Archivos de la etiqueta: Firma Electrónica

21Abr/21

Decreto nº 24 de 22 de febrero de 2019

Decreto nº 24 de 22 de febrero de 2019, del Ministerio de Economía, Fomento y Turismo; Subsecretaria de Economía y Empresas de menor tamaño, que aprueba Norma Técnica para la prestación del Servicio de Certificación de Firma Electrónica Avanzada. (Publicado el 9 de abril de 2019). 

Número 24

Santiago, 22 de febrero de 2019.

Visto:

Lo dispuesto en el artículo 32 nº 6 de la Constitución Política de la República; en el decreto con fuerza de ley nº 1-19.653, de 2001, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la ley nº 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado; en la ley nº 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los Órganos de la Administración del Estado; en la ley nº 19.477, ley orgánica del Servicio de Registro Civil e Identificación; la ley nº 7.200; el decreto con fuerza de ley nº 88, de 12 de mayo de 1953, del Ministerio de Hacienda, que adopta las medidas que indica en relación con el Ministerio de Economía y Comercio y sus atribuciones y actividades; en la ley nº 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma; en el decreto supremo nº 181, de 2002, y sus modificaciones contenidas en el decreto supremo nº 154, de 2011 y en el decreto supremo nº 14, de 2014, todos del Ministerio de Economía, Fomento y Turismo; en el decreto exento n° 2.466, de 8 de julio de 2013, que aprueba el Convenio de Cooperación para la implementación del sistema «ClaveÚnica» suscrito entre el Ministerio Secretaría General de la Presidencia y el Servicio de Registro Civil e Identificación; y lo dispuesto en la resolución nº 1.600, de 2008, de la Contraloría General de la República, que fijó normas sobre exención del trámite de toma de razón.

Considerando:

1.- Que, la letra e) del artículo 12 de la ley nº 19.799, sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma, dispone que es obligación del prestador de servicios de certificación de firma electrónica en el otorgamiento de certificados de firma electrónica avanzada, comprobar fehacientemente la identidad del solicitante, para lo cual el prestador requerirá previamente, ante sí o ante notario público u oficial del Registro Civil, la comparecencia personal y directa del solicitante o de su representante legal si se tratare de persona jurídica.

2.- Que, el artículo 5º del decreto supremo nº 181, de 2002, del Ministerio de Economía, Fomento y Reconstrucción, actual Ministerio de Economía, Fomento y Turismo, que contiene el reglamento de la ley nº 19.799, en adelante el «Reglamento», dispone que la Entidad Acreditadora podrá iniciar un procedimiento de fijación, modificación o derogación de normas técnicas para la prestación del servicio de certificación de firma electrónica avanzada, las que deberán ser aprobadas mediante decreto supremo del Ministerio de Economía, Fomento y Turismo.

3.- Que, la denominada «ClaveÚnica» es un mecanismo de identificación digital que permite a los usuarios demostrar su identidad en plataformas digitales, ya que el Servicio de Registro Civil e Identificación verifica que la identidad digital corresponde a determinada persona, validándola contra su base de datos.

4.- Que, actualmente más de cuatro millones de chilenos cuenta con dicha clave, la que les permite acceder a más de trescientos trámites de manera no presencial ante Órganos del Estado.

5.- Que, con el objeto de permitir que más ciudadanos puedan acceder a la firma electrónica avanzada, es que se ha identificado que los prestadores de servicios de certificación pueden comprobar fehacientemente la identidad de un solicitante de firma electrónica avanzada a través del sistema de «ClaveÚnica«, cumpliendo con lo dispuesto en la letra e) del artículo 12 de la ley nº 19.799, al que se hace referencia en el considerando primero del presente acto administrativo.

6.- Que, atendido lo señalado en los considerandos precedentes, se consideró necesario aprobar una norma técnica que permita fijar las condiciones técnico-operacionales bajo las cuales el prestador de servicios de certificación podrá comprobar fehacientemente la identidad de un solicitante de firma electrónica avanzada a través del sistema de «ClaveÚnica«.

7.- Que, el artículo 5º del Reglamento dispone que la Entidad Acreditadora podrá iniciar el procedimiento de fijación de normas técnicas para la prestación del servicio de certificación de firma electrónica avanzada, notificando a los prestadores de servicios de certificación acreditados respecto del objeto y propuestas de fijación de normas técnicas, otorgando un plazo no inferior a 30 días hábiles para que aquellas efectúen las observaciones que estimen pertinentes. Asimismo, establece que la Entidad Acreditadora deberá publicar en su sitio web, por igual período, el objeto y propuesta de normas técnicas. Vencido el plazo para las observaciones, la Entidad Acreditadora evaluará las observaciones recibidas y determinará las normas técnicas que serán fijadas, modificadas o derogadas, las que serán aprobadas mediante decreto del Ministro de Economía, Fomento y Turismo.

8.- Que, con fecha 20 de noviembre de 2018, se inició el procedimiento a que se refiere el considerando precedente, notificando a las certificadoras de firma electrónica acreditadas acerca del objeto y propuestas de fijación de esta norma técnica, otorgándoles el plazo de 30 días hábiles para que efectuaran las observaciones que estimaran pertinentes. Asimismo, durante igual período se mantuvo publicado el objeto y propuesta de norma en el sitio web de la Entidad Acreditadora, y en el sitio web institucional y en el de participación ciudadana del Ministerio de Economía, Fomento y Turismo para que los interesados formularan sus observaciones.

 9.- Que, durante el procedimiento a que se refiere el considerando precedente, se recibieron observaciones formuladas por algunas de las empresas certificadoras y por terceros, las que fueron evaluadas por este Ministerio.

10.- Que, habiendo dado cumplimiento a lo requerido por el Reglamento de la ley nº 19.799, es necesario fijar la norma técnica mediante la dictación del presente acto administrativo.

Decreto:

Artículo único:

Apruébase la siguiente norma técnica, que permitirá a los Certificadores o Prestadores de Servicios de Certificación, acreditados ante la Subsecretaría de Economía y Empresas de Menor Tamaño, utilizar el sistema de «ClaveÚnica«, para verificar la identidad de los solicitantes de un certificado de firma electrónica avanzada.

«Norma Técnica de Seguridad»

Artículo 1°

La presente norma establece las condiciones bajo las cuales el Certificador o Prestador de Servicios de Certificación de Firma Electrónica Acreditado reconocerá el sistema denominado «ClaveÚnica«, como medio de comprobación fehaciente de la identidad del solicitante de un certificado de firma electrónica avanzada, en los términos exigidos por el artículo 12 letra e) de la ley nº19.799.

Artículo 2°

Para que el Certificador o Prestador de Servicios de Certificación pueda utilizar el sistema denominado «ClaveÚnica» será obligación adherir a las condiciones y términos establecidos en dicha plataforma.

Artículo 3°

El Certificador o Prestador de Servicios de Certificación de firma electrónica avanzada una vez integrado al sistema denominado «ClaveÚnica» deberá, además, implementar un mecanismo complementario digital de comprobación de identidad del solicitante para la emisión de un certificado de firma electrónica avanzada.

 El o los mecanismos complementarios que decida implementar el Certificador o Prestador de Servicios de Certificación deberán declararse en las Políticas y Prácticas de Certificación, conforme a lo dispuesto en el artículo 6º del decreto supremo nº 181, de 2002, del Ministerio de Economía, Fomento y Turismo, con expresa mención de la fiabilidad que estos mecanismos tienen.

Artículo 4°

Una vez que el Certificador o Prestador de Servicios de Certificación se haya adherido a los términos y condiciones del sistema denominado «ClaveÚnica» y haya implementado el mecanismo complementario establecido en el artículo precedente, podrá comenzar a emitir certificados de firma electrónica avanzada a los solicitantes que sean titulares de una «ClaveÚnica» cuya obtención cumpla con lo dispuesto en el artículo 12 letra e) de la ley nº 19.799.

Artículo 5°

Los certificados de firma electrónica avanzada, que se emitan utilizando el medio de comprobación de identidad referido en esta norma técnica, podrán ser almacenados en dispositivos, individuales o masivos, que cumplan con el estándar FIPS PUB 140-2: Security Requirements for Cryptographic Modules (mayo 2001).

Los datos de creación de firma, almacenados en dispositivos masivos, deberán encontrarse protegidos mediante un segundo factor de seguridad que permita al titular controlar que el acceso y utilización de éstos únicamente pueda ser realizado por él. Estos factores de seguridad deberán encontrarse declarados de manera clara en las Políticas y Prácticas de Certificación, con expresa mención de la fiabilidad que éstos tienen.

Artículo 6°

Los Certificadores o Prestadores de Servicios de Certificación deberán tomar todas las medidas para adecuarse a la presente norma técnica en un plazo máximo de 90 días corridos.

Anótese, tómese razón y publíquese

SEBASTIÁN PIÑERA ECHENIQUE, Presidente de la República

José Ramón Valente Vias, Ministro de Economía, Fomento y Turismo.

Lo que transcribe para su conocimiento.

Saluda atentamente a usted, Ignacio Guerrero Toro, Subsecretario de Economía y Empresas de Menor Tamaño.

21Abr/21

Decreto nº 14 de 15 de enero de 2014

Decreto nº 14 de 15 de enero de 2014 del Ministerio de Economía, Fomento y Turismo; Subsecretaría de Economía, Fomento y Turismo, que modifica Decreto nº 181, de 2002, que aprueba Reglamento de la Ley 19.799 sobre Documentos Electrónicos, Firma Electrónica y la Certificación de dicha Firma, y deroga los Decretos que indica, del Ministerio de Economía, Fomento y Turismo; Subsecretaría de Economía y Empresas de menor tamaño. (Publicado el 27de febrero de 2014).

Número 14

Santiago, 15 de enero de 2014

Vistos:

Lo dispuesto en el artículo 32º nº6 de la Constitución Política de la República; en el decreto con fuerza de ley nº 1-19.653, de 2001, del Ministerio Secretaría General de la Presidencia que fija el texto refundido, coordinado y sistematizado de la ley nº 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado, en especial lo prescrito en sus artículos 2º y 5º; en la ley nº 18.993 que crea el Ministerio Secretaría General de la Presidencia; en la ley nº 19.880 que establece Bases de los Procedimientos Administrativos que rigen los actos de los órganos de la Administración del Estado; en la ley nº 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma; en el decreto supremo nº 181, de 2002, del Ministerio de Economía, Fomento y Reconstrucción; en los decretos Supremos nº 77 y nº 81, de 2004, del Ministerio Secretaría General de la Presidencia; en el decreto supremo nº 100, de 2006, del Ministerio Secretaría General de la Presidencia; en el decreto supremo nº 271, de 2009, del Ministerio de Economía Fomento y Reconstrucción; y lo dispuesto en la resolución nº 1600, de 2008, de la Contraloría General de la República, que fija normas sobre exención del trámite de toma de razón;

Considerando:

1) Que, las tecnologías y estándares que le dan sustento a los documentos electrónicos están permanentemente evolucionando;

2) Que, se hace necesario generar condiciones de mayor flexibilidad para la adopción de estándares comunes e internacionalmente aceptados para el desarrollo del uso de documentos electrónicos por los órganos de la Administración del Estado;

3) Que, para que ello sea posible, se hace necesario que la Administración del Estado se encuentre preparada para actuar con la máxima celeridad y a través de un organismo técnico altamente especializado;

4) Que, en este sentido, la correcta implementación de políticas de gobierno electrónico que permitan un eficaz empleo de las tecnologías de la información al interior de la Administración del Estado exige importantes esfuerzos de coordinación y un constante seguimiento;

5) Que, en este sentido, el Comité de Normas para el Documento Electrónico creado por el decreto supremo nº 181, de 2002, del Ministerio de Economía, Fomento y Reconstrucción, durante los años ha mostrado no poder cumplir con dicha función dado que, en su calidad de comité ad hoc, sólo funciona de forma esporádica;

6) Que, el Ministerio Secretaría General de la Presidencia, de conformidad a la ley 18.993, es la Cartera de Estado encargada de realizar las funciones de coordinación en la gestión del Gobierno;

7) Que, en mérito de lo anterior, se hace necesario dotar al Ministerio Secretaría General de la Presidencia de la facultad de fijar las normas técnicas que permitan normalizar el expedito y eficiente desarrollo e implementación del Gobierno Electrónico, a fin de lograr cumplir los objetivos de la ley nº 19.799, esto es, entre otros la interoperabilidad de la documentación electrónica de los órganos de la Administración del Estado;

8) Que, por otra parte, se hace necesaria la debida actualización de la normativa técnica que se dispone en materia de Gobierno Electrónico a fin de que ésta refleje los estándares tecnológicos que se emplean presentemente.

Decreto:

Artículo 1º:

Modifícase el decreto supremo nº 181, de 2002, del Ministerio de Economía, Fomento y Reconstrucción, del siguiente modo:

1) Reemplázase el inciso final del Artículo 5º, por el siguiente nuevo:

«Si la fijación o modificación de normas técnicas tratadas en este artículo requieren recursos adicionales o la coordinación de diversas entidades para su implementación, el decreto que aprueba las normas técnicas deberá ser firmado, además, por los Ministros de Hacienda y de Secretaría General de la Presidencia.»

2) Reemplázase íntegramente el actual artículo 47º, por el siguiente nuevo:

«Artículo 47º. El Ministerio Secretaría General de la Presidencia propondrá al Presidente de la República las normas técnicas que deberán seguir los órganos de la Administración del Estado para garantizar la publicidad, integridad, eficacia, interoperabilidad y seguridad en el uso de los documentos electrónicos, las que serán aprobadas mediante uno o más decretos supremos, expedidos por dicha Cartera de Estado. Asimismo, deberá establecer las normas técnicas que permitan estandarizar la atención al ciudadano a través de técnicas y medios electrónicos. Si la fijación o modificación de las normas técnicas a las que se refiere este inciso requieren de recursos adicionales, el decreto supremo que las aprueba deberá ser firmado también por el Ministro de Hacienda.

El Ministerio podrá dictar, a través de resolución, guías técnicas para facilitar la comprensión e implementación de las normas técnicas antes aludidas.

El Ministerio deberá revisar al menos cada dos años las normas técnicas señaladas en el presente artículo a fin de determinar si éstas requieren o no de actualización. El plazo antes indicado se contará desde la entrada en vigencia de la norma técnica respectiva.

Finalmente, dicho Ministerio deberá publicar en su sitio Web, semestralmente, el nivel de cumplimiento de las normas fijadas en virtud de la presente disposición.

Lo establecido en la presente disposición es sin perjuicio de las normas técnicas determinadas en virtud del artículo 5º de este reglamento.»

3) Reemplázase íntegramente el actual artículo 48º, por el siguiente nuevo:

«Artículo 48º. El Ministerio Secretaría General de la Presidencia deberá considerar al menos los siguientes criterios para elaborar la propuesta de las normas técnicas a que se refiere el artículo anterior:

a) Adoptar los estándares internacionales emitidos por organismos reconocidos en la materia, en su ausencia considerará los de carácter regional y, sólo cuando ninguno de ellos se encuentre disponible, observará los de desarrollo nacional.

b) Propender a que la determinación de normas técnicas sea sometida a consulta ciudadana, de conformidad con lo dispuesto en la Ley 20.500 sobre asociaciones y participación ciudadana en la gestión pública y a la consulta de otros órganos de la Administración del Estado, tales como el Ministerio Economía, Fomento y Turismo, Ministerio del Interior y Seguridad Pública y Ministerio de Transportes y Telecomunicaciones.

c) Adoptar las normas técnicas que sean de uso frecuente en el país.

d) Realizar los procesos de adopción de normas con la gradualidad necesaria, que permita a los órganos de la Administración del Estado adecuarse a los cambios y su correcta implementación.

4) Derógase el artículo 49º.

5) Derógase el artículo 50º.

6) Reemplázase el actual inciso final del Artículo 51º, por el siguiente nuevo:

«Con la finalidad de garantizar dicha compatibilidad se estará a las normas técnicas fijadas por el Ministerio Secretaría General de la Presidencia de conformidad a lo dispuesto en el artículo 47º.»

7) Derógase el artículo 54º.

Artículo 2º:

Derógase el decreto supremo nº 77, de 2004, del Ministerio Secretaría General de la Presidencia.

Artículo 3º:

Derógase el decreto supremo nº 81, de 2004, del Ministerio Secretaría General de la Presidencia.

Artículo 4º:

Derógase el decreto supremo nº 100, de 2006, del Ministerio Secretaría General de la Presidencia.

Artículo 5º:

Derógase el decreto supremo nº 271, de 2009, del Ministerio de Economía Fomento y Reconstrucción.

DISPOSICIONES TRANSITORIAS

Artículo primero:

En tanto no se aprueben las normas a que se alude en el numeral 2) del artículo 1º del presente decreto, se fijan como normas técnicas las siguientes:

1) Normas técnicas sobre documentos electrónicos, comunicaciones electrónicas e interoperabilidad.

Los órganos de la Administración del Estado, con excepción de las municipalidades, empresas del Estado y Universidades Públicas, que utilicen técnicas y medios electrónicos darán cumplimiento a las siguientes normas técnicas, con el objeto de resguardar la debida interoperabilidad entre éstos:

1.1) Normas Técnicas y estándares para los Documentos Electrónicos e interoperabilidad de los mismos:

a) Con miras a facilitar la publicidad, integridad, eficacia, flexibilidad, extensibilidad, permanencia e interoperabilidad de los documentos electrónicos, se deberán seguir las normas y/o estándares técnicos que a continuación se enuncian:

b) En caso que se desee obtener una representación impresa de un documento electrónico suscrito con firma electrónica, dicho documento deberá contener además, un mecanismo que permita verificar la integridad y autenticidad del mismo.

c) Los documentos electrónicos deberán adoptar los esquemas y metadatos que correspondan según lo establecido en el presente decreto.

d) El manejo de los documentos electrónicos deberá hacerse de conformidad a las normas técnicas sobre seguridad y confidencialidad establecidas en el decreto supremo nº 83, de 2005, del Ministerio Secretaría General de la Presidencia, o las normas que lo reemplacen.

e) En la confección de los expedientes electrónicos se deberá garantizar la autenticidad, integridad y disponibilidad de los mismos. Asimismo, se estará a lo dispuesto en la ley nº 19.880.

f) Cada institución deberá mantener un repositorio de documentos electrónicos, el cual será accesible por medios electrónicos.

Las implementaciones de los repositorios considerarán los siguientes tipos de búsqueda de información: texto completo, navegación y búsqueda avanzada.

En este sentido, se deberán establecer identificadores para hacer referencias a documentos en los repositorios.

1.2) Normas Técnicas para las Comunicaciones Electrónicas:

a) Para los efectos de la presente norma técnica, se deberán seguir las especificaciones técnicas que a continuación se enuncian:

b) Los órganos de la Administración del Estado deberán tomar las medidas de seguridad tendientes a evitar la interceptación, obtención, alteración y otras formas de acceso no autorizado a sus comunicaciones electrónicas.

Para lo anterior se estará a lo dispuesto en las normas técnicas establecidas en el decreto supremo nº 83, de 2005, del Ministerio Secretaría General de la Presidencia, o las normas que lo reemplacen, y a las especificaciones técnicas establecidas en el presente decreto.

2) Normas sobre la fijación de esquemas y metadatos de los documentos electrónicos empleados por los órganos de la Administración del Estado.

Con miras a estandarizar los esquemas y metadatos de los documentos electrónicos empleados por los órganos de la Administración del Estado, el Ministerio Secretaría General de la Presidencia implementará y establecerá un catálogo abierto de esquemas y metadatos.

En dicho catálogo, se pondrán a disposición un conjunto de esquemas y metadatos para documentos de uso común de los órganos de la Administración del Estado, componentes comunes, acceso a interfaces de programación de aplicaciones (API) y documentación técnica de implementación de estos servicios de información.

Una vez que el Ministerio haya creado los esquemas y metadatos, su uso será obligatorio para todos los órganos de la Administración del Estado.

En caso que un esquema o metadato no se encuentre creado y disponible, el servicio que lo requiera, deberá elevar una solicitud de creación al Ministerio Secretaría General de la Presidencia, el que deberá proceder a analizar la factibilidad de su creación. Dicho análisis se realizará dentro de los 30 días contados desde la solicitud y se traducirá en la emisión de una resolución fundada del Ministerio, en donde se accederá o negará la creación del esquema o metadato.

En caso que se acceda a la creación del esquema o metadato solicitado, el Ministerio procederá a crear y poner a disposición de todos los órganos de la Administración del Estado el nuevo esquema o metadato. Lo anterior se realizará dentro de los 20 días siguientes a la fecha en que se realice.

Sin perjuicio de lo establecido en los párrafos anteriores, el Ministerio podrá, de oficio, crear nuevos esquemas y metadatos, reemplazar y modificar los existentes si estima que lo anterior es necesario para asegurar la interoperabilidad de los documentos electrónicos.

Los atributos y forma que adoptarán los esquemas y metadatos serán detallados por el Ministerio.

3) Normas técnicas sobre sitios electrónicos y plataformas web abiertas.

Los sitios electrónicos y plataformas web abiertas de los órganos de la Administración del Estado deben seguir las directrices que a continuación se enuncian:

a) Los sitios electrónicos y plataformas web abiertas deberán ser desarrollados de manera tal que garanticen la disponibilidad y la accesibilidad de la información, así como el debido resguardo a los derechos de los titulares de datos personales, y asegurando la interoperabilidad de los contenidos, funciones y prestaciones ofrecidas por el respectivo órgano de la Administración del Estado, con prescindencia de las plataformas, hardware y software que sean utilizados.

b) Los sitios electrónicos y plataformas web abiertas deberán ser desarrollados para que las personas que utilizan los sitios web accedan de manera rápida, efectiva y eficiente a los servicios, funciones y prestaciones ofrecidas por éstos.

c) Para el desarrollo de sitios electrónicos y plataformas web abiertas, deberán implementarse estándares de desarrollo, compatibilidad y las directrices principales de las normas internacionales y nacionales sobre accesibilidad, de manera de permitir su acceso a personas con discapacidad. Para dichos los efectos, se asumirán los estándares internacionales definidos por la W3C.

d) Los sitios electrónicos y plataformas web abiertas deberán utilizar estándares actualizados de desarrollo web recomendados por la W3C, asegurando su acceso en cualquier momento, lugar y en todo tipo de dispositivo electrónico que permita su visualización.

e) Adicionalmente, se deberá avanzar en el soporte a la web semántica para el desarrollo de sitios electrónicos y plataformas web, basadas en datos abiertos, semánticos y vinculados.

En este sentido, los sitios electrónicos y plataformas web abiertas, deberán emplear estándares y formatos abiertos que permitan su reutilización y procesamiento automatizado. Asimismo, la información publicada en tales los sitios y plataformas dirigidas al público en general deberá ser puesta a disposición del público bajo un sistema de licenciamiento abierto que permita su empleo sin mayores restricciones (por ejemplo, la licencia «Creative Commons Atribución«).

f) Para asegurar la compatibilidad en la codificación de caracteres en sistemas digitales se utilizará preferentemente la codificación UTF-8.

g) El administrador de los sitios electrónicos y plataformas web abiertas de la institución deberá monitorear regularmente la actividad de estas plataformas utilizando herramientas que permitan analizar el comportamiento de uso del mismo, así como la gestión de errores e indisponibilidad, a fin de adoptar las medidas preventivas y correctivas oportunas, en aras de mejorar la calidad de las prestaciones e información que se brindan por su intermedio.

h) Los órganos de la Administración del Estado deberán tener un plan de contingencia para cada sitio electrónico o plataforma web abierta que administren, el cual contemplará las medidas a ser ejecutadas en el caso que la plataforma deje de estar disponible para el público, o que el nivel de acceso disminuya o sea intermitente, o que se vea comprometido por ataques externos.

i) Los órganos de la Administración del Estado deberán adoptar, mantener y declarar una política de privacidad de sus respectivos sitios electrónicos y plataformas web abiertas, la que deberá encontrarse accesible desde su primera página e incluir las menciones que indique la guía de privacidad que se dicte especialmente al efecto.

j) Todo sitio web deberá hacer uso del dominio .gob.cl o .gov.cl, registrándolos previamente ante la División de Informática del Ministerio del Interior.

De igual modo, los sitios web deberán registrar en sus servicios de nombres las tablas reversas de la o las direcciones IP asociadas a los dominios .gob.cl o .gov.cl correspondientes.

k) Todo sitio electrónico dirigido al público en general deberá poner a disposición un medio que permita la comunicación electrónica entre las personas y el órgano titular del sitio.

En este sentido, se deberá preferir, por sobre el despliegue de identificadores de casillas electrónicas de contacto, el uso de formularios web o equivalente funcional, para que los interesados establezcan contacto con el servicio.

l) En caso de recibirse alguna comunicación electrónica por parte de un interesado a través de los medios de comunicación señalados en el literal anterior, el administrador del sitio enviará de inmediato los antecedentes al funcionario o la autoridad que corresponda, informando de ello al interesado. En este sentido, se dará cumplimiento a lo dispuesto en el artículo 24 de la ley nº 19.880.

m) Los jefes de servicio deberán designar a uno o más funcionarios que serán los responsables de administrar los sitios electrónicos y/o plataformas web abiertas de la institución.

Asimismo, dichas personas serán responsables de velar por el cumplimiento de lo dispuesto en la presente norma técnica y las guías que se dicten en virtud de la misma.

Dicho administrador deberá ser designado dentro de los 30 días contados desde la publicación de este decreto. En aquellos órganos en que no se designe, actuará como administrador el Jefe de Servicio.

4) Guías técnicas y de implementación.

El Ministerio deberá publicar las guías que sean necesarias para la adecuada comprensión, implementación y especificación de las normas técnicas singularizadas en el presente artículo transitorio.

Dichas guías especificarán, al menos, las siguientes materias: 

a) Desarrollo de plataformas web abiertas seguras;

b) Publicación de esquemas y metadatos;

c) Publicación de datos abiertos;

d) Accesibilidad y despliegue de contenidos digitales web;

e) Desarrollo e implementación de la interoperabilidad en el Estado;

f) Sobre confección y administración de expedientes electrónicos;

g) Seguridad de las comunicaciones electrónicas;

h) Privacidad en los sitios electrónicos y plataformas web abiertas.

Las guías que se dicten sobre las materias indicadas en los literales precedentes deberán ser puestas a disposición del público en el sitio www.guiadigital.gob.cl.

5) Glosario de términos.

Para los efectos de las normas técnicas establecidas en este artículo, se entenderá por:

a) API (Application program interface o interfaces de programación de aplicaciones): conjunto de funciones y procedimientos (o métodos, en la programación orientada a objetos) que ofrece una biblioteca para ser utilizada por otro software como una capa de abstracción.

b) Creative Commons: es una organización sin fines de lucro, cuya finalidad es ofrecer un modelo legal de licencias que facilitan la distribución y uso de contenidos protegidos por derechos de autor;

c) Dirección IP: etiqueta numérica que identifica, de manera lógica y jerárquica, a una interfaz de un dispositivo dentro de una red IP, corresponde al nivel de red del Modelo OSI (Capa 3).

d) Documento electrónico: toda representación de un hecho, imagen o idea que sea creada, enviada, comunicada o recibida por medios electrónicos y almacenada de un modo idóneo para permitir su uso posterior.

e) Esquema: la estructura de un documento XML, expresada a través de la especificación XML Schema.

f) FTP (File Transfer Protocol): protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-servidor.

g) TCP (Transmission Control Protocol): protocolo de comunicación orientado a conexión fiable del nivel de transporte, documentado por IETF en el RFC 793. Es un protocolo de capa 4 según el modelo OSI.

h) Plataforma web abierta: tecnologías que ofrecen la posibilidad de una Web ágil y fácil de utilizar para las personas, además de dotarla de mecanismos que permitan transformarla en una gran base de datos abierta, distribuida y enlazada.

i) HTML 5: especificación que define la quinta revisión del lenguaje Hypertext Markup Language (HTML), regulado por el Consorcio W3C.

j) HTTP (Hypertext Transfer Protocol): protocolo de transferencia de hipertexto, orientado a transacciones que sigue el esquema petición-respuesta entre un cliente y un servidor documentado por IETF en el RFC 2616.

k) HTTPS (Hypertext Transfer Protocol Secure): Protocolo seguro de transferencia de hipertexto basado en el protocolo http que utiliza cifrado basado en SSL/TLS para crear un canal seguro de transmisión de información, documentado por IETF en el RFC 2819.

l) IETF (Internet Engineering Task Force): organización internacional abierta de estandarización de la arquitectura e ingeniería de Internet (http://www.ietf.org)

m) Interoperabilidad: capacidad que permite a sistemas heterogéneos, operar y comunicarse entre sí.

n) ISO (International Organization for Standardization): organización internacional dedicada al establecimiento de normas técnicas internacionales en materia de productos, servicios y buenas prácticas(http://www.iso.org)

o) JSON (JavaScript Object Notation): formato de texto para el intercambio ligero de datos estructurados.

p) Metadatos: datos que proporcionan información o documentación acerca de otros datos administrados en alguna aplicación o ambiente.

q) MIME (Multipurpose Internet Mail Extensions): serie de convenciones o especificaciones dirigidas al intercambio a través de Internet (Mensajería electrónica) de todo tipo de archivos (texto, audio, vídeo, etc.) de forma transparente para el usuario, documentado por IETF en los RFC 2045, RFC 2046, RFC 2047, RFC 4288, RFC 4289 y RFC 2077.

r) Repositorio: estructura electrónica donde se almacenan los documentos electrónicos.

s) SFTP: protocolo que proporciona la funcionalidad necesaria para la transferencia y manipulación de archivos sobre un flujo de datos seguro sobre una red TCP.

t) S/MIME (Secure/ Multipurpose Internet Mail Extensions): provee servicios de seguridad criptográfica para aplicaciones de mensajería electrónica y se considera estándar para criptografía de clave pública y firmado de correo electrónico encapsulado en MIME.

u) Sistema: conjunto de uno o más computadores, software asociado, periféricos, terminales, operadores humanos, procesos físicos, medio de transferencia de información y otros, que forman un todo autónomo capaz de realizar procesamiento de información y/o transferencia de información.

v) Sitio electrónico: software de aplicación que los usuarios pueden utilizar accediendo a un servidor web a través de internet o de una intranet mediante un navegador.

w) Sitio web: Colección de páginas de internet relacionadas y comunes a un dominio o subdominio de Internet, accesible frecuentemente a través de una URL.

x) SMTP (Simple Mail Transport Protocol): Protocolo de la capa de aplicación para la transferencia simple de correo electrónico, está definido en el RFC 2821 y es un estándar oficial de Internet.

y) SSH (Secure Shell): protocolo y programa que sirve para acceder a máquinas remotas a través de una red de forma segura, utilizando técnicas de cifrado que hacen que la información que viaja por el medio de comunicación vaya de manera no legible, RFC 4251.

z) Unicode: sistema de código que provee un número único para cada carácter, independiente de la plataforma o el idioma.

aa) URI (Universal Resource Identifier): identificador único de recursos, utilizado para identificar un recurso en Internet. Un caso particular son los URL que son localizadores de recursos (por ejemplo archivos html, o elementos multimediales) en la Web.

bb) UTF-8 (UCS Transformation Format 8): formato de codificación de caracteres Unicode e ISO 10646 utilizando símbolos de longitud variable, RFC 3629.

cc) W3C: World Wide Web Consortium, organización sin fines de lucro dedicada a la generación de los estándares utilizados en Internet (http://www.w3.org).

dd) XHTML: lenguaje de marcado para hipertexto extensibles. Una versión XML del lenguaje original HTML para documentos en la Web;

ee) XML (Extensible Markup Language): lenguaje que permite crear etiquetas para organizar e intercambiar contenidos más eficientemente. Corresponde a una versión simplificada de SGML (Standard Generalized Markup Language).

ff) XML Schema: lenguaje (gramática) para especificar esquemas de XML.

gg) XML Signature: especificación para implementar firma electrónica en documentos vinculados con XML.

hh) RDF: Marco de Descripción de Recursos (del inglés Resource Description Framework, RDF) especificación W3C diseñado como un marco para la representación de la información en la Web (Metadatos).

ii) XSL (Extensible Stylesheet Language): es una familia de recomendaciones de la W3C para definir la transformación y presentación de XML.

Artículo segundo:

Los esquemas y metadatos creados en virtud del procedimiento establecido en el Decreto Supremo nº 271, de 2009, del Ministerio de Economía Fomento y Reconstrucción, se mantendrán vigentes, sin perjuicio de lo establecido en inciso final del numeral 2) del artículo primero transitorio.

