Orden JUS/3473/2005, de 8 de noviembre, sobre difusión y publicidad de las resoluciones concursales a través de Internet. (B.O.E. 268/36672 de 9 de noviembre de 2005).

La presente Orden ministerial se dicta en desarrollo y aplicación del Real Decreto 685/2005, de 10 de junio, sobre publicidad de resoluciones concursales y por el que se modifica el Reglamento del Registro Mercantil, aprobado por el Real Decreto 1784/1996, de 19 de julio, en materia de publicidad registral de las resoluciones concursales.

Conforme a la Disposición adicional única del Real Decreto 685/2005, de 10 de junio, corresponde al Ministro de Justicia determinar la fecha de entrada en funcionamiento del portal de Internet, mediante Orden que se publicará en el «Boletín Oficial del Estado».

Dispone también el Real Decreto 685/2005, de 10 de junio, que corresponde al Ministro de Justicia establecer las exigencias tendentes a asegurar la coordinación entre la publicidad registral y la información pública de las resoluciones concursales, de forma que se permita el acceso unificado a toda la información relevante de las situaciones concursales en una única plataforma técnicoinformática pública.

Por último, la Disposición final primera del Real Decreto 685/2005, de 10 de junio, habilita al Ministro de Justicia para dictar cuantas disposiciones y resoluciones sean necesarias para el desarrollo y aplicación de lo establecido en dicho Real Decreto.

En el procedimiento de elaboración de la presente Orden se ha consultado al Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España, a quien corresponde la gestión material de este servicio de publicidad a través de Internet.

En su virtud, dispongo:

Artículo 1º. Objeto.
La presente Orden Ministerial tiene por objeto determinar la estructura, el contenido y la fecha de entrada en funcionamiento del portal de Internet al que se refiere el Real Decreto 685/2005, de 10 de junio, sobre publicidad de resoluciones concursales y por el que se modifica el Reglamento del Registro Mercantil, aprobado por el Real Decreto 1784/1996, de 19 de julio, en materia de publicidad registral de las resoluciones concursales.

Artículo 2º. Diseño del portal.
1. El portal se alojará en Internet en un sitio habilitado al efecto bajo el nombre de dominio registrado «publicidadconcursal.es».

2. El portal se construirá con la denominación de «Registro Público de Resoluciones Concursales».

3. La finalidad del portal es permitir un acceso unificado a toda la información relevante de las situaciones concursales en una única plataforma técnico-informática pública. Será accesible tanto desde el portal del Ministerio de Justicia como desde el portal del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España.

Artículo 3º. Idiomas.
El portal se ofrecerá en los idiomas castellano, catalán, euskera, gallego y valenciano.

Artículo 4º. Estructura y contenidos del portal.
1. Los contenidos del portal al que se refiere el Capítulo II del Real Decreto 685/2005, de 10 de junio, y los del contemplado en el artículo 324º del Reglamento del Registro Mercantil se estructurarán en las tres secciones previstas en el artículo 4º del Real Decreto 685/2005, de 10 de junio, y en la sección especial de edictos concursales prevista en el artículo 324º.4 del Reglamento del Registro Mercantil.

2. En la Sección Primera, bajo la rúbrica de «deudores concursados», se incluirá la información relativa a los concursados y concursos de deudores identificados por su nombre o denominación, o por el número de autos. La información se estructurará en los mismos epígrafes que los señalados en el artículo 320º del Reglamento del Registro Mercantil. Para cada resolución se transcribirá la parte dispositiva de la misma con expresión del nombre y número del juzgado o del tribunal que la hubiere dictado, el número de autos y la fecha de la resolución y los datos de inscripción en el Registro Mercantil. Si se tratare de concursados no inscribibles en el Registro Mercantil se hará expresa mención de lo que se establece en el artículo 324º.4 del Reglamento del Registro Mercantil.

3. En la Sección Segunda, bajo la rúbrica de «administradores, liquidadores y apoderados inhabilitados» se informará de las personas afectadas por las sentencias de calificación en los términos de lo previsto en los artículos 172º.2.2.º y 198º de la Ley 22/2003, de 9 de julio, Concursal.

La sección estará ordenada por apellidos y número de identificación fiscal (NIF) de las personas afectadas por la calificación del concurso como culpable así como, en su caso, de las declaradas cómplices. Para cada resolución se expresará lo que dispone el artículo 5º.2 del Real Decreto 685/2005, de 10 de junio, con transcripción de la parte dispositiva de la sentencia de calificación.

4. La Sección Tercera, denominada «de administradores concursales», informará del nombramiento y del cese, por cualquier causa, de los administradores concursales o auxiliares delegados por orden alfabético de nombres o denominaciones. Por cada administrador o auxiliar se identificarán las resoluciones concursales de nombramiento o cese en todos y cada uno de los concursos en que hubiere participado, con el contenido de lo que detalla el artículo 5º.2 del Real Decreto 685/2005, de 10 de junio, y con transcripción de la parte dispositiva del auto.

5. La Sección especial de edictos concursales se organizará por concursos y deudores concursados. Su contenido estará estructurado en apartados por categorías o clases de edictos entre aquellos que el Juez del concurso quiera divulgar en la red con el carácter de información complementaria o sustitutoria, según los casos y decisión judicial, en aplicación de lo dispuesto en el apartado 1 del artículo 236º de la Ley Orgánica del Poder Judicial, el artículo 23º y concordantes de la Ley Concursal, y el artículo 324º.4 del Reglamento del Registro Mercantil.

6. El portal contendrá además los correspondientes iconos que permitan el acceso a la información pública general; la información relevante en materia de protección de datos; la conexión mediante protocolo seguro «https» con la base de datos del Registro Mercantil; la estadística concursal, y cualesquiera otras informaciones que doten al portal de mayor funcionalidad. También se establecerá una conexión bilateral con el correspondiente portal en Internet del Registro Mercantil Central.

Artículo 5º. Acceso a la información del portal.
1. Salvo en los casos de información reservada a los órganos jurisdiccionales, el portal en Internet será de acceso permanente, público y gratuito sin que se requiera justificar o manifestar interés legítimo alguno, que se presume en el solicitante de la información.

2. La publicidad de las sentencias de calificación que aún no sean firmes estará restringida a los titulares de los órganos jurisdiccionales que podrán interesar la información a través del Secretario judicial, mediante petición telemática que sólo se atenderá previa comprobación de la identidad y legitimidad de los solicitantes de la información.

3. Los datos relativos a la sentencia de inhabilitación firme serán cancelados de oficio cuando transcurra el período de inhabilitación establecido en la misma sentencia.

También se cancelarán de oficio los datos relativos a la inhabilitación temporal para ser nombrado administrador en otros concursos, en los términos previstos por el artículo 181º.4 de la Ley Concursal, cuando terminen sus efectos según lo que establezca la sentencia de desaprobación de cuentas.

4. Transcurridos tres años desde la firmeza del auto en que se decida la separación del administrador concursal o auxiliar delegado en aplicación de lo que establecen los artículos 37º, 151º, 152º y 153º de la Ley Concursal, no se dará información del contenido de la resolución judicial en que se contengan los motivos del cese.

5. Concluido el concurso, los representantes del que hubiera dejado de ser concursado tendrán derecho a solicitar del encargado del correspondiente Registro Mercantil, en cualquier momento, la cancelación en el portal de Internet de los antecedentes registrales relativos al concurso que no hubiera sido objeto de una resolución acordando su reapertura.

Artículo 6º. Entrada en funcionamiento del portal.
1. El portal entrará en funcionamiento el día uno de diciembre de 2005.

2. A partir de la fecha indicada en el apartado anterior, el Secretario del Juzgado, o el de la Audiencia, remitirán el testimonio de las resoluciones o el correspondiente duplicado a que se refiere el párrafo primero del artículo 9º.2 del Real Decreto 685/2005, de 10 de junio, al Registrador mercantil correspondiente al domicilio del concursado. La remisión podrá ser telemática y autorizada con la firma electrónica reconocida del Secretario judicial.

3. A partir de la misma fecha quedará habilitada en el portal la sección de edictos concursales. El oficio con el edicto en que se determinará el plazo de mantenimiento del anuncio y sus destinatarios se remitirá al encargado del portal por el procurador o directamente por el Secretario del juzgado.

Disposición final primera. Habilitación.
La Dirección General de los Registros y del Notariado impartirá al Colegio de Registradores de la Propiedad, Bienes Muebles y Mercantiles de España las Instrucciones que resulten necesarias para garantizar el adecuado funcionamiento del portal.

Disposición final segunda. Entrada en vigor.
La presente Orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Madrid, 8 de noviembre de 2005,

LÓPEZ AGUILAR

Sra. Directora General de los Registros y del Notariado.

Sr. Decano-Presidente del Colegio de Registradores de la Propiedad, Bienes Muebles y Mercantiles de España.

De la Banca Electrónica a la Administración Electrónica. Lecciones aprendidas.

Liderazgo e impulso interno en la asunción del paradigma electrónico en las entidades financieras, por D. Miguel de Bas Sotelo.

El aprendizaje de comportamientos eficientes por el usuario/ciudadano, por D. Ricardo Morado Iglesias.

La Convergencia de la Administración Electrónica y la Banca Electrónica, factor clave del Desarrollo de la Sociedad de la Información, por D. Eliseo Sánchez Trasobares.

Renovación del modelo de servicio al cliente como consecuencia de la revolución electrónica, por D. Agustín Márquez Dorsch.

Analogías y diferencias entre la e-banca yla e-administración, por D. Francisco Javier Velázquez López.

Empleo y paradigma electrónico, por D. Miguel Vicente Segarra Ortiz.

Empleo y paradigma electrónico, por D. Candido Méndez Rodríguez.

La mejora de la calidad del servicio al cliente y el papel de la banca electrónica, por D. Julio Lage González.

El ahorro de costes en la estrategia de la e-banca, por D. Pedro Mateache Sacristán.

Función directriz de la e-administración en el desarrollo de la Sociedad de la Información en España, por D. Francisco Ros Perán.

Le ministre des technologies de la communication,

Vu le code des télécommunications promulgué par la loi n° 2001-1 du 15 janvier 2001, tel qu’il a été complété par la loi n° 2002-46 du 7 mai 2002,

Vu le décret n° 2000-2475 du 31 octobre 2000, relatif à la formalité unique pour la création des projets individuels,

Vu décret n° 2006-3315 du 25 décembre 2006, fixant les procédures et les conditions d’exploitation des centres publics des télécommunications.

Arrête :

Article premier. –

Est approuvé, le cahier des charges relatif à l’exploitation des centres publics des télécommunications, annexé au présent arrêté.

Article 2. –

Le présent arrêté sera publié au Journal Officiel de la République Tunisienne.

Tunis, le 11 avril 2007.

Le ministre des technologies de la communication Mountassar Ouaïli

Vu

Le Premier ministre Mohamed Ghannouch　

I medfør af § 5, stk. 1, § 13, stk. 1, og § 14 i bekendtgørelse Nr. 591 af 26. juni 2003 om offentlige arkiver og offentlige arkivers virksomhed og efter drøftelse med de kommunale og regionale parter fastsættes:

Område

§ 1.– Bestemmelserne i denne bekendtgørelse gælder for arkivalier skabt af den offentlige forvaltning og domstolene, og som af Statens Arkiver er bestemt til bevaring.

§ 2.– Bevaring af data fra it-systemer og af lyd og video skal ske i form af arkiveringsversioner.

Stk. 2.– Statens Arkiver kan af bevaringsmæssige grunde fastsætte, at bevaringen af andre arkivalier skal ske i form af arkiveringsversioner.

§ 3.– En arkiveringsversion af bevaringsværdige data skal fremstilles efter de anvisninger, der udstedes af rigsarkivaren, jf. bilag 2-8.

Stk. 2.– Rigsarkivaren kan anvise anden bevaringsform end en arkiveringsversion, fremstillet efter anvisningerne i bilag 2-8, hvis bevaringsmæssige hensyn tilsiger det.

Produktion og aflevering

§ 4.– Produktion og aflevering af arkiveringsversioner af data fra den statslige forvaltning og domstolenes it-systemer skal finde sted på tidspunkter, der fastsættes af Statens Arkiver.

§ 5.– Produktion og aflevering af arkiveringsversioner af data fra kommunernes og regionernes it-systemer, som indeholder personoplysninger, skal finde sted, inden data skal slettes. Den pågældende kommune eller region kan træffe aftale om tidligere tidspunkter med det modtagende arkiv.

Stk. 2.– Produktion af arkiveringsversioner af data fra øvrige it-systemer skal finde sted, inden data slettes, eller når it-systemet tages ud af brug.

Stk. 3.– Statens Arkiver kan derudover fastsætte, at der skal produceres en arkiveringsversion af data fra et it-system, når det af bevaringsmæssige hensyn er nødvendigt.

§ 6.– Arkiveringsversioner af statslige myndigheders data skal godkendes af Statens Arkiver. Arkiveringsversioner af kommunale og regionale myndigheders data skal godkendes af det modtagende arkiv. Arkiveringsversioner af bevaringsværdige kommunale og regionale data, som ikke er omfattet af afleveringspligt, skal godkendes af samme offentlige arkiv, som modtager myndighedens afleveringspligtige arkiveringsversioner.

Stk. 2.– Data, som er overført til en arkiveringsversion, må ikke slettes hos myndigheden, før arkiveringsversionen er godkendt.

Ikrafttrædelse m.v.

§ 7.– Bekendtgørelsen træder i kraft den 1. september 2010.

Stk. 2.– Bekendtgørelse Nr. 342 af 11. marts 2004 om arkiveringsversioner af bevaringsværdige data fra elektroniske arkivsystemer ophæves.

Stk. 3.– Bekendtgørelse Nr. 302 af 16. april 2009 om aflevering af lyd og video ophæves.

Stk. 4.– Til og med 1. juli 2011 kan der indgås aftale med offentligt arkiv om, at arkiveringsversion af data udarbejdes efter reglerne i den i stk. 2 nævnte bekendtgørelse.

Stk. 5.– Arkiveringsversioner af data efter reglerne i den i stk. 2 nævnte bekendtgørelse skal være afleveret til det pågældende offentlige arkiv inden 31. december 2011.

Stk. 6.– Rigsarkivaren kan efter ansøgning meddele dispensation for reglerne i stk. 4 og 5.

Rigsarkivet, den 20. august 2010

Asbjørn Hellum

 Kirsten Villadsen Kristmar

LE PREMIER MINISTRE,

Vu la loi 09-08 relative à la protection des personnes physiques à l'égard des traitements des données à caractère personnel, promulguée par le dahir nº 1-09-15 du 22 safar 1430 (18 février 2009) ;

Après examen par le conseil des ministres, réuni le 11 joumada I 1430 (7 mai 2009),

DECRETE

Chapitre I.- La Commission nationale de contrôle de la protection des données à caractère personnel (CNDP)

Section 1.- Conditions et modalités de désignation des membres de la CNDP

Article 1

La Commission nationale de contrôle de la protection des données à caractère personnel créée en vertu de l'article 27 de la Loi nº 09-08 est désignée en abrégé par la » CNDP «.

Article 2

En application de l'article 32 de la Loi nº 09-08, la CNDP est composée de sept (7) membres dont le président est nommé par le Roi et six (6) membres nommés également par le Roi et proposés comme suit :

– deux membres par le Premier ministre ;

– deux membres par le président de la Chambre des représentants ;

– deux membres par le président de la Chambre des conseillers.

Article 3

Outre le président, les membres de la CNDP proposés en vue de leur désignation conformément aux dispositions de l'article 32 de la Loi nº 09-08, sont choisis parmi des personnalités du secteur public ou privé qualifiées.

La CNDP doit comprendre parmi ses membres des personnalités qualifiées pour leur compétence dans les domaines juridique et judiciaire, des personnalités justifiant d'une grande expertise en matière informatique ainsi que des personnalités reconnues pour leur connaissance des questions touchant aux libertés individuelles.

Les membres de la CNDP sont choisis parmi les personnalités notoirement connues pour leur impartialité, leur probité morale, leur expertise et leur compétence.

Article 4

En cas de vacance, d'empêchement ou d'absence pour quelque cause que ce soit d'un membre de la Commission, il est pourvu dans les mêmes conditions, à son remplacement dans les 30 jours suivant celui où la vacance est constatée par le président de la CNDP.

Les membres de la CNDP nommés en remplacement de ceux dont le mandat a pris fin avant son terme normal, achèvent le mandat des membres auxquels ils succèdent.

Article 5

Le président de la CNDP peut déléguer une partie de ses fonctions à un autre membre et au secrétaire général de la CNDP. Il préside les réunions de la CNDP ou délègue un autre membre à cette fin et le représente.

Section 2.- Règles de fonctionnement de la CNDP

Article 6

La CNDP se réunit sur convocation de son président, agissant de sa propre initiative ou à la demande de la moitié des membres, selon une périodicité précisée par son règlement intérieur et, en tout cas, au moins une fois par mois.

Article 7

Conformément à l'article 39 de la Loi nº 09-08 susvisée, la CNDP établit son règlement intérieur qui fixe notamment les conditions de son fonctionnement et de son organisation, et ce dans un délai d'un mois après son installation et le communique au premier ministre ou à l'autorité gouvernementale qu'il désigne, pour approbation et publication au » Bulletin officiel «.

Article 8

Les crédits nécessaires à l'accomplissement des missions de la CNDP sont inscrits au budget du Premier ministre.

Article 9

La CNDP peut bénéficier de dons et legs d'organismes nationaux et internationaux publics ou privés.

Article 10

Le projet de budget de la CNDP est préparé par le secrétaire général. Avant son approbation par la CNDP, le projet de budget est soumis par le président de la CNDP au Premier ministre.

Article 11

Le président de la CNDP est ordonnateur de son budget. Il est assisté par le secrétaire général qui est sous ordonnateur pour les missions qui lui sont confiées par la Loi nº 09-08.

Section 3.- Administration de la CNDP

Article 12

L'administration de la CNDP est assurée par un secrétaire général sous l'autorité de son président.

Article 13

Le secrétaire général dirige les services administratifs et financiers de la CNDP et peut à ce titre, outre les pouvoirs qu'il exerce par délégation du président de la CNDP, signer tous actes et décisions d'ordre administratif. Il prépare et soumet pour approbation du président, le projet de budget de la CNDP.

Article 14

Le secrétaire général est chargé de prendre toute mesure nécessaire à la préparation et à l'organisation des travaux de la CNDP. Il est responsable de la tenue et de la conservation des dossiers et archives de la CNDP.

Article 15

Afin d'assurer la gestion de la CNDP, le secrétaire général dispose selon l'article 41 de la Loi nº 09-08 d'un personnel administratif et technique composé de fonctionnaires des administrations publiques ou d'agents publics, qui peuvent être placés en position de détachement auprès de la CNDP, sur décision conjointe de l'autorité gouvernementale dont ils relèvent et du président de la CNDP.

Les contrats de travail sont soumis à l'approbation du premier ministre pour le personnel recruté par voie contractuelle.

Section 4.- Des pouvoirs d'investigation et de contrôle de la CNDP

Article 16

Pour l'accomplissement des pouvoirs d'investigation et d'enquête dont elle est investie en vertu de l'article 30 de la Loi nº 09-08, la CNDP charge ses agents régulièrement commissionnés par le président et placés sous son autorité, de rechercher et contrôler, par procès-verbal, les infractions aux dispositions de la loi susvisée et des textes pris pour son application.

Article 17

L'opération de contrôle, fait l'objet d'une décision de la CNDP qui précise :

1) le nom et l'adresse du responsable du traitement concerné ;

2) le nom de l'agent commissionné ou des agents chargés de l'opération ;

3) l'objet ainsi que la durée de l'opération.

Article 18

Aucun agent ne peut être désigné pour effectuer un contrôle auprès d'un organisme au sein duquel il a, au cours des 5 années précédant le contrôle, détenu un intérêt direct ou indirect, exercé des fonctions, une activité professionnelle ou un mandat électif.

Article 19

En cas d'opération de contrôle, le procureur du Roi territorialement compétent en est préalablement informé au plus tard vingt-quatre (24) heures avant la date à laquelle doit avoir lieu le contrôle sur place. Cet avis précise la date, l'heure, le lieu et l'objet du contrôle.

Les personnes chargées du contrôle doivent présenter leur ordre de mission et, le cas échéant, leur habilitation à procéder auxdits contrôles.

Article 20

En application de l'article 66 de la Loi nº 09-08 chaque contrôle, doit faire l'objet d'un procès-verbal qui énonce la nature, le jour, l'heure et le lieu des contrôles effectués. Le procès-verbal indique l'objet de l'opération, les membres de la CNDP ayant participé à celle-ci, les personnes rencontrées, le cas échéant, leurs déclarations, les demandes formulées par les contrôleurs ainsi que les éventuelles difficultés rencontrées.

L'inventaire des pièces et documents dont, les personnes chargées du contrôle ont pris copie, est annexé au procès-verbal signé par les personnes chargées du contrôle et par le responsable soit des lieux, soit des traitements, soit par toute personne désignée par celuici.

Article 21

Les agents de la CNDP peuvent également, sur autorisation du procureur du Roi, procéder à la saisie des matériels objets de l'infraction.

La demande de l'autorisation précitée doit comporter tous les éléments d'information de nature à justifier la saisie. Celle-ci s'effectue sous l'autorité et le contrôle du procureur du Roi qui l'a autorisée.

Article 22

Les personnes chargées du contrôle peuvent convoquer et entendre toute personne susceptible de leur fournir toute information ou justification utiles pour l'accomplissement de leur mission.

La convocation, adressée par lettre recommandée ou remise en main propre contre décharge, doit parvenir au moins sept jours avant la date de l'audition.

La convocation rappelle à la personne convoquée qu'elle est en droit de se faire assister d'un conseil de son choix.

Le refus de répondre à une convocation des personnes chargées du contrôle doit être mentionné sur procès-verbal.

Chapitre II.- Des avis, des autorisations et des déclarations

Section 1.- Dispositions générales

Article 23

La CNDP définit des modèles de déclaration, de demande d'avis et de demande d'autorisation et fixe la liste des annexes qui, le cas échéant, doivent être jointes.

Article 24

Les déclarations, demandes d'avis et demandes d'autorisation sont présentées par le responsable du traitement ou par la personne ayant qualité pour le représenter. Lorsque le responsable du traitement est une personne physique ou un service, la personne morale ou l'autorité publique dont il relève doit être mentionnée.

Les déclarations et demandes d'avis et d'autorisations sont adressées à la CNDP :

1) soit par lettre recommandée ;

2) soit remises au secrétariat de la commission contre reçu ;

3) soit par voie électronique, avec accusé de réception qui peut être adressé par la même voie.

La date de l'avis de réception, du reçu ou de l'accusé de réception électronique fixe le point de départ du délai :

– de 24 heures dont dispose la CNDP pour délivrer le récépissé de la déclaration en application de l'article 19 de la Loi nº 09-08 susvisée ;

– de deux mois pour notifier son avis conformément à l'article 25 du présent décret. La décision par laquelle le président renouvelle ce délai est notifiée au responsable du traitement par lettre remise contre signature ;

– de deux mois fixé par l'article 28 du présent décret à la CNDP pour accorder l'autorisation mentionnée dans les articles 12 et 21 de la Loi nº 09-08 susvisée ;

– de 8 jours dont dispose la CNDP pour notifier sa décision de soumettre le traitement au régime de la déclaration en application de l'article 20 de la Loi nº 09-08 susvisée.

Section 2.- Des avis de la CNDP

Article 25

La CNDP saisie dans le cadre de l'alinéa A de l'article 27 ainsi que dans le cadre de l'article 50 de la Loi nº 09-08 susvisée, se prononce dans le délai de deux mois à compter de la date du jour de réception de la demande d'avis. Ce délai peut être prolongé d'un mois sur décision motivée du président de la CNDP.

En cas d'urgence, ce délai est ramené à un mois à la demande du gouvernement ou du parlement.

Section 3.- De la déclaration

Article 26

Lorsque la déclaration satisfait aux prescriptions de la Loi nº 09-08 et de ses textes d'application. La CNDP délivre le récépissé prévu à l'article 19 de la loi susvisée.

La CNDP peut délivrer le récépissé de la déclaration préalable par voie électronique avec accusé de réception par la même voie.

Lorsque le récépissé est délivré par voie électronique, le responsable du traitement peut en demander une copie sur support papier.

Section 4.- Des autorisations

Article 27

En application de l'article 21 de la Loi nº 09-08 susvisée, les demandes d'autorisations préalables doivent préciser :

1) l'identité et l'adresse du responsable du traitement ou, si celui-ci n'est pas établi sur le territoire national, celles de son représentant dûment mandaté ;

2) la ou les finalités du traitement envisagé ainsi que sa dénomination et ses caractéristiques ;

3) les interconnexions envisagées ou toutes autres formes de mise en relation avec d'autres traitements ;

4) les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

5) la durée de conservation des informations traitées ;

6) le ou les services chargés de mettre en oeuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

7) les destinataires habilités à recevoir communication des données ;

8) la fonction de la personne ou le service auprès duquel s'exerce le droit d'accès ;

9) les dispositions prises pour assurer la sécurité des traitements et des données ;

10) l'indication du recours à un sous-traitant ;

11) les transferts de données à caractère personnel envisagés à destination d'un pays étranger.

Le responsable d'un traitement déjà déclaré ou autorisé introduit une nouvelle demande auprès de la CNDP, en cas de changement affectant les informations mentionnées à l'alinéa précédent. En outre, il doit informer la CNDP en cas de suppression du traitement.

Article 28

La CNDP se prononce dans un délai de deux mois (2) à compter de la réception de la demande d'autorisation. Toutefois, ce délai peut être prorogé une fois sur décision motivée de la CNDP. Lorsque la CNDP ne s'est pas prononcée dans ces délais, l'autorisation est réputée accordée.

Chapitre III.- Dispositions particulières à certaines catégories de traitements

Section 1.- Les conditions de traitement des données génétiques et celles relatives à la santé

Article 29

En application de l'article 12 alinéas 1-a et 1-c, et de l'article 21 alinéa 1 de la Loi nº 09-08 susvisée, les traitements portant sur des données génétiques et celles relatives à la santé doivent faire l'objet d'une autorisation de la CNDP.

Article 30

Les dossiers de demandes d'autorisation de traitements de données relatives à la santé adressés à la CNDP doivent comprendre :

1) l'identité et l'adresse du responsable du traitement et de la personne responsable du traitement, leurs titres, expériences et fonctions, les catégories de personnes qui seront appelées à mettre en oeuvre le traitement ainsi que celles qui auront accès aux données collectées ;

2) lorsqu'il s'agit de recherche dans le domaine médical, le protocole de recherche ou ses éléments utiles, indiquant notamment l'objectif de la recherche, les catégories de personnes intéressées, la méthode d'observation ou d'investigation retenue, l'origine et la nature des données à caractère personnel recueillies et la justification du recours à celles-ci, la durée et les modalités d'organisation de la recherche, la méthode d'analyse des données ;

3) le cas échéant, les avis rendus antérieurement par des instances scientifiques ou éthiques ;

4) les caractéristiques du traitement envisagé ;

5) l'engagement du responsable du traitement de coder les données permettant l'identification des personnes intéressées ;

6) le cas échéant, la justification scientifique et technique de toute demande de dérogation à l'obligation de codage des données permettant l'identification des personnes intéressées, et la justification de toute demande de dérogation à l'interdiction de conservation desdites données au-delà de la durée nécessaire à la recherche.

Toute modification de ces éléments est portée à la connaissance de la CNDP.

Section 2.- Traitement ultérieur de données à caractère personnel à des fins historiques, statistiques ou scientifiques

Article 31

En application de l'article 12 alinéa 1-b de la Loi nº 09-08 susvisée, lorsque le responsable d'un traitement des données à caractère personnel communique ces dites données à un tiers, en vue d'un traitement ultérieur à des fins historiques, statistiques ou scientifiques, lesdites données sont, préalablement à leur communication, rendues anonymes ou codées par ledit responsable ou par tout organisme compétent.

Article 32

Les résultats du traitement des données à caractère personnel à des fins historiques, statistiques ou scientifiques ne peuvent être rendus publics sous une forme qui permet l'identification de la personne concernée, sauf si :

1) la personne concernée a donné expressément son consentement ;

2) la publication des données à caractère personnel non anonymes et non codées est limitée à des données manifestement rendues publiques par la personne concernée.

Article 33

La CNDP est compétente pour se prononcer sur le caractère historique, statistique ou scientifique des données à caractère personnel.

Chapitre IV.- Des droits des personnes

Section 1.- Dispositions communes

Article 34

1) Les informations à fournir par le responsable du traitement, en application de l'article 5 de la Loi nº 09-08 susvisée, peuvent être délivrées par tous moyens, notamment par :

– courrier électronique ou sur support papier ;

– affichage ou formulaire électronique ;

– annonce dans un support approprié ;

– ou bien, au cours d'un entretien individuel.

2) les codes, sigles et abréviations figurant dans les documents délivrés par le responsable de traitement en réponse à une demande doivent être explicités, si nécessaire sous la forme d'un lexique.

Article 35

1) Les demandes tendant à la mise en oeuvre des droits prévus aux articles 7 à 9 de la Loi nº 09-08 susvisée peuvent être présentées au responsable du traitement par écrit, par voie électronique ou sur place.

2) lorsqu'elles sont présentées par écrit au responsable du traitement, elles doivent être signées et accompagnées de la photocopie d'une pièce d'identité et préciser avec exactitude l'objet de la demande.

3) lorsque le responsable du traitement n'est pas connu du demandeur, celui-ci peut adresser sa demande au siège de la personne morale, de l'autorité publique, du service ou de l'organisme dont il relève. La demande est transmise immédiatement au responsable du traitement.

Article 36

1) Lorsqu'une demande est présentée sur place, l'intéressé justifiant de son identité auprès du responsable du traitement, peut se faire assister d'un conseil de son choix.

La demande peut être également présentée par une personne spécialement mandatée à cet effet par l'intéressé, après justification de son mandat, de son identité et de l'identité du mandant.

2) Lorsque la demande relative au droit d'accès ne peut être satisfaite immédiatement conformément à l'article 7 de la Loi nº 09-08 susvisée, il est délivré à son auteur un avis de réception, daté et signé avec la mention du motif du report de la réponse et le responsable du traitement saisit immédiatement la CNDP pour la fixation d'un délai de réponse.

3) Lorsque la demande rectification ne peut être satisfaite dans le délai de 10 jours conformément à l'alinéa a de l'article 8 de la Loi nº 09-08 susvisée, il est délivré au demandeur un avis de réception, daté et signé et contenant le motif du report de la réponse. Dans ce cas le responsable du traitement saisit immédiatement la CNDP pour la fixation d'un délai de réponse.

Article 37

Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci invite le demandeur à les lui fournir avant l'expiration des délais fixés dans l'article 7 et l'alinéa a de l'article 8 de la Loi nº 09-08 et des textes pris pour son application.

La demande de compléments d'information suspend les délais mentionnés à l'alinéa précédent.

Section 2.- Du droit d'accès

Article 38

En application de l'article 7 de la Loi nº 09-08, toute personne justifiant de son identité, a le droit d'être informée, sur les données la concernant faisant l'objet d'un traitement, soit en s'adressant directement au responsable du traitement, soit en adressant à ce dernier une demande écrite d'accès aux informations, signée et datée, quel que soit le support :

La demande écrite doit contenir : le nom, le prénom, la date de naissance, ainsi qu'une photocopie de la carte d'identité.

La demande d'accès aux informations contient en outre et dans la mesure où le demandeur dispose de ces informations :

1) tous les éléments pertinents concernant les données, tels que leur nature, les circonstances ou l'origine de la prise de connaissance du traitement de ces données ;

2) la désignation de l'autorité ou du service concerné.

Article 39

Si plusieurs responsables de traitement des données gèrent en commun un ou plusieurs fichiers, le droit d'accès aux informations peut être exercé auprès de chacun d'eux, à moins que l'un d'eux soit considéré comme responsable de l'ensemble des traitements.

Si la personne sollicitée n'est pas autorisée à communiquer les informations demandées, elle doit transmettre la requête à qui de droit dans les meilleurs délais.

Section 3.- Du droit de rectification

Article 40

En application de l'article 8 de la Loi nº 09-08 toute personne justifiant de son identité dispose d'un droit de rectification des données personnelles la concernant, soit en s'adressant directement au responsable du traitement, soit en adressant à la CNDP une demande écrite de rectification signée et datée, quel que soit le support :

La demande écrite doit contenir : le nom, le prénom, la date de naissance, ainsi qu'une photocopie de la carte d'identité du demandeur et énoncer clairement l'objet de la rectification.

La demande rectification des informations contient en outre et dans la mesure où le demandeur dispose de ces informations :

– tous les éléments pertinents concernant les données contestées, tels que leur nature, les circonstances ou l'origine de la prise de connaissance des données contestées, ainsi que les rectifications éventuellement souhaitées;

– la désignation de l'autorité ou du service concerné.

Article 41

Lorsqu'une personne fait une demande en vue de rectifier ou de supprimer des données la concernant, le responsable du traitement ou la CNDP doit l'informer par écrit des dispositions prises.

Article 42

L'héritier d'une personne décédée qui souhaite la mise à jour des données concernant le défunt doit, lors de sa demande, outre la justification de son identité, apporter la preuve de sa qualité d'héritier par la production d'un acte notarié ou d'un livret de famille.

Section 4.- Du droit d'opposition

Article 43

Lorsque des données à caractère personnel sont collectées par écrit auprès de la personne concernée, le responsable du traitement demande à celle-ci, sur le document lui servant de support pour collecter les données, si elle souhaite exercer le droit d'opposition prévu à l'article 9 de la Loi nº 09-08 susvisée.

La personne concernée doit être en mesure d'exprimer son choix avant la validation définitive de ses réponses.

Article 44

Lorsque les données à caractère personnel sont collectées auprès de la personne concernée autrement que par écrit, le responsable du traitement demande à celle-ci, avant la fin de la collecte si elle souhaite exercer le droit d'opposition. Dans cette hypothèse, le responsable du traitement doit conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit d'opposition.

Article 45

Le responsable du traitement auprès duquel le droit d'opposition a été exercé, informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition.

Chapitre V.- Du transfert des données à caractère personnel vers un pays étranger

Article 46

Les demandes de transfert des données à caractère personnel vers un pays étranger offrant un niveau de protection suffisant au sens de l'article 43 de la Loi nº 09-08 susvisée doivent contenir, les indications suivantes :

1) les nom et adresse de la personne communiquant les données ;

2) les nom et adresse du destinataire des données ;

3) le nom et la description complète du fichier ;

4) les catégories de données personnelles transférées ;

5) les personnes concernées et leur nombre approximatif ;

6) le but du traitement des données effectué par le destinataire ;

7) le mode et la fréquence des transferts envisagés ;

8) la date du premier transfert.

Article 47

Lorsqu'en vertu de l'article 44 de la Loi nº 09-08 susvisée, le responsable du traitement envisage un transfert de données à caractère personnel vers un pays qui ne figure pas dans la liste fixée par la CNDP prévue à l'article 43 de la même loi et qu'il invoque pour justifier ce transfert l'une des dérogations prévues aux Iº et 2e alinéa de l'article 44 de la Loi nº 09-08 susvisée, il indique à la CNDP, outre les informations prévues à l'article précédent, le cas précis de dérogation qu'il invoque à l'appui de sa demande.

Article 48

Lorsqu'en application du 3e alinéa de l'article 44 de la Loi nº 09-08 susvisée, le responsable du traitement envisage un transfert de données à caractère personnel qui requiert une autorisation expresse de la CNDP, il précise à la CNDP, outre les informations prévues à l'article 44 du présent décret, les mesures ou le dispositif destinés à garantir un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes.

Concernant les autorisations de transfert, la CNDP se prononce, selon la procédure régissant les autorisations, prévue par la Loi nº 09-08 susvisées et ces textes d'application.

Article 49

Toute modification des informations mentionnées aux articles 46, 47 et 48 du présent décret doit être portée à la connaissance de la CNDP dans un délai de 8 jours ouvrables.

Article 50

Le transfert, prévu au sein d'un groupe d'entreprises ou à l'adresse de plusieurs destinataires pour les mêmes catégories de données et les mêmes finalités, peut faire l'objet d'une déclaration commune.

Article 51

Le ministre de l'industrie, du commerce et des nouvelles technologies et le ministre de l'économie et des finances sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Bulletin officiel.

Fait à Rabat, le 25 joumada I 1430 (21 mai 2009).

ABBAS EL FASSI.

Pour contreseing : Le ministre de l'industrie, du commerce et des nouvelles technologies, AHMED REDA CHAMI.

Le ministre de l'économie et des finances, SALAHEDDINE MEZOUAR.

Decreto 160/2004, de 5 de febrero de 2004

Desígnanse a los integrantes de la Comisión Asesora para la Infraestructura de Firma Digital creada por la Ley Nº 25.506.

VISTO la Ley Nº 25.506, el Decreto Nº 2628 del 19 de diciembre de 2002, el Decreto Nº 624 del 21 de agosto de 2003, y el Decreto Nº 1028 del 6 de noviembre de 2003, y

CONSIDERANDO:

Que por la Ley Nº 25.506 se creó la COMISION ASESORA PARA LA INFRAESTRUCTURA DE FIRMA DIGITAL, se estableció su integración y definieron sus funciones.

Que por el Decreto Nº 2628/02 se estableció que dicha Comisión Asesora funcionará en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, así como los requisitos que deben reunir sus integrantes y el carácter ad honorem que tiene el ejercicio de dichas funciones.

Que en el Decreto Nº 1028/03 se determinó que la COMISION ASESORA PARA LA INFRAESTRUCTURA DE FIRMA DIGITAL actuará en el ámbito de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS.

Que resulta necesario designar a sus integrantes, para asegurar el cumplimiento de las funciones asignadas a la citada Comisión.

Que la presente medida se dicta en uso de las atribuciones conferidas por el artículo 99 inciso 7, de la CONSTITUCION NACIONAL, el artículo 35 de la Ley Nº 25.506 y lo dispuesto por el artículo 1º del Decreto Nº 491 del 12 de marzo de 2002.

Por ello,

EL PRESIDENTE DE LA NACION ARGENTINA

DECRETA:

Artículo 1º. Desígnase a los integrantes de la COMISION ASESORA PARA LA INFRAESTRUCTURA DE FIRMA DIGITAL creada por la Ley Nº 25.506, de acuerdo con el detalle obrante en la planilla anexa al presente artículo.

Artículo 2º. Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

KIRCHNER.

Alberto A. Fernández.

PLANILLA ANEXA AL ARTICULO 1º

Apellidos
Nombres
Documento

ALTMARK
Daniel Ricardo
LE 4.527.543

AQUERRETA
Juan Carlos
DNI 10.134.048

BRUSA
Graciela María
DNI 12.545.190

CARRATALA EGEA
Armando Oscar
DNI 18.518.600

JENSEN
Cristian Alcídes
DNI 8.370.794

SAENZ
Carlos Agustín
DNI 17.759.675

VASSALLO
Guido Mario Adolfo Héctor
LE 4.374.480

VISTO

La Ley de Ministerios (t.o. por Decreto nº 438 del 12 de marzo de 1992), sus modificatorios y complementarios, y

CONSIDERANDO

Que con el fin de perfeccionar el uso de los recursos públicos incrementando la calidad de la acción estatal, corresponde efectuar un reordenamiento estratégico que permita concretar las metas públicas diagramadas, así como racionalizar y tornar más eficiente la gestión pública.

Que desde el año 1987 por delegación de la entonces autoridad de Internet, esto es la INTERNET ASSIGNED NUMBERS AUTHORITY- IANA, el MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO ha actuado como primera entidad con conexión permanente a Internet, propiciando asimismo el desarrollo local de la misma y brindando desde esa fecha servicios de correo electrónico a los distintos ámbitos del Gobierno Nacional y académico.

Que asimismo el rol principal del MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO, abarca la administración del Dominio de Nivel Superior Argentina ( .AR), sus servicios de registro, la promoción del desarrollo de la infraestructura y tecnología de Internet, y la cooperación mutua con otras entidades del Estado Nacional, canalizándose este esfuerzo a través de NIC-ARGENTINA.

Que es necesario concentrar los recursos en el ámbito del MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO, con el objeto de concretar un reordenamiento de la actividad de referencia, atento al permanente desarrollo del tema, que permita mejorar la prestación del servicio y actualizar las reglas de registración de nombres, velando por la correcta aplicación de las mismas.

Que como consecuencia de los objetivos perseguidos por el Gobierno y en virtud de la experiencia acumulada por esa cartera, es aconsejable asignar las competencias relativas a la administración del Dominio de Nivel Superior Argentina ( .AR) y sus servicios de registro al MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO.

Que como consecuencia de dicha asignación, se hace necesario la actualización de las competencias del MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO.

Que la imperiosa necesidad de efectuar la incorporación de la mencionada competencia configura una circunstancia excepcional que hace imposible seguir los trámites ordinarios previstos por la CONSTITUCION NACIONAL para la sanción de las leyes.

Que el presente Decreto se dicta en uso de las facultades conferidas por el artículo 99, inciso 3. de la CONSTITUCIÓN NACIONAL.

