un análisis por grados en la delimitación de los derechos del  individuo al que los datos se refieren y de los derechos del público a acceder a esa información. Aunque el acceso a los datos pueda ser público, puede estar sujeto a condiciones (como la justificación de un interés legítimo) y su explotación, con fines comerciales por ejemplo, o por los medios de comunicación, puede restringirse. Los ejemplos siguientes van a ilustrar estas cuestiones.

(5) Véase el considerando 72. Conviene tener en cuenta para el debate que la Directiva no contiene definición del término “documentos administrativos”, pero que puede entenderse en un sentido amplio que permite cubrir al menos las “informaciones administrativas” previstas por el Libro Verde en su propuesta de clasificación de las informaciones (apartado 73 y siguiente, página 12).

(6) Véase el artículo 10 y considerando 37 de la Directiva 95/46/CE sobre la conciliación del derecho a la intimidad con las normas que regulan la libertad de expresión. Véase también la Recomendación 1/97 del Grupo sobre “Legislación sobre protección de datos y medios de comunicación”, adoptada el 25.2.1997 (documento 5012/9, disponible en las 11 lenguas en la dirección indicada en nota 1).

(7) Véase para mayor detalle la letra b) del apartado 1 del artículo 6 de la Directiva 95/46/EC.

Es útil recordar aquí que independientemente de una eventual publicación de datos personales, la persona interesada tiene siempre derecho de acceso a sus datos y el derecho a exigir, cuando proceda, su rectificación o el borrado de datos cuyo tratamiento no se ajuste a lo dispuesto en la Directiva debido, sobre todo, a su carácter incompleto o inexacto(8).

Cierto es que distintos preceptos de la Directiva hacen referencia explícita al carácter público de un dato. Dos de estos preceptos merecen ser citados con todos sus matices.

(8) Véase artículo 12 de la Directiva 95/46/EC. El artículo 18.3, que impone que los tratamientos se notifiquen a la autoridad de control, permite una excepción a esta obligación en caso de registros que, “en virtud de disposiciones legislativas o reglamentarias se destinen a información del público y estén abiertos a la consulta pública”. Aunque los considerandos 50 y 51 de la Directiva precisan que estas excepciones o simplificaciones no se aplican a los tratamientos cuyo único objetivo (1ª  condición) sea mantener un registro destinado, de acuerdo con el derecho nacional, a la información del público (2ª  condición) y que están abiertos a consulta pública o a cualquier persona que justifique interés legítimo (3ª  condición), sin que el beneficio de tales excepciones exima al responsable del tratamiento de ninguna de las demás obligaciones que se derivan de la Directiva.

Por último, la letra f) del artículo 26, que constituye una excepción a la exigencia de un nivel adecuado de protección para los datos objeto de transferencia hacia terceros países cuando la transferencia no ofrezca ese nivel de protección siempre que se realice “a partir de un registro destinado a información del público”. Sin embargo, el considerando 58 de la Directiva limita el alcance de la transferencia precisando que no debe referirse a la totalidad de los datos ni a las categorías de datos contenidos en este registro y que, cuando proceda efectuarla, la transferencia sólo debe poder realizarse a petición de las personas con un interés legítimo.

Pero resulta claramente de estos preceptos y precisiones que si bien la protección de los datos personales no debe constituir un obstáculo al derecho de los ciudadanos a tener acceso a los documentos administrativos en las condiciones previstas por cada legislación nacional, la Directiva no pretende sin embargo privar de toda protección a los datos accesibles al público.

El debate referente a la cuestión de si es necesario armonizar las normas nacionales sobre el acceso a la información del sector público debe en cualquier caso tener en cuenta las normas armonizadas sobre protección de datos personales, así como de las medidas nacionales de transposición correspondientes.

Además de la misión de la Comisión de velar por la aplicación de la Directiva 95/46/CE, corresponderá al Grupo creado por el artículo 29 de la misma apreciar concretamente el alcance de las disposiciones nacionales adoptadas en su aplicación en los casos precisos que puedan revelar divergencias a escala nacional.(9)

B – Ejemplos de conciliación de las normas de la protección de los datos personales y del acceso a la información del sector público Algunas legislaciones supeditan la difusión de la información del sector público a ciertas finalidades que pueden llevar, sea a prohibir el acceso a determinados datos, o a ponerle condiciones, sea a prohibir algunas formas de utilización de los mismos.

Ahora bien, la digitalización de las informaciones y las posibilidades de búsqueda en texto íntegro pueden, sin embargo, multiplicar ad infinitum las posibilidades de interrogación y selección, sin olvidar que la difusión por Internet aumenta los riesgos de captación y desvío de uso. Además, la aproximación a datos hechos públicos a partir de fuentes diferentes, cuando éstas se ponen a disposición del público, se ve facilitada en gran medida por la digitalización de los datos y permite, sobre todo, establecer perfiles sobre la situación o el comportamiento de los individuos(10). También es conveniente prestar una atención especial al hecho de que, al poner así datos personales a disposición del público, se beneficia a las nuevas técnicas de “data warehousing” y “data mining”. Estos métodos permiten recoger datos sin ninguna especificación a priori de la finalidad, y es sólo en fase de la explotación cuando se definen las distintas finalidades. Por lo tanto, es necesario tener en cuenta todo lo que es técnicamente posible hacer con los datos(11).

Esta es la razón por la que es conveniente comprobar, caso por caso, cuáles podrían ser las repercusiones negativas sobre el individuo antes de tomar cualquier decisión de difusión en soporte digital. Según los casos, conviene, o bien decidir no difundir ciertos datos personales, o bien someter la difusión a la valoración de la persona en cuestión o a otras condiciones.

(9) Véanse los artículos 29 y 30 de la Directiva 95/46/EC.

(10) Convendría señalar que el uso de estas tecnologías confiere también al estado la posibilidad de establecer tales perfiles.

(11) Otro ejemplo: gracias al cotejo electrónico de dos bancos, se puede obtener más fácilmente informaciones negativas sobre tal o cual persona, por ejemplo: el cotejo del censo de población (si existe) y de los padrones electorales permite identificar a las personas que no tienen derecho de voto.

1 – Bases de datos de jurisprudencia:

El apartado 74 del Libro Verde (página 11) que hace particular referencia a los procesos judiciales para ilustrar el concepto de información fundamental para el funcionamiento de la democracia”, plantea una cuestión de fondo. En efecto, ¨se puede concebir que todos los juicios de todos los órganos jurisdiccionales estén disponibles en Internet sin perjuicio para las personas?

Instrumentos de documentación jurídica, las bases de datos de jurisprudencia pueden convertirse, si no se toman precauciones particulares, en ficheros de información sobre personas si se consultan, no para conocer una jurisprudencia, sino para obtener, por ejemplo, todas las decisiones judiciales que se refieren a una misma persona.

La Comisión de Protección de la Vida Privada (Bélgica), en un dictamen de 23 de diciembre de 1997, puso vigorosamente en evidencia que “la evolución tecnológica debe ir acompañada de una mayor contención en cuanto a la mención de la de identificación de las partes en los anales de jurisprudencia”. Propone que a falta de una completa omisión de la identificación de las partes, las decisiones judiciales accesibles al público en general no estén indexadas a partir del nombre de las partes, con el fin de impedir las búsquedas a partir de este criterio.

La Comisión de protección de datos personales italiana(12) prevé proponer a escala nacional que las partes tengan un derecho de oposición a la publicación de sus nombres respectivos en las bases de datos de jurisprudencia. Este derecho podría ejercerse en cualquier momento y tenerse en cuenta en las actualizaciones de bases de datos divulgadas en soporte magnético.

El ejercicio de este derecho no tendría efectos retroactivos para las publicaciones en papel.

En Francia, el Ministerio de Justicia, que pretende difundir las bases de datos de jurisprudencia en Internet, impuso, en el pliego de condiciones, que las decisiones judiciales se hiciesen anónimas.

2 – Algunos textos oficiales:

La difusión de informaciones en Internet implica una plétora de información a escala mundial y una multiplicación de las fuentes. Este cambio de escala geográfico puede originar un riesgo específico. En efecto, la difusión de una información legítimamente pública en un país puede, a escala mundial, causar graves ataques a la intimidad o a la integridad física de las personas. Esto sucede, cuando, por ejemplo, las decisiones de naturalización son objeto de publicación oficial obligatoria. Tal es el caso en Francia donde, siguiendo en este aspecto el dictamen de la Comisión Nacional de Informática y Libertades (CNIL), el gobierno francés, cuando el “Journal Officiel” se puso en Internet, excluyó estos textos de la difusión, con el fin de evitar a algunos nacionales que habían renunciado a su nacionalidad de origen el riesgo de incurrir en posibles represalias.

(12) Garante per la protezione dei dati personali

Podemos observar que, en algunos casos, la voluntad de transparencia de un Estado, y en particular de sus nacionales, puede adaptarse mal a la difusión a escala planetaria de tales informaciones.

3 – Otros ejemplos de difusión de datos personales hechos condicionalmente públicos con miras a proteger a la persona interesada:

Las condiciones de acceso a los datos personales contenidos en registros pueden ser muy variadas, según las normativas: por ejemplo, acceso parcial a los datos del registro, comprobación de un interés legítimo, prohibición de uso comercial.

En Alemania, todas las listas de candidatos a una elección federal deben contener nombre y apellido, profesión o situación, día, lugar de nacimiento y dirección. Sin embargo, en las listas hechas públicas antes del escrutinio por el responsable local o del Estado Federado encargado de la organización de las elecciones federales, el día de nacimiento se sustituye por el año de nacimiento.

En Italia, la legislación relativa al registro de empadronamiento que realiza cada municipio prevé la prohibición de comunicar datos a organismos privados y la obligación, por parte de cualquier administración que pueda solicitar la comunicación de datos, de aportar la prueba de un interés público pertinente.

En Francia, el padrón electoral es público a fin de poder auditar su regularidad. La ley permite la utilización con fines políticos por todos los candidatos y todos los partidos y prohíbe el uso comercial. No sería concebible, por tanto, que los padrones electorales pudieran difundirse por Internet.

Del mismo modo, en Francia, los datos personales contenidos en el catastro son públicos, pero está prohibido el uso comercial.

En Grecia, el sistema actual de catastro, organizado sobre la base de un registro alfabético de propietarios de bienes inmuebles, se sustituirá por un registro basado en la definición del bien inmueble, con el fin de impedir que las búsquedas se refieran a los conjuntos de bienes inmueble que pertenecen a una misma persona. Para tener acceso al catastro debe poderse justificar un interés legítimo.

II – LAS NUEVAS TECNOLOGÍAS PUEDEN CONTRIBUIR A CONCILIAR LA PROTECCIÓN DE DATOS PERSONALES Y SU PUBLICIDAD

Sin dejar de favorecer el acceso a los datos públicos, entre otras cosas mediante su “puesta en línea”, las nuevas tecnologías y ciertas medidas administrativas de acompañamiento pueden facilitar el respeto de los principios esenciales de la protección de datos, como son el principio de finalidad, el de información y los derechos de oposición o de seguridad.

No obstante, la utilización de estas tecnologías no presenta una garantía absoluta contra el riesgo de abuso y desvío de principios de protección de datos personales tal como ya se ha descrito.

A – Las condiciones técnicas de acceso a la información del sector público deben contribuir al respeto del principio de finalidad

Habida cuenta de las condiciones de accesibilidad digital del público, es ciertamente muy difícil garantizar en la práctica la especificación de la finalidad, pero un uso ponderado y bien orientado de la técnica debería contribuir a lograr este objetivo. Conviene para ello comprobar y definir en cada caso las condiciones de interrogación. A este respecto, debería aplicarse el principio siguiente: “cualquiera puede acceder a cualquier dato individualmente, en las condiciones autorizadas, pero no a todos los datos en conjunto”. La elección de los criterios de búsqueda que deben introducirse debe excluir cualquier abuso en situación normal. Conviene por otro lado comprobar si no es posible orillar “el obstáculo” obteniendo informaciones complementarias en otras fuentes.

Esta es la razón por la que la consulta en línea de bancos de datos puede ser objeto de restricciones con miras a prevenir el desvío de la finalidad para la cual se hacen públicos los datos. Estas medidas, adaptadas a cada caso, pueden consistir, por ejemplo, en limitar el campo de búsqueda o los criterios de interrogación.

Podemos observar que, en Francia, los extractos de partida de nacimiento son accesibles a cualquier persona que disponga de la identidad, la fecha y el lugar de nacimiento de una persona. El CNIL supeditó la consulta en línea de estos extractos a la condición de que la demanda en línea implique el conjunto de estas informaciones. La determinación de criterios restrictivos de interrogación de la base puede evitar la recogida masiva de este tipo de registros para fines comerciales respetando la finalidad de la accesibilidad.

En Francia también, el listín telefónico publicado en soporte telemático se podía consultar a partir de las primeras letras del nombre, lo que hacía más fácil su descarga completa y su utilización comercial contra la voluntad de algunos abonados que se oponían a este uso. Hacer imposible este tipo de búsqueda en Minitel e Internet permitió prevenir posibles desvíos de finalidad operados por este medio.

En los Países Bajos, los CD-ROM destinados a la difusión de la guía telefónica se concibieron de tal forma que se pudiese impedir la obtención del nombre y la dirección de una persona sabiendo su número de teléfono (no es posible la interrogación de la base de datos a partir únicamente del campo número de teléfono).

Del mismo modo, las bases de datos relativas a los registros de empresas no deben poder interrogarse según el criterio del nombre de una persona, pues ello podría conducir a una búsqueda de todas las empresas en las que figura dicha persona.