Tómese razón, regístrese, comuníquese y publíquese

SEBASTIÁN PIÑERA ECHENIQUE, Presidente de la República

Félix De Vicente Mingo, Ministro de Economía, Fomento y Turismo

Andrés Chadwick Piñera, Ministro del Interior y Seguridad Pública

Cristián Larroulet Vignau, Ministro Secretario General de la Presidencia

Pedro Pablo Errázuriz Domínguez, Ministro de Transportes y Telecomunicaciones.

Lo que transcribe, para su conocimiento.

Saluda atentamente a Usted, Tomás Flores Jaña, Subsecretario de Economía, y Empresas de Menor Tamaño.

20Abr/21

Decreto nº 154 de 11 de noviembre de 2011

Decreto nº 154 de 11 de noviembre de 2011, que modifica Decreto nº 181, de 2002, que aprueba Reglamento de la Ley nº 19.799 sobre Documentos Electrónicos, Firma Electrónica y la Certificación de dicha Firma, del Ministerio de Economía, Fomento y Turismo; Subsecretaria de Economía y Empresas de menor tamaño. (Publicado el 11 de agosto de 2012).

Número 154

Santiago, 18 de noviembre de 2011

Vistos:

Lo dispuesto en el artículo 32º nº 6 de la Constitución Política de la República; en la ley 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma; en el decreto supremo 181, de 9 de julio de 2002, del Ministerio de Economía, Fomento y Reconstrucción, que aprueba el Reglamento de la Ley nº 19.799 sobre Documentos Electrónicos, Firma Electrónica y la Certificación de dicha Firma (en adelante «el Reglamento»); y en la resolución nº 1.600, de 2008, de la Contraloría General de la República, que fija normas sobre exención del trámite de toma de razón.

Considerando:

1. Que, desde la dictación del Reglamento, el desarrollo tecnológico que ha experimentado la firma electrónica avanzada ha producido la obsolescencia de parte importante de las normas técnicas establecidas reglamentariamente.

2. Que lo anterior ha generado dos efectos no deseados por la normativa reglamentaria: Por una parte, el mantenimiento de bajos estándares de seguridad y calidad del servicio en comparación a los patrones internacionales, lo cual ha provocado una desconfianza en el sistema; y por la otra, la imposibilidad de incorporar nuevos dispositivos de firma electrónica avanzada a precios más bajos, impidiendo la masificación del uso de dicha firma.

3. Que, en virtud de los principios de Neutralidad Tecnológica y Compatibilidad Internacional contenidos en el artículo 1º de la ley nº 19.799, se hace necesario actualizar las normas técnicas que regulan la firma electrónica, documentos electrónicos y la certificación de dicha firma, a fin de equipararlas a los estándares internacionales en la materia.

4. Que, asimismo, se requiere establecer procedimiento expedito para la fijación, modificación o derogación de normas técnicas que materialicen los objetivos de la ley nº 19.799, y permita al sistema reaccionar eficazmente a la evolución tecnológica, otorgando una mayor seguridad y confianza a sus usuarios.

5. Que, en mérito de lo anterior, se hace necesario dotar a la Subsecretaría de Economía y Empresas de Menor Tamaño, en cuanto Entidad Acreditadora, de la facultad para fijar, modificar o derogar las normas técnicas aplicables a los prestadores de servicios de certificación, sean públicos o privados, a fin de lograr cumplir los objetivos de la ley nº 19.799, esto es, entre otros: otorgar altos niveles de seguridad y eficiencia al sistema, y eliminar las barreras que actualmente han impedido la masificación de la firma electrónica avanzada.

Decreto:

Artículo primero:

Modifícase el Reglamento en los términos que siguen:

1. Reemplázase íntegramente el actual artículo 5º, por el siguiente nuevo:

«Artículo 5º. A petición de parte o de oficio, la Entidad Acreditadora podrá iniciar el procedimiento de fijación, modificación o derogación de normas técnicas para la prestación del servicio de certificación de firma electrónica avanzada.

Dicho procedimiento se iniciará notificando a cada uno de los prestadores de servicios de certificación acreditados acerca del objeto y propuestas de modificación o fijación de normas técnicas, otorgando un plazo no inferior a 30 días hábiles para que aquellas efectúen las observaciones que estimen pertinentes. Además, la Entidad Acreditadora deberá publicar en su sitio web, por igual período, el objeto y propuesta de normas técnicas.

Las observaciones efectuadas por los prestadores de servicios de certificación acreditados no serán vinculantes para la Entidad Acreditadora.

Vencido el plazo para las observaciones, la Entidad Acreditadora evaluará las observaciones recibidas y determinará las normas técnicas que serán fijadas, modificadas o derogadas, las que serán aprobadas mediante decreto del Ministro de Economía, Fomento y Turismo.

De ser necesario, se podrán fijar conjuntos alternativos de normas técnicas para la prestación del servicio con el objeto de permitir el uso de diversas tecnologías y medios electrónicos, en conformidad a la ley y el presente reglamento.

Si la fijación o modificación de normas técnicas relativas a documentos electrónicos aplicables a los órganos del Estado requiere recursos adicionales o la coordinación de diversas entidades para su implementación, el decreto que aprueba las normas técnicas deberá ser firmado, además, por los Ministros de Hacienda y de Secretaría General de la Presidencia.».

2. Reemplázase en el actual inciso primero del artículo 15 la frase «y este Reglamento«, por la frase «, este Reglamento y las normas técnicas«.

 3. Reemplázase en el actual artículo 35 la frase «a las establecidas en este Reglamento«, por la frase «a las aprobadas de acuerdo al artículo 5º«.

4. Reemplázase en el actual artículo 44 la frase «con normas técnicas equivalentes a aquellas fijadas para los prestadores de servicios de certificación acreditados para el desarrollo de la actividad», por la frase «las normas técnicas aprobadas de acuerdo al artículo 5º».

5. Reemplázase en el actual artículo 51 la frase «fijadas a instancia del Comité creado en el artículo 47 del presente Reglamento», por la frase «aprobadas de acuerdo al artículo 5º».

Artículo segundo:

Reemplázase la disposición primera transitoria del Reglamento, por la siguiente nueva:

«Primera. En tanto no sean aprobadas las normas técnicas a que se refiere el artículo 5º, se fijan como normas técnicas para todos los fines previstos en este Reglamento las siguientes:

a) Prácticas de Certificación:

ETSI TS 102 042 V1.1.1 (2002-04). Technical Specification. Policy requirements for certification authorities issuing public key certificates.

NCh2805.Of2003 Tecnología de la Información – Requisitos de las políticas de las autoridades certificadoras que emiten certificados de claves públicas.

ETSI TS 102 042 V1.2.2 (2005-06). RTS/ESI-000043. Keywords e-commerce, electronic signature, public key, security.

ETSI TS 102 042 V2.1.1 (2009-05). Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates.

ETSI TS 102 042 V2.1.2 (2010-04). Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates.

b) Seguridad:

NCh27002.Of2009 Tecnología de la información – Código de práctica para la gestión de seguridad de la información.

ISO/IEC 15408-1:2009 Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model

FIPS PUB 140-2: Security Requirements for Cryptographic Modules (mayo 2001).

NCh.2820/1.Of2003 Tecnología de la información – Técnica de seguridad – Criterio de evaluación de la seguridad de TI – Parte 1: Introducción y modelo general.

NCh2829.Of.2003 Tecnología de la Información – Requisitos de Seguridad para Módulos Criptográficos.

c) Estructura de Certificados:

ISO/IEC 9594-8: 2005 Information Technology – Open Systems Interconnection – The Directory Attribute Certificate Framework. Correccion 2:2009.

ITU – T Rec.X.690 (2002) / ISO/IEC 8825-1:2002. ASN.1 Basic Encoding Rules.

NCh2798.Of2003 Tecnología de la Información – Reglas de codificación ASN.1 «Especificación de las reglas de codificación básica (BER) de las reglas de codificación canónica (CER) y de las reglas de codificación distinguida (DER).

d) Repositorio de Información:

NCh2832.Of2003 Tecnología de la información – Protocolos operacionales de infraestructura de clave pública LDAPv2 para Internet X.509.

RFC 2559 Boeyen, S. et al., «Internet X.509 Public Key Infrastructure. Operational Protocols LDAPv2», abril 1999.

RFC 3377 LDAPv3: Technical Specification, September 2002, Lightweight Directory Access Protocol (v3): Technical.

e) Sellado de Tiempo/Time stamping:

ETSI TS 102 023, v.1.2.1 y v.1.2.2. Electronic Signatures and Infrastructures (ESI); Policy requirements for time-stamping authorities.

ETSI TS 101 861 V1.3.1 Time-stamping profile.

ISO/IEC 18014-1:2008 Information technology – Security techniques – Time-stamping services – Part 1: Framework.

ISO/IEC 18014-2:2009 Information technology – Security techniques – Time-stamping services – Part 2: Mechanism producing independent tokens.

ISO/IEC 18014-3:2009 Information technology – Security techniques – Time-stamping services – Part 3: Mechanisms producing linked tokens.

RFC 3161 Internet X.509 Public Key Infrastructure Time – Stamp Protocol (TSP) (2001), RFC 5816 (update), ANSI ASC X 9.95.

RFC 3628 Requirements for Times Stamping Authorities.

NIST Special publication 800-102, Sept. 2009.

f) DNI Electrónico y su Identidad Biométrica:

ISO/ 19.785, ISO 19.794-2 Formatos de cabecera y datos de referencia.

ISO 7816-4, ISO 7816-11 Para la definición de los comandos de la tarjeta.

ANSI X.9.84 – 2003 – Reconocimiento de firmas, huellas digitales.

ISO/IEC 27N2949 – Condiciones de los sistemas biométricos para la industria de servicios financieros.

ISO/IEC 19784-1:2005, también conocido como BioAPI 2.0. Conexión entre dispositivos biométricos y diferentes tipos de aplicaciones, interfaz de programación de aplicaciones biométricas (API).

Common Biometric Exchange Fice Format – formatos comunes de intercambio de archivos biométricos.

g) Servicios de firma móvil:

ETSI TS 102 207 V1.1.3 (2003-08) Mobile Commerce (M-COMM); Mobile Signature Service; Specifications for Roaming in Mobile Signature Services.

ETSI TR 102 206 V.1.1.3 (2003-08) Mobile Commerce (M-COMM); Mobile Signature Service; Security Framework.

ETSI TR 102 203 V1.1.1 (2003-05) Mobile Signatures; Business and functional Requirements.

ETSI TS 102 204 V1.1.4 (2003-08) Mobile Signature Service; Web Service Interface.

Además, para el buen uso de las políticas de firma electrónica basada en certificados, se deberán tener en cuenta las siguientes especificaciones técnicas:

ETSI TS 101 733, v.1.6.3, v1.7.3 y v.1.8.1. Electronic Signatures and Infrastructures (SEI); CMS Advanced Electronic Signatures (CAdES).

ETSI TS 101 903, v.1.2.2, v.1.3.2 y 1.4.1. Electronic Signatures and Infrastructures (SEI); XML Advanced Electronic Signatures (XAdES).

ETSI TS 102 778, v 1.1.2. Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles;

Part 1: PAdES Overview,

Part 2: PAdES Basic – Profile based on ISO 32000-1,

Part 3: PAdES Enhanced – PAdES-BES and PAdESEPES Profiles;

Part 4: Long-term validation

ETSI TS 102 176-1 V2.0.0 Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms.

ETSI TR 102 038, v.1.1.1. Electronic Signatures and Infrastructures (SEI); XML format for signature policies.

ETSI TR 102 041, v.1.1.1. Electronic Signatures and Infrastructures (SEI); Signature policies report.

ETSI TR 102 045, v.1.1.1. Electronic Signatures and Infrastructures (SEI); Signature policy for extended business model.

ETSI TR 102 272, v.1.1.1. Electronic Signatures and Infrastructures (SEI); ASN.1 format for signature policies.

IETF RFC 2560, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP.

IETF RFC 3125, Electronic Signature Policies.

IETF RFC 3161 actualizada por RFC 5816, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).

IETF RFC 5280, RFC 4325 y RFC 4630, Internet X.509 Public Key Infrastructure; Certificate and Certificate Revocation List (CRL) Profile.

IETF RFC 5652, RFC 4853 y RFC 3852, Cryptographic Message Syntax (CMS).

ITU-T Recommendation X.680 (1997): «Information technology – Abstract Syntax Notation One (ASN.1): Specification of basic notation»

Artículo transitorio

Único:

Las disposiciones del presente decreto entrarán en vigencia 180 días después de su publicación en el Diario Oficial.

Anótese, tómese razón, comuníquese y publíquese

SEBASTIÁN PIÑERA ECHENIQUE, Presidente de la República

Pablo Longueira Montes, Ministro de Economía, Fomento y Turismo

Cristian Larroulet Vignau, Ministro Secretario General de la Presidencia

Pedro Pablo Errázuriz Domínguez, Ministro de Transportes y Telecomunicaciones.

Lo que transcribe para su conocimiento

Saluda atentamente a usted, Tomás Flores Jaña, Subsecretario de Economía y Empresas de Menor Tamaño.

CONTRALORÍA GENERAL DE LA REPÚBLICA

División Jurídica

Cursa con alcances el decreto nº 154, de 2011, del Ministerio de Economía, Fomento y Turismo

nº 47.490

Santiago, 6 de agosto de 2012.

Esta Entidad de Control ha dado curso al documento del rubro, mediante el cual se modifica el decreto nº 181, de 2002, del entonces Ministerio de Economía, Fomento y Reconstrucción -que aprobó el reglamento de la ley nº 19.799, sobre documentos electrónicos, firma electrónica y certificación de dicha firma- por cuanto se ajusta a derecho.

No obstante, cumple hacer presente que esta Contraloría General entiende que la fijación, modificación o derogación de las normas técnicas a que se refiere el inciso cuarto del nuevo artículo 5º que se incorpora al citado decreto nº 181, de 2002, en virtud de lo establecido en el artículo primero, nº 1, del instrumento en examen, será aprobada mediante decreto supremo expedido a través del Ministerio de Economía, Fomento y Turismo.

En el mismo orden de ideas, se considera que cuando se trate de los supuestos a que alude el inciso sexto del mencionado artículo 5º, esto es, de aquellos en que la fijación o modificación de normas técnicas relativas a documentos electrónicos aplicables a los órganos del Estado requiere de recursos adicionales o de la coordinación de diversas entidades para su implementación, la respectiva fijación o modificación también ha de ser sancionada mediante decreto supremo expedido a través del Ministerio de Economía, Fomento y Turismo, acto que, en tales casos, junto con ser suscrito por el Presidente de la República y el Secretario de Estado de la referida Cartera, deberá ser firmado por el Ministro de Hacienda y el Ministro Secretario General de la Presidencia.

Con los alcances que anteceden se ha tomado razón del documento del epígrafe.

Saluda atentamente a Ud., Ramiro Mendoza Zúñiga, Contralor General de la República.

Al señor

Ministro de Economía, Fomento y Turismo

Presente.

20Abr/21

Ley nº 20.217 de 5 de octubre de 2007

Ley nº 20.217 de 5 de octubre de 2007 del Ministerio de Economía, Fomento y Reconstrucción, Subsecretaría de Economía, Fomento y Reconstrucción. Modifica el Código de Procedimiento y la Ley nº 19.799 sobre documento electrónico, firma electrónica y servicios de certificación de dicha firma. (Publicada el 12 de noviembre de 2007).

Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente:

Proyecto de ley:

Artículo 1°

Introdúcense las siguientes modificaciones en el Código de Procedimiento Civil.

1) Agrégase el siguiente número 6, nuevo, en el artículo 342:

 «6. Los documentos electrónicos suscritos mediante firma electrónica avanzada.».

2) Agrégase el siguiente artículo 348 bis nuevo:

“Artículo 348 bis. Presentado un documento electrónico, el Tribunal citará para el 6° día a todas las partes a una audiencia de percepción documental. En caso de no contar con los medios técnicos electrónicos necesarios para su adecuada percepción, apercibirá a la parte que presentó el documento con tenerlo por no presentado de no concurrir a la audiencia con dichos medios.

Tratándose de documentos que no puedan ser transportados al tribunal, la audiencia tendrá lugar donde éstos se encuentren, a costa de la parte que los presente.

En caso que el documento sea objetado, en conformidad con las reglas generales, el Tribunal podrá ordenar una prueba complementaria de autenticidad, a costa de la parte que formula la impugnación, sin perjuicio de lo que se resuelva sobre pago de costas. El resultado de la prueba complementaria de autenticidad será suficiente para tener por reconocido o por objetado el instrumento, según corresponda.

Para los efectos de proceder a la realización de la prueba complementaria de autenticidad, los peritos procederán con sujeción a lo dispuesto por los artículos 417 a 423.

En el caso de documentos electrónicos privados, para los efectos del artículo 346, n°3, se entenderá que han sido puestos en conocimiento de la parte contraria en la audiencia de percepción.».

Artículo 2°

Introdúcense las siguientes modificaciones en la ley nº 19.799.

1) Agrégase en el artículo 2° la siguiente letra i), nueva:

«i). Fecha electrónica: conjunto de datos en forma electrónica utilizados como medio para constatar el momento en que se ha efectuado una actuación sobre otros datos electrónicos a los que están asociados.».

2) Reemplázase el número 2 del artículo 5º de la ley nº 19.799, por el siguiente:

«2. Los que posean la calidad de instrumento privado, en cuanto hayan sido suscritos con firma electrónica avanzada, tendrán el mismo valor probatorio señalado en el número anterior. Sin embargo, no harán fe respecto de su fecha, a menos que ésta conste a través de un fechado electrónico otorgado por un prestador acreditado.

En el caso de documentos electrónicos que posean la calidad de instrumento privado y estén suscritos mediante firma electrónica, tendrán el valor probatorio que corresponda, de acuerdo a las reglas generales.».

Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto como Ley de la República.

Santiago, 5 de octubre de 2007

MICHELLE BACHELET JERIA, Presidenta de la República

Alejandro Ferreiro Yazigi, Ministro de Economía, Fomento y Reconstrucción

Carlos Maldonado Curti, Ministro de Justicia.

Lo que transcribe para su conocimiento

Saluda atentamente a usted, Ana María Correa López, Subsecretaria de Economía.

19Abr/21

Decreto nº 181, de 09 de julio de 2002

Decreto nº 181, de 09 de julio de 2002, del Ministerio de Economía; Fomento y Reconstrucción; Subsecretaría de Economía; Fomento y Reconstrucción, que aprueba reglamento de la Ley 19.799 sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma.

Decreto nº 181 de 9 de julio de 2002

REGLAMENTO DE LA LEY 19.799 SOBRE DOCUMENTOS ELECTRONICOS, FIRMA ELECTRONICA Y LA CERTIFICACION DE DICHA FIRMA

Núm. 181.- Santiago, 9 de julio de 2002.

Vistos:

a) Lo dispuesto en el artículo 32º nº 8 de la Constitución Política de la República;

b) La ley 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma;

c) Lo dispuesto en la resolución nº 520, de 1996, que fija el texto refundido, coordinado y sistematizado de la resolución nº 55, de 1992, ambas de la Contraloría General de la República.

Considerando:

Que en fecha 12 de abril de 2002 se publicó en el Diario Oficial la ley nº 19.799 sobre documento electrónico, firma electrónica y la certificación de dicha firma, cuyo artículo 25 autoriza al Presidente de la República a dictar el reglamento correspondiente, en el plazo de 90 días contados desde la referida publicación,

DECRETO:

Artículo primero

Apruébase el siguiente Reglamento de la ley nº 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma.

Artículo 1º

Los documentos electrónicos, la certificación y uso de la firma electrónica por las personas naturales y jurídicas de derecho privado y la administración del Estado, la prestación de los servicios de certificación, la acreditación de los certificadores, y los derechos y obligaciones de los usuarios se regirá por lo dispuesto en la ley nº 19.799, el presente Reglamento y las normas técnicas que se dicten al efecto.

 TITULO PRIMERO. DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Artículo 2º

Son prestadores de servicios de certificación las personas jurídicas nacionales o extranjeras, públicas o privadas, que otorguen certificados de firma electrónica, sin perjuicio de los demás servicios que puedan realizar.

 Son prestadores acreditados de servicios de certificación las personas jurídicas nacionales o extranjeras, públicas o privadas, domiciliadas en Chile y acreditadas en conformidad con la Ley y este Reglamento, que otorguen certificados de firma electrónica, sin perjuicio de los demás servicios que puedan realizar.

Artículo 3º

El cumplimiento de las normas técnicas fijadas para la aplicación del presente Reglamento es obligatorio para los prestadores acreditados de servicios de certificación.

Artículo 4º

Los actos administrativos que impliquen la modificación de normas técnicas para la prestación del servicio establecerán los plazos en los cuales un prestador acreditado de servicios de certificación deberá adecuarse a las mismas. El incumplimiento en la adecuación a las nuevas normas técnicas será calificado como incumplimiento grave y facultará a la Entidad Acreditadora a dejar sin efecto la acreditación, de conformidad con el artículo 19 de la Ley y el presente Reglamento.

Artículo 5º

A petición de parte o de oficio, la Entidad Acreditadora podrá iniciar el procedimiento de fijación, modificación o derogación de normas técnicas para la prestación del servicio de certificación de firma electrónica avanzada.

(Artículo Primero, 1º del Decreto 154, Publicado 11.08.2012)

Dicho procedimiento se iniciará notificando a cada uno de los prestadores de servicios de certificación acreditados acerca del objeto y propuestas de modificación o fijación de normas técnicas, otorgando un plazo no inferior a 30 días hábiles para que aquellas efectúen las observaciones que estimen pertinentes. Además, la Entidad Acreditadora deberá publicar en su sitio web, por igual período, el objeto y propuesta de normas técnicas.

Las observaciones efectuadas por los prestadores de servicios de certificación acreditados no serán vinculantes para la Entidad Acreditadora.

Vencido el plazo para las observaciones, la Entidad Acreditadora evaluará las observaciones recibidas y determinará las normas técnicas que serán fijadas, modificadas o derogadas, las que serán aprobadas mediante decreto del Ministro de Economía, Fomento y Turismo.

De ser necesario, se podrán fijar conjuntos alternativos de normas técnicas para la prestación del servicio con el objeto de permitir el uso de diversas tecnologías y medios electrónicos, en conformidad a la ley y el presente reglamento.

Si la fijación o modificación de normas técnicas tratadas en este artículo requieren recursos adicionales o la coordinación de diversas entidades para su implementación, el decreto que aprueba las normas técnicas deberá ser firmado, además, por los Ministros de Hacienda y de Secretaría General de la Presidencia.

(Artículo Primero, 1º del Decreto 14, Publicado 27.02.2014)

Artículo 6º

Es obligación de los prestadores de servicios de certificación contar con reglas sobre prácticas de certificación consistentes en una descripción detallada de las políticas, procedimientos y mecanismos que el certificador se obliga a cumplir en la prestación de sus servicios de certificación y homologación. Las Prácticas de Certificación deben declarar el cumplimiento de los requisitos señalados en el artículo 17 de este Reglamento, con excepción de la póliza de seguro que se acredita por medio de la presentación de la misma.

Las Prácticas de Certificación deben ser objetivas y no discriminatorias, y se deben comunicar a los usuarios de manera sencilla y en idioma castellano.

Dichas prácticas deberán contener al menos:

a.  Una introducción, que deberá contener un resumen de las prácticas de certificación de que se trate, mencionando tanto la entidad que suscribe el documento, como el tipo de usuarios a los que son aplicables.

b.  Consideraciones generales, debiendo contener información sobre obligaciones, responsabilidades, cumplimiento de auditorías, confidencialidad, y derechos de propiedad intelectual, con relación a todas las partes involucradas.

c.  Identificación y autenticación, debiendo describirse tanto los procesos de autenticación aplicados a los solicitantes de certificados, como los procesos para autenticar a los mismos cuando piden suspensión o revocación de certificado.

d.  Requerimientos operacionales, debiendo contener información operacional para los procesos de solicitud de certificado, emisión de certificados, suspensión y revocación de certificados, procesos de auditoría de seguridad, almacenamiento de información relevante, cambio de datos de creación de firma electrónica, superación de situaciones críticas, casos de fuerza mayor y caso fortuito, y procedimiento de término del servicio de certificación.

e.  Controles de procedimiento, personal y físicos, debiendo describir los controles de seguridad no técnicos utilizados por el prestador de servicios de certificación para asegurar las funciones de generación de datos de creación de firma electrónica, autenticación de usuarios, emisión de certificados, suspensión y revocación de certificados, auditoría y almacenamiento de información relevante.

f.  Controles de seguridad técnica, debiendo señalar las medidas de seguridad adoptadas por el prestador de servicios de certificación para proteger los datos de creación de su propia firma electrónica.

g.  Perfiles de certificados y del registro de acceso público, debiendo especificar el formato del certificado y del registro de acceso público.

h.  Especificaciones de administración de la política de certificación, debiendo señalar la forma en que la misma está contenida en la Práctica, los procedimientos para cambiar, publicar y notificar la política.

Artículo 7º

El prestador de servicios de certificación deberá mantener un registro de certificados de acceso público, en el que se garantice la disponibilidad de la información contenida en él de manera regular y continua.

A dicho registro se podrá acceder por medios electrónicos y en él deberán constar los certificados emitidos por el certificador, indicando si los mismos se encuentran vigentes, revocados, suspendidos, traspasados de otro prestador de servicios de certificación u homologados.

Artículo 8º

En caso que un prestador de servicios de certificación cese en la prestación del servicio, deberá comunicar tal situación a los titulares de los certificados por ella emitidos en la siguiente forma:

a)  Si el cese es voluntario, con una antelación de a lo menos dos meses y señalando al titular que de no existir objeción a la transferencia de los certificados a otro prestador de servicios de certificación, dentro del plazo de 15 días hábiles contados desde la fecha de la comunicación, se entenderá que el usuario ha consentido en la transferencia de los mismos. En este caso, si el prestador es acreditado, deberá traspasar los certificados, necesariamente, a un certificador acreditado.

b)  Si el cese no es voluntario, la cancelación de la acreditación deberá comunicarse inmediatamente a los titulares. En caso que el prestador de servicios de certificación esté en situación de traspasar los certificados a otro prestador acreditado, deberá informar tal situación en la forma y plazo señalado en la letra a).

Si el titular del certificado se opone a la transferencia, el certificado quedará sin efecto sin más trámite, sin perjuicio de lo dispuesto en el artículo 11 de este Reglamento.

Artículo 9º

En caso que el cese en la prestación del servicio sea por voluntad del prestador acreditado de servicios de certificación, deberá solicitar a la Entidad Acreditadora, con al menos un mes de anticipación, la cancelación de su inscripción en el registro público a que hace referencia el artículo 16 de este Reglamento, comunicándole el destino que dará a los datos de los certificados, especificando, en su caso, los que va a transferir y a quién, cuando proceda.

Artículo 10

El cese de la actividad del prestador acreditado de servicios de certificación será registrado como nota de cancelación de la inscripción de la acreditación por la Entidad Acreditadora en el registro público a que se refiere el artículo 16 de este Reglamento.

Artículo 11

Los datos proporcionados por el titular del certificado deberán ser conservados por el prestador de servicios de certificación a lo menos durante seis años desde la emisión inicial de los certificados, cualquiera sea el estado en que se encuentre el certificado.

En caso que el prestador de servicios de certificación cese en su actividad, deberá transferir dichos datos a un prestador de servicios de certificación, que deberá estar acreditado si aquel lo fuera, o a una empresa especializada en la custodia de datos electrónicos, por el tiempo faltante para completar los 6 años desde la emisión de cada certificado. Esta situación deberá verse reflejada en el registro público que señala el artículo 16 de este Reglamento.

Artículo 12

Los prestadores de servicios de certificación acreditados deberán contratar y mantener vigente un seguro de responsabilidad civil, que cubra los daños y perjuicios que ocasionen, con motivo de la certificación y homologación de firmas electrónicas, el que deberá contener las siguientes estipulaciones mínimas:

a)  Una suma asegurada de al menos el equivalente de cinco mil unidades de fomento;

b)  La ausencia de deducibles o franquicias, en la parte de la indemnización que no exceda el equivalente de cinco mil unidades de fomento;

c)  La responsabilidad civil asegurada, que comprenderá la originada en hechos acontecidos durante la vigencia de la póliza, no obstante sea reclamada con posterioridad a ella.

TITULO SEGUNDO. DE LA ACREDITACIÓN DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Artículo 13

La acreditación es el procedimiento en virtud del cual el prestador de servicios de certificación demuestra a la Entidad Acreditadora que cuenta con las instalaciones, sistemas, programas informáticos y los recursos humanos necesarios para otorgar los certificados en los términos que se establecen en la Ley y en este Reglamento, permitiendo su inscripción en el registro que se señala en el artículo 16.

Artículo 14

Las funciones correspondientes a la Entidad Acreditadora serán desarrolladas por la Subsecretaría de Economía, Fomento y Reconstrucción, la que, a efectos de su cumplimiento, podrá contratar expertos, a cuyos contratos se incorporarán normas sobre probidad administrativa.

Artículo 15

La Entidad Acreditadora ejercerá la facultad inspectora sobre los prestadores acreditados de servicios de certificación y, a tal efecto, velará porque los requisitos que se observaron al momento de otorgarse la acreditación y las obligaciones que impone la Ley, este Reglamento y las normas técnicas se cumplan durante la vigencia de la acreditación.

(Artículo Primero, nº 2 del Decreto 154, Publicado 11.08.2012)

La facultad inspectora comprende tanto inspección ordinaria como la extraordinaria. La inspección ordinaria consiste en la facultad de practicar una visita anual a las instalaciones del prestador acreditado de servicios de certificación, como asimismo requerir, en forma semestral, información sobre el desarrollo de la actividad. La inspección extraordinaria será practicada de oficio o por denuncia motivada sobre la prestación del servicio, ordenada por el Subsecretario mediante resolución fundada.

 Las inspecciones podrán ser practicadas por medio de funcionarios o peritos especialmente contratados y habilitados para estos fines, los que en el ejercicio de sus funciones podrán requerir al certificador información adicional a la proporcionada por él.

La información solicitada por la Entidad Acreditadora deberá ser proporcionada dentro del plazo de 5º día, contado desde la fecha de la solicitud, sin perjuicio del otorgamiento de plazos especiales atendida la información requerida.

Artículo 16

La Entidad Acreditadora mantendrá un registro público de prestadores acreditados de servicios de certificación, el que deberá contener el número de la resolución que concede la acreditación, el nombre o razón social del certificador, la dirección social, el nombre de su Representante Legal, el número de su teléfono, su sitio de dominio electrónico y correo electrónico así como la compañía de seguros con que ha contratado la póliza de seguros que exige el artículo 14 de la Ley.

El referido registro público deberá permitir su acceso por medios electrónicos, sin perjuicio de la mantención del mismo en soporte de papel en la Entidad Acreditadora. Este Registro deberá ser actualizado permanentemente, manteniendo un acceso regular y continuo.

Artículo 17

La acreditación es voluntaria, sin perjuicio de lo cual para obtenerla el prestador de servicios de certificación deberá cumplir, al menos, con las siguientes condiciones:

a.  Demostrar la fiabilidad necesaria de sus servicios.

b.  Garantizar la existencia de un servicio seguro de consulta del registro de certificados emitidos.

c.  Emplear personal calificado para la prestación de los servicios ofrecidos, en el ámbito de la firma electrónica y los procedimientos de seguridad y gestión adecuados.

d.  Utilizar sistemas y productos confiables que garanticen la seguridad de sus procesos de certificación.

e.  Haber contratado un seguro apropiado en los términos que señala el artículo 12 de este Reglamento, y

f.  Contar con la capacidad tecnológica necesaria para el desarrollo de la actividad de certificación.

El cumplimiento de dichas condiciones será evaluado por la Entidad Acreditadora de conformidad con las normas técnicas aplicables a la prestación del servicio, durante el procedimiento de acreditación.

Artículo 18

El procedimiento de acreditación de los prestadores de servicios de certificación se iniciará por medio de una solicitud presentada a la Entidad Acreditadora, acompañada del comprobante de pago de los costos de la acreditación y de los antecedentes que permitan verificar el cumplimiento de los requisitos de acreditación, con excepción de la póliza de seguro a que hace referencia el artículo 14 de la Ley.

En la solicitud que presente el interesado deberá individualizarse debidamente y para ello señalará su nombre o razón social, su RUT, el nombre y RUT del Representante Legal, su domicilio social y dirección de correo electrónico, aceptando expresamente dicho medio electrónico como forma de comunicación.

Artículo 19

Recibida la solicitud, la Entidad Acreditadora procederá a verificar la admisibilidad de la misma mediante la verificación de los antecedentes requeridos, dentro de 5º día hábil.