Por ello,

EL PRESIDENTE DE LA NACION ARGENTINA

EN ACUERDO GENERAL DE MINISTROS

DECRETA:

Artículo 1º – Sustitúyese el artículo 18 de la Ley de Ministerios (texto ordenado por Decreto nº 438 del 12 de marzo de 1992), sus modificatorios y complementarios, por el siguiente:

«Artículo 18.- Compete al MINISTERIO DE RELACIONES EXTERIORES, COMERCIO INTERNACIONAL Y CULTO asistir al Presidente de la Nación, y al Jefe de Gabinete de Ministros en orden a sus competencias, en todo lo inherente a las relaciones exteriores de la Nación y su representación ante los gobiernos extranjeros, la Santa Sede y las entidades internacionales en todos los campos del accionar de la República, y en particular:

1.- Entender en la determinación de los objetivos y políticas del área de su competencia;

2.- Ejecutar los planes, programas y proyectos del área de su competencia elaborados conforme las directivas que imparta el PODER EJECUTIVO NACIONAL;

3.- Entender, desde el punto de vista de la política exterior, en todas las reuniones, congresos y conferencias de carácter internacional y en las misiones especiales ante los gobiernos extranjeros, organismos y entidades internacionales, así como en las instrucciones que corresponda impartir en cada caso, y su ejecución;

4.- Entender en las relaciones con el cuerpo diplomático y consular extranjero, y con los representantes gubernamentales, de organismos y entidades intergubernamentales en la República;

5.- Entender, desde el punto de vista de la política exterior, en la elaboración, registro e interpretación de los tratados, pactos, convenios, protocolos, acuerdos, arreglos o cualquier otro instrumento de naturaleza internacional, en todas las etapas de la negociación, adopción, adhesión, accesión y denuncia;

6.- Entender, desde el punto de vista de la política exterior, en todo lo inherente a las actividades de las misiones especiales enviadas a la República por los gobiernos extranjeros o por organismos o entidades internacionales;

7.- Entender en la protección y asistencia de los ciudadanos e intereses de los argentinos en el exterior, así como fortalecer sus vínculos con la República;

8.- Intervenir, en su área, en las decisiones sobre el uso de la fuerza armada, en las materias relacionadas con el estado de guerra y su declaración, en la solución de las controversias internacionales, los ajustes de paz, la aplicación de sanciones decididas por organismos internacionales competentes y otros actos contemplados por el derecho internacional;

9.- Entender en la política vinculada con las operaciones de mantenimiento de la paz en el ámbito de las organizaciones internacionales y como resultado de compromisos bilaterales adquiridos por la República, e intervenir en su ejecución;

10.- Entender en la política de desarme, seguridad y antiterrorismo internacional;

11.- Entender en la introducción y tránsito de fuerzas extranjeras por el territorio de la República y la salida de fuerzas nacionales;

12.- Entender, desde el punto de vista de la política exterior, en las materias referidas a la no proliferación de tecnologías sensitivas vinculadas a las armas de destrucción en masa e intervenir en el control de exportaciones sensitivas y material bélico;

13.- Entender, desde el punto de vista de la política exterior, en la tramitación de los tratados de arreglos concernientes a los límites internacionales, y en el registro y difusión de los mapas oficiales de los límites de la República;

14.- Entender en la tramitación de rogatorias judiciales, pedidos de extradición y en los asuntos relativos a la asistencia judicial internacional;

15.- Entender en la concesión del derecho de asilo y el otorgamiento de la condición de refugiado;

16.- Entender en la promoción y difusión de la imagen de la República en el exterior, coordinando previamente con los organismos que correspondan;

17.- Entender, en los aspectos políticos y económicos internacionales, en la formulación y conducción de los procesos de integración de los que participa la República, como así también en el establecimiento y conducción de los órganos comunitarios surgidos de dichos procesos, y en todo lo relativo a su convergencia futura con otros procesos de integración;

18.- Entender, desde el punto de vista de la política exterior y en coordinación con los organismos nacionales, provinciales y regionales de enlace, en el desarrollo de los procesos de integración física con los países limítrofes;

19.- Entender en la ejecución de la política comercial en el exterior, incluyendo la promoción y las negociaciones internacionales de naturaleza económica y comercial, así como en la conducción del servicio económico y comercial exterior e intervenir en la formulación, definición y contenidos de la política comercial en el exterior;

20.- Entender en las relaciones con los organismos económicos y comerciales internacionales;

21.- Entender en la promoción, organización y participación en exposiciones, ferias, concursos, muestras y misiones de carácter económico, oficiales y privadas, en el exterior, atendiendo a las orientaciones de política económica global y sectorial que se definan;

22.- Entender en las políticas y determinación de acciones de asistencia humanitaria internacional, ayuda de emergencia y rehabilitación para el desarrollo a nivel internacional, su implementación, financiación y ejecución, en coordinación con los organismos competentes del sistema de las Naciones Unidas y otros organismos internacionales;

23.-Entender en todo lo relacionado con las representaciones permanentes o transitorias de la República en el exterior;

24.- Entender en la organización del Servicio Exterior de la Nación y en el ingreso, capacitación, promoción y propuestas de ascensos de sus integrantes que se realicen al HONORABLE CONGRESO DE LA NACION;

25.- Entender en la legalización de documentos para y del exterior;

26.- Entender en la publicación del texto oficial de los tratados y demás acuerdos internacionales concluidos por la Nación;

27.- Entender, desde el punto de vista de la política exterior, en la negociación de la cooperación internacional en los ámbitos educativos, cultural, ambiental, económico, social, científico, técnico, tecnológico, nuclear, espacial, laboral y jurídico, en coordinación con los respectivos ministerios y con los demás organismos nacionales que tengan competencia en alguno de dichos ámbitos;

28.- Intervenir, desde el punto de vista de la política exterior, en la elaboración y ejecución de la política de migración e inmigración en el plano internacional y en lo relacionado con la nacionalidad, derechos y obligaciones de los extranjeros y su asimilación e integración con la comunidad nacional;

29.- Entender en las negociaciones internacionales y participar, desde el punto de vista de las relaciones exteriores en la formulación y ejecución de las políticas sobre protección del medio ambiente, y de la preservación del territorio terrestre y marítimo argentino y sus áreas adyacentes, así como del espacio aéreo;

30.- Entender, desde el punto de vista de la política exterior, en todo lo relativo a la prevención y sanción de delitos internacionales;

31.- Entender en las negociaciones internacionales e intervenir en la formulación de políticas que conduzcan a convenios bilaterales y multilaterales de cooperación internacional en materia de lucha contra el tráfico ilícito de estupefacientes y sustancias psicotrópicas;

32.- Entender en el reconocimiento de Estados, Gobiernos y situaciones internacionales;

33.- Entender en la aplicación del derecho humanitario internacional en cooperación con los organismos especializados de Naciones Unidas, con la Cruz Roja Internacional, así como también en la formulación y ejecución del programa internacional denominado «Cascos Blancos»;

34.- Participar en la formulación de políticas, elaboración de planes y programas, y en la representación del Estado Nacional ante los organismos internacionales en materia de Derechos Humanos y en aquellos relativos a la condición y situación de la mujer, e intervenir en la reforma de la legislación nacional en dichas materias;

35.- Intervenir en todos los actos del PODER EJECUTIVO NACIONAL que tengan conexión con la política exterior de la Nación o se vinculen con los compromisos asumidos por la República;

36.- Entender en la planificación y dirección de la política antártica, como así también en la implementación de los compromisos internacionales, e intervenir en la ejecución de la actividad antártica;

37.- Entender en las relaciones del gobierno con la Iglesia Católica, Apostólica y Romana; en la centralización de las gestiones que ante la autoridad pública hicieren la Iglesia, personas y entidades del culto y en las acciones correspondientes al otorgamiento de credenciales eclesiásticas;

38.- Entender en las relaciones con todas las organizaciones religiosas que funcionen en el país para garantizar el libre ejercicio del culto y en el registro de las mismas;

39.- Intervenir en la elaboración de las políticas para el desarrollo de áreas y zonas de frontera y entender en su ejecución en el área de su competencia.

40.- Entender, en su carácter de administrador del Dominio de Nivel Superior Argentina (.AR), en el procedimiento de registro de nombres de dominio Web de las personas físicas y jurídicas, como así también ejecutar los planes, programas y proyectos relativos al tema, interviniendo en los procesos de negociación y conclusión de acuerdos y otros instrumentos de carácter internacional, y propiciando las medidas necesarias tendientes a lograr armonizar las disposiciones generales y globales que regulan la registración de los nombres de dominio en la República con el derecho interno.»

Artículo 2º – El presente Decreto entrará en vigencia a partir de su publicación en el Boletín Oficial.

Artículo 3º – Dése cuenta al HONORABLE CONGRESO DE LA NACION.

Artículo 4º – Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

KIRCHNER-Fernández-Fernández-Pampuro-Bielsa-Lavagna-Kirchner-Ginés González García-Tomada-Rosatti-Filmus-De Vido

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 84, inciso VI, alínea «a», da Constituição,

DECRETA:

Artigo 1º.- O parágrafo único do art. 3º do Decreto nº 4.901, de 26 de novembro de 2003, passa a vigorar com a seguinte redação:

Artigo 2º.- O art. 8º do Decreto nº 4.901, de 2003, passa a vigorar acrescido do seguinte parágrafo único:

Artigo 3º.- Este Decreto entra em vigor na data de sua publicação.

Brasília, 10 de março de 2005; 184º da Independência e 117º da República.

LUIZ INÁCIO LULA DA SILVA
Eunício Oliveira

La Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de la Administraciones Públicas y del Procedimiento Administrativo Común, establece en el artículo 45 la obligación a las administraciones públicas de impulsar el empleo y la aplicación de técnicas y medios electrónicos, informáticos y telemáticos en el desarrollo de su actividad y en el ejercicio de sus competencias.

Con posterioridad, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos ha establecido entre los fines de la misma el contribuir a la mejora del funcionamiento interno de las Administraciones Públicas, incrementando la eficacia y la eficiencia de las mismas mediante el uso de las tecnologías de la información, con las debidas garantías legales en la realización de sus funciones así como simplificar los procedimientos administrativos. Además reconoce a los ciudadanos el derecho a relacionarse con dichas Administraciones por medios electrónicos y establece que las comunicaciones entre Administraciones se realicen preferentemente por dichos medios.

La Disposición Adicional Segunda del Decreto 58/2004, de 29 de octubre, por el que se regula el Registro en el ámbito de la Administración General de la Comunidad Autónoma de La Rioja y sus Organismos Públicos establece que las comunicaciones entre órganos y/o unidades de una misma Consejería o Consejerías entre sí con independencia del asunto sobre el que traten, podrán realizarse a través de soportes, medios y aplicaciones informáticas, electrónicas y telemáticas. Estas comunicaciones serán válidas si existe constancia de la transmisión y recepción y de sus fechas, si se identifica fidedignamente al remitente y al destinatario de la comunicación y siempre que se respeten las normas reguladoras de la distribución de competencias entre órganos administrativos.

Al margen de los requerimientos legales y reglamentarios la implantación de una interacción electrónica dentro de la propia Administración aparece recogida ya en el Plan Estratégico para la Calidad en el Gobierno de La Rioja como una acción concreta a realizar para el desarrollo de la Administración Telemática, señalando que las acciones a desarrollar irían encaminadas primero al intercambio de documentación en la dirección Administración -Administración.

Para la implementación de estos mandatos desde la Consejería de Administración Pública y Hacienda se realizan dos proyectos, uno dirigido a posibilitar las comunicaciones con los ciudadanos a través de las notificaciones electrónicas, que contribuirá, entre otros aspectos, a reducir los tiempos de tramitación, y un segundo proyecto destinado a permitir las comunicaciones internas de forma electrónica, reduciendo los tiempos por desplazamiento entre las sedes de los diferentes órganos, organismos u otros entes integrantes del sector público de la Comunidad Autónoma de La Rioja.

Por otra parte la posibilidad recogida en el artículo 27.6 de la precitada Ley de que reglamentariamente las Administraciones Públicas establezcan la obligatoriedad de comunicarse con ellas utilizando sólo medios electrónicos cuando los interesados se correspondan con colectivos de personas físicas que tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos, permite otro avance en la implantación de la administración electrónica y mediante esta norma se establece la obligatoriedad, en la Administración General, de la utilización de una aplicación informática en la tramitación de determinados procedimientos relativos a personal.

Se procede en este texto a la modificación del Decreto 8/2012, de 24 de enero, que aprueba el Reglamento Orgánico y Funcional del Consejo Consultivo de La Rioja, en concreto se introduce un nuevo párrafo al artículo 40 que permitirá que las consultas a dicho órgano puedan ser remitidas por medios electrónicos.

Por todo ello, el Consejo de Gobierno a propuesta de la Consejera de Administración Pública y Hacienda, conforme con el Consejo Consultivo de La Rioja y previa deliberación de sus miembros, en su reunión celebrada el día, 14 de diciembre de 2012 acuerda aprobar el siguiente,

Decreto:

Artículo 1º.- Objeto y ámbito de aplicación.

1. El presente Decreto tiene por objeto regular las comunicaciones y notificaciones electrónicas con los ciudadanos, así como las comunicaciones entre los diferentes órganos y unidades del sector público de de la Comunidad Autónoma de La Rioja y de éste con otras administraciones.

2. Las previsiones de este Decreto serán de aplicación:

a) A los ciudadanos cuando se relacionan con las entidades referidas en el apartado siguiente.

b) A los órganos y unidades de la Administración General de la Comunidad Autónoma de La Rioja así como a los Organismos Públicos que dependan de la misma y a otros entes instrumentales de su sector público salvo en el desarrollo de sus actuaciones regidas por derecho privado.

c) A las comunicaciones que puedan tener lugar con otras Administraciones Públicas.

Artículo 2º.- Comunicaciones electrónicas con los ciudadanos.

1. De conformidad con lo dispuesto en el artículo 27.1 de la Ley 11/2007, de 22 de junio, los ciudadanos podrán elegir en todo momento la manera de comunicarse con la Administración Pública de la Comunidad Autónoma de La Rioja y sus organismos públicos dependientes, sea o no por medios electrónicos, excepto en aquellos casos en los que de una norma con rango de Ley se establezca o infiera la utilización de un medio no electrónico. La opción de comunicarse por unos u otros medios no vincula al ciudadano, que podrá, en cualquier momento, optar por un medio distinto del inicialmente elegido. Esta modificación tendrá efectos a partir del día siguiente a su recepción en el registro competente.

2. Los entes públicos incluidos en el ámbito de aplicación del presente Decreto utilizarán medios electrónicos en sus comunicaciones con los ciudadanos siempre que así lo hayan solicitado o consentido expresamente. La solicitud y el consentimiento podrán, en todo caso, emitirse y recabarse por medios electrónicos. Los medios electrónicos disponibles en cada supuesto se publicarán en el Boletín Oficial de La Rioja y en la sede electrónica.

3. Las comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la transmisión y recepción, de sus fechas, del contenido íntegro de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas.

4. Reglamentariamente, podrá establecerse la obligación de que las comunicaciones se realicen utilizando únicamente medios electrónicos, cuando las personas interesadas sean personas jurídicas o colectivos de personas físicas que, por razón de su capacidad económica o técnica, actividad profesional u otros motivos acreditados, tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos.
En la norma que establezca dicha obligación se especificarán las comunicaciones a las que se aplica, las personas obligadas y el medio electrónico de que se trate.

Artículo 3º.- Comunicaciones internas.

1 Son comunicaciones internas, a los efectos de este Decreto, las que se producen entre órganos y unidades de una misma Consejería o Consejerías entre sí y de todos éstos con Organismos Públicos y otros entes integrantes del sector público de la Comunidad Autónoma de La Rioja y entre estos.

2. Las comunicaciones internas que precisen constancia de la transmisión y recepción, de sus fechas y de la identificación fidedigna de remitente y destinatario deberán realizarse utilizando la aplicación informática específica de comunicaciones, accesible desde la Sede electrónica del Gobierno de La Rioja.

3. El correo electrónico corporativo se utilizará en las comunicaciones que no precisen dejar constancia de los extremos señalados en el apartado anterior.

4. Las aplicaciones informáticas de gestión mantendrán sus propios sistemas de comunicación y registro de las tareas realizadas de forma interna siempre que permitan la constancia e identificación previstas en el apartado 2.

Artículo 4º.- Comunicaciones Interadministrativas.

1. Los órganos de la Administración General de la Comunidad Autónoma de La Rioja, sus organismos públicos y entidades de derecho público, cuando los medios técnicos lo permitan, utilizarán preferentemente medios electrónicos en las comunicaciones con otras Administraciones Públicas y adoptarán las medidas necesarias para garantizar las condiciones de dichas comunicaciones suscribiendo, a tal efecto, los convenios necesarios.

2. La aplicación informática especifica de comunicaciones desarrollada por el Gobierno de La Rioja podrá ser extensible a las comunicaciones con otras instituciones públicas del ámbito de la Comunidad Autónoma de La Rioja no integradas en su sector público a través de los correspondientes acuerdos o convenios.

Artículo 5º.- Notificaciones electrónicas.

1. Las notificaciones se realizarán por medios electrónicos cuando la persona interesada lo haya señalado como medio preferente o lo haya consentido, sin perjuicio de lo dispuesto en el artículo 2.4 de este Decreto. Tanto la solicitud para señalar la preferencia en el uso de medios electrónicos como el consentimiento a que se le notifique electrónicamente podrán emitirse y recabarse por medios electrónicos.

2.- El sistema de notificación permitirá acreditar la fecha y hora en que se produzca la puesta a disposición del interesado del acto objeto de notificación, así como la de acceso a su contenido, momento a partir del cual la notificación se entenderá practicada a todos los efectos legales. Cuando exista constancia de la puesta a disposición y transcurran diez días naturales sin acceder a su contenido, se entenderá que la notificación ha sido rechazada con los efectos previstos en el artículo 59.4 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común salvo que de oficio o a instancia del destinatario se compruebe la imposibilidad técnica o material del acceso.

3. En la medida que existan varias formas de notificación electrónica disponibles, la persona interesada podrá elegir entre ellas, salvo que una norma imponga un tipo de notificación específica.

Artículo 6º.- Práctica de las notificaciones por medios electrónicos.

1. Los entes públicos incluidos en el ámbito de aplicación del presente Decreto practicarán las notificaciones electrónicas mediante el acceso de la persona interesada, previa su identificación, a una dirección electrónica habilitada en la sede electrónica que acreditará los extremos señalados en el artículo anterior. Se podrá avisar al interesado, por cualquier medio electrónico, de la existencia de notificaciones en la dirección electrónica. Este aviso tendrá valor informativo, sin que su omisión afecte a la corrección de la notificación.

2. Igualmente producirá los efectos propios de la notificación por comparecencia el acceso electrónico por los interesados al contenido de las actuaciones administrativas correspondientes, siempre que se cumplan las siguientes condiciones:

a) Con carácter previo al acceso a su contenido, el interesado deberá visualizar un aviso del carácter de notificación de la actuación administrativa que tendrá dicho acceso.

b) El sistema de información correspondiente dejará constancia de dicho acceso con indicación de fecha y hora.

3. Se podrán utilizar otros sistemas de notificación, siempre que quede constancia de la recepción por el interesado en el plazo y en las condiciones que se establezcan en su regulación específica.

Artículo 7º.- Competencia y requisitos formales.

1. La gestión electrónica de la actividad administrativa propia de las comunicaciones y notificaciones electrónicas respetará la titularidad y el ejercicio de la competencia atribuida y el cumplimiento de los requisitos formales y materiales establecidos en las normas que regulen la correspondiente actividad.

2. En las aplicaciones informáticas de gestión así como en la aplicación específica de comunicaciones la firma de aquellos documentos que precisen constancia de la identidad del firmante, la autenticidad e integridad del documento se realizará utilizando sistemas de portafirmas electrónico.

DISPOSICIONES ADICIONALES

Disposición adicional primera. Procedimientos relativos al personal.

1. En la realización de los trámites inherentes a los procedimientos relativos a vacaciones, permisos y licencias recogidos en los Acuerdos-Convenios vigentes en cada momento para el personal funcionario y laboral al servicio del Sector Público de la Comunidad Autónoma de La Rioja se observará lo siguiente:

a) La tramitación de los procedimientos anteriormente referidos por los órganos y unidades de la Administración General, se efectuará a través de la aplicación informática específica de comunicaciones siempre que el personal afectado disponga de los medios informáticos necesarios en su puesto de trabajo. En el supuesto de no disponer de dichos medíos la tramitación se efectuará de la misma forma que se viene realizando.

b) Los Organismos Públicos y demás entes incluidos en el ámbito de aplicación de este Decreto podrán continuar su tramitación en la forma que lo vienen realizando hasta ahora. En el caso de que dichos organismos y entes deseen incorporar medios electrónicos en la tramitación de estos procedimientos deberán utilizar la aplicación informática de comunicaciones a que se refiere el apartado anterior.

Disposición adicional segunda procedimientos especiales.

Lo dispuesto en este Decreto se entiende sin perjuicio de la regulación específica establecida por las normas especiales en materia tributaria y de contratación pública.

Disposición adicional tercera. Futuras aplicaciones informáticas específicas de gestión de procedimientos.

Para las comunicaciones recogidas en el artículo 3 de este Decreto el uso de la aplicación informática específica de comunicaciones será de aplicación en tanto no tenga lugar el desarrollo de aplicaciones informáticas específicas de gestión de los procedimientos incluidos en su ámbito de aplicación.

DISPOSICIÓN DEROGATORIA

Disposición derogatoria única.

Queda derogada expresamente la Disposición Adicional Segunda del Decreto 58/2004, de 29 de octubre, por el que se regula el registro en el ámbito de la Administración General de la Comunidad Autónoma de La Rioja y sus organismos públicos y cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en el presente Decreto.

DISPOSICIONES FINALES

Disposición final primera. Modificación del Decreto 8/2002, de 24 de enero, que aprueba el Reglamento Orgánico y Funcional del Consejo Consultivo de La Rioja.

Se introduce un nuevo párrafo 4 en el artículo 40 del Reglamento Orgánico y Funcional del Consejo Consultivo de La Rioja, aprobado por Decreto 8/2002, de 24 de enero, con la siguiente redacción:

«4. Las consultas podrán ser remitidas por medios electrónicos de acuerdo con el sistema electrónico que a tal efecto se implante. En todo caso, el sistema deberá permitir que la consulta se remita en los términos ordenados por el apartado 2 de este artículo, y deberá contar con las debidas herramientas de autenticación documental, fehaciencia de la consulta formulada por el órgano administrativo solicitante y firma electrónica. En este caso, no será preciso enviar el expediente por duplicado.»

Disposición final segunda. Habilitación.

Se faculta a la titular de la Consejería con competencia en materia de administración pública para dictar las disposiciones necesarias para el desarrollo del presente Decreto.

Disposición final tercera. Efectividad del uso de la aplicación específica de comunicaciones.

La utilización del aplicativo informático específico de comunicaciones, tanto para las comunicaciones internas como para los procedimientos relativos al personal, por los órganos y unidades de la Consejería de Administración Pública y Hacienda será obligatoria desde la entrada en vigor de este Decreto, y para el resto de Consejerías, organismos y entes incluidos en su ámbito de aplicación desde el 1 de marzo de 2013.

Disposición final cuarta. Uso del sistema notificaciones electrónicas.

La práctica de las notificaciones electrónicas por los entes públicos incluidos en el ámbito de aplicación de este Decreto a través del sistema establecido en su artículo 6.1 se hará efectiva a medida que sus aplicaciones informáticas lo vayan permitiendo, haciéndose público en la Sede electrónica.

Disposición final quinta. Entrada en vigor.

El presente Decreto entrará en vigor el día siguiente de su publicación en el Boletín Oficial de La Rioja. 

LA PRESIDENTA DE LA REPÚBLICA Y EL MINISTRO DE JUSTICIA Y PAZ

Con fundamento en los artículos 24 y 140 incisos 3), 8) y 18) de la Constitución Política; el Transitorio III de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, nº 8968 del 7 de julio del 2011 y el artículo 28 inciso 2) acápite b) de la Ley General de la Administración Pública.

Considerando:

1º.- Que el Estado democrático y constitucional de derecho costarricense está comprometido en garantizar a cualquier persona, el respeto a sus derechos fundamentales.

2º.- Que en actualidad las tecnologías de la información y de la comunicación han hecho posible que las personas puedan acceder a condiciones para interactuar en una gran cantidad de escenarios, y por ende incursionar en medios o plataformas tecnológicas que pueden contener información personal y en consecuencia se ha transformado profundamente la forma en que la humanidad crea y distribuye sus conocimientos, lo que a su vez genera un riesgo a su intimidad o actividad privada.

3º.- Que en razón del riesgo a la intimidad o actividad privada del individuo, deviene necesario velar por la defensa de la libertad e igualdad del mismo con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona, cuando estos figuren en bases de datos de organismos públicos o privados.

4º.- Que mediante Ley nº 8968 del 7 de julio del 2011, se promulgó la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, siendo que la misma en su Transitorio III impone al Poder Ejecutivo emitir la debida reglamentación.

5º.- Que dado lo anterior, mediante Acuerdo Ejecutivo nº 212-MJP de fecha 22 de noviembre de 2011, publicado en el Diario Oficial La Gaceta nº 11 del 16 de enero de 2012, el Poder Ejecutivo conformó una Comisión Interinstitucional asignándole la responsabilidad de redactar el Reglamento a la citada Ley.

6º.- Que la Agencia de Protección de Datos de los Habitantes quedó conformada e integrada según lo dispone el Transitorio III de la Ley 8968, siendo que la Agencia participó en las sesiones de la Comisión y emitió sus recomendaciones técnicas, las cuales fueron analizadas e incorporadas, cuando así se consideró oportuno.

7º.- Que de conformidad con el numeral 361 de la Ley General de la Administración Pública el proyecto de Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, salió a consulta pública mediante aviso divulgado en el Diario Oficial La Gaceta, de fecha 24 de agosto de 2012, Alcance 119, con plazo de recepción de observaciones de 10 días hábiles, que transcurrieron del 27 de agosto al 11 de setiembre, ambas fechas del 2012.

8º.- Que para la atención de las observaciones se habilitó un blog en la página Web del Ministerio de Justicia y Paz, así como se recibieron documentos físicos y digitales. Todas las observaciones, comentarios y sugerencias recibidas dentro del plazo establecido, fueron debidamente estudiados por la Comisión Redactora instaurada para ese efecto. Realizado el análisis correspondiente, se arribó al presente texto de Reglamento.

Por tanto,

DECRETAN:

Reglamento a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales

Capítulo I.- Disposiciones Generales

Artículo 1. Objeto.

Las presentes disposiciones tienen por objeto reglamentar la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, en cuanto a garantizar a cualquier individuo, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su intimidad o actividad privada, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

Artículo 2. Definiciones, siglas y acrónimos.

Además de las definiciones establecidas en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, para los efectos del presente Reglamento se entenderá por:

a) Agencia o PRODHAB: Agencia de Protección de Datos de los Habitantes.

b) Base de datos: Cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales públicos o privados, que sean objeto de tratamiento, automatizado o manual, en el sitio o en la nube, bajo control o dirección de un responsable, cualquiera que sea la modalidad de su elaboración, organización o acceso.

c) Base de datos interna, personal o doméstica: Cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales públicos o privados, mantenidos por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando éstas no sean venidas o administradas con fines de distribución, difusión o comercialización.

d) Bases de datos de acceso público: Aquellos ficheros, archivos, registro u otro conjunto estructura de datos que pueden ser consultados por cualquier persona que no estén impedidos por una norma limitativa, o sin más exigencia que el pago de una contraprestación.

e) Comercializar: Vender, transar, intercambiar o de cualquier manera enajenar o pignorar, con fines de lucro a favor de un tercero, una o más veces, aquellos datos personales que consten en bases de datos.

f) Consentimiento del titular de los datos personales: Toda manifestación de voluntad, expresa, libre, inequívoca, informada y específica que se otorgue por escrito, para un fin determinado, mediante la cual el titular de los datos personales o su representante, consienta el tratamiento de sus datos personales.

g) Consulta: Solicitud realizada a una base de datos, en la que se requiere información concreta en función de criterios de búsqueda definidos, siempre que dicha solicitud no resulte en una trasbase o réplica de la base de datos.

h) Contrato global: Acuerdo de voluntades mediante el cual las partes manifiestan o expresan su consentimiento, sea de manera física o electrónica, y que tiene por objeto el servicio de un conjunto de consultas realizadas por un mismo solicitante a una base de datos que contenga datos personales, mediante el pacto de una remuneración pecuniaria en atención al volumen.

i) Datos en la nube: Archivo, fichero, registro u otro conjunto estructurado de datos a los cuales se accesa haciendo uso de Internet.

j) Distribución, difusión: Cualquier forma en la que se repartan o publiquen datos personales, a un tercero, por cualquier medio.

k) Encargado: Toda persona física o jurídica, entidad pública o privada, o cualquier otro organismo que da tratamiento a los datos personales por cuenta del responsable de la base de datos.

l) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma, fin o modalidad de su creación, almacenamiento, organización y acceso.

m) Garantía de confidencialidad: Obligación de toda persona física o jurídica, pública o privada, que tenga participación en el tratamiento o almacenamiento de datos personales, de cumplir con el deber de confidencialidad que exige la Ley.

n) Intermediario tecnológico o proveedor de servicios: Persona física o jurídica, pública o privada que brinde servicios de infraestructura, plataforma, software u otros servicios, sin realizar tratamiento de datos personales.

o) Investigación científica: Proceso de aplicación de un método científico que procura obtener información relevante y fidedigna para entender, verificar, corregir o aplicar datos, entre ellos personales de carácter no sensible o que siendo sensibles no sean identificables, con la finalidad de obtener conocimientos y solucionar problemas científicos, filosóficos o empíricotécnicos.

p) Ley: Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, número 8968.

q) Persona física identificable: Persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad anatómica, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.

r) Procedimiento de desasociación: Acción y efecto de disociar los datos personales, de modo que la información que se obtenga no pueda asociarse o vincularse a persona determinada o determinable.

s) Responsable: Toda persona física o jurídica, pública o privada, que administre o, gerencia o, se encargue o, sea propietario, de una o más bases de datos públicas o privadas, competente con arreglo a la Ley, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento les aplicarán.

t) Superusuario: Perfil de ingreso que cuenta con acceso para consultar la base de datos, de forma inmediata, actualizada y sin restricción alguna.

u) Supresión o eliminación: Procedimiento en virtud del cual el responsable o el encargado de la base de datos, borra o destruye total o parcialmente de manera definitiva, los datos personales del titular, de su base de datos.

v) Titular o interesado: Persona física dueña de los datos personales tutelados en la Ley, o su representante.

w) Transferencia de datos personales: Acción mediante la cual se trasladan datos personales, a un responsable de Base de Datos Personales o un tercero.

x) Tratamiento de datos: Cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión, distribución o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

y) Tratamiento de datos automatizado: Cualquier operación, conjunto de operaciones o procedimientos, aplicados a datos personales, efectuados mediante la utilización de hardware, software, redes, servicios, aplicaciones, en el sitio o en la nube, o cualquier otra tecnología de la información que permitan la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión, distribución o cualquier otra forma que facilite el acceso a estos, el cotejo, o la interconexión, así como su bloqueo, supresión o destrucción, intercambio o digitalización de datos personales, entre otros.

Artículo 3. Ámbito de aplicación.

Este Reglamento será de aplicación a los datos personales que figuren en las bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos, en tanto surtan efectos dentro del territorio nacional, o les resulte aplicable la legislación costarricense derivada de la celebración de un contrato o en los términos del derecho internacional.

El régimen de protección de los datos de carácter personal que se establece en este Reglamento, no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas, públicas o privadas, con fines exclusivamente internos, personales o domésticos, siempre y cuando éstas no sean de cualquier manera comercializadas.

No será de aplicación este Reglamento a los datos referentes al comportamiento crediticio que se regirán por la normativa especial del Sistema Financiero Nacional.

Capítulo II.- Del Consentimiento

Artículo 4. Requisitos del Consentimiento.

La obtención del consentimiento deberá ser:

a) Libre: no debe mediar error, mala fe, violencia física o psicológica o dolo, que puedan afectar la manifestación de voluntad del titular;

b) Específico: referido a una o varias finalidades determinadas y definidas que justifiquen el tratamiento;

c) Informado: que el titular tenga conocimiento previo al tratamiento, a qué serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento. Asimismo, de saber quién es el responsable que interviene en el tratamiento de sus datos personales, y su lugar o medio de contacto;

d) Expreso: debe ser escrito e inequívoco, de forma tal que pueda demostrarse de manera indubitable su otorgamiento.

e) Individualizado: debe existir mínimo un otorgamiento del consentimiento por parte de cada titular de los datos personales.

Artículo 5. Formalidades del consentimiento.

Quien recopile datos personales deberá, en todos los casos, obtener el consentimiento expreso del titular para el tratamiento de datos personales, con las excepciones establecidas en la Ley.

El consentimiento deberá ser otorgado por el titular, en un documento físico o electrónico, de forma independiente de cualquier otro documento, y deberá ser debidamente resguardado por el responsable de la base de datos.

De igual manera, el documento por medio del cual el autorizante de los datos personales extiende su consentimiento, debe ser de fácil comprensión, gratuito y debidamente identificado.

No será necesario el consentimiento expreso cuando:

a) Exista orden fundamentada, dictada por autoridad judicial competente o acuerdo adoptado por una comisión especial de investigación de la Asamblea Legislativa en el ejercicio de su cargo.

b) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.

c) Los datos deban ser entregados por disposición constitucional o legal.

Artículo 6. Carga de la prueba del consentimiento.

Para efectos de demostrar la obtención del consentimiento, la carga de la prueba recaerá, en todos los casos, en el responsable de la base de datos.

Artículo 7. De la revocación.

En cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos expeditos, sencillos y gratuitos, que permitan al titular revocar su consentimiento.

Artículo 8. Trámite de la revocación.

El responsable de la base de datos, ante la presentación de la solicitud de revocación del consentimiento, contará con un plazo de cinco días hábiles a partir del recibido de la misma, para proceder conforme a la revocación.

Asimismo, dentro del mismo plazo de cinco días hábiles, deberá informarles de dicha revocación a aquellas personas físicas o jurídicas a quienes haya transferido los datos, mismas que deberán proceder en un plazo de cinco días hábiles a partir de la notificación a ejecutar la revocación del consentimiento.

La revocación del consentimiento no tendrá efecto retroactivo.

Artículo 9. Plazo para la confirmación de la revocación.

Cuando el titular solicite la confirmación del cese del tratamiento de sus datos, el responsable deberá responder en forma gratuita, expresamente en el plazo de tres días hábiles, a partir de la presentación de dicha solicitud.

Artículo 10. Negativa a la revocación.

En caso de negativa, expresa o tácita, por parte del responsable, a tramitar la revocación del consentimiento, el titular podrá presentar ante la Agencia la denuncia correspondiente a que refiere la Ley y este Reglamento.

Artículo 11. Derecho al olvido.

La conservación de los datos personales, que puedan afectar a su titular, no deberá exceder el plazo diez años, desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que establezca otro plazo o porque el acuerdo de las partes haya establecido un plazo menor. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados los datos personales de su titular.

Capítulo III.- De los Derechos de los Titulares y su Ejercicio

Artículo 12. Autodeterminación informativa.

Es el derecho fundamental de toda persona física, a conocer lo que conste sobre ella, sus bienes o derechos en cualquier base de datos, de toda naturaleza, pública o privada, el fin para el cual está siendo utilizada o recabada su información personal, así como exigir que sea rectificada, actualizada, complementada o suprimida, cuando la misma sea incorrecta o inexacta, o esté siendo empleada para un fin distinto del autorizado o del que legítimamente puede cumplir.

Artículo 13. Ejercicio de los derechos.

El ejercicio de cualquiera de los derechos de acceso, rectificación, modificación, revocación o eliminación de los datos personales por parte del titular, no excluye la posibilidad de ejercer unos u otros, ni puede constituir requisito previo para el ejercicio de cualquiera de estos derechos.

Artículo 14. Restricciones al ejercicio de los derechos.

El ejercicio de los derechos mencionados en el artículo anterior, podrá restringirse por razones de seguridad nacional, disposiciones de orden público y salud pública o para proteger los derechos de terceras personas, en los casos y con los alcances previstos en las leyes aplicables en la materia, mediante resolución de la autoridad competente debidamente fundamentada y motivada.

Artículo 15. Personas facultadas para el ejercicio de los derechos.

Los derechos de acceso, rectificación, modificación, revocación o eliminación, se ejercerán por el titular o su representante, previa acreditación de la titularidad o de la representación.

Artículo 16. Medios y formas para el ejercicio de los derechos.

El responsable, deberá poner a disposición del titular, los medios y formas simplificados de comunicación electrónica u otros que considere pertinentes para facilitar a los titulares el ejercicio de sus derechos.

Artículo 17. Medio para recibir notificaciones del titular.

En la solicitud de acceso, rectificación, modificación, revocación o eliminación, para los efectos de la Ley y el presente Reglamento, se deberá indicar medio para recibir notificaciones.

En caso de no cumplir con este requisito, opera la notificación automática señalada en la Ley de Notificaciones Judiciales, Ley nº 8687, del 4 del diciembre del 2008, publicado en La Gaceta nº 20 del 29 de enero de 2009, y sus reformas.

Artículo 18. De las solicitudes del titular hacia el responsable.

El responsable, deberá dar trámite a toda solicitud para el ejercicio de los derechos personales del titular. El plazo para que se atienda la solicitud será de cinco días hábiles, contados a partir del día siguiente en que la misma haya sido recibida por el responsable, en cuyo caso éste anotará en el acuse de recibo que entregue al titular, la correspondiente fecha de recepción.

El plazo señalado se interrumpirá en caso de que el responsable requiera información adicional al titular.

Artículo 19. Requerimiento de información adicional.

En el caso de que la información proporcionada en la solicitud sea insuficiente o errónea para atenderla, el responsable podrá requerir al titular, por una vez y dentro de los cinco días hábiles siguientes a la recepción de la solicitud, que aporte los elementos o documentos necesarios para dar trámite a la misma. El titular contará con un plazo de cinco días hábiles, contados a partir del día siguiente de su recepción, para atender el requerimiento.

De no dar respuesta en dicho plazo, se tendrá por no presentada la solicitud correspondiente. En caso de que el titular, atienda el requerimiento de información, el plazo para que el responsable dé respuesta a la solicitud,será de cinco días hábiles, que empezarán a correr el día siguiente de que el titular, haya atendido el requerimiento.

Artículo 20. Respuesta por parte del responsable.

En todos los casos, el responsable deberá dar respuesta a las solicitudes que reciba del titular, con independencia de que figuren o no datos personales de éste en sus bases de datos, de conformidad con el plazo establecido en la Ley y este Reglamento.

La respuesta del responsable al titular, deberá referirse sobre la totalidad del registro perteneciente al titular, aún cuando el requerimiento solo comprenda un aspecto de los datos personales, y deberá presentarse en un formato legible, comprensible y de fácil acceso. En caso de uso de códigos, siglas o claves se deberán proporcionar los significados correspondientes.

Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aún cuando se vinculen con el titular solicitante.

Artículo 21. Derecho de acceso a la información.

El titular tiene derecho a obtener del responsable, la información relacionada con sus datos personales, entre ellos lo relativo a las condiciones, finalidad y generalidades de su tratamiento.

Podrá realizar las consultas de información a la base de datos, con un intervalo mínimo de seis meses, salvo que de manera fundamentada el titular exprese al responsable de la base de datos sus motivos y pruebas, por los cuales considera existe una vulneración de sus derechos protegidos en la Ley y el presente Reglamento. En caso de que el responsable de la base de datos considere que los motivos no son de recibo y existiera la posibilidad de un uso abusivo de ese derecho, dentro de los cinco días hábiles siguientes a la solicitud, elevará el asunto ante la PRODHAB, quien resolverá en definitiva, dentro del plazo de diez días hábiles, a partir de la recepción de dicha gestión.

El responsable, deberá evacuar la consulta de información dentro del plazo de cinco días hábiles a partir de la recepción de la solicitud.

Artículo 22. Negativa por parte del responsable.

El responsable que niegue el ejercicio de cualquier gestión del titular, deberá justificar por escrito su respuesta. Si el titular lo considera pertinente, podrá acudir ante la Agencia conforme el Capítulo VII «De la Protección de Derechos ante la Agencia» de este Reglamento.

Artículo 23. Derecho de rectificación.

El titular podrá solicitar en todo momento al responsable, que rectifique sus datos personales que resulten ser inexactos, incompletos o confusos.

Artículo 24. Requisitos para el ejercicio del derecho de rectificación.

La solicitud de rectificación, deberá indicar a qué datos personales se refiere, así como la corrección que se solicita realizar y deberá ser acompañada de la documentación o prueba pertinente que ampare la procedencia de lo solicitado. El responsable, deberá ofrecer mecanismos que faciliten el ejercicio de este derecho en beneficio del titular.

Artículo 25. Derecho de supresión o eliminación.

El titular podrá solicitar en cualquier momento al responsable, la supresión o eliminación total o parcial de los datos personales del titular, de manera definitiva.

Artículo 26. Ejercicio del derecho de supresión o eliminación.

El titular podrá solicitar en cualquier momento al responsable, la supresión o eliminación total o parcial de los datos personales, salvo en los siguientes casos:

a) La seguridad del Estado;

b) Los datos deban ser mantenidos por disposición constitucional, legal o resolución de órgano judicial;

c) La seguridad ciudadana y el ejercicio de la autoridad pública;

d) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones;

e) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas;

f) La adecuada prestación de servicios públicos;

g) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales;

h) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.

Capítulo IV.- Del Tratamiento de los Datos Personales y las Medidas de Seguridad

Artículo 27. Procedimientos para el tratamiento.

El responsable establecerá y documentará procedimientos para la inclusión, conservación, modificación, bloqueo y supresión de los datos personales, en el sitio o en la nube, con base en los protocolos mínimos de actuación y las medidas de seguridad en el tratamiento de los datos personales. Además deberá el responsable de la base de datos velar por la aplicación del principio de calidad de la información.

Artículo 28. Condiciones del tratamiento.

Corresponde al responsable o al encargado, la difusión, comercialización y distribución de dichos datos, según lo que determine el consentimiento informado otorgado por el titular, aún y cuando estos datos sean almacenados o alojados por un intermediario tecnológico.

Artículo 29. Contratación o subcontratación de servicios.

Se podrá contratar o subcontratar los servicios del intermediario tecnológico o proveedor de servicios, siempre y cuando no implique tratamiento de datos personales. El responsable deberá verificar que dicho intermediario o proveedor cumpla con las medidas de seguridad mínimas que garanticen la integridad y seguridad de los datos personales.

Artículo 30. Tratamiento de datos por parte del encargado.

El encargado solo podrá intervenir en el tratamiento de las bases de datos personales, según lo establecido en el contrato celebrado con el responsable y sus indicaciones.

Artículo 31. Obligaciones del encargado.

El encargado tendrá las siguientes obligaciones en el tratamiento de las bases de datos personales:

a) Tratar únicamente los datos personales conforme a las instrucciones del responsable;

b) Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;

c) Implementar las medidas de seguridad y cumplir con los protocolos mínimos de actuación conforme a la Ley, el presente Reglamento y las demás disposiciones aplicables;

d) Guardar confidencialidad respecto de los datos personales tratados;

e) Abstenerse de transferir o difundir los datos personales, salvo instrucciones expresas por parte del responsable.

f) Suprimir los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable o por instrucciones del responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales.

Artículo 32. De los protocolos mínimos de actuación.

Los responsables deberán confeccionar un protocolo mínimo de actuación, el cual deberá ser transmitido al encargado para su fiel cumplimiento y donde al menos, se deberá especificar lo siguiente:

a) Elaborar políticas y manuales de privacidad obligatorios y exigibles al interior de la organización del responsable;

b) Poner en práctica un manual de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de datos personales;

c) Establecer un procedimiento de control interno para el cumplimiento de las políticas de privacidad;

d) Instaurar procedimientos ágiles, expeditos y gratuitos para recibir y responder dudas y quejas de los titulares de los datos personales o sus representantes, así como para acceder, rectificar, modificar, bloquear o suprimir la información contenida en la base de datos y revocar su consentimiento.

e) Crear medidas y procedimientos técnicos que permitan mantener un historial de los datos personales durante su tratamiento.

f) Constituir un mecanismo en el cual el responsable transmitente, le comunica al responsable receptor, las condiciones en las que el titular consintió la recolección, la transferencia y el tratamiento de sus datos.

Estas medidas, así como sus posteriores modificaciones, deberán ser inscritas ante la Agencia como protocolos mínimos de actuación.

Artículo 33. Facultad de verificación.

La Agencia podrá verificar, en cualquier momento, que la base de datos esté cumpliendo con los términos establecidos en el protocolo mínimo de actuación.

Artículo 34. De las medidas de seguridad en el tratamiento de datos personales.

El responsable, deberá establecer y mantener las medidas de seguridad administrativas, físicas y lógicas para la protección de los datos personales, con arreglo a lo dispuesto en la Ley y el presente Reglamento. Se entenderá por medidas de seguridad el control o grupo de controles para proteger los datos personales.

Asimismo, el responsable deberá velar porque el encargado de la base de datos y el intermediario tecnológico cumplan con dichas medidas de seguridad, para el resguardo de la información.

Artículo 35. Factores para determinar las medidas de seguridad.

El responsable determinará las medidas de seguridad, aplicables a los datos personales que trate o almacene, considerando los siguientes factores:

a) La sensibilidad de los datos personales tratados, en los casos que la ley lo permita;

b) El desarrollo tecnológico;

c) Las posibles consecuencias de una vulneración para los titulares de sus datos personales.

d) El número de titulares de datos personales;

e) Las vulnerabilidades previas ocurridas en los sistemas de tratamiento o almacenamiento;

f) El riesgo por el valor, cuantitativo o cualitativo, que pudieran tener los datos personales; y

g) Demás factores que resulten de otras leyes o regulación aplicable al responsable.

Artículo 36. Acciones para la seguridad de los datos personales.

A fin de establecer y mantener la seguridad física y lógica de los datos personales, el responsable deberá realizar al menos las siguientes acciones, las cuales podrán ser requeridas en cualquier momento por la Agencia:

a) Elaborar una descripción detallada del tipo de datos personales tratados o almacenados;

b) Crear y mantener actualizado un inventario de la infraestructura tecnológica, incluyendo los equipos y programas de cómputo y sus licencias;

c) Señalar el tipo de sistema, programa, método o proceso utilizado en el tratamiento o almacenamiento de los datos;

d) Contar con un análisis de riesgos, que consiste en identificar peligros y estimar los riesgos que podrían afectar los datos personales;

e) Establecer las medidas de seguridad aplicables a los datos personales, e identificar aquellas implementadas de manera efectiva;

f) Calcular el riesgo residual existente basado en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;

g) Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivados del resultado del cálculo del riesgo residual.

Artículo 37. Actualizaciones de las medidas de seguridad.

Los responsables deberán actualizar las medidas de seguridad cuando ocurran los siguientes eventos:

a) Se modifiquen las medidas o procesos de seguridad para su mejora continua, derivado de las revisiones a la política de seguridad del responsable;

b) Se produzcan modificaciones sustanciales en el tratamiento o almacenamiento, que deriven en un cambio del nivel de riesgo;

c) Se modifique la plataforma tecnológica;

d) Se vulneren los sistemas de tratamiento o almacenamiento de datos personales, de conformidad con lo dispuesto en la Ley y el presente Reglamento; o,

e) Exista una afectación a los datos personales, distinta a las anteriores.

En el caso de datos personales sensibles, cuando la ley lo permita, el responsable deberá revisar y, en su caso, actualizar las medidas de seguridad correspondientes, al menos una vez al año.

Artículo 38. Vulnerabilidad de seguridad.

El responsable deberá informar al titular sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, tales como pérdida, destrucción, extravío, entre otras, como consecuencia de una vulnerabilidad de la seguridad o que tuviere conocimiento del hecho, para lo cual tendrá cinco días hábiles a partir del momento en que ocurrió la vulnerabilidad, a fin de que los titulares de estos datos personales afectados puedan tomar las medidas correspondientes.

Dentro de este mismo plazo deberá iniciar un proceso de revisión exhaustiva para determinar la magnitud de la afectación, y las medidas correctivas y preventivas que correspondan.