B Promover la utilización de instrumentos técnicos que puedan impedir la captación automatizada de datos accesibles en línea

Se podría citar el protocolo de exclusión de los motores de investigación (The Robots Exclusion Protocol) que tiene por objeto impedir la indexación automatizada por un motor de búsqueda de la totalidad o una parte de las páginas de un sitio. En cualquier caso, estos métodos sólo podrán ser eficaces si se informa a los diseñadores de parajes y los internautas de su existencia y si los motores de búsqueda los respetan. Algunas sociedades editoras de motores de búsqueda declaran respetar este protocolo.

III. Utilización comercial

Inicialmente los datos personales en el sector público se recogían y se trataban con objetivos precisos y, en principio, sobre la base de una normativa. A veces la recogida era obligatoria, otras veces era una condición para acceder a un servicio público. El ciudadano interesado no espera inevitablemente que los datos que le conciernen se hagan públicos y se utilicen con fines comerciales. Esta es una de las razones por las cuales algunas legislaciones nacionales permiten el acceso a la información del sector público, prohibiendo, sin embargo, la utilización comercial de esa información, incluyendo los datos personales (13).

Desde el punto de vista de la Directiva 95/46/CE(14), se plantea la cuestión de saber si la utilización comercial debe considerarse como una finalidad incompatible con aquélla para la cual se recogieron inicialmente los datos y, en caso de que la respuesta sea afirmativa, la cuestión de saber bajo qué condiciones podría considerarse posible la utilización comercial.

Si se admite la publicación y la comercialización de la información del sector público(15), es necesario respetar algunas normas y plantearse caso por caso la cuestión de cómo reconciliar efectivamente el respeto del derecho a la intimidad con los intereses comerciales de los agentes.

(13) Véase Anexo 1 del Libro Verde: Situación actual en los Estados miembros por lo que se refiere a la legislación y las políticas relativas al acceso a la información del sector público, página 21 y siguientes.

(14) Véase apartado 1 del artículo 6 b de la Directiva 95/46/EC.

(15) Conviene señalar que algunos consideran que, dado que la reunión de distintos datos permite establecer perfiles personales, sería necesario prohibir la utilización comercial de los datos de carácter personal o por lo menos limitarla y sancionar las infracciones. Por lo que se refiere a los datos de carácter personal extraídos de fuentes oficiales, no hay ninguna excepción a la obligación de informar a la persona interesada (artículo 11 de la Directiva).

La Directiva 95/46/EC reconoce a la persona interesada el derecho a recibir información del tratamiento de los datos que le conciernen así como, cuando menos, el derecho a oponerse al tratamiento legítimo. Los ciudadanos deben pues ser informadas de la finalidad de comercialización y poder oponerse a tal utilización mediante procedimientos simples y eficaces(16).

En este aspecto, hay aún muchos progresos por hacer. La multiplicidad de fuentes de divulgación de datos, el gran número de agentes, la posibilidad de teledescarga, conducen a defender la idea de una ventanilla única de protección de datos que evite que los ciudadanos tengan de efectuar en multitud de ocasiones la misma diligencia ante el conjunto de los agentes. Eso es lo que ocurre, en varios Estados Miembros, con las listas telefónicas.

Es la razón también por la cual, el CNIL(17) recomendó que todos los editores de listas telefónicas identifiquen para todos los soportes de publicación (papel, CD-ROM, Minitel o Internet) a los suscriptores que hayan ejercido su derecho a oponerse a la utilización de sus datos con fines comerciales.

Esta idea de ventanilla única parece esencial, tanto desde el punto de vista del respeto de los derechos de las personas, como desde el punto de vista de los agentes comerciales que deseen utilizar datos personales.

La conciliación del derecho a la intimidad y de los intereses comerciales de los agentes podría también conducir a que fueran necesarios el consentimiento de la persona(18), o incluso medidas legislativas o reglamentarias, como puede ilustrarse con el siguiente ejemplo:

En un dictamen relativo a la comercialización de datos resultantes de licencias de construcción, la Comisión belga de protección de la intimidad consideró que una nueva finalidad (a saber, la comercialización de los tratamientos de las autoridades públicas), para ser lícita, debe estar legitimada por un fundamento legal o reglamentario que la defina de manera suficientemente precisa. A falta de tal legitimación, la Comisión considera que el interés que persigue la comunicación de los datos a terceros no prevalece sobre el derecho al respeto de la intimidad de la persona cuyos datos se comunican. Una tercera posibilidad consiste en la obtención del consentimiento del interesado para la finalidad de comercialización. Debe darse este consentimiento inequívocamente y con conocimiento de causa, habida cuenta del hecho de que quien desea obtener una licencia de construcción está obligado a presentar un expediente que responde a determinadas condiciones.

Más adelante, en el mismo dictamen, esta comisión belga describe la información de las personas, haciendo hincapié más concretamente en la existencia de un derecho de oposición, a requerimiento y de forma gratuita si los datos se hubieran obtenido con fines de comercialización directa.

(16) Véase artículos 10, 11 y 14 de la Directiva 95/46/EC.

(17) Comisión Nacional de Libertades e Informática, Francia.

(18) Véase artículos 2 h), 7a y 8 de la Directiva 95/46/EC relativa a la definición de “consentimiento” así como la exigencia de formas específicas de consentimiento según el caso

CONCLUSIÓN:

El legislador, cuando desea que un dato se vuelva accesible al público no considera sin embargo que haya de convertirse en res nullius. Tal es la filosofía del conjunto de nuestras legislaciones. El carácter público de un dato de carácter personal, resulte de una normativa o de la voluntad de la propia persona a la que alude el dato, no priva, ipso facto y para siempre, a dicha persona de la protección que le garantiza la ley en virtud de los principios fundamentales de defensa de la identidad humana.

En el debate desarrollado en el marco de la consulta sobre el Libro Verde y en las conclusiones que de él se deriven, es conveniente tener en cuenta, sobre todo, los aspectos y cuestiones siguientes con el fin de reconciliar el respeto del derecho a la intimidad y a la protección de los datos personales de los ciudadanos con el derecho del público a acceder a la información del sector público:

_ valoración caso por caso de la cuestión de si un dato de carácter personal puede publicarse / hacerse accesible o no, y en caso afirmativo, en qué condiciones y en qué soporte (digitalización o no, difusión en Internet o no, etc.),

_ principios de finalidad y legitimidad,

_ información de la persona en cuestión,

_ derecho de oposición de la persona en cuestión,

_ utilización de las nuevas tecnologías para contribuir al respeto del derecho a la intimidad. Estas directrices parecen imponerse no solamente en las situaciones en las que existe una normativa relativa a la publicidad o el acceso, sino también en aquéllas en las que no parecen ser necesarias medidas reglamentarias para satisfacer la solicitud formulada por el público de acceder a información del sector público, incluidos los datos personales(19).

Pendiente de las conclusiones de la Comisión Europea sobre la consulta en curso, el Grupo manifiesta ya desde ahora su gran interés en seguir contribuyendo a los trabajos previstos en este ámbito, así como en aquéllas cuestiones que se refieren a la puesta a disposición de terceros de las informaciones del sector público que sobrepasen el marco estricto del Libro Verde(20).

(19) Véase nota de la página 2.

(20) Véase por ejemplo lo dicho acerca del apartado 56 (página 9 del Libro Verde) sobre la posibilidad de recogida y reparto de información así como el apartado 123 (página 19) referente a propuestas de actuación para el intercambio de información entre entidades del sector público.

Hecho en Bruselas, el 7 de mayo de

1999.

Por el Grupo

Peter HUSTINX

Presidente

(Udvidelse af adgangen til tv-overvågning for kommuner)

VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt: Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov:

§ 1

I lov om tv-overvågning, jf. lovbekendtgørelse Nr. 1190 af 11. oktober 2007, som ændret ved lov Nr. 713 af 25. juni 2010, foretages følgende ændring:

1.- Efter § 2 indsættes:

“§ 2 a.- En kommunalbestyrelse kan efter drøftelse med politidirektøren med henblik på at fremme trygheden foretage tv-overvågning af offentlig gade, vej, plads eller lignende område, som benyttes til almindelig færdsel, og som ligger i nær tilknytning til et område, der tv-overvåges i medfør af § 2, stk. 2.”

§ 2

I lov Nr. 429 af 31. maj 2000 om behandling af personoplysninger, som ændret senest ved § 2 i lov Nr. 503 af 12. juni 2009, foretages følgende ændring:

1.- Efter § 26 c indsættes i kapitel 6 a:

“§ 26 d.- En kommune må kun behandle billedoptagelser med personoplysninger, der optages i forbindelse med tv-overvågning omfattet af § 2 a i lov om tv-overvågning, hvis

1)　den registrerede har givet sit udtrykkelige samtykke til behandlingen eller

2)　behandlingen sker med henblik på at fremme trygheden for personer, som færdes i det tv-overvågede område.

Stk. 2.– Optagelser som nævnt i stk. 1 må videregives i de tilfælde, der er nævnt i § 26 a, stk. 1.

Stk. 3.– Optagelser som nævnt i stk. 1 skal slettes, senest 30 dage efter at optagelserne er foretaget.”

§ 3

Loven træder i kraft den 1. juli 2011.

§ 4

Stk. 1.– Loven gælder ikke for Færøerne og Grønland.

Stk. 2.– Loven kan ved kongelig anordning sættes i kraft for Grønland med de afvigelser, som de grønlandske forhold tilsiger.

Givet på Amalienborg, den 10. maj 2011

Under Vor Kongelige Hånd og Segl

MARGRETHE R.

Lars Barfoed

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o Artigo 62 da Constituição, adota a seguinte Medida Provisória, com força de lei:

 Artigo 1º.- Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.

Artigo 2º.- A ICP-Brasil, cuja organização será definida em regulamento, será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz – AC Raiz, pelas Autoridades Certificadoras – AC e pelas Autoridades de Registro – AR.

Artigo 3º.- A função de autoridade gestora de políticas será exercida pelo Comitê Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República e composto por onze membros, sendo quatro representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da República, e sete representantes dos seguintes órgãos, indicados por seus titulares:

I.-　Casa Civil da Presidência da República;

II.-　Gabinete de Segurança Institucional da Presidência da República;

III.-　Ministério da Justiça;

IV.-　Ministério da Fazenda;

V.-　Ministério do Desenvolvimento, Indústria e Comércio Exterior;

VI.-　Ministério do Planejamento, Orçamento e Gestão;

VII.-　Ministério da Ciência e Tecnologia.

§ 1º A coordenação do Comitê Gestor da ICP-Brasil será exercida pelo representante da Casa Civil da Presidência da República.

§ 2º Os representantes da sociedade civil serão designados para períodos de dois anos, permitida a recondução.

§ 3º A participação no Comitê Gestor da ICP-Brasil é de relevante interesse público e não será remunerada.

§ 4º O Comitê Gestor da ICP-Brasil terá uma Secretaria-Executiva, na forma do regulamento.

Artigo 4º.- O Comitê Gestor da ICP-Brasil será assessorado e receberá apoio técnico do Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações – CEPESC.

Artigo 5º,. Compete ao Comitê Gestor da ICP-Brasil:

I.-　adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil;

II.-　estabelecer a política, os critérios e as normas para licenciamento das AC, das AR e dos demais prestadores de serviços de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;

III.-　estabelecer a política de certificação e as regras operacionais da AC Raiz;

IV.-　homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço;

V.-　estabelecer diretrizes e normas para a formulação de políticas de certificados e regras operacionais das AC e das AR e definir níveis da cadeia de certificação;

VI.-　aprovar políticas de certificados e regras operacionais, licenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado;

VII.-　identificar e avaliar as políticas de ICP externas, quando for o caso, certificar sua compatibilidade com a ICP-Brasil, negociar e aprovar acordos de certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras formas de cooperação internacional;

VIII.-　atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança.

Artigo 6º.- À AC Raiz, primeira autoridade da cadeia de certificação, executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil, compete emitir, manter e cancelar os certificados das AC de nível imediatamente subseqüente ao seu, gerenciar a lista de certificados emitidos, cancelados e vencidos, e executar atividades de fiscalização e auditoria das AC e das AR e dos prestadores de serviço habilitados na ICP, em conformidade com as diretrizes estabelecidas pelo Comitê Gestor da ICP-Brasil.

Parágrafo único.- É vedado à AC Raiz emitir certificados para o usuário final.

Artigo 7º.- O Instituto Nacional de Tecnologia da Informação do Ministério da Ciência e Tecnologia é a AC Raiz da ICP-Brasil.

Parágrafo único.- Para a consecução de seus objetivos, o Instituto Nacional de Tecnologia da Informação poderá, na forma da lei, contratar serviços de terceiros.

Artigo 8º.- Às AC, entidades autorizadas a emitir certificados digitais vinculando determinado código criptográfico ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados e as correspondentes chaves criptográficas, colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações.

Artigo 9º.- Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários, encaminhar solicitações de certificados às AC e manter registros de suas operações.

Artigo 10.– Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser licenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado.

Artigo 11.– É vedada a certificação de nível diverso do imediatamente subseqüente ao da autoridade certificadora, exceto nos casos de acordos de certificação lateral ou cruzada previamente aprovados pelo Comitê Gestor da ICP-Brasil.

Artigo 12.– Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.

Artigo 13.– A todos é assegurado o direito de se comunicar com os órgãos públicos por meio eletrônico.