De ser inadmisible la solicitud, dentro de 3º día hábil se procederá a comunicar al interesado tal situación, el que podrá completar los antecedentes dentro del plazo de 15 días, bajo apercibimiento de ser rechazada la solicitud.

Admitida a trámite la solicitud, la Entidad Acreditadora procederá a un examen sobre el cumplimiento de los requisitos y obligaciones exigidas por la Ley y este Reglamento para obtener la acreditación, certificando dentro del plazo de 90 días contados desde la fecha de la admisibilidad de la solicitud, prorrogables por una vez e igual período y por motivos fundados, que el interesado cumple los requisitos y obligaciones para ser acreditado y que dispone de un plazo de 20 días para presentar la póliza de seguros que exige el artículo 14 de la Ley, bajo apercibimiento de ser rechazada la solicitud.

Artículo 20

En caso que la Entidad Acreditadora determine que el prestador de servicios de certificación no cumple con las normas técnicas fijadas para el desarrollo de la actividad, señalará si los incumplimientos son subsanables, y si no afectan el correcto funcionamiento del sistema ni los fines previstos en la Ley para la firma electrónica avanzada.

 En caso que los incumplimientos no sean subsanables, la Entidad Acreditadora procederá a dictar una resolución en la que rechaza la solicitud de acreditación.

Si los incumplimientos son subsanables y no afectan el correcto funcionamiento del sistema ni los fines previstos en la Ley para la firma electrónica avanzada, la Entidad Acreditadora podrá acreditar al interesado, previa autorización de un plan de medidas correctivas.

Artículo 21

Una vez completados los requisitos exigidos, la Entidad Acreditadora procederá a acreditar al interesado en el plazo de veinte días contados desde que, a petición del interesado, se certifique que la solicitud se encuentra en estado de resolverse.

Artículo 22

Durante todo el proceso de acreditación, la Entidad Acreditadora podrá solicitar documentación adicional y/o realizar visitas a las instalaciones del interesado, por intermedio de sus funcionarios o por expertos especialmente contratados para dichos fines.

Artículo 23

La acreditación del prestador de servicios de certificación producirá los siguientes efectos:

a.  La incorporación al registro público de prestadores acreditados que mantiene la Entidad Acreditadora.

b.  Habilitará al certificador a emitir certificados de firma electrónica avanzada.

c.  Someterá al certificador a la inspección de la Entidad Acreditadora.

d.  Los demás que establecen la Ley y este Reglamento.

Artículo 24

La Entidad Acreditadora por medio de resolución fijará dentro del primer trimestre de cada año el arancel de los costos de la acreditación y el arancel de supervisión.

Los costos de acreditación serán pagados por el prestador de servicios de certificación que solicite acreditarse, los que no serán restituidos en el evento que la acreditación no se conceda por incumplimiento de los requisitos y obligaciones legales y reglamentarias exigidos para el desarrollo de la actividad de certificación como acreditado.

El arancel de supervisión comprenderá los costos correspondientes a las inspecciones, ordinarias y extraordinarias, y del sistema de acreditación. El arancel deberá ser pagado por los prestadores acreditados de servicios de certificación dentro de los 90 días siguientes a la fecha de la resolución que los fija.

Artículo 25

La Entidad Acreditadora podrá dejar sin efecto la acreditación mediante resolución fundada, por las causales previstas en el artículo siguiente.

Dicha resolución deberá ordenar la cancelación de la inscripción del certificador del registro público que lleve la Entidad Acreditadora.

Artículo 26

La acreditación de los certificadores se dejará sin efecto por las siguientes causas:

a)  Por solicitud del prestador acreditado de servicios de certificación, ante la Entidad Acreditadora con una antelación de a lo menos un mes a la fecha del término previsto por el prestador acreditado de servicios de certificación para que se haga efectiva, indicando el destino que dará a los certificados y a los datos de ellos, para lo cual deberá cumplir con lo dispuesto en el artículo 8 letra a) de este Reglamento, y garantizar el pago del aviso que deberá ser publicado de conformidad con lo dispuesto en el artículo siguiente.

b)  Por pérdida de las condiciones que sirvieron de fundamento a su acreditación, la que será calificada por los funcionarios o expertos que la Entidad Acreditadora ocupe para el cumplimiento de la facultad inspectora.

c)  Por incumplimiento grave o reiterado de las obligaciones que establece la Ley y este Reglamento.

En los casos de las letras b) y c), la resolución deberá ser adoptada previo traslado de cargos y audiencia del afectado, para lo cual la Entidad Acreditadora dará un plazo de 5 días hábiles para que éste evacue sus descargos. Recibidos éstos, la Entidad Acreditadora deberá resolver fundadamente dentro del plazo de 15 días, prorrogables por el mismo período por motivos fundados.

Artículo 27

Los certificadores cuya inscripción haya sido cancelada, deberán comunicar inmediatamente este hecho a los titulares de las firmas certificadas por ellos. Sin perjuicio de ello, la Entidad Acreditadora publicará, a costa del certificador, un aviso dando cuenta de la cancelación.

Dicho aviso deberá ser publicado en un medio de prensa escrito de circulación nacional, sin perjuicio de la publicación de la resolución en el registro público que señala el artículo 16 de este Reglamento. El aviso deberá señalar que desde esta publicación los certificados quedarán sin efecto, a menos que hayan sido transferidos a otro certificador acreditado.

TITULO TERCERO. DE LOS CERTIFICADOS DE FIRMA ELECTRÓNICA

Artículo 28.

El certificado de firma electrónica es la certificación electrónica que da fe del vínculo entre el firmante o titular del certificado y los datos de creación de firma electrónica.

Los certificados de firma electrónica deben contener, al menos, las siguientes menciones:

a.  Un código de identificación único del certificado.

b.  Identificación del prestador de servicio de certificación, con indicación de su nombre o razón social, rol único tributario, dirección de correo electrónico, y, en su caso, los antecedentes de su acreditación y su propia firma electrónica avanzada.

c.  Los datos de la identidad del titular, entre los cuales deben incluir su nombre, dirección de correo electrónico y su rol único tributario.

d.  Su plazo de vigencia.

Artículo 29

Los prestadores de servicios de certificación deberán introducir en los certificados de firma electrónica que emitan, las menciones señaladas en el artículo 15 de la Ley, de acuerdo con las normas fijadas por este Reglamento para el desarrollo de la actividad.

 Los atributos adicionales que los prestadores de servicios de certificación introduzcan con la finalidad de incorporar límites al uso del certificado, no deberán dificultar o impedir la lectura de las menciones señaladas en el inciso anterior ni su reconocimiento por terceros.

Artículo 30

Tratándose de un certificado de firma electrónica avanzada, deberá el prestador de servicios de certificación comprobar fehacientemente la identidad del solicitante antes de la emisión del mismo, de conformidad con las normas técnicas.

Dicha comprobación la hará el prestador de servicios de certificación, ante sí o ante notario u oficial del Registro Civil, requiriendo la comparecencia personal y directa del solicitante o de su representante legal si se tratare de una persona jurídica.

Artículo 31

Los datos de creación de firma, cuando sean generados por el prestador de servicios de certificación, deben ser entregados al usuario o titular del certificado de manera de garantizar la recepción de los mismos en forma personal.

Queda prohibido al prestador de servicios de certificación mantener copia de los datos de creación de firma electrónica una vez que éstos hayan sido entregados a su titular, momento desde el cual éste comenzará a ser responsable de mantenerlos bajo su exclusivo control.

Artículo 32

El certificado de firma electrónica podrá ser usado por su titular de conformidad con las operaciones que han sido autorizadas a realizar en las prácticas de certificación del prestador de servicios de certificación con quien se ha contratado.

El certificado de firma electrónica avanzada deberá permitir a quien lo reciba verificar, en forma directa o mediante consulta electrónica, que ha sido emitido por un prestador acreditado de servicios de certificación, con la finalidad de comprobar la validez del mismo.

Artículo 33

Procederá la suspensión de la vigencia del certificado cuando se verifique alguna de las siguientes circunstancias:

a.  Solicitud del titular del certificado.

b.  Decisión del prestador de servicios de certificación en virtud de razones técnicas.

El efecto de la suspensión del certificado es el cese temporal de los efectos jurídicos del mismo conforme a los usos que le son propios e impide el uso legítimo del mismo por parte del titular.

La suspensión del certificado terminará por cualquiera de las siguientes causas:

a.  Por la decisión del prestador de servicios de certificación de revocar el certificado, en los casos previstos en la Ley.

b.  Por la decisión del prestador de servicios de certificación de levantar la suspensión del certificado, una vez que cesen las causas técnicas que la originaron.

c.  Por la decisión del titular del certificado, cuando la suspensión haya sido solicitada por éste.

Artículo 34

Los certificados de firma electrónica quedarán sin efecto por la revocación practicada por el prestador de servicios de certificación.

La revocación tendrá lugar cuando el prestador de servicios de certificación constate alguna de las siguientes circunstancias:

a)  Solicitud del titular del certificado.

b)  Fallecimiento del titular o disolución de la persona jurídica que represente, en su caso.

c)  Resolución judicial ejecutoriada.

d)  Que el titular del certificado al momento de solicitarlo no proporcionó los datos de la identidad personal u otras circunstancias objeto de certificación, en forma exacta y completa.

e)  Que el titular del certificado no ha custodiado adecuadamente los mecanismos de seguridad del funcionamiento del sistema de certificación que le proporcione el certificador.

f)  Que el titular del certificado no ha actualizado sus datos al cambiar éstos.

g)  Las demás causas que convengan el prestador de servicios de certificación con el titular del certificado.

El efecto de la revocación del certificado es el cese permanente de los efectos jurídicos de éste conforme a los usos que le son propios e impide el uso legítimo del mismo.

Artículo 35

Los prestadores acreditados de servicios de certificación podrán homologar los certificados de firma electrónica avanzada emitidos por certificadores no establecidos en Chile, bajo su responsabilidad. Para ello el prestador acreditado de servicios de certificación deberá demostrar a la Entidad Acreditadora que los certificados por ella homologados han sido emitidos por un prestador de servicios de certificación no establecido en Chile que cumple con normas técnicas equivalentes a las aprobadas de acuerdo al artículo 5º para el desarrollo de la actividad. Una vez practicada la homologación de un certificado o de un grupo de certificados de firma electrónica avanzada el prestador acreditado de servicios de certificación deberá, dentro del plazo de tercero día, comunicar tal situación a la Entidad Acreditadora y se deberá publicar, inmediatamente, en el registro de acceso público señalado en el artículo 7 de este Reglamento. Las prácticas de homologación deberán estar declaradas en las Prácticas de Certificación.

(Artículo Primero, nº 3 del Decreto 154, publicado el 11.08.2012)

Artículo 36

La revocación de un certificado de firma electrónica podrá producirse de oficio o a petición de su titular por la concurrencia de algunas de las causales previstas en la Ley o en este Reglamento. La solicitud de suspensión o revocación, según corresponda, se podrá dirigir al prestador de servicios de certificación en cualquiera de las formas que prevean sus prácticas de certificación. La suspensión o revocación del certificado deberá ser comunicada inmediatamente a su titular, sin perjuicio que deba publicarse en el registro de acceso público que señala el artículo 7 de este Reglamento. Tratándose de la suspensión por razones técnicas o revocación del certificado de firma electrónica por las causales de las letras d), e) o f) del artículo 34, dicha decisión deberá ser comunicada al titular con anterioridad a su puesta en práctica, indicando la causa que la provoca y el momento en que se hará efectiva.

El término de la vigencia del certificado será oponible a terceros desde el momento de la publicación de ésta en el registro de acceso público que señala el artículo 7 de este Reglamento.

TITULO CUARTO. PROTECCIÓN DE LOS DERECHOS DE LOS USUARIOS

 Artículo 37

De acuerdo con el artículo 13 de la Ley el cumplimiento por parte de los prestadores no acreditados de servicios de certificación de las obligaciones que impone la Ley, en la forma que lo hacen los prestadores acreditados, servirá como antecedente para determinar la debida diligencia en la prestación del servicio, para los efectos de hacer efectiva la responsabilidad del artículo 14 de la Ley.

Artículo 38

De acuerdo con el artículo 23 de la Ley los usuarios podrán ejercer los derechos señalados en dicho artículo 23 de conformidad con el procedimiento establecido en la Ley 19.496 sobre protección de los derechos de los consumidores, salvo en lo que diga relación con el derecho a ser indemnizado y hacer valer los seguros comprometidos, situación en la cual se regirá por el derecho común.

TÍTULO QUINTO. SOBRE LA UTILIZACIÓN DE LA FIRMA ELECTRÓNICA POR LOS ÓRGANOS DE LA ADMINISTRACIÓN DEL ESTADO

Párrafo 1º: Reglas comunes

Artículo 39

Los órganos de la Administración del Estado podrán ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su ámbito de competencia, suscribiéndolos por medio de firma electrónica.

Para tal efecto, los actos administrativos, formalizados por medio de documentos electrónicos y que consten en decretos o resoluciones, en acuerdos de órganos colegiados, así como la celebración de contratos, la emisión de cualquier otro documento que exprese la voluntad de un órgano o servicio público de la Administración del Estado en ejercicio de sus potestades legales y, en general, todo documento que revista la naturaleza de instrumento público o aquellos que deban producir los efectos jurídicos de éstos, deberán suscribirse mediante firma electrónica avanzada.

Artículo 40

La certificación de las firmas electrónicas avanzadas de las autoridades o funcionarios de los órganos y servicios públicos de la Administración del Estado se realizará por los respectivos ministros de fe. En aquellos órganos en que el ministro de fe no se encuentre expresamente establecido, el jefe superior del servicio deberá designar un funcionario público de planta, por resolución, para que actúe como certificador.

Artículo 41

Los órganos de la Administración del Estado podrán contratar, de acuerdo con las normas que rigen la contratación administrativa, los servicios de certificación de firma electrónica con un prestador acreditado de servicios de certificación, cuando mediante resolución fundada constaten su conveniencia técnica y económica. La estimación de dicha conveniencia estará basada en criterios de calidad de servicio y precio de éste.

Artículo 42

Los órganos de la Administración del Estado que utilicen documentos electrónicos deberán contar con un Repositorio o archivo electrónico a los efectos de su archivo una vez que haya finalizado su tramitación, de conformidad con las normas que regulan a su respectiva oficina de partes.

El Repositorio será responsabilidad del respectivo funcionario a cargo del archivo, sin perjuicio de la celebración de convenios de cooperación entre diferentes órganos o de la contratación de una empresa privada para que preste el servicio.

El Repositorio deberá garantizar que se respeten las normas sobre publicidad de los documentos, contenidas en la Ley 18.575 sobre Bases de la Administración del Estado y otras leyes especiales.

Artículo 43

El Repositorio deberá garantizar la seguridad, integridad y disponibilidad de la información en él contenida.

Para ello la información deberá ser respaldada en copias de seguridad, bajo las siguientes características:

a.  La información deberá ser respaldada con cada proceso de actualización de documentos.

b.  Se deberá mantener una copia de seguridad en el lugar de operación de los sistemas de información y otra en un centro de almacenamiento de datos electrónicos especializado. Este centro de almacenamiento de datos electrónicos, que puede ser propio o provisto por terceros, deberá cumplir con condiciones tales como un estricto control de acceso, un completo y detallado registro de entrada y salida de respaldos, resguardo de la humedad, temperatura adecuada, control del riesgo de incendio y otras.

c.  El esquema de respaldo deberá ser simple, basado en generación de copias acumulativas, con el objeto de mantener la historia de la información en el mínimo de versiones posibles.

La seguridad, integridad y disponibilidad del Repositorio deberán estar caracterizadas por:

a.  Medidas de seguridad y barreras de protección, frente al acceso no autorizado de usuarios.

b.  Contar con monitoreo y alarmas que se activen cuando ocurra un evento no autorizado o fuera de programación, para el caso de eventuales fallas de las medidas de seguridad al acceso.

c.  La sustitución de la información, por la versión más reciente que se disponga, en el menor tiempo posible, en casos de alteración no programada de aquella.

d.  La existencia de un programa alternativo de acción que permita la restauración del servicio en el menor tiempo posible, en caso que el Repositorio deje de operar por razones no programadas.

Artículo 44

Para los efectos de garantizar la publicidad, seguridad, integridad y eficacia en el uso de las firmas electrónicas, los certificadores de los órganos y servicios públicos de la Administración del Estado deberán cumplir las normas técnicas aprobadas de acuerdo al artículo 5º.

(Artículo Primero, nº 4 del Decreto 154, publicado el 11.08.2012)

Artículo 45

Los documentos electrónicos suscritos por medio de firma electrónica avanzada deberán contener un mecanismo que permita verificar la integridad y autenticidad de los mismos al ser impresos.

Artículo 46

La certificación de las firmas electrónicas avanzadas de las autoridades o funcionarios de los órganos y servicios públicos de la Administración del Estado deberá contener, además de las menciones propias de todo certificado, la fecha y hora de emisión del documento.

Artículo 47

El Ministerio Secretaría General de la Presidencia propondrá al Presidente de la República las normas técnicas que deberán seguir los órganos de la Administración del Estado para garantizar la publicidad, integridad, eficacia, interoperabilidad y seguridad en el uso de los documentos electrónicos, las que serán aprobadas mediante uno o más decretos supremos, expedidos por dicha Cartera de Estado. Asimismo, deberá establecer las normas técnicas que permitan estandarizar la atención al ciudadano a través de técnicas y medios electrónicos. Si la fijación o modificación de las normas técnicas a las que se refiere este inciso requieren de recursos adicionales, el decreto supremo que las aprueba deberá ser firmado también por el Ministro de Hacienda.

(Artículo Primero, nº 2 del Decreto 14, publicado 27.02.2014)

El Ministerio podrá dictar, a través de resolución, guías técnicas para facilitar la comprensión e implementación de las normas técnicas antes aludidas.

El Ministerio deberá revisar al menos cada dos años las normas técnicas señaladas en el presente artículo a fin de determinar si éstas requieren o no de actualización. El plazo antes indicado se contará desde la entrada en vigencia de la norma técnica respectiva.

Finalmente, dicho Ministerio deberá publicar en su sitio Web, semestralmente, el nivel de cumplimiento de las normas fijadas en virtud de la presente disposición.

Lo establecido en la presente disposición es sin perjuicio de las normas técnicas determinadas en virtud del artículo 5º de este reglamento.

Artículo 48

El Ministerio Secretaría General de la Presidencia deberá considerar al menos los siguientes criterios para elaborar la propuesta de las normas técnicas a que se refiere el artículo anterior:

(Artículo Primero, nº 3 del Decreto 14, publicado 27.02.2014)

a) Adoptar los estándares internacionales emitidos por organismos reconocidos en la materia, en su ausencia considerará los de carácter regional y, sólo cuando ninguno de ellos se encuentre disponible, observará los de desarrollo nacional.

b) Propender a que la determinación de normas técnicas sea sometida a consulta ciudadana, de conformidad con lo dispuesto en la Ley 20.500 sobre asociaciones y participación ciudadana en la gestión pública y a la consulta de otros órganos de la Administración del Estado, tales como el Ministerio Economía, Fomento y Turismo, Ministerio del Interior y Seguridad Pública y Ministerio de Transportes y Telecomunicaciones.

c) Adoptar las normas técnicas que sean de uso frecuente en el país.

d) Realizar los procesos de adopción de normas con la gradualidad necesaria, que permita a los órganos de la Administración del Estado adecuarse a los cambios y su correcta implementación.

Artículo 49

(Derogado Artículo Primero, nº 4 del Decreto 14, publicado 27.02.2014).

Artículo 50

(Derogado Artículo Primero, nº 5 del Decreto 14, publicado 27.02.2014).

Párrafo 2º: Sobre el uso de firmas electrónicas en la relación con los particulares

Artículo 51

Las personas podrán relacionarse con los órganos de la Administración del Estado a través de técnicas y medios electrónicos con firma electrónica, siempre que se ajusten al procedimiento descrito en la Ley y que tales técnicas y medios sean compatibles con los que utilicen dichos órganos.

Con la finalidad de garantizar dicha compatibilidad se estará a las normas técnicas fijadas por el Ministerio Secretaría General de la Presidencia de conformidad a lo dispuesto en el artículo 47º.

Artículo 52

Las personas que se relacionen con la Administración del Estado por medios electrónicos, podrán utilizar firma electrónica, sin perjuicio de aquellos casos en que se haga necesaria la comprobación fehaciente de su identidad, en los cuales deberán emplear firma electrónica avanzada.

Artículo 53

Los órganos de la Administración del Estado podrán relacionarse por medios electrónicos con los particulares, cuando éstos hayan consentido expresamente en esta forma de comunicación.

Artículo 54

(Derogado Artículo Primero, nº 7 del Decreto 14, publicado 27.02.2014).).

Artículo 55

Lo dispuesto en este Título no se aplicará a las empresas públicas creadas por Ley, las que se regirán por las normas previstas para la emisión de documentos y firmas electrónicas por particulares.

DISPOSICIONES TRANSITORIAS

Primera

En tanto no sean aprobadas las normas técnicas a que se refiere el artículo 5º, se fijan como normas técnicas para todos los fines previstos en este Reglamento las siguientes:

(Artículo Segundo del Decreto 154, publicado el 11.08.2012)

a) Prácticas de Certificación:

ETSI TS 102 042 V1.1.1 (2002-04). Technical Specification. Policy requirements for certification authorities issuing public key certificates.

NCh2805.Of2003 Tecnología de la Información – Requisitos de las políticas de las autoridades certificadoras que emiten certificados de claves públicas.

ETSI TS 102 042 V1.2.2 (2005-06). RTS/ESI-000043. Keywords e-commerce, electronic signature, public key, security.

ETSI TS 102 042 V2.1.1 (2009-05). Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates.

ETSI TS 102 042 V2.1.2 (2010-04). Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates.

b) Seguridad:

NCh27002.Of2009 Tecnología de la información – Código de práctica para la gestión de seguridad de la información.

ISO/IEC 15408-1:2009 Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model

FIPS PUB 140-2: Security Requirements for Cryptographic Modules (mayo 2001).

NCh.2820/1.Of2003 Tecnología de la información – Técnica de seguridad – Criterio de evaluación de la seguridad de TI – Parte 1: Introducción y modelo general.

NCh2829.Of.2003 Tecnología de la Información – Requisitos de Seguridad para Módulos Criptográficos.

c) Estructura de Certificados:

ISO/IEC 9594-8: 2005 Information Technology – Open Systems Interconnection – The Directory Attribute Certificate Framework. Correccion 2:2009.

ITU – T Rec.X.690 (2002) / ISO/IEC 8825-1:2002. ASN.1 Basic Encoding Rules.

NCh2798.Of2003 Tecnología de la Información – Reglas de codificación ASN.1 «Especificación de las reglas de codificación básica (BER) de las reglas de codificación canónica (CER) y de las reglas de codificación distinguida (DER).

d) Repositorio de Información:

NCh2832.Of2003 Tecnología de la información – Protocolos operacionales de infraestructura de clave pública LDAPv2 para Internet X.509.

RFC 2559 Boeyen, S. et al., «Internet X.509 Public Key Infrastructure. Operational Protocols LDAPv2», abril 1999.

RFC 3377 LDAPv3: Technical Specification, September 2002, Lightweight Directory Access Protocol (v3): Technical.

e) Sellado de Tiempo/Time stamping:

ETSI TS 102 023, v.1.2.1 y v.1.2.2. Electronic Signatures and Infrastructures (ESI); Policy requirements for time-stamping authorities.

ETSI TS 101 861 V1.3.1 Time-stamping profile.

ISO/IEC 18014-1:2008 Information technology – Security techniques – Time-stamping services – Part 1: Framework.

ISO/IEC 18014-2:2009 Information technology – Security techniques – Time-stamping services – Part 2: Mechanism producing independent tokens.

ISO/IEC 18014-3:2009 Information technology – Security techniques – Time-stamping services – Part 3: Mechanisms producing linked tokens.

RFC 3161 Internet X.509 Public Key Infrastructure Time – Stamp Protocol (TSP) (2001), RFC 5816 (update), ANSI ASC X 9.95.

RFC 3628 Requirements for Times Stamping Authorities.

NIST Special publication 800-102, Sept. 2009.

f) DNI Electrónico y su Identidad Biométrica:

ISO/ 19.785, ISO 19.794-2 Formatos de cabecera y datos de referencia.

ISO 7816-4, ISO 7816-11 Para la definición de los comandos de la tarjeta.

ANSI X.9.84 – 2003 – Reconocimiento de firmas, huellas digitales.

ISO/IEC 27N2949 – Condiciones de los sistemas biométricos para la industria de servicios financieros.

ISO/IEC 19784-1:2005, también conocido como BioAPI 2.0. Conexión entre dispositivos biométricos y diferentes tipos de aplicaciones, interfaz de programación de aplicaciones biométricas (API).

Common Biometric Exchange Fice Format – formatos comunes de intercambio de archivos biométricos.

g) Servicios de firma móvil:

ETSI TS 102 207 V1.1.3 (2003-08) Mobile Commerce (M-COMM); Mobile Signature Service; Specifications for Roaming in Mobile Signature Services.

ETSI TR 102 206 V.1.1.3 (2003-08) Mobile Commerce (M-COMM); Mobile Signature Service; Security Framework.

ETSI TR 102 203 V1.1.1 (2003-05) Mobile Signatures; Business and functional Requirements.

ETSI TS 102 204 V1.1.4 (2003-08) Mobile Signature Service; Web Service Interface.

Además, para el buen uso de las políticas de firma electrónica basada en certificados, se deberán tener en cuenta las siguientes especificaciones técnicas:

ETSI TS 101 733, v.1.6.3, v1.7.3 y v.1.8.1. Electronic Signatures and Infrastructures (SEI); CMS Advanced Electronic Signatures (CAdES).

ETSI TS 101 903, v.1.2.2, v.1.3.2 y 1.4.1. Electronic Signatures and Infrastructures (SEI); XML Advanced Electronic Signatures (XAdES).

ETSI TS 102 778, v 1.1.2. Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles;

Part 1: PAdES Overview,

Part 2: PAdES Basic – Profile based on ISO 32000-1,

Part 3: PAdES Enhanced – PAdES-BES and PAdESEPES Profiles;

Part 4: Long-term validation

ETSI TS 102 176-1 V2.0.0 Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms.

ETSI TR 102 038, v.1.1.1. Electronic Signatures and Infrastructures (SEI); XML format for signature policies.

ETSI TR 102 041, v.1.1.1. Electronic Signatures and Infrastructures (SEI); Signature policies report.

ETSI TR 102 045, v.1.1.1. Electronic Signatures and Infrastructures (SEI); Signature policy for extended business model.

ETSI TR 102 272, v.1.1.1. Electronic Signatures and Infrastructures (SEI); ASN.1 format for signature policies.

IETF RFC 2560, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP.

IETF RFC 3125, Electronic Signature Policies.

IETF RFC 3161 actualizada por RFC 5816, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).

IETF RFC 5280, RFC 4325 y RFC 4630, Internet X.509 Public Key Infrastructure; Certificate and Certificate Revocation List (CRL) Profile.

IETF RFC 5652, RFC 4853 y RFC 3852, Cryptographic Message Syntax (CMS).

ITU-T Recommendation X.680 (1997): «Information technology – Abstract Syntax Notation One (ASN.1): Specification of basic notation»

Segunda. Se define la siguiente gramática para incluir el RUT de empresas o personas en las extensiones ISSUER_ALT_NAME Y SUBJECT_ALT_NAME.

Según aparece en el documento de la IETF RFC 2594 la extensión Subject Alternative Name tiene la siguiente estructura (en formato ASN.1)

id-ce-subjectAltName OBJECT IDENTIFIER ::= {id-ce 17}

SubjectAltName ::= GeneralNames

GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName

GeneralName ::= CHOICE {

otherName          [0]          OtherName,

/* otherName será el campo usado */

rfc822Name                  [1]  IA5String,

dNSName                    [2]  IA5String,

x400Address                [3]  ORAddress,

directoryName              [4]  Name,

ediPartyName                [5]  EDIPartyName,

uniformResourceIdentifier  [6]  IA5String,

iPAddress                  [7]  OCTET STRING,

registeredID                [8]  OBJECT IDENTIFIER}

OtherName ::= SEQUENCE {

type-id OBJECT IDENTIFIER,

value [0] EXPLICIT ANY DEFINED BY type-id}

En este mismo documento se menciona que la opción «otherName», es el lugar donde se deben especificar otro tipo de identificadores. Esta es la opción que se utilizará para almacenar el Rut.

Por lo tanto la información a almacenar será la siguiente:

SubjectAltName.otherName.Type-id = «<Definición de la OID>»

SubjectAltName.otherName.Value = «99999999-D» (2 tipos de string : IA5String o PrintableString).

Tercera. La OID a usar por los prestadores de servicios de certificación será la siguiente:

Prefijo para PRIVATE ENTERPRISE NUMBERS: 1.3.6.1.4.1 Número asignado a la Entidad Acreditadora: 8321 Sufijos:

RUT del titular del certificado : 1 RUT de la certificadora emisora : 2

Por lo tanto, el OID completo para cada uno de estos items quedaría:

RUT del titular del certificado : 1.3.6.1.4.1.8321.1 RUT de la certificadora emisora : 1.3.6.1.4.1.8321.2

Artículo segundo

Derógase el decreto nº 81, de 1999, del Ministerio Secretaría General de la Presidencia.

 Anótese, tómese razón, comuníquese y publíquese

RICARDO LAGOS ESCOBAR, Presidente de la República

Jorge Rodríguez Grossi, Ministro de Economía, Fomento y Reconstrucción

Javier Etcheberry Celhay, Ministro de Transportes y Telecomunicaciones

Mario Fernández Baeza, Ministro Secretario General de la Presidencia.

Lo que transcribe para su conocimiento.

Saluda atentamente a usted

Alvaro Díaz Pérez, Subsecretario de Economía, Fomento y Reconstrucción.

19Abr/21

Ley nº 19.799, de 25 de marzo de 2002

Ley nº 19.799, de 25 de marzo de 2002. Sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma.

Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente

 Proyecto de ley:

«LEY SOBRE DOCUMENTOS ELECTRONICOS, FIRMA ELECTRONICA Y SERVICIOS  DE  CERTIFICACION DE DICHA FIRMA”

TITULO I. DISPOSICIONES GENERALES

Artículo 1º.

La presente ley regula los documentos electrónicos y sus efectos legales, la utilización en ellos de firma electrónica, la prestación de servicios de certificación de estas firmas y el procedimiento de acreditación al que podrán sujetarse los prestadores de dicho servicio de certificación, con el objeto de garantizar la seguridad en su uso.

Las actividades reguladas por esta ley se someterán a los principios de libertad de prestación de servicios, libre competencia, neutralidad tecnológica, compatibilidad internacional y equivalencia del soporte electrónico al soporte de papel.

Toda interpretación de los preceptos de esta ley deberá guardar armonía con los principios señalados.

 Artículo 2º

Para los efectos de esta ley se entenderá por:

a) Electrónico: característica de la tecnología que tiene capacidades eléctricas, digitales, magnéticas, inalámbricas, ópticas, electromagnéticas u otras similares;

b) Certificado de firma electrónica: certificación electrónica que da fe del vínculo entre el firmante o titular del certificado y los datos de creación de la firma electrónica;

c) Certificador o Prestador de Servicios de Certificación: entidad prestadora de servicios de certificación de firmas electrónicas;

d) Documento electrónico: toda representación de un hecho, imagen o idea que sea creada, enviada, comunicada o recibida por medios electrónicos y almacenada de un modo idóneo para permitir su uso posterior;

e) Entidad Acreditadora: la Subsecretaría de Economía, Fomento y Reconstrucción;

f) Firma electrónica: cualquier sonido, símbolo o proceso electrónico, que permite al receptor de un documento electrónico identificar al menos formalmente a su autor;

g) Firma electrónica avanzada: aquella certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría, y

h) Usuario o titular: persona que utiliza bajo su exclusivo control un certificado de firma electrónica.

i). Fecha electrónica: conjunto de datos en forma electrónica utilizados como medio para constatar el momento en que se ha efectuado una actuación sobre otros datos electrónicos a los que están asociados.

Artículo 3º

Los actos y contratos otorgados o celebrados por personas naturales o jurídicas, suscritos por medio de firma electrónica, serán válidos de la misma manera y producirán los mismos efectos que los celebrados por escrito y en soporte de papel. Dichos actos y contratos se reputarán como escritos, en los casos en que la ley exija que los mismos consten de ese modo, y en todos aquellos casos en que la ley prevea consecuencias jurídicas cuando constan igualmente por escrito.