Artículo 39. Información mínima.

El responsable deberá informar al titular y a la Agencia, en caso de vulnerabilidades de seguridad, al menos lo siguiente:

a) La naturaleza del incidente;

b) Los datos personales comprometidos;

c) Las acciones correctivas realizadas de forma inmediata; y,

d) Los medios o el lugar, donde puede obtener más información al respecto.

Capítulo V.- De la Transferencia de Datos Personales

Artículo 40. Condiciones para la transferencia.

La transferencia implica la comercialización de datos personales por parte, única y exclusivamente, del responsable que transfiere al responsable receptor de los datos personales. Dicha transferencia de datos personales requerirá siempre del consentimiento expreso e informado del titular, salvo disposición legal en contrario, asimismo que los datos a transferir hayan sido recabados o recolectados de forma lícita y según los criterios que la Ley y el presente Reglamento disponen.

Toda venta de datos del fichero o de la base de datos, parcial o total, deberá reunir los requerimientos establecidos en el párrafo anterior.

Artículo 41. Cumplimiento de los protocolos mínimos de actuación.

Las transferencias de datos personales por parte de los responsables, estarán supeditadas al fiel cumplimiento de los protocolos mínimos de actuación, debidamente inscritos ante la Agencia.

Artículo 42. Carga de la prueba.

Para efectos de demostrar que la transferencia de datos personales se realizó conforme a la Ley y el presente Reglamento, la carga de la prueba recaerá en el responsable.

Artículo 43. Contrato para la transferencia de datos.

El responsable de la transferencia de datos personales deberá establecer un contrato con el responsable receptor, en el que se prevean, al menos las mismas obligaciones a las que se encuentra sujeto el responsable de la transferencia de dichos datos.

Capítulo VI.- De la Inscripción del Registro de Bases de Datos y Ficheros ante la Agencia

Artículo 44. Inscripción del registro de base de datos.

Las personas físicas o jurídicas propietarias de bases de datos personales, de conformidad con la Ley y este Reglamento, deberán inscribir ante la Agencia un registro de dichas bases de datos, proporcionando la siguiente información:

a) Solicitud del propietario físico o jurídico, debidamente autenticado notarialmente o confrontada la firma. En el caso de persona jurídica deberá presentarse personería jurídica vigente con máximo un mes de haber sido expedida;

b) Designación del responsable de la base de datos personales ante la Agencia y ante terceros, con indicación del medio y lugar de contacto. Así como carta de aceptación del cargo y las responsabilidades inherentes al mismo.

c) Identificación de los encargados, incluyendo sus datos de contacto, ubicación de los datos, y una copia certificada o confrontada del contrato firmado entre estos y el responsable;

d) Nombres de las bases de datos y su ubicación física;

e) Especificación de las finalidades y los usos previstos;

f) Tipos de datos personales sometidos a tratamiento en dichas bases de datos;

g) Procedimientos de obtención, según el consentimiento informado, de los datos personales, así como el sistema de tratamiento de éstos;

h) Descripción técnica de las medidas de seguridad que se utilizan en el tratamiento de los datos personales, según lo dispuesto en el presente Reglamento;

i) Los destinatarios de transferencias de los datos personales;

j) Copia certificada o confrontada de los protocolos mínimos de actuación;

k) Listado de los contratos globales y ventas de ficheros vigentes, así como indicación de la estimación pecuniaria de cada uno de esos contratos.

l) El superusuario que al efecto asignará el responsable a la Agencia.

m) Señalamiento de fax o correo electrónico para recibir notificaciones de la Agencia.

Asimismo, el responsable deberá mantener el registro de la base de datos, en todo momento, actualizados ante la Agencia, según lo establecido en el presente Reglamento.

Artículo 45. Superusuario.

El responsable deberá proporcionar a la Agencia un superusuario con perfil de consulta, aún cuando los datos estén siendo tratados por un encargado.

La creación y puesta en funcionamiento de este superusuario debe ser diseñada y financiada por el responsable de la base de datos personales y debe operar a partir de la inscripción del registro de la base de datos ante la Agencia.

La Agencia podrá en cualquier momento y de oficio consultar dicha base de datos sin restricción alguna, cuando exista denuncia presentada ante la Agencia o se tenga evidencia de un mal manejo de la base de datos o sistema de información. Para tales efectos, la Agencia deberá establecer lineamientos que garanticen el debido cumplimiento del secreto profesional o funcional, y para todos los casos llevar una bitácora en donde al menos se consignen el motivo, los accesos y consultas realizadas, así como el funcionario asignado que los realice.

Artículo 46. Constatación de posibles infracciones.

La Agencia podrá realizar inspecciones administrativas de oficio, con el fin de constatar si existen posibles infracciones a la Ley o a este Reglamento. En dicho caso el funcionario asignado deberá dejar constancia de la inspección mediante el levantamiento de un acta.

Artículo 47. Bases de datos manuales.

La Agencia podrá en cualquier momento y de oficio acceder a las bases de datos manuales sin restricción alguna, cuando exista denuncia presentada ante la Agencia o se tenga evidencia de un mal manejo de la base de datos o sistema de información. Para tales efectos, la Agencia deberá establecer lineamientos que garanticen el debido cumplimiento del secreto profesional o funcional, y para todos los casos llevar una bitácora en donde al menos se consignen el motivo, los accesos y consultas realizadas, así como el funcionario asignado que los realice.

Artículo 48. Procedimiento de inscripción.

Inicia con la presentación de la solicitud de inscripción del registro de la base de datos personales ante la Agencia. Dicha solicitud, deberá contener los requisitos exigidos en el presente Reglamento.

La Agencia contará con un plazo de veinte días hábiles, contados a partir de la presentación de la solicitud, para verificar los requisitos de forma y fondo presentados.

Artículo 49. Subsanación de defectos y archivo de la solicitud.

Si la solicitud de inscripción del registro de la base de datos presentada, no cumple con los requisitos exigidos por el presente Reglamento, la Agencia requerirá al solicitante que en el plazo de diez días hábiles subsane la omisión. Transcurrido el plazo máximo, sin que el solicitante haya cumplido con la información prevenida, se procederá al archivo de la misma, sin perjuicio que pueda presentarse una nueva solicitud.

Artículo 50. Del pago.

Cumplidos todos los requisitos de forma y fondo o subsanada la prevención, se otorgará al solicitante un plazo de diez días hábiles para que cancele el canon anual. De no realizarse el pago del canon en este plazo, se archivará la gestión sin perjuicio de que pueda presentarse una nueva solicitud.

Artículo 51. Resolución de inscripción.

El Director de la Agencia, dictará dentro del plazo de diez días hábiles siguientes a la recepción del pago del canon, la resolución de inscripción del registro de la base de datos.

La inscripción del registro de una base de datos ante la Agencia, no exime al responsable al cumplimiento y seguimiento del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias.

Artículo 52. Contenido de la resolución de inscripción.

En los casos en los que proceda la inscripción del registro de la base de datos ante la Agencia, deberá al menos, consignarse en la resolución de inscripción, la siguiente información:

a) El código asignado por la Agencia a la base de datos;

b) El nombre de la base de datos inscrita y la ubicación de los datos;

c) La identificación del responsable de la base de datos personales y su medio de contacto;

d) Identificación del encargado y su medio de contacto;

e) La categoría de los datos personales que contiene;

f) Los procedimientos de obtención de los datos;

g) Finalidad de tratamiento de los datos personales.

Artículo 53. Resolución de improcedencia.

El Director de la Agencia, dentro de los veinte días hábiles contados a partir de la presentación de la solicitud de inscripción, cuando del análisis de los requisitos se determine la improcedencia de la inscripción de la base de datos, según lo dispuesto en la Ley y el presente Reglamento, dictará resolución denegándola.

Artículo 54. Actualización y modificación de los datos inscritos del registro.

La información inscrita del registro de la base de datos, deberá mantenerse actualizada. Cualquier modificación a la información de inscripción, que afecte el contenido del registro de la base de datos, deberá ser comunicada por el responsable de la base de datos a la Agencia dentro del plazo de cinco días hábiles posteriores a la modificación o el cambio, a fin de proceder a su actualización.

Artículo 55. Cancelación de la inscripción del registro de las bases de datos.

Cuando el propietario o el responsable de la base de datos personales decida la cancelación del registro de la base de datos, deberá presentar una solicitud en tal sentido a la Agencia, indicando expresamente el destino de los datos personales o las previsiones para su eliminación, supresión o destrucción. La Agencia tendrá un mes para proceder con la cancelación de la inscripción del registro de la base de datos.

Artículo 56. Medios de impugnación.

Contra la resolución final al procedimiento de inscripción del registro de la base de datos, procede dentro del tercer día hábil a partir de la respectiva notificación del acto final, la interposición ante la Agencia de los Recursos ordinarios de Reconsideración y Apelación, siendo potestativo usar ambos recursos o uno solo de ellos, pero será inadmisible el que se interponga pasado dicho plazo.

Artículo 57. Plazo para resolver.

Los recursos interpuestos deberán ser resueltos, el de Reconsideración por la Agencia dentro de los ocho días hábiles posteriores a su presentación y en caso de haberse interpuesto Recurso de Apelación deberá remitir el mismo y el respectivo expediente al Ministro (a) de Justicia y Paz dentro de los siguientes tres días hábiles, a partir de la notificación de la Resolución del Recurso de Reconsideración. El Ministro de Justicia y Paz, deberá resolver el Recurso de apelación dentro del plazo de ocho días hábiles posteriores al recibo del expediente.

Capítulo VII.- De la Protección de Derechos ante la Agencia

Artículo 58. Inicio del procedimiento de Protección de Derechos.

Cualquier persona que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Agencia, que una base de datos pública o privada actúa en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa, establecidas por la Ley y el presente Reglamento.

Asimismo, la Agencia podrá de oficio iniciar un procedimiento tendiente a verificar si una base de datos, está siendo utilizada o no, conforme a la Ley y al presente Reglamento.

La Agencia en la tramitación del procedimiento de protección de datos, aplicará los principios establecidos en el Libro Segundo de la Ley General de la Administración Pública.

Artículo 59. Causales.

El procedimiento de protección de derechos procederá cuando:

a. Se recolecten datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada;

b. Se recolecten, almacenen y transmitan datos personales por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos;

c. Se recolecten, almacenen, transmitan o de cualquier otra forma empleen datos personales sin el consentimiento informado y expreso del titular de los datos;

d. Se transfieran datos personales a otras personas o empresas en contravención de las reglas establecidas en la Ley y el presente Reglamento;

e. Se recolecten, almacenen, transmitan o de cualquier otro modo empleen datos personales para una finalidad distinta de la autorizada por el titular de la información;

f. Se niegue injustificadamente a dar acceso a un titular sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a la Ley y este Reglamento;

g. Se niegue injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco;

h. Se recolecten, almacenen, transmitan o de cualquier otra forma empleen, por parte de personas físicas o jurídicas privadas datos sensibles, sin el consentimiento de su titular o sin ley o norma especial que lo autorice;

i. Se obtengan de los titulares o terceros, datos personales por medio de engaño, violencia, dolo, mala fé o amenaza;

j. Se revele información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme a la Ley:

k. Se proporcione a un tercero, información falsa o distinta contenida en un archivo de datos, con conocimiento de ello;

l. Se realice tratamiento de datos personales sin encontrarse debidamente inscrito ante la Agencia;

m. Se transfieran, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

n. Por otras causas que a juicio de la Agencia afecten los derechos del titular conforme a la Ley y al presente Reglamento.

Artículo 60. Requisitos de la denuncia.

La solicitud de protección de datos deberá contener lo siguiente:

a) Nombres, apellidos y calidades del titular o denunciante;

b) Nombre del dueño o responsable o de la base de datos o bien cualquier elemento que permita identificar al denunciado;

c) Hechos en que se funde la denuncia expuestos uno por uno, enumerados y bien especificados, en forma clara y precisa;

d) Copia de la solicitud del ejercicio de derechos que corresponda, así como copia de los documentos anexos para cada una de las partes, de ser el caso;

e) Documento en que conste la respuesta a su gestión, de ser el caso;

f) En el supuesto en que impugne la falta de respuesta, deberá acompañar una copia en la que conste el acuse o constancia de recepción de la solicitud del ejercicio de derechos;

g) Las pruebas documentales o pertinentes;

h) Pretensión que formule;

i) Señalamiento de medios para recibir notificaciones;

j) Cualquier otro documento que considere procedente someter a juicio de la Agencia.

Artículo 61. Acreditación de la documentación.

Si el titular no pudiera acreditar documentalmente que gestionó ante la base de datos, podrá acreditar ante la Agencia la gestión, mediante declaración jurada o acta notarial que haga constar el hecho.

Artículo 62. Subsanación, admisibilidad y archivo.

La Agencia podrá prevenir al titular para que en el plazo de diez días hábiles a partir del día siguiente a la recepción de la notificación, aclare y precise la información o documentación presentada, bajo la pena de inadmisibilidad de la denuncia y su consecuente archivo.

Artículo 63. Admisibilidad.

La Agencia deberá resolver sobre la admisibilidad de la solicitud de protección del derecho del titular, en un plazo de cinco días hábiles a partir de la recepción o subsanación de la denuncia.

Contra la resolución que resuelva sobre la admisibilidad de la solicitud, procede dentro del tercer día hábil a partir de la respectiva notificación, la interposición ante la Agencia de los Recursos ordinarios de Reconsideración y Apelación, siendo potestativo usar ambos recursos o uno solo de ellos, pero será inadmisible el que se interponga pasado dicho plazo.

Plazo para resolver. Los recursos interpuestos deberán ser resueltos, el de Reconsideración por la Agencia dentro de los ocho días hábiles posteriores a su presentación y en caso de haberse interpuesto Recurso de Apelación deberá remitir el mismo y el respectivo expediente al Ministro (a) de Justicia y Paz dentro de los siguientes tres días hábiles, a partir de la notificación de la Resolución del Recurso de Reconsideración. El Ministro de Justicia y Paz, deberá resolver el Recurso de apelación dentro del plazo de ocho días hábiles posteriores al recibo del expediente.

Artículo 64. Medidas cautelares.

En casos especiales, de manera excepcional, y en cualquier momento, la Agencia podrá disponer las medidas cautelares que estime necesarias para el cumplimiento de la protección de los derechos personales de un titular, respecto del tratamiento de sus datos, debiendo considerar especialmente el principio de proporcionalidad, los caracteres de instrumentalidad y provisionalidad, así como ponderar los eventuales daños y perjuicios que se provoquen con la medida a las partes.

A tal efecto, la Agencia dará audiencia por veinticuatro horas al responsable de la base de datos. Transcurrido dicho plazo, la Agencia deberá resolver sobre la medida, en un plazo máximo de tres días hábiles.

Artículo 65. Recurso contra la resolución que resuelve la medida cautelar.

Contra la resolución que resuelve la medida cautelar, cabrá únicamente el Recurso de Reconsideración ante la Agencia, que deberá interponerse dentro del plazo de veinticuatro horas a partir de la notificación. La Agencia deberá resolver el recurso dentro del plazo de tres días hábiles a partir de la interposición del recurso.

Artículo 66. Presupuestos de las medidas cautelares.

Para la aplicación de las respectivas medidas cautelares, la Agencia ponderará los intereses en juego y deberá constatar que se esté en presencia de los siguientes presupuestos:

a. Apariencia de buen derecho;

b. Daño inminente y de difícil reparación;

c. Ponderación de los intereses en juego, particularmente la no afectación al interés público.

Artículo 67. Traslado de cargos.

Admitida la denuncia la Agencia hará el traslado de cargos a quien corresponda, para que dentro del plazo de tres días hábiles, brinde informe sobre la veracidad de los cargos y aporte la prueba que estime pertinente.

Las manifestaciones realizadas se considerarán dadas bajo fe de juramento.

La omisión de rendir informe en el plazo estipulado hará que se tengan por ciertos los hechos acusados.

Artículo 68. Medios de prueba.

Los medios de prueba serán los siguientes:

a. Documental físico o electrónico;

b. El resultado de un estudio pericial;

c. Declaraciones juradas de los testigos, debidamente autenticadas;

Las pruebas de cargo y de descargo deberán ser presentadas junto con la denuncia o la contestación, según corresponda.

Artículo 69. Acto final.

La Agencia resolverá el procedimiento de protección de derechos en el plazo de un mes, a partir la firmeza de la resolución que resuelva sobre la admisibilidad de la denuncia.

Artículo 70. Fijación de sanciones.

La Agencia, en caso de que así correspondiere como resultado del procedimiento administrativo realizado, procederá a imponer las sanciones respectivas según éstas hayan sido determinadas como leves, graves o gravísimas, conforme lo dispone la Ley, lo anterior tomando en cuenta el hecho generador de la infracción, en el mismo acto final. En tal supuesto, se deberá enumerar las infracciones en las que incurrió el responsable, el monto que debe cancelar, el plazo para hacerlo y el número de cuenta que para el efecto designará la Agencia, a su vez cuando corresponda, el plazo para la modificación, suspensión o eliminación de los datos personales.

Además, la Agencia podrá imponer apercibimientos escritos a aquellas acciones u omisiones que atenten contra los derechos consagrados en la Ley y este Reglamento.

Artículo 71. Medios de impugnación.

Contra el acto final del procedimiento procede dentro del tercer día hábil a partir de la respectiva notificación, la interposición ante la Agencia de los Recursos ordinarios de Reconsideración y Apelación, siendo potestativo usar ambos recursos o uno solo de ellos, pero será inadmisible el que se interponga pasado dicho plazo.

Artículo 72. Plazo para resolver.

Los recursos interpuestos deberán ser resueltos, el de Reconsideración por la Agencia dentro de los ocho días hábiles posteriores a su presentación y en caso de haberse interpuesto Recurso de Apelación deberá remitir el mismo y el respectivo expediente al Ministro (a) de Justicia y Paz dentro de los siguientes tres días hábiles, a partir de la notificación de la Resolución del Recurso de Reconsideración. El Ministro de Justicia y Paz, deberá resolver el Recurso de apelación dentro del plazo de ocho días hábiles posteriores al recibo del expediente.

Capítulo VIII.- Del Procedimiento de Cobro

Artículo 73. Inicio del Procedimiento de Cobro Administrativo.

Cuando no se cancelen las sanciones pecuniarias impuestas o los cánones que correspondan, en el plazo dado por la Agencia en el acto final del procedimiento de protección de derechos o resolución al efecto, procederá el inicio del procedimiento de cobro.

Corresponderá al Área Administrativa de la Agencia, proceder a gestionar el cobro de dichos montos a los responsables.

La resolución inicial deberá contener al menos:

a) La indicación del expediente correspondiente.

b) La identificación de la entidad pública o privada, responsable de una base de datos personales, contra quien se procede a realizar el cobro.

c) Enumeración de las infracciones en las que se incurrió el responsable o en los cánones omitidos, según corresponda.

d) El monto que debe cancelar dentro del plazo de diez días hábiles, a partir de la notificación de la resolución inicial, y el número de cuenta que para el efecto designará la Agencia.

Artículo 74. Multas e intereses moratorios.

Cumplido el plazo dentro del cual el responsable debió cancelar la multa impuesta, empezarán a correr los intereses moratorios sobre las sumas sin pagar a tiempo, desde el momento en que debió satisfacerse la obligación, hasta la fecha de su efectivo pago, los cuales se fijarán según la resolución vigente que define la base de cálculo de la tasa de interés a cobrar sobre deudas a cargo del sujeto pasivo, emitida por la Dirección General de Hacienda, de conformidad con el Código de Normas y Procedimientos Tributarios.

Artículo 75. Criterio de oportunidad.

El Área Administrativa deberá actualizar cada mes de enero, el monto sobre el cual procederá la Declaratoria de Cuenta Incobrables para el cobro judicial, de conformidad con el análisis de costo beneficio de acuerdo con el Índice de Precios al Consumidor (IPC) del Banco Central de Costa Rica. Considerando al menos:

a. Examen de la magnitud de la deuda.

b. Existencia de bienes del deudor.

c. Bienes gravados en exceso.

d. Costo probable de la ejecución o bien de la interposición de las acciones judiciales.

e. Indicación de los obstáculos materiales con que se cuenta, tales como deudor no localizable, deudor sin actividades, entre otros.

El Área Administrativa en los casos que corresponda, declarará la incobrabilidad de la deuda, atendiendo al escaso beneficio de su cobro en relación con los costos en que debe de incurrirse para llevar adelante la gestión.

Artículo 76. Acto final del procedimiento de cobro.

Vencido el plazo otorgado para cancelar la deuda y sin que el pago se haya realizado en tiempo y forma, el Área Administrativa, previa aplicación del criterio de oportunidad, emitirá resolución trasladando al Área Jurídica de la Agencia, el expediente de cobro administrativo para que se proceda con el trámite del cobro judicial correspondiente.

Artículo 77. Arreglo de pago.

Procederá el arreglo de pago en toda gestión de cobro administrativo o judicial, en que el responsable en su condición de deudor, lo solicite ante el Área Administrativa, siempre que se cuente con las garantías y demás condiciones que así se requieran para el caso en particular.

Procederá el arreglo de pago, en el tanto se cumplan los siguientes requisitos:

a) Cancelar las costas procesales y personales irrogadas en relación con la prosecución del juicio, en caso de que las hubiere.

b) Constituir una garantía suficiente a juicio del Área Administrativa, según corresponda, que cubra el monto adeudado, más los intereses y mora vencidos.

En ningún caso se podrá condonar capital, intereses o mora.

Capítulo IX.- Del Pago de los Cánones

Artículo 78. Canon anual de regulación y administración de bases de datos.

De conformidad con la Ley, todas las bases de datos, públicas o privadas, con fines de distribución, difusión o comercialización, deben inscribirse ante la Agencia, y por ende cancelar ante ésta, la suma de doscientos dólares moneda de curso legal de los Estados Unidos de América (USD $200,00), al tipo de cambio mayor de referencia de venta del Banco Central de Costa Rica del día en que se realice el pago. Dicho monto corresponde al canon anual de regulación y administración de las bases de datos.

Artículo 79. Plazo para el pago.

El plazo para el pago del canon anual será del 1º al 31º enero de cada año.

Los responsables de las bases de datos inscribibles, deberán depositar en la cuenta bancaria que la Agencia determine el monto correspondiente al canon anual.

Artículo 80. Pago proporcional.

Cuando el tratamiento de los datos personales, inicie posterior a la fecha del pago del canon anual de regulación y administración de bases de datos, el responsable, deberá pagar de manera proporcional el monto que le corresponda de los doscientos dólares moneda de curso legal de los Estados Unidos de América (USD $200,00).

El plazo para el pago del canon anual en estos casos, será de un mes calendario a partir de la fecha de inicio del tratamiento de los datos personales o de la fecha de inscripción de la base de datos ante la Agencia, la primera que sea fehacientemente verificable.

Artículo 81. Canon por venta de datos del fichero.

El responsable deberá depositar en la cuenta bancaria que la Agencia determine, la suma de un dólar moneda de curso legal de los Estados Unidos de América (USD $1,00), al tipo de cambio mayor de referencia de venta del Banco Central de Costa Rica del día en que se realice la venta, por concepto de canon por cada venta de datos del fichero que corresponda a una persona, identificada o identificable, que se encuentre registrada en una base de datos de forma legítima.

El pago de este canon deberá realizarse a favor de la Agencia, dentro de los primeros diez días hábiles, del mes siguiente en que se realizó la venta de datos de cada fichero.

Artículo 82. Contratos globales.

El responsable que realice contratos globales, ya sean de bajo, medio o alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicación, deberá pagar el canon correspondiente conforme al siguiente detalle:

a) Bajo consumo de consultas: desde una y hasta quinientas mil consultas, el 10% del precio contractual;

b) Medio consumo de consultas: desde quinientas un mil y hasta novecientas noventa y nueve mil consultas, el 7.5% del precio contractual;

c) Alto consumo de consultas: desde un millón de consultas y en adelante, el 5% del precio contractual.

El pago de este canon deberá realizarse a favor de la Agencia, dentro de los primeros diez días hábiles del mes siguiente a la firma del contrato global.

Artículo 83. Canon e intereses moratorios.

Cumplido el plazo dentro del cual el responsable debió cancelar el canon correspondiente, empezarán a correr los intereses moratorios sobre las sumas sin pagar a tiempo, desde el momento en que debió satisfacerse la obligación, hasta la fecha de su efectivo pago, los cuales se fijarán según la resolución vigente que define la base de cálculo de la tasa de interés a cobrar sobre deudas a cargo del sujeto pasivo, emitida por la Dirección General de Hacienda, de conformidad con el Código de Normas y Procedimientos Tributarios.

Artículo 84. Incumplimiento.

En caso de incumplimiento del pago del canon respectivo, se aplicará el mismo procedimiento de cobro establecido en este Reglamento.

Capítulo X.- De la Agencia

Artículo 85. Régimen de empleo.

La Agencia de Protección de Datos estará bajo el Régimen de Empleo Público y excluido del Régimen del Servicio Civil, estando facultada para la incorporación del personal administrativo, técnico y profesional que satisfaga las necesidades del servicio público.

Para hacerse acreedor de este Régimen bajo el principio de idoneidad demostrada, deberá realizarse un concurso público, para lo cual se deberá realizar y aprobar las pruebas que la Agencia determine necesarias.

Artículo 86. Tipos de concursos.

Posterior a la realización del concurso público y con el fin de administrar el recurso humano según las necesidades y promover la carrera administrativa, la Agencia estará en la facultad de llevar a cabo concursos internos, internos ampliados, externos, nombramientos interinos u otros mecanismos que puedan garantizar el funcionamiento de la Institución.

Artículo 87. Manual de cargos y puestos.

La Agencia, deberá contar con los manuales de cargos y puestos. Será responsabilidad de la Agencia la continua actualización de los mismos.

Artículo 88. Reclutamiento y selección.

El proceso de reclutamiento y selección deberá de contar con las siguientes fases:

a) Reclutamiento: Con base en los requerimientos de los manuales de cargos y puestos y las necesidades de la Agencia en cuanto a personal, se definirán y publicarán los requisitos de cada puesto requerido. El reclutamiento puede hacerse tanto a lo interno como externo de la Agencia. Asimismo, se conformará un registro de elegibles por cada puesto, mismo que se integrará de notas de mayor a menor.

b) Selección: La Agencia definirá las metodologías, pruebas, herramientas y criterios de selección que considere oportunas a aplicar para la selección del personal.

c) Conformación de ternas o nóminas: Estarán conformadas de acuerdo con la posición de los participantes dentro del registro de elegibles, pudiendo la Agencia escoger a cualquiera de las personas que las integren.

Todos los procesos de gestión y administración de recurso humano que aplique la Agencia deberán cumplir las normas técnicas generalmente aceptadas en la materia.

Artículo 89. Periodo de prueba.

Todo el personal de la Agencia estará sometido a un periodo de prueba de hasta seis meses.

TRANSITORIO I

Por una única vez, las personas responsables de una base de datos, deberán pagar el canon anual de regulación y administración de bases de datos, a partir del 06 de Marzo del 2013, cancelando por tanto, el monto proporcional que corresponda.

Artículo 90. Vigencia

Rige a partir de su publicación.

Dado en la Presidencia de la República, San José, a los treinta días del mes de octubre del dos mil doce.

LAURA CHINCHILLA MIRANDA.

El Ministro de Justicia y Paz, FERNANDO FERRARO CASTRO.

Decreto Legislativo nº 638 (Derogado por Decreto Legislativo nº 957 de 22 de junio de 2004. Nuevo Código Procesal Penal).

EL PRESIDENTE DE LA REPÚBLICA

POR CUANTO:

De conformidad con lo dispuesto en el artículo nº 188 de la Constitución Política del Perú, por la Ley nº 25.281 publicada el 30 de octubre de 1990, el Congreso de la República delega en el Poder Ejecutivo la facultad de dictar mediante Decreto Legislativo el CODIGO PROCESAL PENAL, dentro del término de 180 días, nombrando para tal efecto una Comisión Revisora de los proyectos elaborados y, facultándola a introducir en ellos las reformas que estime pertinentes;

Que la mencionada Comisión Revisora ha cumplido con presentar al Poder Ejecutivo el Proyecto de nuevo CODIGO PROCESAL PENAL, aprobado por ella de acuerdo con lo dispuesto por el artículo 2º de la Ley nº 25.281.

Que resulta conveniente disponer la vigencia inmediata de algunas normas de este Código como son: el principio de oportunidad regulado en el artículo nº 2; algunas prescripciones destinadas a la descongestión de los establecimientos carcelarios y a la limitación de los supuestos para la restricción de la libertad de la libertad del imputado, artículo 135º; motivación de la detención, artículo nº 136º; libertad por exceso de detención, artículo nº 138º; supuestos de conversión de la comparecencia, artículos nº 143º al 145º; y a la libertad provisional, artículos nº 182º al 188º; pues es objetivo del gobierno garantizar la seguridad jurídica de los ciudadanos mediante un efectivo control social;

Con el voto aprobatorio del Consejo de Ministros y

Con cargo de dar cuenta al Congreso;

Ha dado el Decreto Legislativo siguiente:

Artículo 1º.- Promulgase el CÓDIGO PROCESAL PENAL, aprobado por la Comisión Revisora, constituida por la Ley nº 25.281, según el texto adjunto que consta de 410 artículos distribuidos de modo y forma que a continuación se detallan:

Título Preliminar: Artículos I a X

Libro Primero: La Acción Penal: Artículos 1º a 90º.

Libro Segundo: La investigación: Artículos 91º A 260º.

Libro Tercero: El Juzgamiento: Artículos 261º a 311º.

Libro Cuarto: La Actividad Procesal: Artículos 312º a 372º.

Libro Quinto: De los Procesos Especiales: Artículos 373º a 400º.

Artículo 2º.-El CÓDIGO PROCESAL PENAL entrará en vigencia el 01 de mayo de 1992; salvo lo referente a los artículos 2º, 135º, 136º, 138º, 143º a 145º y 182º a 188º; los mismos que entrarán en vigencia al día siguiente de la publicación del presente Decreto Legislativo.

POR TANTO

Dado en la Casa de Gobierno, a los veinticinco días del mes de abril de mil novecientos noventaiuno.

ALBERTO FUJIMORI FUJIMORI, Presidente Constitucional de la República

AUGUSTO ANTONIOLI VASQUEZ, Ministro de Justicia.

Promulgado : 25-04-91

Publicado : 27-04-91

Artículo 2º.-

El Ministerio Público con consentimiento expreso del imputado, podrá abstenerse de ejercitar la acción penal en cualquiera de los siguientes casos :

1. Cuando el agente haya sido afectado directa y gravemente por las consecuencias de su delito y la pena resulte inapropiada.

2. Cuando se tratare de delitos que por su insignificancia o su poca frecuencia no afecten gravemente el interés público, salvo cuando la pena mínima supere los dos (02) años de pena privativa de la libertad o se hubiere cometido por un funcionario público en ejercicio de su cargo.

3. Cuando la culpabilidad del agente en la comisión del delito, o su contribución a la perpetración del mismo sean mínimos, salvo que se tratare de un hecho delictuoso cometido por un funcionario público en ejercicio de su cargo.

En los supuestos previstos en los incisos 2) y 3), será necesario que el agente hubiere reparado el daño ocasionado o exista un acuerdo con la víctima en ese sentido.

Si la acción penal hubiera sido ya ejercida, el Juez podrá, a petición del Ministerio Público, dictar auto de sobreseimiento en cualquier etapa del proceso, bajo los supuestos ya establecidos.

(Artículo puesto en vigencia por el Art. 2º del Decreto Legislativo nº 638).

Artículo 135º.-

El Juez puede dictar mandato de detención si atendiendo a los primeros recaudos acompañados por el Fiscal Provincial sea posible determinar:

1. Que existen suficientes elementos probatorios de la comisión de un delito doloso que vincule al imputado como autor o participe del mismo.

No constituye elemento probatorio suficiente la condición de miembro de directorio, gerente, socio, accionista, directivo o asociado cuando el delito imputado se haya cometido en el ejercicio de una actividad realizada por una persona jurídica de derecho privado.

2. Que la sanción a imponerse sea superior a los cuatro años de pena privativa de la libertad; y,

3. Que existan suficientes elementos probatorios para concluir que el imputado intenta eludir la acción de la justicia o perturbar la actividad probatorio. No constituye criterio suficiente para establecer la intención de eludir a la justicia, la pena prevista en la Ley para el delito que se le imputa.

En todo caso, el Juez Penal podrá revocar de oficio el mandato de detención previamente ordenado cuando nuevos actos de investigación pongan en cuestión la suficiencia de las pruebas que dieron lugar a la medida.

Artículo 136º.-

El mandato de detención será motivado, con expresión de los fundamentos de hecho y de derecho que los sustenten. El oficio mediante el cual se dispone la ejecución de la detención deberá contener los datos de identidad personal del requerido.

Las requisitorias cursadas a la autoridad policial tendrán una vigencia de seis meses. Vencido este plazo caducarán automáticamente bajo responsabilidad, salvo que fuesen renovadas. La vigencia de la requisitoria para los casos de narcotráfico y terrorismo no caducarán hasta la detención y juzgamiento de los requisitoriados.(*)

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

(*) (Segundo Párrafo modificado por el Art. 1º del Decreto Ley nº 25660, publicado el 13-08-92).

Artículo 137º.-

La detención no durará más de nueve (09) meses en el procedimiento ordinario y de quince (15) meses en el procedimiento especial. Tratándose de procedimientos por delitos de tráfico ilícito de drogas, terrorismo, espionaje y otros de naturaleza compleja seguidos contra más de diez imputados, o en agravio de igual número de personas, el plazo límite de detención se duplicará. A su vencimiento, sin haberse dictado la sentencia de primer grado, deberá decretarse la inmediata libertad del inculpado, debiendo el Juez dictar las medidas necesarias para asegurar su presencia en las diligencias judiciales.

Cuando concurren circunstancias que importen una especial dificultad o una especial prolongación de la investigación y que el inculpado pudiera sustraerse a la acción de la justicia, la detención podrá prolongarse por un plazo igual.

La prolongación de la detención se acordará mediante auto debidamente motivado, a solicitud del Fiscal y con audiencia del inculpado. Contra este auto procede el recurso de apelación, que resolverá la Sala previo dictamen del Fiscal Superior.

No se tendrá en cuenta para el cómputo de los plazos establecidos en este artículo, el tiempo en que la causa sufriere dilaciones maliciosas imputables al inculpado o su defensa.

La libertad será revocada si el inculpado no cumple con asistir, sin motivo legítimo a la primera citación que se le formule cada vez que se considere necesaria su concurrencia.

El Juez deberá poner en conocimiento de la Sala la orden de libertad, como la de prolongación de la detención. La Sala, de oficio o a solicitud de otro sujeto procesal, o del Ministerio Público, y previo informe del Juez, dictará las medidas correctivas y disciplinarias que correspondan.(*)

(*) (Artículo modificado por el Art. 1º del Decreto Ley nº 25824).

Artículo 138º.-

Si el juez omite fundamentar el mandato de detención, el inculpado podrá interponer recurso de queja, a cuyo efecto solicitará al Juez eleve el cuaderno correspondiente dentro de las 24 horas de presentada la impugnación, bajo responsabilidad. La Sala se pronunciará en el mismo término sin necesidad de vista fiscal. Si se declara fundada se ordenará que el conocimiento de la causa se remita a otro Juez, sin perjuicio de la sanción a que hubiere lugar. El Juez que reciba el cuaderno, en igual término, deberá dictar el mandato que corresponda con arreglo a lo prescrito en el artículo 136º.(*)

Contra el mandato de detención procede recurso de apelación, que será concedido en un sólo efecto y seguirá el mismo trámite que el señalado para la queja.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

(*) Párrafo rectificado por Fe de Erratas, publicada el 01-06-91 en el Diario Oficial El Peruano.

Artículo 143º.-

Se dictará mandato de comparecencia cuando no corresponda la medida de detención. También podrá imponerse comparecencia con la restricción prevista en el inciso 1), tratándose de imputados mayores de 65 años que adolezan de una enfermedad grave o de incapacidad física, siempre que el peligro de fuga o de perturbación de la actividad probatoria pueda evitarse razonablemente.

El juez podrá imponer algunas de las alternativas siguientes :

1. La detención domiciliaria del inculpado, en su propio domicilio o en custodia de otra persona, de la autoridad policial o sin ella, impartiéndose las órdenes necesarias.

2. La obligación de someterse al cuidado y vigilancia de una persona o institución determinada, quien informará periódicamente en los plazos designados.

3. La obligación de no ausentarse de la localidad en que reside, de no concurrir a determinados lugares, o de presentarse a la autoridad en los días que se le fijen.

4. La prohibición de comunicarse con personas determinadas, siempre que ello no afecte el derecho de defensa.

5. La prestación de una caución económica, si las posibilidades del imputado lo permiten.

El Juez podrá imponer una de estas alternativas o combinar varias de ellas, según resulte adecuada al caso y ordenará las medidas necesarias para garantizar su cumplimiento. Si el hecho punible denunciado está penado con una sanción leve o las pruebas aportadas no la justifiquen, podrá prescindir de tales alternativas.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 144º.-

La infracción de la comparecencia, en los casos en que el imputado sea citado para su declaración o para otra diligencia determinará la orden de ser conducido compulsivamente por la policía.

Si el imputado no cumple con las restricciones impuestas en el artículo 143º, previo requerimiento realizado por Fiscal o por el Juzgador en su caso, se revocará la medida y se dictará mandato de detención. Asimismo, de ser el caso perderá la caución y se ejecutará la garantía patrimonial constituida o la fianza personal otorgada.(*)

(*) Artículo puesto en vigencia mediante el Art. 1º de la Ley nº 26480.

Artículo 145º.-

El mandato de comparecencia y las demás restricciones impuestas serán notificadas al imputado mediante citación que le entregará el secretario por intermedio de la Policía, o la dejará en su domicilio a persona responsable que se encargue de entregarla sin perjuicio de notificársele por la vía postal, adjuntándose a los autos constancia razonada de tal situación.

La Policía, además dejará constancia de haberse informado de la identificación del procesado a quien notificó o de la verificación de su domicilio, si estaba ausente.

Para estos efectos otórgase franquicia postal al Poder Judicial y al Ministerio Público.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 182º.-

El procesado que se encuentra cumpliendo detención podrá solicitar libertad provisional, cuando nuevos elementos de juicio permitan razonablemente prever que:

1. La pena privativa de libertad a imponérsele no será mayor de cuatro años, o que el inculpado esté sufriendo una detención mayor a las dos terceras partes de la pena solicitada por el Fiscal en su acusación escrita.

2. Se haya desvanecido la probabilidad de que el procesado eluda la acción de la justicia o perturbe la actividad probatoria.

3. Que el procesado cumpla con la caución fijada o, en su caso, el insolvente ofrezca fianza personal.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 183º.-

La caución se fijará solamente cuando se trate de imputados con solvencia económica, y consistirá en una suma de dinero que se fijará en la resolución. El imputado puede empozarla en el Banco de la Nación o constituir una garantía patrimonial suficiente a nombre del Juzgado de la Sala hasta por dicho monto.

El imputado que carezca de solvencia económica ofrecerá fianza personal escrita de una persona natural o jurídica.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 184º.-

Presentada la solicitud de libertad por el detenido, el Fiscal formará el incidente en el término de 24 horas y lo remitirá al Juez; con conocimiento de los demás sujetos procesales. (*)

(*)Artículo puesto en vigencia inicialmente por el Art. 2º del Decreto Legislativo nº 638, posteriormente el texto fue modificado por el Art. 1º de la Ley nº 2537.

Artículo 185º.-

El Juez resolverá en el término de 24 horas de recibido el incidente, notificará a los sujetos procesales y comunicará al Fiscal el tenor de la resolución.

La resolución es apelable en el término común de dos días.(*)

(*)Artículo puesto en vigencia inicialmente por el Art. 2º del Decreto Legislativo nº 638, posteriormente el texto fue modificado por el Art. 1º de la Ley nº 25371.

Artículo 186º.-

Si el Juez ordena la libertad fijará las reglas de conducta. La apelación no impide la excarcelación.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 187º.-

Si el procesado infringe las reglas de conducta se revocará la libertad y se ordenará su recaptura. Perderá la caución, la que pasará a un fondo de tecnificación de la administración de justicia.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 188º.-

La caución le será devuelta al imputado por el Banco de la Nación con los respectivos intereses devengados, cuando sea absuelto o sobreseído.

(Artículo puesto en vigencia mediante el Art. 2º del Decreto Legislativo nº 638).

Artículo 230. Intervención, grabación o registro de comunicaciones telefónicas o de otras formas de comunicación y geolocalización de teléfonos móviles

(…)

4. Los concesionarios de servicios públicos de telecomunicaciones deben facilitar, en forma inmediata, la geolocalización de teléfonos móviles y la diligencia de intervención, grabación o registro de las comunicaciones que haya sido dispuesta mediante resolución judicial, en tiempo real y en forma ininterrumpida, las 24 horas de los 365 días del año, bajo apercibimiento de ser pasible de las responsabilidades de Ley en caso de incumplimiento. Los servidores de las indicadas empresas deben guardar secreto acerca de las mismas, salvo que se les citare como testigo al procedimiento.

Dichos concesionarios otorgarán el acceso, la compatibilidad y conexión de su tecnología con el Sistema de Intervención y Control de las Comunicaciones de la Policía Nacional del Perú. Asimismo, cuando por razones de innovación tecnológica los concesionarios renueven sus equipos y software, se encontrarán obligados a mantener la compatibilidad con el sistema de intervención y control de las comunicaciones de la Policía Nacional del Perú. (…).

(Incorporado por el artículo 6 de la Ley nº 30.171)

Artículo 239º.-

Cuando se trate de una muerte sospechosa de haber sido causada por un hecho punible se procederá al levantamiento del cadáver, haciendo constar en acta.

El levantamiento del cadáver lo realizará el Fiscal pudiendo delegar la responsabilidad en su Adjunto o en la policía o en el Juez de Paz.

La identificación, ya sea antes de la inhumación o ya sea después de la exhumación, tendrá lugar mediante la descripción externa, la documentación de la huella dactiloscópica o palmatoscópica o por cualquier otro medio.

Cuando sea probable que se trate de un caso de criminalidad se practicará la necropsia para determinar la causa de la muerte.

Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825.

Artículo 240º.-

La necropsia será practicada por peritos, en presencia del Fiscal o de su Adjunto. Al acto pueden asistir los Defensores de los sujetos procesales incluso acreditar perito de parte.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 241º.-

Cuando se trate de homicidio doloso está prohibido el embalsamamiento. En ese mismo supuesto la incineración sólo podrá ser autorizada por el Fiscal después de vencido el plazo investigatorio.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 242º.-

Si existen indicios de envenenamiento, los peritos examinarán las vísceras y las materias sospechosas que se encuentran en el cadáver o en otra parte y las remitirán en envases aparentes, cerrados y lacrados, al laboratorio especializado correspondiente.

Las materias objeto de las pericias se conservarán si fuese posible, para ser presentados en el debate oral.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 243º.-

En caso de lesiones corporales el Fiscal exigirá que los peritos determinen en su informe el arma o instrumentos que las haya ocasionado, y si dejaron o no deformaciones y señales permanentes en el rostro, puesto en peligro la vida causado enfermedad incurable o la pérdida de un miembro u órgano y en general, todas las circunstancias que conforme al Código Penal influyen en la calificación del delito.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 244º.-

En caso de aborto, se hará comprobar la preexistencia del embarazo, los signos demostrativos de la interrupción del mismo, las causas que lo determinaron, los probables autores y las circunstancias que sirvan para la determinación del carácter y gravedad del hecho.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Artículo 245º.-

En los delitos contra el patrimonio deberá acreditarse la preexistencia de la cosa materia del delito.

(Artículo puesto en vigencia mediante el Art. 1º del Decreto Ley nº 25825).

Queda derogado como también sus normas ampliatorias y modificatorias, por el  Numeral 2 de la Tercera Disposición Modificatoria y Derogatoria del Decreto Legislativo nº 957, publicado el 29-07-2004, derogación que tendrá efecto a la vigencia del citado Decreto Legislativo, de conformidad con los Numerales 1 y 2 de la Primera Disposición Complementaria – Disposición Final del Decreto Legislativo nº 957, publicado el 29-07-2004, que dispone que el Nuevo Código Proceso Penal entrará en vigencia progresivamente en los diferentes Distritos Judiciales según un Calendario Oficial, aprobado por Decreto Supremo, dictado de conformidad con lo dispuesto en el Decreto Legislativo que establecerá las normas complementarias y de implementación del Código Procesal Penal, precisándose además que, el día 1 de febrero de 2006 se pondrá en vigencia este Código en el Distrito Judicial designado por la Comisión Especial de Implementación que al efecto creará el Decreto Legislativo correspondiente.
El Distrito Judicial de Lima será el Distrito Judicial que culminará la aplicación progresiva del citado Código.

Decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004. Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici.(G.U. 27 aprile 2004, n. 98)

Titolo I. DISPOSIZIONI GENERALI

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Visto il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa e in particolare l'Articolo 8, comma 2;

Visto il decreto legislativo 23 gennaio 2002, n. 10, recante attuazione della direttiva 1999/93/CE, relativa ad un quadro comunitario per le firme elettroniche;

Visto l'Articolo 15, comma 2, della legge 15 marzo 1997, n. 59;

Vista la decisione della Commissione europea 14 luglio 2003, relativa alla pubblicazione dei numeri di riferimento di norme generalmente riconosciute relative a prodotti di firma elettronica conformemente alla direttiva 1999/93/CE del Parlamento europeo e del Consiglio, pubblicata nella Gazzetta Ufficiale dell'Unione europea L 175/45 del 15 luglio 2003 che induce ad integrare in tal senso le premesse del provvedimento;

Visto il decreto del Presidente del Consiglio dei Ministri 9 agosto 2001, con il quale é stata attribuita al Ministro per l'innovazione e le tecnologie, dott. Lucio Stanca, tra l'altro, la delega ad esercitare le funzioni spettanti al Presidente del Consiglio dei Ministri nelle materie dell'innovazione tecnologica, dello sviluppo
della società dell'informazione, nonché delle connesse innovazioni per le amministrazioni pubbliche;

Sentito il Ministro per la funzione pubblica;

Sentito il Garante per la protezione dei dati personali;

Espletata la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, CE attuata con decreto legislativo 23 novembre 2000, n. 427;

Decreta:

Articolo 1. Definizioni

1. Ai fini delle presenti regole tecniche si applicano le definizioni contenute negli articoli 1 e 22 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, e successive modificazioni. Si intende, inoltre, per:

a) testo unico, il testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, emanato con decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

b) Dipartimento, il dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri o altro organismo di cui si avvale il Ministro per l'innovazione e le tecnologie;

c) chiavi, la coppia di chiavi asimmetriche come definite all'Articolo 22, comma 1, lettera b), del testo unico;

d) impronta di una sequenza di simboli binari (bit), la sequenza di simboli binari (bit) di lunghezza predefinita generata mediante l'applicazione alla prima di una opportuna funzione di hash;

e) funzione di hash, una funzione matematica che genera, a partire da una generica sequenza di simboli binari (bit), una impronta in modo tale che risulti di fatto impossibile, a partire da questa, determinare una sequenza di simboli binari (bit) per le quali la funzione generi impronte uguali;

f) evidenza informatica, una sequenza di simboli binari (bit) che puó essere elaborata da una procedura informatica;

g) riferimento temporale, informazione, contenente la data e l'ora, che viene associata ad uno o piú documenti informatici;

h) validazione temporale, il risultato della procedura informatica, con cui si attribuisce, ad uno o piú documenti informatici, un riferimento temporale opponibile ai terzi;

i) marca temporale, un'evidenza informatica che consente la validazione temporale.

Articolo 2. Ambito di applicazione

1. Il presente decreto stabilisce, ai sensi dell'Articolo 8, comma 2, del testo unico, le regole tecniche per la generazione, apposizione e verifica delle firme digitali.

2. Le disposizioni di cui al titolo II si applicano ai certificatori che rilasciano al pubblico certificati qualificati ai sensi del testo unico.

3. Ai certificatori accreditati o che intendono accreditarsi ai sensi del testo unico si applicano, oltre a quanto previsto dal comma 2, anche le disposizioni di cui al titolo III.

4. I certificatori accreditati devono disporre di un sistema di validazione temporale conforme alle disposizioni di cui al titolo IV.

5. Ai prodotti sviluppati o commercializzati in uno degli Stati membri dell'Unione europea e dello spazio economico europeo in conformità alle norme nazionali di recepimento della direttiva 1999/93/CE, é consentito di circolare liberamente nel mercato interno.

6. Le disposizioni di cui al comma 5 si applicano anche agli Stati non appartenenti all'Unione europea con i quali siano stati stipulati specifici accordi di riconoscimento reciproco.

Titolo II. REGOLE TECNICHE DI BASE

Articolo 3. Norme tecniche di riferimento

1. I prodotti di firma digitale e i dispositivi sicuri di firma di cui all'Articolo 29-sexies del testo unico, devono essere conformi alle norme generalmente riconosciute a livello internazionale o individuate dalla Commissione europea secondo la procedura di cui all'Articolo 9 della direttiva 1999/93/CE.

2. Gli algoritmi di generazione e verifica delle firme digitali e le funzioni di hash sono individuati ai sensi del comma 1.

3. Il documento informatico, sottoscritto con firma digitale o altro tipo di firma elettronica avanzata basata su un certificato qualificato e generata mediante un dispositivo sicuro per la creazione di una firma, non produce gli effetti di cui all'Articolo 10, comma 3, del testo unico, se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati.

Articolo 4. Caratteristiche generali delle chiavi per la creazione e la verifica della firma

1. Una coppia di chiavi per la creazione e la verifica della firma puó essere attribuita ad un solo titolare.

2. Se il titolare appone la sua firma per mezzo di una procedura automatica, deve utilizzare una coppia di chiavi diversa da tutte le altre in suo possesso.

3. Se la procedura automatica fa uso di piú dispositivi per apporre la firma del medesimo titolare, deve essere utilizzata una coppia di chiavi diversa per ciascun dispositivo.

4. Ai fini del presente decreto, le chiavi di creazione e verifica della firma ed i correlati servizi, si distinguono secondo le seguenti tipologie:

a) chiavi di sottoscrizione, destinate alla generazione e verifica delle firme apposte o associate ai documenti;

b) chiavi di certificazione, destinate alla generazione e verifica delle firme apposte o associate ai certificati qualificati, alle liste di revoca (CRL) e sospensione (CSL), ovvero alla sottoscrizione dei certificati relativi a chiavi di marcatura temporale;

c) chiavi di marcatura temporale, destinate alla generazione e verifica delle marche temporali.

5. Non é consentito l'uso di una coppia di chiavi per funzioni diverse da quelle previste, per ciascuna tipologia, dal precedente comma 4.

6. In deroga a quanto stabilito al comma 5, le chiavi di certificazione di cui al comma 4, lettera b), possono essere utilizzate per altre finalità previa autorizzazione da parte del Dipartimento.

7. La robustezza delle chiavi deve essere tale da garantire un adeguato livello di sicurezza in rapporto allo stato delle conoscenze scientifiche e tecnologiche.

Articolo 5. Generazione delle chiavi

1. La generazione della coppia di chiavi deve essere effettuata mediante dispositivi e procedure che assicurino, in rapporto allo stato delle conoscenze scientifiche e tecnologiche, l'unicità e la robustezza della coppia generata, nonché la segretezza della chiave privata.

2. Il sistema di generazione della coppia di chiavi deve comunque assicurare:

a) la rispondenza della coppia ai requisiti imposti dagli algoritmi di generazione e di verifica utilizzati;

b) l'equiprobabilità di generazione di tutte le coppie possibili;

c) l'identificazione del soggetto che attiva la procedura di generazione.

Articolo 6. Modalità di generazione delle chiavi

1. Le chiavi di certificazione possono essere generate esclusivamente dal responsabile del servizio.

2. Le chiavi di sottoscrizione possono essere generate dal titolare o dal certificatore.

3. La generazione delle chiavi di sottoscrizione effettuata, autonomamente dal titolare, deve avvenire all'interno del dispositivo sicuro per la generazione delle firme, che deve essere rilasciato o indicato dal certificatore.

4. Il certificatore deve assicurarsi che il dispositivo sicuro per la generazione delle firme, da lui fornito o indicato, presenti le caratteristiche e i requisiti di sicurezza di cui all'Articolo 29-sexies del testo unico e all'Articolo 9 del presente decreto.

5. Il titolare é tenuto ad utilizzare esclusivamente il dispositivo fornito dal certificatore, ovvero un dispositivo scelto tra quelli indicati dal certificatore stesso.

Articolo 7. Conservazione delle chiavi

1. é vietata la duplicazione della chiave privata e dei dispositivi che la contengono.

2. Per fini particolari di sicurezza, é consentito che le chiavi di certificazione vengano esportate purché ció avvenga con modalità tali da non ridurre il livello di sicurezza.

3. Il titolare della coppia di chiavi deve:

a) conservare con la massima diligenza la chiave privata o il dispositivo che la contiene al fine di garantirne l'integrità e la massima riservatezza;

b) conservare le informazioni di abilitazione all'uso della chiave privata separatamente dal dispositivo contenente la chiave;

c) richiedere immediatamente la revoca dei certificati qualificati relativi alle chiavi contenute in dispositivi di firma difettosi o di cui abbia perduto il possesso.

Articolo 8. Generazione delle chiavi al di fuori del dispositivo di firma

1. Se la generazione delle chiavi avviene su un sistema diverso da quello destinato all'uso della chiave privata, il sistema di generazione deve assicurare:

a) l'impossibilità di intercettazione o recupero di qualsiasi informazione, anche temporanea, prodotta durante l'esecuzione della procedura;

b) il trasferimento della chiave privata, in condizioni di massima sicurezza, nel dispositivo di firma in cui verrà utilizzata.

2. Il sistema di generazione deve essere isolato, dedicato esclusivamente a questa attività ed adeguatamente protetto contro i rischi di interferenze ed intercettazioni.

3. L'accesso al sistema deve essere controllato e ciascun utente preventivamente identificato. Ogni sessione di lavoro deve essere registrata nel giornale di controllo.

4. Prima della generazione di una nuova coppia di chiavi, l'intero sistema deve procedere alla verifica della propria configurazione, dell'autenticità ed integrità del software installato e dell'assenza di programmi non previsti dalla procedura.

Articolo 9. Dispositivi sicuri e procedure per la generazione della firma

1. In aggiunta a quanto previsto all'Articolo 29-sexies del testo unico, la generazione della firma deve avvenire all'interno di un dispositivo sicuro di firma, cosi' che non sia possibile l'intercettazione della chiave privata utilizzata.

2. Il dispositivo sicuro di firma deve poter essere attivato esclusivamente dal titolare prima di procedere alla generazione della firma.

3. I dispositivi sicuri di firma sono sottoposti alla valutazione e certificazione di sicurezza ai sensi dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione, secondo i criteri indicati all'Articolo 53.

4. La personalizzazione del dispositivo sicuro di firma deve almeno garantire:

a) l'acquisizione da parte del certificatore dei dati identificativi del dispositivo di firma utilizzato e la loro associazione al titolare;

b) la registrazione nel dispositivo di firma del certificato qualificato, relativo alle chiavi di sottoscrizione del titolare.

5. La personalizzazione del dispositivo sicuro di firma puó prevedere, per l'utilizzo nelle procedure di verifica della firma, la registrazione, nel dispositivo di firma, del certificato elettronico relativo alla chiave pubblica del certificatore la cui corrispondente privata é stata utilizzata per sottoscrivere il certificato qualificato relativo alle chiavi di sottoscrizione del titolare;

6. La personalizzazione del dispositivo di firma é registrata nel giornale di controllo.

7. Il certificatore deve adottare, nel processo di personalizzazione del dispositivo sicuro per la generazione delle firme, procedure atte ad identificare il titolare di un dispositivo sicuro di firma e dei certificati in esso contenuti.

Articolo 10. Verifica delle firme digitali

1. I certificatori che rilasciano certificati qualificati devono fornire ovvero indicare almeno un sistema che consenta di effettuare la verifica delle firme digitali.

Articolo 11. Informazioni riguardanti i certificatori

1. I certificatori che rilasciano al pubblico certificati qualificati ai sensi del testo unico devono fornire al dipartimento le seguenti informazioni e documenti:

a) dati anagrafici ovvero denominazione o ragione sociale;

b) residenza ovvero sede legale;

c) sedi operative;

d) rappresentante legale;

e) certificati delle chiavi di certificazione;

f) piano per la sicurezza contenuto in busta sigillata;

g) manuale operativo di cui al successivo Articolo 38;

h) dichiarazione di impegno al rispetto delle disposizioni del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

i) dichiarazione di conformità ai requisiti previsti nel presente decreto;

l) relazione sulla struttura organizzativa;

m) copia di una polizza assicurativa di copertura dei rischi
dell'attività e dei danni causati a terzi.

2. Il Dipartimento rende accessibili, in via telematica, le informazioni di cui al comma 1, lettere a), b), d).

3. Restano salve le disposizioni del decreto del Presidente della Repubblica 23 dicembre 1997, n. 522, e successive modificazioni, con riferimento ai compiti di certificazione e di validazione temporale del Centro nazionale per l'informatica nelle pubbliche amministrazioni, in conformità alle disposizioni dei regolamenti previsti dall'Articolo 15, comma 2, della legge 15 marzo 1997, n. 59.

Articolo 12. Comunicazione tra certificatore e Dipartimento

1. I certificatori che rilasciano al pubblico certificati qualificati devono attenersi alle regole emanate dal Dipartimento per realizzare un sistema di comunicazione sicuro attraverso il quale scambiare le informazioni previste dal presente decreto.

Articolo 13. Generazione delle chiavi di certificazione

1. La generazione delle chiavi di certificazione deve avvenire in modo conforme a quanto previsto dal presente Titolo.

2. Per ciascuna chiave di certificazione il certificatore deve generare un certificato sottoscritto con la chiave privata della coppia cui il certificato si riferisce.

3. I valori contenuti nei singoli campi del certificato delle chiavi di certificazione devono essere codificati in modo da non generare equivoci relativi al nome, ragione o denominazione sociale del certificatore.

Articolo 14. Generazione dei certificati qualificati

1. In aggiunta agli obblighi previsti per il certificatore dall'Articolo 29-bis del testo unico prima di emettere il certificato qualificato il certificatore deve:

a) accertarsi dell'autenticità della richiesta;

b) verificare il possesso della chiave privata e il corretto funzionamento della coppia di chiavi.

2. Il certificato qualificato deve essere generato con un sistema conforme a quanto previsto dall'Articolo 28.

3. L'emissione dei certificati qualificati deve essere registrata nel giornale di controllo con la specificazione della data e dell'ora della generazione.

4. Il momento della generazione dei certificati deve essere attestato tramite un riferimento temporale.

Articolo 15. Informazioni contenute nei certificati qualificati

1. Fatto salvo quanto previsto dall'Articolo 27-bis del testo unico, i certificati qualificati devono contenere almeno le seguenti informazioni:

a) codice identificativo del titolare presso il certificatore;

b) tipologia della coppia di chiavi in base all'uso cui sono destinate.

2. Le informazioni personali contenute nel certificato sono utilizzabili unicamente per identificare il titolare della firma elettronica, per legittimare la sottoscrizione del documento informatico, nonché per indicare eventuali funzioni del titolare.

3. I valori contenuti nei singoli campi del certificato qualificato devono essere codificati in modo da non generare equivoci relativi al nome, ragione o denominazione sociale del certificatore.

4. Il certificatore determina il periodo di validità dei certificati qualificati in funzione della robustezza delle chiavi di creazione e verifica impiegate e dei servizi cui essi sono destinati.

5. Il certificatore custodisce le informazioni di cui all'Articolo 29-bis, comma 2, lettera m) del testo unico, per un periodo non inferiore a dieci anni dalla data di scadenza o revoca del certificato qualificato.

Articolo 16. Revoca e sospensione del certificato qualificato

1. Fatto salvo quanto previsto dall'Articolo 29-septies del testo unico, il certificato qualificato deve essere revocato o sospeso dal certificatore, ove quest'ultimo abbia notizia della compromissione della chiave privata o del dispositivo per la creazione della firma.

Articolo 17. Revoca dei certificati qualificati relativi a chiavi di sottoscrizione

1. La revoca del certificato qualificato relativo a chiavi di sottoscrizione viene effettuata dal certificatore mediante l'inserimento del suo codice identificativo in una delle liste di certificati revocati e sospesi (CRL/CSL).

2. Se la revoca avviene a causa della possibile compromissione della segretezza della chiave privata, il certificatore deve procedere tempestivamente alla pubblicazione dell'aggiornamento della lista di revoca.

3. La revoca dei certificati é annotata nel giornale di controllo con la specificazione della data e dell'ora della pubblicazione della nuova lista.

Articolo 18. Revoca su iniziativa del certificatore

1. Salvo i casi di motivata urgenza, il certificatore che intende revocare un certificato qualificato deve darne preventiva comunicazione al titolare, specificando i motivi della revoca nonché la data e l'ora a partire dalla quale la revoca é efficace.

Articolo 19. Revoca su richiesta del titolare

1. La richiesta di revoca deve essere inoltrata al certificatore munita della sottoscrizione del titolare e con la specificazione della sua decorrenza.

2. Le modalità di inoltro della richiesta devono essere indicate dal certificatore nel manuale operativo di cui al successivo Articolo 38.

3. Il certificatore deve verificare l'autenticità della richiesta e procedere alla revoca entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con le modalità previste dal comma 2.

4. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato.

Articolo 20. Revoca su richiesta del terzo interessato

1. La richiesta di revoca da parte del terzo interessato da cui derivano i poteri di rappresentanza del titolare deve essere inoltrata al certificatore munita di sottoscrizione e con la specificazione della sua decorrenza.

2. Il certificatore deve notificare la revoca al titolare.

3. Se il certificatore non ha la possibilità di accertare in tempo utile l'autenticità della richiesta, procede alla sospensione del certificato.

Articolo 21. Sospensione dei certificati qualificati

1. La sospensione del certificato qualificato é effettuata dal certificatore attraverso l'inserimento di tale certificato in una delle liste dei certificati revocati e sospesi (CRL/CSL).

2. La sospensione dei certificati é annotata nel giornale di controllo con l'indicazione della data e dell'ora di esecuzione dell'operazione.

Articolo 22. Sospensione su iniziativa del certificatore

1. Salvo casi d'urgenza, che il certificatore é tenuto a motivare contestualmente alla comunicazione di cui al comma 2, il certificatore che intende sospendere un certificato qualificato deve darne preventiva comunicazione al titolare specificando i motivi della sospensione e la sua durata.

2. L'avvenuta sospensione del certificato qualificato deve essere tempestivamente comunicata al titolare specificando la data e l'ora a partire dalla quale il certificato qualificato risulta sospeso.

3. Se la sospensione é causata da una richiesta di revoca motivata dalla possibile compromissione della chiave privata, il certificatore deve procedere tempestivamente alla pubblicazione della sospensione.

Articolo 23. Sospensione su richiesta del titolare

1. La richiesta di sospensione deve essere inoltrata al certificatore munita della sottoscrizione del titolare e con la specificazione della sua durata.

2. Le modalità di inoltro della richiesta devono essere indicate dal certificatore nel manuale operativo.

3. Il certificatore deve verificare l'autenticità della richiesta e procedere alla sospensione entro il termine richiesto. Sono considerate autentiche le richieste inoltrate con le modalità previste dal comma 2.

Articolo 24. Sospensione su richiesta del terzo interessato

1. La richiesta di sospensione da parte del terzo interessato, da cui derivano i poteri di rappresentanza del titolare, deve essere inoltrata al certificatore munita di sottoscrizione e con la specificazione della sua durata.

2. Il certificatore deve notificare la sospensione al titolare.

Articolo 25. Sostituzione delle chiavi di certificazione

1. Almeno novanta giorni prima della scadenza del certificato relativo a chiavi di certificazione il certificatore deve avviare la procedura di sostituzione, generando, con le modalità previste dall'Articolo 13, una nuova coppia di chiavi.

2. Il certificatore deve generare un certificato relativo alla nuova chiave pubblica sottoscritto con la chiave privata della vecchia coppia ed uno relativo alla vecchia chiave pubblica sottoscritto con la chiave privata della nuova coppia.

3. I certificati generati secondo quanto previsto dal comma 2 debbono essere inviati al dipartimento.

Articolo 26. Revoca dei certificati relativi a chiavi di certificazione

1. La revoca del certificato relativo ad una coppia di chiavi di certificazione é consentita solo nei seguenti casi:

a) compromissione della chiave privata, intesa come diminuita affidabilità nelle caratteristiche di sicurezza della chiave privata;

b) guasto del dispositivo di firma;

c) cessazione dell'attività.

2. La revoca deve essere notificata entro ventiquattro ore al dipartimento e a tutti i titolari di certificati qualificati firmati con la chiave privata appartenente alla coppia revocata.

3. I certificati qualificati per i quali risulti compromessa la chiave privata con cui sono stati sottoscritti devono essere revocati.

Articolo 27. Requisiti di sicurezza dei sistemi operativi

1. Il sistema operativo dei sistemi di elaborazione utilizzati nelle attività di certificazione per la generazione delle chiavi, la generazione dei certificati qualificati e la gestione del registro dei certificati qualificati, devono essere conformi quanto meno alle specifiche previste dalla classe ITSEC F-C2/E2 o equivalenti.

2. Il requisito di cui al comma 1 non si applica al sistema operativo dei dispositivi di firma.

Articolo 28. Sistema di generazione dei certificati qualificati

1. La generazione dei certificati qualificati deve avvenire su un sistema utilizzato esclusivamente per la generazione di certificati, situato in locali adeguatamente protetti.

2. L'entrata e l'uscita dai locali protetti deve essere registrata sul giornale di controllo.

3. L'accesso ai sistemi di elaborazione deve essere consentito, limitatamente alle funzioni assegnate, esclusivamente al personale autorizzato, identificato attraverso un'opportuna procedura di riconoscimento da parte del sistema al momento di apertura di ciascuna sessione.

4. L'inizio e la fine di ciascuna sessione devono essere registrate sul giornale di controllo.

Articolo 29. Accesso del pubblico ai certificati

1. Le liste dei certificati revocati e sospesi devono essere rese pubbliche.

2. I certificati qualificati, su richiesta del titolare, possono essere accessibili alla consultazione del pubblico, ovvero comunicati a terzi, esclusivamente nei casi consentiti dal titolare del certificato e nel rispetto del decreto legislativo 30 giugno 2003, n. 196.

3. Le liste pubblicate dei certificati revocati e sospesi, nonché i certificati qualificati eventualmente resi accessibili alla consultazione del pubblico, sono utilizzabili da chi le consulta per le sole finalità di applicazione delle norme che disciplinano la verifica e la validità della firma digitale.

Articolo 30. Piano per la sicurezza

1. Il certificatore deve definire un piano per la sicurezza nel quale devono essere contenuti almeno i seguenti elementi:

a) struttura generale, modalità operativa e struttura logistica;

b) descrizione dell'infrastruttura di sicurezza per ciascun immobile rilevante ai fini della sicurezza;

c) allocazione dei servizi e degli uffici negli immobili;

d) elenco del personale e sua allocazione negli uffici;

e) attribuzione delle responsabilità;

f) algoritmi crittografici o altri sistemi utilizzati;

g) descrizione delle procedure utilizzate nell'attività di certificazione;

h) descrizione dei dispositivi installati;

i) descrizione dei flussi di dati;

l) procedura di gestione delle copie di sicurezza dei dati;

m) procedura di gestione dei disastri;

n) analisi dei rischi;

o) descrizione delle contromisure;

p) specificazione dei controlli.

2. Fatto salvo quanto disposto al comma 3, il piano per la sicurezza, sottoscritto dal legale rappresentante del certificatore, deve essere consegnato al dipartimento in busta sigillata.

3. Le informazioni di cui al comma 1, lettere b), c) e d) devono essere consegnate al dipartimento in una busta sigillata, che verrà aperta solo in caso di contestazioni, diversa da quella nella quale é contenuto il piano per la sicurezza.

4. Il piano per la sicurezza deve attenersi quanto meno alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'Articolo 33, del decreto legislativo 30 giugno 2003, n. 196.

Articolo 31. Giornale di controllo

1. Il giornale di controllo é costituito dall'insieme delle registrazioni effettuate automaticamente dai dispositivi installati presso il certificatore, allorché si verificano le condizioni previste dal presente decreto.

2. Le registrazioni possono essere effettuate indipendentemente anche su supporti distinti e di tipo diverso.

3. A ciascuna registrazione deve essere associato un riferimento temporale.

4. Il giornale di controllo deve essere tenuto in modo da garantire l'autenticità delle annotazioni e consentire la ricostruzione, con la necessaria accuratezza, di tutti gli eventi rilevanti ai fini della sicurezza.

5. L'integrità del giornale di controllo deve essere verificata con frequenza almeno mensile.

6. Le registrazioni contenute nel giornale di controllo devono essere conservate per un periodo non inferiore a 10 anni.

Articolo 32. Sistema di qualità del certificatore

1. Entro un anno dall'avvio dell'attività di certificazione, il certificatore deve dichiarare la conformità del proprio sistema di qualità alle norme ISO 9000, successive evoluzioni o a norme equivalenti.

2. Il manuale della qualità deve essere depositato presso il dipartimento e reso disponibile presso il certificatore.

Articolo 33. Organizzazione del personale del certificatore

1. L'organizzazione del personale addetto al servizio di certificazione deve prevedere almeno le seguenti funzioni:

a) responsabile della sicurezza;

b) responsabile della generazione e custodia delle chiavi;

c) responsabile della personalizzazione dei dispositivi di firma;

d) responsabile della generazione dei certificati;

e) responsabile della gestione del registro dei certificati;

f) responsabile della registrazione degli utenti;

g) responsabile della sicurezza dei dati;

h) responsabile della crittografia o di altro sistema utilizzato;

i) responsabile dei servizi tecnici;

l) responsabile delle verifiche e delle ispezioni (auditing);

m) responsabile del sistema di riferimento temporale.

2. é possibile attribuire al medesimo soggetto piú funzioni tra quelle previste dal comma 1 purché tra loro compatibili; sono in ogni caso compatibili tra loro le funzioni specificate nei sotto indicati raggruppamenti:

a) generazione e custodia delle chiavi, generazione dei certificati, personalizzazione dei dispositivi di firma, crittografia, sicurezza dei dati;

b) registrazione degli utenti, gestione del registro dei certificati, crittografia, sicurezza dei dati, sistema di riferimento temporale.

Articolo 34. Requisiti di competenza ed esperienza del personale

1. Il personale cui sono attribuite le funzioni previste dall'Articolo 33 deve aver maturato una esperienza almeno quinquennale nell'analisi, progettazione e conduzione di sistemi informatici.

2. Per ogni aggiornamento apportato al sistema di certificazione deve essere previsto un apposito corso di addestramento.

Articolo 35. Formato dei certificati qualificati

1. I certificati qualificati e le informazioni relative alle procedure di sospensione e di revoca devono essere conformi alla norma ISO/IEC 9594-8:2001 e successive evoluzioni.

Articolo 36. Formato della firma

1. Alla firma digitale deve essere allegato il certificato qualificato corrispondente alla chiave pubblica da utilizzare per la verifica.

Articolo 37. Codice di emergenza

1. Per ciascun certificato qualificato emesso il certificatore deve fornire al titolare almeno un codice riservato, da utilizzare in caso di emergenza per confermare l'autenticità della eventuale richiesta di sospensione del certificato.

2. In caso di emergenza é possibile richiedere la sospensione immediata di un certificato qualificato utilizzando il codice previsto al comma 1. La richiesta deve essere successivamente confermata utilizzando una delle modalità previste dal certificatore.

3. Il certificatore adotta specifiche misure di sicurezza per assicurare la segretezza del codice di emergenza.

Articolo 38. Manuale operativo

1. Il manuale operativo definisce le procedure applicate dal certificatore che rilascia certificati qualificati nello svolgimento della sua attività.

2. Il manuale operativo deve essere depositato presso il dipartimento e pubblicato a cura del certificatore in modo da essere consultabile per via telematica.

3. Il manuale deve contenere almeno le seguenti informazioni:

a) dati identificativi del certificatore;

b) dati identificativi della versione del manuale operativo;

c) responsabile del manuale operativo;

d) definizione degli obblighi del certificatore, del titolare e dei richiedenti la verifica delle firme;

e) definizione delle responsabilità e delle eventuali limitazioni agli indennizzi;

f) indirizzo del sito web del certificatore ove sono pubblicate le tariffe;

g) modalità di identificazione e registrazione degli utenti;

h) modalità di generazione delle chiavi per la creazione e la verifica della firma;

i) modalità di emissione dei certificati;

l) modalità con cui viene espletato quanto previsto all'Articolo 27-bis, comma 1, lettera a) del testo unico;

m) modalità di sospensione e revoca dei certificati;

n) modalità di sostituzione delle chiavi;

o) modalità di gestione del registro dei certificati;

p) modalità di accesso al registro dei certificati;

q) modalità di protezione della riservatezza;

r) modalità per l'apposizione e la definizione del riferimento temporale;

s) modalità operative per l'utilizzo del sistema di verifica delle firme di cui all'Articolo 10, comma 1;

t) modalità operative per la generazione della firma digitale.

Articolo 39. Riferimenti temporali opponibili ai terzi

1. I riferimenti temporali realizzati in conformità con quanto disposto dal titolo IV sono opponibili ai terzi ai sensi dell'Articolo 14, comma 2, del testo unico.

2. I riferimenti temporali apposti sul giornale di controllo da un certificatore accreditato, secondo quanto indicato nel proprio manuale operativo, sono opponibili ai terzi ai sensi dell'Articolo 14, comma 2, del testo unico.

3. L'ora assegnata ai riferimenti temporali di cui al comma 2 del presente articolo, deve corrispondere alla scala di tempo UTC(IEN), di cui al decreto del Ministro dell'industria, del commercio e dell'artigianato 30 novembre 1993, n. 591, con una differenza non superiore ad un minuto primo.

4. Le pubbliche amministrazioni possono anche utilizzare come sistemi di validazione temporale:

a) il riferimento temporale contenuto nella segnatura di protocollo di cui all'Articolo 9 del decreto del Presidente del Consiglio dei Ministri, 31 ottobre 2000, pubblicato nella Gazzetta Ufficiale 21 novembre 2000, n. 272;

b) il riferimento temporale ottenuto attraverso la procedura di conservazione dei documenti in conformità alle norme vigenti;

c) il riferimento temporale ottenuto attraverso l'utilizzo di posta certificata ai sensi dell'Articolo 14 del testo unico.

Titolo III. ULTERIORI REGOLE PER I CERTIFICATORI ACCREDITATI

Articolo 40. Obblighi per i certificatori accreditati

1. Il certificatore deve generare un certificato qualificato per ciascuna delle chiavi di firma elettronica avanzata utilizzate dal dipartimento per la sottoscrizione dell'elenco pubblico dei certificatori e pubblicarlo nel proprio registro dei certificati.

2. Il certificatore garantisce l'interoperabilità del prodotto di verifica di cui all'Articolo 10 ai documenti informatici sottoscritti con firma digitale emessa dalla struttura di certificazione della Rete unitaria della pubblica amministrazione e successive modifiche tecniche e organizzative.

3. Il certificatore deve mantenere copia della lista, sottoscritta dal dipartimento, dei certificati relativi alle chiavi di certificazione di cui all'Articolo 41, comma 1, lettera f), che deve rendere accessibile per via telematica.

4. I certificatori accreditati, al fine di ottenere e mantenere il riconoscimento di cui all'Articolo 28, comma 1 del testo unico, devono svolgere la propria attività in conformità con quanto previsto dalle regole per il riconoscimento e la verifica del documento elettronico.

Articolo 41. Elenco pubblico dei certificatori accreditati

1. L'elenco pubblico dei certificatori accreditati tenuto dal dipartimento ai sensi del testo unico, contiene per ogni certificatore accreditato le seguenti informazioni:

a) denominazione;

b) sede legale;

c) rappresentante legale;

d) nome X.500;

e) indirizzo internet;

f) lista dei certificati delle chiavi di certificazione;

g) manuale operativo;

h) data di accreditamento volontario;

i) data di cessazione ed eventuale certificatore sostitutivo.

2. L'elenco pubblico é sottoscritto e reso disponibile per via telematica dal dipartimento.

3. Il dipartimento provvede all'aggiornamento della lista dei certificati delle chiavi di certificazione e a rendere la stessa disponibile ai certificatori per la pubblicazione ai sensi dell'Articolo 40, comma 3.

4. L'elenco pubblico é sottoscritto dal Capo del dipartimento o dal dirigente da lui designato, mediante una firma elettronica avanzata, generata mediante un dispositivo sicuro per la creazione di una firma.

5. Sulla Gazzetta Ufficiale é dato avviso:

a) della costituzione dell'elenco di cui al comma 4;

b) dell'indicazione del soggetto preposto alla sottoscrizione dell'elenco pubblico di cui al comma 4;

c) del valore dei codici identificativi delle chiavi pubbliche relative alle coppie di chiavi utilizzate per la sottoscrizione dell'elenco pubblico, generati attraverso gli algoritmi dedicated hash-function 3, corrispondente alla funzione SHA- 1 e dedicated hash-function 1, corrispondente alla funzione RIPEMD-160, definiti nella norma ISO/IEC 10118-3:1998;

d) con almeno novanta giorni di preavviso, della scadenza delle chiavi utilizzate per la sottoscrizione dell'elenco pubblico;

e) della revoca delle chiavi utilizzate per la sottoscrizione dell'elenco pubblico sopravvenute per ragioni di sicurezza, ovvero a seguito di sostituzione dei soggetti designati ai sensi della lettera b).

6. Fino alla certificazione delle chiavi da parte del dipartimento ai sensi dell'Articolo 29-quinquies del testo unico si utilizzano, per la sottoscrizione dell'elenco pubblico, le chiavi di sottoscrizione di soggetti designati dal Ministro per l'innovazione e le tecnologie.

Articolo 42. Rappresentazione del documento informatico

1. Il certificatore deve indicare nel manuale operativo i formati del documento informatico e le modalità operative a cui il titolare deve attenersi per ottemperare a quanto prescritto dall'Articolo 3, comma 3.

Articolo 43. Limitazioni d'uso

1. Il certificatore, su richiesta del titolare o del terzo interessato, é tenuto a inserire nel certificato qualificato eventuali limitazioni d'uso.

Titolo IV. REGOLE PER LA VALIDAZIONE TEMPORALE E PER LA PROTEZIONE DEI DOCUMENTI INFORMATICI

Articolo 44. Validazione temporale

1. Una evidenza informatica é sottoposta a validazione temporale con la generazione di una marca temporale che le si applichi.

2. Le marche temporali sono generate da un apposito sistema elettronico sicuro in grado di:

a) mantenere la data e l'ora conformemente a quanto richiesto dal presente decreto;

b) generare la struttura di dati secondo quanto specificato negli articoli 45 e 48;

c) sottoscrivere digitalmente la struttura di dati di cui alla lettera b).

Articolo 45. Informazioni contenute nella marca temporale

1. Una marca temporale deve contenere almeno le seguenti informazioni:

a) identificativo dell'emittente;

b) numero di serie della marca temporale;

c) algoritmo di sottoscrizione della marca temporale;

d) identificativo del certificato relativo alla chiave di verifica della marca;

e) data ed ora di generazione della marca;

f) identificatore dell'algoritmo di hash utilizzato per generare l'impronta dell'evidenza informatica sottoposta a validazione temporale;

g) valore dell'impronta dell'evidenza informatica.

2. La marca temporale puó inoltre contenere un identificatore dell'oggetto a cui appartiene l'impronta di cui al comma 1, lettera g).

Articolo 46. Chiavi di marcatura temporale

1. Ogni coppia di chiavi utilizzata per la validazione temporale deve essere univocamente associata ad un sistema di validazione temporale.

2. Al fine di limitare il numero di marche temporali generate con la medesima coppia, le chiavi di marcatura temporale debbono essere sostituite ed un nuovo certificato deve essere emesso dopo non piú di un mese di utilizzazione, indipendentemente dalla durata del loro periodo di validità e senza revocare il corrispondente certificato.

3. Per la sottoscrizione dei certificati relativi a chiavi di marcatura temporale debbono essere utilizzate chiavi di certificazione appositamente generate.

4. Le chiavi di certificazione e di marcatura temporale possono essere generate esclusivamente dai responsabili dei rispettivi servizi.

Articolo 47. Gestione dei certificati e delle chiavi

1. Alle chiavi di certificazione utilizzate, ai sensi dell'Articolo 46, comma 3, per sottoscrivere i certificati relativi a chiavi di marcatura temporale, si applica quanto previsto per le chiavi di certificazione utilizzate per sottoscrivere certificati relativi a chiavi di sottoscrizione.

2. I certificati relativi ad una coppia di chiavi di marcatura temporale, oltre ad essere conformi alla norma ISO/IEC 9594-8:2001 e successive evoluzioni, devono contenere 1'identificativo del sistema di marcatura temporale che utilizza le chiavi.

Articolo 48. Precisione dei sistemi di validazione temporale

1. L'ora assegnata ad una marca temporale deve corrispondere, con una differenza non superiore ad un minuto secondo rispetto alla scala di tempo UTC(IEN), di cui al decreto del Ministro dell'industria, del commercio e dell'artigianato 30 novembre 1993, n. 591, al momento della sua generazione.

2. La data e l'ora contenute nella marca temporale sono specificate con riferimento al Tempo Universale Coordinato (UTC).

Articolo 49. Sicurezza dei sistemi di validazione temporale

1. Ogni sistema di validazione temporale deve produrre un registro operativo su di un supporto non riscrivibile nel quale sono automaticamente registrati gli eventi per i quali tale registrazione é richiesta dal presente decreto.

2. Qualsiasi anomalia o tentativo di manomissione che possa modificare il funzionamento dell'apparato in modo da renderlo incompatibile con i requisiti del presente decreto, ed in particolare con quello di cui all'Articolo 48, comma 1, deve essere annotato sul registro operativo e causare il blocco del sistema.

3. Il blocco del sistema di validazione temporale puó essere rimosso esclusivamente con l'intervento di personale espressamente autorizzato.

4. La conformità ai requisiti di sicurezza specificati nel presente articolo deve essere verificata secondo criteri di sicurezza almeno equivalenti a quelli previsti dal livello di valutazione E2 e robustezza dei meccanismi HIGH dell'ITSEC, o dal livello EAL 3 della norma ISO/IEC 15408 o superiori. Sono ammessi livelli di valutazione internazionalmente riconosciuti come equivalenti.

Articolo 50. Registrazione delle marche generate

1. Tutte le marche temporali emesse da un sistema di validazione sono conservate in un apposito archivio digitale non modificabile per un periodo non inferiore a cinque anni ovvero, su richiesta dell'interessato, per un periodo maggiore, alle condizioni previste dal certificatore.

2. La marca temporale é valida per l'intero periodo di conservazione a cura del fornitore del servizio.

Articolo 51. Richiesta di validazione temporale

1. Il certificatore stabilisce, pubblicandole nel manuale operativo, le procedure per l'inoltro della richiesta di validazione temporale.

2. La richiesta deve contenere l'evidenza informatica alla quale le marche temporali debbono fare riferimento.

3. L'evidenza informatica puó essere sostituita da una o piú impronte, calcolate con funzioni di hash previste dal manuale operativo. Debbono essere comunque accettate le funzioni di hash basate sugli algoritmi dedicated hash-function 3, corrispondente alla funzione SHA-1 e dedicated hash-function 1, corrispondente alla funzione RIPEMD-160, definiti nella norma ISO/IEC 10118-3:1998.

4. Il certificatore ha facoltà di implementare il sistema di validazione temporale in modo che sia possibile richiedere l'emissione di piú marche temporali per la stessa evidenza informatica. In tal caso debbono essere restituite marche temporali generate con chiavi diverse.

5. La generazione delle marche temporali deve garantire un tempo di risposta, misurato come differenza tra il momento della ricezione della richiesta e l'ora riportata nella marca temporale, non superiore al minuto primo.

Articolo 52. Estensione della validità del documento informatico

1. La validità di un documento informatico, i cui effetti si protraggano nel tempo oltre il limite della validità della chiave di sottoscrizione, puó essere estesa mediante l'associazione di una marca temporale.

Titolo V. DISPOSIZIONI FINALI E TRANSITORIE

Articolo 53. Norme transitorie

1. In attesa della pubblicazione degli algoritmi per la generazione e verifica della firma digitale secondo quanto previsto dall'Articolo 3, i certificatori accreditati ai sensi dell'Articolo 28 del testo unico, devono utilizzare l'algoritmo RSA (Rivest-Shamir-Adleman) con lunghezza delle chiavi non inferiore a 1024 bit.

2. In attesa della pubblicazione delle funzioni di hash secondo quanto previsto dall'Articolo 3, i certificatori accreditati ai sensi dell'Articolo 28 del testo unico devono utilizzare uno dei seguenti algoritmi, definiti nella norma ISO/IEC 10118-3:1998 e successive evoluzioni:

a) dedicated hash-function 3, corrispondente alla funzione SHA-1;

b) dedicated hash-function 1, corrispondente alla funzione RIPEMD-160.

3. In attesa che la Commissione europea, secondo la procedura di cui all'Articolo 9 della direttiva 1999/93/CE, indichi i livelli di valutazione relativamente alla certificazione di sicurezza dei dispositivi sicuri per la creazione di una firma prevista dall'Articolo 10 del decreto legislativo 23 gennaio 2002, n. 10, tale certificazione é effettuata secondo criteri non inferiori a quelli previsti dal livello di valutazione E3 e robustezza HIGH dell'ITSEC, o dal livello EAL 4 della norma ISO/IEC 15408 o superiori. Sono ammessi livelli di valutazione internazionalmente riconosciuti come equivalenti.

4. Il dipartimento disciplina con circolare il riconoscimento e la verifica del documento elettronico; fino all'emanazione della prima circolare continueranno ad applicarsi le regole vigenti adottate dall'Autorità per l'informatica nelle pubbliche amministrazioni.

Articolo 54. Abrogazioni

1. Dall'entrata in vigore del presente decreto é abrogato il decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999, recante le regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici, pubblicato nella Gazzetta Ufficiale 15 aprile 1999, n. 87.

Roma, 13 gennaio 2004
p. Il Presidente: Stanca

Registrato alla Corte dei conti il 19 marzo 2004
Ministeri istituzionali – Presidenza del Consiglio dei Ministri, registro n. 3, foglio n. 16

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, el artículo 119° de la Ley nº 29571, Código de Protección y Defensa del Consumidor, establece la obligación del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual-INDECOPI de llevar un Registro de Infracciones y Sanciones a las disposiciones del mencionado Código, con la finalidad de contribuir a la transparencia de las transacciones entre proveedores y consumidores y orientar a éstos en la toma de sus decisiones de consumo. Los proveedores que sean sancionados mediante resolución firme en sede administrativa quedan automáticamente registrados por el lapso de cuatro (4) años contados a partir de la fecha de dicha resolución. Asimismo, se establece que la información del registro es de acceso público y gratuito;

Que, la Tercera Disposición Complementaria Final de la Ley nº 29571 establece que el Poder Ejecutivo expide las disposiciones reglamentarias sobre lo dispuesto en por el artículo 119º sobre el Registro de Infracciones y Sanciones;

Que, en tal sentido, corresponde aprobar el reglamento del Registro de Infracciones y Sanciones previsto en el artículo 119° de la Ley nº 29571, Código de Protección y Defensa del Consumidor;

De conformidad con el numeral 8) del artículo 118° de la Constitución Política del Perú y la Ley nº 29571, Código de Protección y Defensa del Consumidor;

DECRETA:

Artículo 1º.- Aprobación del Reglamento

Apruébese el Reglamento del Registro de Infracciones y Sanciones a que hace referencia el artículo 119° de la Ley nº 29571, Código de Protección y Defensa del Consumidor, el cual forma parte integrante del presente Decreto Supremo.

Artículo 2º. – Publicación

El presente Decreto Supremo y el Reglamento deberán ser publicados en el Diario Oficial El Peruano, en el Portal del Estado Peruano (www.peru.gob.pe), en el Portal de la Presidencia del Consejo de Ministros (www.pcm.gob.pe) y en el Portal del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (www.indecopi.gob.pe).

Artículo 3º. – Refrendo

El presente Decreto Supremo será refrendado por la Presidenta del Consejo de Ministros.

Dado en la Casa de Gobierno, en Lima, a los trece días del mes de abril del año dos mil once.

ALAN GARCÍA PÉREZ, Presidente Constitucional de la República

ROSARIO DEL PILAR FERNÁNDEZ FIGUEROA, Presidenta del Consejo de Ministros y Ministra de Justicia

REGLAMENTO DEL REGISTRO DE INFRACCIONES Y SANCIONES AL CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR

Artículo 1º. – Objeto

Las infracciones y sanciones a la Ley nº 29571, Código de Protección y Defensa del Consumidor serán consignadas en el Registro de Infracciones y Sanciones, conforme a lo previsto en el artículo 119° de dicho Código.

Artículo 2º. – Implementación y publicación

El Registro de Infracciones y Sanciones se implementa a través de un aplicativo informático y será publicado en el Portal Institucional del INDECOPI, a efectos de viabilizar que la información sea de acceso público y gratuito.