Artigo 14.– A utilização de documento eletrônico para fins tributários atenderá, ainda, ao disposto no Artigo 100 da Lei n º 5.172, de 25 de outubro de 1966 – Código Tributário Nacional.

Artigo 15.– Esta Medida Provisória entra em vigor na data de sua publicação.

Brasília, 28 de junho de 2001; 180º da Independência e 113º da República.

FERNANDO HENRIQUE CARDOSO
José Gregori
Pedro Parente

Chapter 1.- General Provisions

Article 1.- In order to protect the rights and interests of the copyright owner of computer software, to regulate the interest relationships arising in the development, dissemination and use of computer software, to encourage the development and application of computer software and to promote the development of software industry and informationization of national economy, these Regulations are enacted in accordance with the Copyright Law of the People’s Republic of China.

Article 2 .-“Computer software” (hereinafter referred to as software) referred to in these Regulations means computer programs and the relevant documentation thereof.

Article 3.- Meanings of the following terms used in these Regulations are:

1) Computer program: refers to the coded instructional sequences — or those symbolic instructional sequences or numeric language sequences which can be automatically converted into coded instructional sequences — which are for the purpose of obtaining a certain result and which are operated on information processing equipment such as computers.

The source code program of a piece of computer software and its object code program should be regarded as one work.

2) Documentation: refers to written materials and diagrams which are used to describe the contents, organization, design, functions and specifications, development circumstances, testing results and method of use of the program, for example: program design explanations, flow charts, user manuals, etc.

3) Software developers: refer to those legal persons or other organizations that actually organize the development, directly undertake the development, and take the responsibility for the software completed; or the natural persons who rely on their own conditions to complete the software and who take the responsibility for the software.

4) Software copyright owners: refer to those natural persons, legal persons or other organizations, in accordance with these Regulations, enjoying the copyright of computer software.

Article 4.- Software that enjoys protection under these regulations must be independently developed by the developer and must already be in material form.

Article 5.- Chinese citizens, legal persons or other organizations shall enjoy the copyright under these regulations for the software they have developed, regardless of whether it has been published.

Software of foreigners or stateless persons first published in China shall enjoy the copyright under these regulations.

Software of foreigners or stateless persons shall enjoy copyright in China and protection under these regulations according to a bilateral agreement signed between China and the country to which the developer belongs or in which the developer habitually resides, or according to an international treaty to which China is a party.

Article 6.- The protection provided to software copyright under these regulations cannot be expanded to encompass the ideas, processing courses, operation methods or mathematical concepts, etc. used in the development of computer software.

Article 7.- The software copyright owners may make registration at the software registration organs accredited by the administrative department of copyright under the State Council. The certificates of registration issued by the software registration organs shall be the preliminary certification of the registered matters.

One shall pay fees when making software registration. The charging standard for software registration shall be provided for by the administrative department of copyright under the State Council together with the department in charge of price under the State Council.

Chapter 2.- Software Copyright

Article 8.- Software copyright owners shall enjoy the following rights:

(1) Right of publication, is the right to decide whether the software should be released to the public;

(2) Right of authorship, is the right to indicate the developer's identity and to place his name on the software;

(3) Right of revision, is the right to supplement or abridge the software or to change the order of the instructions or language statements;

4) Right of duplication: is the right to make a copy or copies of the software;

5) Right of publishing: is the right to provide the original or the copies of the software to the public by selling or donation;

6) Right of lease: is the right to license others to use the software temporarily for remuneration, except that the software is not the main object of lease;

7) Right of dissemination on information networks: is the right to provide the software to the public by wire or wireless means, thus the public may acquire the software at the time and place chosen by themselves;

8) Right of translation: is the right to transform the original software from one natural language to another natural language;

9) Other rights that shall be enjoyed by the software copyright owners.

Software copyright owners may license others to exercise their software copyright and shall have the right to get remuneration.

Software copyright owners may transfer the whole of or a part of their software copyright and shall have the right to get remuneration.

Article 9.- The copyright of a piece of software belongs to its developer, except as otherwise prescribed by these Regulations.

If there is no adverse proof, the natural person, legal person or other organization that places its name on the software shall be the developer.

Article 10.- Where the software is developed jointly by 2 or more natural persons, legal persons, or other organizations, the ownership of the copyright of the software shall be agreed upon in a written contract signed by the co-developers.

If there is no written contract or if the matter is not clearly stipulated in the contract, and the jointly developed software can be used in separate parts, the co-developers can separately enjoy the copyright on the parts they developed, but during the exploitation of the copyright this may not be extended to the copyright of the jointly developed work in its entirety.

Where the jointly developed software cannot be used in separate parts, the co-developers shall enjoy the copyright of it jointly and exploit the copyright by consensus. If consensus cannot be reached, and in the absence of any unusual reasons, no party may prevent the other parties from implementing the exclusive rights, with the exception of the right of transfer to a third party. However, any benefits earned shall be fairly distributed among the co-developers.

Article 11.- The copyright of software which is commissioned to be developed by another person, shall be governed by any written contract signed between the person who commissioned the work and the person who undertook the commission; if there is no written contract or if the matter is not clearly stipulated in the contract, the copyright shall be enjoyed by the person undertaking the commission.

Article 12.- The ownership and exploitation of the copyright of software which is developed pursuant to tasks assigned by state organs shall be based on the stipulations contained in the project task document or contract; if the matter is not clearly stipulated in the project task document or contract, the copyright shall be enjoyed by the legal person or other organization that accepted the task.

Article 13.- If the software developed by a natural person while working for a legal person or other organization is under any of the following circumstances, the copyright of that software shall be enjoyed by the said legal person or other organization, which may reward the natural person who developed the software:

1) Software developed in accordance with the clearly stipulated development goals for his post;

2) The software developed is the predictable or natural result of the activities involved in his post;

3) The development of the software mainly use the material and technological conditions of the legal person or other organization such as funds, special equipment, undisclosed special information, etc. and the legal person or other organization takes responsibility for that software.

Article 14.- The software copyright shall come into being on the day of the completion of development.

For the software copyright of a natural person, the term of protection is the life time of the natural person and 50 years after his death, ending on the 31st of December of the fiftieth year after the death of the natural person; where the software is jointly developed, the term shall end on the 31st of December of the fiftieth year after the death of the last natural person.

For the software copyright of a legal person or other organization, the term of protection is 50 years, ending on the 31st of December of the fiftieth year after the first publication of the software, however, these Regulations will no longer protect the software if it hasn’t been published within 50 years since the completion of development.

Article 15.- Where the software copyright belongs to a natural person, and after the natural person dies, the software copyright owner's heir may, during the term of software copyright protection and in accordance with the relevant provisions of the Inheritance Law of the People's Republic of China, inherit the rights provided for in Article 8 of these Regulations, excluding the right of authorship.

Where the software copyright belongs to a legal person or other organization, and after the legal person or other organization is altered or terminated, the copyright shall be enjoyed by the legal person or other organization succeeding its rights and obligations during the term of protection prescribed by these Regulations; if there is no legal person or other organization succeeding its rights and obligations, the copyright shall be enjoyed by the State.

Article 16.- The owners of legal software copies shall enjoy the following rights:

1) To install that software in a computer or other equipment with information processing capacity according to the needs of use;

(2) To make a backup copy for the purpose of preventing the copies from damage. However these back-up copies may not be provided to other persons by any means, and when the owners lose the ownership of those legal copies, they shall see to it that they destroy these back-up copies;

3) In order to carry out the necessary revisions for the purpose of using the said software in the real computer environment or improving its functions and performance; however, except as otherwise stipulated in the contract, the revised software may not be provided to any third party without the approval of the software copyright owner.

Article 17.- Those that use the software by installing, demonstrating, transmitting or storing it for the purpose of learning and studying the design ideas and theories contained in the software may do so without the approval of the software copyright owner and without paying remuneration to the owner.

Chapter 3.- Licensing and Transfer of Software Copyright

Article 18.- A contract of licensing shall be made to license others to exploit the software copyright.

The licensee may not exploit the rights not clearly licensed by the owner of software copyright in the contract of licensing.

Article 19.- The parties shall make a written contract in case of licensing of exclusive exploitation of software copyright..

Where there is no written contract or the licensing was not clearly stipulated in the contract as exclusive licensing, the rights licensed to be exploited shall be deemed as non-exclusive rights.

Article 20.- The parties shall make a written contract in case of transfer of software copyright.

Article 21.- Those making the licensing contract to license others to exclusively exploit the software copyright or making the contract of software copyright transfer may register with the software registration organs accredited by the administrative department of copyright under the State Council.

Article 22.- Chinese citizens, legal persons or other organizations that license or transfer software copyright to foreigners shall observe the relevant provisions of the Regulations of the People’s Republic of China on the Administration of Technology Import and Export.

Chapter 4.- Legal Responsibilities

Article 23.- Except as otherwise prescribed by the Copyright Law of the People’s Republic of China or these Regulations, anyone who has committed any of the following infringing acts shall, according to the circumstances, bear the civil responsibilities of stopping the infringement, eliminating the effects, making apologies and compensating for losses, etc.

1) Publishing or registering the software without the approval of the software copyright owner;

2) Publishing or registering the software developed by others in one's own name;

3) Publishing or registering the software developed in cooperation with another person as a work completed by oneself alone, without the approval of the cooperating developer;

4) Signing one's name to the software developed by another person or altering the signature on the software developed by another person;

5) Revising or translating the software without the approval of the software copyright owner;

6) Other acts infringing upon the software copyright.

Article 24.- Except as otherwise prescribed by the Copyright Law of the People’s Republic of China, these Regulations or other laws and administrative regulations, anyone who has committed any of the following infringing acts without the approval of the software copyright owner shall, according to the circumstances, bear the civil responsibilities of stopping the infringement, eliminating the effects, making apologies, compensating for losses, etc; for anyone who damages the public interests at the same time, the administrative department of copyright shall order the offender to stop the infringing acts, confiscate the illegal gains, confiscate and destroy the infringing copies, and may impose a fine on him at the same time; if the circumstances are serious, the administrative department of copyright may also confiscate the materials, tools, equipment, etc. that are mainly used in the making of the infringing copies; if there is any violation of criminal laws, the criminal responsibilities shall be investigated for according to the provisions of the Criminal Law on the crime of infringing upon copyright law and the crime of selling infringing copies:

1) Copying or partially copying the software of the copyright owner;

2) Releasing, leasing or disseminating through information networks the software of the copyright owner;

3) Intentionally avoiding or breaching the technical measures adopted by the copyright owner to protect his software copyright;

4) Intentionally deleting or altering the electronic information of software right management;

5) Transferring or licensing others to exploit the software copyright of the copyright owner.

Anyone who has committed the act prescribed in item 1) or item 2) of the preceding paragraph may be concurrently imposed on a fine of 100 Yuan per piece or a fine of not more than 5 times the value of the software; anyone who has committed the act prescribed in item 3), item 4), or item 5) of the preceding paragraph may be concurrently imposed on a fine of not more than 50,000 Yuan.

Article 25.- The amount of compensation for infringement of software copyright shall be determined according to the provisions of Article 48 of the Copyright Law of the People’s Republic of China.

Article 26.- Where the software copyright owner has the evidence to prove that another person is committing or is going to commit the acts infringing upon his rights, and if the acts are not stopped in time, his legal rights and interests will suffer incurable damages, the owner may, according to the provisions of Article 49 of the Copyright Law of the People’s Republic of China, apply to the people’s court for taking measures to order the stop of the relevant acts and to preserve the property before bringing a lawsuit.

Article 27.- For the purpose of preventing the infringing acts and under the circumstances that the evidence may be lost or hard to acquire afterwards, the software copyright owner may, according to the provisions of Article 50 of the Copyright Law of the People’s Republic of China, apply to the people’s court for preserving the evidence before bringing a lawsuit.

Article 28.- If the publisher, manufacturer of the software copies can’t prove that the publication or manufacturing has been legally authorized, or the releaser or leaser of software copies can’t prove that the copies released or leased have legal sources, they shall bear legal responsibilities.

Article 29.- If the software developed by the software developer is similar to the software already in existence because the available forms of expression is limited, this is not infringement upon the copyright of the software already in existence.

Article 30.- If the holder of software copies doesn’t know and there is no rational reason for it to know that the software is an infringing copy, the holder shall bear no responsibilities for compensation; however, it shall stop using and destroy that infringing copy. If the stop of use and destroying of that infringing copy cause heavy losses to the copy user, the copy user may continue to use the copy after paying reasonable fees to the software copyright owner.

Article 31.- Software copyright disputes may be mediated.

Software copyright contract disputes may be applied to an arbitration organ for arbitration according to the arbitration clause in the contract or the written arbitration agreement reached after the contract.

If parties concerned have not inserted an arbitration clause into the contract, and there is no written arbitration agreement reached after the event, they may bring a lawsuit directly at the People's Court.

Chapter 5.- Supplementary Provisions

Article 32.- The infringing acts committed prior to the taking effect of these Regulations shall be dealt with in accordance with the relevant provisions of the State at the time of the infringing act.

Article 33.- These Regulations shall take effect on January 1, 2002. And the Regulations on the Protection of Computer Software promulgated by the State Council on June 4, 1991 shall be abolished simultaneously.