Lo dispuesto en el inciso anterior no será aplicable a los actos o contratos otorgados o celebrados en los casos siguientes:

a) Aquellos en que la ley exige una solemnidad que no sea susceptible de cumplirse mediante documento electrónico;

b) Aquellos en que la ley requiera la concurrencia personal de alguna de las partes, y

c) Aquellos relativos al derecho de familia.

La firma electrónica, cualquiera sea su naturaleza, se mirará como firma manuscrita para todos los efectos legales, sin perjuicio de lo establecido en los artículos siguientes.

Artículo 4º

Los documentos electrónicos que tengan la calidad de instrumento público, deberán suscribirse mediante firma electrónica avanzada.

Artículo 5º

Los documentos electrónicos podrán presentarse en juicio y, en el evento de que se hagan valer como medio de prueba, habrán de seguirse las reglas siguientes:

1. Los señalados en el artículo anterior, harán plena prueba de acuerdo con las reglas generales, y

2. Los que posean la calidad de instrumento privado, en cuanto hayan sido suscritos con firma electrónica avanzada, tendrán el mismo valor probatorio señalado en el número anterior. Sin embargo, no harán fe respecto de su fecha, a menos que ésta conste a través de un fechado electrónico otorgado por un prestador acreditado.

 En el caso de documentos electrónicos que posean la calidad de instrumento privado y estén suscritos mediante firma electrónica, tendrán el valor probatorio que corresponda, de acuerdo a las reglas generales.

TITULO II.- USO DE FIRMAS ELECTRÓNICAS POR LOS ÓRGANOS DEL ESTADO

Artículo 6º

Los órganos del Estado podrán ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su ámbito de competencia, suscribiéndolos por medio de firma electrónica.

Se exceptúan aquellas actuaciones para las cuales la Constitución Política o la ley exija una solemnidad que no sea susceptible de cumplirse mediante documento electrónico, o requiera la concurrencia personal de la autoridad o funcionario que deba intervenir en ellas.

Lo dispuesto en este Título no se aplicará a las empresas públicas creadas por ley, las que se regirán por las normas previstas para la emisión de documentos y firmas electrónicas por particulares.

Artículo 7º

Los actos, contratos y documentos de los órganos del Estado, suscritos mediante firma electrónica, serán válidos de la misma manera y producirán los mismos efectos que los expedidos por escrito y en soporte de papel.

Con todo, para que tengan la calidad de instrumento público o surtan los efectos propios de éste, deberán suscribirse mediante firma electrónica avanzada.

Artículo 8º

Las personas podrán relacionarse con los órganos del Estado, a través de técnicas y medios electrónicos con firma electrónica, siempre que se ajusten al procedimiento descrito por la ley y que tales técnicas y medios sean compatibles con los que utilicen dichos órganos.

Los órganos del Estado deberán evitar, al hacer uso de firmas electrónicas, que se restrinja injustificadamente el acceso a las prestaciones que brinden y a la publicidad y transparencia que rijan sus actuaciones y, en general, que se cause discriminaciones arbitrarias.

Artículo 9º

La certificación de las firmas electrónicas avanzadas de las autoridades o funcionarios de los órganos del Estado se realizará por los respectivos ministros de fe. Si éste no se encontrare establecido en la ley, el reglamento a que se refiere el artículo 10 indicará la forma en que se designará un funcionario para estos efectos.

Dicha certificación deberá contener, además de las menciones que corresponda, la fecha y hora de la emisión del documento.

Los efectos probatorios de la certificación practicada por el ministro de fe competente serán equivalentes a los de la certificación realizada por un prestador acreditado de servicios de certificación.

Sin perjuicio de lo dispuesto en el inciso primero, los órganos del Estado podrán contratar los servicios de certificación de firmas electrónicas con entidades certificadoras acreditadas, si ello resultare más conveniente, técnica o económicamente, en las condiciones que señale el respectivo reglamento.

Artículo 10

Los reglamentos aplicables a los correspondientes órganos del Estado regularán la forma cómo se garantizará la publicidad, seguridad, integridad y eficacia en el uso de las firmas electrónicas, y las demás necesarias para la aplicación de las normas de este Título.

TITULO III. DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Artículo 11

Son prestadores de servicios de certificación las personas jurídicas nacionales o extranjeras, públicas o privadas, que otorguen certificados de firma electrónica, sin perjuicio de los demás servicios que puedan realizar.

Asimismo, son prestadores acreditados de servicios de certificación las personas jurídicas nacionales o extranjeras, públicas o privadas, domiciliadas en Chile y acreditadas en conformidad al Título V de esta ley, que otorguen certificados de firma electrónica, sin perjuicio de los demás servicios que puedan realizar.

Artículo 12

Son obligaciones del prestador de servicios de certificación de firma electrónica:

a) Contar con reglas sobre prácticas de certificación que sean objetivas y no discriminatorias y comunicarlas a los usuarios de manera sencilla y en idioma castellano;

b) Mantener un registro de acceso público de certificados, en el que quedará constancia de los emitidos y los que queden sin efecto, en los términos señalados en el reglamento. A dicho registro podrá accederse por medios electrónicos de manera continua y regular. Para mantener este registro, el certificador podrá tratar los datos proporcionados por el titular del certificado que sean necesarios para ese efecto, y no podrá utilizarlos para otros fines. Dichos datos deberán ser conservados a lo menos durante seis años desde la emisión inicial de los certificados. En lo restante se aplicarán las disposiciones de la ley nº 19.628, sobre Protección de la Vida Privada;

c) En el caso de cesar voluntariamente en su actividad, los prestadores de servicios de certificación deberán comunicarlo previamente a cada uno de los titulares de firmas electrónicas certificadas por ellos, de la manera que establecerá el reglamento y deberán, de no existir oposición de estos últimos, transferir los datos de sus certificados a otro prestador de servicios, en la fecha en que el cese se produzca. En caso de existir oposición, dejarán sin efecto los certificados respecto de los cuales el titular se haya opuesto a la transferencia. La citada comunicación se llevará a cabo con una antelación mínima de dos meses al cese efectivo de la actividad;

d) Publicar en sus sitios de dominio electrónico las resoluciones de la Entidad Acreditadora que los afecten;

e) En el otorgamiento de certificados de firma electrónica avanzada, comprobar fehacientemente la identidad del solicitante, para lo cual el prestador requerirá previamente, ante sí o ante notario público u oficial del registro civil, la comparecencia personal y directa del solicitante o de su representante legal si se tratare de persona jurídica;

f) Pagar el arancel de la supervisión, el que será fijado anualmente por la Entidad Acreditadora y comprenderá el costo del peritaje y del sistema de acreditación e inspección de los prestadores;

g) Solicitar la cancelación de su inscripción en el registro de prestadores acreditados llevado por la Entidad Acreditadora, con una antelación no inferior a un mes cuando vayan a cesar su actividad, y comunicarle el destino que dará a los datos de los certificados, especificando, en su caso, si los va a transferir y a quién, o si los certificados quedarán sin efecto;

h) En caso de cancelación de la inscripción en el registro de prestadores acreditados, los certificadores comunicarán inmediatamente esta circunstancia a cada uno de los usuarios y deberán, de la misma manera que respecto al cese voluntario de actividad, traspasar los datos de sus certificados a otro prestador, si el usuario no se opusiere;

i) Indicar a la Entidad Acreditadora cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. En especial, deberá comunicar, en cuanto tenga conocimiento de ello, el inicio de un procedimiento concursal de liquidación o que se encuentre en cesación de pagos, y

j) Cumplir con las demás obligaciones legales, especialmente las establecidas en esta ley, su reglamento, y las leyes nº 19.496, sobre Protección de los Derechos de los Consumidores, y nº 19.628, sobre Protección de la Vida Privada.

Artículo 13

El cumplimiento por parte de los prestadores no acreditados de servicios de certificación de firma electrónica, de las obligaciones señaladas en las letras a), b), c) y j) del artículo anterior, será considerado por el juez como un antecedente para determinar si existió la debida diligencia, para los efectos previstos en el inciso primero del artículo siguiente.

Artículo 14

Los prestadores de servicios de certificación serán responsables de los daños y perjuicios que en el ejercicio de su actividad ocasionen por la certificación u homologación de certificados de firmas electrónicas. En todo caso, corresponderá al prestador de servicios demostrar que actuó con la debida diligencia.

Sin perjuicio de lo dispuesto en el inciso anterior, los prestadores no serán responsables de los daños que tengan su origen en el uso indebido o fraudulento de un certificado de firma electrónica.

Para los efectos de este artículo, los prestadores acreditados de servicios de certificación de firma electrónica deberán contratar y mantener un seguro, que cubra su eventual responsabilidad civil, por un monto equivalente a cinco mil unidades de fomento, como mínimo, tanto por los certificados propios como por aquellos homologados en virtud de lo dispuesto en el inciso final del artículo 15.

El certificado de firma electrónica provisto por una entidad certificadora podrá establecer límites en cuanto a sus posibles usos, siempre y cuando los límites sean reconocibles por tercero. El proveedor de servicios de certificación quedará eximido de responsabilidad por los daños y perjuicios causados por el uso que exceda de los límites indicados en el certificado.

 En ningún caso la responsabilidad que pueda emanar de una certificación efectuada por un prestador privado acreditado comprometerá la responsabilidad pecuniaria del Estado.

TITULO IV. DE LOS CERTIFICADOS DE FIRMA ELECTRÓNICA

Artículo 15

Los certificados de firma electrónica, deberán contener, al menos, las siguientes menciones:

a) Un código de identificación único del certificado;

b) Identificación del prestador de servicio de certificación, con indicación de su nombre o razón social, rol único tributario, dirección de correo electrónico, y, en su caso, los antecedentes de su acreditación y su propia firma electrónica avanzada;

c) Los datos de la identidad del titular, entre los cuales deben necesariamente incluirse su nombre, dirección de correo electrónico y su rol único tributario, y

d) Su plazo de vigencia.

Los certificados de firma electrónica avanzada podrán ser emitidos por entidades no establecidas en Chile y serán equivalentes a los otorgados por prestadores establecidos en el país, cuando fueren homologados por estos últimos, bajo su responsabilidad, y cumpliendo los requisitos fijados en esta ley y su reglamento, o en virtud de convenio internacional ratificado por Chile y que se encuentre vigente.

Artículo 16

Los certificados de firma electrónica quedarán sin efecto, en los siguientes casos:

1) Por extinción del plazo de vigencia del certificado, el cual no podrá exceder de tres años contados desde la fecha de emisión;

2) Por revocación del prestador, la que tendrá lugar en las siguientes circunstancias:

a) A solicitud del titular del certificado;

b) Por fallecimiento del titular o disolución de la persona jurídica que represente, en su caso;

c) Por resolución judicial ejecutoriada, o d) Por incumplimiento de las obligaciones del usuario establecidas en el artículo 24;

3) Por cancelación de la acreditación y de la inscripción del prestador en el registro de prestadores acreditados que señala el artículo 18, en razón de lo dispuesto en el artículo 19 o del cese de la actividad del prestador, a menos que se verifique el traspaso de los datos de los certificados a otro prestador, en conformidad con lo dispuesto en las letras c) y h) del artículo 12, y

4) Por cese voluntario de la actividad del prestador no acreditado, a menos que se verifique el traspaso de los datos de los certificados a otro prestador, en conformidad a la letra c) del artículo 12.

La revocación de un certificado en las circunstancias de la letra d) del número 2) de este artículo, así como la suspensión cuando ocurriere por causas técnicas, será comunicada previamente por el prestador al titular del certificado, indicando la causa y el momento en que se hará efectiva la revocación o la suspensión. En cualquier caso, ni la revocación ni la suspensión privarán de valor a los certificados antes del momento exacto en que sean verificadas por el prestador.

El término de vigencia de un certificado de firma electrónica por alguna de las causales señaladas precedentemente será inoponible a terceros mientras no sea eliminado del registro de acceso público.

TITULO V. DE LA ACREDITACIÓN E INSPECCIÓN DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Artículo 17

La acreditación es el procedimiento en virtud del cual el prestador de servicios de certificación demuestra a la Entidad Acreditadora que cuenta con las instalaciones, sistemas, programas informáticos y los recursos humanos necesarios para otorgar los certificados en los términos que se establecen en esta ley y en el reglamento, permitiendo su inscripción en el registro que se señala en el artículo 18.

Para ser acreditado, el prestador de servicios de certificación deberá cumplir, al menos, con las siguientes condiciones:

a) Demostrar la fiabilidad necesaria de sus servicios;

b) Garantizar la existencia de un servicio seguro de consulta del registro de certificados emitidos;

c) Emplear personal calificado para la prestación de los servicios ofrecidos, en el ámbito de la firma electrónica y los procedimientos de seguridad y de gestión adecuados;

d) Utilizar sistemas y productos confiables que garanticen la seguridad de sus procesos de certificación;

e) Haber contratado un seguro apropiado en los términos que señala el artículo 14, y

f) Contar con la capacidad tecnológica necesaria para el desarrollo de la actividad de certificación.

Artículo 18

El procedimiento de acreditación se iniciará mediante solicitud ante la Entidad Acreditadora, a la que se deberá acompañar los antecedentes relativos a los requisitos del artículo 17 que señale el reglamento y el comprobante de pago de los costos de la acreditación. La Entidad Acreditadora deberá resolver fundadamente sobre la solicitud en el plazo de veinte días contados desde que, a petición del interesado, se certifique que la solicitud se encuentra en estado de resolverse. Si el interesado denunciare el incumplimiento de ese plazo ante la propia autoridad y ésta no se pronunciare dentro del mes siguiente, la solicitud se entenderá aceptada.

La Entidad Acreditadora podrá contratar expertos con el fin de verificar el cumplimiento de los requisitos señalados en el artículo 17.

Otorgada la acreditación, el prestador será inscrito en un registro público que a tal efecto llevará la Entidad Acreditadora. Durante la vigencia de su inscripción en el registro, el prestador acreditado deberá informar a la Entidad Acreditadora cualquier modificación de las condiciones que permitieron su acreditación.

Artículo 19

Mediante resolución fundada de la Entidad Acreditadora se podrá dejar sin efecto la acreditación y cancelar la inscripción en el registro señalado en el artículo 18 por alguna de las siguientes causas:

a) Solicitud del prestador acreditado;

b) Pérdida de las condiciones que sirvieron de fundamento a su acreditación, la que será calificada por los funcionarios o peritos que la Entidad Acreditadora ocupe en la inspección a que se refiere el artículo 20, y

c) Incumplimiento grave o reiterado de las obligaciones que establece esta ley y su reglamento.

En los casos de las letras b) y c), la resolución será adoptada previa audiencia del afectado y se podrá reclamar de ella ante el Ministro de Economía, Fomento y Reconstrucción, dentro del plazo de cinco días contados desde su notificación. El Ministro tendrá un plazo de treinta días para resolver. Dentro de los diez días siguientes a la fecha en que se notifique la resolución que éste dicte o, en su caso, desde que se certifique que la reclamación administrativa no fue resuelta dentro de plazo, el interesado podrá interponer reclamación jurisdiccional, para ante la Corte de Apelaciones de su domicilio. La reclamación deberá ser fundada y para su agregación a la tabla, vista y fallo, se regirá por las normas aplicables al recurso de protección. La resolución de la Corte de Apelaciones no será susceptible de recurso alguno.

Los certificadores cuya inscripción haya sido cancelada, deberán comunicar inmediatamente este hecho a los titulares de firmas electrónicas certificadas por ellos. Sin perjuicio de ello, la Entidad Acreditadora publicará un aviso dando cuenta de la cancelación, a costa del certificador. A partir de la fecha de esta publicación, quedarán sin efecto los certificados, a menos que los datos de los titulares sean transferidos a otro certificador acreditado, en conformidad con lo dispuesto en la letra h) del artículo 12. Los perjuicios que pueda causar la cancelación de la inscripción del certificador para los titulares de los certificados que se encontraban vigentes hasta la cancelación, serán de responsabilidad del prestador.

Artículo 20

Con el fin de comprobar el cumplimiento de las obligaciones de los prestadores acreditados, la Entidad Acreditadora ejercerá la facultad inspectora sobre los mismos y podrá, a tal efecto, requerir información y ordenar visitas a sus instalaciones mediante funcionarios o peritos especialmente contratados, de conformidad al reglamento.

Artículo 21

La Entidad Acreditadora, así como el personal que actúe bajo su dependencia o por cuenta de ella, deberá guardar la confidencialidad y custodia de los documentos y la información que le entreguen los certificadores acreditados.

Artículo 22

Los recursos que perciba la Entidad Acreditadora por parte de los prestadores acreditados de servicios de certificación constituirán ingresos propios de dicha entidad y se incorporarán a su presupuesto.

TITULO VI. DERECHOS Y OBLIGACIONES DE LOS USUARIOS DE FIRMAS ELECTRÓNICAS

 Artículo 23

Los usuarios o titulares de firmas electrónicas tendrán los siguientes derechos:

1º. A ser informado por el prestador de servicios de certificación, de las características generales de los procedimientos de creación y de verificación de firma electrónica, así como de las reglas sobre prácticas de certificación y las demás que éstos se comprometan a seguir en la prestación del servicio, previamente a que se empiece a efectuar;

2º. A la confidencialidad en la información proporcionada a los prestadores de servicios de certificación. Para ello, éstos deberán emplear los elementos técnicos disponibles para brindar seguridad y privacidad a la información aportada, y los usuarios tendrán derecho a que se les informe, previamente al inicio de la prestación del servicio, de las características generales de dichos elementos;

3º. A ser informado, antes de la emisión de un certificado, del precio de los servicios de certificación, incluyendo cargos adicionales y formas de pago, en su caso; de las condiciones precisas para la utilización del certificado y de sus limitaciones de uso, y de los procedimientos de reclamación y de resolución de litigios previstos en las leyes o que se convinieren;

4º. A que el prestador de servicios o quien homologue sus certificados le proporcionen la información sobre sus domicilios en Chile y sobre todos los medios a los que el usuario pueda acudir para solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema, o presentar sus reclamos;

5º. A ser informado, al menos con dos meses de anticipación, por los prestadores de servicios de certificación, del cese de su actividad, con el fin de hacer valer su oposición al traspaso de los datos de sus certificados a otro certificador, en cuyo caso dichos certificados se extinguirán de conformidad con el numeral 4° del artículo 16 de la presente ley, o bien, para que tomen conocimiento de la extinción de los efectos de sus certificados, si no existiere posibilidad de traspaso a otro certificador;

6º. A ser informado inmediatamente de la cancelación de la inscripción en el registro de prestadores acreditados, con el fin de hacer valer su oposición al traspaso de los datos de sus certificados a otro certificador, en cuyo caso dichos certificados se extinguirán de conformidad con el numeral 3º del artículo 16 de la presente ley, o bien, para tomar conocimiento de la extinción de los efectos de sus certificados, si no existiere posibilidad de traspaso a otro certificador;

7º. A traspasar sus datos a otro prestador de servicios de certificación;

8º. A que el prestador no proporcione más servicios y de otra calidad que los que haya pactado, y a no recibir publicidad comercial de ningún tipo por intermedio del prestador, salvo autorización expresa del usuario;

9º. A acceder, por medios electrónicos, al registro de prestadores acreditados que mantendrá la Entidad Acreditadora, y

10º. A ser indemnizado y hacer valer los seguros comprometidos, en conformidad con el artículo 14 de la presente ley.

Los usuarios gozarán de estos derechos, sin perjuicio de aquellos que deriven de la ley nº 19.628, sobre Protección de la Vida Privada y de la ley nº 19.496, sobre Protección a los Derechos de los Consumidores y podrán, con la salvedad de lo señalado en el número 10° de este artículo, ejercerlos conforme al procedimiento establecido en esa última normativa.

Artículo 24

Los usuarios de los certificados de firma electrónica quedarán obligados, en el momento de proporcionar los datos de su identidad personal u otras circunstancias objeto de certificación, a brindar declaraciones exactas y completas. Además, estarán obligados a custodiar adecuadamente los mecanismos de seguridad del funcionamiento del sistema de certificación que les proporcione el certificador, y a actualizar sus datos en la medida que éstos vayan cambiando.

TITULO VII. REGLAMENTOS

Artículo 25

El Presidente de la República reglamentará esta ley en el plazo de noventa días contados desde su publicación, mediante uno o más decretos supremos del Ministerio de Economía, Fomento y Reconstrucción, suscritos también por los Ministros de Transportes y Telecomunicaciones y Secretario General de la Presidencia.

Lo anterior es sin perjuicio de los demás reglamentos que corresponda aprobar, para dar cumplimiento a lo previsto en el artículo 10.

Artículo transitorio

El mayor gasto que irrogue a la Subsecretaría de Economía, Fomento y Reconstrucción las funciones que le asigna esta ley, durante el año 2002, se financiará con los recursos consultados en su presupuesto.

Habiéndose cumplido con lo establecido en el nº 1º del Artículo 82 de la Constitución Política de la República y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto como Ley de la República.

Santiago, 25 de marzo de 2002

RICARDO LAGOS ESCOBAR, Presidente de la República

Jorge Rodríguez Grossi, Ministro de Economía, Fomento y Reconstrucción

Nicolás Eyzaguirre Guzmán, Ministro de Hacienda.

Lo que transcribe para su conocimiento.

Saluda atentamente a usted, Alvaro Díaz Pérez, Subsecretario de Economía, Fomento y Reconstrucción.

Tribunal Constitucional

Proyecto de ley sobre firma electrónica y los servicios de certificación de firma electrónica

El Secretario del Tribunal Constitucional, quien suscribe, certifica que la Honorable Cámara de Diputados envió el proyecto de ley enunciado en el rubro, aprobado por el Congreso Nacional, a fin de que este Tribunal ejerciera el control de constitucionalidad respecto de su artículo 19, y por sentencia de 13 de marzo de 2002, lo declaró constitucional.

Santiago, marzo 14 de 2002

Rafael Larraín Cruz, Secretario.

28Nov/20

Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza

Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza. (Boletín Oficial del Estado número 298 de 12 de noviembre de 2020)

FELIPE VI, REY DE ESPAÑA

A todos los que la presente vieren y entendieren.

Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley:

PREÁMBULO

I

Desde el 1 de julio de 2016 es de aplicación el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

La Ley 59/2003, de 19 de diciembre, de firma electrónica, que supuso la transposición al ordenamiento jurídico español de la derogada Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica, se encuentra desde entonces jurídicamente desplazada en todo aquello regulado por el citado Reglamento. El objeto de esta Ley es, por tanto, adaptar nuestro ordenamiento jurídico al marco regulatorio de la Unión Europea, evitando así la existencia de vacíos normativos susceptibles de dar lugar a situaciones de inseguridad jurídica en la prestación de servicios electrónicos de confianza.

La presente Ley no realiza una regulación sistemática de los servicios electrónicos de confianza, que ya han sido legislados por el Reglamento (UE) 910/2014, el cual, por respeto al principio de primacía del Derecho de la Unión Europea, no debe reproducirse total o parcialmente. La función de esta Ley es complementarlo en aquellos aspectos concretos que el Reglamento no ha armonizado y cuyo desarrollo prevé en los ordenamientos de los diferentes Estados miembros, cuyas disposiciones han de ser interpretadas de acuerdo con él.

II

En lugar de una revisión de la Directiva 1999/93/CE, la elección de un reglamento como instrumento legislativo por el legislador europeo, de aplicación directa en los Estados miembros, vino motivada por la necesidad de reforzar la seguridad jurídica en el seno de la Unión, terminando con la dispersión normativa provocada por las transposiciones de la citada Directiva en los ordenamientos jurídicos internos a través de leyes nacionales, que había provocado una importante fragmentación e imposibilitado la prestación de servicios transfronterizos en el mercado interior, agravada por las diferencias en los sistemas de supervisión aplicados en cada Estado miembro.

Así, mediante el Reglamento (UE) 910/2014 se persigue regular en un mismo instrumento normativo de aplicación directa en los Estados miembros dos realidades, la identificación y los servicios de confianza electrónicos en sentido amplio, armonizando y facilitando el uso transfronterizo de los servicios en línea, públicos y privados, así como el comercio electrónico en la UE, contribuyendo así al desarrollo del mercado único digital.

Por una parte, en el ámbito de la identificación electrónica, el Reglamento instaura la aceptación mutua, para el acceso a los servicios públicos en línea, de los sistemas nacionales de identificación electrónica que hayan sido notificados a la Comisión Europea por parte de los Estados miembros, con objeto de facilitar la interacción telemática segura con las Administraciones públicas y su utilización para la realización de trámites transfronterizos, eliminando esta barrera electrónica que excluía a los ciudadanos del pleno disfrute de los beneficios del mercado interior.

Por otra parte, introduce la regulación armónica de nuevos servicios electrónicos cualificados de confianza, adicionales a la tradicional firma electrónica, tales como el sello electrónico de persona jurídica, el servicio de validación de firmas y sellos cualificados, el servicio de conservación de firmas y sellos cualificados, el servicio de sellado electrónico de tiempo, el servicio de entrega electrónica certificada y el servicio de expedición de certificados de autenticación web, que pueden ser combinados entre sí para la prestación de servicios complejos e innovadores.

Se establece un régimen jurídico específico para los citados servicios electrónicos de confianza cualificados, consecuente con las elevadas exigencias de supervisión y seguridad que soportan, y cuyo reflejo es la singular relevancia probatoria que poseen respecto de los servicios no cualificados. Se refuerza así la seguridad jurídica de las transacciones electrónicas entre empresas, particulares y Administraciones públicas.

III

La aplicabilidad directa del Reglamento no priva a los Estados miembros de toda capacidad normativa sobre la materia regulada, es más, aquellos están obligados a adaptar los ordenamientos nacionales para garantizar que aquella cualidad se haga efectiva. Esta adaptación puede exigir tanto la modificación o derogación de normas existentes, como la adopción de nuevas disposiciones llamadas a completar la regulación europea.

En tal sentido, el objetivo de la presente Ley, como se indicaba ut supra, es complementar el Reglamento (UE) 910/2014 en aquellos aspectos que este no ha armonizado y que se dejan al criterio de los Estados miembros. Por tanto, la Ley se abstiene de reproducir las previsiones del Reglamento, abordando únicamente aquellas cuestiones que la norma europea remite a la decisión de los Estados miembros o que no se encuentran armonizadas, adquiriendo la regulación coherencia y sentido en el marco de la normativa europea.

Así, en virtud del principio de proporcionalidad, esta Ley contiene la regulación imprescindible para cubrir aquellos aspectos previstos en el Reglamento (UE) 910/2014, como es el caso, entre otros, del régimen de previsión de riesgo de los prestadores cualificados, el régimen sancionador, la comprobación de la identidad y atributos de los solicitantes de un certificado cualificado, la inclusión de requisitos adicionales a nivel nacional para certificados cualificados tales como identificadores nacionales, o su tiempo máximo de vigencia, así como las condiciones para la suspensión de los certificados.

El Reglamento (UE) 910/2014 garantiza la equivalencia jurídica entre la firma electrónica cualificada y la firma manuscrita, pero permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general. En este aspecto, se modifica la regulación anterior al atribuir a los documentos electrónicos para cuya producción o comunicación se haya utilizado un servicio de confianza cualificado una ventaja probatoria. A este respecto, se simplifica la prueba, pues basta la mera constatación de la inclusión del citado servicio en la lista de confianza de prestadores cualificados de servicios electrónicos regulada en el artículo 22 del Reglamento (UE) 910/2014.

Por lo que respecta a los certificados electrónicos, se introducen en la Ley varias disposiciones relativas a la expedición y contenido de los certificados cualificados, cuyo tiempo máximo de vigencia se mantiene en cinco años. En este sentido, no se permite a los prestadores de servicios el denominado «encadenamiento» en la renovación de certificados cualificados utilizando uno vigente, más que una sola vez, por razones de seguridad en el tráfico jurídico. Sin perjuicio de lo anterior, el Reglamento (UE) 910/2014 contempla la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física. Haciéndose eco de esta previsión, la Ley habilita a que reglamentariamente se regulen las condiciones y requisitos técnicos que lo harían posible.

Los certificados cualificados expedidos a personas físicas incluirán el número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, salvo en los casos en los que el titular carezca de todos ellos. La misma regla se aplica en cuanto al número de identificación fiscal de las personas jurídicas o sin personalidad jurídica titulares de certificados cualificados, que en defecto de este han de utilizar un código que les identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.

En lo que se refiere a las obligaciones de los prestadores, la Ley establece el requisito de constitución de una garantía económica para la prestación de servicios cualificados de confianza. Se fija una cuantía mínima única de 1.500.000 euros, que se incrementa en 500.000 euros por cada tipo de servicio adicional que se preste, lo que se estima suficiente para cubrir los riesgos derivados del servicio, tiene en cuenta la diversidad de servicios en el mercado y no penaliza a los prestadores con mayor oferta.

Una de las exigencias del Reglamento (UE) 910/2014 se centra en garantizar la seguridad de los servicios de confianza frente a actos deliberados o fortuitos que afecten a sus productos, redes o sistemas de información. En este sentido, todos los prestadores de servicios de confianza, cualificados y no cualificados, están sometidos a la obligación de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como de notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado. Esta Ley sanciona el incumplimiento de las citadas obligaciones.

En respuesta a la evolución de la tecnología y las demandas del mercado, el Reglamento (UE) 910/2014 abre la posibilidad de prestación de servicios innovadores basados en soluciones móviles y en la nube, como la firma y sello electrónicos remotos, en los que el entorno es gestionado por un prestador de servicios de confianza en nombre del titular. A fin de garantizar que estos servicios electrónicos obtengan el mismo reconocimiento jurídico que aquellos utilizados en un entorno completamente gestionado por el usuario, estos prestadores deben aplicar procedimientos de seguridad específicos y utilizar sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, para garantizar que el entorno es fiable y se utiliza bajo el control exclusivo del titular. Se pretende alcanzar, así, un equilibrio entre la facilidad para el acceso y el uso de los servicios, sin detrimento de la seguridad.

IV

Esta Ley deroga la Ley 59/2003, de 19 de diciembre, de firma electrónica, y con ella aquellos preceptos incompatibles con el Reglamento (UE) 910/2014.

Así sucede con los antiguos certificados de firma de personas jurídicas, introducidos por la citada Ley de firma electrónica. El nuevo paradigma instaurado por el mencionado reglamento implica que únicamente las personas físicas están capacitadas para firmar electrónicamente, por lo que no prevé la emisión de certificados de firma electrónica a favor de personas jurídicas o entidades sin personalidad jurídica. A estas se reservan los sellos electrónicos, que permiten garantizar la autenticidad e integridad de documentos tales como facturas electrónicas. Sin perjuicio de lo anterior, las personas jurídicas podrán actuar por medio de los certificados de firma de aquellas personas físicas que legalmente les representen.

La Ley permite la posibilidad de que el órgano supervisor mantenga un servicio de difusión de información sobre los prestadores cualificados que operan en el mercado, con el fin de proporcionar a los usuarios información útil sobre los servicios que ofrecen en el desarrollo de su actividad.

Mediante la presente Ley se deroga también el artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, referido a los terceros de confianza, debido a que los servicios ofrecidos por este tipo de proveedores se encuentran subsumidos en los tipos regulados por el Reglamento (UE) 910/2014, fundamentalmente en los servicios de entrega electrónica certificada y de conservación de firmas y sellos electrónicos.

V

Si bien la prestación de servicios electrónicos de confianza se realiza en régimen de libre competencia, el Reglamento (UE) 910/2014 prevé, para los servicios cualificados, un sistema de verificación previa de cumplimiento de los requisitos que en él se imponen. Así, se diseña un sistema mixto de colaboración público-privada para la supervisión de los prestadores cualificados, pues su inclusión en la lista de confianza, que permite iniciar esa actividad, debe basarse en un informe de evaluación de la conformidad emitido por un organismo de evaluación acreditado por un organismo nacional de acreditación, establecido en alguno de los Estados miembros de la Unión Europea. A partir de entonces, los prestadores cualificados deberán remitir el citado informe al menos cada veinticuatro meses.

Por su parte, los prestadores de servicios no cualificados pueden prestar servicios sin verificación previa de cumplimiento de requisitos, sin perjuicio de su sujeción a las potestades de seguimiento y control posterior de la Administración. No obstante, deberán comunicar al órgano supervisor la prestación del servicio en el plazo de tres meses desde que inicien su actividad, a los meros efectos de conocer su existencia y posibilitar su supervisión.