Artículo 3º. – Designación del responsable

Mediante Resolución de Presidencia del Consejo Directivo del INDECOPI se designará al responsable de la publicación y actualización del Registro de Infracciones y Sanciones.

Sin perjuicio de dicha designación, tos correspondientes órganos resolutivos del INDECOPI deberán proporcionar la información al responsable de la publicación y actualización del Registro de Infracciones y Sanciones, relativa a los proveedores que sean sancionados mediante resolución firme en sede administrativa, por infracciones a las disposiciones previstas en el Código de Protección y Defensa del Consumidor.

Para tal efecto, el órgano resolutivo al que le corresponde proporcionar la información actualizada sobre los proveedores sancionados es aquél ante el que la respectiva resolución de sanción adquiera el carácter de firme en sede administrativa.

Artículo 4º. – Contenido del Registro.

El Registro de Infracciones y Sanciones debe contener, como mínimo, la siguiente información:

a) Nombre, razón o denominación social del proveedor sancionado.

b) Nombre comercial del proveedor sancionado.

c) Número del documento de identidad o número de R.U.C. del proveedor sancionado.

d) Sector económico.

e) Materia.

f) Número y fecha de la resolución firme que impuso o confirmó la sanción.

g) Tipo de sanción y monto en caso de multa.

h) Hecho infractor.

Artículo 5º. – Período de publicación.

Los proveedores sancionados mediante resolución firme en sede administrativa quedan automáticamente registrados por el lapso de cuatro (4) años contados a partir de la fecha de dicha resolución.

Artículo 6º. – Implementación del Registro de Infracciones y Sanciones

El INDECOPI contará con un plazo de treinta (30) días hábiles para la implementación del Registro de Infracciones y Sanciones contado a partir del día siguiente de la publicación del presente Reglamento.

Délibération nº 2005-296 du 22 novembre 2005 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en oeuvre par les membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion de leur cabinet (norme simplifiée nº 50).

La Commission nationale de l'informatique et des libertés,

Vu la convention nº 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, notamment son article 8 ;

Vu la loi nº 78-17 du 6 janvier 1978, modifiée par la loi nº 2004-801 du 6 août 2004, relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 11, 22, 23, 24-I et 30 ;

Vu les articles 226-13 et 226-14 du Code pénal relatifs au secret professionnel ;

Vu le code de la santé publique, et notamment son article L. 1111-8 ;

Vu les articles L. 161-29, R. 115-1 et suivants et R. 161-47 du code de la sécurité sociale ;

Vu le décret nº 67-671 du 22 juillet 1967 modifié portant code de déontologie des chirurgiens-dentistes ;

Vu le décret nº 91-776 du 8 août 1991 portant code de déontologie des sages-femmes ;

Vu le décret nº 93-221 du 16 février 1993 relatif aux règles professionnelles des infirmiers et infirmières ;

Vu le décret nº 95-100 du 6 septembre 1995 portant code de déontologie médicale ;

Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, modifiée par la loi nº 2004-801 du 6 août 2004 ;

Vu la délibération nº 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données à caractère personnel ;

En vertu de l'article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants et dont la mise en oeuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés ;

Les traitements informatisés de données à caractère personnel mis en oeuvre par les membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion de leur cabinet sont de ceux qui peuvent, sous certaines conditions, relever de cette définition,

Décide :

Article 1. Champ d'application.

Peuvent bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme les traitements mis en oeuvre par les membres des professions médicales et paramédicales exerçant à titre libéral qui répondent aux conditions définies aux articles 1er à 7 ci-après.

La présente norme ne s'applique ni aux traitements mis en oeuvre par les pharmacies ni aux traitements des laboratoires d'analyses de biologie médicale.

En cas de dépôt chez un hébergeur des données de santé, le traitement mis en oeuvre par le professionnel de santé ne peut être déclaré par référence à la présente norme.

Article 2. Finalités du traitement.

Les traitements sont mis en oeuvre pour faciliter la gestion administrative des cabinets et l'exercice des activités de prévention, de diagnostics et de soins.

Ils n'assurent pas d'autres fonctions que :

– la gestion des rendez-vous ;

– la gestion des dossiers médicaux et l'édition des ordonnances ;

– la gestion et la tenue des dossiers individuels de soins ;

– l'établissement et la télétransmission des feuilles de soins ;

– l'envoi de courriers aux confrères ;

– la tenue de la comptabilité ;

– la réalisation d'études statistiques à usage interne.

Les données personnelles de santé ne peuvent être utilisées que dans l'intérêt direct du patient et, dans les conditions déterminées par la loi, pour les besoins de la santé publique. Toute autre exploitation de ces données, notamment à des fins commerciales, est proscrite.

La constitution et l'utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales sont interdites, dès lors que ces fichiers permettent d'identifier directement ou indirectement un professionnel de santé.

Article 3. Informations collectées et traitées.

Les informations suivantes peuvent être collectées :

a) Identité : nom, prénom, date de naissance, adresse, numéro de téléphone ;

b) Numéro de sécurité sociale : pour l'édition des feuilles de soins et la télétransmission aux caisses d'assurance maladie dans les conditions définies par les articles R. 115-1 et suivants du code de la sécurité sociale ;

c) Situation familiale : situation matrimoniale, nombre d'enfants, nombre de grossesses ;

d) Vie professionnelle : profession, conditions de travail ;

e) Santé : historique médical, historique des soins, diagnostics médicaux, traitements prescrits, nature des actes effectués et tout élément de nature à caractériser la santé du patient et considéré comme pertinent par le professionnel de santé.

Des informations relatives aux habitudes de vie peuvent être collectées avec l'accord du patient et dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins.

Article 4. Destinataires des informations.

Afin d'assurer la continuité des soins et avec l'accord de la personne concernée, les professionnels de santé et dans les établissements de santé, les membres de l'équipe de soins, chargés de la prise en charge du patient peuvent être destinataires des données figurant dans l'application.

Les personnes affectées à la gestion du secrétariat n'ont accès, dans le respect des dispositions sur le secret professionnel, qu'aux informations relatives à la gestion du cabinet et en particulier à la gestion des rendez-vous.

Afin de permettre le remboursement des actes, des prestations et leur contrôle, les personnels des organismes d'assurance maladie ont connaissance, dans le cadre de leurs fonctions et pour la durée nécessaire à l'accomplissement de celles-ci, de l'identité de l'assuré, de son numéro de sécurité sociale et du code des actes effectués et des prestations servies. Outre ces données, les médecins-conseils des caisses accèdent au code des pathologies diagnostiquées dans les conditions définies à l'article L. 161-29 du code de la sécurité sociale.

Les personnels des organismes d'assurance maladie complémentaire sont destinataires, dans le cadre de leurs attributions, de l'identité de leurs assurés, de leur numéro de sécurité sociale et, sous la forme de codes regroupés, aux catégories des actes et prestations effectués.

Les organismes de recherche dans le domaine de la santé et les organismes spécialisés dans l'évaluation des pratiques de soins peuvent être destinataires de données personnelles de santé dans les conditions définies par la loi du 6 janvier 1978 modifiée.

Article 5. Durée de conservation.

Les informations enregistrées ne peuvent être conservées dans l'application au-delà d'une durée de cinq ans à compter de la dernière intervention sur le dossier du patient. A l'issue de cette période, elles sont archivées sur un support distinct et peuvent être conservées pendant quinze ans dans des conditions de sécurité équivalentes à celles des autres données enregistrées dans l'application.

Les doubles des feuilles de soins électroniques doivent être conservées quatre-vingt-dix jours conformément à l'article R. 161-47 du code de la sécurité sociale.

Article 6. Information et droit d'accès.

Conformément aux dispositions à la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, les personnes dont les données sont enregistrées et conservées dans le fichier du cabinet sont informées, par un document affiché dans les locaux du cabinet médical ou paramédical ou remis en main propre, de l'identité du responsable du traitement, de sa finalité, des destinataires des informations et des modalités pratiques d'exercice de leurs droits, en particulier du droit d'accès aux informations qui les concernent.

Article 7. Politique de confidentialité et sécurités.

Des mesures de sécurité physique et logique sont mises en place afin de préserver la confidentialité des informations couvertes par le secret médical et empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Le professionnel de santé accède à l'application en utilisant sa carte de professionnel de santé. Les personnels placés sous l'autorité du professionnel de santé doivent également disposer d'une carte d'accès personnelle ou d'un mot de passe personnel.

En cas d'utilisation du réseau internet pour transmettre des données personnelles de santé, un système de chiffrement » fort » de la messagerie doit être mis en place. En outre, un antivirus doit être installé et mis à jour régulièrement afin de se prémunir des risques de captation des données.

Le professionnel de santé précise par écrit, dans un protocole de confidentialité, les mesures effectivement mises en oeuvre. Ce protocole est communiqué à la CNIL à sa demande.

Article 8. La présente délibération sera publiée au Journal officiel de la République française.

Fait à Paris, le 22 novembre 2005.

Le président, A. Türk

Dictamen 3/99 relativo a la Información del sector público y protección de datos personales. Contribución a la consulta iniciada con el Libro Verde de la Comisión Europea Titulado La información del sector público: un recurso clave para Europa» COM(1998) 585, Aprobado el 3 de mayo de 1999 por el Grupo de trabajo sobre la protección de las personas físicas en loq ue respecta al tratamiento de datos personales (WP 20).

WP 20 Grupo de Protección de las Personas en lo que respecta al Tratamiento de Datos Personales

Dictamen 3/99 relativo a Información del sector público y protección de datos personales

Contribución a la consulta iniciada con el Libro Verde de la Comisión Europea titulado

«La información del sector público: un recurso clave para Europa» COM(1998) 585

Aprobado el 3 de mayo de 1999

INTRODUCCIÓN Y OBSERVACIONES PRELIMINARES:

1. La Comisión Europea sometió a consulta pública un Libro Verde sobre «La información del sector público: un recurso clave para Europa»(1). El principal objetivo de este Libro Verde es promover un debate sobre cómo hacer más accesible a los ciudadanos y a las empresas la información que posee el sector público, así como sobre la posible necesidad de armonizar las normas nacionales en este ámbito. Este documento parece ampliamente inspirado por la reivindicación de entidades privadas que desean disponer de un acceso al menor coste posible a la información pública e impugnan el mantenimiento de monopolios públicos en este ámbito.

Una de las cuestiones tratadas por el Libro Verde atañe a la disponibilidad de la información del sector público, es decir, de una categoría particular de datos llamados «públicos»: aquellos que, estando en posesión de organismos del sector público, se harían públicos en virtud de normas o de un uso(2) cuyo fundamento implícito o explícito puede residir en una voluntad de transparencia del estado respecto a sus ciudadanos(3).

No se ignora en este documento la protección de los datos personales, aunque aparentemente no constituye su principal razón de ser.

El apartado 111 (III. 7, página 17) menciona explícitamente que la Directiva 95/46/CE sobre protección de datos personales(4) «establece normas vinculantes tanto para el sector público como para el privado y [ … ] es de obligado cumplimiento en los casos de datos personales en manos del sector público.

El apartado 114 destaca que «El crecimiento de la sociedad de la información puede plantear nuevos riesgos para la intimidad del particular si se facilita el acceso a los registros públicos en formato electrónico (especialmente en línea y a través de Internet) y en grandes cantidades».

Con todo, el Libro Verde en su conjunto suscita varias ambigüedades sobre la fuerza de esta convicción.

(1) COM(1998) 585, disponible en la siguiente dirección: http://www.echo.lu/legal/en/acces.html.

(2) Parece poder hacerse una distinción entre la publicidad ordenada por una legislación, el acceso a la información autorizado por ley y situaciones en las que la cuestión de la publicidad o del acceso es consecuencia de un requerimiento formulado por particulares o empresas respecto al sector público sin que la regule una ley.

(3) El presente dictamen no trata, pues, de la otra acepción – más amplia – del término «dato llamado «público»»: la que comprende el conjunto de los datos tratados por las administraciones públicas.

(4) Directiva del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; DO L 281 de 23/11/95 pág. 31-51 Disponible en la dirección siguiente: http://www.europa.eu.int/comm/dg15/fr/media/dataprot/index.htm.

En primer lugar, la utilización (en la versión inglesa) del término «publicly available» (públicamente disponible) es propicia a la concepción de que los datos hechos públicos quedarían, así, disponibles para cualquier uso. Obsérvese que el principio de finalidad, pilar de nuestras legislaciones de protección de datos, se combina mal con el adjetivo «disponible».

Además el principio de la lealtad de la recogida – garantizado, entre otras cosas, por la exigencia de seguridad en el tratamiento de los datos – podría verse afectado por el hecho de que un dato se haga público de forma descuidada e irreflexiva. Por ello convendría que la expresión «publicly available» se sustituya por otra más apropiada e inequívoca (por ejemplo «publicly accesible»)

En segundo lugar, de la pregunta n_ 7 («Los problemas de intimidad ¿merecen especial atención en lo que atañe a la explotación de la información del sector público?», página 17) se podría deducir que la recapitulación de los preceptos de la Directiva 95/46/CE no conduce tan firmemente como se habría podido imaginar a conclusiones precisas sobre este punto, al mismo tiempo que se precisa (apartado 111) que la Directiva 95/46/CE «consigue el equilibrio necesario entre el principio de acceso a la información del sector público y la protección de los datos personales». Estas ambigüedades deberían desaparecer.

2. En este contexto, el presente dictamen tiene por objetivo alimentar la reflexión sobre la dimensión de la protección de los datos personales, esencial cuando se pretende facilitar el acceso a datos del sector público que se refieren a personas físicas. No pretende sin embargo ofrecer todas las respuestas a las cuestiones que plantea en cada caso la conciliación entre el objetivo de facilitar el acceso a los datos del sector público, fundada en la voluntad de reforzar la transparencia de los Estados respecto a los ciudadanos, y la protección de los datos personales, tal como se define en la Directiva 95/46/EC.

Este dictamen no tratará por tanto de las cuestiones planteadas por el Libro Verde que parecen sobrepasar la mera puesta a disposición de terceros de la información del sector público, como por ejemplo el punto de vista expresado en el apartado 56 (II 2, página 10) «la utilización de las nuevas tecnologías podrá aumentar considerablemente la eficacia de la recogida de la información. Proporciona a los entes públicos la posibilidad de compartir la información disponible, cuando ello sea conforme con las normas de protección de datos».

Su objetivo es proporcionar, basándose en la Directiva 95/46/CE, así como en experiencias concretas recogidas con fines pedagógicos en el ámbito de los registros más conocidos de datos personales hechos públicos, un primer conjunto de puntos de referencia que conviene tener en cuenta cuando se toman decisiones concretas. Estos puntos de referencia y ejemplos concretos recogidos en distintos Estados miembros están destinados a ilustrar cómo deben considerarse en la sociedad de la información las normas de protección de datos cuando se trate de datos procedentes de registros públicos y a indicar algunas de las medidas de carácter técnico u organizativo que pueden contribuir (sin que por ello pretendan garantizar una protección sin fallas) a conciliar la publicidad de estos datos y el respeto de las disposiciones de protección de datos personales, sobre todo el de las relativas al principio fundamental en este tema, a saber, el principio de finalidad para la cual los datos se hacen públicos en el caso que aquí nos interesa.

I – LAS NORMAS DE PROTECCIÓN DE DATOS SE APLICAN A LOS DATOS PERSONALES HECHOS PÚBLICOS

La accesibilidad de las informaciones que dependen del sector público, sobre todo a través de la informatización preconizada por el Libro Verde, plantea el problema de saber de qué modo se utilizan estas informaciones. La solución no está en prohibir su utilización, la evolución de nuestras sociedades no va en ese sentido. Tampoco van en ese sentido nuestras legislaciones de protección de datos, garantes del acompañamiento de la informatización de la sociedad y no de su prohibición.

Por lo demás, afirmar la aplicabilidad de nuestras leyes de protección de datos a los datos personales hechos públicos, no es más que la expresión de una evidencia que deriva de los textos sobre protección de datos: un dato de carácter personal, incluso hecho público, sigue siendo un dato de carácter personal y goza, por lo tanto, de protección.

Esta afirmación implica necesariamente determinar cuál es la protección que se ofrece al dato de carácter personal hecho público. A este respecto, la Directiva 95/46/CE ya da algunas respuestas.

Directiva del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;

La Directiva permite tener en cuenta, en la aplicación de las normas que establece, el principio del derecho de acceso del público a los documentos administrativos(5) así como otros elementos pertinentes para la discusión (6).

Así el principio de finalidad exige que los datos personales se recojan para finalidades determinadas, explícitas y legítimas y no se traten posteriormente de manera incompatible con ellas.7 Este principio desempeña pues un papel central en la accesibilidad de datos personales en el sector público.

Conviene, sobre todo, determinar caso por caso en qué medida una ley exige o autoriza la publicación o el acceso por el público a datos personales: ¿contempla una accesibilidad íntegra e ilimitada en el tiempo, permite una utilización de esos datos con cualquier objetivo independientemente de la finalidad inicial o, al contrario, prevé la accesibilidad solamente a ciertas partes y/o una utilización vinculada a la finalidad para la cual el dato se hizo público?

Por lo tanto, no existe una sola categoría de datos personales, destinados a hacerse públicos, que deba tratarse uniformemente desde el punto de vista de la protección de datos, sino que conviene más bien proceder a un análisis por grados en la delimitación de los derechos del  individuo al que los datos se refieren y de los derechos del público a acceder a esa información. Aunque el acceso a los datos pueda ser público, puede estar sujeto a condiciones (como la justificación de un interés legítimo) y su explotación, con fines comerciales por ejemplo, o por los medios de comunicación, puede restringirse. Los ejemplos siguientes van a ilustrar estas cuestiones.

(5) Véase el considerando 72. Conviene tener en cuenta para el debate que la Directiva no contiene definición del término «documentos administrativos», pero que puede entenderse en un sentido amplio que permite cubrir al menos las «informaciones administrativas» previstas por el Libro Verde en su propuesta de clasificación de las informaciones (apartado 73 y siguiente, página 12).

(6) Véase el artículo 10 y considerando 37 de la Directiva 95/46/CE sobre la conciliación del derecho a la intimidad con las normas que regulan la libertad de expresión. Véase también la Recomendación 1/97 del Grupo sobre «Legislación sobre protección de datos y medios de comunicación», adoptada el 25.2.1997 (documento 5012/9, disponible en las 11 lenguas en la dirección indicada en nota 1).

(7) Véase para mayor detalle la letra b) del apartado 1 del artículo 6 de la Directiva 95/46/EC.

Es útil recordar aquí que independientemente de una eventual publicación de datos personales, la persona interesada tiene siempre derecho de acceso a sus datos y el derecho a exigir, cuando proceda, su rectificación o el borrado de datos cuyo tratamiento no se ajuste a lo dispuesto en la Directiva debido, sobre todo, a su carácter incompleto o inexacto(8).

Cierto es que distintos preceptos de la Directiva hacen referencia explícita al carácter público de un dato. Dos de estos preceptos merecen ser citados con todos sus matices.

(8) Véase artículo 12 de la Directiva 95/46/EC. El artículo 18.3, que impone que los tratamientos se notifiquen a la autoridad de control, permite una excepción a esta obligación en caso de registros que, «en virtud de disposiciones legislativas o reglamentarias se destinen a información del público y estén abiertos a la consulta pública». Aunque los considerandos 50 y 51 de la Directiva precisan que estas excepciones o simplificaciones no se aplican a los tratamientos cuyo único objetivo (1ª  condición) sea mantener un registro destinado, de acuerdo con el derecho nacional, a la información del público (2ª  condición) y que están abiertos a consulta pública o a cualquier persona que justifique interés legítimo (3ª  condición), sin que el beneficio de tales excepciones exima al responsable del tratamiento de ninguna de las demás obligaciones que se derivan de la Directiva.

Por último, la letra f) del artículo 26, que constituye una excepción a la exigencia de un nivel adecuado de protección para los datos objeto de transferencia hacia terceros países cuando la transferencia no ofrezca ese nivel de protección siempre que se realice «a partir de un registro destinado a información del público». Sin embargo, el considerando 58 de la Directiva limita el alcance de la transferencia precisando que no debe referirse a la totalidad de los datos ni a las categorías de datos contenidos en este registro y que, cuando proceda efectuarla, la transferencia sólo debe poder realizarse a petición de las personas con un interés legítimo.

Pero resulta claramente de estos preceptos y precisiones que si bien la protección de los datos personales no debe constituir un obstáculo al derecho de los ciudadanos a tener acceso a los documentos administrativos en las condiciones previstas por cada legislación nacional, la Directiva no pretende sin embargo privar de toda protección a los datos accesibles al público.

El debate referente a la cuestión de si es necesario armonizar las normas nacionales sobre el acceso a la información del sector público debe en cualquier caso tener en cuenta las normas armonizadas sobre protección de datos personales, así como de las medidas nacionales de transposición correspondientes.

Además de la misión de la Comisión de velar por la aplicación de la Directiva 95/46/CE, corresponderá al Grupo creado por el artículo 29 de la misma apreciar concretamente el alcance de las disposiciones nacionales adoptadas en su aplicación en los casos precisos que puedan revelar divergencias a escala nacional.(9)

B – Ejemplos de conciliación de las normas de la protección de los datos personales y del acceso a la información del sector público Algunas legislaciones supeditan la difusión de la información del sector público a ciertas finalidades que pueden llevar, sea a prohibir el acceso a determinados datos, o a ponerle condiciones, sea a prohibir algunas formas de utilización de los mismos.

Ahora bien, la digitalización de las informaciones y las posibilidades de búsqueda en texto íntegro pueden, sin embargo, multiplicar ad infinitum las posibilidades de interrogación y selección, sin olvidar que la difusión por Internet aumenta los riesgos de captación y desvío de uso. Además, la aproximación a datos hechos públicos a partir de fuentes diferentes, cuando éstas se ponen a disposición del público, se ve facilitada en gran medida por la digitalización de los datos y permite, sobre todo, establecer perfiles sobre la situación o el comportamiento de los individuos(10). También es conveniente prestar una atención especial al hecho de que, al poner así datos personales a disposición del público, se beneficia a las nuevas técnicas de «data warehousing» y «data mining». Estos métodos permiten recoger datos sin ninguna especificación a priori de la finalidad, y es sólo en fase de la explotación cuando se definen las distintas finalidades. Por lo tanto, es necesario tener en cuenta todo lo que es técnicamente posible hacer con los datos(11).

Esta es la razón por la que es conveniente comprobar, caso por caso, cuáles podrían ser las repercusiones negativas sobre el individuo antes de tomar cualquier decisión de difusión en soporte digital. Según los casos, conviene, o bien decidir no difundir ciertos datos personales, o bien someter la difusión a la valoración de la persona en cuestión o a otras condiciones.

(9) Véanse los artículos 29 y 30 de la Directiva 95/46/EC.

(10) Convendría señalar que el uso de estas tecnologías confiere también al estado la posibilidad de establecer tales perfiles.

(11) Otro ejemplo: gracias al cotejo electrónico de dos bancos, se puede obtener más fácilmente informaciones negativas sobre tal o cual persona, por ejemplo: el cotejo del censo de población (si existe) y de los padrones electorales permite identificar a las personas que no tienen derecho de voto.

1 – Bases de datos de jurisprudencia:

El apartado 74 del Libro Verde (página 11) que hace particular referencia a los procesos judiciales para ilustrar el concepto de información fundamental para el funcionamiento de la democracia», plantea una cuestión de fondo. En efecto, ¨se puede concebir que todos los juicios de todos los órganos jurisdiccionales estén disponibles en Internet sin perjuicio para las personas?

Instrumentos de documentación jurídica, las bases de datos de jurisprudencia pueden convertirse, si no se toman precauciones particulares, en ficheros de información sobre personas si se consultan, no para conocer una jurisprudencia, sino para obtener, por ejemplo, todas las decisiones judiciales que se refieren a una misma persona.

La Comisión de Protección de la Vida Privada (Bélgica), en un dictamen de 23 de diciembre de 1997, puso vigorosamente en evidencia que «la evolución tecnológica debe ir acompañada de una mayor contención en cuanto a la mención de la de identificación de las partes en los anales de jurisprudencia». Propone que a falta de una completa omisión de la identificación de las partes, las decisiones judiciales accesibles al público en general no estén indexadas a partir del nombre de las partes, con el fin de impedir las búsquedas a partir de este criterio.

La Comisión de protección de datos personales italiana(12) prevé proponer a escala nacional que las partes tengan un derecho de oposición a la publicación de sus nombres respectivos en las bases de datos de jurisprudencia. Este derecho podría ejercerse en cualquier momento y tenerse en cuenta en las actualizaciones de bases de datos divulgadas en soporte magnético.

El ejercicio de este derecho no tendría efectos retroactivos para las publicaciones en papel.

En Francia, el Ministerio de Justicia, que pretende difundir las bases de datos de jurisprudencia en Internet, impuso, en el pliego de condiciones, que las decisiones judiciales se hiciesen anónimas.

2 – Algunos textos oficiales:

La difusión de informaciones en Internet implica una plétora de información a escala mundial y una multiplicación de las fuentes. Este cambio de escala geográfico puede originar un riesgo específico. En efecto, la difusión de una información legítimamente pública en un país puede, a escala mundial, causar graves ataques a la intimidad o a la integridad física de las personas. Esto sucede, cuando, por ejemplo, las decisiones de naturalización son objeto de publicación oficial obligatoria. Tal es el caso en Francia donde, siguiendo en este aspecto el dictamen de la Comisión Nacional de Informática y Libertades (CNIL), el gobierno francés, cuando el «Journal Officiel» se puso en Internet, excluyó estos textos de la difusión, con el fin de evitar a algunos nacionales que habían renunciado a su nacionalidad de origen el riesgo de incurrir en posibles represalias.

(12) Garante per la protezione dei dati personali

Podemos observar que, en algunos casos, la voluntad de transparencia de un Estado, y en particular de sus nacionales, puede adaptarse mal a la difusión a escala planetaria de tales informaciones.

3 – Otros ejemplos de difusión de datos personales hechos condicionalmente públicos con miras a proteger a la persona interesada:

Las condiciones de acceso a los datos personales contenidos en registros pueden ser muy variadas, según las normativas: por ejemplo, acceso parcial a los datos del registro, comprobación de un interés legítimo, prohibición de uso comercial.

En Alemania, todas las listas de candidatos a una elección federal deben contener nombre y apellido, profesión o situación, día, lugar de nacimiento y dirección. Sin embargo, en las listas hechas públicas antes del escrutinio por el responsable local o del Estado Federado encargado de la organización de las elecciones federales, el día de nacimiento se sustituye por el año de nacimiento.

En Italia, la legislación relativa al registro de empadronamiento que realiza cada municipio prevé la prohibición de comunicar datos a organismos privados y la obligación, por parte de cualquier administración que pueda solicitar la comunicación de datos, de aportar la prueba de un interés público pertinente.

En Francia, el padrón electoral es público a fin de poder auditar su regularidad. La ley permite la utilización con fines políticos por todos los candidatos y todos los partidos y prohíbe el uso comercial. No sería concebible, por tanto, que los padrones electorales pudieran difundirse por Internet.

Del mismo modo, en Francia, los datos personales contenidos en el catastro son públicos, pero está prohibido el uso comercial.

En Grecia, el sistema actual de catastro, organizado sobre la base de un registro alfabético de propietarios de bienes inmuebles, se sustituirá por un registro basado en la definición del bien inmueble, con el fin de impedir que las búsquedas se refieran a los conjuntos de bienes inmueble que pertenecen a una misma persona. Para tener acceso al catastro debe poderse justificar un interés legítimo.

II – LAS NUEVAS TECNOLOGÍAS PUEDEN CONTRIBUIR A CONCILIAR LA PROTECCIÓN DE DATOS PERSONALES Y SU PUBLICIDAD

Sin dejar de favorecer el acceso a los datos públicos, entre otras cosas mediante su «puesta en línea», las nuevas tecnologías y ciertas medidas administrativas de acompañamiento pueden facilitar el respeto de los principios esenciales de la protección de datos, como son el principio de finalidad, el de información y los derechos de oposición o de seguridad.

No obstante, la utilización de estas tecnologías no presenta una garantía absoluta contra el riesgo de abuso y desvío de principios de protección de datos personales tal como ya se ha descrito.

A – Las condiciones técnicas de acceso a la información del sector público deben contribuir al respeto del principio de finalidad

Habida cuenta de las condiciones de accesibilidad digital del público, es ciertamente muy difícil garantizar en la práctica la especificación de la finalidad, pero un uso ponderado y bien orientado de la técnica debería contribuir a lograr este objetivo. Conviene para ello comprobar y definir en cada caso las condiciones de interrogación. A este respecto, debería aplicarse el principio siguiente: «cualquiera puede acceder a cualquier dato individualmente, en las condiciones autorizadas, pero no a todos los datos en conjunto». La elección de los criterios de búsqueda que deben introducirse debe excluir cualquier abuso en situación normal. Conviene por otro lado comprobar si no es posible orillar «el obstáculo» obteniendo informaciones complementarias en otras fuentes.

Esta es la razón por la que la consulta en línea de bancos de datos puede ser objeto de restricciones con miras a prevenir el desvío de la finalidad para la cual se hacen públicos los datos. Estas medidas, adaptadas a cada caso, pueden consistir, por ejemplo, en limitar el campo de búsqueda o los criterios de interrogación.

Podemos observar que, en Francia, los extractos de partida de nacimiento son accesibles a cualquier persona que disponga de la identidad, la fecha y el lugar de nacimiento de una persona. El CNIL supeditó la consulta en línea de estos extractos a la condición de que la demanda en línea implique el conjunto de estas informaciones. La determinación de criterios restrictivos de interrogación de la base puede evitar la recogida masiva de este tipo de registros para fines comerciales respetando la finalidad de la accesibilidad.

En Francia también, el listín telefónico publicado en soporte telemático se podía consultar a partir de las primeras letras del nombre, lo que hacía más fácil su descarga completa y su utilización comercial contra la voluntad de algunos abonados que se oponían a este uso. Hacer imposible este tipo de búsqueda en Minitel e Internet permitió prevenir posibles desvíos de finalidad operados por este medio.

En los Países Bajos, los CD-ROM destinados a la difusión de la guía telefónica se concibieron de tal forma que se pudiese impedir la obtención del nombre y la dirección de una persona sabiendo su número de teléfono (no es posible la interrogación de la base de datos a partir únicamente del campo número de teléfono).

Del mismo modo, las bases de datos relativas a los registros de empresas no deben poder interrogarse según el criterio del nombre de una persona, pues ello podría conducir a una búsqueda de todas las empresas en las que figura dicha persona.

B Promover la utilización de instrumentos técnicos que puedan impedir la captación automatizada de datos accesibles en línea

Se podría citar el protocolo de exclusión de los motores de investigación (The Robots Exclusion Protocol) que tiene por objeto impedir la indexación automatizada por un motor de búsqueda de la totalidad o una parte de las páginas de un sitio. En cualquier caso, estos métodos sólo podrán ser eficaces si se informa a los diseñadores de parajes y los internautas de su existencia y si los motores de búsqueda los respetan. Algunas sociedades editoras de motores de búsqueda declaran respetar este protocolo.

III. Utilización comercial

Inicialmente los datos personales en el sector público se recogían y se trataban con objetivos precisos y, en principio, sobre la base de una normativa. A veces la recogida era obligatoria, otras veces era una condición para acceder a un servicio público. El ciudadano interesado no espera inevitablemente que los datos que le conciernen se hagan públicos y se utilicen con fines comerciales. Esta es una de las razones por las cuales algunas legislaciones nacionales permiten el acceso a la información del sector público, prohibiendo, sin embargo, la utilización comercial de esa información, incluyendo los datos personales (13).

Desde el punto de vista de la Directiva 95/46/CE(14), se plantea la cuestión de saber si la utilización comercial debe considerarse como una finalidad incompatible con aquélla para la cual se recogieron inicialmente los datos y, en caso de que la respuesta sea afirmativa, la cuestión de saber bajo qué condiciones podría considerarse posible la utilización comercial.

Si se admite la publicación y la comercialización de la información del sector público(15), es necesario respetar algunas normas y plantearse caso por caso la cuestión de cómo reconciliar efectivamente el respeto del derecho a la intimidad con los intereses comerciales de los agentes.

(13) Véase Anexo 1 del Libro Verde: Situación actual en los Estados miembros por lo que se refiere a la legislación y las políticas relativas al acceso a la información del sector público, página 21 y siguientes.

(14) Véase apartado 1 del artículo 6 b de la Directiva 95/46/EC.

(15) Conviene señalar que algunos consideran que, dado que la reunión de distintos datos permite establecer perfiles personales, sería necesario prohibir la utilización comercial de los datos de carácter personal o por lo menos limitarla y sancionar las infracciones. Por lo que se refiere a los datos de carácter personal extraídos de fuentes oficiales, no hay ninguna excepción a la obligación de informar a la persona interesada (artículo 11 de la Directiva).

La Directiva 95/46/EC reconoce a la persona interesada el derecho a recibir información del tratamiento de los datos que le conciernen así como, cuando menos, el derecho a oponerse al tratamiento legítimo. Los ciudadanos deben pues ser informadas de la finalidad de comercialización y poder oponerse a tal utilización mediante procedimientos simples y eficaces(16).

En este aspecto, hay aún muchos progresos por hacer. La multiplicidad de fuentes de divulgación de datos, el gran número de agentes, la posibilidad de teledescarga, conducen a defender la idea de una ventanilla única de protección de datos que evite que los ciudadanos tengan de efectuar en multitud de ocasiones la misma diligencia ante el conjunto de los agentes. Eso es lo que ocurre, en varios Estados Miembros, con las listas telefónicas.

Es la razón también por la cual, el CNIL(17) recomendó que todos los editores de listas telefónicas identifiquen para todos los soportes de publicación (papel, CD-ROM, Minitel o Internet) a los suscriptores que hayan ejercido su derecho a oponerse a la utilización de sus datos con fines comerciales.

Esta idea de ventanilla única parece esencial, tanto desde el punto de vista del respeto de los derechos de las personas, como desde el punto de vista de los agentes comerciales que deseen utilizar datos personales.

La conciliación del derecho a la intimidad y de los intereses comerciales de los agentes podría también conducir a que fueran necesarios el consentimiento de la persona(18), o incluso medidas legislativas o reglamentarias, como puede ilustrarse con el siguiente ejemplo:

En un dictamen relativo a la comercialización de datos resultantes de licencias de construcción, la Comisión belga de protección de la intimidad consideró que una nueva finalidad (a saber, la comercialización de los tratamientos de las autoridades públicas), para ser lícita, debe estar legitimada por un fundamento legal o reglamentario que la defina de manera suficientemente precisa. A falta de tal legitimación, la Comisión considera que el interés que persigue la comunicación de los datos a terceros no prevalece sobre el derecho al respeto de la intimidad de la persona cuyos datos se comunican. Una tercera posibilidad consiste en la obtención del consentimiento del interesado para la finalidad de comercialización. Debe darse este consentimiento inequívocamente y con conocimiento de causa, habida cuenta del hecho de que quien desea obtener una licencia de construcción está obligado a presentar un expediente que responde a determinadas condiciones.

Más adelante, en el mismo dictamen, esta comisión belga describe la información de las personas, haciendo hincapié más concretamente en la existencia de un derecho de oposición, a requerimiento y de forma gratuita si los datos se hubieran obtenido con fines de comercialización directa.

(16) Véase artículos 10, 11 y 14 de la Directiva 95/46/EC.

(17) Comisión Nacional de Libertades e Informática, Francia.

(18) Véase artículos 2 h), 7a y 8 de la Directiva 95/46/EC relativa a la definición de «consentimiento» así como la exigencia de formas específicas de consentimiento según el caso

CONCLUSIÓN:

El legislador, cuando desea que un dato se vuelva accesible al público no considera sin embargo que haya de convertirse en res nullius. Tal es la filosofía del conjunto de nuestras legislaciones. El carácter público de un dato de carácter personal, resulte de una normativa o de la voluntad de la propia persona a la que alude el dato, no priva, ipso facto y para siempre, a dicha persona de la protección que le garantiza la ley en virtud de los principios fundamentales de defensa de la identidad humana.

En el debate desarrollado en el marco de la consulta sobre el Libro Verde y en las conclusiones que de él se deriven, es conveniente tener en cuenta, sobre todo, los aspectos y cuestiones siguientes con el fin de reconciliar el respeto del derecho a la intimidad y a la protección de los datos personales de los ciudadanos con el derecho del público a acceder a la información del sector público:

_ valoración caso por caso de la cuestión de si un dato de carácter personal puede publicarse / hacerse accesible o no, y en caso afirmativo, en qué condiciones y en qué soporte (digitalización o no, difusión en Internet o no, etc.),

_ principios de finalidad y legitimidad,

_ información de la persona en cuestión,

_ derecho de oposición de la persona en cuestión,

_ utilización de las nuevas tecnologías para contribuir al respeto del derecho a la intimidad. Estas directrices parecen imponerse no solamente en las situaciones en las que existe una normativa relativa a la publicidad o el acceso, sino también en aquéllas en las que no parecen ser necesarias medidas reglamentarias para satisfacer la solicitud formulada por el público de acceder a información del sector público, incluidos los datos personales(19).

Pendiente de las conclusiones de la Comisión Europea sobre la consulta en curso, el Grupo manifiesta ya desde ahora su gran interés en seguir contribuyendo a los trabajos previstos en este ámbito, así como en aquéllas cuestiones que se refieren a la puesta a disposición de terceros de las informaciones del sector público que sobrepasen el marco estricto del Libro Verde(20).

(19) Véase nota de la página 2.

(20) Véase por ejemplo lo dicho acerca del apartado 56 (página 9 del Libro Verde) sobre la posibilidad de recogida y reparto de información así como el apartado 123 (página 19) referente a propuestas de actuación para el intercambio de información entre entidades del sector público.

Hecho en Bruselas, el 7 de mayo de

1999.

Por el Grupo

Peter HUSTINX

Presidente

(Udvidelse af adgangen til tv-overvågning for kommuner)

VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt: Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov:

§ 1

I lov om tv-overvågning, jf. lovbekendtgørelse Nr. 1190 af 11. oktober 2007, som ændret ved lov Nr. 713 af 25. juni 2010, foretages følgende ændring:

1.- Efter § 2 indsættes:

«§ 2 a.- En kommunalbestyrelse kan efter drøftelse med politidirektøren med henblik på at fremme trygheden foretage tv-overvågning af offentlig gade, vej, plads eller lignende område, som benyttes til almindelig færdsel, og som ligger i nær tilknytning til et område, der tv-overvåges i medfør af § 2, stk. 2.»

§ 2

I lov Nr. 429 af 31. maj 2000 om behandling af personoplysninger, som ændret senest ved § 2 i lov Nr. 503 af 12. juni 2009, foretages følgende ændring:

1.- Efter § 26 c indsættes i kapitel 6 a:

«§ 26 d.- En kommune må kun behandle billedoptagelser med personoplysninger, der optages i forbindelse med tv-overvågning omfattet af § 2 a i lov om tv-overvågning, hvis

1)　den registrerede har givet sit udtrykkelige samtykke til behandlingen eller

2)　behandlingen sker med henblik på at fremme trygheden for personer, som færdes i det tv-overvågede område.

Stk. 2.– Optagelser som nævnt i stk. 1 må videregives i de tilfælde, der er nævnt i § 26 a, stk. 1.

Stk. 3.– Optagelser som nævnt i stk. 1 skal slettes, senest 30 dage efter at optagelserne er foretaget.»

§ 3

Loven træder i kraft den 1. juli 2011.

§ 4

Stk. 1.– Loven gælder ikke for Færøerne og Grønland.

Stk. 2.– Loven kan ved kongelig anordning sættes i kraft for Grønland med de afvigelser, som de grønlandske forhold tilsiger.

Givet på Amalienborg, den 10. maj 2011

Under Vor Kongelige Hånd og Segl

MARGRETHE R.

Lars Barfoed

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o Artigo 62 da Constituição, adota a seguinte Medida Provisória, com força de lei:

 Artigo 1º.- Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.

Artigo 2º.- A ICP-Brasil, cuja organização será definida em regulamento, será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz – AC Raiz, pelas Autoridades Certificadoras – AC e pelas Autoridades de Registro – AR.

Artigo 3º.- A função de autoridade gestora de políticas será exercida pelo Comitê Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República e composto por onze membros, sendo quatro representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da República, e sete representantes dos seguintes órgãos, indicados por seus titulares:

I.-　Casa Civil da Presidência da República;

II.-　Gabinete de Segurança Institucional da Presidência da República;

III.-　Ministério da Justiça;

IV.-　Ministério da Fazenda;

V.-　Ministério do Desenvolvimento, Indústria e Comércio Exterior;

VI.-　Ministério do Planejamento, Orçamento e Gestão;

VII.-　Ministério da Ciência e Tecnologia.

§ 1º A coordenação do Comitê Gestor da ICP-Brasil será exercida pelo representante da Casa Civil da Presidência da República.

§ 2º Os representantes da sociedade civil serão designados para períodos de dois anos, permitida a recondução.

§ 3º A participação no Comitê Gestor da ICP-Brasil é de relevante interesse público e não será remunerada.

§ 4º O Comitê Gestor da ICP-Brasil terá uma Secretaria-Executiva, na forma do regulamento.

Artigo 4º.- O Comitê Gestor da ICP-Brasil será assessorado e receberá apoio técnico do Centro de Pesquisa e Desenvolvimento para a Segurança das Comunicações – CEPESC.

Artigo 5º,. Compete ao Comitê Gestor da ICP-Brasil:

I.-　adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil;

II.-　estabelecer a política, os critérios e as normas para licenciamento das AC, das AR e dos demais prestadores de serviços de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;

III.-　estabelecer a política de certificação e as regras operacionais da AC Raiz;

IV.-　homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço;

V.-　estabelecer diretrizes e normas para a formulação de políticas de certificados e regras operacionais das AC e das AR e definir níveis da cadeia de certificação;

VI.-　aprovar políticas de certificados e regras operacionais, licenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado;

VII.-　identificar e avaliar as políticas de ICP externas, quando for o caso, certificar sua compatibilidade com a ICP-Brasil, negociar e aprovar acordos de certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras formas de cooperação internacional;

VIII.-　atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança.

Artigo 6º.- À AC Raiz, primeira autoridade da cadeia de certificação, executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil, compete emitir, manter e cancelar os certificados das AC de nível imediatamente subseqüente ao seu, gerenciar a lista de certificados emitidos, cancelados e vencidos, e executar atividades de fiscalização e auditoria das AC e das AR e dos prestadores de serviço habilitados na ICP, em conformidade com as diretrizes estabelecidas pelo Comitê Gestor da ICP-Brasil.

Parágrafo único.- É vedado à AC Raiz emitir certificados para o usuário final.

Artigo 7º.- O Instituto Nacional de Tecnologia da Informação do Ministério da Ciência e Tecnologia é a AC Raiz da ICP-Brasil.

Parágrafo único.- Para a consecução de seus objetivos, o Instituto Nacional de Tecnologia da Informação poderá, na forma da lei, contratar serviços de terceiros.

Artigo 8º.- Às AC, entidades autorizadas a emitir certificados digitais vinculando determinado código criptográfico ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados e as correspondentes chaves criptográficas, colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações.

Artigo 9º.- Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários, encaminhar solicitações de certificados às AC e manter registros de suas operações.

Artigo 10.– Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser licenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado.

Artigo 11.– É vedada a certificação de nível diverso do imediatamente subseqüente ao da autoridade certificadora, exceto nos casos de acordos de certificação lateral ou cruzada previamente aprovados pelo Comitê Gestor da ICP-Brasil.

Artigo 12.– Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.

Artigo 13.– A todos é assegurado o direito de se comunicar com os órgãos públicos por meio eletrônico.

Artigo 14.– A utilização de documento eletrônico para fins tributários atenderá, ainda, ao disposto no Artigo 100 da Lei n º 5.172, de 25 de outubro de 1966 – Código Tributário Nacional.

Artigo 15.– Esta Medida Provisória entra em vigor na data de sua publicação.

Brasília, 28 de junho de 2001; 180º da Independência e 113º da República.

FERNANDO HENRIQUE CARDOSO
José Gregori
Pedro Parente

Chapter 1.- General Provisions

Article 1.- In order to protect the rights and interests of the copyright owner of computer software, to regulate the interest relationships arising in the development, dissemination and use of computer software, to encourage the development and application of computer software and to promote the development of software industry and informationization of national economy, these Regulations are enacted in accordance with the Copyright Law of the People’s Republic of China.

Article 2 .-«Computer software» (hereinafter referred to as software) referred to in these Regulations means computer programs and the relevant documentation thereof.