Prime Minister Zhu Rongji

December 20, 2001

The Parliament of New Zealand enacts as follows:

1.- Title

“34.-Individuals may make information privacy requests

“72 C Referral of complaint to overseas privacy enforcement authority

“Part  11 A.- “Transfer of personal information outside New Zealand

“114 A Interpretation

“114 B Prohibition on transfer of personal information outside New Zealand

“114 C Commissioner's power to obtain information

“114 D Transfer prohibition notice

“114 E Commissioner may vary or cancel notice

“114 F Offence in relation to transfer prohibition notice

“114 G Appeals against transfer prohibition notice

“114 H Application of Human Rights Act 1993

“128 A Power to amend Schedule 5A

There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.

Data quality principle

Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date.

Purpose specification principle

The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose.

Use limitation principle

Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with [the Purpose specification principle above] except:

Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access, destruction, use, modification or disclosure of data.

Openness principle

There should be a general policy of openness about developments, practices and policies with respect to personal data. Means should be readily available of establishing the existence and nature of personal data, and the main purposes of their use, as well as the identity and usual residence of the data controller.

Individual participation principle

An individual should have the right:

Accountability principle

A data controller should be accountable for complying with measures which give effect to the principles stated above. 

PROYECTO DE LEY Nº 17613 DEL 8/02/2010

REFORMA DEL ARTÍCULO 229 BIS DEL CÓDIGO PENAL Y ADICIÓN DE UN NUEVO CAPÍTULO DENOMINADO DELITOS INFORMÁTICOS

Expediente nº 17.613

ASAMBLEA LEGISLATIVA:

En la última década, el tema de seguridad ciudadana ha empezado a tomar especial relevancia en la sociedad costarricense, al punto de ser tema de discusión al mismo nivel que la educación y la salud pública.　 El motivo de esta situación, no solo lo es el aumento desmedido de la delincuencia sino la sofisticación de los métodos que aplican los antisociales para perjudicar tanto la integridad física y moral así como el patrimonio de los ciudadanos.

Se puede definir como delito informático como “crimen genérico o crimen electrónico, que agobia con operaciones ilícitas realizadas por medio de pcs o del Internet o que tienen como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet.　 Sin embargo, las categorías que definen un delito informático son aún mayores y complejas y pueden incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en los cuales ordenadores y redes han sido utilizados. Con el desarrollo de la programación y de Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados.

Existen actividades delictivas que se realizan por medio de estructuras electrónicas que van ligadas a un sinnúmero de herramientas delictivas que buscan infringir y dañar todo lo que encuentren en el ámbito informático:　 ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias, daños en la información (borrado, dañado, alteración o supresión de datacredito), mal uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de bancos, ataques realizados por hackers, violación de los derechos de autor, pornografía infantil, pedofilia en Internet, violación de información confidencial y muchos otros.

Un ejemplo de la sofisticación de estos métodos, es el aumento de los llamados delitos informáticos; según indicó el Organismo de Investigación Judicial por medio de un comunicado de prensa, al 4 de mayo de 2009 aproximadamente 25 personas habían sido estafadas por medio de delitos informáticos a través de las campañas publicitarias de los bancos estatales, en donde las víctimas revelaban sus cuentas por Internet.

El 5 de mayo del 2009, en La Prensa Libre se explica “que este tipo de delitos sólo los cometen quienes conocen las técnicas para hacerlo y cuentan con los equipos especiales.

Dos de los métodos más usados en Costa Rica son el Phishing y el Pharming. El primero consiste en enviar un correo electrónico a la víctima, el cual proviene de un ente oficial, pero en realidad es falso, y en cuyo contenido se hace una solicitud expresa para actualizar la información confidencial perteneciente al cliente, como el nombre de usuario, contraseña, número de tarjeta y PIN entre otros, los cuales al final terminan en las computadoras de los estafadores.

La segunda técnica conocida como Pharming, es cuando mediante la alteración del Servidor de DNS de un Proveedor de Servicios de Internet (Racsa, ICE), y del DNS del Sistema Operativo de la computadora de un usuario. En este caso, es posible a través de la introducción de un programa malicioso, modificar el archivo de nombre hosts para el caso del Sistema Operativo Windows.Estos programas pueden provenir de correos electrónicos, descargas por Internet o medios de almacenamiento externos como llaves USB, entre otros.

Luego de acceder al vínculo referenciado en la página de Internet enviada, se ejecuta el programa malicioso, el cual modificará el archivo hosts de la computadora del usuario, sin su conocimiento, quien finalmente luego de digitar las direcciones de Internet en su navegador será redireccionado a una página de Internet fraudulenta.

Las autoridades, de momento, recomiendan a los clientes bancarios no abrir correos de remitentes desconocidos”.

Los actos ilegales realizados a partir de la tecnología, no se habían tipificado como delitos hasta hace poco en nuestro país; empero, el avance de un campo tan vasto como el de la informática, si por un lado ha permitido el crecimiento tecnológico y económico de la sociedad, por otro lado, paradójicamente, ha venido a significar el instrumento idóneo para menoscabar el patrimonio económico de personas e instituciones.　 Quizá hasta hace poco no se consideraba necesario resguardar el bien jurídico de la información; sin embargo, actualmente es completamente evidente la relevancia de hacerlo ya que con estos delitos se ven comprometidos otros bienes jurídicos tutelados como el patrimonio o la protección de datos personales, entre muchos otros.

Es por esto que en aras de penalizar acciones y tutelar el bien jurídico de la información y generar herramientas eficientes y eficaces para condenar delitos informáticos que afectan cada vez más el patrimonio de los costarricenses, se presenta el siguiente proyecto de ley.

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

REFORMA DEL ARTÍCULO 229 BIS DEL CÓDIGO PENAL Y ADICIÓN DE UN NUEVO CAPÍTULO DENOMINADO DELITOS INFORMÁTICOS

ARTÍCULO 1.- Refórmase el artículo 229 bis del Código Penal, Ley nº 4573 y sus reformas.

ARTÍCULO 2.- Adiciónase un capítulo nuevo al Código Penal, Ley nº 4573 y sus reformas.

“CAPÍTULO.- DELITOS INFORMÁTICOS

Rige a partir de su publicación.

Luis Antonio Barrantes Castro

DIPUTADO

San José, 15 de febrero del 2009

El párrafo primero de la disposición final tercera de la Ley 11/1988, de 3 de mayo, de protección jurídica de las topografías de los productos semiconductores, autoriza al Gobierno para modificar el artículo 3.3 de la misma, con el fin de ampliar el derecho a la protección de personas originarias de terceros países o territorios, que no pertenezcan a la Unión Europea y que no se beneficien de la protección, cuando así se establezca por los órganos de la Unión Europea

Por su parte, el Consejo de la Unión Europea, para responder a la necesidad de armonizar la legislación comunitaria con el Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio (Acuerdo ADPIC), ha adoptado la Decisión 94/824/CE, de 22 de diciembre, por la que se amplía, con carácter permanente, la protección jurídica de los productos semiconductores a los nacionales de los miembros de la Organización Mundial del Comercio. Dicha Decisión será aplicable a partir del 1 de enero de 1996.

Haciendo uso de la autorización al Gobierno prevista en la disposición final tercera, primer párrafo, de la Ley 11/1988, de 3 de mayo, y teniendo en cuenta la Decisión 94/824/CE adoptada por el Consejo de la Unión Europea, procede ampliar, con carácter permanente, la protección jurídica de las topografías de los productos semiconductores a los nacionales de los miembros de la Organización Mundial del Comercio.

En su virtud, a propuesta del Ministro de Industria y Energía, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 2 de febrero de 1996,

DISPONGO:

Artículo único. Beneficiarios de la protección

1. Se beneficiarán de la protección prevista en la Ley 11/1988, de 3 de mayo, de protección jurídica de las topografías de los productos semiconductores, las personas físicas que sean nacionales de un miembro del Acuerdo por el que se crea la Organización Mundial del Comercio, o estén domiciliados en su territorio.

2. Se beneficiarán de la misma protección las personas físicas o jurídicas con un establecimiento real y efectivo para la elaboración de topografías o la producción de circuitos integrados en el territorio de un miembro del Acuerdo por el que se crea la Organización Mundial del Comercio, que tendrán la consideración de personas físicas o jurídicas con un establecimiento comercial o industrial real y efectivo en el territorio de un miembro.

DISPOSICIÓN DEROGATORIA

Única. Derogación normativa

A la entrada en vigor de este Real Decreto quedarán derogadas todas aquellas disposiciones de igual o inferior rango relativas a la ampliación de la protección jurídica de las topografías de los productos semiconductores a personas originarias de determinados países y territorios en la medida en que amplíen la protección otorgada por la Ley 11/1988, de 3 de mayo, a países o territorios que son parte en el Acuerdo por el que se crea la Organización Mundial del Comercio

DISPOSICIÓN FINAL

Única. Entrada en vigor

El presente Real Decreto entrará en vigor el día siguiente al de su publicación el el “Boletín Oficial del Estado”, surtiendo efectos desde el 1 de enero de 1996

El Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica, permite a los españoles mayores de edad y que gocen de plena capacidad de obrar acreditar electrónicamente la identidad y demás datos personales del titular que en él consten, así como la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica, en los términos previstos en la Ley 59/2003, de 19 de diciembre, de firma electrónica.

En consecuencia, se reúnen en el documento nacional de identidad electrónico los dos instrumentos que le van a permitir llevar a cabo, de forma conjunta, las nuevas utilidades de que va revestido, cuales son la identificación y la firma electrónica de su titular.

Recientemente, distintos órganos de la Administración General del Estado, en aras de conseguir una mayor protección de la infancia en el uso de Internet, han mostrado su interés para que todos los ciudadanos, cualquiera que sea su edad, puedan acreditar su identidad por medios telemáticos, considerando que el documento nacional de identidad electrónico podría ser el mejor medio a estos fines.

Dado que, técnicamente es posible la disociación de los certificados contenidos en el documento nacional de identidad electrónico, parece aconsejable llevar a cabo una modificación del real decreto regulador del documento nacional de identidad, a fin de permitir que todos los ciudadanos españoles puedan acreditar su identidad por medios electrónicos, al tiempo que se reserva la capacidad de realizar la firma electrónica de documentos a las personas con capacidad legal para ello.

En otro orden de cosas, se considera también conveniente introducir cambios en determinados artículos del real decreto a fin de: facilitar que los ciudadanos puedan presentar el volante o el certificado de empadronamiento para la acreditación del domicilio en los supuestos de las primeras expediciones del documento nacional de identidad; adaptar su normativa reguladora a la normativa internacional que pueda afectarle; rebajar la validez de este documento cuando el solicitante sea menor de cinco años, tramo de edad en el que la fisonomía de su titular cambia muy rápidamente; y permitir clarificar determinados aspectos de la normativa que, actualmente, pueden suscitar dudas sobre el sentido de la misma.

En su virtud, a propuesta del Ministro del Interior, con la aprobación previa del Ministro de Hacienda y Administraciones Públicas, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 8 de noviembre de 2013, dispongo:

Artículo único. Modificación del Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica.

El Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica, queda modificado como sigue:

Uno.- Se añade un segundo párrafo al apartado 4 del artículo 1 con la siguiente redacción:

“En el caso de los españoles menores de edad, o que no gocen de plena capacidad de obrar, el documento nacional de identidad contendrá, únicamente, la utilidad de la identificación electrónica, emitiéndose con el respectivo certificado de autenticación activado.”

Dos.- Se modifican la letra c) del apartado 1 y el apartado 3 del artículo 5, que quedan redactados en los siguientes términos:

“1.c) Certificado o volante de empadronamiento del Ayuntamiento donde el solicitante tenga su domicilio, expedido con una antelación máxima de tres meses a la fecha de la solicitud del documento nacional de identidad.”

“3. En el momento de la solicitud, al interesado se le recogerán las impresiones dactilares de los dedos índices de ambas manos. Si no fuere posible obtener la impresión dactilar de alguno de los dedos o de ambos, se sustituirá, en relación con la mano que corresponda, por otro dedo según el siguiente orden de prelación: medio, anular o pulgar; consignándose, en el lugar del soporte destinado a tal fin, el dedo utilizado, o la imposibilidad de obtener alguno de ellos.”

Tres.- Se modifican el apartado 1 y la letra b) del apartado 2 del artículo 6, que quedan redactados en los siguientes términos:

“1. Con carácter general el documento nacional de identidad tendrá un período de validez, a contar desde la fecha de la expedición o de cada una de sus renovaciones, de:

a) Dos años cuando el solicitante no haya cumplido los cinco años de edad.

b) Cinco años, cuando el titular haya cumplido los cinco años de edad y no haya alcanzado los treinta al momento de la expedición o renovación.

c) Diez años, cuando el titular haya cumplido los treinta y no haya alcanzado los setenta.

d) Permanente cuando el titular haya cumplido los setenta años.”

“2.b) Por un año en los supuestos del apartado segundo del artículo 5 y del mismo apartado del artículo 7 siempre que, en éste último caso, no se puedan aportar los documentos justificativos que acrediten la variación de los datos.”

Cuatro.- Se modifican los apartados 1 y 2 del artículo 9, que quedan redactados en los siguientes términos:

“1. La entrega del documento nacional de identidad deberá realizarse personalmente a su titular, y cuando éste sea menor de 14 años o sea una persona con capacidad judicialmente complementada, se llevará a cabo en presencia de quien tenga encomendada la patria potestad o tutela, o persona apoderada por estas últimas. En el momento de la entrega del documento nacional de identidad se proporcionará la información a que se refiere el artículo 18.b) de la Ley 59/2003, de 19 de diciembre.

2. La activación del certificado de firma electrónica en el documento nacional de identidad tendrá carácter voluntario y su utilización se realizará mediante una clave personal y secreta que el titular del documento nacional de identidad podrá introducir reservadamente en el sistema.”