Por último, se define el régimen sancionador aplicable a los prestadores cualificados y no cualificados de servicios electrónicos de confianza, sin perjuicio de la posibilidad ya prevista en el artículo 20.3 del Reglamento (UE) 910/2014 de retirar la cualificación al prestador o servicio que presta, y su exclusión de la lista de confianza, en determinados supuestos. Asimismo, se han adecuado las cuantías de las sanciones, reduciéndose a la mitad la máxima imponible respecto a la legislación anterior, y se ha previsto la división en tramos de la horquilla sancionadora para la determinación de la multa imponible, en atención a los criterios de graduación concurrentes.

VI

Con arreglo a todo lo anterior, la presente Ley contiene veinte artículos, cuatro disposiciones adicionales, dos transitorias, una disposición derogatoria y siete disposiciones finales.

Las disposiciones adicionales se refieren: la primera a Fe pública y servicios electrónicos de confianza; la segunda a los efectos jurídicos de los sistemas utilizados en las Administraciones públicas; la tercera al Documento Nacional de Identidad y sus certificados electrónicos, y la cuarta al secreto de la identidad de los miembros del Centro Nacional de Inteligencia.

La disposición transitoria primera se refiere a la comunicación de actividad por prestadores de servicios no cualificados ya existentes, y la disposición transitoria segunda mantiene en vigor el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica, el cual constituye desarrollo reglamentario parcial de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

En las disposiciones finales se modifican diversas leyes. En la primera, la Ley 56/2007, de 28 de diciembre, de medidas de impulso de la sociedad de la información, de forma que las empresas que presten servicios al público en general de especial trascendencia económica deberán disponer de un medio seguro de interlocución telemática, no necesariamente basado en certificados electrónicos. Con ello, se flexibiliza la norma y se da cabida a otros medios de identificación generalmente usados en el sector privado.

En la disposición final segunda, se modifica la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, con objeto de adaptarla al nuevo marco regulatorio de los servicios electrónicos de confianza definido en esta Ley y en el Reglamento (UE) 910/2014.

En la disposición final tercera, se modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, para adaptar su regulación al Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, referente a plataformas digitales.

En la disposición final cuarta se introduce una nueva disposición adicional séptima en la Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio, para adaptar su regulación al Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo, sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimientos de los clientes en el mercado interior.

La disposición final quinta contiene el título competencial, en virtud del cual la Ley se dicta al amparo de las competencias exclusivas que corresponden al Estado en materia de legislación civil, telecomunicaciones y seguridad pública, conforme al artículo 149.1.8.ª, 21.ª y 29.ª de la Constitución Española. El artículo 3 y la disposición final segunda se dictan, además, al amparo de lo previsto en el artículo 149.1.6.ª de la Constitución, el cual atribuye al Estado competencia exclusiva en materia de legislación procesal. Por su parte la disposición adicional segunda se dicta al amparo de lo previsto en el artículo 149.1.18.ª de la Constitución, en relación con la competencia estatal exclusiva sobre las bases del régimen jurídico de las Administraciones públicas y el procedimiento administrativo común.

Finalmente las disposiciones finales sexta y séptima se refieren al desarrollo reglamentario de la Ley y a su entrada en vigor, respectivamente.

TÍTULO I.- Disposiciones generales

Artículo 1. Objeto de la Ley.

La presente Ley tiene por objeto regular determinados aspectos de los servicios electrónicos de confianza, como complemento del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Artículo 2. Ámbito de aplicación.

Esta Ley se aplicará a los prestadores públicos y privados de servicios electrónicos de confianza establecidos en España.

Así mismo, se aplicará a los prestadores residentes o domiciliados en otro Estado que tengan un establecimiento permanente situado en España, siempre que ofrezcan servicios no supervisados por la autoridad competente de otro país de la Unión Europea.

Artículo 3. Efectos jurídicos de los documentos electrónicos.

1. Los documentos electrónicos públicos, administrativos y privados, tienen el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.

2. La prueba de los documentos electrónicos privados en los que se hubiese utilizado un servicio de confianza no cualificado se regirá por lo dispuesto en el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Si el servicio fuese cualificado, se estará a lo previsto en el apartado 4 del mismo precepto.

TÍTULO II.- Certificados electrónicos

Artículo 4. Vigencia y caducidad de los certificados electrónicos.

1. Los certificados electrónicos se extinguen por caducidad a la expiración de su período de vigencia, o mediante revocación por los prestadores de servicios electrónicos de confianza en los supuestos previstos en el artículo siguiente.

2. El período de vigencia de los certificados cualificados no será superior a cinco años.

Dicho período se fijará en atención a las características y tecnología empleada para generar los datos de creación de firma, sello, o autenticación de sitio web.

Artículo 5. Revocación y suspensión de los certificados electrónicos.

1. Los prestadores de servicios electrónicos de confianza extinguirán la vigencia de los certificados electrónicos mediante revocación en los siguientes supuestos:

a) Solicitud formulada por el firmante, la persona física o jurídica representada por este, un tercero autorizado, el creador del sello o el titular del certificado de autenticación de sitio web.

b) Violación o puesta en peligro del secreto de los datos de creación de firma o de sello, o del prestador de servicios de confianza, o de autenticación de sitio web, o utilización indebida de dichos datos por un tercero.

c) Resolución judicial o administrativa que lo ordene.

d) Fallecimiento del firmante; capacidad modificada judicialmente sobrevenida, total o parcial, del firmante; extinción de la personalidad jurídica o disolución del creador del sello en el caso de tratarse de una entidad sin personalidad jurídica, y cambio o pérdida de control sobre el nombre de dominio en el supuesto de un certificado de autenticación de sitio web.

e) Terminación de la representación en los certificados electrónicos con atributo de representante. En este caso, tanto el representante como la persona o entidad representada están obligados a solicitar la revocación de la vigencia del certificado en cuanto se produzca la modificación o extinción de la citada relación de representación.

f) Cese en la actividad del prestador de servicios de confianza salvo que la gestión de los certificados electrónicos expedidos por aquel sea transferida a otro prestador de servicios de confianza.

g) Descubrimiento de la falsedad o inexactitud de los datos aportados para la expedición del certificado y que consten en él, o alteración posterior de las circunstancias verificadas para la expedición del certificado, como las relativas al cargo.

h) En caso de que se advierta que los mecanismos criptográficos utilizados para la generación de los certificados no cumplen los estándares de seguridad mínimos necesarios para garantizar su seguridad.

i) Cualquier otra causa lícita prevista en la declaración de prácticas del servicio de confianza.

2. Los prestadores de servicios de confianza suspenderán la vigencia de los certificados electrónicos en los supuestos previstos en las letras a), c) y h) del apartado anterior, así como en los casos de duda sobre la concurrencia de las circunstancias previstas en sus letras b) y g), siempre que sus declaraciones de prácticas de certificación prevean la posibilidad de suspender los certificados.

3. En su caso, y de manera previa o simultánea a la indicación de la revocación o suspensión de un certificado electrónico en el servicio de consulta sobre el estado de validez o revocación de los certificados por él expedidos, el prestador de servicios electrónicos de confianza comunicará al titular, por un medio que acredite la entrega y recepción efectiva siempre que sea factible, esta circunstancia, especificando los motivos y la fecha y la hora en que el certificado quedará sin efecto.

En los casos de suspensión, la vigencia del certificado se extinguirá si transcurrido el plazo de duración de la suspensión, el prestador no la hubiera levantado.

Artículo 6. Identidad y atributos de los titulares de certificados cualificados.

1. La identidad del titular en los certificados cualificados se consignará de la siguiente forma:

a) En el supuesto de certificados de firma electrónica y de autenticación de sitio web expedidos a personas físicas, por su nombre y apellidos y su número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, o a través de un pseudónimo que conste como tal de manera inequívoca. Los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo.

b) En el supuesto de certificados de sello electrónico y de autenticación de sitio web expedidos a personas jurídicas, por su denominación o razón social y su número de identificación fiscal. En defecto de este, deberá indicarse otro código identificativo que le identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.

2. Si los certificados admiten una relación de representación incluirán la identidad de la persona física o jurídica representada en las formas previstas en el apartado anterior, así como una indicación del documento, público si resulta exigible, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales.

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

1. La identificación de la persona física que solicite un certificado cualificado exigirá su personación ante los encargados de verificarla y se acreditará mediante el Documento Nacional de Identidad, pasaporte u otros medios admitidos en Derecho. Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial.

2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.

3. La forma en que se ha procedido a identificar a la persona física solicitante podrá constar en el certificado. En otro caso, los prestadores de servicios de confianza deberán colaborar entre sí para determinar cuándo se produjo la última personación.

4. En el caso de certificados cualificados de sello electrónico y de firma electrónica con atributo de representante, los prestadores de servicios de confianza comprobarán, además de los datos señalados en los apartados anteriores, los datos relativos a la constitución y personalidad jurídica, y a la persona o entidad representada, respectivamente, así como la extensión y vigencia de las facultades de representación del solicitante mediante los documentos, públicos si resultan exigibles, que sirvan para acreditar los extremos citados de manera fehaciente y su inscripción en el correspondiente registro público si así resulta exigible. Esta comprobación podrá realizarse, asimismo, mediante consulta en el registro público en el que estén inscritos los documentos de constitución y de apoderamiento, pudiendo emplear los medios telemáticos facilitados por los citados registros públicos.

5. Cuando el certificado cualificado contenga otras circunstancias personales o atributos del solicitante, como su condición de titular de un cargo público, su pertenencia a un colegio profesional o su titulación, estas deberán comprobarse mediante los documentos oficiales que las acrediten, de conformidad con su normativa específica.

6. Lo dispuesto en los apartados anteriores podrá no ser exigible cuando la identidad u otras circunstancias permanentes de los solicitantes de los certificados constaran ya al prestador de servicios de confianza en virtud de una relación preexistente, en la que, para la identificación del interesado, se hubiese empleado el medio señalado en el apartado 1 y el período de tiempo transcurrido desde la identificación fuese menor de cinco años.

7. El Ministerio de Asuntos Económicos y Transformación Digital velará por que los prestadores cualificados de servicios electrónicos de confianza puedan contribuir a la elaboración de la norma reglamentaria prevista en el apartado 2 del presente artículo, de acuerdo con lo previsto en el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del Gobierno.

TÍTULO III.- Obligaciones y responsabilidad de los prestadores de servicios electrónicos de confianza

Artículo 8. Protección de los datos personales.

1. El tratamiento de los datos personales que precisen los prestadores de servicios electrónicos de confianza para el desarrollo de su actividad y los órganos administrativos para el ejercicio de las funciones atribuidas por esta Ley se sujetará a lo dispuesto en la legislación aplicable en materia de protección de datos de carácter personal.

2. Los prestadores de servicios electrónicos de confianza que consignen un pseudónimo en un certificado electrónico deberán constatar la verdadera identidad del titular del certificado y conservar la documentación que la acredite.

3. Dichos prestadores de servicios de confianza estarán obligados a revelar la citada identidad cuando lo soliciten los órganos judiciales y otras autoridades públicas en el ejercicio de funciones legalmente atribuidas, con sujeción a lo dispuesto en la legislación aplicable en materia de protección de datos personales.

Artículo 9. Obligaciones de los prestadores de servicios electrónicos de confianza.

1. Los prestadores de servicios electrónicos de confianza deberán:

a) Publicar información veraz y acorde con esta Ley y el Reglamento (UE) 910/2014.

b) No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.

En este caso, utilizarán sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, y se aplicarán procedimientos y mecanismos técnicos y organizativos adecuados, para garantizar que el entorno sea fiable y se utilice bajo el control exclusivo del titular del certificado. Además, deberán custodiar y proteger los datos de creación de firma, sello o autenticación de sitio web frente a cualquier alteración, destrucción o acceso no autorizado, así como garantizar su continua disponibilidad.

2. Los prestadores de servicios de confianza que expidan certificados electrónicos deberán disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público.

3. Los prestadores cualificados de servicios electrónicos de confianza deberán cumplir las siguientes obligaciones adicionales:

a) El período de tiempo durante el que deberán conservar la información relativa a los servicios prestados de acuerdo con el artículo 24.2.h) del Reglamento (UE) 910/2014, será de 15 años desde la extinción del certificado o la finalización del servicio prestado.

En caso de que expidan certificados cualificados de sello electrónico o autenticación de sitio web a personas jurídicas, los prestadores de servicios de confianza registrarán también la información que permita determinar la identidad de la persona física a la que se hayan entregado los citados certificados, para su identificación en procedimientos judiciales o administrativos.

b) Constituir un seguro de responsabilidad civil por importe mínimo de 1.500.000 euros, excepto si el prestador pertenece al sector público. Si presta más de un servicio cualificado de los previstos en el Reglamento (UE) 910/2014, se añadirán 500.000 euros más por cada tipo de servicio.

La citada garantía podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución, de manera que la suma de las cantidades aseguradas sea coherente con lo dispuesto en el párrafo anterior.

Las cuantías y los medios de aseguramiento y garantía establecidos en los dos párrafos anteriores podrán ser modificados mediante real decreto.

c) El prestador cualificado que vaya a cesar en su actividad deberá comunicarlo a los clientes a los que preste sus servicios y al órgano de supervisión con una antelación mínima de dos meses al cese efectivo de la actividad, por un medio que acredite la entrega y recepción efectiva siempre que sea factible. El plan de cese del prestador de servicios puede incluir la transferencia de clientes, una vez acreditada la ausencia de oposición de los mismos, a otro prestador cualificado, el cual podrá conservar la información relativa a los servicios prestados hasta entonces.

Igualmente, comunicará al órgano de supervisión cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. En especial, deberá comunicar, en cuanto tenga conocimiento de ello, la apertura de cualquier proceso concursal que se siga contra él.

d) Enviar el informe de evaluación de la conformidad al Ministerio de Asuntos Económicos y Transformación Digital en los términos previstos en el artículo 20.1 del Reglamento (UE) 910/2014. El incumplimiento de esta obligación conllevará la retirada de la cualificación al prestador y al servicio que este presta, y su eliminación de la lista de confianza prevista en el artículo 22 del citado Reglamento, previo requerimiento al prestador del servicio para que cese en el citado incumplimiento.

Artículo 10. Responsabilidad de los prestadores de servicios electrónicos de confianza.

Los prestadores de servicios electrónicos de confianza asumirán toda la responsabilidad frente a terceros por la actuación de las personas u otros prestadores en los que deleguen la ejecución de alguna o algunas de las funciones necesarias para la prestación de servicios electrónicos de confianza, incluyendo las actuaciones de comprobación de identidad previas a la expedición de un certificado cualificado.

Artículo 11. Limitaciones de responsabilidad de los prestadores de servicios electrónicos de confianza.

1. El prestador de servicios electrónicos de confianza no será responsable de los daños y perjuicios ocasionados a la persona a la que ha prestado sus servicios o a terceros de buena fe, si esta incurre en alguno de los supuestos previstos en el Reglamento (UE) 910/2014 o en los siguientes:

a) No haber proporcionado al prestador de servicios de confianza información veraz, completa y exacta para la prestación del servicio de confianza, en particular, sobre los datos que deban constar en el certificado electrónico o que sean necesarios para su expedición o para la extinción o suspensión de su vigencia, cuando su inexactitud no haya podido ser detectada, actuando con la debida diligencia, por el prestador de servicios.

b) La falta de comunicación sin demora indebida al prestador de servicios de cualquier modificación de las circunstancias que incidan en la prestación del servicio de confianza, en particular, aquellas reflejadas en el certificado electrónico.

c) Negligencia en la conservación de sus datos de creación de firma, sello o autenticación de sitio web, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación de estos o, en su caso, de los medios que den acceso a ellos.

d) No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma, sello o autenticación de sitio web o, en su caso, de los medios que den acceso a ellos.

e) Utilizar los datos de creación de firma, sello o autenticación de sitio web cuando haya expirado el período de validez del certificado electrónico o el prestador de servicios de confianza le notifique la extinción o suspensión de su vigencia.

2. El prestador de servicios de confianza tampoco será responsable por los daños y perjuicios si el destinatario actúa de forma negligente. Se entenderá que el destinatario actúa de forma negligente cuando no tenga en cuenta la suspensión o pérdida de vigencia del certificado electrónico, o cuando no verifique la firma o sello electrónico.

3. El prestador de servicios de confianza no será responsable por los daños y perjuicios en caso de inexactitud de los datos que consten en el certificado electrónico si estos le han sido acreditados mediante documento público u oficial, inscrito en un registro público si así resulta exigible.

Artículo 12. Inicio de la prestación de servicios electrónicos de confianza no cualificados.

Los prestadores de servicios de confianza no cualificados no necesitan verificación administrativa previa de cumplimiento de requisitos para iniciar su actividad, pero deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses desde que la inicien, que publicará en su página web el listado de prestadores de servicios de confianza no cualificados en una lista diferente a la de los prestadores de servicios de confianza cualificados, con la descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados.

En el mismo plazo deberán comunicar la modificación de los datos inicialmente transmitidos y el cese de su actividad.

Artículo 13. Obligaciones de seguridad de la información.

1. Los prestadores cualificados y no cualificados de servicios electrónicos de confianza notificarán al Ministerio de Asuntos Económicos y Transformación Digital las violaciones de seguridad o pérdidas de la integridad señaladas en el artículo 19.2 del Reglamento (UE) 910/2014, sin perjuicio de su notificación a la Agencia Española de Protección de Datos, a otros organismos relevantes o a las personas afectadas.

2. Los prestadores de servicios tienen la obligación de tomar las medidas necesarias para resolver los incidentes de seguridad que les afecten.

3. Los prestadores de servicios ampliarán, en un plazo máximo de un mes tras la notificación del incidente y, de haber tenido lugar, tras su resolución, la información suministrada en la notificación inicial con arreglo a las directrices y formularios que pueda establecer el Ministerio de Asuntos Económicos y Transformación Digital.

TÍTULO IV.- Supervisión y control

Artículo 14. Órgano de supervisión.

1. El Ministerio de Asuntos Económicos y Transformación Digital, como órgano de supervisión, controlará el cumplimiento por los prestadores de servicios electrónicos de confianza cualificados y no cualificados que ofrezcan sus servicios al público de las obligaciones establecidas en el Reglamento (UE) 910/2014 y en esta Ley.

2. El Ministerio de Asuntos Económicos y Transformación Digital podrá acordar las medidas apropiadas para el cumplimiento del Reglamento (UE) 910/2014 y de esta Ley.

En particular, podrá dictar directrices para la elaboración y comunicación de informes y documentos, así como recomendaciones para el cumplimiento de las obligaciones técnicas y de seguridad exigibles a los servicios de confianza, así como sobre requisitos y normas técnicas de auditoría y certificación para la evaluación de la conformidad de los prestadores cualificados de servicios de confianza. Al efecto, se tendrán en consideración las normas, instrucciones, guías y recomendaciones emitidas por el Centro Criptológico Nacional en el marco de sus competencias, así como informes, especificaciones o normas elaboradas por la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) o por organismos de estandarización europeos e internacionales.

Artículo 15. Actuaciones inspectoras.

1. El Ministerio de Asuntos Económicos y Transformación Digital realizará las actuaciones inspectoras que sean precisas para el ejercicio de su función de supervisión y control. Los funcionarios adscritos al Ministerio de Asuntos Económicos y Transformación Digital que realicen la inspección tendrán la consideración de autoridad pública en el desempeño de sus cometidos.

2. El Ministerio de Asuntos Económicos y Transformación Digital podrá recurrir a entidades independientes y técnicamente cualificadas para que le asistan en las labores de supervisión y control sobre los prestadores de servicios de confianza que le asigna el Reglamento (UE) 910/2014 y esta Ley.

3. Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados requisitos. En este caso, los prestadores de servicios correrán con los gastos que ocasione esta evaluación.

Artículo 16. Mantenimiento de la lista de confianza.

1. El Ministerio de Asuntos Económicos y Transformación Digital establecerá, mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a esta Ley, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.

2. El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado Reglamento será de 6 meses, transcurridos los cuales se podrá entender desestimada la solicitud.

3. La revocación de la cualificación a un prestador o a un servicio mediante su retirada de la lista de confianza es independiente de la aplicación del régimen sancionador.

Artículo 17. Información y colaboración.

1. Los prestadores de servicios de confianza, la entidad nacional de acreditación, los organismos de evaluación de la conformidad, los organismos de certificación y cualquier otra persona o entidad relacionada con el prestador de servicios de confianza, tienen la obligación de facilitar al Ministerio de Asuntos Económicos y Transformación Digital toda la información y colaboración precisas para el ejercicio de sus funciones.

Si el organismo de certificación perteneciera a la Autoridad Nacional de Certificación de la Ciberseguridad o estuviese supervisado por ella, se acordarán con dicha Autoridad los mecanismos de colaboración y el contenido de la información necesaria.

Los prestadores de servicios de confianza deberán permitir a sus funcionarios o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.6 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. En sus inspecciones podrán ir acompañados de expertos o peritos en las materias sobre las que versen aquellas.

2. La información referente a los prestadores cualificados de servicios de confianza podrá ser objeto de publicación en la dirección de Internet del Ministerio de Asuntos Económicos y Transformación Digital para su difusión y conocimiento.

3. A más tardar el 1 de febrero de cada año, los prestadores cualificados de servicios de confianza remitirán al Ministerio de Asuntos Económicos y Transformación Digital un informe sobre sus datos de actividad del año civil precedente, con objeto de cumplimiento por parte de este de las obligaciones de información a la Comisión Europea.

4. El Ministerio de Asuntos Económicos y Transformación Digital informará a la Agencia Española de Protección de Datos en caso de resultar infringidas las normas sobre protección de datos de carácter personal, así como sobre los incidentes en materia de seguridad que impliquen violaciones de los datos de carácter personal.

TÍTULO V.- Infracciones y sanciones

Artículo 18. Infracciones.

1. Las infracciones de los preceptos del Reglamento (UE) 910/2014 y de esta Ley se clasifican en muy graves, graves y leves.

2. Son infracciones muy graves:

a) La comisión de una infracción grave en el plazo de dos años desde que hubiese sido sancionado por una infracción grave de la misma naturaleza, contados desde que recaiga la resolución sancionadora firme.

b) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta Ley, cuando ello afecte a la mayoría de los certificados cualificados expedidos en el año anterior al inicio del procedimiento sancionador o desde el inicio de la actividad del prestador si este periodo es menor.

3. Son infracciones graves:

a) La resistencia, obstrucción, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta Ley.

b) Actuar en el mercado como prestador cualificado de servicios de confianza, ofrecer servicios de confianza como cualificados o utilizar la etiqueta de confianza «UE» sin haber obtenido la cualificación de los citados servicios.

c) En caso de que el prestador expida certificados electrónicos, almacenar o copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.

d) No proteger adecuadamente los datos de creación de firma, sello o autenticación de sitio web cuya gestión se le haya encomendado en la forma establecida en el artículo 9.1.b) de esta Ley.

e) No registrar o conservar la información a la que se refiere el artículo 9.3.a) de esta Ley.

f) El incumplimiento de la obligación de notificación de incidentes establecida en el artículo 19.2 del Reglamento (UE) 910/2014, en los términos previstos en el artículo 13 de esta Ley.

g) En caso de prestadores cualificados de servicios de confianza, el incumplimiento de alguna de las obligaciones establecidas en los artículos 24.2, letras b), c), d), e), f), g), h), y k), 24.3 y 24.4 del Reglamento (UE) 910/2014, con las precisiones establecidas, en su caso, por esta Ley.

h) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta Ley, cuando no constituya infracción muy grave.

i) La ausencia de adopción de medidas, o la adopción de medidas insuficientes, para la resolución de los incidentes de seguridad en los productos, redes y sistemas de información, en el plazo de diez días desde que aquellos se hubieren producido.

j) El incumplimiento de las resoluciones dictadas por el Ministerio de Asuntos Económicos y Transformación Digital para requerir a un prestador de servicios de confianza que corrija cualquier incumplimiento de los requisitos establecidos en esta Ley y en el Reglamento (UE) 910/2014.

k) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control, a partir del segundo requerimiento.

l) No cumplir con las obligaciones de constatar la verdadera identidad del titular de un certificado electrónico y de conservar la documentación que la acredite, en caso de consignación de un pseudónimo.

m) El incumplimiento por parte de los prestadores cualificados y no cualificados de servicios de confianza de la obligación establecida en el artículo 19.1 del Reglamento (UE) 910/2014 de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que presten.

n) No extinguir la vigencia de los certificados electrónicos en los supuestos señalados en esta Ley.

o) La prestación de servicios cualificados careciendo del correspondiente seguro obligatorio, en los términos previstos en el artículo 9.3.b) de esta Ley.

4. Constituyen infracciones leves:

a) Publicar información no veraz o no acorde con esta Ley y el Reglamento (UE) 910/2014.

b) No comunicar el inicio de actividad, su modificación o cese por los prestadores de servicios no cualificados en el plazo establecido en el artículo 12 de esta Ley.

c) El incumplimiento por los prestadores cualificados de servicios de confianza de alguna de las obligaciones establecidas en el artículo 24.2, letras a) e i) del Reglamento (UE) 910/2014.

d) El incumplimiento por los prestadores cualificados de servicios de confianza de su obligación de remitir un informe anual de actividad al Ministerio de Asuntos Económicos y Transformación Digital antes del 1 de febrero de cada año.

e) El incumplimiento del deber de comunicación establecido en el artículo 9.3.c) de esta Ley.

f) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control.

Artículo 19. Sanciones.

1. Por la comisión de infracciones recogidas en el artículo anterior, se impondrán al infractor las siguientes sanciones:

a) Por la comisión de infracciones muy graves, una multa por importe de 150.001 hasta 300.000 euros.

b) Por la comisión de infracciones graves, una multa por importe de 50.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, una multa por importe de hasta 50.000 euros.

2. La cuantía de las sanciones que se impongan se determinará aplicando una graduación de importe mínimo, medio y máximo a cada nivel de infracción, teniendo en cuenta lo siguiente:

a) El grado de culpabilidad o la existencia de intencionalidad.

b) La continuidad o persistencia en la conducta infractora.

c) La naturaleza y cuantía de los perjuicios causados.

d) La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme en vía administrativa.

e) El volumen de facturación del prestador responsable.

f) El número de personas afectadas por la infracción.

g) La gravedad del riesgo generado por la conducta.

h) Las acciones realizadas por el prestador encaminadas a paliar los efectos o consecuencias de la infracción.

3. Las resoluciones sancionadoras por la comisión de infracciones muy graves serán publicadas en el sitio de Internet del Ministerio de Asuntos Económicos y Transformación Digital, con indicación, en su caso, de los recursos interpuestos contra ellas.

Artículo 20. Potestad sancionadora.

La imposición de sanciones por el incumplimiento de lo previsto en esta Ley corresponderá, en el caso de infracciones muy graves, a la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, y en el de infracciones graves y leves, a la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Disposición adicional primera. Fe pública y servicios electrónicos de confianza.

Lo dispuesto en esta Ley no sustituye ni modifica las normas que regulan las funciones que corresponden a los funcionarios que tengan legalmente atribuida la facultad de dar fe en documentos en lo que se refiere al ámbito de sus competencias.

Disposición adicional segunda. Efectos jurídicos de los sistemas utilizados en las Administraciones públicas.

Todos los sistemas de identificación, firma y sello electrónico previstos en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, tendrán plenos efectos jurídicos.

Disposición adicional tercera. Documento Nacional de Identidad y sus certificados electrónicos.

1. El Documento Nacional de Identidad electrónico es el Documento Nacional de Identidad que permite acreditar electrónicamente la identidad personal de su titular, en los términos establecidos en el artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, así como la firma electrónica de documentos.

2. Todas las personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia del Documento Nacional de Identidad para acreditar la identidad y los demás datos personales del titular que consten en el mismo, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos.

3. Los órganos competentes del Ministerio del Interior para la expedición del Documento Nacional de Identidad cumplirán las obligaciones que la presente Ley impone a los prestadores de servicios electrónicos de confianza que expidan certificados cualificados.

4. Sin perjuicio de la aplicación de la normativa vigente en materia del Documento Nacional de Identidad en todo aquello que se adecúe a sus características particulares, el Documento Nacional de Identidad se regirá por su normativa específica.

Disposición adicional cuarta. Secreto de la identidad de los miembros del Centro Nacional de Inteligencia.

Lo dispuesto en los artículos 7 y 8 de esta Ley se entenderá sin perjuicio de lo dispuesto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, en relación con la obligación de guardar secreto sobre la identidad de sus miembros.

Disposición transitoria primera. Comunicación de actividad por prestadores de servicios no cualificados ya existentes.

Los prestadores de servicios no cualificados que ya vinieran prestando servicios deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses a contar desde la entrada en vigor de esta Ley.

Se exceptúan aquellos que hubieran comunicado los servicios prestados al Ministerio de Asuntos Económicos y Transformación Digital antes de la entrada en vigor de esta Ley.

Disposición transitoria segunda. Desarrollo reglamentario del Documento Nacional de Identidad.

Hasta que se desarrolle reglamentariamente el Documento Nacional de Identidad, se mantendrá en vigor el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica.

Disposición derogatoria.

Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta Ley, y en particular:

a) La Ley 59/2003, de 19 de diciembre, de firma electrónica.

b) El artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

c) La Orden del Ministerio de Fomento de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

Disposición final primera. Modificación de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.

Se modifica el apartado 1 del artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, que queda redactado como sigue:

«1. Sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio seguro de interlocución telemática que les permita la realización de, al menos, los siguientes trámites:

a) Contratación electrónica de servicios, suministros y bienes, la modificación y finalización o rescisión de los correspondientes contratos, así como cualquier acto o negocio jurídico entre las partes, sin perjuicio de lo establecido en la normativa sectorial.

b) Consulta de sus datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los últimos tres años y el contrato suscrito, incluidas las condiciones generales si las hubiere.

c) Presentación de quejas, incidencias, sugerencias y, en su caso, reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.

d) Ejercicio de sus derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.»

Disposición final segunda. Modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

Uno. Se modifica el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que queda redactado en los siguientes términos:

«3. Cuando la parte a quien interese la eficacia de un documento electrónico lo solicite o se impugne su autenticidad, integridad, precisión de fecha y hora u otras características del documento electrónico que un servicio electrónico de confianza no cualificado de los previstos en el Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, permita acreditar, se procederá con arreglo a lo establecido en el apartado 2 del presente artículo y en el Reglamento (UE) n.º 910/2014

Dos. Se añade un apartado 4 al citado artículo 326, con el siguiente tenor:

«4. Si se hubiera utilizado algún servicio de confianza cualificado de los previstos en el Reglamento citado en el apartado anterior, se presumirá que el documento reúne la característica cuestionada y que el servicio de confianza se ha prestado correctamente si figuraba, en el momento relevante a los efectos de la discrepancia, en la lista de confianza de prestadores y servicios cualificados.

Si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. Si dichas comprobaciones obtienen un resultado negativo, serán las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 300 a 1200 euros.»

Disposición final tercera. Modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, se modifica en los siguientes términos:

Uno. Se añade un nuevo artículo 12 ter que queda redactado como sigue:

«Artículo 12 ter. Obligaciones relativas a la portabilidad de datos no personales.

Los proveedores de servicios de intermediación que alojen o almacenen datos de usuarios a los que presten servicios de redes sociales o servicios de la sociedad de la información equivalentes deberán remitir a dichos usuarios, a su solicitud, los contenidos que les hubieran facilitado, sin impedir su transmisión posterior a otro proveedor. La remisión deberá efectuarse en un formato estructurado, de uso común y lectura mecánica.

Asimismo, deberán transmitir dichos contenidos directamente a otro proveedor designado por el usuario, siempre que sea técnicamente posible, según prevé el artículo 95 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

Para el cumplimiento de estas obligaciones será aplicable lo dispuesto en el artículo 12.5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE

Dos. El primer párrafo del apartado 1 del artículo 35 queda redactado como sigue:

«1. El Ministerio de Asuntos Económicos y Transformación Digital controlará el cumplimiento por los prestadores de servicios de la sociedad de la información de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo, en lo que se refiere a los servicios propios de la sociedad de la información, así como en el Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea, por parte de aquellos proveedores incluidos en su ámbito de aplicación.»

Tres. Se añade un nuevo artículo 36 bis que queda redactado como sigue:

«Artículo 36 bis. Deber de comunicación de las organizaciones y asociaciones representativas de usuarios profesionales o de los usuarios de sitios web corporativos.

Las organizaciones y asociaciones que posean un interés legítimo de representación de usuarios profesionales o de los usuarios de sitios web corporativos, y que, cumpliendo con los requisitos del artículo 14.3 del Reglamento (UE) 2019/1150, hubieren solicitado al Ministerio de Asuntos Económicos y Transformación Digital su inclusión en la lista elaborada al efecto por la Comisión Europea, notificarán inmediatamente al citado Ministerio cualquier circunstancia que afecte a su entidad que derive en un incumplimiento sobrevenido de los mencionados requisitos.»