Article 3.- Meanings of the following terms used in these Regulations are:

1) Computer program: refers to the coded instructional sequences — or those symbolic instructional sequences or numeric language sequences which can be automatically converted into coded instructional sequences — which are for the purpose of obtaining a certain result and which are operated on information processing equipment such as computers.

The source code program of a piece of computer software and its object code program should be regarded as one work.

2) Documentation: refers to written materials and diagrams which are used to describe the contents, organization, design, functions and specifications, development circumstances, testing results and method of use of the program, for example: program design explanations, flow charts, user manuals, etc.

3) Software developers: refer to those legal persons or other organizations that actually organize the development, directly undertake the development, and take the responsibility for the software completed; or the natural persons who rely on their own conditions to complete the software and who take the responsibility for the software.

4) Software copyright owners: refer to those natural persons, legal persons or other organizations, in accordance with these Regulations, enjoying the copyright of computer software.

Article 4.- Software that enjoys protection under these regulations must be independently developed by the developer and must already be in material form.

Article 5.- Chinese citizens, legal persons or other organizations shall enjoy the copyright under these regulations for the software they have developed, regardless of whether it has been published.

Software of foreigners or stateless persons first published in China shall enjoy the copyright under these regulations.

Software of foreigners or stateless persons shall enjoy copyright in China and protection under these regulations according to a bilateral agreement signed between China and the country to which the developer belongs or in which the developer habitually resides, or according to an international treaty to which China is a party.

Article 6.- The protection provided to software copyright under these regulations cannot be expanded to encompass the ideas, processing courses, operation methods or mathematical concepts, etc. used in the development of computer software.

Article 7.- The software copyright owners may make registration at the software registration organs accredited by the administrative department of copyright under the State Council. The certificates of registration issued by the software registration organs shall be the preliminary certification of the registered matters.

One shall pay fees when making software registration. The charging standard for software registration shall be provided for by the administrative department of copyright under the State Council together with the department in charge of price under the State Council.

Chapter 2.- Software Copyright

Article 8.- Software copyright owners shall enjoy the following rights:

(1) Right of publication, is the right to decide whether the software should be released to the public;

(2) Right of authorship, is the right to indicate the developer's identity and to place his name on the software;

(3) Right of revision, is the right to supplement or abridge the software or to change the order of the instructions or language statements;

4) Right of duplication: is the right to make a copy or copies of the software;

5) Right of publishing: is the right to provide the original or the copies of the software to the public by selling or donation;

6) Right of lease: is the right to license others to use the software temporarily for remuneration, except that the software is not the main object of lease;

7) Right of dissemination on information networks: is the right to provide the software to the public by wire or wireless means, thus the public may acquire the software at the time and place chosen by themselves;

8) Right of translation: is the right to transform the original software from one natural language to another natural language;

9) Other rights that shall be enjoyed by the software copyright owners.

Software copyright owners may license others to exercise their software copyright and shall have the right to get remuneration.

Software copyright owners may transfer the whole of or a part of their software copyright and shall have the right to get remuneration.

Article 9.- The copyright of a piece of software belongs to its developer, except as otherwise prescribed by these Regulations.

If there is no adverse proof, the natural person, legal person or other organization that places its name on the software shall be the developer.

Article 10.- Where the software is developed jointly by 2 or more natural persons, legal persons, or other organizations, the ownership of the copyright of the software shall be agreed upon in a written contract signed by the co-developers.

If there is no written contract or if the matter is not clearly stipulated in the contract, and the jointly developed software can be used in separate parts, the co-developers can separately enjoy the copyright on the parts they developed, but during the exploitation of the copyright this may not be extended to the copyright of the jointly developed work in its entirety.

Where the jointly developed software cannot be used in separate parts, the co-developers shall enjoy the copyright of it jointly and exploit the copyright by consensus. If consensus cannot be reached, and in the absence of any unusual reasons, no party may prevent the other parties from implementing the exclusive rights, with the exception of the right of transfer to a third party. However, any benefits earned shall be fairly distributed among the co-developers.

Article 11.- The copyright of software which is commissioned to be developed by another person, shall be governed by any written contract signed between the person who commissioned the work and the person who undertook the commission; if there is no written contract or if the matter is not clearly stipulated in the contract, the copyright shall be enjoyed by the person undertaking the commission.

Article 12.- The ownership and exploitation of the copyright of software which is developed pursuant to tasks assigned by state organs shall be based on the stipulations contained in the project task document or contract; if the matter is not clearly stipulated in the project task document or contract, the copyright shall be enjoyed by the legal person or other organization that accepted the task.

Article 13.- If the software developed by a natural person while working for a legal person or other organization is under any of the following circumstances, the copyright of that software shall be enjoyed by the said legal person or other organization, which may reward the natural person who developed the software:

1) Software developed in accordance with the clearly stipulated development goals for his post;

2) The software developed is the predictable or natural result of the activities involved in his post;

3) The development of the software mainly use the material and technological conditions of the legal person or other organization such as funds, special equipment, undisclosed special information, etc. and the legal person or other organization takes responsibility for that software.

Article 14.- The software copyright shall come into being on the day of the completion of development.

For the software copyright of a natural person, the term of protection is the life time of the natural person and 50 years after his death, ending on the 31st of December of the fiftieth year after the death of the natural person; where the software is jointly developed, the term shall end on the 31st of December of the fiftieth year after the death of the last natural person.

For the software copyright of a legal person or other organization, the term of protection is 50 years, ending on the 31st of December of the fiftieth year after the first publication of the software, however, these Regulations will no longer protect the software if it hasn’t been published within 50 years since the completion of development.

Article 15.- Where the software copyright belongs to a natural person, and after the natural person dies, the software copyright owner's heir may, during the term of software copyright protection and in accordance with the relevant provisions of the Inheritance Law of the People's Republic of China, inherit the rights provided for in Article 8 of these Regulations, excluding the right of authorship.

Where the software copyright belongs to a legal person or other organization, and after the legal person or other organization is altered or terminated, the copyright shall be enjoyed by the legal person or other organization succeeding its rights and obligations during the term of protection prescribed by these Regulations; if there is no legal person or other organization succeeding its rights and obligations, the copyright shall be enjoyed by the State.

Article 16.- The owners of legal software copies shall enjoy the following rights:

1) To install that software in a computer or other equipment with information processing capacity according to the needs of use;

(2) To make a backup copy for the purpose of preventing the copies from damage. However these back-up copies may not be provided to other persons by any means, and when the owners lose the ownership of those legal copies, they shall see to it that they destroy these back-up copies;

3) In order to carry out the necessary revisions for the purpose of using the said software in the real computer environment or improving its functions and performance; however, except as otherwise stipulated in the contract, the revised software may not be provided to any third party without the approval of the software copyright owner.

Article 17.- Those that use the software by installing, demonstrating, transmitting or storing it for the purpose of learning and studying the design ideas and theories contained in the software may do so without the approval of the software copyright owner and without paying remuneration to the owner.

Chapter 3.- Licensing and Transfer of Software Copyright

Article 18.- A contract of licensing shall be made to license others to exploit the software copyright.

The licensee may not exploit the rights not clearly licensed by the owner of software copyright in the contract of licensing.

Article 19.- The parties shall make a written contract in case of licensing of exclusive exploitation of software copyright..

Where there is no written contract or the licensing was not clearly stipulated in the contract as exclusive licensing, the rights licensed to be exploited shall be deemed as non-exclusive rights.

Article 20.- The parties shall make a written contract in case of transfer of software copyright.

Article 21.- Those making the licensing contract to license others to exclusively exploit the software copyright or making the contract of software copyright transfer may register with the software registration organs accredited by the administrative department of copyright under the State Council.

Article 22.- Chinese citizens, legal persons or other organizations that license or transfer software copyright to foreigners shall observe the relevant provisions of the Regulations of the People’s Republic of China on the Administration of Technology Import and Export.

Chapter 4.- Legal Responsibilities

Article 23.- Except as otherwise prescribed by the Copyright Law of the People’s Republic of China or these Regulations, anyone who has committed any of the following infringing acts shall, according to the circumstances, bear the civil responsibilities of stopping the infringement, eliminating the effects, making apologies and compensating for losses, etc.

1) Publishing or registering the software without the approval of the software copyright owner;

2) Publishing or registering the software developed by others in one's own name;

3) Publishing or registering the software developed in cooperation with another person as a work completed by oneself alone, without the approval of the cooperating developer;

4) Signing one's name to the software developed by another person or altering the signature on the software developed by another person;

5) Revising or translating the software without the approval of the software copyright owner;

6) Other acts infringing upon the software copyright.

Article 24.- Except as otherwise prescribed by the Copyright Law of the People’s Republic of China, these Regulations or other laws and administrative regulations, anyone who has committed any of the following infringing acts without the approval of the software copyright owner shall, according to the circumstances, bear the civil responsibilities of stopping the infringement, eliminating the effects, making apologies, compensating for losses, etc; for anyone who damages the public interests at the same time, the administrative department of copyright shall order the offender to stop the infringing acts, confiscate the illegal gains, confiscate and destroy the infringing copies, and may impose a fine on him at the same time; if the circumstances are serious, the administrative department of copyright may also confiscate the materials, tools, equipment, etc. that are mainly used in the making of the infringing copies; if there is any violation of criminal laws, the criminal responsibilities shall be investigated for according to the provisions of the Criminal Law on the crime of infringing upon copyright law and the crime of selling infringing copies:

1) Copying or partially copying the software of the copyright owner;

2) Releasing, leasing or disseminating through information networks the software of the copyright owner;

3) Intentionally avoiding or breaching the technical measures adopted by the copyright owner to protect his software copyright;

4) Intentionally deleting or altering the electronic information of software right management;

5) Transferring or licensing others to exploit the software copyright of the copyright owner.

Anyone who has committed the act prescribed in item 1) or item 2) of the preceding paragraph may be concurrently imposed on a fine of 100 Yuan per piece or a fine of not more than 5 times the value of the software; anyone who has committed the act prescribed in item 3), item 4), or item 5) of the preceding paragraph may be concurrently imposed on a fine of not more than 50,000 Yuan.

Article 25.- The amount of compensation for infringement of software copyright shall be determined according to the provisions of Article 48 of the Copyright Law of the People’s Republic of China.

Article 26.- Where the software copyright owner has the evidence to prove that another person is committing or is going to commit the acts infringing upon his rights, and if the acts are not stopped in time, his legal rights and interests will suffer incurable damages, the owner may, according to the provisions of Article 49 of the Copyright Law of the People’s Republic of China, apply to the people’s court for taking measures to order the stop of the relevant acts and to preserve the property before bringing a lawsuit.

Article 27.- For the purpose of preventing the infringing acts and under the circumstances that the evidence may be lost or hard to acquire afterwards, the software copyright owner may, according to the provisions of Article 50 of the Copyright Law of the People’s Republic of China, apply to the people’s court for preserving the evidence before bringing a lawsuit.

Article 28.- If the publisher, manufacturer of the software copies can’t prove that the publication or manufacturing has been legally authorized, or the releaser or leaser of software copies can’t prove that the copies released or leased have legal sources, they shall bear legal responsibilities.

Article 29.- If the software developed by the software developer is similar to the software already in existence because the available forms of expression is limited, this is not infringement upon the copyright of the software already in existence.

Article 30.- If the holder of software copies doesn’t know and there is no rational reason for it to know that the software is an infringing copy, the holder shall bear no responsibilities for compensation; however, it shall stop using and destroy that infringing copy. If the stop of use and destroying of that infringing copy cause heavy losses to the copy user, the copy user may continue to use the copy after paying reasonable fees to the software copyright owner.

Article 31.- Software copyright disputes may be mediated.

Software copyright contract disputes may be applied to an arbitration organ for arbitration according to the arbitration clause in the contract or the written arbitration agreement reached after the contract.

If parties concerned have not inserted an arbitration clause into the contract, and there is no written arbitration agreement reached after the event, they may bring a lawsuit directly at the People's Court.

Chapter 5.- Supplementary Provisions

Article 32.- The infringing acts committed prior to the taking effect of these Regulations shall be dealt with in accordance with the relevant provisions of the State at the time of the infringing act.

Article 33.- These Regulations shall take effect on January 1, 2002. And the Regulations on the Protection of Computer Software promulgated by the State Council on June 4, 1991 shall be abolished simultaneously.

Prime Minister Zhu Rongji

December 20, 2001

The Parliament of New Zealand enacts as follows:

1.- Title

«34.-Individuals may make information privacy requests

«72 C Referral of complaint to overseas privacy enforcement authority

«Part  11 A.- «Transfer of personal information outside New Zealand

«114 A Interpretation

«114 B Prohibition on transfer of personal information outside New Zealand

«114 C Commissioner's power to obtain information

«114 D Transfer prohibition notice

«114 E Commissioner may vary or cancel notice

«114 F Offence in relation to transfer prohibition notice

«114 G Appeals against transfer prohibition notice

«114 H Application of Human Rights Act 1993

«128 A Power to amend Schedule 5A

There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.

Data quality principle

Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date.

Purpose specification principle

The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose.

Use limitation principle

Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with [the Purpose specification principle above] except:

Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access, destruction, use, modification or disclosure of data.

Openness principle

There should be a general policy of openness about developments, practices and policies with respect to personal data. Means should be readily available of establishing the existence and nature of personal data, and the main purposes of their use, as well as the identity and usual residence of the data controller.

Individual participation principle

An individual should have the right:

Accountability principle

A data controller should be accountable for complying with measures which give effect to the principles stated above. 

PROYECTO DE LEY Nº 17613 DEL 8/02/2010

REFORMA DEL ARTÍCULO 229 BIS DEL CÓDIGO PENAL Y ADICIÓN DE UN NUEVO CAPÍTULO DENOMINADO DELITOS INFORMÁTICOS

Expediente nº 17.613

ASAMBLEA LEGISLATIVA:

En la última década, el tema de seguridad ciudadana ha empezado a tomar especial relevancia en la sociedad costarricense, al punto de ser tema de discusión al mismo nivel que la educación y la salud pública.　 El motivo de esta situación, no solo lo es el aumento desmedido de la delincuencia sino la sofisticación de los métodos que aplican los antisociales para perjudicar tanto la integridad física y moral así como el patrimonio de los ciudadanos.

Se puede definir como delito informático como «crimen genérico o crimen electrónico, que agobia con operaciones ilícitas realizadas por medio de pcs o del Internet o que tienen como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet.　 Sin embargo, las categorías que definen un delito informático son aún mayores y complejas y pueden incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en los cuales ordenadores y redes han sido utilizados. Con el desarrollo de la programación y de Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados.

Existen actividades delictivas que se realizan por medio de estructuras electrónicas que van ligadas a un sinnúmero de herramientas delictivas que buscan infringir y dañar todo lo que encuentren en el ámbito informático:　 ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias, daños en la información (borrado, dañado, alteración o supresión de datacredito), mal uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de bancos, ataques realizados por hackers, violación de los derechos de autor, pornografía infantil, pedofilia en Internet, violación de información confidencial y muchos otros.

Un ejemplo de la sofisticación de estos métodos, es el aumento de los llamados delitos informáticos; según indicó el Organismo de Investigación Judicial por medio de un comunicado de prensa, al 4 de mayo de 2009 aproximadamente 25 personas habían sido estafadas por medio de delitos informáticos a través de las campañas publicitarias de los bancos estatales, en donde las víctimas revelaban sus cuentas por Internet.

El 5 de mayo del 2009, en La Prensa Libre se explica «que este tipo de delitos sólo los cometen quienes conocen las técnicas para hacerlo y cuentan con los equipos especiales.

Dos de los métodos más usados en Costa Rica son el Phishing y el Pharming. El primero consiste en enviar un correo electrónico a la víctima, el cual proviene de un ente oficial, pero en realidad es falso, y en cuyo contenido se hace una solicitud expresa para actualizar la información confidencial perteneciente al cliente, como el nombre de usuario, contraseña, número de tarjeta y PIN entre otros, los cuales al final terminan en las computadoras de los estafadores.

La segunda técnica conocida como Pharming, es cuando mediante la alteración del Servidor de DNS de un Proveedor de Servicios de Internet (Racsa, ICE), y del DNS del Sistema Operativo de la computadora de un usuario. En este caso, es posible a través de la introducción de un programa malicioso, modificar el archivo de nombre hosts para el caso del Sistema Operativo Windows.Estos programas pueden provenir de correos electrónicos, descargas por Internet o medios de almacenamiento externos como llaves USB, entre otros.

Luego de acceder al vínculo referenciado en la página de Internet enviada, se ejecuta el programa malicioso, el cual modificará el archivo hosts de la computadora del usuario, sin su conocimiento, quien finalmente luego de digitar las direcciones de Internet en su navegador será redireccionado a una página de Internet fraudulenta.

Las autoridades, de momento, recomiendan a los clientes bancarios no abrir correos de remitentes desconocidos».

Los actos ilegales realizados a partir de la tecnología, no se habían tipificado como delitos hasta hace poco en nuestro país; empero, el avance de un campo tan vasto como el de la informática, si por un lado ha permitido el crecimiento tecnológico y económico de la sociedad, por otro lado, paradójicamente, ha venido a significar el instrumento idóneo para menoscabar el patrimonio económico de personas e instituciones.　 Quizá hasta hace poco no se consideraba necesario resguardar el bien jurídico de la información; sin embargo, actualmente es completamente evidente la relevancia de hacerlo ya que con estos delitos se ven comprometidos otros bienes jurídicos tutelados como el patrimonio o la protección de datos personales, entre muchos otros.

Es por esto que en aras de penalizar acciones y tutelar el bien jurídico de la información y generar herramientas eficientes y eficaces para condenar delitos informáticos que afectan cada vez más el patrimonio de los costarricenses, se presenta el siguiente proyecto de ley.

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

REFORMA DEL ARTÍCULO 229 BIS DEL CÓDIGO PENAL Y ADICIÓN DE UN NUEVO CAPÍTULO DENOMINADO DELITOS INFORMÁTICOS

ARTÍCULO 1.- Refórmase el artículo 229 bis del Código Penal, Ley nº 4573 y sus reformas.

ARTÍCULO 2.- Adiciónase un capítulo nuevo al Código Penal, Ley nº 4573 y sus reformas.

«CAPÍTULO.- DELITOS INFORMÁTICOS

Rige a partir de su publicación.

Luis Antonio Barrantes Castro

DIPUTADO

San José, 15 de febrero del 2009

El párrafo primero de la disposición final tercera de la Ley 11/1988, de 3 de mayo, de protección jurídica de las topografías de los productos semiconductores, autoriza al Gobierno para modificar el artículo 3.3 de la misma, con el fin de ampliar el derecho a la protección de personas originarias de terceros países o territorios, que no pertenezcan a la Unión Europea y que no se beneficien de la protección, cuando así se establezca por los órganos de la Unión Europea

Por su parte, el Consejo de la Unión Europea, para responder a la necesidad de armonizar la legislación comunitaria con el Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio (Acuerdo ADPIC), ha adoptado la Decisión 94/824/CE, de 22 de diciembre, por la que se amplía, con carácter permanente, la protección jurídica de los productos semiconductores a los nacionales de los miembros de la Organización Mundial del Comercio. Dicha Decisión será aplicable a partir del 1 de enero de 1996.

Haciendo uso de la autorización al Gobierno prevista en la disposición final tercera, primer párrafo, de la Ley 11/1988, de 3 de mayo, y teniendo en cuenta la Decisión 94/824/CE adoptada por el Consejo de la Unión Europea, procede ampliar, con carácter permanente, la protección jurídica de las topografías de los productos semiconductores a los nacionales de los miembros de la Organización Mundial del Comercio.

En su virtud, a propuesta del Ministro de Industria y Energía, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 2 de febrero de 1996,

DISPONGO:

Artículo único. Beneficiarios de la protección

1. Se beneficiarán de la protección prevista en la Ley 11/1988, de 3 de mayo, de protección jurídica de las topografías de los productos semiconductores, las personas físicas que sean nacionales de un miembro del Acuerdo por el que se crea la Organización Mundial del Comercio, o estén domiciliados en su territorio.

2. Se beneficiarán de la misma protección las personas físicas o jurídicas con un establecimiento real y efectivo para la elaboración de topografías o la producción de circuitos integrados en el territorio de un miembro del Acuerdo por el que se crea la Organización Mundial del Comercio, que tendrán la consideración de personas físicas o jurídicas con un establecimiento comercial o industrial real y efectivo en el territorio de un miembro.

DISPOSICIÓN DEROGATORIA

Única. Derogación normativa

A la entrada en vigor de este Real Decreto quedarán derogadas todas aquellas disposiciones de igual o inferior rango relativas a la ampliación de la protección jurídica de las topografías de los productos semiconductores a personas originarias de determinados países y territorios en la medida en que amplíen la protección otorgada por la Ley 11/1988, de 3 de mayo, a países o territorios que son parte en el Acuerdo por el que se crea la Organización Mundial del Comercio

DISPOSICIÓN FINAL

Única. Entrada en vigor

El presente Real Decreto entrará en vigor el día siguiente al de su publicación el el «Boletín Oficial del Estado», surtiendo efectos desde el 1 de enero de 1996

El Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica, permite a los españoles mayores de edad y que gocen de plena capacidad de obrar acreditar electrónicamente la identidad y demás datos personales del titular que en él consten, así como la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica, en los términos previstos en la Ley 59/2003, de 19 de diciembre, de firma electrónica.

En consecuencia, se reúnen en el documento nacional de identidad electrónico los dos instrumentos que le van a permitir llevar a cabo, de forma conjunta, las nuevas utilidades de que va revestido, cuales son la identificación y la firma electrónica de su titular.

Recientemente, distintos órganos de la Administración General del Estado, en aras de conseguir una mayor protección de la infancia en el uso de Internet, han mostrado su interés para que todos los ciudadanos, cualquiera que sea su edad, puedan acreditar su identidad por medios telemáticos, considerando que el documento nacional de identidad electrónico podría ser el mejor medio a estos fines.

Dado que, técnicamente es posible la disociación de los certificados contenidos en el documento nacional de identidad electrónico, parece aconsejable llevar a cabo una modificación del real decreto regulador del documento nacional de identidad, a fin de permitir que todos los ciudadanos españoles puedan acreditar su identidad por medios electrónicos, al tiempo que se reserva la capacidad de realizar la firma electrónica de documentos a las personas con capacidad legal para ello.

En otro orden de cosas, se considera también conveniente introducir cambios en determinados artículos del real decreto a fin de: facilitar que los ciudadanos puedan presentar el volante o el certificado de empadronamiento para la acreditación del domicilio en los supuestos de las primeras expediciones del documento nacional de identidad; adaptar su normativa reguladora a la normativa internacional que pueda afectarle; rebajar la validez de este documento cuando el solicitante sea menor de cinco años, tramo de edad en el que la fisonomía de su titular cambia muy rápidamente; y permitir clarificar determinados aspectos de la normativa que, actualmente, pueden suscitar dudas sobre el sentido de la misma.

En su virtud, a propuesta del Ministro del Interior, con la aprobación previa del Ministro de Hacienda y Administraciones Públicas, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 8 de noviembre de 2013, dispongo:

Artículo único. Modificación del Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica.

El Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica, queda modificado como sigue:

Uno.- Se añade un segundo párrafo al apartado 4 del artículo 1 con la siguiente redacción:

«En el caso de los españoles menores de edad, o que no gocen de plena capacidad de obrar, el documento nacional de identidad contendrá, únicamente, la utilidad de la identificación electrónica, emitiéndose con el respectivo certificado de autenticación activado.»

Dos.- Se modifican la letra c) del apartado 1 y el apartado 3 del artículo 5, que quedan redactados en los siguientes términos:

«1.c) Certificado o volante de empadronamiento del Ayuntamiento donde el solicitante tenga su domicilio, expedido con una antelación máxima de tres meses a la fecha de la solicitud del documento nacional de identidad.»

«3. En el momento de la solicitud, al interesado se le recogerán las impresiones dactilares de los dedos índices de ambas manos. Si no fuere posible obtener la impresión dactilar de alguno de los dedos o de ambos, se sustituirá, en relación con la mano que corresponda, por otro dedo según el siguiente orden de prelación: medio, anular o pulgar; consignándose, en el lugar del soporte destinado a tal fin, el dedo utilizado, o la imposibilidad de obtener alguno de ellos.»

Tres.- Se modifican el apartado 1 y la letra b) del apartado 2 del artículo 6, que quedan redactados en los siguientes términos:

«1. Con carácter general el documento nacional de identidad tendrá un período de validez, a contar desde la fecha de la expedición o de cada una de sus renovaciones, de:

a) Dos años cuando el solicitante no haya cumplido los cinco años de edad.

b) Cinco años, cuando el titular haya cumplido los cinco años de edad y no haya alcanzado los treinta al momento de la expedición o renovación.

c) Diez años, cuando el titular haya cumplido los treinta y no haya alcanzado los setenta.

d) Permanente cuando el titular haya cumplido los setenta años.»

«2.b) Por un año en los supuestos del apartado segundo del artículo 5 y del mismo apartado del artículo 7 siempre que, en éste último caso, no se puedan aportar los documentos justificativos que acrediten la variación de los datos.»

Cuatro.- Se modifican los apartados 1 y 2 del artículo 9, que quedan redactados en los siguientes términos:

«1. La entrega del documento nacional de identidad deberá realizarse personalmente a su titular, y cuando éste sea menor de 14 años o sea una persona con capacidad judicialmente complementada, se llevará a cabo en presencia de quien tenga encomendada la patria potestad o tutela, o persona apoderada por estas últimas. En el momento de la entrega del documento nacional de identidad se proporcionará la información a que se refiere el artículo 18.b) de la Ley 59/2003, de 19 de diciembre.

2. La activación del certificado de firma electrónica en el documento nacional de identidad tendrá carácter voluntario y su utilización se realizará mediante una clave personal y secreta que el titular del documento nacional de identidad podrá introducir reservadamente en el sistema.»

DISPOSICIÓN FINAL

Disposición final única. entrada en vigor.-El presente real decreto entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado». 

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado constitutivo de la Comunidad Europea, y en particular su artículo 62, punto 2, letra a), su artículo 63, punto 3, letra b) y su artículo 66,

Vista la propuesta de la Comisión,

De conformidad con el procedimiento establecido en el artículo 251 del Tratado,

Considerando lo siguiente:

(1) El Sistema de Información de Schengen («SIS»), creado de conformidad con las disposiciones del título IV del Convenio de 19 de junio de 1990 de aplicación del Acuerdo de Schengen, de 14 de junio de 1985, entre los Gobiernos de los Estados de la Unión Económica Benelux, de la Republica Federal de Alemania y de la República Francesa, relativo a la supresión gradual de los controles en las fronteras comunes (el Convenio de Schengen), y su desarrollo SIS 1+, constituye un instrumento esencial para la aplicación de las disposiciones del acervo de Schengen integradas en el marco de la Unión Europea.

(2) El desarrollo del SIS de segunda generación («SIS II») ha sido confiado a la Comisión en virtud del Reglamento (CE) n.º 2424/2001 del Consejo y de la Decisión 2001/886/JAI del Consejo, de 6 de diciembre de 2001, sobre el desarrollo del Sistema de Información de Schengen de segunda generación (SIS II). El SIS II sustituirá al SIS, tal como fue creado en virtud del Convenio de Schengen.

(3) El presente Reglamento constituye la base legislativa necesaria para regular el SIS II en las materias que entran en el ámbito de aplicación del Tratado constitutivo de la Comunidad Europea (el «Tratado») CE. La Decisión 2006/…/JAI del Consejo, de … relativa al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen de segunda generación (SIS II), constituye la base legislativa necesaria para regular el SIS II en las materias que entran en el ámbito del Tratado de la Unión Europea.

(4) El hecho de que la base legislativa necesaria para la regulación del SIS II consista en dos instrumentos separados no afecta al principio de que el SIS II constituye un único sistema de información que debe funcionar como tal. En consecuencia, algunas disposiciones de dichos instrumentos deben ser idénticas.

(5) El SIS II debe ser una medida compensatoria que contribuya al mantenimiento de un alto nivel de seguridad, en el espacio de libertad, seguridad y justicia de la Unión Europea, mediante el apoyo a la aplicación de las políticas relacionadas con la circulación de personas que forman parte del acervo de Schengen, tal como consta en el Título IV de la Tercera parte del Tratado.

(6) Es necesario especificar los objetivos del SIS II, su arquitectura técnica y su financiación para establecer las normas relativas a su funcionamiento, y utilización y para definir las responsabilidades, las categorías de datos que se introducirán en el sistema, los fines para los que se introducirán, los criterios de introducción, las autoridades autorizadas para acceder a los datos, la interconexión entre las descripciones, y otras normas sobre tratamiento de datos y protección de datos personales.

(7) El SIS II debe incluir un sistema central (SIS II Central) y aplicaciones nacionales. El gasto derivado del funcionamiento del SIS II Central y de la infraestructura de comunicación debe correr a cargo del presupuesto general de la Unión Europea.

(8) Es necesario elaborar un manual que establezca normas detalladas sobre el intercambio de información complementaria en relación con la acción requerida por las descripciones. Las autoridades nacionales de cada Estado miembro deberán garantizar el intercambio de esta información.

(9) Durante un período transitorio, la Comisión debe ser responsable de la gestión operativa del SIS II Central y de parte de la infraestructura de comunicación. No obstante, para garantizar una transición fluida al SIS II, podrá delegar alguna o todas sus responsabilidades en dos organismos nacionales del sector público. A largo plazo, y tras una evaluación de impacto que contenga un análisis material de las alternativas desde el punto de vista financiero, operativo y organizativo, así como propuestas legislativas de la Comisión, debe crearse una Autoridad de Gestión con responsabilidades para estos cometidos. El período transitorio debe durar un máximo de cinco años a partir de la fecha en que el presente Reglamento sea aplicable.

(10) El SIS II debe contener descripciones a efectos de denegación de entrada o de estancia. Es necesario seguir considerando la oportunidad de armonizar las disposiciones sobre los motivos de inscripción de nacionales de terceros países con el fin de denegarles la entrada o la estancia, y de aclarar la utilización de las descripciones en el marco de las políticas de asilo, inmigración y retorno. Por lo tanto, la Comisión debe evaluar, tres años después de que el presente Reglamento sea aplicable, las disposiciones sobre los objetivos y las condiciones para la introducción de descripciones a efectos de denegación de entrada o estancia.

(11) Las descripciones a efectos de denegación de entrada o de estancia no podrán mantenerse en el SIS II por más tiempo del necesario para cumplir el propósito para el que se facilitaron. Por regla general, las descripciones se borraran automáticamente del SIS II transcurrido un período de tres años. La decisión de mantener una descripción debe basarse en una evaluación global del caso concreto. Los Estados miembros deben revisar las descripciones durante este período de tres años y llevar estadísticas del número de descripciones cuyo período de conservación se haya prorrogado.

(12) El SIS II debe permitir tratar datos biométricos para ayudar a la identificación fiable de las personas en cuestión. En esta misma perspectiva, el SIS II también debe permitir el tratamiento de datos sobre personas cuya identidad haya sido usurpada, a fin de evitar las dificultades causadas por la identificación incorrecta, respetando las garantías adecuadas, en particular el consentimiento de la persona en cuestión y una limitación estricta de los fines legales para los que dichos datos podrán ser objeto de tratamiento.

(13) Debe existir la posibilidad de que los Estados miembros establezcan conexiones entre las descripciones en el SIS II. La creación por un Estado miembro de conexiones entre dos o más descripciones no debe afectar a la acción que deberá emprenderse, al período de conservación ni a los derechos de acceso a las descripciones.

(14) Los datos tratados en el SIS II en aplicación del presente Reglamento no deben transmitirse ni ponerse a disposición de terceros países ni de organizaciones internacionales.

(15) La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se aplica al tratamiento de datos personales realizado en aplicación del presente Reglamento. Esto incluye la designación del responsable del tratamiento y la posibilidad de que los Estados miembros establezcan excepciones y limitaciones respecto de determinados derechos y obligaciones previstos en dicha Directiva, incluidos los derechos de acceso e información de la persona en cuestión. Los principios establecidos en la Directiva 95/46/CE se completaran o aclararan, en su caso, en el presente Reglamento.

(16) El Reglamento (CE) n.° 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, y en particular las disposiciones relativas a la confidencialidad y a la seguridad del tratamiento, se aplica al tratamiento de datos personales por los organismos o instituciones comunitarios al llevar a cabo sus cometidos como responsables de la gestión operativa del SIS II. Los principios establecidos en el Reglamento (CE) n.º 45/2001 deben completarse o aclararse en el presente Reglamento, cuando proceda.

(17) Por lo que respecta a la confidencialidad, a los funcionarios y otros agentes de las Comunidades Europeas que trabajen en SIS II y en relación con SIS II se les deben aplicar las disposiciones pertinentes del Estatuto de los funcionarios de las Comunidades Europeas y las condiciones de empleo de los otros agentes de las Comunidades Europeas.

(18) Es conveniente que las autoridades nacionales de control supervisen la legalidad del tratamiento de datos por los Estados miembros, mientras que el Supervisor Europeo de Protección de Datos, nombrado en virtud de la Decisión 2004/55/CE del Parlamento Europeo y del Consejo, de 22 de diciembre de 2003, por la que se nombra a la autoridad de vigilancia independiente prevista por el artículo 286 del Tratado CE, debe supervisar las actividades de las instituciones y los organismos comunitarios en relación con el tratamiento de datos personales, teniendo en cuenta los cometidos limitados de dichas instituciones y dichos organismos comunitarios con respecto a los datos en sí.

(19) Tanto los Estados miembros como la Comisión deben elaborar un plan de seguridad, con el fin de facilitar la aplicación concreta de las obligaciones en materia de seguridad y deben cooperar entre si para abordar las cuestiones de seguridad desde una perspectiva común.

(20) A fin de garantizar la transparencia, la Comisión o, cuando se establezca, la Autoridad de Gestión debe presentar cada dos años un informe sobre el funcionamiento técnico del SIS II Central y de la infraestructura de comunicación, así como sobre su seguridad y sobre el intercambio de información complementaria. La Comisión debe emitir una evaluación general cada cuatro años.

(21) Determinados aspectos del SIS II, como las normas técnicas para la introducción de datos, incluidos los datos necesarios para introducir una descripción, la actualización, la supresión y la consulta, las normas sobre compatibilidad y prioridad de las descripciones, las conexiones entre descripciones y el intercambio de información complementaria, no pueden ser regulados exhaustivamente por las disposiciones del presente Reglamento, debido a su naturaleza técnica, al nivel de detalle requerido y a la necesidad de una actualización regular. En consecuencia, las competencias de ejecución en estas materias deben delegarse en la Comisión. Las normas técnicas sobre la consulta de descripciones deberán tener en cuenta la necesidad de que las aplicaciones nacionales funcionen con fluidez. A reserva de la evaluación de impacto que realice la Comisión, debe decidirse hasta que punto las medidas de ejecución pueden ser responsabilidad de la Autoridad Gestión, en cuanto se establezca.

(22) Procede aprobar las medidas necesarias para la ejecución del presente Reglamento con arreglo a la Decisión 1999/468/CE del Consejo, de 28 de junio de 1999, por la que se establecen los procedimientos para el ejercicio de las competencias de ejecución atribuidas a la Comisión.

(23) Es conveniente establecer disposiciones transitorias sobre las descripciones introducidas en el SIS 1+ que deben ser transferidas al SIS II. Algunas disposiciones del acervo de Schengen deben seguir aplicándose durante un período limitado de tiempo, hasta que los Estados miembros hayan examinado la compatibilidad de dichas descripciones con el nuevo marco legal. El examen de la compatibilidad de las descripciones de personas debe ser prioritario. Además, toda modificación, adición, rectificación o actualización de una descripción transferida del SIS 1+ al SIS II, así como toda obtención de una respuesta positiva respecto de una de esas descripciones debe dar lugar a un examen inmediato de su compatibilidad con las disposiciones del presente Reglamento.

(24) Es necesario establecer disposiciones especiales sobre la parte del presupuesto que se destinara a las operaciones del SIS que no forman parte del presupuesto general de la Unión Europea.

(25) Dado que los objetivos de la acción propuesta, a saber, el establecimiento y regulación de un sistema común de información, no pueden ser alcanzados de manera suficiente por los Estados miembros y, por consiguiente, pueden lograrse mejor, debido a la dimensión y los efectos de la acción, a nivel comunitario, la Comunidad podrá adoptar medidas de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(26) El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos en particular por la Carta de los Derechos Fundamentales de la Unión Europea.

(27) De conformidad con los artículos 1 y 2 del Protocolo sobre la posición de Dinamarca, anexo al Tratado de la Unión Europea y al Tratado constitutivo de la Comunidad Europea, Dinamarca no participa en la adopción del presente Reglamento y no esta vinculada ni sujeta a su aplicación. Teniendo en cuenta que el presente Reglamento desarrolla el acervo de Schengen con arreglo a lo dispuesto en el título IV de la tercera parte del Tratado, Dinamarca, de conformidad con el artículo 5 de dicho Protocolo, debe decidir dentro de un período de seis meses a partir de la fecha de adopción del presente Reglamento, si lo incorpora a su legislación nacional.

(28) El presente Reglamento desarrolla las disposiciones del acervo de Schengen en las que el Reino Unido no participa, de conformidad con la Decisión 2000/365/CE del Consejo, de 29 de mayo de 2000, sobre la solicitud del Reino Unido de Gran Bretaña e Irlanda del Norte de participar en algunas de las disposiciones del acervo de Schengen. Por tanto, el Reino Unido no participa en la adopción del Reglamento y no está vinculado ni sujeto a su aplicación.

(29) El presente Reglamento desarrolla las disposiciones del acervo de Schengen relativas a la circulación de personas en las que Irlanda no participa, de conformidad con la Decisión 2002/192/CE del Consejo, de 28 de febrero de 2002, sobre la solicitud de Irlanda de participar en algunas de las disposiciones del acervo de Schengen . Por tanto, Irlanda no participa en la adopción del Reglamento, y no está vinculada ni sujeta a su aplicación.

(30) El presente Reglamento se adopta sin perjuicio de las disposiciones relativas a la participación parcial del Reino Unido y de Irlanda en el acervo de Schengen, definidas en la Decisión 2000/365/CE y en la Decisión 2002/192/CE, respectivamente.

(31) Por lo que se refiere a Islandia y Noruega, el presente Reglamento desarrolla disposiciones del acervo de Schengen, conforme a lo establecido en el Acuerdo celebrado por el Consejo de la Unión Europea con la Republica de Islandia y el Reino de Noruega sobre la asociación de estos dos Estados a la ejecución, aplicación y desarrollo del acervo de Schengen, que están incluidas en el ámbito descrito en el punto G del artículo 1 de la Decisión 1999/437/CE del Consejo, de 17 de mayo de 1999, relativa a determinadas normas de desarrollo de dicho Acuerdo.

(32) Deben establecerse disposiciones para que representantes de Islandia y Noruega se asocien al trabajo de los comités que asisten a la Comisión en el ejercicio de sus competencias de ejecución. Dichas disposiciones se han recogido en el Canje de Notas entre el Consejo de la Unión Europea y la Republica de Islandia y el Reino de Noruega sobre los comités que asisten a la Comisión Europea en el ejercicio de sus competencias de ejecución anejo al antedicho Acuerdo.

(33) Por lo que se refiere a Suiza, el presente Reglamento desarrolla disposiciones del acervo de Schengen, conforme a lo establecido en el Acuerdo firmado por la Unión Europea, la Comunidad Europea y la Confederación Suiza sobre la asociación de la Confederación Suiza a la ejecución, aplicación y desarrollo del acervo de Schengen, que estan incluidas en el ámbito descrito en el punto G del artículo 1 de la Decisión 1999/437/CE, leído conjuntamente con el artículo 4, apartado 1, de las Decisiones 2004/849/CE y 2004/860/CE.

(34) Deben establecerse disposiciones para que representantes de Suiza se asocien al trabajo de los comités que asisten a la Comisión en el ejercicio de sus competencias de ejecución. Dichas disposiciones se han recogido en el Canje de Notas entre la Comunidad y Suiza anejo al antedicho Acuerdo.

(35) El presente Reglamento constituye un acto que desarrolla el acervo de Schengen o esta relacionado con el en el sentido del artículo 3, apartado 2, del Acta de adhesión de 2003.

(36) El presente Reglamento se aplicara al Reino Unido y a Irlanda en las fechas determinadas de conformidad con los procedimientos establecidos en los instrumentos pertinentes relativos a la aplicación del acervo de Schengen a dichos Estados.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I.- Disposiciones generales

Artículo 1.- Establecimiento y finalidad general del SIS II.–

1. Queda establecido el Sistema de Información de Schengen de segunda generación (SIS II).

2. El SIS II tiene por finalidad, con arreglo a lo dispuesto en el presente Reglamento, garantizar un alto nivel de seguridad dentro del espacio de libertad, seguridad y justicia de la Unión Europea, incluidos el mantenimiento de la seguridad y el orden públicos y la salvaguardia de la seguridad en el territorio de los Estados miembros, y aplicar las disposiciones del　título IV de la Tercera parte del Tratado relativas a la circulación de personas en dicho territorio, con la ayuda de la información transmitida por este sistema.

Artículo 2.- Ámbito de aplicación.–

1. El presente Reglamento establece las condiciones y los procedimientos de tratamiento de las descripciones de nacionales de terceros países introducidas en el SIS II, de intercambio de información complementaria y de datos adicionales a efectos de la denegación de entrada o de estancia en un Estado miembro.

2. El presente Reglamento establece también disposiciones sobre la arquitectura técnica del SIS II, las responsabilidades de los Estados miembros y de la Autoridad de Gestión a que se refiere el artículo 15, el tratamiento general de datos, los derechos de los interesados y la responsabilidad.

Artículo 3.- Definiciones.

A efectos del presente Reglamento, se entenderá por:

a) «descripción», un conjunto de datos introducidos en el SIS II que permite a las autoridades competentes identificar a una persona con vistas a emprender una acción específica;

b) «información complementaria», la información no almacenada en el SIS II pero relacionada con las descripciones del SIS II, que se intercambiara:

i) a fin de que los Estados miembros puedan consultarse o informarse entre sí al introducir una descripción;

ii) tras la obtención de una respuesta positiva a fin de poder emprender una acción adecuada;

iii) cuando no pueda realizarse la acción requerida;

iv) al tratar de la calidad de los datos del SIS II;

v) al tratar de la compatibilidad y prioridad de las descripciones;

vi) al tratar del ejercicio del derecho de acceso;

c) «datos adicionales», los datos almacenados en el SIS II y relacionados con las descripciones del SIS II que deben estar inmediatamente a disposición de las autoridades competentes cuando, como resultado de la consulta de este sistema, se encuentre a personas sobre las cuales se hayan introducido datos en el SIS II (la «persona interesada»);

d) «nacional de un tercer país», cualquier persona que no sea:

i) ciudadano de la Unión Europea en la acepción del apartado 1 del artículo 17 del Tratado, ni

ii) nacional de un tercer país que, en virtud de acuerdos celebrados entre la Comunidad y sus Estados miembros, por una parte, y estos países, por otra, goce de derechos en materia de libre circulación equivalentes a los de los ciudadanos de la Unión Europea;

e) «datos personales»: toda información sobre una persona física identificada o identificable (la «persona interesada»); se considerara «identificable» a toda persona cuya identidad pueda determinarse, directa o indirectamente;

f) «tratamiento de datos personales» («tratamiento»): cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o no, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.

Artículo 4.- Arquitectura técnica y funcionamiento del SIS II.–

1. El SIS II se compondrá de:

a) un sistema central («SIS II Central») compuesto por:

– una unidad de apoyo técnico («CS-SIS»), que contendrá la base de datos del SIS II;

– una interfaz nacional uniforme («NI-SIS»);

b) un sistema nacional («N. SIS II») en cada Estado miembro, compuesto por los sistemas de datos nacionales que se comunican con el SIS II Central. Un N. SIS II puede contener un fichero de datos («copia nacional») que contenga una copia total o parcial de la base de datos del SIS II;

c) una estructura de comunicación entre el CS-SIS y la NI-SIS («infraestructura de comunicación») que provee una red virtual codificada dedicada a los datos del SIS II y al intercambio de datos entre los servicios nacionales SIRENE a que se refiere el artículo 7, apartado 2.

2. La introducción, actualización, supresión y consulta de datos del SIS II se hará a través de los distintos sistemas N. SIS II. En el territorio de cada uno de los Estados miembros habrá una copia nacional disponible para la realización de consultas automatizadas. No se permitirá la consulta de ficheros de datos del N. SIS II de otros Estados miembros.

3. La CS-SIS, encargada de la supervisión técnica y de la administración, estará situada en Estrasburgo (Francia), y habrá una copia de seguridad de la CS-SIS, capaz de realizar todas las funciones de la CS-SIS principal en caso de fallo del sistema, en Sankt Johann im Pongau (Austria).