DISPOSICIÓN FINAL

Disposición final única. entrada en vigor.-El presente real decreto entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”. 

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea, y en particular su artículo 62, punto 2, letra a), su artículo 63, punto 3, letra b) y su artículo 66,

Vista la propuesta de la Comisión,

De conformidad con el procedimiento establecido en el artículo 251 del Tratado,

Considerando lo siguiente:

(1) El Sistema de Información de Schengen (“SIS”), creado de conformidad con las disposiciones del título IV del Convenio de 19 de junio de 1990 de aplicación del Acuerdo de Schengen, de 14 de junio de 1985, entre los Gobiernos de los Estados de la Unión Económica Benelux, de la Republica Federal de Alemania y de la República Francesa, relativo a la supresión gradual de los controles en las fronteras comunes (el Convenio de Schengen), y su desarrollo SIS 1+, constituye un instrumento esencial para la aplicación de las disposiciones del acervo de Schengen integradas en el marco de la Unión Europea.

(2) El desarrollo del SIS de segunda generación (“SIS II”) ha sido confiado a la Comisión en virtud del Reglamento (CE) n.º 2424/2001 del Consejo y de la Decisión 2001/886/JAI del Consejo, de 6 de diciembre de 2001, sobre el desarrollo del Sistema de Información de Schengen de segunda generación (SIS II). El SIS II sustituirá al SIS, tal como fue creado en virtud del Convenio de Schengen.

(3) El presente Reglamento constituye la base legislativa necesaria para regular el SIS II en las materias que entran en el ámbito de aplicación del Tratado constitutivo de la Comunidad Europea (el “Tratado”) CE. La Decisión 2006/…/JAI del Consejo, de … relativa al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen de segunda generación (SIS II), constituye la base legislativa necesaria para regular el SIS II en las materias que entran en el ámbito del Tratado de la Unión Europea.

(4) El hecho de que la base legislativa necesaria para la regulación del SIS II consista en dos instrumentos separados no afecta al principio de que el SIS II constituye un único sistema de información que debe funcionar como tal. En consecuencia, algunas disposiciones de dichos instrumentos deben ser idénticas.

(5) El SIS II debe ser una medida compensatoria que contribuya al mantenimiento de un alto nivel de seguridad, en el espacio de libertad, seguridad y justicia de la Unión Europea, mediante el apoyo a la aplicación de las políticas relacionadas con la circulación de personas que forman parte del acervo de Schengen, tal como consta en el Título IV de la Tercera parte del Tratado.

(6) Es necesario especificar los objetivos del SIS II, su arquitectura técnica y su financiación para establecer las normas relativas a su funcionamiento, y utilización y para definir las responsabilidades, las categorías de datos que se introducirán en el sistema, los fines para los que se introducirán, los criterios de introducción, las autoridades autorizadas para acceder a los datos, la interconexión entre las descripciones, y otras normas sobre tratamiento de datos y protección de datos personales.

(7) El SIS II debe incluir un sistema central (SIS II Central) y aplicaciones nacionales. El gasto derivado del funcionamiento del SIS II Central y de la infraestructura de comunicación debe correr a cargo del presupuesto general de la Unión Europea.

(8) Es necesario elaborar un manual que establezca normas detalladas sobre el intercambio de información complementaria en relación con la acción requerida por las descripciones. Las autoridades nacionales de cada Estado miembro deberán garantizar el intercambio de esta información.

(9) Durante un período transitorio, la Comisión debe ser responsable de la gestión operativa del SIS II Central y de parte de la infraestructura de comunicación. No obstante, para garantizar una transición fluida al SIS II, podrá delegar alguna o todas sus responsabilidades en dos organismos nacionales del sector público. A largo plazo, y tras una evaluación de impacto que contenga un análisis material de las alternativas desde el punto de vista financiero, operativo y organizativo, así como propuestas legislativas de la Comisión, debe crearse una Autoridad de Gestión con responsabilidades para estos cometidos. El período transitorio debe durar un máximo de cinco años a partir de la fecha en que el presente Reglamento sea aplicable.

(10) El SIS II debe contener descripciones a efectos de denegación de entrada o de estancia. Es necesario seguir considerando la oportunidad de armonizar las disposiciones sobre los motivos de inscripción de nacionales de terceros países con el fin de denegarles la entrada o la estancia, y de aclarar la utilización de las descripciones en el marco de las políticas de asilo, inmigración y retorno. Por lo tanto, la Comisión debe evaluar, tres años después de que el presente Reglamento sea aplicable, las disposiciones sobre los objetivos y las condiciones para la introducción de descripciones a efectos de denegación de entrada o estancia.

(11) Las descripciones a efectos de denegación de entrada o de estancia no podrán mantenerse en el SIS II por más tiempo del necesario para cumplir el propósito para el que se facilitaron. Por regla general, las descripciones se borraran automáticamente del SIS II transcurrido un período de tres años. La decisión de mantener una descripción debe basarse en una evaluación global del caso concreto. Los Estados miembros deben revisar las descripciones durante este período de tres años y llevar estadísticas del número de descripciones cuyo período de conservación se haya prorrogado.

(12) El SIS II debe permitir tratar datos biométricos para ayudar a la identificación fiable de las personas en cuestión. En esta misma perspectiva, el SIS II también debe permitir el tratamiento de datos sobre personas cuya identidad haya sido usurpada, a fin de evitar las dificultades causadas por la identificación incorrecta, respetando las garantías adecuadas, en particular el consentimiento de la persona en cuestión y una limitación estricta de los fines legales para los que dichos datos podrán ser objeto de tratamiento.

(13) Debe existir la posibilidad de que los Estados miembros establezcan conexiones entre las descripciones en el SIS II. La creación por un Estado miembro de conexiones entre dos o más descripciones no debe afectar a la acción que deberá emprenderse, al período de conservación ni a los derechos de acceso a las descripciones.

(14) Los datos tratados en el SIS II en aplicación del presente Reglamento no deben transmitirse ni ponerse a disposición de terceros países ni de organizaciones internacionales.

(15) La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se aplica al tratamiento de datos personales realizado en aplicación del presente Reglamento. Esto incluye la designación del responsable del tratamiento y la posibilidad de que los Estados miembros establezcan excepciones y limitaciones respecto de determinados derechos y obligaciones previstos en dicha Directiva, incluidos los derechos de acceso e información de la persona en cuestión. Los principios establecidos en la Directiva 95/46/CE se completaran o aclararan, en su caso, en el presente Reglamento.

(16) El Reglamento (CE) n.° 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, y en particular las disposiciones relativas a la confidencialidad y a la seguridad del tratamiento, se aplica al tratamiento de datos personales por los organismos o instituciones comunitarios al llevar a cabo sus cometidos como responsables de la gestión operativa del SIS II. Los principios establecidos en el Reglamento (CE) n.º 45/2001 deben completarse o aclararse en el presente Reglamento, cuando proceda.

(17) Por lo que respecta a la confidencialidad, a los funcionarios y otros agentes de las Comunidades Europeas que trabajen en SIS II y en relación con SIS II se les deben aplicar las disposiciones pertinentes del Estatuto de los funcionarios de las Comunidades Europeas y las condiciones de empleo de los otros agentes de las Comunidades Europeas.

(18) Es conveniente que las autoridades nacionales de control supervisen la legalidad del tratamiento de datos por los Estados miembros, mientras que el Supervisor Europeo de Protección de Datos, nombrado en virtud de la Decisión 2004/55/CE del Parlamento Europeo y del Consejo, de 22 de diciembre de 2003, por la que se nombra a la autoridad de vigilancia independiente prevista por el artículo 286 del Tratado CE, debe supervisar las actividades de las instituciones y los organismos comunitarios en relación con el tratamiento de datos personales, teniendo en cuenta los cometidos limitados de dichas instituciones y dichos organismos comunitarios con respecto a los datos en sí.

(19) Tanto los Estados miembros como la Comisión deben elaborar un plan de seguridad, con el fin de facilitar la aplicación concreta de las obligaciones en materia de seguridad y deben cooperar entre si para abordar las cuestiones de seguridad desde una perspectiva común.

(20) A fin de garantizar la transparencia, la Comisión o, cuando se establezca, la Autoridad de Gestión debe presentar cada dos años un informe sobre el funcionamiento técnico del SIS II Central y de la infraestructura de comunicación, así como sobre su seguridad y sobre el intercambio de información complementaria. La Comisión debe emitir una evaluación general cada cuatro años.

(21) Determinados aspectos del SIS II, como las normas técnicas para la introducción de datos, incluidos los datos necesarios para introducir una descripción, la actualización, la supresión y la consulta, las normas sobre compatibilidad y prioridad de las descripciones, las conexiones entre descripciones y el intercambio de información complementaria, no pueden ser regulados exhaustivamente por las disposiciones del presente Reglamento, debido a su naturaleza técnica, al nivel de detalle requerido y a la necesidad de una actualización regular. En consecuencia, las competencias de ejecución en estas materias deben delegarse en la Comisión. Las normas técnicas sobre la consulta de descripciones deberán tener en cuenta la necesidad de que las aplicaciones nacionales funcionen con fluidez. A reserva de la evaluación de impacto que realice la Comisión, debe decidirse hasta que punto las medidas de ejecución pueden ser responsabilidad de la Autoridad Gestión, en cuanto se establezca.

(22) Procede aprobar las medidas necesarias para la ejecución del presente Reglamento con arreglo a la Decisión 1999/468/CE del Consejo, de 28 de junio de 1999, por la que se establecen los procedimientos para el ejercicio de las competencias de ejecución atribuidas a la Comisión.

(23) Es conveniente establecer disposiciones transitorias sobre las descripciones introducidas en el SIS 1+ que deben ser transferidas al SIS II. Algunas disposiciones del acervo de Schengen deben seguir aplicándose durante un período limitado de tiempo, hasta que los Estados miembros hayan examinado la compatibilidad de dichas descripciones con el nuevo marco legal. El examen de la compatibilidad de las descripciones de personas debe ser prioritario. Además, toda modificación, adición, rectificación o actualización de una descripción transferida del SIS 1+ al SIS II, así como toda obtención de una respuesta positiva respecto de una de esas descripciones debe dar lugar a un examen inmediato de su compatibilidad con las disposiciones del presente Reglamento.

(24) Es necesario establecer disposiciones especiales sobre la parte del presupuesto que se destinara a las operaciones del SIS que no forman parte del presupuesto general de la Unión Europea.

(25) Dado que los objetivos de la acción propuesta, a saber, el establecimiento y regulación de un sistema común de información, no pueden ser alcanzados de manera suficiente por los Estados miembros y, por consiguiente, pueden lograrse mejor, debido a la dimensión y los efectos de la acción, a nivel comunitario, la Comunidad podrá adoptar medidas de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(26) El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos en particular por la Carta de los Derechos Fundamentales de la Unión Europea.

(27) De conformidad con los artículos 1 y 2 del Protocolo sobre la posición de Dinamarca, anexo al Tratado de la Unión Europea y al Tratado constitutivo de la Comunidad Europea, Dinamarca no participa en la adopción del presente Reglamento y no esta vinculada ni sujeta a su aplicación. Teniendo en cuenta que el presente Reglamento desarrolla el acervo de Schengen con arreglo a lo dispuesto en el título IV de la tercera parte del Tratado, Dinamarca, de conformidad con el artículo 5 de dicho Protocolo, debe decidir dentro de un período de seis meses a partir de la fecha de adopción del presente Reglamento, si lo incorpora a su legislación nacional.

(28) El presente Reglamento desarrolla las disposiciones del acervo de Schengen en las que el Reino Unido no participa, de conformidad con la Decisión 2000/365/CE del Consejo, de 29 de mayo de 2000, sobre la solicitud del Reino Unido de Gran Bretaña e Irlanda del Norte de participar en algunas de las disposiciones del acervo de Schengen. Por tanto, el Reino Unido no participa en la adopción del Reglamento y no está vinculado ni sujeto a su aplicación.

(29) El presente Reglamento desarrolla las disposiciones del acervo de Schengen relativas a la circulación de personas en las que Irlanda no participa, de conformidad con la Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen . Por tanto, Irlanda no participa en la adopción del Reglamento, y no está vinculada ni sujeta a su aplicación.

(30) El presente Reglamento se adopta sin perjuicio de las disposiciones relativas a la participación parcial del Reino Unido y de Irlanda en el acervo de Schengen, definidas en la Decisión 2000/365/CE y en la Decisión 2002/192/CE, respectivamente.

(31) Por lo que se refiere a Islandia y Noruega, el presente Reglamento desarrolla disposiciones del acervo de Schengen, conforme a lo establecido en el Acuerdo celebrado por el Consejo de la Unión Europea con la Republica de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen, que están incluidas en el ámbito descrito en el punto G del artículo 1 de la Decisión 1999/437/CE del Consejo, de 17 de mayo de 1999, relativa a determinadas normas de desarrollo de dicho Acuerdo.

(32) Deben establecerse disposiciones para que representantes de Islandia y Noruega se asocien al trabajo de los comités que asisten a la Comisión en el ejercicio de sus competencias de ejecución. Dichas disposiciones se han recogido en el Canje de Notas entre el Consejo de la Unión Europea y la Republica de Islandia y el Reino de Noruega sobre los comités que asisten a la Comisión Europea en el ejercicio de sus competencias de ejecución anejo al antedicho Acuerdo.