Cuatro. El primer párrafo del artículo 37 queda redactado como sigue:

«Los prestadores de servicios de la sociedad de la información a los que les sea de aplicación la presente Ley, así como los proveedores incluidos en el ámbito de aplicación del Reglamento (UE) 2019/1150, están sujetos al régimen sancionador establecido en este Título.»

Cinco. Se añaden doce nuevas letras de la j) a la u) al apartado 3 del artículo 38 con la siguiente redacción:

«j) La exigencia del pago de un canon por atender la obligación prevista en el artículo 12 ter, fuera de los supuestos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679.

k) El incumplimiento habitual de la obligación prevista en el artículo 12 ter.

l) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de la obligación establecida en el apartado 5 del artículo 3 del Reglamento (UE) 2019/1150 en materia de visibilidad de la identidad del usuario profesional.

m) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de cualquiera de las obligaciones en materia de restricción, suspensión y terminación del servicio establecidas en los apartados 1, 2 y 3 del artículo 4 del Reglamento (UE) 2019/1150.

n) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea o proveedores de motores de búsqueda en línea de cualquiera de las obligaciones en materia de clasificación establecidas en el artículo 5 del Reglamento (UE) 2019/1150 que les resulten aplicables.

o) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de la obligación de incluir en sus condiciones generales la información exigida en el artículo 6 del Reglamento (UE) 2019/1150 sobre los bienes y servicios auxiliares ofrecidos.

p) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea o los proveedores de motores de búsqueda en línea de la obligación de incluir en sus condiciones generales la información exigida en los apartados 1 y 2, respectivamente, con las precisiones establecidas en el apartado 3, del artículo 7 del Reglamento (UE) 2019/1150, en materia de tratamiento diferenciado de bienes o servicios.

q) El incumplimiento por parte de los proveedores de servicios de intermediación de la obligación establecida en la letra a) del artículo 8 del Reglamento (UE) 2019/1150, así como el incumplimiento habitual de las obligaciones contenidas en las letras b) y c) del citado precepto.

r) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de la obligación de informar sobre el acceso a datos por parte de los usuarios profesionales establecida en el artículo 9 del Reglamento (UE) 2019/1150.

s) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de la obligación de justificar las restricciones a la oferta de condiciones diferentes por otros medios prevista en el artículo 10 del Reglamento (UE) 2019/1150.

t) El incumplimiento por parte de los proveedores de servicios de intermediación en línea que no sean pequeñas empresas, de la obligación de establecer un sistema interno y gratuito para tramitar las reclamaciones de los usuarios profesionales, en los términos previstos por el artículo 11 del Reglamento (UE) 2019/1150.

u) El incumplimiento por parte de los proveedores de servicios de intermediación en línea que no sean pequeñas empresas, de la obligación de designar al menos dos mediadores, o de cualquier otra de las obligaciones en materia de mediación establecidas en el artículo 12 del Reglamento (UE) 2019/1150.»

Seis. Se añaden diez nuevas letras de la j) a la s) al apartado 4 del artículo 38 con la siguiente redacción:

«j) La exigencia del pago de un canon por atender la obligación prevista en el artículo 12 ter, cuando así lo permita el artículo 12.5 del Reglamento (UE) 2016/679, si su cuantía excediese el importe de los costes afrontados.

k) El incumplimiento de la obligación prevista en el artículo 12 ter, cuando no constituya infracción grave.

l) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de la obligación establecida en el apartado 5 del artículo 3 del Reglamento (UE) 2019/1150 en materia de visibilidad de la identidad del usuario profesional, cuando no constituya infracción grave.

m) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de cualquiera de las obligaciones en materia de restricción, suspensión y terminación del servicio establecidas en los apartados 1, 2 y 3 del artículo 4 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave.

n) El incumplimiento por parte de los proveedores de servicios de intermediación en línea o proveedores de motores de búsqueda en línea de cualquiera de las obligaciones en materia de clasificación establecidas en el artículo 5 del Reglamento (UE) 2019/1150 que les resulten aplicables, cuando no constituya infracción grave.

o) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de la obligación de incluir en sus condiciones generales la información exigida en el artículo 6 del Reglamento (UE) 2019/1150 sobre los bienes y servicios auxiliares ofrecidos, cuando no constituya infracción grave.

p) El incumplimiento por parte de los proveedores de servicios de intermediación en línea y los proveedores de motores de búsqueda en línea de la obligación de incluir en sus condiciones generales la información exigida en los apartados 1 y 2, respectivamente, con las precisiones establecidas en el apartado 3, del artículo 7 del Reglamento (UE) 2019/1150, en materia de tratamiento diferenciado de bienes o servicios, cuando no constituya infracción grave.

q) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de las obligaciones en materia de cláusulas contractuales específicas establecidas en el artículo 8 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave.

r) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de la obligación de informar sobre el acceso a datos por parte de los usuarios profesionales establecida en el artículo 9 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave.

s) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de la obligación de justificar las restricciones a la oferta de condiciones diferentes por otros medios prevista en el artículo 10 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave.»

Siete. El artículo 43 queda redactado como sigue:

«Artículo 43. Competencia sancionadora.

1. La imposición de sanciones por el incumplimiento de lo previsto en esta Ley corresponderá, en el caso de infracciones muy graves, a la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, y en el de infracciones graves y leves, a la persona titular de la Secretaria de Estado de Digitalización e Inteligencia Artificial.

No obstante lo anterior, la imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la materia o entidad de que se trate a que se refieren las letras a) y b) del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de esta Ley.

2. La potestad sancionadora regulada en esta Ley se ejercerá de conformidad con lo establecido al respecto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en sus normas de desarrollo. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de iniciación. El plazo máximo de duración del procedimiento simplificado será de tres meses.»

Disposición final cuarta. Modificación de la Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio.

Se introduce una nueva disposición adicional séptima con el siguiente contenido:

«Disposición adicional séptima. Incumplimiento de la prohibición de discriminación.

El incumplimiento de la prohibición de discriminación prevista en el artículo 16.3 de esta Ley y el Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo, de 28 de febrero de 2018, sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimiento de los clientes en el mercado interior y por el que se modifican los Reglamentos (CE) 2006/2004 y (UE) 2017/2394 y la Directiva 2009/22/CE, se reputará desleal a los efectos de la Ley 3/1991, de 10 de enero, de Competencia Desleal, sin perjuicio del régimen de infracciones y sanciones contenido en el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.»

Disposición final quinta. Título competencial.

Esta Ley se dicta al amparo de las competencias exclusivas que corresponden al Estado en materia de legislación civil, telecomunicaciones y seguridad pública, conforme a lo dispuesto en el artículo 149.1.8.ª, 21.ª y 29.ª de la Constitución Española.

El artículo 3 y la disposición final segunda se dictan, además, al amparo de lo previsto en el artículo 149.1.6.ª de la Constitución, el cual atribuye al Estado competencia exclusiva en materia de legislación procesal. Por su parte la disposición adicional segunda se dicta al amparo de lo previsto en el artículo 149.1.18.ª de la Constitución, en relación con la competencia estatal exclusiva sobre las bases del régimen jurídico de las Administraciones públicas y el procedimiento administrativo común.

Disposición final sexta. Desarrollo reglamentario.

Se habilita al Gobierno para dictar las disposiciones reglamentarias que sean precisas para el desarrollo y aplicación de esta Ley.

Disposición final séptima. Entrada en vigor.

La presente Ley entrará en vigor al día siguiente al de su publicación en el «Boletín Oficial del Estado».

Por tanto,

Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta ley.

Madrid, 11 de noviembre de 2020.

FELIPE R.

El Presidente del Gobierno, PEDRO SÁNCHEZ PÉREZ-CASTEJÓN

05Sep/17

Resolución de 14 de julio de 2017

Resolución de 14 de julio de 2017, de la Secretaría General de Administración Digital, por la que se establecen las condiciones de uso de firma electrónica no criptográfica, en las relaciones de los interesados con los órganos administrativos de la Administración General del Estado y sus organismos públicos. (Boletín Oficial del Estado número 170, martes 18 de julio de 2017)

El artículo 10 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, enumera los sistemas válidos a efectos de firma, que los interesados podrán utilizar para relacionarse con las Administraciones Públicas.

El citado precepto se refiere expresamente a los sistemas de firma electrónica reconocida o cualificada y avanzada basados en certificados electrónicos reconocidos o cualificados de firma electrónica, a los sistemas de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de sello electrónico y a cualquier otro sistema que las Administraciones Públicas consideren válido, en los términos y condiciones que se establezcan, recogiendo asimismo la posibilidad de admitir los sistemas de identificación contemplados en la Ley como sistemas de firma.

En cualquier caso, todos los sistemas de firma electrónica admitidos deberán garantizar el cumplimiento de los requisitos recogidos en el apartado primero del artículo 10 de la citada Ley. Esto es, que estos sistemas permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados, así como la integridad e inalterabilidad del documento.

A estos sistemas de firma electrónica han de reconocérsele efectos jurídicos y son conformes a lo establecido en el artículo 25.1 del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica, sin menoscabo de lo recogido en el artículo 27 de la propia norma «Firmas electrónicas en servicios públicos».

El artículo 11 de la Ley 39/2015, de 1 de octubre regula el uso de los medios de identificación y firma en el procedimiento administrativo estableciendo que, con carácter general, para realizar cualquier actuación prevista en el procedimiento administrativo sólo será necesario identificarse, y limitando la obligatoriedad de la firma para los supuestos previstos en el apartado segundo del artículo: Formular solicitudes, presentar declaraciones responsables o comunicaciones, interponer recursos, desistir de acciones y renunciar a derechos. Esta importante novedad en la regulación aconseja establecer las cautelas mínimas que permitan normalizar el uso de estos sistemas evitando la heterogeneidad de su implementación técnica entre las Administraciones.

Así, y en aplicación de lo dispuesto en el artículo 10.3 de la Ley 39/2015, de 1 de octubre, que faculta a las Administraciones Públicas a admitir los sistemas de identificación contemplados en esta Ley como sistema de firma cuando permitan acreditar la autenticidad de la expresión de la voluntad y consentimiento de los interesados, siempre que así lo disponga la normativa reguladora, se procede con esta resolución a indicar los requisitos que se tienen que cumplir, no sólo con este objetivo, sino para asegurar también la integridad e inalterabilidad de los datos firmados, así como los requisitos para comprobar que se realizó dicho acto. Por lo tanto, se sientan las bases de uso de sistemas de identificación basados en la plataforma Cl@ve, para la realización de la firma, así como se establece una recomendación para recoger las evidencias de actos de relevancia jurídica, como las notificaciones, que si bien no necesitan firma, sí pueden necesitar unos requisitos de seguridad reforzados, manteniendo siempre el espíritu de la ley por el que no se haga en ningún caso más complejo para el ciudadano la recepción de la notificación o la realización de un trámite.

Es importante subrayar además, la complementariedad de esta resolución con el proyecto Cl@ve firma, que provee sencillos mecanismos para facilitar la firma electrónica criptográfica, de manera que se evitan los principales problemas, como la necesidad de disponer de hardware y/o software específico para realizar la firma en el ordenador del interesado, ya que toda esa complejidad queda resuelta por el sistema Cl@ve firma. Si bien este sistema es óptimo desde el punto de vista de uso de firma criptográfica, requiere que el ciudadano tenga activa la identificación por Cl@ve Permanente que le permite acceder a su certificado electrónico centralizado, en el caso de no tener activa esta identificación y siempre que el servicio lo permita esta nueva forma de firma no basada en certificado electrónico es una facilidad más para el ciudadano.

Por ello se ha tenido a bien el complementar este sistema de firma criptográfica sencilla para el ciudadano, con un sistema de medidas de seguridad, trazabilidad e integridad suficientes para los procedimientos que hagan uso de él, pero sin necesidad de recordar o tener activa una contraseña ni un certificado electrónico centralizado.

También resulta apropiado el uso de este sistema cuando, aun habiéndose utilizado un certificado electrónico en el proceso de identificación, no se quiera realizar una firma electrónica local con dicho certificado, para evitar los problemas de restricciones de compatibilidad de navegadores, máquinas virtuales Java y versiones de sistemas operativos.

Por tanto, el objeto de esta Resolución es establecer los criterios de uso y las condiciones técnicas de implementación de los sistemas de firma electrónica no criptográfica, previstos en el artículo 10.2.c) de la Ley 39/2015, de 1 de octubre, que se considerarán válidos a efectos de firma en la Administración General del Estado y sus organismos públicos, así como en aquellas otras Administraciones Públicas que adopten estos criterios y condiciones técnicas.

En virtud de lo anterior, y de acuerdo con el Real Decreto 424/2016, de 11 de noviembre, por el que se establece la estructura orgánica básica de los Departamentos ministeriales,

Esta Secretaría General de Administración Digital, en el ejercicio de las competencias atribuidas para la definición de estándares, de directrices técnicas y de gobierno TIC, de normas de seguridad y calidad tecnológicas y de la información a los que deberán ajustarse todas las Unidades de la Administración General del Estado y sus organismos públicos, dispone:

Primero.

  1. Aprobar los términos y condiciones de uso de firma electrónica no criptográfica en las relaciones de los interesados con los órganos administrativos de la Administración General del Estado y sus organismos públicos, de acuerdo con el artículo 10.2 de la Ley 39/2015, de 1 de octubre, que se incluyen como anexo.
  2. Ordenar su publicación en el «Boletín Oficial del Estado».

Segundo.

La presente Resolución entra en vigor a partir del día siguiente a su publicación en el «Boletín Oficial del Estado».

Madrid, 14 de julio de 2017.

El Secretario General de Administración Digital, Domingo Javier Molina Moscoso.

ANEXO

Términos y condiciones de uso de la firma electrónica no criptográfica en las relaciones de los interesados con los órganos administrativos de la Administración General del Estado y sus organismos públicos

  1. Objeto

Los presentes términos y condiciones tienen como objeto determinar las circunstancias en las que un sistema de firma electrónica no basado en certificados electrónicos será considerado como válido en las relaciones de los interesados con los órganos administrativos de la Administración General del Estado y sus organismos públicos, de acuerdo con el artículo 10.2.c) de la Ley 39/2015, de 1 de octubre. Sin perjuicio, de otros sistemas de firma implantados, de acuerdo con el artículo 10.2.c) y 10.3 y que ofrezcan las garantías de seguridad suficientes para gestionar la integridad y el no repudio, según el principio de proporcionalidad recogido en el artículo 13.3, Gestión de Riesgos del Seguridad del Esquema Nacional de Seguridad.

  1. Ámbito de aplicación

Los presentes términos y condiciones serán de aplicación a los órganos administrativos de la Administración General del Estado y organismos públicos y entidades de Derecho Público vinculados o dependientes, que habiliten nuevos sistemas de firma electrónica no criptográfica destinados a ser usados por los interesados en sus relaciones con los mismos, y sin perjuicio de la posibilidad de utilización en tales trámites de los sistemas de firma contemplados en el artículo 10.2.a) de la Ley 39/2015, de 1 de octubre.

III. Criterios para la utilización de sistemas de firma electrónica no criptográfica

El esquema nacional de seguridad (en adelante ENS), regulado por el Real Decreto 3/2010, de 8 de enero, y modificado por Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el esquema nacional de seguridad en el ámbito de la Administración electrónica constituye el marco legal que permite definir y establecer las medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los interesados y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

En la implantación de un sistema de firma electrónica no criptográfica se deberá cumplir con el ENS para garantizar la seguridad de los datos y los servicios, como un instrumento capaz de permitir la comprobación de la autenticidad de la procedencia y la integridad de la información ofreciendo las bases para evitar el repudio.

El ENS establece la necesidad de categorizar los sistemas de información, siendo la categoría de un sistema de información, en materia de seguridad, la que permite modular el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el principio de proporcionalidad.

En aplicación de esta norma, se podrán utilizar sistemas de firma electrónica no criptográfica cuando el sistema de información asociado al procedimiento haya sido categorizado, según el esquema nacional de seguridad, de categoría básica y aquellos de categoría media en los que no sea necesario utilizar la firma avanzada, cuando así lo disponga la normativa reguladora aplicable.

  1. Garantía de funcionamiento

Cuando la actuación realizada por el interesado, en su relación con la Administración, implique la presentación en una sede electrónica de documentos electrónicos utilizando los sistemas de firma electrónica contemplados en la presente Resolución, se garantizará la integridad de la información presentada mediante el sellado realizado con el sello electrónico cualificado o reconocido del organismo competente para la gestión del procedimiento, a la que se añadirá un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y su incorporación inmediata al sistema de información asociado a dicho procedimiento. El organismo deberá disponer de las medidas técnicas, organizativas y procedimentales necesarias para garantizar dicha integridad a lo largo del tiempo.

Asimismo, se garantizará también la integridad, mediante el sellado realizado con el sello electrónico cualificado o reconocido del organismo y la adición de un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, de las evidencias necesarias para la verificación de la identidad, recopiladas inmediatamente antes del acto de la firma, así como, posteriormente, del consentimiento explícito del interesado con el contenido firmado, almacenando dichas evidencias en el sistema de información junto con la información presentada. La integridad y conservación de los documentos electrónicos almacenados y de sus metadatos asociados obligatorios quedará garantizada a través del sellado con el sello electrónico cualificado o reconocido del organismo y del resto de medidas técnicas que aseguren su inalterabilidad.

El organismo responsable del procedimiento emitirá un justificante de firma sellado con su sello electrónico de órgano y generando el código seguro de verificación o CSV, que será el documento con valor probatorio de la actuación realizada. La integridad de los documentos electrónicos autenticados mediante CSV podrá comprobarse mediante el acceso directo y gratuito a la sede electrónica del organismo y en el punto de acceso general de la Administración General del Estado, en tanto no se acuerde la destrucción de dichos documentos con arreglo a la normativa que resulte de aplicación o por decisión judicial.

  1. Acreditación de la autenticidad de la expresión de la voluntad y consentimiento del interesado

Para acreditar la autenticidad de la expresión de la voluntad y consentimiento del interesado se requerirá:

  1. La autenticación del interesado, inmediatamente previa a la firma utilizando la plataforma Cl@ve, de identificación electrónica.
  2. La verificación previa por parte del interesado de los datos a firmar. Estos datos se obtendrán a partir de aquella información presentada por el ciudadano y de cuya veracidad se hace responsable, así como de los documentos electrónicos que, eventualmente, presente en el procedimiento.
  3. La acción explícita por parte del interesado de manifestación de consentimiento y expresión de su voluntad de firma.

V.1. Autenticación del interesado.

La identificación y autenticación del interesado deberá hacerse, en todo caso, a través de la plataforma Cl@ve, sistema de identificación, autenticación y firma electrónica basado en claves concertadas, común para todo el sector público administrativo estatal, aprobado por Acuerdo de Consejo de Ministros de 19 de septiembre de 2014.

Dicha autenticación del interesado con el sistema Cl@ve, inmediatamente previa al acto de firma, deberá de hacerse con un nivel de calidad en la autenticación sustancial o alto.

V.2. Verificación previa de los datos a firmar.

El interesado debe ser consciente de los datos que va a firmar y deberá ofrecérsele de un modo visible la posibilidad de consultarlo en un formato legible y, preferiblemente, con el mismo formato del documento que posteriormente se entregue al interesado como justificante de la firma.

V.3. Expresión del consentimiento y de la voluntad de firma de los interesados.

Las aplicaciones que hagan uso de un sistema de firma, ajustado a los criterios de uso y condiciones técnicas de esta Resolución, deberán requerir de forma expresa la expresión del consentimiento y la voluntad de firma del interesado en el procedimiento, mediante la inclusión de frases que pongan aquéllos de manifiesto de manera inequívoca, y la exigencia de acciones explícitas de aceptación por parte del interesado (por ejemplo, mediante una casilla junto al texto «Declaro que son ciertos los datos a firmar/muestro mi conformidad con el contenido del documento y confirmo mi voluntad de firmar» que el interesado debe marcar, y un botón «Firmar y enviar» que debe pulsar para realizar la firma).

  1. Garantía de no repudio

VI.1. Garantías en el proceso de firma.

Para garantizar el no repudio de la firma por parte del ciudadano, el sistema de firma deberá acreditar la vinculación de la expresión de la voluntad y los datos firmados con la misma persona. Para ello se volverá a solicitar la autenticación del ciudadano en el momento de proceder a la firma.

Asimismo, la garantía de no repudio exige que el sistema de firma asegure una adecuada trazabilidad en el caso de que sea necesario auditar una operación de firma en particular, para lo cual obtendrá, por cada firma y por tanto por cada proceso de autenticación, la siguiente información:

– Fecha y hora de la autenticación.

– Nombre y apellidos del interesado.

– NIF/NIE del interesado.

– Proveedor de identidad empleado (certificado electrónico, Cl@vePIN o Cl@vePermanente) y nivel de seguridad de identificación (sustancial o alto).

– Resultado de la autenticación (con éxito o fallida).

– Respuesta devuelta y firmada por la plataforma Cl@ve. Esta respuesta deberá incluir el campo opcional que contiene la respuesta devuelta y firmada por el Proveedor de Identificación.

– Fecha y hora de la firma.

– Resumen criptográfico de los datos firmados, con un algoritmo de hash que cumpla las especificaciones del esquema nacional de seguridad.

– Referencia al justificante de firma, mediante el CSV asociado a dicho justificante.

– Dirección IP origen desde la que se realizó la firma.

Esta información será sellada con un certificado electrónico cualificado o reconocido de sello del organismo, a la que se añadirá un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y será almacenada por el sistema de información asociado al procedimiento electrónico para el que se requiere la firma, como evidencia de la verificación de la identidad previa al acto de la firma, vinculada a los datos firmados.

En el caso de que los datos de identificación obtenidos en la autenticación inmediatamente anterior a la firma no coincidan con los datos de identificación obtenidos en autenticaciones previas, el sistema de firma no permitirá la realización de la misma, informando de esa eventualidad al sistema de información asociado al procedimiento electrónico que requiere dicha firma.

VI.2. Gestión de las evidencias de autenticación.

A pesar de que el sistema de firma proporcionará a los sistemas de información asociados al procedimiento electrónico que requiere la firma la información relativa a la autenticación vinculada a dicha firma, en ocasiones puede ser necesario, por motivos de auditoría, recuperar las evidencias completas del proceso de autenticación.

Al utilizar el sistema Cl@ve como mecanismo de identificación y autenticación, las evidencias últimas no residen en el propio sistema de firma, sino en los sistemas de los proveedores de servicios de identificación integrados en Cl@ve.

Con objeto de que los proveedores de esos servicios de identificación puedan recuperar las evidencias necesarias para acreditar la realización de la identificación y autenticación previas ligadas a la realización de una firma en el sistema, se deberá facilitar a dichos proveedores la información de autenticación almacenada como evidencia de la verificación previa de la identidad en los sistemas de información asociados al procedimiento administrativo que requiere la firma, descrita en el apartado VI.1.

A tal efecto, los proveedores de servicios de identificación deberán salvaguardar dichas evidencias durante el plazo mínimo de cinco años. La solicitud de certificación de dichas evidencias se realizará conforme al procedimiento y las condiciones que se publicarán en el portal de Administración electrónica.

VII. Garantía de la integridad de los datos y documentos firmados

VII.1. Sellado de la información presentada.

Una vez acreditada la expresión de la voluntad y el consentimiento y para firmar del interesado, se deberán establecer los mecanismos para garantizar la integridad e inalterabilidad de los datos y, en su caso, de los documentos electrónicos presentados por el interesado, para lo cual el sistema de firma sellará los datos a firmar, con un sello de órgano y la adición de un sello de tiempo realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado, y la pondrá a disposición del sistema de información asociado al procedimiento electrónico que requiere la firma.

VII.2. Justificante de firma.

En el proceso de firma se entregará al interesado un justificante de firma, que será un documento legible, de acuerdo con la norma técnica de interoperabilidad de catálogo de estándares y preferiblemente en formato PDF y que deberá cumplir estos requisitos:

– Garantizar la autenticidad del organismo emisor mediante un sellado electrónico con el certificado de sello del mismo, en formato PAdES en el caso de que el justificante tenga el formato PDF.

– Contener los datos del firmante y, en el caso de que el documento firmado haya pasado por un Registro de entrada, los datos identificativos de su inscripción en el Registro.

– Contener los datos a firmar expresamente por el interesado. Si se ha anexado algún documento electrónico se incluirá una referencia al mismo.

– Garantizar el instante en que se realizó la firma, mediante sello de tiempo del justificante, realizado con un certificado cualificado y emitido por un prestador de sellado de tiempo supervisado.

Garantizar la autenticidad del justificante de firma, incluyendo en el justificante de firma un código seguro de verificación (CSV), y garantizando que este justificante se pueda consultar en línea mediante un sistema de cotejo de CSV cuya dirección se incluya en el propio justificante de firma.

– Alternativamente, la autenticidad del organismo emisor y del justificante de firma se podrá garantizar mediante dos documentos: uno de ellos con sellado electrónico del justificante en formato PAdES (en el caso de que el justificante tenga formato PDF) y otro con la utilización de un código seguro de verificación (CSV) del justificante.

07Dic/16

Firma Electrónica/Digital. Año 2015. Legislación Informática Argentina.

Disposición 1/2015, de 2 de febrero de 2015, de la Subsecretaría de Tecnologías de Gestión. Adhesión de la Administración Nacional de la Seguridad Social (ANSES), en su calidad de Certificador Licenciado, a la «Política Única de Certificación».

Disposición 4/2015, de 13 de agosto de 2015, de la Subsecretaría de Tecnologías de Gestión. Adhesión de la Administración Federal de Ingresos Públicos (AFIP) en su calidad de Certificador Licenciado, a la «Política Única de Certificación».

Disposición 1/2015, de 18 de agosto de 2015, de la Oficina Nacional de Tecnologías de Información (ONTI). Requerimientos para la Conformación de las Autoridades de Registro de la AC ONTI Versión 3.0.

Disposición 6/2015, de 19 de agosto de 2015, de la Subsecretaría de Tecnologías de Gestión. «Manual de Procedimientos». Versión 2.0 de la Autoridad Certificante de la Oficina Nacional de Tecnologías de Información (AC ONTI).

Disposición 7/2015, de 10 de septiembre de 2015, de la Subsecretaría de Tecnologías de Gestión. Aclaraciones técnicas específicas para la Decisión Administrativa 927/2014.

 

07Dic/16

Firma Electrónica/Digital. Año 2014. Legislación Informática Argentina.

Decisión Administrativa 927/2014, de 30 de octubre de 2014, de la Jefatura de Gabinete de Ministros. Política Única de Certificación para los certificadores licenciados de la Infraestructura de Firma Digital.

Disposición 11/2014, de 30 de diciembre de 2014, de la Subsecretaría de Tecnologías de Gestión. Adhesión de la Oficina Nacional de Tecnologías de Información (ONTI), en su calidad de Certificador Licenciado, a la «Política Única de Certificación».

Disposición 12/2014, de 30 de diciembre de 2014, de la Subsecretaría de Tecnologías de Gestión. Adhesión de la empresa ENCODE S.A., en su calidad de Certificador Licenciado, a la «Política Única de Certificación».

27Feb/15

Aspectos técnicos y jurídicos de la firma electrónica

Aspectos técnicos y jurídicos de la firma electrónica

  1. Introducción
  2. Necesidad de un marco seguro de transmisión de información
  3. El funcionamiento de la firma electrónica
  4. Marco jurídico

1. Introducción

La información es un activo fundamental y pilar básico del desarrollo de una sociedad avanzada. Las repercusiones sociales, jurídicas y económicas de la Sociedad de la Información son considerables y plantean oportunidades y retos clave a individuos, empresas y gobiernos.

No obstante, los problemas que plantea son también de gran envergadura. El fenómeno internet y su utilidad como mecanismo de transmisión de información ágil y rápida queda de manifiesto en los numerosos estudios estadísticos sobre la materia. En la Unión Europea, el crecimiento es imparable, ya que se ha pasado de 63 millones de usuarios en el año 1999, a unos 100 millones en el 2001.España no ha quedado atrás en este avance, pasando de 4 a 12 millones entre 1999 y 2001. No obstante, el principal problema que plantea a los juristas es el de la seguridad y confidencialidad de la información que circula por la red. Su carácter de red supranancional plantea problemas, que deben ser resueltos con una combinación de técnica y regulación normativa. Este es el problema que intenta solucionar el mecanismo de la firma electrónica.

2. Necesidad de un marco seguro de transmisión de información

La necesidad de un marco seguro de transmisión de la información fue puesta de manifiesto por primera en USA, concretamente en UTAH en 1996. El éxito de esta iniciativa provocó su incorporación al Código de Comercio de USA (Uniform Comercial Code), que estableció las bases para que las relaciones comerciales pudieran desarrollarse en este marco. En 1997, a iniciativa de UNCITRAL se aprobó la Ley Modelo de Comercio Electrónico, que ha servido de base al desarrollo normativo en este ámbito.

En Europa, la necesidad de establecer un marco seguro de comunicaciones vía electrónica se ha puesto de manifiesto en repetidas ocasiones. La Cumbre de Lisboa de Jefes de Estado y de Gobierno de Marzo de 2002, consideró que la armonización del marco jurídico regulador del comercio electrónico y la seguridad en el mismo, era un pilar fundamental para la construcción de la economía de la Unión Europea. El proceso se inicia de modo estable con la aprobación de la Directiva 1999/93 del Parlamento Europeo y del Consejo, por la que se establece un marco jurídico comunitario para la firma electrónica. España, consciente de la necesidad de aprobar un marco jurídico básico regulador de los aspectos más urgentes de la materia, se anticipó a la citada Directiva, y publicó su RD.Ley 14/1999, de 17  de Septiembre. En la actualidad se está desarrollando un nuevo Proyecto, que en principio no va a aportar novedades sustanciales, salvo en lo relativo al DNI electrónico.

Antes de analizar los aspectos más técnicos del funcionamiento de la firma electrónica, creo conveniente aclarar algunos puntos básicos de lo que se entiende por seguridad en las comunicaciones telemáticas. Existen cuatro grandes bloques normativos:

  1. Seguridad Técnica, que permita obtener comunicaciones privadas, auténticas e íntegras Inter.-partes y que garantice que los sites están a salvo de piratas informáticos o «hackers».
  2. Seguridad Jurídica, entendiendo por tal, un marco jurídico regulador de las eventuales responsabilidades que pueden dimanar de conductas o actos ilícitos a través de la red.
  3. Seguridad mercantil o económica, que sería la aplicación del concepto anterior para garantizar un marco seguro de transacciones financieras a través de la red.
  4. Seguridad a los consumidores, evitando el abuso de las grandes empresas de su posición de dominio y la utilización de cláusulas abusivas.

3. El funcionamiento de la firma electrónica

El problema fundamental que plantean las transacciones a través de internet, desde un punto de vista jurídico se puede resumir en cuatro grandes puntos, que han sido puestos de manifiesto por numerosos expertos en la materia: AUTENTICIDAD; INTEGRIDAD;  CONFIDENCIALIDAD y NO REPUDIO.

La INTEGRIDAD, hace referencia al hecho de que la información no pueda ser manipulada en el proceso de envío. La AUTENTICIDAD, significa que la información sea enviada por quien aparece como emisor y recibida por aquel a quien va dirigida. El NO RECHAZO, viene a asegurar que no se pueda negar la autoría del mensaje enviado. Por último, la CONFIDENCIALIDAD, asegura el secreto de las comunicaciones contenidas en los mensajes.

Para garantizar el cumplimiento de estos cuatro requisitos, se plantearon dos grandes alternativas:

1º.sistemas de criptografría SIMÉTRICA, que obliga a los interlocutores a utilizar la misma clave para encriptar y desencriptar el mensaje, técnica que fue desarrollada por IBM (sistema «DES»), pero que fracasó debido a su inseguridad en cuanto al secreto y confidencialidad de dicha clave. No obstante, este sistema, ha sido el más utilizado históricamente. Dependiendo de la naturaleza de la aplicación utilizada tiene cuatro variantes para su implementación: EBC (Electronic Codebook mode), para mensajes cortos de menos de 64 bits; CBC (Cipher Block Chaining Mode), para mensajes largos; CFB (Cipher Block Feedback) para cifrar bit por bit; y el OFB (Output Feedback mode) análogo al CFB, pero permite evitar la propagación de errores.

La experiencia práctica se ha encargado de poner de manifiesto las carencias de estos sistemas para la transmisión de información de alta de seguridad.