4. La CS-SIS prestará los servicios necesarios para la introducción y tratamiento de datos del SIS II, incluida la realización de consultas en la base de datos del SIS II. Para los Estados miembros que utilicen una copia nacional, la CS-SIS garantizará:

a) la actualización en línea de las copias nacionales;

b) la sincronización y coherencia entre las copias nacionales y la base de datos del SIS II;

c) la operación de inicialización y restauración de las copias nacionales.

Artículo 5.- Costes.

1. Los costes de creación, funcionamiento y mantenimiento del SIS II Central y de la infraestructura de comunicación correrán a cargo del presupuesto general de la Unión Europea.

2. Dichos costes incluirán los trabajos realizados en relación con la CS-SIS que garanticen la prestación de servicios a que se refiere el artículo 4, apartado 4.

3. Los costes de creación, funcionamiento y mantenimiento de cada N. SIS II correrán a cargo del Estado miembro interesado.

CAPÍTULO II.- Responsabilidades de los Estados miembros

Artículo 6.- Sistemas nacionales.–

Cada Estado miembro será responsable de la creación, la puesta en funcionamiento y el mantenimiento de su N. SIS II y de la conexión de su N. SIS II a la NI-SIS.

Artículo 7.- Oficina N. SIS II y Servicio Nacional SIRENE.–

1. Cada Estado miembro designara una autoridad («Oficina N.–SIS II») que asumirá la responsabilidad central respecto de su N. SIS II. Dicha autoridad será responsable del correcto funcionamiento y la seguridad del N. SIS II, garantizará el acceso de las autoridades competentes al SIS II y adoptará las medidas necesarias para garantizar el cumplimiento de lo dispuesto en el presente Reglamento. Cada Estado miembro transmitirá sus descripciones a través de la Oficina N. SIS II.

2. Cada Estado miembro designará a la autoridad encargada de garantizar el intercambio de toda la información complementaria («Servicio Nacional SIRENE»), de conformidad con las disposiciones que figuran en el　Manual SIRENE, según se indica en el artículo 8.

Estos servicios coordinarán así mismo la verificación de la calidad de la información introducida en el SIS II. Para esos fines, tendrán acceso a los datos tratados en el SIS II.

3. Los Estados miembros comunicarán a la Autoridad de Gestión los datos relativos a su Oficina N. SIS II y a su Servicio Nacional SIRENE. La Autoridad de Gestión publicará la lista de estos organismos junto con la lista a la que se refiere el artículo 31, apartado 8.

Artículo 8.- Intercambio de información complementaria.–

1. La información complementaria se intercambiará de conformidad con las disposiciones de un manual denominado «Manual SIRENE» y a través de la infraestructura de comunicación. En caso de fallo del funcionamiento de la infraestructura de comunicación, los Estados miembros podrán emplear otros medios técnicos dotados de los medios adecuados de seguridad para intercambiar información complementaria.

2. La información complementaria se utilizará únicamente para el fin para el que haya sido transmitida.

3. Las solicitudes de información complementaria formuladas por los Estados miembros se atenderán con la mayor celeridad.

4. Las normas de desarrollo sobre intercambio de información complementaria se adoptarán, de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, en forma de Manual SIRENE, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

Artículo 9.- Conformidad técnica.–

1. Para garantizar la transmisión rápida y eficaz de los datos, los Estados miembros deberán ajustarse, al establecer sus N. SIS II, a los protocolos y procedimientos técnicos establecidos para garantizar la compatibilidad de la CS-SIS con los N. SIS II. Estos protocolos y procedimientos técnicos deberán establecerse de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

2. Cuando un Estado miembro utilice una copia nacional se asegurará, mediante los servicios prestados por la CS-SIS, de que los datos almacenados en la copia nacional sean idénticos y coherentes, mediante las actualizaciones automáticas a que se refiere el artículo 4, apartado 4, con la base de datos del SIS II y de que una consulta en su copia nacional genere un resultado equivalente al de una consulta en la base de datos del SIS II.

Artículo 10.- Seguridad – Estados miembros.–

1. Cada Estado miembro adoptará, en lo referente a su N. SIS II, las medidas adecuadas, incluido un plan de seguridad, para:

a) proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;

b) impedir que toda persona no autorizada acceda a las instalaciones utilizadas para el tratamiento de datos de carácter personal (control en la entrada de las instalaciones);

c) impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por una persona no autorizada (control de los soportes de datos);

d) impedir que se introduzcan sin autorización en el fichero, o que puedan conocerse, modificarse o suprimirse sin autorización datos de carácter personal almacenados (control del almacenamiento);

e) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos (control de los usuarios);

f) garantizar que, para la utilización de un sistema de tratamiento automatizado de datos, las personas autorizadas sólo puedan tener acceso a los datos que sean de su competencia y ello únicamente con identificaciones de usuario personales e intransferibles y con modos de acceso confidenciales (control del acceso);

g) garantizar que todos los organismos con derecho de acceso al SIS II o a las instalaciones utilizadas para el tratamiento de datos establezcan perfiles que describan las funciones y responsabilidades de las personas autorizadas a acceder a los datos, y a introducir, actualizar, suprimir y consultar dichos datos, y pongan a disposición de las autoridades nacionales de control a que se refiere el artículo 44, apartado 1, sin dilación al recibir la solicitud de éstas, esos perfiles (perfiles del personal);

h) garantizar la posibilidad de verificar y comprobar a que autoridades pueden ser remitidos datos de carácter personal a través de las instalaciones de transmisión de datos (control de la transmisión);

i) garantizar que pueda verificarse y comprobarse a posteriori qué datos de carácter personal se han introducido en el sistema de tratamiento automatizado de datos, en qué momento, por qué persona y para qué fines han sido introducidos (control de la introducción);

j) impedir, en particular mediante técnicas adecuadas de criptografiado, que, en el momento de la transmisión de datos de carácter personal y durante el transporte de los soportes de datos, los datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

k) vigilar la eficacia de las medidas de seguridad a que se refiere el presente apartado y adoptar las medidas de organización que sean necesarias en relación con la supervisión interna, a fin de garantizar el cumplimiento del presente Reglamento (control interno).

2. Los Estados miembros tomarán medidas equivalentes a las mencionadas en el apartado 1 en materia de seguridad en relación con el intercambio de información complementaria.

Artículo 11.- Confidencialidad – Estados miembros.

Cada Estado miembro aplicará sus normas sobre secreto profesional u otras obligaciones equivalentes de confidencialidad a toda persona y organismo que vaya a trabajar con datos del SIS II y con información complementaria, de conformidad con su legislación nacional. Esta obligación seguirá siendo aplicable después del cese en el cargo o el empleo de dichas personas o tras la terminación de las actividades de dichos organismos.

Artículo 12.- Conservación de registros nacionales.–

1. Los Estados miembros que no utilicen copias nacionales velarán por que todo acceso a datos personales y todo intercambio de datos personales en la CS-SIS queden registrados en su N. SIS II, con el fin de que se pueda controlar la legalidad de la consulta, supervisar la legalidad del tratamiento de datos, llevar a cabo un control interno y garantizar el correcto funcionamiento del N. SIS II y la integridad y seguridad de los datos.

2. Los Estados miembros que utilicen copias nacionales velarán por que todo acceso a los datos de SIS II y todos los intercambios de los mismos queden registrados a los efectos especificados en el apartado 1. Esto no se aplicará a los tratamientos a que se refiere el artículo 4, apartado 4.

3. Los registros contendrán, en particular, el historial de las descripciones, la fecha y hora de transmisión de los datos, los datos utilizados para realizar una consulta, la referencia de los datos transmitidos y los nombres de la autoridad competente y de la persona responsable del tratamiento de los datos.

4. Los registros sólo podrán utilizarse para los fines especificados en los apartados 1 y 2 y se suprimirán en un plazo mínimo de un año y máximo de tres años después de su creación. Los registros que incluyan el historial de las descripciones serán borrados transcurrido un plazo de uno a tres años tras la supresión de las descripciones.

5. Los registros podrán conservarse más tiempo si son necesarios para procedimientos de control ya en curso.

6. Las autoridades competentes nacionales encargadas de controlar la legalidad de la consulta, supervisar la legalidad del tratamiento de datos, llevar a cabo un control interno y garantizar el correcto funcionamiento del N. SIS II y la integridad y seguridad de los datos, tendrán acceso, dentro de los límites de su competencia y previa petición, a dichos registros, a fin de que puedan desempeñar sus funciones.

Artículo 13.- Control interno.

Los Estados miembros velarán por que toda autoridad habilitada para acceder a los datos de SIS II tome las medidas necesarias para garantizar el cumplimiento del presente Reglamento y coopere, si fuera necesario, con la autoridad nacional de control.

Artículo 14.- Formación del personal.

Antes de quedar autorizado a tratar los datos almacenados en el SIS II, el personal de las autoridades que tengan derecho de acceso al SIS II recibirá la formación adecuada sobre normas de seguridad y protección de datos y será informado de los delitos y sanciones penales pertinentes.

CAPÍTULO III.- Responsabilidades de la autoridad de gestión

Artículo 15.- Gestión operativa.–

1. Después de un período transitorio, la gestión operativa del SIS II Central será competencia de una Autoridad de Gestión, que se financiará con cargo al presupuesto general de la Unión Europea. La Autoridad de Gestión se asegurará, en cooperación con los Estados miembros, de que en el SIS II Central se utilice en todo momento la mejor tecnología disponible, sobre la base de un análisis de costes y beneficios.

2. La Autoridad de Gestión será responsable así mismo de realizar las siguientes funciones relacionadas con la infraestructura de comunicación:

a) supervisión;

b) seguridad;

c) coordinación de las relaciones entre los Estados miembros y el proveedor.

3. La Comisión será responsable de todas las demás funciones relacionadas con la infraestructura de comunicación, a saber:

a) funciones de ejecución del presupuesto;

b) adquisición y renovación;

c) cuestiones contractuales.

4. Durante un período transitorio que concluirá cuando asuma sus responsabilidades la Autoridad de Gestión, la Comisión se encargará de la gestión operativa del SIS II Central. La Comisión podrá encomendar tanto dicho cometido como cometidos de ejecución del presupuesto, de acuerdo con el Reglamento (CE, Euratom) n.º 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas a organismos nacionales del sector público, en dos países diferentes.

5. Cada organismo nacional del sector público a que se refiere el apartado 4 deberá cumplir, en particular, los siguientes criterios de selección:

a) probar una dilatada experiencia para encargarse de un sistema de información de gran escala con las funciones contempladas en el artículo 4, apartado 4;

b) tener una dilatada experiencia en los requisitos de servicio y de seguridad de un sistema de información que sean comparables a las funciones contempladas en el artículo 4, apartado 4;

c) contar con personal suficiente y experimentado, que posea una experiencia profesional y unos conocimientos profesionales y linguisticos adecuados para trabajar en un entorno de cooperación internacional, como se requiere por el SIS II;

d) disponer de una infraestructura de instalaciones hecha a la medida y segura, que sea capaz, en particular, de respaldar y garantizar un funcionamiento ininterrumpido de sistemas informáticos de gran escala; y

e) desarrollar su actividad en un entorno administrativo que le permita desempeñar adecuadamente sus funciones y evitar conflictos de intereses.

6. Antes de proceder a la delegación a la que se refiere el apartado 4 y después de forma periódica, la Comisión informará al Parlamento Europeo y al Consejo de las condiciones de la delegación, de su alcance exacto y de los organismos en los que se han delegado funciones.

7. Si, durante el período transitorio, la Comisión delega sus responsabilidades con arreglo al apartado 4, se asegurará de que esta delegación respeta plenamente los límites impuestos por el sistema institucional establecido en el Tratado. Garantizará, en particular que dicha delegación no afecte negativamente a ningún mecanismo de control efectivo previsto en el derecho comunitario, corresponda ste al Tribunal de Justicia, al Tribunal de Cuentas o al Supervisor Europeo de Protección de Datos.

8. La gestión operativa del SIS II Central consistirá en todas las funciones necesarias para mantener el SIS II Central en funcionamiento durante las 24 horas del día, 7 días a la semana, de conformidad con el presente Reglamento y, en particular, en el trabajo de mantenimiento y de adaptación técnica necesario para el buen funcionamiento del sistema.

Artículo 16.- Seguridad.–

1. La Autoridad de Gestión, en lo referente al SIS II Central, y la Comisión, en lo referente a la infraestructura de comunicación, adoptarán las medidas adecuadas, incluido un plan de seguridad, para:

a) proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;

b) impedir que toda persona no autorizada acceda a las instalaciones utilizadas para el tratamiento de datos de carácter personal (control en la entrada de las instalaciones);

c) impedir que los soportes de datos puedan ser leídos, copiados, modificados o retirados por una persona no autorizada (control de los soportes de datos);

d) impedir que se introduzcan sin autorización en el fichero, o que puedan conocerse, modificarse o suprimirse sin autorización datos de carácter personal almacenados (control del almacenamiento);

e) impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos (control de los usuarios);

f) garantizar que, para la utilización de un sistema de tratamiento automatizado de datos, las personas autorizadas sólo puedan tener acceso a los datos que sean de su competencia y ello únicamente con identificaciones de usuario personales e intransferibles y con modos de acceso confidenciales (control del acceso);

g) establecer perfiles que describan las funciones y responsabilidades de las personas autorizadas a acceder a los datos o a las instalaciones utilizadas para el tratamiento de datos, y poner a disposición del Supervisor Europeo de Protección de Datos a que se refiere el artículo 45, sin dilación al recibir la solicitud de éste, esos perfiles (perfiles del personal);

h) garantizar la posibilidad de verificar y comprobar a que autoridades pueden ser remitidos datos de carácter personal a través de las instalaciones de transmisión de datos (control de la transmisión);

i) garantizar que pueda verificarse y comprobarse a posteriori que datos de carácter personal se han introducido en el sistema de tratamiento automatizado de datos, en que momento y por que persona han sido introducidos (control de la introducción);

j) impedir, en particular mediante técnicas adecuadas de criptografiado, que, en el momento de la transmisión de datos de carácter personal y durante el transporte de soportes de datos, los datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control del transporte);

k) vigilar la eficacia de las medidas de seguridad a que se refiere el presente apartado y adoptar las medidas de organización que sean necesarias en relación con la supervisión interna, a fin de garantizar el cumplimiento del presente Reglamento (control interno).

2. La Autoridad de Gestión adoptará, en relación con el intercambio de información complementaria mediante la infraestructura de comunicación, medidas equivalentes a las medidas de seguridad mencionadas en el apartado 1.

Artículo 17.- Confidencialidad – Autoridad de Gestión.–

1. Sin perjuicio del artículo 17 del Estatuto de los funcionarios de las Comunidades Europeas, la Autoridad de Gestión aplicará normas adecuadas sobre secreto profesional u otras obligaciones equivalentes de confidencialidad a todo miembro de su personal que vaya a trabajar con datos del SIS II, a niveles comparables a los previstos en el artículo 11 del presente Reglamento. Esta obligación seguirá siendo aplicable después del cese en el cargo o el empleo de dichas personas o tras la terminación de sus actividades.

2. La Autoridad de Gestión adoptará medidas equivalentes a las mencionadas en el apartado 1 por lo que se refiere a la confidencialidad con respecto al intercambio de información complementaria a través de la infraestructura de comunicaciones.

Artículo 18.- Conservación de registros centrales.–

1. La Autoridad de Gestión garantizará que todo acceso a datos personales y todo intercambio de datos personales en la CS-SIS queden registrados a los efectos que establece el artículo 12, apartados 1 y 2.

2. Los registros contendrán, en particular, el historial de las descripciones, la fecha y hora de transmisión de los datos, los datos utilizados para realizar una consulta, la referencia de los datos transmitidos y la identificación de la autoridad competente responsable del tratamiento de los datos.

3. Los registros sólo podrán utilizarse para los fines establecidos en el apartado 1 y se suprimirán en un plazo mínimo de un año y máximo de tres años después de su creación. Los registros que incluyan el historial de las descripciones serán borrados transcurrido un plazo de uno a tres años tras la supresión de las descripciones.

4. Los registros podrán conservarse más tiempo si son necesarios para procedimientos de control ya en curso.

5. Las autoridades competentes encargadas de controlar la legalidad de la consulta, supervisar la legalidad del tratamiento de datos, llevar a cabo un control interno y garantizar el correcto funcionamiento de la CS-SIS y la integridad y seguridad de los datos, tendrán acceso, dentro de los límites de su competencia y previa petición, a dichos registros, a fin de que puedan desempeñar sus funciones.

Artículo 19.- Campaña de información.

La Comisión, en cooperación con las autoridades nacionales de control y con el Supervisor Europeo de Protección de Datos, hará coincidir la puesta en marcha del SIS II con una campaña de información por medio de la cual dará a conocer al público los objetivos, los datos almacenados, las autoridades con acceso y los derechos de las personas. Tras su establecimiento, la Autoridad de Gestión, en cooperación con las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos, repetirá estas campañas periódicamente. Los Estados miembros, en cooperación con las autoridades nacionales de control, idearán y realizarán las actuaciones necesarias para informar al conjunto de sus ciudadanos sobre el SIS II en general.

CAPÍTULO IV.- Descripciones sobre nacionales de terceros países introducidas a efectos de denegación de entrada o de estancia

Artículo 20.- Categorías de datos.

1. Sin perjuicio de lo dispuesto en el artículo 8, apartado 1, ni de las disposiciones del presente Reglamento relativas al almacenamiento de datos adicionales, el SIS II incluirá exclusivamente las categorías de datos que proporciona cada uno de los Estados miembros y que son necesarias para los fines previstos en el artículo 24.

2. La información sobre personas descritas será como máximo la siguiente:

a) los nombres y apellidos, los nombres y apellidos de nacimiento, los nombres y apellidos anteriores y los alias, en su caso registrados por separado;

b) los rasgos físicos particulares, objetivos e inalterables;

c) el lugar y la fecha de nacimiento;

d) el sexo;

e) fotografías;

f) las impresiones dactilares;

g) la nacionalidad o nacionalidades;

h) la indicación de que las personas de que se trate estan armadas, son violentas o se han escapado;

i) el motivo de la inscripción;

j) la autoridad informadora;

k) una referencia a la decisión que haya dado lugar a la descripción;

l) la conducta que debe observarse;

m) la conexión o conexiones con otras descripciones introducidas en el SIS II, con arreglo al artículo 37.

3. Las normas técnicas necesarias para la introducción, actualización, supresión y consulta de los datos enumerados en el apartado 2 y el acceso a ellos, se establecerán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

4. Las normas técnicas necesarias para la consulta de los datos a que se refiere el apartado 2 serán similares a las aplicables a las consultas en la CS-SIS, en las copias nacionales y en las copias técnicas a que se refiere el artículo 31, apartado 2.

Artículo 21.- Proporcionalidad.

El Estado miembro informador comprobará si el caso es adecuado, pertinente e importante como para justificar la introducción de la descripción en el SIS II.

Artículo 22.- Normas específicas para las fotografías y las impresiones dactilares.

Las fotografías e impresiones dactilares contempladas en las letras e) y f) del apartado 2 del artículo 20 se utilizarán respetando las siguientes disposiciones:

a) las fotografías e impresiones dactilares sólo se introducirán tras ser sometidas a un control de calidad especial para verificar que satisfacen unas normas mínimas de calidad de los datos; las especificaciones relativas al control de calidad especial se establecerán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión;

b) las fotografías y las impresiones digitales sólo se utilizarán para confirmar la identidad de un nacional de un país tercero que haya sido encontrado como consecuencia de una consulta alfanumérica realizada en el SIS II;

c) tan pronto como sea técnicamente posible, las impresiones digitales podrán utilizarse también para identificar a un nacional de un país tercero basándose en su identificador biométrico. Antes de que se incorpore esta función en el SIS II, la Comisión presentará un informe sobre la disponibilidad y preparación de la tecnología necesaria, para lo que se consultará al Parlamento Europeo.

Artículo 23.– Requisitos para introducir una descripción.

1. No podrá introducirse una descripción sin los datos a que se refieren el artículo 20, apartado 2, letras a), d), k) y l).

2. Además, cuando estén disponibles, se introducirán todos los demás datos a los que se refiere el artículo 20, apartado 2.

Artículo 24.- Condiciones para introducir descripciones a efectos de denegación de entrada o de estancia.

1. Los datos relativos a los nacionales de terceros países para los que se haya introducido una descripción a efectos de denegación de entrada o estancia se introducirán sobre la base de una descripción nacional resultante de una decisión adoptada, observando las normas de procedimiento previstas por la legislación nacional, por las autoridades administrativas o por los órganos jurisdiccionales competentes. Esta decisión sólo podrá tomarse sobre la base de una evaluación del caso concreto. Los recursos contra esta decisión se interpondrán con arreglo a la legislación nacional.

2. Podrá introducirse una descripción cuando la decisión a que se refiere el apartado 1 se base en la amenaza que para el orden público o la seguridad nacional pueda constituir la presencia de un nacional de un tercer país en el territorio de un Estado miembro. Este será particularmente el caso:

a) de un nacional de un tercer país que haya sido condenado en un Estado miembro por un delito sancionado con una pena privativa de libertad de un año como mínimo;

b) de un nacional de un tercer país sobre el cual existan razones serias para creer que ha cometido delitos graves, o sobre el cual existan indicios claros de que piensa cometer tales delitos en el territorio de un Estado miembro.

3. Podrá introducirse así mismo una descripción cuando la decisión a que se refiere el apartado 1 se haya basado en el hecho de que el nacional del tercer país haya sido objeto de una medida de expulsión, denegación de entrada o traslado que no haya sido revocada ni suspendida y que incluya o vaya acompañada de una prohibición de entrada o, en su caso, de residencia, basada en el incumplimiento de normas nacionales relativas a la entrada o a la residencia de nacionales de terceros países.

4. El presente artículo no se aplicará respecto de las personas a que se refiere el artículo 26.

5. La Comisión revisará, tres años después de la fecha mencionada en el artículo 55, apartado 2, la aplicación del presente artículo. Sobre la base de dicha revisión, la Comisión, en el ejercicio del derecho de iniciativa que le confiere el Tratado, formulará las propuestas necesarias para modificar las disposiciones del presente artículo para obtener un mayor nivel de armonización de los criterios para introducir descripciones.

Artículo 25. – Condiciones para la introducción de descripciones de nacionales de terceros países beneficiarios del derecho a la libre circulación en la Comunidad.

1. Toda descripción relativa a un nacional de un tercer país que sea beneficiario del derecho de libre circulación en la Comunidad en el sentido de la Directiva 2004/38/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la Unión y de los miembros de sus familias a circular y residir libremente en el territorio de los Estados miembros, se basará en las normas adoptadas para la aplicación de la citada Directiva.

2. Si se obtiene una respuesta positiva en relación con una descripción introducida de conformidad con el artículo 24 relativa a un nacional de un tercer país que goce del derecho de libre circulación en la Comunidad, el Estado miembro de ejecución de la descripción consultará inmediatamente al Estado miembro informador, a través de su Oficina SIRENE y de conformidad con lo dispuesto en el　Manual SIRENE, para decidir sin dilación la acción que debe emprenderse.

Artículo 26.- Condiciones para la introducción de descripciones de nacionales de terceros países sujetos a una medida restrictiva tomada en virtud del artículo 15 del Tratado de la Unión Europea.

1. En la medida en que puedan satisfacerse los requisitos de calidad de datos, y sin perjuicio del artículo 25, podrán introducirse en el SIS II, a efectos de denegación de entrada o estancia, las descripciones de los nacionales de terceros países objeto de una medida restrictiva destinada a impedir la entrada en el territorio de los Estados miembros o el transito por el, cuando dicha medida haya sido adoptada de conformidad con el artículo 15 del Tratado de la Unión Europea, incluidas las medidas de aplicación de una prohibición de viajar decidida por el Consejo de Seguridad de las Naciones Unidas.

2. El artículo 23 no se aplicará respecto de las descripciones introducidas sobre la base del apartado 1 del presente artículo.

3. El Estado miembro que deba introducir, actualizar y suprimir dichas descripciones en nombre de todos los Estados miembros será designado en el momento de adoptarse la correspondiente medida, de conformidad con el artículo 15 del Tratado de la Unión Europea.

Artículo 27.- Autoridades con derecho de acceso a las descripciones.–

1. El acceso a los datos introducidos en el SIS II y el derecho de consultarlos, directamente o en una copia de los datos del SIS II, estarán reservados exclusivamente a las autoridades competentes para la identificación de nacionales de terceros países a efectos de:

a) control de fronteras, de conformidad con el Reglamento (CE) n.º 562/2006 del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, por el que se establece un Codigo comunitario de normas para el cruce de personas por las fronteras (Codigo de fronteras Schengen);

b) las demás comprobaciones de policía y de aduanas realizadas dentro del Estado miembro de que se trate, así como su coordinación por las autoridades designadas.

2. No obstante, el acceso a los datos introducidos en el SIS II y el derecho a consultarlos directamente podrán ser ejercidos así mismo por las autoridades judiciales nacionales, entre otras por aquellas competentes para incoar el procedimiento penal y la instrucción judicial previa a una acusación, en el desempeño de sus funciones, según disponga la legislación nacional, así como por sus autoridades de coordinación.

3. Además, el acceso a los datos introducidos de conformidad con el artículo 24 y a los datos relativos a documentos referentes a personas introducidos de conformidad con las letras d) y e) del apartado 2 del artículo 38 de la Decisión 2006/000/JAI, así como el derecho a consultarlos directamente, podrán ser ejercidos por las autoridades competentes para la expedición de visados, por las autoridades centrales competentes para el examen de las solicitudes de visado y por las autoridades competentes para la expedición de permisos de residencia y para la aplicación de la legislación sobre nacionales de terceros países en el marco de la aplicación del acervo comunitario relativo a la circulación de las personas. El acceso a los datos por parte de dichas autoridades estará regulado por el Derecho nacional de cada Estado miembro.

4. Las autoridades a que se refiere el presente artículo estarán incluidas en la lista a que se refiere el artículo 31, apartado 8.

Artículo 28.- Límites del derecho de acceso.

Los usuarios podrán acceder únicamente a los datos que sean necesarios para el cumplimiento de sus funciones.

Artículo 29.- Período de conservación de las descripciones.

1. Las descripciones de personas introducidas en el SIS II con arreglo al presente Reglamento sólo se conservarán durante el tiempo necesario para alcanzar los fines para los que hayan sido introducidas.

2. En un plazo máximo de tres años tras la introducción de una descripción de este tipo en el SIS II, el Estado miembro que la haya introducido examinará la necesidad de mantenerla.

3. Cada Estado miembro fijará, cuando corresponda, unos plazos de examen más cortos con arreglo a su Derecho nacional.

4. El Estado miembro informador podrá decidir durante el plazo de examen, tras una evaluación global del caso concreto de la que deberá quedar constancia, que se prolongue la descripción, siempre que ello sea necesario para los fines que motivaron la descripción. En este caso, el apartado 2 se aplicará también a la prolongación. La prolongación de la descripción deberá ser comunicada a la CS-SIS.

5. Las descripciones se borrarán automáticamente una vez transcurrido el período de examen a que se refiere el apartado 2. Ello no se aplicará en caso de que el Estado miembro que haya introducido la descripción hubiera comunicado la prolongación de la descripción a la CS-SIS, tal como se contempla en el apartado 4. La CS-SIS informará automáticamente a los Estados miembros de la supresión programada de datos del sistema, con un preaviso de cuatro meses.

6. Los Estados miembros llevarán estadísticas del número de descripciones cuyo período de conservación se haya prolongado con arreglo al apartado 4.

Artículo 30.- Adquisición de la ciudadanía y descripciones.

Las descripciones de personas que hayan adquirido la ciudadanía de cualquiera de los Estados cuyos nacionales sean beneficiarios del derecho de libre circulación en la Comunidad serán borradas en cuanto el Estado miembro informador sea informado de ello con arreglo al artículo 34 o tenga conocimiento de que la persona en cuestión ha adquirido dicha ciudadanía.

CAPÍTULO V.- Normas generales de tratamiento de datos

Artículo 31.- Tratamiento de los datos del SIS II.

1. Los Estados miembros podrán tratar los datos contemplados en el artículo 20 a efectos de denegación de entrada o estancia en sus territorios.

2. Los datos sólo podrán copiarse con fines técnicos, siempre que sea necesario para la consulta directa por las autoridades mencionadas en el artículo 27. Las disposiciones del presente Reglamento se aplicarán a esas copias. Las descripciones de otros Estados miembros no podrán copiarse del N-SIS II a otros ficheros de datos nacionales.

3. Las copias técnicas mencionadas en el apartado 2, que den lugar a bases de datos fuera de línea, sólo podrán conservarse un período de 48 horas como máximo. Dicho período podrá prorrogarse en una emergencia hasta que concluya la misma.

No obstante lo dispuesto en el párrafo primero, las copias técnicas que den lugar a bases de datos fuera de línea para uso de las autoridades responsables de la expedición de visados, ya no estarán permitidas al año de conectarse dichas autoridades a la infraestructura de comunicación del Sistema de Información de Visados que se establecerá en un futuro reglamento sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros. Esta disposición no se aplicará a las copias que se hagan con el unico fin de utilizarlas en situaciones de emergencia ante la imposibilidad de acceder a la red durante más de 24 horas.

Los Estados miembros mantendrán un inventario actualizado de esas copias, que será accesible a las autoridades nacionales de control, y se asegurarán de que se apliquen a dichas copias las disposiciones del presente Reglamento, en particular lo dispuesto en el artículo 10.

4. El acceso a los datos sólo se autorizará dentro de los límites de la competencia de las autoridades nacionales a que se refiere el artículo 27 y al personal debidamente autorizado.

5. Los datos no podrán utilizarse con fines administrativos. A modo de excepción, las autoridades a las que se refiere el artículo 27, apartado 3 podrán utilizar, con arreglo a la legislación nacional de cada Estado miembro, los datos introducidos en virtud del presente Reglamento en el desempeño de sus funciones.

6. Los datos introducidos en virtud del artículo 24 del presente Reglamento y los datos relativos a documentos referentes a personas introducidos con arreglo a las letras d) y e) del apartado 2 del artículo 38 de la Decisión 2006/000/JAI podrán utilizarse para los fines previstos en el artículo 27, apartado 3, del presente Reglamento, de conformidad con la legislación nacional de cada Estado miembro.

7. Toda utilización de datos que no sea conforme con los apartados 1 a 6 se considerará como una desviación de la finalidad con arreglo al Derecho nacional de cada Estado miembro.

8. Cada Estado miembro remitirá a la Autoridad de Gestión la lista de las autoridades competentes que estén autorizadas a consultar directamente los datos del SIS II con arreglo al presente Reglamento, así como cualquier modificación introducida en ella. En la lista se indicará, para cada autoridad, los datos que puede consultar y para que fines. La Autoridad de Gestión garantizará la publicación anual de la lista en el Diario Oficial de la Unión Europea.

9. Siempre que el Derecho comunitario no establezca disposiciones particulares, se aplicará el Derecho de cada Estado miembro a los datos introducidos en su N. SIS. II.

Artículo 32.- Datos del SIS II y ficheros nacionales.

1. El artículo 31, apartado 2, se entenderá sin perjuicio del derecho de los Estados miembros a conservar en sus ficheros nacionales datos del SIS II en relación con los cuales se haya emprendido una acción en su territorio. Dichos datos se conservarán en los archivos nacionales durante un período máximo de tres años, salvo si la legislación nacional contiene disposiciones específicas que prevean un período de conservación más largo.

2. El artículo 31, apartado 2, se entenderá sin perjuicio del derecho de los Estados miembros a conservar en sus ficheros nacionales los datos contenidos en una descripción concreta que dicho Estado miembro haya introducido en el SIS II.

Artículo 33.- Información en caso de no ejecución de la descripción.

Si no fuera posible ejecutar una acción requerida, el Estado miembro requerido informará de ello inmediatamente al Estado miembro que haya introducido la descripción.

Artículo 34.- Calidad de los datos tratados en el SIS II.

1. El Estado miembro informador será responsable de la exactitud y actualidad de los datos y de la licitud de su introducción en el SIS II.

2. El Estado miembro informador será el único autorizado para modificar, completar, rectificar, actualizar o suprimir los datos que haya introducido.

3. Si un Estado miembro distinto del Estado informador dispusiera de indicios que hagan presumir que un dato contiene errores de hecho o de derecho, informará de ello, mediante el intercambio de información complementaria, al Estado miembro informador en cuanto sea posible y, en cualquier caso, antes de que transcurran diez días desde el momento en que tuvo conocimiento de los mencionados indicios. El Estado miembro informador comprobará la comunicación y, en caso necesario, corregirá o suprimirá sin demora el dato.

4. Si los Estados miembros no pudieran llegar a un acuerdo en el plazo de dos meses, el Estado miembro que no hubiere introducido la descripción someterá el caso al Supervisor Europeo de Protección de Datos que actuará como mediador junto con las autoridades nacionales de control implicadas.

5. Los Estados miembros intercambiarán información complementaria siempre que una persona alegue no ser la persona buscada mediante la descripción. Si, como resultado de las verificaciones realizadas, se comprobará que se trata en efecto de dos personas diferentes, se informará al interesado de las disposiciones mencionadas en el artículo 36.

6. En caso de que una persona ya haya sido objeto de una descripción en el SIS II, el Estado miembro que introduzca una nueva descripción se pondrá de acuerdo sobre la introducción de la descripción con el Estado miembro que hubiere introducido la primera descripción. Este acuerdo deberá basarse en el intercambio de información complementaria.

Artículo 35.- Distinción entre personas con características similares.

Cuando, al introducirse una nueva descripción, resulte que ya hay una persona en el SIS II con el mismo elemento descriptivo de identidad, deberá seguirse el siguiente procedimiento:

a) el Servicio Nacional SIRENE entablará contacto con la autoridad solicitante para comprobar si se trata de la misma persona o no;

b) si de la comprobación entre la nueva descripción y la persona que ya esta en el SIS II resulta que se trata efectivamente de la misma persona, el Servicio Nacional SIRENE aplicará el procedimiento de integración de descripciones múltiples previsto en el artículo 34, apartado 6. Si el resultado de la comprobación indicare que se trata en efecto de dos personas diferentes, el Servicio Nacional SIRENE aprobará la solicitud de introducción de la segunda descripción añadiendo los elementos necesarios para evitar cualquier error de identificación.

Artículo 36.- Datos adicionales en caso de usurpación de identidad.

1. En caso de que pueda surgir confusión entre la persona a la que realmente se refiere una descripción y otra persona cuya identidad haya sido usurpada, el Estado miembro que introdujo la descripción añadirá a la descripción datos sobre la segunda persona, con el consentimiento explicito de esta, a fin de evitar las consecuencias negativas de los errores de identificación.

2. Los datos relacionados con una persona cuya identidad ha sido usurpada sólo se utilizarán para los siguientes fines:

a) permitir a la autoridad competente diferenciar a la persona cuya identidad ha sido usurpada de la persona a la que realmente se refiere la descripción;

b) permitir a la persona cuya identidad ha sido usurpada demostrar su identidad y establecer que su identidad ha sido usurpada.

3. A efectos del presente artículo, sólo podrán introducirse y tratarse en el SIS II los datos personales siguientes:

a) los nombres y apellidos, los nombres y apellidos de nacimiento, los nombres y apellidos anteriores y los alias, en su caso registrados por separado;

b) los rasgos físicos particulares, objetivos e inalterables;

c) el lugar y la fecha de nacimiento;

d) el sexo;

e) fotografías;

f) las impresiones dactilares;

g) la nacionalidad o nacionalidades;

h) el número del documento o documentos de identidad y la fecha de expedición.

4. Las normas técnicas necesarias para la introducción, actualización y supresión de los datos enumerados en el apartado 3 se establecerán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

5. Los datos a que se refiere el apartado 3 serán borrados al mismo tiempo que la descripción correspondiente, o antes si la persona lo solicita.

6. sólo las autoridades que tienen derecho de acceso a la descripción correspondiente podrán acceder a los datos a que se refiere el apartado 3. Podrán acceder a ellos únicamente para evitar errores de identificación.

Artículo 37.- Conexiones entre descripciones.

1. Todo Estado miembro podrá crear conexiones entre las descripciones que introduzca en el SIS II. El efecto de estas conexiones será establecer una relación entre dos o más descripciones.

2. La creación de una conexión no afectará a la acción específica que deba emprenderse a partir de cada descripción conectada, ni al período de conservación de cada una de las descripciones conectadas.

3. La creación de una conexión no afectará a los derechos de acceso regulados en el presente Reglamento. Las autoridades que no tengan derecho de acceso a determinadas categorías de descripciones no podrán ver las conexiones con una descripción a la que no tengan acceso.

4. Los Estados miembros crearán una conexión entre descripciones únicamente cuando sea claramente necesario desde un punto de vista operativo.

5. Los Estados miembros podrán crear conexiones de acuerdo con su legislación nacional, siempre y cuando cumplan con los principios expuestos en el presente artículo.

6. Cuando un Estado miembro considere que la creación de una conexión entre descripciones por otro Estado miembro es incompatible con su legislación nacional o sus obligaciones internacionales, podrá adoptar las medidas necesarias para garantizar que no pueda accederse a la conexión desde su territorio nacional o para impedir que las autoridades nacionales situadas fuera de su territorio puedan acceder a ella.

7. Las normas técnicas sobre conexión entre descripciones se adoptarán de conformidad con el procedimiento contemplado en el artículo 51, apartado 2, sin perjuicio de lo dispuesto en el instrumento por el que se establece la Autoridad de Gestión.

Artículo 38.- Finalidad y período de conservación de la información complementaria.

1. Los Estados miembros conservarán una referencia de las decisiones que han dado lugar a una descripción en el Servicio Nacional SIRENE, para apoyar el intercambio de información complementaria.

2. Los datos de carácter personal conservados en ficheros por el Servicio Nacional SIRENE como resultado de un intercambio de información sólo se conservarán el tiempo que sea necesario para lograr los fines para los que hayan sido facilitados. En cualquier caso, se suprimirán a más tardar un año después de que la descripción relacionada con la persona de que se trate se haya suprimido del SIS II.

3. El apartado 2 se entenderá sin perjuicio del derecho de un Estado miembro a conservar en los ficheros nacionales datos relativos a una descripción particular que dicho Estado miembro haya introducido o a una descripción en relación con la cual se haya emprendido una acción en su territorio. El período durante el que podrán conservarse dichos datos en esos ficheros se regirá por la legislación nacional.

Artículo 39.- Transferencia de datos personales a terceras partes.

Los datos tratados en el SIS II en virtud del presente Reglamento no se transferirán a terceros países ni a organizaciones internacionales, ni se pondrán a su disposición.

CAPÍTULO VI.- Protección de los datos

Artículo 40.- Tratamiento de las categorías sensibles de datos

Estará prohibido el tratamiento de las categorías de datos enumeradas en el artículo 8, apartado 1, de la Directiva 95/46/CE.

Artículo 41. – Derecho de acceso, rectificación de datos que contengan errores y supresión de datos que se hayan almacenado de manera ilegal.

1. El derecho de toda persona a acceder a los datos que se refieran a ella y estén introducidos en el SIS II de conformidad con el presente Reglamento se ejercerá respetando el derecho del Estado miembro ante el que se hubiere invocado tal derecho.

2. Si el Derecho nacional así lo dispone, la autoridad nacional de control decidirá si se facilita información y con arreglo a que modalidades.

3. Un Estado miembro que no sea el Estado informador no podrá facilitar información relativa a dichos datos, a no ser que previamente hubiere dado al Estado miembro informador la ocasión de pronunciarse al respecto. Esto se llevará a cabo a través del intercambio de información complementaria.

4. Cuando sea indispensable para la ejecución de una medida legal consignada en la descripción o para la protección de los derechos y libertades de terceros, no se comunicará la información a la persona interesada.

5. Toda persona tiene derecho a hacer rectificar datos sobre su persona que contengan errores de hecho o a hacer suprimir datos sobre su persona que contengan errores de derecho.

6. Se informará a la persona interesada lo antes posible y en cualquier caso en el plazo máximo de sesenta días desde la fecha en que solicito el acceso o antes, si la legislación nacional así lo dispone.

7. Se informará a la persona interesada lo antes posible del resultado del ejercicio de sus derechos de rectificación y supresión y, en todo caso, en el plazo máximo de tres meses desde la fecha en que solicito la rectificación o la supresión o antes, si la legislación nacional así lo dispone.

Artículo 42.- Derecho de información.

1. Los nacionales de terceros países objeto de una descripción introducida con arreglo al presente Reglamento serán informados de ello en virtud de los artículos 10 y 11 de la Directiva 95/46/CE. Esta información se facilitará por escrito, junto con una copia de la decisión nacional que causo la introducción de la descripción, mencionada en el artículo 24, apartado 1, o una referencia a dicha decisión.

2. En ningún caso se proporcionará esta información:

a) cuando

i) los datos personales no se hayan obtenido del nacional del tercer país en cuestión, y

ii) proporcionar esta información resulte imposible o requiera un esfuerzo desproporcionado;

b) cuando el nacional del país tercero en cuestión ya tenga la información;

c) cuando el Derecho nacional permita la restricción del derecho de información, en particular para salvaguardar la seguridad nacional, la defensa, la seguridad publica y la prevención, investigación, detección y persecución de delitos.

Artículo 43.- Recursos.

1. Toda persona podrá emprender acciones ante el órgano jurisdiccional o la autoridad competente en virtud del Derecho nacional de cualquier Estado miembro, para acceder, rectificar, suprimir u obtener información o para obtener una indemnización en relación con una descripción que se refiera a ella.

2. Los Estados miembros se comprometen mutuamente a ejecutar las resoluciones definitivas dictadas por los órganos jurisdiccionales o las autoridades mencionadas en el apartado 1, sin perjuicio de lo dispuesto en el　artículo 48.

3. La Comisión evaluará las normas sobre recursos establecidas en el presente artículo antes del 17 de enero de 2009.

Artículo 44.- Supervisión de las N. SIS II.

1. La autoridad o autoridades designadas en cada Estado miembro e investidas de los poderes a que se refiere el artículo 28 de la Directiva 95/46/CE (autoridades nacionales de control) supervisarán con toda independencia la legalidad del tratamiento de los datos personales del SIS II dentro de su territorio y a partir de él, incluido el intercambio y posterior tratamiento de la información complementaria.

2. La autoridad nacional de control velará por que, al menos cada cuatro años, se lleve a cabo una auditoría de las operaciones de tratamiento de datos en los N. SIS II siguiendo normas de auditoría internacionales.

3. Los Estados miembros velarán por que la autoridad nacional de control disponga de medios suficientes para desempeñar las funciones que se le encomiende en virtud del presente Reglamento.

Artículo 45.- Supervisión de la Autoridad de Gestión.

1. El Supervisor Europeo de Protección de Datos controlará que las actividades de tratamiento de datos personales de la Autoridad de Gestión sean conformes al presente Reglamento. En consecuencia, serán de aplicación las disposiciones sobre funciones y competencias del Supervisor Europeo de Datos previstas en los artículos 46 y 47 del Reglamento (CE) n.º 45/2001.

2. El Supervisor Europeo de Protección de Datos velará por que, al menos cada cuatro años, se lleve a cabo una auditoría de las actividades de tratamiento de datos personales de la Autoridad de Gestión siguiendo normas de auditoría internacionales. El informe de la auditoría se enviará al Parlamento Europeo, al Consejo, a la Autoridad de Gestión, a la Comisión y a las autoridades nacionales de control. Deberá darse a la Autoridad de Gestión la oportunidad de formular comentarios antes de que el informe sea adoptado.

Artículo 46. – Cooperación entre las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos.

1. Las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos, cada uno dentro del ámbito de sus competencias respectivas, cooperarán activamente en el marco de sus responsabilidades y garantizarán una supervisión coordinada del SIS II.

2. A dicho efecto, cada uno dentro del ámbito de sus competencias respectivas, intercambiarán la información pertinente, se asistirán mutuamente en la realización de inspecciones y auditorías, estudiarán las dificultades de interpretación y aplicación del presente Reglamento, examinarán los problemas que se planteen en el ejercicio del control independiente o al ejercer sus derechos el interesado, elaborarán propuestas armonizadas para hallar soluciones comunes a los problemas y fomentarán el conocimiento de los derechos en materia de protección de datos, en la medida necesaria.

3. Las autoridades nacionales de control y el Supervisor Europeo de Protección de Datos se reunirán con este objeto al menos dos veces al año. Los gastos y la organización de las reuniones correrán a cargo del Supervisor Europeo de Protección de Datos. El reglamento interno se adoptará en la primera reunión. Los métodos de trabajo se irán desarrollando conjuntamente y en función de las necesidades. Cada dos años se remitirá al Parlamento Europeo, al Consejo, a la Comisión y a la Autoridad de Gestión un informe conjunto sobre las actividades realizadas.