(33) Por lo que se refiere a Suiza, el presente Reglamento desarrolla disposiciones del acervo de Schengen, conforme a lo establecido en el Acuerdo firmado por la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, que estan incluidas en el ámbito descrito en el punto G del artículo 1 de la Decisión 1999/437/CE, leído conjuntamente con el artículo 4, apartado 1, de las Decisiones 2004/849/CE y 2004/860/CE.

(34) Deben establecerse disposiciones para que representantes de Suiza se asocien al trabajo de los comités que asisten a la Comisión en el ejercicio de sus competencias de ejecución. Dichas disposiciones se han recogido en el Canje de Notas entre la Comunidad y Suiza anejo al antedicho Acuerdo.

(35) El presente Reglamento constituye un acto que desarrolla el acervo de Schengen o esta relacionado con el en el sentido del artículo 3, apartado 2, del Acta de adhesión de 2003.

(36) El presente Reglamento se aplicara al Reino Unido y a Irlanda en las fechas determinadas de conformidad con los procedimientos establecidos en los instrumentos pertinentes relativos a la aplicación del acervo de Schengen a dichos Estados.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I.- Disposiciones generales

Artículo 1.- Establecimiento y finalidad general del SIS II.–

1. Queda establecido el Sistema de Información de Schengen de segunda generación (SIS II).

2. El SIS II tiene por finalidad, con arreglo a lo dispuesto en el presente Reglamento, garantizar un alto nivel de seguridad dentro del espacio de libertad, seguridad y justicia de la Unión Europea, incluidos el mantenimiento de la seguridad y el orden públicos y la salvaguardia de la seguridad en el territorio de los Estados miembros, y aplicar las disposiciones del　título IV de la Tercera parte del Tratado relativas a la circulación de personas en dicho territorio, con la ayuda de la información transmitida por este sistema.

Artículo 2.- Ámbito de aplicación.–

1. El presente Reglamento establece las condiciones y los procedimientos de tratamiento de las descripciones de nacionales de terceros países introducidas en el SIS II, de intercambio de información complementaria y de datos adicionales a efectos de la denegación de entrada o de estancia en un Estado miembro.

2. El presente Reglamento establece también disposiciones sobre la arquitectura técnica del SIS II, las responsabilidades de los Estados miembros y de la Autoridad de Gestión a que se refiere el artículo 15, el tratamiento general de datos, los derechos de los interesados y la responsabilidad.

Artículo 3.- Definiciones.

A efectos del presente Reglamento, se entenderá por:

a) “descripción”, un conjunto de datos introducidos en el SIS II que permite a las autoridades competentes identificar a una persona con vistas a emprender una acción específica;

b) “información complementaria”, la información no almacenada en el SIS II pero relacionada con las descripciones del SIS II, que se intercambiara:

i) a fin de que los Estados miembros puedan consultarse o informarse entre sí al introducir una descripción;

ii) tras la obtención de una respuesta positiva a fin de poder emprender una acción adecuada;

iii) cuando no pueda realizarse la acción requerida;

iv) al tratar de la calidad de los datos del SIS II;

v) al tratar de la compatibilidad y prioridad de las descripciones;

vi) al tratar del ejercicio del derecho de acceso;

c) “datos adicionales”, los datos almacenados en el SIS II y relacionados con las descripciones del SIS II que deben estar inmediatamente a disposición de las autoridades competentes cuando, como resultado de la consulta de este sistema, se encuentre a personas sobre las cuales se hayan introducido datos en el SIS II (la “persona interesada”);

d) “nacional de un tercer país”, cualquier persona que no sea:

i) ciudadano de la Unión Europea en la acepción del apartado 1 del artículo 17 del Tratado, ni

ii) nacional de un tercer país que, en virtud de acuerdos celebrados entre la Comunidad y sus Estados miembros, por una parte, y estos países, por otra, goce de derechos en materia de libre circulación equivalentes a los de los ciudadanos de la Unión Europea;

e) “datos personales”: toda información sobre una persona física identificada o identificable (la “persona interesada”); se considerara “identificable” a toda persona cuya identidad pueda determinarse, directa o indirectamente;

f) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o no, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.

Artículo 4.- Arquitectura técnica y funcionamiento del SIS II.–

1. El SIS II se compondrá de:

a) un sistema central (“SIS II Central”) compuesto por:

– una unidad de apoyo técnico (“CS-SIS”), que contendrá la base de datos del SIS II;

– una interfaz nacional uniforme (“NI-SIS”);

b) un sistema nacional (“N. SIS II”) en cada Estado miembro, compuesto por los sistemas de datos nacionales que se comunican con el SIS II Central. Un N. SIS II puede contener un fichero de datos (“copia nacional”) que contenga una copia total o parcial de la base de datos del SIS II;

c) una estructura de comunicación entre el CS-SIS y la NI-SIS (“infraestructura de comunicación”) que provee una red virtual codificada dedicada a los datos del SIS II y al intercambio de datos entre los servicios nacionales SIRENE a que se refiere el artículo 7, apartado 2.

2. La introducción, actualización, supresión y consulta de datos del SIS II se hará a través de los distintos sistemas N. SIS II. En el territorio de cada uno de los Estados miembros habrá una copia nacional disponible para la realización de consultas automatizadas. No se permitirá la consulta de ficheros de datos del N. SIS II de otros Estados miembros.

3. La CS-SIS, encargada de la supervisión técnica y de la administración, estará situada en Estrasburgo (Francia), y habrá una copia de seguridad de la CS-SIS, capaz de realizar todas las funciones de la CS-SIS principal en caso de fallo del sistema, en Sankt Johann im Pongau (Austria).

4. La CS-SIS prestará los servicios necesarios para la introducción y tratamiento de datos del SIS II, incluida la realización de consultas en la base de datos del SIS II. Para los Estados miembros que utilicen una copia nacional, la CS-SIS garantizará:

a) la actualización en línea de las copias nacionales;

b) la sincronización y coherencia entre las copias nacionales y la base de datos del SIS II;

c) la operación de inicialización y restauración de las copias nacionales.

Artículo 5.- Costes.

1. Los costes de creación, funcionamiento y mantenimiento del SIS II Central y de la infraestructura de comunicación correrán a cargo del presupuesto general de la Unión Europea.

2. Dichos costes incluirán los trabajos realizados en relación con la CS-SIS que garanticen la prestación de servicios a que se refiere el artículo 4, apartado 4.

3. Los costes de creación, funcionamiento y mantenimiento de cada N. SIS II correrán a cargo del Estado miembro interesado.

CAPÍTULO II.- Responsabilidades de los Estados miembros

Artículo 6.- Sistemas nacionales.–

Cada Estado miembro será responsable de la creación, la puesta en funcionamiento y el mantenimiento de su N. SIS II y de la conexión de su N. SIS II a la NI-SIS.

Artículo 7.- Oficina N. SIS II y Servicio Nacional SIRENE.–

1. Cada Estado miembro designara una autoridad (“Oficina N.–SIS II”) que asumirá la responsabilidad central respecto de su N. SIS II. Dicha autoridad será responsable del correcto funcionamiento y la seguridad del N. SIS II, garantizará el acceso de las autoridades competentes al SIS II y adoptará las medidas necesarias para garantizar el cumplimiento de lo dispuesto en el presente Reglamento. Cada Estado miembro transmitirá sus descripciones a través de la Oficina N. SIS II.

2. Cada Estado miembro designará a la autoridad encargada de garantizar el intercambio de toda la información complementaria (“Servicio Nacional SIRENE”), de conformidad con las disposiciones que figuran en el　Manual SIRENE, según se indica en el artículo 8.

Estos servicios coordinarán así mismo la verificación de la calidad de la información introducida en el SIS II. Para esos fines, tendrán acceso a los datos tratados en el SIS II.

3. Los Estados miembros comunicarán a la Autoridad de Gestión los datos relativos a su Oficina N. SIS II y a su Servicio Nacional SIRENE. La Autoridad de Gestión publicará la lista de estos organismos junto con la lista a la que se refiere el artículo 31, apartado 8.

Artículo 8.- Intercambio de información complementaria.–

1. La información complementaria se intercambiará de conformidad con las disposiciones de un manual denominado “Manual SIRENE” y a través de la infraestructura de comunicación. En caso de fallo del funcionamiento de la infraestructura de comunicación, los Estados miembros podrán emplear otros medios técnicos dotados de los medios adecuados de seguridad para intercambiar información complementaria.

2. La información complementaria se utilizará únicamente para el fin para el que haya sido transmitida.

3. Las solicitudes de información complementaria formuladas por los Estados miembros se atenderán con la mayor celeridad.

4. Las normas de desarrollo sobre intercambio de información complementaria se adoptarán, de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, en forma de Manual SIRENE, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

Artículo 9.- Conformidad técnica.–

1. Para garantizar la transmisión rápida y eficaz de los datos, los Estados miembros deberán ajustarse, al establecer sus N. SIS II, a los protocolos y procedimientos técnicos establecidos para garantizar la compatibilidad de la CS-SIS con los N. SIS II. Estos protocolos y procedimientos técnicos deberán establecerse de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

2. Cuando un Estado miembro utilice una copia nacional se asegurará, mediante los servicios prestados por la CS-SIS, de que los datos almacenados en la copia nacional sean idénticos y coherentes, mediante las actualizaciones automáticas a que se refiere el artículo 4, apartado 4, con la base de datos del SIS II y de que una consulta en su copia nacional genere un resultado equivalente al de una consulta en la base de datos del SIS II.

Artículo 10.- Seguridad – Estados miembros.–

1. Cada Estado miembro adoptará, en lo referente a su N. SIS II, las medidas adecuadas, incluido un plan de seguridad, para:

a) proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;

b) impedir que toda persona no autorizada acceda a las instalaciones utilizadas para el tratamiento de datos de carácter personal (control en la entrada de las instalaciones);

c) impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por una persona no autorizada (control de los soportes de datos);

d) impedir que se introduzcan sin autorización en el fichero, o que puedan conocerse, modificarse o suprimirse sin autorización datos de carácter personal almacenados (control del almacenamiento);

e) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos (control de los usuarios);

f) garantizar que, para la utilización de un sistema de tratamiento automatizado de datos, las personas autorizadas sólo puedan tener acceso a los datos que sean de su competencia y ello únicamente con identificaciones de usuario personales e intransferibles y con modos de acceso confidenciales (control del acceso);

g) garantizar que todos los organismos con derecho de acceso al SIS II o a las instalaciones utilizadas para el tratamiento de datos establezcan perfiles que describan las funciones y responsabilidades de las personas autorizadas a acceder a los datos, y a introducir, actualizar, suprimir y consultar dichos datos, y pongan a disposición de las autoridades nacionales de control a que se refiere el artículo 44, apartado 1, sin dilación al recibir la solicitud de éstas, esos perfiles (perfiles del personal);

h) garantizar la posibilidad de verificar y comprobar a que autoridades pueden ser remitidos datos de carácter personal a través de las instalaciones de transmisión de datos (control de la transmisión);

i) garantizar que pueda verificarse y comprobarse a posteriori qué datos de carácter personal se han introducido en el sistema de tratamiento automatizado de datos, en qué momento, por qué persona y para qué fines han sido introducidos (control de la introducción);

j) impedir, en particular mediante técnicas adecuadas de criptografiado, que, en el momento de la transmisión de datos de carácter personal y durante el transporte de los soportes de datos, los datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

k) vigilar la eficacia de las medidas de seguridad a que se refiere el presente apartado y adoptar las medidas de organización que sean necesarias en relación con la supervisión interna, a fin de garantizar el cumplimiento del presente Reglamento (control interno).

2. Los Estados miembros tomarán medidas equivalentes a las mencionadas en el apartado 1 en materia de seguridad en relación con el intercambio de información complementaria.

Artículo 11.- Confidencialidad – Estados miembros.

Cada Estado miembro aplicará sus normas sobre secreto profesional u otras obligaciones equivalentes de confidencialidad a toda persona y organismo que vaya a trabajar con datos del SIS II y con información complementaria, de conformidad con su legislación nacional. Esta obligación seguirá siendo aplicable después del cese en el cargo o el empleo de dichas personas o tras la terminación de las actividades de dichos organismos.

Artículo 12.- Conservación de registros nacionales.–

1. Los Estados miembros que no utilicen copias nacionales velarán por que todo acceso a datos personales y todo intercambio de datos personales en la CS-SIS queden registrados en su N. SIS II, con el fin de que se pueda controlar la legalidad de la consulta, supervisar la legalidad del tratamiento de datos, llevar a cabo un control interno y garantizar el correcto funcionamiento del N. SIS II y la integridad y seguridad de los datos.

2. Los Estados miembros que utilicen copias nacionales velarán por que todo acceso a los datos de SIS II y todos los intercambios de los mismos queden registrados a los efectos especificados en el apartado 1. Esto no se aplicará a los tratamientos a que se refiere el artículo 4, apartado 4.

3. Los registros contendrán, en particular, el historial de las descripciones, la fecha y hora de transmisión de los datos, los datos utilizados para realizar una consulta, la referencia de los datos transmitidos y los nombres de la autoridad competente y de la persona responsable del tratamiento de los datos.

4. Los registros sólo podrán utilizarse para los fines especificados en los apartados 1 y 2 y se suprimirán en un plazo mínimo de un año y máximo de tres años después de su creación. Los registros que incluyan el historial de las descripciones serán borrados transcurrido un plazo de uno a tres años tras la supresión de las descripciones.