2º.Sistemas de criptografía ASIMÉTRICA, consistentes en la asignación de dos claves, una pública y otra privada, asociadas a un solo interlocutor. Este sistema, parece el más adecuado, para el cumplimiento de los requisitos anteriores, y es el más utilizado en la práctica, bajo la denominación RSA, que se debe a las iniciales de sus creadores (Rivest, Shamir y Adelman), y que es el contemplado en el documento de la ISO (International Standard Organisation),7498-2, de Julio de 1988, que señala la arquitectura de seguridad para proteger las comunicaciones de los usuarios de las redes. Se puede definir como «una cadena de caracteres que se agrega a un archivo digital que hace el mismo papel que la firma convencional que se escribe en un documento de papel ordinario».

El esquema resumido de este sistema se puede resumir en los siguientes pasos:

  1. A cada usuario se le un número entero que funciona como su clave pública.
  2. Cada usuario posee una clave privada que solo él conoce, y que es distinta para cada uno.
  3. Existe un directorio de claves públicas que pueden ser conocidas.
  4. El emisor envía el mensaje con la clave pública del destinatario encriptándola con su clave privada. El destinatario solo podrá abrir el mensaje con la clave pública junto con su clave privada.

El éxito de este sistema se debe a que garantiza la seguridad y confidencialidad de las comunicaciones telemáticas. En otras palabras, la firma basada en RSA, provoca que el contenido del mensaje sea IRREVERSIBLE, ÚNICO e INVARIABLE. Además facilita una perfecta identificación de remitente y destinatario. Esta última función se realiza a través de los llamados «terceros de confianza», que han sido denominados por algún sector de la Doctrina especializada, como «Notarios Electrónicos».

4. Marco jurídico

A continuación adjunto un breve resumen de las principales disposiciones normativas, tanto de Derecho Comunitario, como nacional, acerca de la materia que nos ocupa:

4.1. Unión Europea

1. Directiva 95/46./CE del Parlamento europeo y del Consejo. de 24-X-95, relativa a la protección de las personas fisicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

2. Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15-XII-97 relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las telecomunicaciones

3. Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica

4. Directiva 2000/31/CE. del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico)

4. Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos

4.2. España

1. Lev 26/84 de 19 de julio, general para la defensa de los consumidores y usuarios

2. Ley 7/1996 de 15 de Enero de Ordenación del Comercio Minorista (en particular, el capitulo II («ventas a distancia») del Titulo III).

3. RD 263/96 de 16 de febrero por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del estado

4. Ley 7/1998 de 13 de Abril sobre Condiciones Generales de la Contratación. (en particular, el artículo 5.3)

5. Real Decreto 1906/1999, de 17 de Diciembre que regula la contratación telefónica o electrónica con condiciones generales.

6. Lev 11/1998, de 24 de abril, General de las Telecomunicaciones

7. Real Decreto-Ley 14/1999 de 17 de septiembre, de firma electrónica

8. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

8. Ley de Enjuiciamiento Civil, de 7 de enero de 2000.

9. Orden 21-VII-00 del Ministerio de Fomento, por la que se regula el sistema de asignación de nombres de dominio en Internet bajo el código de pais correspondiente a España (. es)

10. Ley 24/2001 de 27 de diciembre de medidas fiscales, administrativas y de orden social (sección 8ª del capitulo XI)

11. Instrucción 30-12-99 de la DCRN. Presentación de las cuentas anuales en los Registros Mercantiles a través de procedimientos telemáticos.

12. Instrucción de 31-12-99 de la DGRN sobre legalización de libros en los Registros Mercantiles a través de procedimientos telemáticos.

13. Instrucción de 19-10-2000, de la DGRN, sobre el uso de la firma electrónica de los fedatarios públicos.

14. Instrucción DGRN 23-X-2001

01Ene/15

Comentarios al proyecto de ley de validez jurídica de la firma electrónica

Comentarios al proyecto de ley de «validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico»

1.- INTRODUCCION

Conforme al Consejo Europeo Extraordinario de Lisboa de 2000: «La ingente cantidad de información disponible está creando notables oportunidades para su explotación gracias a la puesta a punto de nuevos productos y servicios.

La base de la nueva economía es la transformación de la información digital en valor económico y social, creando nuevas industrias, modificando otras y afectando profundamente la vida de los ciudadanos» (i)  .

En este sentido, nos encontramos inmersos en la denominada Sociedad de la Información, este concepto hace referencia a un paradigma que está produciendo profundos cambios en nuestro mundo al comienzo de este nuevo milenio. Esta transformación está impulsada principalmente por los nuevos medios disponibles para crear y divulgar información mediante tecnologías digitales. Los flujos de información, las comunicaciones y los mecanismos de coordinación se están digitalizando en muchos sectores de la sociedad, proceso que se traduce en la aparición progresiva de nuevas formas de organización social y productiva. (ii)

En este contexto se enmarca el proyecto de ley que regula lo pertinente a la Firma Electrónica, la Firma Digital, los Mensajes de Datos y los Expedientes Electrónicos y que es objeto de análisis en este artículo.

2.- RESEÑA LEGISLATIVA.

El referido proyecto de Ley fue ingresado a la Cámara de Diputados de nuestro país bajo la denominación: «DE VALIDEZ JURÍDICA DE LA FIRMA DIGITAL, LOS MENSAJES DE DATOS Y LOS EXPEDIENTES ELECTRÓNICOS» el 21 de mayo de 2009, siendo aprobado por la referida Cámara el 16 de julio de 2009.

Posteriormente, la Comisión de Legislación, Codificación, Justicia y Trabajo de la Cámara de Senadores realizó modificaciones al proyecto inicial y el 22 de octubre de 2009 el proyecto de Ley fue resuelto con las modificaciones realizadas por el pleno de la Cámara de Senadores, llevando la denominación: «DE VALIDEZ JURIDICA DE LA FIRMA ELECTRONICA, LA FIRMA DIGITAL, LOS MENSAJES DE DATOS Y EL EXPEDIENTE ELECTRONICO».

La entrada a la Cámara de origen con las modificaciones hechas por la Cámara revisora, se produjo el 03 de noviembre de 2009 y el 09 de noviembre de 2009 la Comisión de Legislación y Codificación de la Cámara de Diputados, se ratificó en su sanción original.

Actualmente se encuentra en estudio por parte de la Comisión de Asuntos Constitucionales y por la Comisión de Ciencia y Tecnología de la Cámara de Diputados.

Este proyecto de Ley contiene seis Títulos, algunos de ellos divididos en Secciones. El proyecto de Ley de la Cámara de Diputados consta de 45 artículos, mientras que en el de Senadores cuenta con 47 artículos.

3.- DESARROLLO

Dentro de las innumerables figuras que componen el presente proyecto de ley, resulta pertinente precisar que en esta oportunidad, por la relevancia de los mismos, se enfocarán dos títulos en particular, a saber: el Título Primero: «Disposiciones Generales»; y el Título III: «De la Firma Electrónica».

3.1. TITULO PRIMERO «Disposiciones Generales»

En el título primero de «Disposiciones Generales», se establece el Objeto y ámbito de aplicación, por medio del cual esta ley RECONOCE LA VALIDEZ JURÍDICA de la firma electrónica, los mensajes de datos, el expediente digital y firma digital, y regula la utilización de los mismos, las empresas certificadoras, su habilitación y la prestación de los servicios de certificación. Cabe mencionar que la Comisión de Legislación de la Cámara de Senadores, introdujo una modificación al presente artículo incorporando el reconocimiento de validez jurídica al expediente electrónico, en reemplazo de expediente digital, empleado en el proyecto de origen.

El proyecto contiene una sección dedicada a las definiciones. En este sentido, es importante destacar que las normativas internacionales incluyen a las mismas dentro de sus respectivos cuerpos legales, de tal modo a dejar en claro el alcance de los mismos, entre las que podemos citar a la Ley Modelo de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) 2001 sobre «Firmas Electrónicas» y a la Resolución MERCOSUR nº37/2006 «Reconocimiento de la Eficacia Jurídica del Documento Electrónico, la Firma Electrónica y la Firma Electrónica Avanzada en el ámbito del MERCOSUR».

Por Firma Electrónica, este proyecto de ley establece que es el conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. De ello se puede colegir que la Firma Electrónica posee un grado básico en seguridad en cuanto a la identificación de un signatario en el ambiente virtual.

Con relación a la Firma Digital, se establece que es una firma electrónica certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría.

Resulta interesante poder determinar – a partir de la referida definición – los elementos de la Firma Digital (iii):

a) requerir información de exclusivo conocimiento del firmante, permitiendo su identificación unívoca;

b) ser creada por medios que el firmante pueda mantener bajo su exclusivo control;

c) ser susceptible de verificación por terceros;

d) estar vinculada a estos datos de tal modo que cualquier alteración subsiguiente en los mismos sea detectable; y

e) haber sido creada utilizando un dispositivo de creación de firma técnicamente seguro y confiable y estar basada en un certificado reconocido y válido al momento de la firma.

En este sentido, es de destacar que la Firma Digital tiene la característica de tener un mayor grado de certeza con relación a la Firma Electrónica, atendiendo a los métodos de detección, verificación de identidad del titular y certificación de la integridad del documento y la autoría del mismo. En otras legislaciones, la Firma Digital también es denominada Firma Electrónica Avanzada (Resolución MERCOSUR nº 37/2006).

Mensaje de Datos, por su parte, es toda información generada, enviada, recibida, archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el telegrama, el télex o el telefax, siendo esta enumeración meramente enunciativa y no limitativa.

Se puede constatar las actividades que explicita la normativa en lo relativo a Mensajes de Datos destacando el ambiente virtual en el cual se desarrollan las mismas e indicando a su vez los medios a través de los cuales se realizan. Sobre esto último, es preciso mencionar la acertada redacción con relación a la característica de la enumeración; señalando que es meramente enunciativa y no limitativa y por ende, dejando abierta la posibilidad de incorporaciones a nuevos elementos que cumplan las funciones de medios electrónicos, ópticos o similares, teniendo en cuenta el vertiginoso avance de la tecnología.

Como Documento Digital, el proyecto señala que es un mensaje de datos que representa actos o hechos, con independencia del soporte utilizado para su creación, fijación, almacenamiento, comunicación o archivo.

Un elemento que incluye la definición de Documento Digital que distingue a otras normativas es el de incluir -además de las funciones de fijación, almacenamiento o archivo la función de comunicación (iv).

Como Firmante, es entendida toda persona física o jurídica titular de la firma electrónica o digital. Cuando el titular sea una persona jurídica, ésta es responsable de determinar las personas físicas a quienes se autorizará a administrar los datos de creación de la firma electrónica o digital. Al respecto, cabe señalar que la Comisión de legislación de la Cámara de Senadores, equiparó el concepto de Firmante al de Suscriptor o Signatario.

El titular de una firma electrónica o digital puede ser tanto una persona física como jurídica. El proyecto establece una responsabilidad para las personas jurídicas titulares de una firma electrónica o de una firma digital, cual es la de determinación de personas físicas a quien aquélla autorizará a administrar los datos de creación de las respectivas firmas.

El Remitente de un Mensaje de Datos, es toda persona que haya actuado por su cuenta o en cuyo nombre se haya actuado para enviar o generar un mensaje de datos.

Conforme a la definición anterior de Firmante, se entiende que remitente puede ser tanto una persona física o jurídica, por cuenta propia o en cuyo nombre se haya actuado, verificando que esto último se dé en el contexto de la debida autorización en la administración de los datos de creación.

Con relación al Certificado de Firma Digital, el proyecto de ley establece que es todo mensaje de datos u otro registro emitido por una entidad legalmente habilitada para el efecto y que confirme la vinculación entre el titular de una firma digital y los datos de creación de la misma.

Este elemento es de suma importancia ya que confirma la vinculación entre el titular de una firma digital y los datos de creación de la misma, otorgando de esta manera certeza.

El Prestador de Servicios de Certificación, es la entidad prestadora de servicios de certificación de firmas electrónicas.

De manera acertada, la Comisión de Legislación de la Cámara de Senadores, modificó esta definición atendiendo a que la certificación es realizada sobre firmas digitales y no sobre firmas electrónicas –tal como aparece en el proyecto de origen-, puntualizando que son las firmas digitales las que están certificadas por un prestador acreditado.

Con relación al Expediente Electrónico, se entiende que es la serie ordenada de documentos públicos registrados por vía informática, tendientes a la formación de la voluntad administrativa en un asunto determinado. Esta definición se contextualiza en el marco del Gobierno Electrónico como política pública y con miras a la optimización de la gestión administrativa.

Para la mejor aplicación de esta ley, la misma establece algunos Principios Generales:

  • Neutralidad tecnológica, entendiéndose que ninguna de las disposiciones de la presente Ley podrá ser aplicada de forma que excluya, restrinja o prive de efectos jurídicos a cualquier otro sistema o método técnico conocido o por conocerse que reúna los requisitos establecidos en la presente ley. En este sentido, se da un amplio marco para la aparición de nuevos sistemas o métodos técnicos y que la normativa pueda estar a la altura de las necesidades de la sociedad.
  • Interoperabilidad, este principio se refiere a que las tecnologías utilizadas en la aplicación de la presente Ley se basarán en estándares internacionales. Este punto es de vital importancia atendiendo a la característica propia de las nuevas tecnologías: el de traspasar fronteras y por ende debe estar armonizada y en consonancia con las demás.
  • Interpretación funcional, el último principio establece que los términos técnicos y conceptos utilizados serán interpretados en base a la buena fe de manera que no sean negados efectos jurídicos a un proceso o tecnología utilizado por otro Estado por el sólo hecho de que se le atribuya una nomenclatura diferente a la prevista en la presente Ley.
TITULO TERCERO: De la Firma Electrónica

Este título comprende tres secciones. La primera que trata sobre «La Firma Electrónica»; la segunda que trata sobre «La Firma Digital» y la última referida a «Los Prestadores de Servicios de Certificación».

En la primera Sección se destacan las Obligaciones de los titulares de una firma electrónica ya que los obliga a actuar con diligencia razonable para evitar la utilización no autorizada de sus datos de creación de la firma. Al momento que se emplee un certificado para refrendar la firma electrónica, el titular debe actuar con diligencia razonable para cerciorarse de que todas las declaraciones que haya hecho en relación con su periodo de validez o que hayan de consignarse en él sean exactas y cabales.

El titular de la firma electrónica incurrirá en responsabilidad personal, solidaria e intransferible por el incumplimiento de los requisitos enunciados anteriormente.

En lo relativo a los Efectos del empleo de una firma electrónica; en el caso que se aplique una firma electrónica a un mensaje de datos, este proyecto establece que implica para las partes una presunción de que el mensaje de datos proviene del firmante; y que el firmante aprueba el contenido del mensaje de datos.

Sobre la Validez jurídica de la firma electrónica, en caso de desconocimiento de la misma, corresponde a quien la invoca acreditar su validez.

En lo pertinente a la Revocación de la firma electrónica: la misma pierde todo tipo de valor como firma en los siguientes casos: i) por extinción del plazo de vigencia de la misma; ii) a solicitud del titular de la firma; iii) por fallecimiento del titular o disolución de la persona jurídica que represente, en su caso; iv) por resolución judicial ejecutoriada; y v) por incumplimiento de las obligaciones del usuario establecidas en la presente ley.

Seguidamente, se aborda lo referente a la Firma Digital, señalándose el caso en que la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia. Esta puntualización sobre la validez jurídica de una firma digital es de suma relevancia, atendiendo a que otorga los mismos efectos jurídicos que posee una firma manuscrita.

Pero, también existen algunas exclusiones con relación al uso de la firma digital, ya que se considera que las disposiciones de esta normativa no son aplicables a actos jurídicos de índole personalísimo (v):

a. Disposiciones por causa de muerte,

b. Actos jurídicos del Derecho de Familia y

c. Actos que deban ser instrumentados bajo exigencias o formalidades incompatibles con la utilización de la firma digital.

Para que una Firma Digital sea considerada válida, la misma debe cumplimentar con los siguientes requisitos:

a) Tiempo: haber sido creada durante el período de vigencia de la firma digital.

b) Verificación firmante/firma digital: haber sido debidamente verificada la relación entre el firmante y la firma digital, por la referencia a los datos indicados en el certificado digital, según el procedimiento de verificación correspondiente.

c) Emisión: Que dicho certificado haya sido emitido por una entidad prestadora de servicios de certificación autorizada por la presente ley.

d) Control: los datos de creación de la firma estaban, en el momento de la firma, bajo el control del firmante;

e) Detección en la Firma: es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y

f) Detección en el Mensaje de Datos: es posible detectar cualquier alteración de la información contenida en el mensaje de datos al cual está asociada, que fuera hecha después del momento de la firma.

En lo atinente a los Efectos de su empleo a un mensaje de datos, implica para las partes la presunción de que el mensaje de datos proviene efectivamente del firmante y que el contenido del mensaje de datos no ha sido adulterado desde el momento de la firma y el firmante, a su vez, aprueba el contenido de ese mensaje de datos.

Un requisito importante para que la presunción sea efectiva, es que esa firma digital aplicada a ese mensaje de datos pueda ser efectivamente verificada con el certificado digital respectivo expedido por la prestadora de servicios de firma digital.

Con relación a la vigencia de los efectos mencionados anteriormente para el mensaje de datos al que fuere aplicada una firma digital, la no rmativa establece que es indefinida.

Incluso, cuando con posterioridad a la aplicación de la misma, ésta fuera revocada por cualquiera de los motivos indicados en esta normativa.

Por otra parte, para que una firma digital pueda ser Revocada existen dos supuestos, a saber:

  • Tiempo: por extinción del plazo de vigencia de la firma digital.
  • Prestador de Servicio de Certificación: ya sea por solicitud del titular de la firma; por resolución judicial ejecutoriada; o por incumplimiento de las obligaciones del usuario establecidas en esta normativa.

En la Sección III se establecen pautas para el desarrollo de la actividad de los llamados «prestadores de servicios de certificación».

Los prestadores de servicios de certificación son las personas jurídicas habilitadas por la Autoridad normativa indicada en la presente Ley (que según el proyecto de origen es el Ministerio de Industria y Comercio-MIC-, y según el proyecto de Senadores es el Instituto Nacional de Tecnología y Normalización-INTN-), en base a las disposiciones de la presente Ley así como a las disposiciones del decreto reglamentario correspondiente.

Los requisitos básicos que deben cumplimentar los prestadores para ser habilitados son:

a) garantizar la utilización de un servicio rápido y seguro de guía de usuarios y de un servicio de revocación seguro e inmediato;

b) garantizar que pueda determinarse con precisión la fecha y la hora en que se expidió o revocó un certificado;

c) comprobar debidamente, de conformidad con el Derecho nacional, la identidad y, si procede, cualesquiera atributos específicos de la persona a la que se expide un certificado reconocido;

d) emplear personal que tenga los conocimientos especializados, la experiencia y las cualificaciones necesarias correspondientes a los servicios prestados, en particular: competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma electrónica y familiaridad con los procedimientos de seguridad adecuados; deben poner asimismo en práctica los procedimientos administrativos y de gestión adecuados y conformes a normas reconocidas;

e) utilizar sistemas y productos fiables que se requiera para prestar servicios de certificación y que estén protegidos contra toda alteración y que garanticen la seguridad técnica y criptográfica de los procedimientos con que trabajan;

f) tomar medidas contra la falsificación de certificados y, en caso de que el proveedor de servicios de certificación genere datos de creación de firma, garantizar la confidencialidad durante el proceso de generación de dichos datos;

g) disponer de recursos económicos suficientes para operar de conformidad con lo dispuesto en la presente Ley, en particular para afrontar el riesgo de responsabilidad por daños y perjuicios, pudiendo emplearse para el efecto fianzas, avales, seguros o cualquier otro medio;

h) registrar toda la información pertinente relativa a un certificado reconocido durante un período de tiempo adecuado, en particular para aportar pruebas de certificación en procedimientos judiciales. Esta actividad de registro podrá realizarse por medios electrónicos;

i) no almacenar ni copiar los datos de creación de firma de la persona a la que el proveedor de servicios de certificación ha prestado servicios de asignación de firmas electrónicas;

j) utilizar sistemas fiables para almacenar certificados de forma verificable, de modo que:

  • sólo personas autorizadas puedan hacer anotaciones y modificaciones,
  • pueda comprobarse la autenticidad de la información,
  • los certificados estén a disposición del público para su consulta sólo en los casos en los que se haya obtenido el consentimiento del titular del certificado, y
  • el agente pueda detectar todos los cambios técnicos que pongan en entredicho los requisitos de seguridad mencionados.

k) Demostrar la honestidad de sus representantes legales, administradores y funcionarios a través de certificaciones de antecedentes policiales y judiciales.

Para que un certificado digital sea considerado válido deber ser emitido por una entidad prestadora de servicios de firma digital habilitada conforme a esta normativa y responder a formatos y estándares tecnológicos preestablecidos reconocidos internacionalmente, y contener como mínimo los siguientes datos:

  • Identificación: entre su titular y la entidad que lo emitió.
  • Verificación: respecto de su vigencia o revocación.
  • Información necesaria: para la verificación de la firma.
  • Política de certificación: identificar bajo cuál fue emitida, sobre todo si la misma implica limitación en los fines en que ha de utilizarse o de la responsabilidad que asume el prestador con relación al certificado emitido.

Entre las obligaciones más importantes que poseen los prestadores de Servicios de Certificación se puede citar a las siguientes:

  • Adjudicar una firma digital a quien así lo solicite sin distinciones ni privilegios de ninguna clase, siempre y cuando el solicitante presente los recaudos establecidos al efecto.
  • Actuar con diligencia razonable para cerciorarse de que todas las declaraciones importantes que haya hecho en relación con el ciclo vital del certificado o que estén consignadas en él sean exactas y cabales;
  • Además deberá informar a quien solicita la adjudicación de una firma digital con carácter previo a su emisión las condiciones precisas de utilización de la firma digital, sus características y efectos, forma que garantiza su posible responsabilidad patrimonial. Esa información deberá estar libremente accesible en lenguaje fácilmente comprensible.

La parte pertinente de dicha información estará también disponible para terceros;

  • Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales por él emitidos;
  • Mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación;
  • Publicar en Internet o cualquier otra red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, la lista de firmas digitales vigentes y revocadas, las políticas de certificación, la información relevante de los informes de la última auditoría de que hubiera sido objeto, su manual de procedimientos y toda información que considere pertinente;

Con relación a la Protección de Datos Personales, que se erige en un elemento tutelado por distintas normas de carácter internacional en el área de nuevas tecnologías (CNUDMIMERCOSUR), en esta sección se establece que los datos no podrán ser obtenidos o utilizados para otro fin, sin el consentimiento expreso del titular de los datos.

4.- COMENTARIOS FINALES

El proceso del uso de las Tecnologías de la Información y las Comunicaciones (TICs) para el desarrollo no se debería entender sólo como un fenómeno meramente tecnológico, sino debe analizárselo también desde su dimensión política (desarrollo e interacción igualitaria de sus habitantes). Esta dimensión contiene un componente adicional: la necesidad de expedir una normativa acorde al mencionado objetivo social y político, conjugado en correcto equilibrio con la vertiginosa evolución que es intrínseca a la tecnología.

Este proyecto de Ley DE VALIDEZ JURIDICA DE LA FIRMA ELECTRÓNICA, LA FIRMA DIGITAL, LOS MENSAJES DE DATOS Y EL EXPEDIENTE ELECTRÓNICO, viene a llenar un vacío con relación a las necesidades actuales tanto del sector privado como público, en el orden interno; como también el de acompañar los procesos de integración actuales y estar en armonía con los mismos, en el orden internacional.

Es un avance relevante que se da desde el aspecto legislativo, que deberá ser incorporado y asimilado por la ciudadanía toda como también por el sector de la administración pública para un real y concreto aprovechamiento de las innúmeras ventajas y opciones que nos brinda.

Aún sería necesaria una legislación específica sobre Comercio Electrónico, si bien es cierto que nuestro Código Civil nos brinda las bases para este relacionamiento jurídico, esta nueva forma de Comercio, precisa de nuevos elementos normativos que le proporcionen certeza jurídica, elemento indispensable hoy en día para crear un ambiente de negocios atractivo, creíble y fiable.


(i) Grupo de Estudios en Internet, Comercio Electrónico & Telecomunicaciones e Informática. «Derecho de Internet & Telecomunicaciones». Pág. 05. Legis Editores S.A. Primera Edición 2003. Impreso en Colombia.

(ii) Documento «Los cambios hacia una Sociedad de la Información en América Latina y el Caribe» presentado por la Comisión Económica para América Latina y el Caribe (CEPAL), durante la reunión de Bávaro del 2003.

(iii) MERCOSUR/GMC EXT./RES nº37/2006, artículo 3°, inc. 2.

(iv) Como ejemplo podemos mencionar a la Ley argentina nº25.506/2001 «Ley de Firma Digital», artículo 6° y a la Resolución MERCOSUR nº 37/2006, artículo 3°, inc. 5°.

(v) Puede apreciarse también esta figura en: Ley nº 25.506/2001 «Firma Digital» de Argentina, art. 4°; y en la Ley nº 19.799/2002 «Sobre Documentos Electrónicos, Firma Electrónica y Servicios de Certificación de Dicha Firma» de Chile, art. 3°, inc. a), b) y c).

01Ene/15

Apuntes sobre correo electrónico en la empresa

«Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques»

Declaración Universal de Derechos Humanos, 1948

Dice Nicholas Negroponte, gurú de la tecnología y famoso visionario, que «la intimidad en Internet carece de estado de salud, ya que ésta no existe». Al plantearme el secreto del correo electrónico de los trabajadores como actividad monográfica, es necesario tener en cuenta que la intimidad, y todos sus derechos conexos (libertad, propia imagen, etc..) están en franco retroceso, mas aún después de la crisis del once de Septiembre. Un país, Estados Unidos, locomotora mundial de las nuevas tecnologías, está poniendo en entredicho derechos constitucionales que jamás se habían puesto en duda, al menos en los términos en los que nos los plantearemos a continuación. El secreto de un correo electrónico en una esfera laboral nace ya bastante desdibujado, y es que en el país mas avanzado del mundo, éste secreto, simplemente no existe, consecuencia de la distinta concepción de intimidad entre Europa y Norteamérica. En Europa, la intimidad es un derecho intrínseco a la persona. En Estados Unidos, la intimidad pertenece al estado. Un altísimo porcentaje de empresarios norteamericanos instalan pequeñas aplicaciones en sus redes de ordenadores para espiar no ya sólo el correo, sino toda la actividad del trabajador, sea o no sea este último consciente de ello. Pero nadie protesta: el sentimiento patriótico está por encima de mis asuntos.

Bien es cierto que no hay que ser negativos, porque nuestros dos altos tribunales, Constitucional y Supremo, siempre se han caracterizado por velar por nuestros derechos fundamentales. En cualquier caso, hay que entender estos derechos como un conjunto, es decir, en esta monografía nos plantearemos el secreto de las comunicaciones, pero también el derecho del empresario para que los trabajadores lo usen con la debida diligencia. Hasta comienzos de este año, podríamos decir que los pronunciamientos judiciales sobre esta materia favorecían, de una u otra forma, los intereses del empresario. En éste sentido, se equiparaba el e-mail a la «taquilla» del trabajador. Consecuentemente, era posible su registro para comprobar el posible mal uso, siempre que se hiciera con unas debidas protecciones y garantías. Sin embargo, a raíz de una sentencia del Tribunal Supremo francés, junto con un primer pronunciamiento y acercamiento de nuestro homólogo español, parece que se empieza a tener en cuenta y apostar más por el «secreto de las comunicaciones».

Desde luego, y mas que nunca en este aspecto, hay que buscar un punto medio, pero encontrarlo muchas veces, es casi utópico. Especialmente por la cantidad de situaciones diversas y derechos afectados, todos de suprema importancia, que es preciso proteger. Cuando hablamos del «secreto del correo electrónico en la empresa» no nos referimos a una actividad única. Algo tan sencillo como mandar un email tiene una complejidad interna que creo que es merecedora de explicación, para luego introducirnos en las posibles responsabilidades jurídicas. No puede ser lo mismo mandar un correo electrónico con un dominio propio de la empresa en la que el trabajador presta sus servicios, que hacer esto mismo desde uno de los numerosísimos servicios gratuitos de correo que pueblan la red de redes. En el primer supuesto, el trabajador está comprometiendo el nombre y prestigio de la entidad que defiende, en el segundo solo se compromete él mismo. De la misma forma, cuando nos referimos a la acción de «espiar» el contenido del email de un trabajador, no puede ser lo mismo adentrarnos en datos poco reveladores de la intimidad personal, como puede ser el destinatario del mensaje, o el «subject», donde solo se suelen dar datos generales, que en el cuerpo del mensaje. Idem de ídem, no es lo mismo mandar un email personal al día que hacerlo con una alta frecuencia. Lo único que podemos llegar a tener claro en esto es que el coste para el empresario es realmente despreciable: el empresario no pierde dinero -en términos de uso de la infraestructura empresarial- por el envío de uno o de cuatrocientos correos. Desde la instauración de la tarifa plana -e incluso sin que estuviera esta-, y más teniendo en cuenta las sucesivas conexiones de banda ancha que priman en las actuales estructuras empresariales, mandar un correo tiene un «coste cero» para el empresario. Obviamente, hablar en términos de falta de productividad del trabajador es hablar de la falta de horas que ha dejado de dedicárselas al empresario, y esto si tiene relación directa con el número de correos electrónicos, o la longitud de los mismos.

La complejidad del asunto nos llevará a intentar resolver el problema desde la perspectiva de la ponderación de los derechos que están en juego. Sólo aplicando la cordura, reconociendo que no hay ninguna esfera de impunidad para ninguna de las partes, y que el término «buena fe», una vez más, va a ser imprescindible, podremos llegar buen puerto.

Junto a esto, el estado de la técnica hace que hoy en día, programas de cifrado sean totalmente accesibles para cualquier persona. Utilizando complejos algoritmos de encriptación, cualquier persona, haciendo un par de «clics», puede hacer, literalmente, inaccesible cualquier contenido del email que quiera cifrar. Cabe preguntarse si el trabajador tiene derecho a usar este software o no lo tiene. Actualmente, no hay jurisprudencia que contemplen este extremo.

Considero que, previamente al enfrentamiento y colisión entre estos derechos, debemos de conocer perfectamente los límites de todos ellos. Nos valdremos principalmente de la doctrina del Tribunal Constitucional para saber a que nos referimos exactamente cuando citamos el derecho al honor o ponemos el límite de la «libertad de empresa» a dicho derecho. Posteriormente, los enfrentaremos para conseguir vislumbrar los límites de cada uno de ellos. Adelantamos aquí algo que parecía obvio desde un primer momento y que ya he repetido: no hay derechos absolutos.

El despido en el ámbito laboral es la consecuencia más grave derivado del uso de las llamadas «nuevas tecnologías». Creo que merece una especial atención, apoyándonos en la jurisprudencia mas reciente. La «caja de los truenos» fue despertada por el famoso caso Deutsche Bank en Cataluña, pero ya podemos encontrar pronunciamientos de Tribunales Superiores de Justicia. A ellos nos referiremos

SEGURIDAD EN EL CORREO ELECTRÓNICO

El correo electrónico tiene una imagen sumamente moderna, pero ya cumplió 30 años. En efecto, este sistema de comunicación nació allá por 1971. A diferencia de Edison, su «progenitor» Ray Tomlison no recuerda cuál fue el primer mensaje que se envió o cuál fue su destinatario. «Solo recuerdo que estaba en mayúsculas», dijo Tomlison. Este ingeniero de BBN Technologies diseñó un programa con 200 líneas de código que perfeccionó el software existente creando los buzones electrónicos que conocemos en la actualidad. Otro de los inventos de Tomlison fue la famosa «@», que concibió a fin de asegurarse de que el mensaje llegaría a su destinatario. Para enviar el mensaje se utilizó ARPA Net, la red militar que precedió al Internet que conocemos en la actualidad

Los programas que gestionan el correo se suelen llamar «clientes» porque interactúan directamente con el usuario, permitiendo mandar correo electrónico, pero también leerlo, crearlo, imprimirlo y mucho más, a través de su interfaz gráfico. Los mejores tienen un equilibrio entre potencia y facilidad de uso.