Artículo 47.- Protección de datos durante el período transitorio.

En caso de que, durante el período transitorio, la Comisión delegue sus responsabilidades en otro organismo, con arreglo al artículo 15, apartado 4, se asegurará de que el Supervisor Europeo de Protección de Datos tenga el derecho y la posibilidad de desempeñar plenamente sus funciones, incluida la posibilidad de realizar comprobaciones in situ, o de ejercer cualesquiera otras competencias que le hayan sido conferidas en virtud del artículo 47 del Reglamento (CE) n.º 45/2001.

CAPÍTULO VII.- Responsabilidad y sanciones

Artículo 48.- Responsabilidad.

1. Cada Estado miembro será responsable, con arreglo a su Derecho nacional, de cualquier daño ocasionado a una persona como consecuencia de la utilización del N. SIS II. Lo mismo ocurrirá cuando los daños hayan sido causados por el Estado miembro informador, si éste hubiere introducido datos que contengan errores de hecho o de forma ilegal.

2. Si el Estado miembro contra el que se entable una acción no fuera el Estado miembro informador, este último estará obligado a reembolsar, previa petición, las cantidades pagadas en concepto de indemnización, a no ser que los datos hubieren sido utilizados por el Estado miembro que requiera el reembolso incumpliendo el presente Reglamento.

3. Si el incumplimiento por un Estado miembro de las obligaciones que le impone el presente Reglamento causa daños al SIS II, dicho Estado será considerado responsable de los daños, salvo en caso de que la Autoridad de Gestión u otro Estado miembro que participe en el SIS II no haya adoptado medidas razonables para prevenir los daños o para reducir al mínimo sus efectos.

Artículo 49.- Sanciones.

Los Estados miembros garantizarán que toda utilización incorrecta de los datos del SIS II y todo intercambio de información complementaria contrario a lo dispuesto en el presente Reglamento estén sujetos a sanciones eficaces, proporcionadas y disuasorias, con arreglo a la legislación nacional.

CAPÍTULO VIII.- Disposiciones finales

Artículo 50.- Seguimiento y estadísticas.

1. La Autoridad de Gestión garantizará el establecimiento de procedimientos para el control del funcionamiento del SIS II en relación con los objetivos, los resultados, la rentabilidad, la seguridad y la calidad del servicio.

2. A efectos de mantenimiento técnico, elaboración de informes y estadísticas, la Autoridad de Gestión tendrá acceso a la información necesaria relacionada con las operaciones de tratamiento que se realizan en el SIS II Central.

3. Cada año, la Autoridad de Gestión publicará estadísticas que muestren el número de registros por categoría de descripción, el número de respuestas positivas por categoría de descripción y el número de ocasiones en que se ha accedido al SIS II, indicando en cada caso el número total y el número correspondiente a cada Estado miembro.

4. Transcurridos dos años desde la entrada en funcionamiento del SIS II y, a continuación, cada dos años, la Autoridad de Gestión presentará al Parlamento Europeo y al Consejo un informe sobre el funcionamiento técnico del SIS II Central y la infraestructura de comunicación, incluida su seguridad, el intercambio bilateral y multilateral de información complementaria entre los Estados miembros.

5. Transcurridos tres años desde la entrada en funcionamiento del SIS II y, a continuación, cada cuatro años, la Comisión elaborará una evaluación global del SIS II Central y del intercambio bilateral y multilateral de información complementaria entre los Estados miembros. Esta evaluación global incluirá un examen de los resultados obtenidos en relación con los objetivos, evaluará si los principios básicos siguen siendo válidos, la aplicación del presente Reglamento con respecto al SIS II Central, la seguridad del SIS II Central, así como cualquier consecuencia de las futuras operaciones. La Comisión remitirá los informes de evaluación al Parlamento Europeo y al Consejo.

6. Los Estados miembros facilitarán a la Autoridad de Gestión y a la Comisión la información necesaria para elaborar los informes a que se refieren los apartados 3, 4 y 5.

7. La Autoridad de Gestión facilitará a la Comisión la información necesaria para elaborar las evaluaciones globales a que se refiere el apartado 5.

8. Durante un período transitorio antes de que la Autoridad de Gestión asuma sus funciones, la Comisión será responsable de la elaboración y de la presentación de los informes a que se refieren los apartados 3 y 4.

Artículo 51.- Comité.

1. La Comisión estará asistida por un comité.

2. En los casos en que se haga referencia al presente apartado, serán de aplicación los artículos 5 y 7 de la Decisión 1999/468/CE, observando lo dispuesto en su artículo 8.

El plazo contemplado en el apartado 6 del artículo 5 de la Decisión 1999/468/CE queda fijado en tres meses.

3. El Comité ejercerá sus funciones a partir del día de la entrada en vigor del presente Reglamento.

Artículo 52.- Modificación de las disposiciones del acervo de Schengen.

1. Con respecto a las materias que entran en el ámbito de aplicación del Tratado CE, el presente Reglamento sustituye, a partir de la fecha mencionada en el artículo 55, apartado 2, a lo dispuesto en los artículos 92 a 119 del Convenio de Schengen, con excepción de su artículo 102 bis.

2. También sustituye, a partir de la fecha mencionada en el artículo 55, apartado 2, a las siguientes disposiciones de desarrollo del acervo de Schengen referentes a dichos artículos:

a) Decisión del Comité ejecutivo de 14 de diciembre de 1993 sobre el Reglamento financiero relativo a los gastos de instalación y de funcionamiento del Sistema de Información de Schengen (C. SIS) (SCH/Com-ex (93) 16);

b) Decisión del Comité ejecutivo de 7 de octubre de 1997 sobre el desarrollo del SIS (SCH/Com-ex (97) 24);

c) Decisión del Comité ejecutivo de 15 de diciembre de 1997 sobre la modificación del Reglamento financiero relativo al C. SIS (SCH/Com-ex (97) 35);

d) Decisión del Comité ejecutivo de 21 de abril de 1998 relativa al C. SIS con 15/18 conexiones (SCH/Com-ex (98) 11);

e) Decisión del Comité ejecutivo de 28 de abril de 1999 relativa al gasto de instalación del C. SIS (SCH/Com-ex (99) 4);

f) Decisión del Comité ejecutivo de 28 de abril de 1999 relativa a la actualización del Manual SIRENE (SCH/Com-ex (99) 5);

g) Declaración del Comité ejecutivo de 18 de abril de 1996 sobre la definición del concepto de extranjero (SCH/Com-ex (96) decl. 5);

h) Declaración del Comité ejecutivo de 28 de abril de 1999 relativa a la estructura del SIS (SCH/Com-ex (99) decl. 2 rev.);

i) Decisión del Comité ejecutivo de 7 de octubre de 1997 sobre las contribuciones de Noruega e Islandia a los costes de instalación y funcionamiento del C. SIS (SCH/Com-ex (97) 18).

3. Con respecto a las materias que entran en el ámbito de aplicación del Tratado CE, las referencias a los artículos sustituidos del Convenio de Schengen y a las disposiciones pertinentes del acervo de Schengen por las que se aplican dichos artículos, se considerarán como referencias al presente Reglamento.

Artículo 53.- Derogación.

Quedan derogados, a partir de la fecha mencionada en el artículo 55, apartado 2, el Reglamento (CE) n.° 378/2004 y el Reglamento (CE) n.° 871/2004, la Decisión 2005/451/JAI, la Decisión 2005/728/JAI y la Decisión 2006/628/CE.

Artículo 54.- Período transitorio y presupuesto.

1. Se transferirán las descripciones del SIS 1+ al SIS II. Los Estados miembros velarán por que el contenido de las descripciones transferidas desde el SIS 1+ al SIS II cumplan lo dispuesto en el presente Reglamento cuanto antes y a más tardar en el plazo de tres años a partir de la fecha mencionada en el artículo 55, apartado 2. Durante este período transitorio, los Estados miembros podrán seguir aplicando las disposiciones de los　artículos 94 y 96 del Convenio de Schengen al contenido de las descripciones transferidas del SIS 1+ al SIS II, a condición de que cumplan las siguientes normas:

a) Caso de efectuarse una modificación, adición, rectificación o actualización del contenido de una descripción transferida del SIS 1+ al SIS II, los Estados miembros garantizarán que la descripción cumpla las disposiciones del presente Reglamento desde el momento mismo de la modificación, adición, rectificación o actualización.

b) Caso de obtenerse una respuesta positiva respecto de una descripción transferida del SIS 1+ al SIS II, los Estados miembros examinarán la compatibilidad de dicha descripción con las disposiciones del presente Reglamento inmediatamente pero sin entorpecer la actuación consiguiente a la descripción.

2. En la fecha fijada con arreglo al artículo 55, apartado 2, el resto del presupuesto aprobado de conformidad con lo dispuesto en el artículo 119 del Convenio de Schengen se reembolsará a los Estados miembros. Las cantidades que deberán reembolsarse se calcularán tomando como base las contribuciones de los Estados miembros establecidas en la Decisión del Comité ejecutivo, de 14 de diciembre de 1993, sobre el Reglamento financiero relativo a los gastos de instalación y de funcionamiento del Sistema de Información de Schengen.

3. Durante el período transitorio a que se refiere el artículo 15, apartado 4, las referencias en el presente Reglamento a la Autoridad de Gestión se entenderán como referencias a la Comisión.

Artículo 55.- Entrada en vigor, aplicabilidad y migración.

1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2. Se aplicará a los Estados miembros que participan en el SIS 1+ a partir de la fecha que determine el Consejo por unanimidad de los miembros que representen a los gobiernos de los Estados miembros participantes en el SIS 1+.

3. La fecha a que se refiere el apartado 2 se fijará una vez que:

a) se hayan adoptado las medidas de aplicación necesarias;

b) todos los Estados miembros que participen plenamente en el SIS 1+ hayan notificado a la Comisión que han adoptado todas las medidas técnicas y legales necesarias para tratar los datos del SIS II e intercambiar la información complementaria;

c) la Comisión haya declarado la finalización con éxito de una prueba exhaustiva del SIS II, que deberá realizar la Comisión junto con los Estados miembros, y que los órganos preparatorios del Consejo hayan validado la propuesta de resultados de la prueba y confirmado que los resultados del SIS II son al menos de un nivel equivalente al del SIS 1+;

d) la Comisión haya adoptado las medidas técnicas necesarias para permitir que el SIS II Central esté conectado a los N. SIS II de los Estados miembros de que se trate.

4. La Comisión informará al Parlamento Europeo de los resultados de las pruebas realizadas de conformidad con el apartado 3, letra c).

5. Cualquier Decisión del Consejo adoptada de conformidad con el apartado 2 se publicará en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con el Tratado constitutivo de la Comunidad Europea.

El artículo 13 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, se refiere a las formas de identificación y autenticación y establece, en su apartado 2, los sistemas de firma electrónica que los ciudadanos podrán utilizar para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine.

El citado precepto se refiere expresamente a los sistemas de firma electrónica incorporados al Documento Nacional de Identidad para personas físicas, a los sistemas de firma electrónica avanzada incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas, y a otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

La Ley 59/2003, de 19 de diciembre, define la firma electrónica como «conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante». En esta definición tienen cabida los sistemas de firma aprobados en la presente Resolución.

Por otra parte, es importante destacar que en la citada Ley 11/2007 se establece como principio general de aplicación a las relaciones electrónicas con los ciudadanos el de proporcionalidad, en cuya virtud sólo se exigirán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones. De conformidad con el citado principio, se considera procedente la no exigencia de certificados electrónicos o el uso del Documento Nacional de Identidad electrónico para el caso de determinados trámites o actuaciones en los que concurran circunstancias que hagan aconsejable la admisión de otros sistemas de identificación electrónica, tales como los descritos en la presente Resolución.

El Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, contiene algunos preceptos relativos a los mencionados sistemas de firma electrónica. Concretamente, en su artículo 11 se refiere a «otros sistemas de firma electrónica» diferentes de los incorporados al Documento Nacional de Identidad y de los sistemas de firma electrónica avanzada, indicando que su admisión deberá aprobarse, en el caso de los organismos públicos, mediante resolución del titular en el caso de los organismos públicos, previo informe del Consejo Superior de Administración Electrónica.

La Disposición transitoria primera del Real Decreto 1671/2009 ha permitido la utilización de los medios de identificación y autenticación que vinieran admitiéndose hasta la aprobación de los Esquemas Nacionales de Interoperabilidad y Seguridad, lo que ha tenido lugar, respectivamente, mediante los Reales Decretos 4/2010 y 3/2010, ambos de 8 de enero, los cuales, a su vez, han previsto un amplio plazo de adecuación para los sistemas existentes. Los sistemas mencionados en la presente Resolución ya venían admitiéndose por la Agencia Tributaria en sus relaciones con los ciudadanos.

El objeto de la presente Resolución es la aprobación de determinados sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada en el ámbito de la Agencia Estatal de Administración Tributaria, conteniendo la denominación y descripción general de dichos sistemas de identificación, órgano u organismo público responsable de su aplicación y garantías de su funcionamiento, tal como exige el artículo 11.3 del Real Decreto 1671/2009.

La resolución del titular del organismo a la que alude el artículo 11.1 del Real Decreto 1671/2009 en el ámbito de la Agencia Estatal de Administración Tributaria corresponde al Presidente de la misma, al ejercer la superior dirección del Organismo, conforme a lo dispuesto en el artículo 103 Tres.2 de la Ley 31/1990, de 27 de diciembre, de Presupuestos Generales del Estado para 1991, por el que se creó la Agencia Estatal de Administración Tributaria.

Por otro lado, se establece que los citados sistemas permitirán la identificación y autenticación de la actuación de los ciudadanos no sólo en la realización de acciones a través de la Sede Electrónica, sino también cuando aquéllas se produzcan por vía telefónica o, en su caso, a través de otros canales electrónicos que puedan encontrarse disponibles.

La aplicación de las nuevas tecnologías desarrolladas en el marco de la sociedad de la información ha supuesto la superación de las formas tradicionales de comunicación, mediante una expansión de los contenidos transmitidos, que abarcan no sólo la voz, sino también datos en soportes y formatos diversos. Como dice la Exposición de Motivos de la Ley 11/2007, las plataformas que pueden utilizar los ciudadanos o las propias Administraciones para establecer las comunicaciones electrónicas no siempre serán el ordenador o internet, en este caso la sede electrónica, sino otras vías, SMS, televisión digital terrestre y también comunicaciones por voz o telefonía tradicional.

En su virtud, previo informe del Consejo Superior de Administración Electrónica, dispongo:

Primero.– Aprobación de sistemas de identificación y autenticación distintos de la firma electrónica avanzada para relacionarse electrónicamente con la Agencia Tributaria.

1. Los ciudadanos podrán utilizar para relacionarse electrónicamente con la Agencia Tributaria a través de los canales que se encuentren disponibles en cada momento sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada de los mencionados en el artículo 13.2.c) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y normativa de desarrollo, tales como la utilización de claves concertadas en un registro previo como usuario, aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos establecidos en la presente Resolución.

En particular, los ciudadanos podrán utilizar los sistemas mencionados en la presente Resolución para aportar, consultar, confirmar o modificar información, propuestas o borradores remitidos o puestos a disposición por la Agencia Tributaria, en los términos y condiciones que, en su caso, se puedan establecer en la normativa específicamente aplicable al trámite concreto o procedimiento.

2. En virtud del principio de proporcionalidad recogido en el artículo 4 de la Ley 11/2007, los sistemas de identificación y autenticación descritos en la presente Resolución ofrecerán las garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones para los que se autorice la utilización de aquellos.

3. Se aprueba la utilización por los ciudadanos de los siguientes sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada, cuya descripción y garantías específicas de funcionamiento se contienen en los anexos I, II y III de la presente Resolución:

a) Sistema de firma con clave o número de referencia.

b) Sistema de firma con información conocida por ambas partes.

c) Sistema de firma con clave de acceso en un registro previo como usuario.

4. La Agencia Tributaria podrá habilitar la utilización de sistemas combinados a partir de los mencionados en el apartado anterior, manteniendo las mismas garantías de funcionamiento establecidas para dichos sistemas.

5. La Agencia garantizará el funcionamiento de los sistemas de firma regulados en la presente Resolución conforme a los criterios de seguridad, integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y su normativa de desarrollo.

6. No se admitirán los sistemas de identificación y autenticación descritos en la presente Resolución para acceder a una consulta general del estado de tramitación de todos sus procedimientos por parte de los interesados.

Segundo.– Órgano responsable de la aplicación de los sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada.

De acuerdo con la normativa vigente, corresponde al Departamento de Informática de la Agencia la gestión y las garantías del funcionamiento y de seguridad de los sistemas de firma electrónica distintos de la firma electrónica avanzada de los que la Agencia Tributaria es órgano responsable.

Disposición adicional primera.- Comunicación telefónica.

Los sistemas de firma descritos en la presente Resolución y sus garantías podrán ser utilizados en las relaciones de la Agencia Tributaria con los ciudadanos utilizando la vía telefónica tradicional o de voz.

Disposición adicional segunda.- Tratamiento de datos personales.

Los datos personales cuyo tratamiento resulte de la utilización de los sistemas de identificación y autenticación electrónica distintos de la firma electrónica avanzada cumplirán y se ajustarán a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal.

El uso por los ciudadanos de los sistemas de firma electrónica regulados en la presente norma implicará que la Agencia Tributaria pueda tratar los datos personales consignados a los efectos de la verificación de la firma.

Disposición adicional tercera.- Interoperabilidad.

La Agencia Tributaria garantizará la interoperabilidad con las Administraciones Públicas, de conformidad con el Esquema Nacional de Interoperabilidad, en la remisión de documentos electrónicos presentados por los ciudadanos utilizando alguno de los sistemas de firma contemplados en la presente Resolución.

Disposición final única.- Entrada en vigor y publicación en sede electrónica.

Esta Resolución entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado». Asimismo, será objeto de publicación en la sede electrónica de la Agencia Estatal de Administración Tributaria, donde se detallarán las actuaciones en las que son admisibles estos medios de identificación y autenticación y las garantías asociadas a los mismos.

Madrid, 17 de noviembre de 2011.–El Presidente de la Agencia Estatal de Administración Tributaria, Juan Manuel López Carbajo.

ANEXO I.- SISTEMA DE FIRMA CON CLAVE O NÚMERO DE REFERENCIA

I.- Descripción del sistema

El ciudadano recibe, previa solicitud a la Agencia Tributaria, o de oficio, una clave o número de referencia, que permitirá la realización por vía electrónica de los trámites o actuaciones que se determinen. Las solicitudes recibidas serán objeto de verificación en cuanto a la identidad del solicitante y la posibilidad de uso de este sistema.

La clave o número de referencia se genera de forma automática en un entorno seguro, asociado de manera exclusiva a los trámites o actuaciones para los que se habilita y a los ciudadanos afectados en cada caso. Para su creación se utilizará un algoritmo que relacione una serie de datos conocidos y únicos para un ciudadano determinado y un concreto trámite o actuación, pudiendo ser almacenado en el sistema de información de la Agencia Tributaria.

Dicha clave o número de referencia constará de un número fijo y determinado de caracteres numéricos y/o alfanuméricos, función del algoritmo y datos seleccionados para la formación del mismo.

La comunicación al interesado de la clave o número de referencia se realizará a través de un canal seguro, ya sea por vía electrónica, postal, presencial o telefónica. En dicha comunicación se informará asimismo al ciudadano de sus posibilidades y/o límites de utilización, en relación con los trámites o actuaciones para los que ha sido habilitado dicho número o clave.

Mediante la utilización de la clave o número indicado, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema.

Adicionalmente, la Agencia Tributaria podrá solicitar al ciudadano la aportación de otros datos referidos al mismo, distintos del número o clave antes indicados, y conocidos por él y la Agencia Tributaria.

El ciudadano podrá solicitar en las oficinas de la Agencia o en su caso a través de la sede electrónica, debidamente identificado, la inhabilitación de la clave o número de referencia remitido, lo que supondrá, a partir del momento en que dicha inhabilitación tenga lugar, la imposibilidad de realizar con dicha clave o número los trámites o actuaciones antes mencionados.

La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se haya determinado su utilización.

La utilización del sistema descrito por parte del ciudadano implicará el consentimiento para su uso como sistema de firma electrónica.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, la Agencia Tributaria generará automáticamente un acuse de recibo o recibo de presentación, en los términos señalados en la Resolución de 28 de diciembre de 2009, de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se crea la sede electrónica y se regulan los registros electrónicos de la Agencia Estatal de Administración Tributaria.

II.- Garantías de funcionamiento

Conforme a los principios de seguridad y proporcionalidad, el sistema descrito en el apartado anterior garantiza adecuadamente su funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y normativa de desarrollo.

La clave o número de referencia se genera en un entorno seguro, de forma automática y sin intervenciones manuales.

La confidencialidad, autenticidad y no repudio se garantizan mediante el conocimiento exclusivo por parte del ciudadano y de la Agencia Tributaria, de la clave o número de referencia y, en su caso, del resto de información requerida. El conocimiento exclusivo de la clave o número de referencia por parte del ciudadano se garantiza mediante la comunicación del mismo a través de un canal seguro, ya sea por vía electrónica, postal, presencial o telefónica.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante su incorporación inmediata al sistema de información de la Agencia Tributaria, y en particular, al Catálogo de documentos electrónicos, de conformidad con lo dispuesto en la Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Tributaria, sobre uso de código seguro de verificación. La integridad y conservación de los documentos electrónicos almacenados en el Catálogo y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad. El acuse de recibo emitido por la Agencia Tributaria y firmado con su propio código seguro de verificación o CSV será el documento con valor probatorio de la presentación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica de la Agencia Tributaria, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.

La seguridad del sistema se ve reforzada por la limitación en cuanto a los trámites o actuaciones para las que puede ser utilizado, no siendo posible su uso fuera de dicho ámbito.

El sistema no permitirá el acceso o la firma electrónica mediante claves o números de referencia o datos incorrectos, no válidos o que no estén vigentes en el momento de su uso.

ANEXO II.- SISTEMA DE FIRMA CON INFORMACIÓN CONOCIDA POR AMBAS PARTES

I.- Descripción del sistema

El sistema consiste en la aportación por el ciudadano de determinados datos, conocidos solamente por él y la Agencia Tributaria, distintos de la clave o número de referencia mencionado en el Anexo I, que sean requeridos para la realización, por vía electrónica, de determinados trámites o actuaciones que no impliquen acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.

Mediante la aportación de los datos indicados, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema.

La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se haya determinado su utilización.

La utilización del sistema descrito por parte del ciudadano implicará el consentimiento para su uso como sistema de firma electrónica.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, la Agencia Tributaria generará automáticamente un acuse de recibo o recibo de presentación, en los términos señalados en la Resolución de 28 de diciembre de 2009, de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se crea la sede electrónica y se regulan los registros electrónicos de la Agencia Estatal de Administración Tributaria.

II.- Garantías de funcionamiento

Conforme a los principios de seguridad y proporcionalidad, el sistema descrito en el apartado anterior garantiza adecuadamente su funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y normativa de desarrollo.

La confidencialidad, autenticidad y no repudio se garantizan mediante el conocimiento exclusivo por parte del ciudadano, así como de la Agencia Tributaria, de los datos requeridos.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante su incorporación inmediata al sistema de información de la Agencia Tributaria, y en particular, al Catálogo de documentos electrónicos, de conformidad con lo dispuesto en la Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Tributaria, sobre uso de código seguro de verificación. La integridad y conservación de los documentos electrónicos almacenados en el Catálogo y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad. El acuse de recibo emitido por la Agencia Tributaria y firmado con su propio código seguro de verificación o CSV será el documento con valor probatorio de la presentación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica de la Agencia Tributaria, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.

La seguridad del sistema se ve reforzada por la limitación en cuanto a los trámites o actuaciones para las que puede ser utilizado, no siendo posible su uso fuera de dicho ámbito, ni permitiéndose el acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.

El sistema no permitirá el acceso o la firma electrónica mediante datos incorrectos, no válidos o que no estén vigentes en el momento de su uso.

ANEXO III.- SISTEMA DE FIRMA CON CLAVE DE ACCESO EN UN REGISTRO PREVIO COMO USUARIO

I.- Descripción del sistema

El sistema se basa en la inscripción por el ciudadano en un registro de usuarios, para lo cual cumplimentará un formulario facilitado al efecto por la Agencia Tributaria. Una vez inscrito, la Agencia proporcionará al ciudadano un código y una clave de acceso. El usuario podrá en todo momento gestionar dicha clave.

A través del código y la clave de acceso, el ciudadano podrá acceder electrónicamente, a través de los canales que se encuentren disponibles en cada momento, a los trámites y actuaciones determinados para los que se haya habilitado este sistema, que no podrá implicar acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.

La validez del sistema podrá estar limitada temporalmente en función de los plazos asociados a los trámites o actuaciones para los que se haya determinado su utilización.

La utilización del sistema descrito por parte del ciudadano implicará el consentimiento para su uso como sistema de firma electrónica.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, la Agencia Tributaria generará automáticamente un acuse de recibo o recibo de presentación, en los términos señalados en la Resolución de 28 de diciembre de 2009, de la Presidencia de la Agencia Estatal de Administración Tributaria, por la que se crea la sede electrónica y se regulan los registros electrónicos de la Agencia Estatal de Administración Tributaria.

II.- Garantías de funcionamiento

Conforme a los principios de seguridad y proporcionalidad, el sistema descrito en el apartado anterior garantiza adecuadamente su funcionamiento con arreglo a criterios de integridad, confidencialidad, autenticidad y no repudio previstos en la Ley 11/2007 y normativa de desarrollo.

La confidencialidad, autenticidad y no repudio se garantizan mediante el conocimiento exclusivo por parte del ciudadano y la Agencia Tributaria del código y la clave de acceso a dicho registro, y en su caso, de los datos proporcionados por el ciudadano en el formulario de inscripción en el registro.

Cuando la actuación realizada por el ciudadano implique la presentación de documentos electrónicos utilizando alguno de los sistemas de firma contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante su incorporación inmediata al sistema de información de la Agencia Tributaria, y en particular, al Catálogo de documentos electrónicos, de conformidad con lo dispuesto en la Resolución de 4 de febrero de 2011, de la Presidencia de la Agencia Tributaria, sobre uso de código seguro de verificación. La integridad y conservación de los documentos electrónicos almacenados en el Catálogo y de sus metadatos asociados obligatorios quedará garantizada a través de las medidas técnicas que aseguren su inalterabilidad. El acuse de recibo emitido por la Agencia Tributaria y firmado con su propio código seguro de verificación o CSV será el documento con valor probatorio de la presentación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica de la Agencia Tributaria, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.

La seguridad del sistema se ve reforzada por la limitación en cuanto a los trámites o actuaciones para las que puede ser utilizado, no siendo posible su uso fuera de dicho ámbito, ni permitiéndose el acceso o consulta de datos personales más allá de los propios del procedimiento e identificación del interesado al que va referido dicho trámite o actuación.

El sistema no permitirá el acceso o la firma electrónica mediante datos, códigos o claves de acceso incorrectas, no válidas o que no estén vigentes en el momento de su uso. 

COM/2007/0228 final. Comunicación de la Comisión al Parlamento Europeo y al Consejo de 2 de mayo de 2007, sobre el fomento de la protección de datos mediante las tecnologías de protección del derecho a la intimidad (PET).

1. Introducción

El intenso y continuo desarrollo de las tecnologías de la información y la comunicación (TIC) ofrece constantemente servicios nuevos que facilitan la vida de los ciudadanos. En gran medida, la materia prima de las interacciones en el ciberespacio son los datos de carácter personal de quienes circulan en él para comprar bienes o servicios, establecer o mantener contactos con otras personas, o difundir sus ideas en la World Wide Web. Sin embargo, paralelamente a las ventajas que suponen estos progresos, también surgen riesgos nuevos para los usuarios, como la usurpación de identidad, la elaboración de perfiles discriminatorios, la vigilancia permanente o el fraude.

En el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea se reconoce el derecho a la protección de los datos de carácter personal. Ese derecho fundamental está contemplado en un marco jurídico europeo en materia de protección de los datos personales, en concreto, la Directiva 95/46/CE relativa a la protección de datos (1), la Directiva 2002/58/CE sobre la privacidad (2) y el Reglamento (CE) nº 45/2001 relativo a la protección de datos en el tratamiento por las instituciones y los organismos comunitarios (3). Esta normativa impone obligaciones a los responsables del tratamiento de datos y reconoce determinados derechos de las personas a quienes se refieren los datos. Asimismo, establece sanciones y medidas correctivas adecuadas en caso de infracción y contempla mecanismos de aplicación para garantizar su cumplimiento.

Sin embargo, este régimen puede resultar insuficiente cuando los datos personales se difunden por todo el mundo a través de las redes de TIC y en su tratamiento intervienen varias jurisdicciones, a menudo fuera de la UE. En esas situaciones, cabe considerar que las normas actuales son de aplicación y proporcionan una respuesta jurídica clara. Además, es posible identificar una autoridad competente que vele por su cumplimiento. No obstante, pueden presentarse obstáculos prácticos importantes derivados de la tecnología empleada, en la cual son varias las entidades que tratan los datos personales en distintos lugares, y de la aplicación de las resoluciones administrativas y judiciales nacionales en otras jurisdicciones, especialmente en países que no pertenecen a la UE.

Si bien, en sentido estricto, la responsabilidad jurídica del cumplimiento de las normas de protección de datos personales recae en los responsables de su tratamiento, desde el punto de vista social y ético también recae en parte, por ejemplo, en quienes elaboran las especificaciones técnicas y quienes realmente desarrollan o ejecutan programas o sistemas operativos.

El artículo 17 de la Directiva relativa a la protección de datos personales establece la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas y de garantizar un nivel de seguridad apropiado según el carácter de los datos y los riesgos que presente su tratamiento. La Directiva 2002/58/EC sobre la privacidad y las comunicaciones electrónicas ya contempla en cierta medida (4) la utilización de tecnología para favorecer el cumplimiento de la legislación, en particular las normas de protección de datos.

Las denominadas tecnologías de protección de la intimidad (PET) también podrían contribuir al objetivo del marco jurídico, que consiste en minimizar el tratamiento de datos personales y emplear datos anónimos o seudónimos cuando sea posible. En efecto, gracias a dichas tecnologías, las infracciones de las normas de protección de datos y la vulneración de los derechos del ciudadano, además de estar prohibidas y sujetas a sanciones, resultarían más difíciles desde el punto de vista técnico.

La presente Comunicación, que obedece al Primer informe sobre la aplicación de la Directiva sobre protección de datos (5), tiene por objeto exponer las ventajas de las PET, establecer los objetivos de la Comisión en ese ámbito para fomentar dichas tecnologías y definir medidas claras para conseguirlo favoreciendo el desarrollo de las PET y su utilización por parte de los responsables del tratamiento de datos y los consumidores.

2. Qué son las PET

En la comunidad académica y en los proyectos piloto en este ámbito se manejan varias definiciones. Por ejemplo, en el proyecto PISA, que financia la UE, se entiende por PET un sistema coherente de medidas de TIC que protege el derecho a la intimidad suprimiendo o reduciendo los datos personales o evitando el tratamiento innecesario o indeseado de datos personales, sin menoscabo de la funcionalidad del sistema de información. La aplicación de PET puede ayudar a diseñar sistemas y servicios de información y comunicación que reduzcan al mínimo la recogida y el empleo de datos personales y faciliten el cumplimiento de la normativa sobre protección de datos. En su Primer informe sobre la aplicación de la Directiva sobre protección de datos, la Comisión considera que «la aplicación de medidas tecnológicas adecuadas constituye un complemento fundamental de los medios jurídicos y debe constituir una parte de cualquier esfuerzo destinado a obtener un grado suficiente de protección de la intimidad». La utilización de PET debería dificultar o ayudar a detectar el incumplimiento de determinadas normas de protección de datos.

En el dinámico contexto de las TIC, la eficacia en términos de protección de la intimidad, incluido el cumplimiento de la legislación sobre protección de datos, varía de una PET a otra y cambia con el tiempo. También la tipología de las PET es variada. Puede tratarse de una herramienta independiente, que el consumidor ha de comprar e instalar en su ordenador, o incorporada en la propia arquitectura de los sistemas de información. A continuación se mencionan varios ejemplos de PET:

· La anonimización automática de los datos tras un lapso de tiempo determinado obedece al principio de que los datos tratados deben guardarse en una forma que permita identificar al interesado únicamente durante el tiempo necesario para los fines iniciales para los cuales se facilitan los datos.

· Los instrumentos de cifrado que impiden el pirateo de la información transmitida por Internet responden a la obligación del responsable del tratamiento de datos de adoptar medidas adecuadas para proteger los datos personales frente al tratamiento ilícito.

· Los anuladores de cookies, que bloquean las cookies introducidas en un ordenador para que lleve a cabo determinadas instrucciones sin que el usuario tenga conocimiento de ello, responden al principio de que los datos deben tratarse de forma lícita y transparente y que ha de informarse al interesado del tratamiento que se realice.

· La Plataforma de Preferencias de Privacidad (P3P), que permite a los usuarios de Internet analizar la política de los sitios web por lo que se refiere a la intimidad y compararla con las preferencias del usuario en relación con la información que desee facilitar, contribuye a garantizar que el interesado autoriza el tratamiento de sus datos con conocimiento de causa.

3. La Comisión apoya las PET

La Comisión aboga por el desarrollo y mayor utilización de las PET, en particular cuando se traten datos personales en las redes de TIC. La Comisión considera que la difusión del uso de las PET incrementará la protección de la intimidad y ayudará a cumplir las normas de protección de datos. Dicho uso complementaría el marco jurídico y los mecanismos de aplicación vigentes.

En su Comunicación «Una estrategia para una sociedad de la información segura» (COM (2006) 251, de 31 de mayo de 2006), la Comisión invitaba sobre todo al sector privado a «estimular el despliegue de productos, procesos y servicios que favorezcan la seguridad a fin de evitar y combatir la sustracción de la identidad y otros ataques contra la privacidad». Además, en el Plan de Trabajo de la Comisión relativo al marco paneuropeo de eIDM para 2010 (6), uno de los principios esenciales que rigen la gestión de la identidad electrónica es «que el sistema sea seguro, conste de las salvaguardias necesarias para proteger la intimidad del usuario y pueda adaptarse en función del interés y las sensibilidades locales».

La intervención de varios actores y varias jurisdicciones nacionales en el tratamiento de los datos podrían dificultar la aplicación del marco jurídico. Por otra parte, las PET permitirían evitar determinadas infracciones a las normas de protección de datos personales ?que se traducen en vulneraciones de derechos fundamentales como el derecho a la intimidad?, pues dificultarían la realización técnica de tales operaciones. La Comisión es consciente de que la tecnología, pese a desempeñar un papel crucial en la protección de la intimidad, no basta por sí sola para garantizar la intimidad. Las PET han de aplicarse con arreglo a un marco regulador de normas ejecutivas de protección de datos que proporcionen grados variables de protección de la intimidad de las personas. La utilización de PET no exime a los operadores del cumplimiento de algunas de sus obligaciones legales (por ejemplo, permitir que los usuarios tengan acceso a sus datos).

Las PET también podrían favorecer la protección de intereses públicos importantes. Con arreglo al marco jurídico de la protección de datos personales, la aplicación de los principios generales y el respeto de los derechos de los ciudadanos pueden limitarse para preservar intereses públicos importantes, como la seguridad pública, la lucha contra la delincuencia o la salud pública. Las condiciones de tales restricciones están recogidas en el artículo 13 de la Directiva relativa a la protección de datos personales y en el artículo 15 de la Directiva sobre privacidad en las comunicaciones electrónicas. Estas condiciones son, en esencia, análogas a las contempladas en el artículo 8 del Convenio Europeo de Derechos Humanos (CEDH), es decir, que una injerencia de ese tipo ha de estar prevista por la ley, ser proporcionada y constituir una medida que, en una sociedad democrática, sea necesaria para un fin público legítimo (7). El uso de PET no debe impedir que los organismos responsables del cumplimiento de la ley y otras autoridades competentes ejerzan sus funciones de forma legítima en defensa de un interés público importante, como la lucha contra la ciberdelincuencia o el terrorismo o la prevención de la propagación de enfermedades contagiosas. Las autoridades responsables han de poder acceder a los datos personales cuando sea necesario para esos fines, respetando los procedimientos, condiciones y salvaguardias contemplados en la ley.

El mayor cumplimiento de las normas de protección de datos también aumentaría la confianza de los consumidores, en particular en el ciberespacio. Son muchos los servicios prometedores que presentan un valor añadido y se basan en la transferencia de datos personales en las redes de TI (como los empleados en el aprendizaje electrónico, la administración electrónica, los servicios bancarios electrónicos y el comercio electrónicos, la salud en línea o los «vehículos inteligentes») que indudablemente se verían favorecidos. Los usuarios tendrían la certeza de que los datos que facilitan para identificarse, recibir servicios o efectuar pagos sólo se emplean para fines legítimos, y de que pueden utilizar los medios informáticos sin tener que sacrificar sus derechos.

4. Labor anterior y futura

La Comisión se propone llevar a cabo las siguientes actividades con la participación de muy diversos actores, entre los que figuran sus propios servicios, las autoridades nacionales, el sector empresarial y los consumidores, con objeto de aumentar la defensa de la intimidad e intensificar la protección de datos en la Comunidad, entre otras cosas fomentando el desarrollo y el uso de PET.

En estos foros se prestará atención a la situación particular de las pequeñas y medianas empresas (PYMEs) y a las posibilidades o incentivos para que empleen PET. Entre otros problemas, la Comisión debería abordar la confianza y la sensibilización, aspectos especialmente importantes en el caso de las PYMEs.

4.1. Primer objetivo: respaldar el desarrollo de las PET

Antes de generalizar el uso de PET es necesario perfeccionar su diseño, desarrollo y elaboración. Si bien es cierto que los sectores público y privado ya llevan a cabo esta labor en cierta medida, la Comisión considera que debe incidirse en este sentido, para lo cual es preciso determinar la necesidad de PET y sus requisitos tecnológicos, y desarrollar las herramientas pertinentes mediante actividades de IDT.

4.1.1. Acción 1.1: Determinación de la necesidad de PET y de los requisitos tecnológicos

Las PET dependen en gran medida de la evolución de las TIC. Una vez detectados los peligros que plantean los progresos tecnológicos, procede identificar los requisitos que ha de cumplir una solución técnica.

La Comisión alentará los encuentros y el debate acerca de las PET entre diversos grupos de actores interesados, en particular, representantes del sector de las TIC, diseñadores de PET, autoridades de protección de datos, órganos responsables de la aplicación de la legislación, entidades especializadas en tecnología, incluidos los especialistas en ámbitos pertinentes como la salud en línea o la seguridad de la información, y asociaciones defensoras de los consumidores y de los derechos civiles. Dichos grupos se encargarían de seguir la evolución de la tecnología, detectar los peligros que plantea en relación con los derechos fundamentales y la protección de datos personales, y definir los requisitos técnicos para hacerles frente mediante las PET (afinar las medidas tecnológicas conforme a los distintos riesgos y datos de que se trate, tener presente la necesidad de salvaguardar intereses públicos como la seguridad pública, etc.).

4.1.2. Acción 1.2: Desarrollo de las PET

Una vez determinados la necesidad de PET y los requisitos técnicos correspondientes, es preciso adoptar medidas concretas para obtener un producto final listo para el uso.

La Comisión ya lo está haciendo: dentro del Sexto Programa Marco, patrocina el proyecto PRIME (8), que hace frente a los problemas relacionados con la gestión de la identidad electrónica y la protección de la intimidad en la sociedad de la información. El proyecto OPEN-TC (9) permitirá proteger la intimidad mediante sistemas informáticos abiertos fiables y el proyecto DISCREET (10) desarrolla middleware para proteger la intimidad en los servicios de red avanzados. En el futuro, dentro del Séptimo Programa Marco, la Comisión tiene previsto financiar otros proyectos de IDT y demostraciones piloto a gran escala para desarrollar y favorecer la incorporación de las PET. El objetivo consiste en sentar las bases de unos sistemas de protección de la intimidad que responsabilicen al usuario y superen las disparidades jurídicas y técnicas observadas en Europa mediante asociaciones entre el sector público y el privado.

La Comisión invita asimismo a las autoridades nacionales y el sector privado a invertir en el desarrollo de PET. Esas inversiones resultan fundamentales para situar a la industria europea a la cabeza de un sector destinado a crecer, pues tanto las normas tecnológicas como los consumidores más conscientes de la necesidad de proteger sus derechos en el ciberespacio exigen cada vez más dichas tecnologías.

4.2. Segundo objetivo: alentar a los responsables del tratamiento de datos a emplear las PET disponibles

Las PET no serán realmente provechosas hasta que no se incorporen efectivamente y se utilicen en los equipos técnicos y lógicos que realizan el tratamiento de los datos personales. De ahí que resulte fundamental la participación del sector industrial que fabrica dichos equipos y la de los responsables del tratamiento de datos que los emplean en el ejercicio de sus funciones.

4.2.1. Acción 2.1: Fomento del uso de PET en la industria

La Comisión considera que el mayor recurso a las PET redundaría en beneficio de todos aquéllos que intervienen en el tratamiento de datos personales. La industria de las TIC, como primera diseñadora y proveedora de PET, desempeña un papel especialmente importante en el fomento de dichas tecnologías. La Comisión invita a todos los responsables del tratamiento de datos a incorporar y emplear las PET de forma más amplia e intensa en el desarrollo de su actividad. A tal fin, la Comisión organizará seminarios con actores clave de la industria de las TIC, y en particular los diseñadores de PET, con objeto de analizar su posible contribución para fomentar el uso de PET por parte de los responsables del tratamiento de datos.

La Comisión realizará asimismo un estudio de las ventajas económicas de las PET y difundirá sus resultados para alentar a las empresas, en especial las PYME, a utilizarlas.

4.2.2. Acción 2.2: Respeto de unas normas pertinentes de protección de datos personales mediante PET

Si bien una labor de fomento a gran escala requiere la participación activa de la industria de las TIC en calidad de productora de PET, el respeto de unas normas pertinentes requiere una intervención que vaya más allá de la autorregulación o la buena voluntad de los actores implicados. La Comisión valorará mediante evaluaciones de impacto adecuadas la necesidad de desarrollar unas normas de tratamiento lícito de datos personales con PET. A la luz del resultado de dichas evaluaciones, cabrá considerar dos tipos de instrumentos:

· Acción 2.2. a) Normalización

La Comisión estudiará la necesidad de que las actividades de normalización contemplen el respeto de las normas de protección de datos personales. A la hora de preparar sus iniciativas y la labor de los organismos europeos de normalización, la Comisión se esforzará por tener en cuenta el fruto del debate sobre las PET celebrado entre las distintas partes interesadas. Ello será fundamental sobre todo si en dicho debate se definen unas normas pertinentes de protección de datos que requieran la incorporación y utilización de determinadas PET.

La Comisión podrá solicitar a los organismos europeos de normalización (CEN, CENELEC, ETSI, etc.) que evalúen las necesidades europeas específicas y las hagan llegar posteriormente al ámbito internacional aplicando los acuerdos vigentes entre organismos de normalización europeos e internacionales. En su caso, los organismos europeos de normalización deberían establecer un programa de trabajo de normalización específico que aborde las necesidades europeas y, de ese modo, complemente la labor actual a nivel internacional.

· Acción 2.2. b) Coordinación de las normas técnicas nacionales sobre medidas de seguridad en el tratamiento de datos

Las legislaciones nacionales adoptadas de conformidad con la Directiva relativa a la protección de datos personales (11) otorgan a las autoridades nacionales de protección de datos personales una cierta influencia en la determinación de requisitos técnicos precisos, como la prestación de orientación a los responsables del tratamiento de datos, el examen de los sistemas implantados o la formulación de instrucciones técnicas. Las autoridades nacionales de protección de datos personales también podrían exigir la incorporación y utilización de determinadas PET cuando el tratamiento de datos personales en cuestión lo requiera. En opinión de la Comisión, se trata de un ámbito en el cual la coordinación de las prácticas nacionales podría fomentar el uso de PET. En particular, el Grupo de Trabajo del artículo 29 (12), que persigue la aplicación uniforme de las medidas nacionales adoptadas conforme a la Directiva, podría contribuir a ello. Así pues, la Comisión invita a dicho Grupo de Trabajo a que prosiga su labor en ese ámbito incluyendo en su programa una actividad permanente de análisis de las necesidades relativas a la incorporación de PET en las operaciones de tratamiento de datos como medio eficaz para garantizar el respeto de las normas de protección de datos. Esa labor debería plasmarse en unas directrices que las autoridades de protección de datos personales aplicarían a nivel nacional gracias a la adopción coordinada de los instrumentos pertinentes.

4.2.3. Acción 2.3: Fomento del uso de PET por parte de las administraciones públicas