5. Los registros podrán conservarse más tiempo si son necesarios para procedimientos de control ya en curso.

6. Las autoridades competentes nacionales encargadas de controlar la legalidad de la consulta, supervisar la legalidad del tratamiento de datos, llevar a cabo un control interno y garantizar el correcto funcionamiento del N. SIS II y la integridad y seguridad de los datos, tendrán acceso, dentro de los límites de su competencia y previa petición, a dichos registros, a fin de que puedan desempeñar sus funciones.

Artículo 13.- Control interno.

Los Estados miembros velarán por que toda autoridad habilitada para acceder a los datos de SIS II tome las medidas necesarias para garantizar el cumplimiento del presente Reglamento y coopere, si fuera necesario, con la autoridad nacional de control.

Artículo 14.- Formación del personal.

Antes de quedar autorizado a tratar los datos almacenados en el SIS II, el personal de las autoridades que tengan derecho de acceso al SIS II recibirá la formación adecuada sobre normas de seguridad y protección de datos y será informado de los delitos y sanciones penales pertinentes.

CAPÍTULO III.- Responsabilidades de la autoridad de gestión

Artículo 15.- Gestión operativa.–

1. Después de un período transitorio, la gestión operativa del SIS II Central será competencia de una Autoridad de Gestión, que se financiará con cargo al presupuesto general de la Unión Europea. La Autoridad de Gestión se asegurará, en cooperación con los Estados miembros, de que en el SIS II Central se utilice en todo momento la mejor tecnología disponible, sobre la base de un análisis de costes y beneficios.

2. La Autoridad de Gestión será responsable así mismo de realizar las siguientes funciones relacionadas con la infraestructura de comunicación:

a) supervisión;

b) seguridad;

c) coordinación de las relaciones entre los Estados miembros y el proveedor.

3. La Comisión será responsable de todas las demás funciones relacionadas con la infraestructura de comunicación, a saber:

a) funciones de ejecución del presupuesto;

b) adquisición y renovación;

c) cuestiones contractuales.

4. Durante un período transitorio que concluirá cuando asuma sus responsabilidades la Autoridad de Gestión, la Comisión se encargará de la gestión operativa del SIS II Central. La Comisión podrá encomendar tanto dicho cometido como cometidos de ejecución del presupuesto, de acuerdo con el Reglamento (CE, Euratom) n.º 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas a organismos nacionales del sector público, en dos países diferentes.

5. Cada organismo nacional del sector público a que se refiere el apartado 4 deberá cumplir, en particular, los siguientes criterios de selección:

a) probar una dilatada experiencia para encargarse de un sistema de información de gran escala con las funciones contempladas en el artículo 4, apartado 4;

b) tener una dilatada experiencia en los requisitos de servicio y de seguridad de un sistema de información que sean comparables a las funciones contempladas en el artículo 4, apartado 4;

c) contar con personal suficiente y experimentado, que posea una experiencia profesional y unos conocimientos profesionales y linguisticos adecuados para trabajar en un entorno de cooperación internacional, como se requiere por el SIS II;

d) disponer de una infraestructura de instalaciones hecha a la medida y segura, que sea capaz, en particular, de respaldar y garantizar un funcionamiento ininterrumpido de sistemas informáticos de gran escala; y

e) desarrollar su actividad en un entorno administrativo que le permita desempeñar adecuadamente sus funciones y evitar conflictos de intereses.

6. Antes de proceder a la delegación a la que se refiere el apartado 4 y después de forma periódica, la Comisión informará al Parlamento Europeo y al Consejo de las condiciones de la delegación, de su alcance exacto y de los organismos en los que se han delegado funciones.

7. Si, durante el período transitorio, la Comisión delega sus responsabilidades con arreglo al apartado 4, se asegurará de que esta delegación respeta plenamente los límites impuestos por el sistema institucional establecido en el Tratado. Garantizará, en particular que dicha delegación no afecte negativamente a ningún mecanismo de control efectivo previsto en el derecho comunitario, corresponda ste al Tribunal de Justicia, al Tribunal de Cuentas o al Supervisor Europeo de Protección de Datos.

8. La gestión operativa del SIS II Central consistirá en todas las funciones necesarias para mantener el SIS II Central en funcionamiento durante las 24 horas del día, 7 días a la semana, de conformidad con el presente Reglamento y, en particular, en el trabajo de mantenimiento y de adaptación técnica necesario para el buen funcionamiento del sistema.

Artículo 16.- Seguridad.–

1. La Autoridad de Gestión, en lo referente al SIS II Central, y la Comisión, en lo referente a la infraestructura de comunicación, adoptarán las medidas adecuadas, incluido un plan de seguridad, para:

a) proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;

b) impedir que toda persona no autorizada acceda a las instalaciones utilizadas para el tratamiento de datos de carácter personal (control en la entrada de las instalaciones);

c) impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por una persona no autorizada (control de los soportes de datos);

d) impedir que se introduzcan sin autorización en el fichero, o que puedan conocerse, modificarse o suprimirse sin autorización datos de carácter personal almacenados (control del almacenamiento);

e) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos (control de los usuarios);

f) garantizar que, para la utilización de un sistema de tratamiento automatizado de datos, las personas autorizadas sólo puedan tener acceso a los datos que sean de su competencia y ello únicamente con identificaciones de usuario personales e intransferibles y con modos de acceso confidenciales (control del acceso);

g) establecer perfiles que describan las funciones y responsabilidades de las personas autorizadas a acceder a los datos o a las instalaciones utilizadas para el tratamiento de datos, y poner a disposición del Supervisor Europeo de Protección de Datos a que se refiere el artículo 45, sin dilación al recibir la solicitud de éste, esos perfiles (perfiles del personal);

h) garantizar la posibilidad de verificar y comprobar a que autoridades pueden ser remitidos datos de carácter personal a través de las instalaciones de transmisión de datos (control de la transmisión);

i) garantizar que pueda verificarse y comprobarse a posteriori que datos de carácter personal se han introducido en el sistema de tratamiento automatizado de datos, en que momento y por que persona han sido introducidos (control de la introducción);

j) impedir, en particular mediante técnicas adecuadas de criptografiado, que, en el momento de la transmisión de datos de carácter personal y durante el transporte de soportes de datos, los datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

k) vigilar la eficacia de las medidas de seguridad a que se refiere el presente apartado y adoptar las medidas de organización que sean necesarias en relación con la supervisión interna, a fin de garantizar el cumplimiento del presente Reglamento (control interno).

2. La Autoridad de Gestión adoptará, en relación con el intercambio de información complementaria mediante la infraestructura de comunicación, medidas equivalentes a las medidas de seguridad mencionadas en el apartado 1.

Artículo 17.- Confidencialidad – Autoridad de Gestión.–

1. Sin perjuicio del artículo 17 del Estatuto de los funcionarios de las Comunidades Europeas, la Autoridad de Gestión aplicará normas adecuadas sobre secreto profesional u otras obligaciones equivalentes de confidencialidad a todo miembro de su personal que vaya a trabajar con datos del SIS II, a niveles comparables a los previstos en el artículo 11 del presente Reglamento. Esta obligación seguirá siendo aplicable después del cese en el cargo o el empleo de dichas personas o tras la terminación de sus actividades.

2. La Autoridad de Gestión adoptará medidas equivalentes a las mencionadas en el apartado 1 por lo que se refiere a la confidencialidad con respecto al intercambio de información complementaria a través de la infraestructura de comunicaciones.

Artículo 18.- Conservación de registros centrales.–

1. La Autoridad de Gestión garantizará que todo acceso a datos personales y todo intercambio de datos personales en la CS-SIS queden registrados a los efectos que establece el artículo 12, apartados 1 y 2.

2. Los registros contendrán, en particular, el historial de las descripciones, la fecha y hora de transmisión de los datos, los datos utilizados para realizar una consulta, la referencia de los datos transmitidos y la identificación de la autoridad competente responsable del tratamiento de los datos.

3. Los registros sólo podrán utilizarse para los fines establecidos en el apartado 1 y se suprimirán en un plazo mínimo de un año y máximo de tres años después de su creación. Los registros que incluyan el historial de las descripciones serán borrados transcurrido un plazo de uno a tres años tras la supresión de las descripciones.

4. Los registros podrán conservarse más tiempo si son necesarios para procedimientos de control ya en curso.

5. Las autoridades competentes encargadas de controlar la legalidad de la consulta, supervisar la legalidad del tratamiento de datos, llevar a cabo un control interno y garantizar el correcto funcionamiento de la CS-SIS y la integridad y seguridad de los datos, tendrán acceso, dentro de los límites de su competencia y previa petición, a dichos registros, a fin de que puedan desempeñar sus funciones.

Artículo 19.- Campaña de información.

La Comisión, en cooperación con las autoridades nacionales de control y con el Supervisor Europeo de Protección de Datos, hará coincidir la puesta en marcha del SIS II con una campaña de información por medio de la cual dará a conocer al público los objetivos, los datos almacenados, las autoridades con acceso y los derechos de las personas. Tras su establecimiento, la Autoridad de Gestión, en cooperación con las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos, repetirá estas campañas periódicamente. Los Estados miembros, en cooperación con las autoridades nacionales de control, idearán y realizarán las actuaciones necesarias para informar al conjunto de sus ciudadanos sobre el SIS II en general.

CAPÍTULO IV.- Descripciones sobre nacionales de terceros países introducidas a efectos de denegación de entrada o de estancia

Artículo 20.- Categorías de datos.

1. Sin perjuicio de lo dispuesto en el artículo 8, apartado 1, ni de las disposiciones del presente Reglamento relativas al almacenamiento de datos adicionales, el SIS II incluirá exclusivamente las categorías de datos que proporciona cada uno de los Estados miembros y que son necesarias para los fines previstos en el artículo 24.

2. La información sobre personas descritas será como máximo la siguiente:

a) los nombres y apellidos, los nombres y apellidos de nacimiento, los nombres y apellidos anteriores y los alias, en su caso registrados por separado;

b) los rasgos físicos particulares, objetivos e inalterables;

c) el lugar y la fecha de nacimiento;

d) el sexo;

e) fotografías;

f) las impresiones dactilares;

g) la nacionalidad o nacionalidades;

h) la indicación de que las personas de que se trate estan armadas, son violentas o se han escapado;

i) el motivo de la inscripción;

j) la autoridad informadora;

k) una referencia a la decisión que haya dado lugar a la descripción;

l) la conducta que debe observarse;

m) la conexión o conexiones con otras descripciones introducidas en el SIS II, con arreglo al artículo 37.

3. Las normas técnicas necesarias para la introducción, actualización, supresión y consulta de los datos enumerados en el apartado 2 y el acceso a ellos, se establecerán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

4. Las normas técnicas necesarias para la consulta de los datos a que se refiere el apartado 2 serán similares a las aplicables a las consultas en la CS-SIS, en las copias nacionales y en las copias técnicas a que se refiere el artículo 31, apartado 2.

Artículo 21.- Proporcionalidad.

El Estado miembro informador comprobará si el caso es adecuado, pertinente e importante como para justificar la introducción de la descripción en el SIS II.

Artículo 22.- Normas específicas para las fotografías y las impresiones dactilares.

Las fotografías e impresiones dactilares contempladas en las letras e) y f) del apartado 2 del artículo 20 se utilizarán respetando las siguientes disposiciones:

a) las fotografías e impresiones dactilares sólo se introducirán tras ser sometidas a un control de calidad especial para verificar que satisfacen unas normas mínimas de calidad de los datos; las especificaciones relativas al control de calidad especial se establecerán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión;

b) las fotografías y las impresiones digitales sólo se utilizarán para confirmar la identidad de un nacional de un país tercero que haya sido encontrado como consecuencia de una consulta alfanumérica realizada en el SIS II;

c) tan pronto como sea técnicamente posible, las impresiones digitales podrán utilizarse también para identificar a un nacional de un país tercero basándose en su identificador biométrico. Antes de que se incorpore esta función en el SIS II, la Comisión presentará un informe sobre la disponibilidad y preparación de la tecnología necesaria, para lo que se consultará al Parlamento Europeo.

Artículo 23.– Requisitos para introducir una descripción.

1. No podrá introducirse una descripción sin los datos a que se refieren el artículo 20, apartado 2, letras a), d), k) y l).

2. Además, cuando estén disponibles, se introducirán todos los demás datos a los que se refiere el artículo 20, apartado 2.

Artículo 24.- Condiciones para introducir descripciones a efectos de denegación de entrada o de estancia.

1. Los datos relativos a los nacionales de terceros países para los que se haya introducido una descripción a efectos de denegación de entrada o estancia se introducirán sobre la base de una descripción nacional resultante de una decisión adoptada, observando las normas de procedimiento previstas por la legislación nacional, por las autoridades administrativas o por los órganos jurisdiccionales competentes. Esta decisión sólo podrá tomarse sobre la base de una evaluación del caso concreto. Los recursos contra esta decisión se interpondrán con arreglo a la legislación nacional.

2. Podrá introducirse una descripción cuando la decisión a que se refiere el apartado 1 se base en la amenaza que para el orden público o la seguridad nacional pueda constituir la presencia de un nacional de un tercer país en el territorio de un Estado miembro. Este será particularmente el caso:

a) de un nacional de un tercer país que haya sido condenado en un Estado miembro por un delito sancionado con una pena privativa de libertad de un año como mínimo;

b) de un nacional de un tercer país sobre el cual existan razones serias para creer que ha cometido delitos graves, o sobre el cual existan indicios claros de que piensa cometer tales delitos en el territorio de un Estado miembro.

3. Podrá introducirse así mismo una descripción cuando la decisión a que se refiere el apartado 1 se haya basado en el hecho de que el nacional del tercer país haya sido objeto de una medida de expulsión, denegación de entrada o traslado que no haya sido revocada ni suspendida y que incluya o vaya acompañada de una prohibición de entrada o, en su caso, de residencia, basada en el incumplimiento de normas nacionales relativas a la entrada o a la residencia de nacionales de terceros países.

4. El presente artículo no se aplicará respecto de las personas a que se refiere el artículo 26.

5. La Comisión revisará, tres años después de la fecha mencionada en el artículo 55, apartado 2, la aplicación del presente artículo. Sobre la base de dicha revisión, la Comisión, en el ejercicio del derecho de iniciativa que le confiere el Tratado, formulará las propuestas necesarias para modificar las disposiciones del presente artículo para obtener un mayor nivel de armonización de los criterios para introducir descripciones.

Artículo 25. – Condiciones para la introducción de descripciones de nacionales de terceros países beneficiarios del derecho a la libre circulación en la Comunidad.

1. Toda descripción relativa a un nacional de un tercer país que sea beneficiario del derecho de libre circulación en la Comunidad en el sentido de la Directiva 2004/38/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la Unión y de los miembros de sus familias a circular y residir libremente en el territorio de los Estados miembros, se basará en las normas adoptadas para la aplicación de la citada Directiva.

2. Si se obtiene una respuesta positiva en relación con una descripción introducida de conformidad con el artículo 24 relativa a un nacional de un tercer país que goce del derecho de libre circulación en la Comunidad, el Estado miembro de ejecución de la descripción consultará inmediatamente al Estado miembro informador, a través de su Oficina SIRENE y de conformidad con lo dispuesto en el　Manual SIRENE, para decidir sin dilación la acción que debe emprenderse.

Artículo 26.- Condiciones para la introducción de descripciones de nacionales de terceros países sujetos a una medida restrictiva tomada en virtud del artículo 15 del Tratado de la Unión Europea.

1. En la medida en que puedan satisfacerse los requisitos de calidad de datos, y sin perjuicio del artículo 25, podrán introducirse en el SIS II, a efectos de denegación de entrada o estancia, las descripciones de los nacionales de terceros países objeto de una medida restrictiva destinada a impedir la entrada en el territorio de los Estados miembros o el transito por el, cuando dicha medida haya sido adoptada de conformidad con el artículo 15 del Tratado de la Unión Europea, incluidas las medidas de aplicación de una prohibición de viajar decidida por el Consejo de Seguridad de las Naciones Unidas.

2. El artículo 23 no se aplicará respecto de las descripciones introducidas sobre la base del apartado 1 del presente artículo.

3. El Estado miembro que deba introducir, actualizar y suprimir dichas descripciones en nombre de todos los Estados miembros será designado en el momento de adoptarse la correspondiente medida, de conformidad con el artículo 15 del Tratado de la Unión Europea.

Artículo 27.- Autoridades con derecho de acceso a las descripciones.–

1. El acceso a los datos introducidos en el SIS II y el derecho de consultarlos, directamente o en una copia de los datos del SIS II, estarán reservados exclusivamente a las autoridades competentes para la identificación de nacionales de terceros países a efectos de:

a) control de fronteras, de conformidad con el Reglamento (CE) n.º 562/2006 del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, por el que se establece un Codigo comunitario de normas para el cruce de personas por las fronteras (Codigo de fronteras Schengen);

b) las demás comprobaciones de policía y de aduanas realizadas dentro del Estado miembro de que se trate, así como su coordinación por las autoridades designadas.

2. No obstante, el acceso a los datos introducidos en el SIS II y el derecho a consultarlos directamente podrán ser ejercidos así mismo por las autoridades judiciales nacionales, entre otras por aquellas competentes para incoar el procedimiento penal y la instrucción judicial previa a una acusación, en el desempeño de sus funciones, según disponga la legislación nacional, así como por sus autoridades de coordinación.

3. Además, el acceso a los datos introducidos de conformidad con el artículo 24 y a los datos relativos a documentos referentes a personas introducidos de conformidad con las letras d) y e) del apartado 2 del artículo 38 de la Decisión 2006/000/JAI, así como el derecho a consultarlos directamente, podrán ser ejercidos por las autoridades competentes para la expedición de visados, por las autoridades centrales competentes para el examen de las solicitudes de visado y por las autoridades competentes para la expedición de permisos de residencia y para la aplicación de la legislación sobre nacionales de terceros países en el marco de la aplicación del acervo comunitario relativo a la circulación de las personas. El acceso a los datos por parte de dichas autoridades estará regulado por el Derecho nacional de cada Estado miembro.

4. Las autoridades a que se refiere el presente artículo estarán incluidas en la lista a que se refiere el artículo 31, apartado 8.

Artículo 28.- Límites del derecho de acceso.

Los usuarios podrán acceder únicamente a los datos que sean necesarios para el cumplimiento de sus funciones.

Artículo 29.- Período de conservación de las descripciones.

1. Las descripciones de personas introducidas en el SIS II con arreglo al presente Reglamento sólo se conservarán durante el tiempo necesario para alcanzar los fines para los que hayan sido introducidas.

2. En un plazo máximo de tres años tras la introducción de una descripción de este tipo en el SIS II, el Estado miembro que la haya introducido examinará la necesidad de mantenerla.

3. Cada Estado miembro fijará, cuando corresponda, unos plazos de examen más cortos con arreglo a su Derecho nacional.

4. El Estado miembro informador podrá decidir durante el plazo de examen, tras una evaluación global del caso concreto de la que deberá quedar constancia, que se prolongue la descripción, siempre que ello sea necesario para los fines que motivaron la descripción. En este caso, el apartado 2 se aplicará también a la prolongación. La prolongación de la descripción deberá ser comunicada a la CS-SIS.

5. Las descripciones se borrarán automáticamente una vez transcurrido el período de examen a que se refiere el apartado 2. Ello no se aplicará en caso de que el Estado miembro que haya introducido la descripción hubiera comunicado la prolongación de la descripción a la CS-SIS, tal como se contempla en el apartado 4. La CS-SIS informará automáticamente a los Estados miembros de la supresión programada de datos del sistema, con un preaviso de cuatro meses.

6. Los Estados miembros llevarán estadísticas del número de descripciones cuyo período de conservación se haya prolongado con arreglo al apartado 4.

Artículo 30.- Adquisición de la ciudadanía y descripciones.

Las descripciones de personas que hayan adquirido la ciudadanía de cualquiera de los Estados cuyos nacionales sean beneficiarios del derecho de libre circulación en la Comunidad serán borradas en cuanto el Estado miembro informador sea informado de ello con arreglo al artículo 34 o tenga conocimiento de que la persona en cuestión ha adquirido dicha ciudadanía.

CAPÍTULO V.- Normas generales de tratamiento de datos

Artículo 31.- Tratamiento de los datos del SIS II.

1. Los Estados miembros podrán tratar los datos contemplados en el artículo 20 a efectos de denegación de entrada o estancia en sus territorios.

2. Los datos sólo podrán copiarse con fines técnicos, siempre que sea necesario para la consulta directa por las autoridades mencionadas en el artículo 27. Las disposiciones del presente Reglamento se aplicarán a esas copias. Las descripciones de otros Estados miembros no podrán copiarse del N-SIS II a otros ficheros de datos nacionales.

3. Las copias técnicas mencionadas en el apartado 2, que den lugar a bases de datos fuera de línea, sólo podrán conservarse un período de 48 horas como máximo. Dicho período podrá prorrogarse en una emergencia hasta que concluya la misma.

No obstante lo dispuesto en el párrafo primero, las copias técnicas que den lugar a bases de datos fuera de línea para uso de las autoridades responsables de la expedición de visados, ya no estarán permitidas al año de conectarse dichas autoridades a la infraestructura de comunicación del Sistema de Información de Visados que se establecerá en un futuro reglamento sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros. Esta disposición no se aplicará a las copias que se hagan con el unico fin de utilizarlas en situaciones de emergencia ante la imposibilidad de acceder a la red durante más de 24 horas.

Los Estados miembros mantendrán un inventario actualizado de esas copias, que será accesible a las autoridades nacionales de control, y se asegurarán de que se apliquen a dichas copias las disposiciones del presente Reglamento, en particular lo dispuesto en el artículo 10.

4. El acceso a los datos sólo se autorizará dentro de los límites de la competencia de las autoridades nacionales a que se refiere el artículo 27 y al personal debidamente autorizado.

5. Los datos no podrán utilizarse con fines administrativos. A modo de excepción, las autoridades a las que se refiere el artículo 27, apartado 3 podrán utilizar, con arreglo a la legislación nacional de cada Estado miembro, los datos introducidos en virtud del presente Reglamento en el desempeño de sus funciones.

6. Los datos introducidos en virtud del artículo 24 del presente Reglamento y los datos relativos a documentos referentes a personas introducidos con arreglo a las letras d) y e) del apartado 2 del artículo 38 de la Decisión 2006/000/JAI podrán utilizarse para los fines previstos en el artículo 27, apartado 3, del presente Reglamento, de conformidad con la legislación nacional de cada Estado miembro.

7. Toda utilización de datos que no sea conforme con los apartados 1 a 6 se considerará como una desviación de la finalidad con arreglo al Derecho nacional de cada Estado miembro.

8. Cada Estado miembro remitirá a la Autoridad de Gestión la lista de las autoridades competentes que estén autorizadas a consultar directamente los datos del SIS II con arreglo al presente Reglamento, así como cualquier modificación introducida en ella. En la lista se indicará, para cada autoridad, los datos que puede consultar y para que fines. La Autoridad de Gestión garantizará la publicación anual de la lista en el Diario Oficial de la Unión Europea.

9. Siempre que el Derecho comunitario no establezca disposiciones particulares, se aplicará el Derecho de cada Estado miembro a los datos introducidos en su N. SIS. II.

Artículo 32.- Datos del SIS II y ficheros nacionales.

1. El artículo 31, apartado 2, se entenderá sin perjuicio del derecho de los Estados miembros a conservar en sus ficheros nacionales datos del SIS II en relación con los cuales se haya emprendido una acción en su territorio. Dichos datos se conservarán en los archivos nacionales durante un período máximo de tres años, salvo si la legislación nacional contiene disposiciones específicas que prevean un período de conservación más largo.

2. El artículo 31, apartado 2, se entenderá sin perjuicio del derecho de los Estados miembros a conservar en sus ficheros nacionales los datos contenidos en una descripción concreta que dicho Estado miembro haya introducido en el SIS II.

Artículo 33.- Información en caso de no ejecución de la descripción.

Si no fuera posible ejecutar una acción requerida, el Estado miembro requerido informará de ello inmediatamente al Estado miembro que haya introducido la descripción.

Artículo 34.- Calidad de los datos tratados en el SIS II.

1. El Estado miembro informador será responsable de la exactitud y actualidad de los datos y de la licitud de su introducción en el SIS II.

2. El Estado miembro informador será el único autorizado para modificar, completar, rectificar, actualizar o suprimir los datos que haya introducido.

3. Si un Estado miembro distinto del Estado informador dispusiera de indicios que hagan presumir que un dato contiene errores de hecho o de derecho, informará de ello, mediante el intercambio de información complementaria, al Estado miembro informador en cuanto sea posible y, en cualquier caso, antes de que transcurran diez días desde el momento en que tuvo conocimiento de los mencionados indicios. El Estado miembro informador comprobará la comunicación y, en caso necesario, corregirá o suprimirá sin demora el dato.

4. Si los Estados miembros no pudieran llegar a un acuerdo en el plazo de dos meses, el Estado miembro que no hubiere introducido la descripción someterá el caso al Supervisor Europeo de Protección de Datos que actuará como mediador junto con las autoridades nacionales de control implicadas.

5. Los Estados miembros intercambiarán información complementaria siempre que una persona alegue no ser la persona buscada mediante la descripción. Si, como resultado de las verificaciones realizadas, se comprobará que se trata en efecto de dos personas diferentes, se informará al interesado de las disposiciones mencionadas en el artículo 36.

6. En caso de que una persona ya haya sido objeto de una descripción en el SIS II, el Estado miembro que introduzca una nueva descripción se pondrá de acuerdo sobre la introducción de la descripción con el Estado miembro que hubiere introducido la primera descripción. Este acuerdo deberá basarse en el intercambio de información complementaria.

Artículo 35.- Distinción entre personas con características similares.

Cuando, al introducirse una nueva descripción, resulte que ya hay una persona en el SIS II con el mismo elemento descriptivo de identidad, deberá seguirse el siguiente procedimiento:

a) el Servicio Nacional SIRENE entablará contacto con la autoridad solicitante para comprobar si se trata de la misma persona o no;

b) si de la comprobación entre la nueva descripción y la persona que ya esta en el SIS II resulta que se trata efectivamente de la misma persona, el Servicio Nacional SIRENE aplicará el procedimiento de integración de descripciones múltiples previsto en el artículo 34, apartado 6. Si el resultado de la comprobación indicare que se trata en efecto de dos personas diferentes, el Servicio Nacional SIRENE aprobará la solicitud de introducción de la segunda descripción añadiendo los elementos necesarios para evitar cualquier error de identificación.

Artículo 36.- Datos adicionales en caso de usurpación de identidad.

1. En caso de que pueda surgir confusión entre la persona a la que realmente se refiere una descripción y otra persona cuya identidad haya sido usurpada, el Estado miembro que introdujo la descripción añadirá a la descripción datos sobre la segunda persona, con el consentimiento explicito de esta, a fin de evitar las consecuencias negativas de los errores de identificación.