-Las partes de un mensaje

Es de sobra conocido por todos que un correo electrónico se compone principalmente de la dirección del remitente, un asunto o «subject» y el cuerpo del mismo. Este mensaje discurre desde el ordenador cliente hasta su destinatario usando distintos protocolos de comunicación, y «saltando» de máquina en máquina. Jurídicamente, no es lo mismo entrar en el contenido del mensaje que quedarnos en la simple presentación, que realizan los programas clientes (o los correos de tipo webmail) sobre el envío, o recepción (o «cola de envío») de los mensajes. Consecuentemente, para comprobar si un mensaje es idóneo dentro del fin social del empresario, bastaría, en la mayoría de las ocasiones, con mirar el destinatario o el asunto del correo. Obviamente, la entrada en el cuerpo del mensaje es alcanzar un límite que quizás no se debería sobrepasar, si ya se tienen pruebas suficientes sobre el destino del correo en cuestión. Lo contrario, podría suponer una vulneración de los Derechos antes explicados, sobre todo si no se hacen con las garantías suficientes. Desgraciadamente, no demasiados de los pronunciamientos jurisprudenciales que repasaré posteriormente, tienen en cuenta este aspecto

-Dominio de la empresa o dominio genérico

Tema capital, que también determinará un diferente grado de gravedad. Podemos distinguir dos situaciones: si la empresa ha contratado un dominio propio, y ésta permite que sus empleados se valgan de dicho dominio, o si se utiliza uno gratuito o, igualmente, no tiene un nombre relacionado con la entidad. En el primer caso, la gravedad es mayor, porque se puede poner en entredicho a la entidad a la cual el trabajador presta sus servicios. En el segundo, al utilizarse un correo propio -contratado por el trabajador- quien se compromete es la persona en cuestión. En general, si el trabajador tiene una dirección de correo electrónico cuyo nombre de dominio se parezca, o acaso sea, idéntica a la empresa a la que presta sus servicios y ha hecho un mal uso de el, tiene un ámbito de gravedad mas amplio que aquel que ha usado un correo gratuito (tipo hotmail). En primer lugar, el trabajador en el primer caso está usando mas infraestructura empresarial que en el segundo: la contratación de un dominio de Internet es algo que no es gratuito, por contra en el segundo caso si lo es. En segundo lugar, el nombre de la empresa aparece en el primer caso, no así en el segundo. La consecuencia es clara: el trabajador puede incluso contratar productos con cargo a la empresa con fines ilegales o al menos no apropiados. Otro elemento mas a ponderar para determinar la gravedad de los hechos.

-Estructura de red corporativa

Las estructuras de redes empresariales suelen ser bastante complejas, según el siguiente esquema:

Los ordenadores «clientes» se conectan mediante la red entre ellos, y obtienen las aplicaciones necesarias de servidores de ficheros, se conectan a Internet mediante un router, usan servicios web mediante el servidor y se protegen con diversos firewalls. Pero todo esto está controlado desde la posición del administrador, que es una persona con unos privilegios exclusivos para el mantenimiento de toda la red. La consecuencia es que un ordenador cliente envía el correo electrónico desde su máquina y pasa al servidor, para enlazar, mediante el router, con la red de redes. El administrador es consciente, o puede ser consciente, del contenido del correo en cualquier momento: da igual que el correo no se haya mandado, o que se encuentre en el servidor. Y es la persona que tiene mas facilidades -además de formación técnica- para que esto se produzca. Además, los correos mandados siempre dejan rastros, en forma de archivos «logs» que se pueden encontrar en los ordenadores clientes y en el servidor. La intimidad aquí también puede verse empañada, y ahora no estamos hablando del empresario, si no de los exorbitantes poderes que puede tener esta figura, a la que no se le ha dado la suficiente importancia. No he encontrado referencias jurisprudenciales que aborden esta problemática. En mi opinión, puede no haber vulneración si el administrador hace un trabajo equitativo y los datos a los que accede son estrictamente necesarios para la consecución de su trabajo.

-Cifrado

La función inmediata del cifrado es el suministro del servicio de confidencialidad sea de los datos o del flujo de tráfico, pero además es una pieza fundamental para el logro de otros varios servicios. Este mecanismo supone procedimientos y técnicas de gestión de claves, capaces de generarlas y distribuirlas de manera segura a lo largo de la red.

Resulta curioso comprobar como toda la problemática que se plantea podría verse reducida a la nada si el trabajador en cuestión usara herramientas de encriptación (cifrado) para que resultara imposible la lectura de los correos electrónicos que el envía. Con los algoritmos que se usan hoy en día (hasta 512 bits), resultaría virtualmente imposible acceder a un determinado tipo de información con el simple uso de un software, como PGP (http://www.pgp.com).

Básicamente hablando, PGP funciona como un algoritmo del tipo de clave pública o asimétrica. En un sistema de clave pública, cada usuario crea una privada y otra pública. Se puede cifrar un mensaje con la pública y descifrarlo con la privada (no se puede cifrar y descifrar con la misma clave). El usuario difunde la pública, poniéndola a disposición de cualquiera que quiera enviarle un mensaje. Una vez que el mensaje ha sido recibido por el usuario, éste podrá descifrarlo con su clave privada. Es evidente que la privada debe ser mantenida en secreto por el propietario.

El esquema se puede considerar como si fuese un buzón con dos llaves, una para abrir y otra para cerrar. Cualquiera puede introducir un mensaje en el buzón y cerrarlo, pero solamente el propietario podrá abrirlo. Una gran ventaja de éste esquema criptográfico es que, al contrario que los sistemas tradicionales donde la clave de cifrado y descifrado coinciden, no es necesario encontrar un procedimiento seguro para enviarla al recipiente del mensaje.

También permite la opción de «firmar» un mensaje con una firma digital que nadie, ni siquiera el receptor, puede falsificar. Esto resulta especialmente útil, aunque no se cifre el mensaje en sí, porque actúa como certificación de autenticidad, ya que permite comprobar si el mensaje ha sido alterado durante la transmisión. También permite al receptor confirmar que el mensaje ha sido enviado realmente por el remitente (resulta demasiado fácil trucar los encabezamientos de los mensajes de correo electrónico).

PGP es un software gratuito, y la obtención de claves para su uso también. Significa eso que cualquiera tiene acceso a el, y significa también que la «inviolabilidad de hecho» para los mensajes de correo electrónico de los trabajadores es muy fácil de conseguir. La falta de información sobre el correcto funcionamiento del correo electrónico provoca el poco uso de este y otros programas parecidos. En la actualidad, no hay ningún pronunciamiento sobre la legalidad o no del uso por parte de un trabajador de mecanismos de cifrado en sus mensajes de correo electrónico.

-Firma electrónica y certificados digitales

Este mecanismo comprende dos procesos: primero la firma del mensaje y segundo la verificación de la misma. La primera se consigue a partir del propio mensaje, o una transformación precisa del mismo, a firmar, de modo que si éste cambia también lo hace la firma, y de una información privada sólo conocida por el signatario.

El segundo proceso se consigue aplicando a la firma a comprobar una información pública, que aunque es una función matemática de la citada información privada es computacionalmente imposible de obtener de ésta última. Finalmente, el resultado de este proceso se coteja con el mensaje, o la transformación citada del mismo.

Pero para proporcionar plena seguridad jurídica a este mecanismo se precisa hacer intervenir en la comunicación una tercera parte confiable entre los sistemas terminales, la cual garantiza que las claves usadas en la firma digital son efectivamente de aquel que se dice su propietario. Este tercero de confianza se denomina «Autoridad de certificación»

El uso de la firma electrónica, conjuntamente con certificados digitales expedidos por autoridades de certificación competentes, consiguen un alto grado de autentificación en los mensajes de correo electrónico. Recordemos que «La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y los documentos que la incorporen serán admisibles como prueba en juicio, valorándose éstos, según los criterios de apreciación establecidos en las normas procesales»

En el seno de una empresa, puede estar asentado perfectamente el uso de esta tecnología. Sin embargo, en el ámbito que nos interesa ahora mismo, debemos contemplarlo como un elemento de prueba a la hora de identificar al emisor de mensajes. Los programas-cliente de correo actuales, o las cuentas web-mail ya proporcionan suficiente información al respecto para averiguar el destino, uso, fecha, y muchos mas detalles como para razonar el debido o indebido uso de una persona de los medios informáticos de una empresa, sin la necesidad de usar mecanismos como el que estamos contemplando ahora mismo. Aunque por supuesto, ello provocaría un refuerzo cuasi inapelable sobre la autoría del envío de los e-mails. De nuevo, no tenemos constancia de pronunciamientos en sentencias sobre el caso planteado, y es que, a pesar de su gratuidad, se trata de técnicas bastante desconocidas para un usuario medio de la red de redes.

-Soluciones que vulneran la intimidad

Paralelamente a las aplicaciones que protegen la intimidad de un usuario, la parcela contraria contiene programas que la vulneran. Programas como «spector» por ejemplo, generan automáticamente decenas de «snapshots» (imágenes) del pc del empleado para «vislumbrar» cómo trabaja. Por supuesto, permite la lectura de los correos desde la empresa, pero no sólo éso: prácticamente cualquier cosa queda al descubierto. Ideal para «jefes sin escrúpulos». Resulta curioso comprobar como la licencia de uso de éste software queda constreñida a que el adquiriente avise a todas las personas que van a ser «observadas» mientras trabajan. Estamos ante el número 1 en ventas en Estados Unidos, país donde derechos como la intimidad están, francamente, por los suelos.

Y es que son las empresas norteamericanas las que más a menudo recurren a este tipo de soluciones informáticas para asegurar el correcto uso de los medios que ponen a disposición de sus empleados.

Hasta un 55% de las mismas , según los últimos estudios, tienen instalados sistemas de rastreo del correo electrónico, capaces de interceptar y eliminar mensajes que contengan determinadas palabras o expresiones «prohibidas «; marcas competidoras, nombres de directivos de otras compañías, términos escatológicos, sexistas u obscenos, etc.

Las empresas son conscientes de que la utilización del e-mail y de Internet, trae consigo grandes beneficios, que repercuten en un aumento de la productividad, pero que utilizados de forma descontrolada o indebida producen un efecto contrario, no deseado.

Una vez más se manifiesta el choque entre los intereses de las empresas y el derecho a la intimidad en sus comunicaciones de los empleados a su cargo.

De igual forma, hay que señalar que en una red privada -configuración usual en el seno de una empresa de tamaño medio- la privacidad también se ve atenuada por la propia estructura de la red. En ella, la figura del administrador de la red, puede poseer facultades exorbitantes e incluso desconocidas para los trabajadores. Entre ellas, puede estar el acceso a los cuerpos de los mensajes del correo electrónico, si no están protegidos con contraseñas o por cualquier otro mecanismo.

PROTECCION DE DATOS

Con relación a la normativa de protección de datos (tanto la ley como el reglamento de seguridad), el correo electrónico puede plantear una gran cantidad de cuestiones diversas. El empresario es susceptible de realizar ficheros que contengan la dirección electrónica de sus trabajadores, puede venderlos o cederlos. Una empresa recibe una gran cantidad de correos electrónicos con currículums solicitando establecer una relación de trabajo con el empresario. ¿Qué ocurre en este caso?

Precisamente, una de las consultas mas interesantes que se realizó a la Agencia de Protección de datos se refería a si la venta o cesión de un fichero que contenía direcciones de correo electrónico debía ser considerada cesión de datos a los efectos de la ley, lo que exigía analizar si dichas direcciones tenían la consideración de datos de carácter personal.

Apreció la Agencia que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la de otra persona. Esta combinación puede tener significado en sí misma o carecer de él pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta al titular.

Por lo anterior, la Agencia analizó distintos supuestos atendiendo al grado de identificación de la dirección del correo con el titular de la cuenta de dicho correo. Si la dirección contiene información acerca de su titular, pudiendo esta información referirse a su nombre, apellidos, empresa…aparezcan o no estos extremos en la denominación utilizada, la dirección identifica al titular por lo que debe considerarse dato de carácter personal. Si la dirección no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una dirección abstracta o a una simple combinación alfanumérica sin significado alguno), en principio, no sería un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto de tal forma que podrá procederse a la identificación de su titular mediante la consulta del servidor en que se gestione dicho dominio sin necesidad de un esfuerzo desproporcionado por parte de quien lleve a cabo dicha identificación. Concluye la Agencia que también en este caso la dirección se encuentra amparada en el régimen de la ley. Se concluye que la cesión de un listado de direcciones está sujeta al artículo 11 en materia de cesiones, sin que la mera publicación en Internet de un directorio de correo electrónico puede ser considerada como circunstancia que convierte los datos en accesibles al público toda vez que dicha inclusión supone un tratamiento que deba haber sido efectuado recabando el consentimiento de los afectados.

La conclusión final es que se considera a todos los efectos una dirección de correo electrónico como «dato» dentro de la L.O.P.D., lo que implica que, si existe un fichero que contengan dichos datos, el empresario está obligado a realizar muchas tareas: debe darlo de alta, debe establecer las medidas de seguridad oportunas según el reglamento de medidas de seguridad, a la vez que respetar los principios de la ley.

Contenido del derecho al honor, intimidad y propia imagen

Nuestra Carta Magna habla de tres derechos distintos. Vamos a intentar ahondar en ellos, a través de la doctrina mas autorizada al efecto: la del Tribunal Constitucional.

En la sentencia 231/1988, caso Paquirri, se afirma que «Los derechos a la imagen y a la intimidad personal y familiar reconocidos en el art. 18 de la C.E. aparecen como derechos fundamentales estrictamente vinculados a la propia personalidad, derivados sin duda de la «dignidad de la persona», que reconoce el art. 10 de la C.E., y que implican la existencia de un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario -según las pautas de nuestra cultura- para mantener una calidad mínima de la vida humana. Se muestran así esos derechos como personalísimos y ligados a la misma existencia del individuo.»

La Constitución Española garantiza en su Título I éste derecho junto a los de intimidad personal y familiar hacia todos los ciudadanos sin excepción.

El honor es aquel derecho que tiene toda persona a su buena imagen, nombre y reputación, de tal forma que todos tenemos derecho a que se nos respete, dentro de nuestra esfera personal cualquiera que sea nuestra trayectoria vital, siendo un derecho único e irrenunciable propio de todo ser humano.

Sobre el contenido al derecho a la intimidad, en cuanto derivación de la dignidad de la persona, implica «la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana «. Además, el derecho a la intimidad no es absoluto, «como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho «.

La intimidad es la esfera personal de cada uno, en donde residen los valores humanos y personales, siendo un derecho fundamental para el desarrollo de la persona y de la familia además de ser un ámbito reservado a la curiosidad de los demás contra intromisiones e indiscreciones ajenas. La intimidad se ha protegido siempre de forma limitada. Por ejemplo, la violación de la intimidad domiciliaria, se centrará en aquellos casos en los que se produzcan registros no permitidos y vejaciones injustas ocasionados por los mismos. No sólo se centrará dentro de este ámbito sino que además también afecta a otros campos como son las violaciones de la correspondencia y comunicaciones personales, intimidad laboral, obtención de datos relativos a la intimidad personal, familiar, o de terceros pertenecientes a la esfera de la familia. De tal forma que la intimidad es aquella esfera personal y privada que contienen comportamientos, acciones y expresiones que el sujeto desea que no lleguen al conocimiento público. Todo lo expuesto anteriormente requiere una protección jurídica con el fin de que se respete la vida privada y familiar garantizando a la persona esa esfera o zona reservada en donde transcurren las circunstancias de la vida personal, nacimiento de hijos, embarazos, enfermedades, desengaños amorosos, aspectos profesionales, en definitiva, cosas que ocurren en la vida de toda persona. En el caso de los personajes públicos, esta intimidad debe de estar mayormente protegida, al estar dentro del panorama de personajes conocidos mas o menos por el resto de la sociedad, porque comentarios o noticias realizadas de forma injuriosa pueden gravemente perjudicar su imagen pública creando una imagen irreal y distorsionada de la realidad reflejada desde un punto de vista subjetivo. Puede ocurrir que lo publicado sea totalmente verídico pero no por ello se puede permitir la intromisión de cualquier persona pues violaría la intimidad que todo ser humano tiene y necesita que respeten los demás.

Por último, el derecho a la propia imagen, consagrado en el art. 18.1 CE junto con los derechos a la intimidad personal y familiar y al honor, contribuye a preservar la dignidad de la persona (art. 10.1 CE), salvaguardando una esfera de propia reserva personal, frente a intromisiones ilegítimas provenientes de terceros. Sólo adquiere así su pleno sentido cuando se le enmarca en la salvaguardia de «un ámbito propio y reservado frente a la acción y conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana «. Y en esta línea, la Ley Orgánica 1/1982 (art. 2 en conexión con el 7, aps. 5 y 6, y art. 8.2) estructura los límites del derecho a la propia imagen en torno a dos ejes: la esfera reservada que la propia persona haya salvaguardado para sí y su familia conforme a los usos sociales; y, de otra parte, la relevancia o el interés público de la persona cuya imagen se reproduce o de los hechos en que ésta participa, como protagonista o como elemento accesorio, siendo ésta una excepción a la regla general citada en primer lugar, que hace correr paralelo el derecho a la propia imagen con la esfera privada guardada para sí por su titular.

El secreto de las comunicaciones

Los pronunciamientos judiciales que veremos mas adelante equiparan el correo electrónico a una especie de «taquilla virtual», a la que, cumpliéndose ciertas garantías, se puede acceder. Sin embargo, parece que últimamente se va a empezar a asimilar éste a la de un sobre cerrado o carta, con todo lo que ello conlleva. Así, en un caso de narcotráfico (con pronunciamiento de 7 de Abril del 2002), el Tribunal pidió una reforma legislativa. Se reclamó que la legislación se adapte para incorporar los avances de las nuevas tecnologías y que se amplíe el concepto jurídico de «carta» con el fin de proteger el derecho al secreto de las comunicaciones. Así «los avances tecnológicos que en los últimos tiempos se han producido en el ámbito de las telecomunicaciones, especialmente en conexión con el uso de la informática, hacen necesario un nuevo entendimiento del concepto de comunicación y del objeto de protección del derecho fundamental, que extienda la protección a esos nuevos ámbitos». Esto va a provocar un vuelco total en la concepción que tenemos de «secreto del correo electrónico», ya que sólo mediante las garantías judiciales que hoy en día se aplican a las escuchas telefónicas -por poner un ejemplo- se podrá saber el contenido de un e-mail. Pero meses antes, en Octubre del 2001, ya había tenido ocasión de pronunciarse el Tribunal Supremo francés: «Un empresario no puede tener conocimiento de los mensajes personales enviados por un trabajador y recibidos por éste a través de un útil informático puesto a su disposición para su trabajo» sin violar el secreto de correspondencia, aunque el patrón «haya prohibido la utilización no profesional del ordenador».

En esta sentencia se refiere al caso que enfrenta a la empresa Nikon France con uno de sus antiguos trabajadores, despedido en Junio de 1995 por una falta grave por pasar gran parte de su tiempo laboral realizando asuntos propios y utilizando para ello los métodos informáticos puestos a su disposición sólo para fines laborales.
Nikon presentó, como prueba, los múltiples ficheros que aparecían en el dossier «Personal» que este ingeniero había abierto en su ordenador.
El caso llegó hasta el Supremo, después de que en Marzo de 1999 el Tribunal de Apelaciones de París confirmara el despido del trabajador. Ya digo que estos dos primeros pronunciamientos altos tribunales europeos cambiarán, y de hecho ya lo están haciendo, la doctrina sobre el secreto del correo electrónico en el trabajo. En las próximas líneas, hago un repaso sobre lo que implica el secreto de las comunicaciones.

La Constitución, al reconocer y proteger el secreto de las comunicaciones está consagrando implícitamente la libertad de las mismas. Libertad que se erige así como bien constitucional protegido y que se ve conculcada tanto por la interceptación del mensaje, en sentido estricto, como por el simple conocimiento antijurídico del mismo, y cuya protección no se limita sólo al contenido de la comunicación.
La norma constitucional se dirige a garantizar la impermeabilidad de la comunicación frente a terceros ajenos a la misma, sea cual sea su contenido. El concepto de secreto que maneja el texto constitucional es, pues, formal. Se presume que el contenido de la comunicación es secreto para todos aquellos que no participan en la misma. No ocurre así con los interlocutores a quienes no se extiende la imposición absoluta e indiferenciada del secreto. A aquellos cabe exigir un deber de reserva.

En definitiva, cuando alguien graba una conversación ajena vulnera el derecho. Si lo hace uno de los comunicantes no vulnera, por esta sola conducta, el citado precepto. En este orden de cosas, la única intervención legítima de las comunicaciones ha de ser autorizada por resolución judicial. Resolución que, en todo caso, ha de ser específica y razonada y que, en cuanto supone una injerencia sustancial en el ámbito de la esfera personal, ha de otorgarse conforme al principio de legalidad y al principio de proporcionalidad. Bien, esto hoy en día no se hace y no se aplica al envío de correos electrónicos por parte de un trabajador. La doctrina ha ido construyendo una serie de garantías -que examinaremos más adelante- para acceder al contenido de estos correos, sin una resolución judicial. Se han ido matizando los derechos al entrar en contacto con otros, para que el empresario pueda acceder a esos correos, y toda la jurisprudencia que mas adelante tocaremos así lo corrobora. En un ámbito laboral, tus comunicaciones pueden ser perfectamente violadas sin antes haber acudido a un juez a que te permita dicho acceso. Además, como veremos a continuación, tenemos un delito perfectamente tipificado en el Código Penal que no tiene aplicación en el trabajo, al menos hasta el momento. La pregunta que cabe hacerse es: ¿está justificado que, con la excusa del ámbito laboral, el empresario, aún con las garantías que se construyan, pueda acceder al contenido sustantivo de un correo electrónico? Y por supuesto, la otra: ¿Puede un trabajador, amparado en el «secreto de las comunicaciones» y en el delito tipificado en el Código Penal mandar cuantos correos quiera ya que le protege este derecho fundamental? Obviamente, tendremos que proceder a hallar un punto intermedio. Eso quedará examinado al final. Pasamos ahora a seguir desglosando la doctrina mas autorizada sobre el «secreto de las comunicaciones».

El Titulo X del Libro II, bajo la rúbrica «Delitos contra la intimidad», el derecho a la propia imagen y la inviolabilidad del domicilio trata en el primer capitulo, arts. 197 a 201, «Del descubrimiento y revelación de secretos», y en el segundo, arts. 202 a 204, «Del allanamiento de morada, domicilio de personas jurídicas y establecimientos abiertos al publico».

Por secreto podemos entender todo lo que una persona o grupo reducido cuidadosamente tiene reservado y oculto, en tanto la intimidad, como señala Bajo, y en el mismo sentido Jorge Barreiro, es el «ámbito personal donde cada uno, preservado del mundo exterior, encuentra las posibilidades de desarrollo y fomento de su personalidad», estando considerada como derecho fundamental en el articulo 18.1 de la Constitución. En relación con tal intimidad, los secretos protegidos son los de tipo personal, salvo el supuesto del art. 200, excluyéndose los secretos de empresa, a que se refieren los arts. 278 a 280. En el apartado 1 del art. 197, en que se refunden, con modernizado contenido, los arts. 497 y 497 bis del Código anterior, se describe el tipo básico, en que es castigado, con penas de prisión y multa, «El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, mensajes de correo electrónico..etc, etc».

El derecho del empresario: la libertad de empresa del artículo 38 de la Constitución Española.

El principio de la libre empresa reflejado en el 38 de la Constitución es fundamental, ya que a éste principio le es connatural el principio de la libre competencia. La libertad de empresa es uno de los principios neocapitalistas. Conjuntamente existen otros: derecho a la libre elección de profesión, derecho de la propiedad privada y medios de producción y derecho de fundación y asociación para la realización y explotación de actividades económicas.

El principio de la libertad de empresa supone una doble vertiente:

1. Los empresarios son libres de crear y dirigir las condiciones de desarrollo de su actividad pudiendo utilizar todos los medios oportunos para afirmarse en el mercado: libertad de adquirir factores de producción, etc. Pero con un límite impuesto que se sobrepasa si el ejercicio de este derecho supusiere una infracción en el fin social. Esto también tiene su aspecto negativo, pues haciendo uso de su libertad el empresario puede ocasionar un daño a un competidor.

2. Los poderes públicos deben garantizar que es el mercado el que regula la ley de oferta y demanda, quien mediante la fuerza de las dos magnitudes regula y fija los precios y otras condiciones de los bienes y servicios. Una vez más se impone un límite, que será el respeto a lo establecido en la Constitución.

Límites de la libertad de empresa.

1. Reserva al sector público: el Estado, por ley, puede reservarse determinadas materias siempre que sean esenciales e indemnizando del perjuicio que ocasione esta reserva por parte del Estado. Se podrá hacer cuando se cumpla un fin social de interés general. Por ejemplo Telefónica.

2. Expropiación: el Estado puede privar a los empresarios de la titularidad de sus empresas con el requisito de que se indemnice a los propietarios y siempre que así lo exija el interés social general .

3. Intervención de empresas: parecido a la expropiación. No se produce modificación ni pérdida de la titularidad por parte del empresario, sino que el Estado pasa a tener poder de control sobre el órgano de decisión de la empresa, que se encuentra en una situación crítica, para poder reflotarla. Por ejemplo Banesto.

El despido por uso de correo electrónico e Internet

Podemos hablar de dos motivos por los que se podría legitimar el despido por uso del correo electrónico e Internet: la trasgresión de la buena fe y el abuso de confianza, además de la indisciplina y desobediencia. Ambos extremos están recogidos en los artículos 54.2 d) y b) del Estatuto de los Trabajadores, respectivamente. Existen seis causas pero son esas dos las que se acercan mas a los supuestos de esta monografía. El resultado es que el empresario puede acogerse a cualquiera de las dos.

Así, si el empresario ha emitido órdenes por medio de comunicaciones hacia los trabajadores, advirtiéndoles que los equipos informáticos sólo pueden ser utilizados para trabajar y no para uso particular y estos desobedecieran, estarían incurriendo en causa de despido.

Vamos a tratar la extraordinariamente amplia jurisprudencia que hay sobre el tema, no sobre el correo electrónico en sí, pero si en cuanto a cuestiones conexas. Intentaremos establecer, al mismo tiempo, paralelismos sobre otras casos para luego extrapolarlos al tema que estamos estudiando. Adelantamos algo a continuación:

Por ejemplo, es motivo de indisciplina que el trabajador se negare al registro y por ello podría ser causa de despido procedente, según la sentencia del Tribunal Supremo de 28 de Junio de 1990

También por motivo de indisciplina es considerado el despido procedente de un trabajador que usó el correo electrónico, a pesar de que habían sido todos advertidos por la empresa que no estaba autorizado el uso para motivos ajenos a la empresa. El Tribunal dice que tal advertencia era innecesaria porque el trabajador debe cumplir sus obligaciones de acuerdo con la buena fe, lo que excluye actividades ajenas al puesto de trabajo. Esta sentencia del Tribunal superior de Justicia de Cataluña de 5 de Julio de 2000 la examinaremos más adelante a propósito del correo electrónico.

Los «logs» de acceso del ordenador pueden servir de prueba para esclarecer los hechos enjuiciados. Ello es deducible del pronunciamiento de el Tribunal Superior de Justicia de Madrid, en sentencia de 16 de Octubre de 1998 . Como prueba documental es perfectamente esgrimible: fue el caso por el que un trabajador usó internet en horas de trabajo para asuntos «poco procedentes» con su trabajo, como compras de material pornográfico.

En muchas ocasiones, el hecho de que un trabajador de una determinada empresa tenga como misión específica el «rastreo» de la red para búsqueda -como dice el pronunciamiento al que ahora nos referimos- de nuevos «productos y tendencias», no cambia lo anteriormente estipulado. En Sentencia del Tribunal Superior de Justicia de Cataluña, de fecha 29 de Enero de 2001 , se declara despido procedente a la afectada una trabajadora que tenía encomendada dicha misión. La trabajadora accedía a páginas de ocio.

Además, si ya no sólo el trabajador se dedica a navegar sino que pasa a tener una conducta mas o menos activa en la red, pasamos ya a un nivel superior: el abuso de la confianza. En sentido parecido se pronunció la sentencia del Tribunal Superior de Justicia de Murcia de 15 de Junio de 1999 en que un trabajador utilizó los servicios informáticos de la Empresa para cuestiones particulares e incluso poniendo en Internet una dirección de correo que correspondía al ordenador de la oficina comercial de la empresa.

Podríamos hacer un paralelismo sobre el uso particular y abusivo del teléfono fijo y el móvil, que podríamos denominar similar, pues se utiliza aprovechando medios de la empresa y durante el tiempo de trabajo, para asuntos particulares.

Por ello la similitud de la escena hace que puedan ser aplicables al caso de navegación por la red. Veamos algunas sentencias al efecto:

Sentencias como: Tribunal Superior de Justicia de Galicia de 26 de Septiembre de 2000 o la del Tribunal Superior de Justicia de Cataluña de 11 de Marzo de 1999 . En la primera, se califica de procedente el despido del trabajador que en 22 días hizo 48 llamadas particulares a otra empresa, de la que era administrador y que era competidora de la actual, por trasgresión de la buena fe contractual y abuso de confianza. En la segunda, se califica de procedente el despido del trabajador que había hecho 388 llamadas en 10 meses y había sido advertido por escrito, y además la empresa comunicó a los trabajadores la política de reducción de costes, entre ellos el teléfono, y transcurrido un tiempo reincide en el uso abusivo del mismo
Hemos examinado jurisprudencia del uso abusivo de Internet y de las llamadas telefónicas. Examinemos ahora el caso concreto del correo electrónico.

Se pronunció el Tribunal Superior de Justicia de Cataluña en sentencia de 5 de Julio de 2000 en el que en un caso dos trabajadores fueron despedidos por enviar correos electrónicos, durante un mes y medio, a dos compañeras. Dichos correos eran claramente obscenos, y en esta empresa se había comunicado a los trabajadores que no estaba autorizado el uso de los medios informáticos para asuntos ajenos a la empresa. Es decir, había ese aviso previo que antes he señalado, en el sentido de que refuerza la culpabilidad del trabajador. Aunque claro está, esto no es concluyente. Precísamente en esta sentencia, el Tribunal considera innecesario la advertencia de la empresa de no poder usar particularmente el sistema informático, pues de acuerdo con el art. 5 a) ET, obliga a los trabajadores a cumplir con sus obligaciones, entre los que está excluida la realización de actividades ajenas al puesto de trabajo en el horario laboral. La sentencia no considera acoso sexual, ni comportamiento obsceno y depreciativo tales correos, pero sí son motivo de transgresión de la buena fe y abuso de confianza, por realizar actividades ajenas en el puesto de trabajo y por desobedecer las órdenes de la empresa de no usar los medios informáticos para uso particular. Por tales motivos los despidos son procedentes.

Pero ha sido la sentencia del Tribunal Superior de Justicia de Cataluña de 14 de Noviembre de 2000 la que salió por primera vez a los medios de comunicación. La examinaremos con detenimiento.

En éste supuesto el despedido, afiliado a sindicato, con 30 años de antigüedad, envió 140 correos electrónicos a 298 destinatarios, en un mes y medio, mediante los ordenadores de la empresa, con mensajes humorísticos, sexistas e incluso obscenos, con coste económico escaso de tales envíos. Los fundamentos principales de este pronunciamiento son los siguientes: «…dichos mensajes, ajenos a la prestación de servicios (de naturaleza obscena, sexista y humorística), se remitieron en horario laboral; cuando es así que la empresa demandada sólo permite utilizar el referido sistema de comunicación por motivos de trabajo. Concurre así un acreditado incumplimiento laboral del trabajador sancionado, que tanto por su contenido como por su reiteración en el tiempo, resulta expresivo de una entidad disciplinaria suficiente como para revestir de razonabilidad a la reacción empresarial; no pudiendo, por ello enmarcarse su decisión en motivaciones ajenas a las propias que disciplinan la relación de trabajo. Nuestra doctrina jurisprudencial ha venido señalando [en aplicación del art. 54.2 d) ET] cómo esta causa de despido comprende, dentro de la rúbrica general de transgresión de la buena fe contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe que el contrato de trabajo impone al trabajador (STS 27 Octubre 1982), lo que abarca todo el sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones jurídicas con los demás y supone, en definitiva, obrar de acuerdo con las reglas naturales y de rectitud conforme a los criterios morales y sociales imperantes en cada momento histórico (STS 8 Mayo 1984); debiendo estarse para la valoración de la conducta que la empresa considera contraria a este deber, a la entidad del cargo de la persona que cometió la falta y sus circunstancias personales (STS 20 Octubre 1983); pero sin que se requiera para justificar el despido que el trabajador haya conseguido un lucro personal, ni ser exigible que tenga una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que el operario, con intención dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implícitos en toda prestación de servicios, que debe observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en él depositada (STS 16 Mayo 1985). En el presente supuesto, la naturaleza y características del ilícito proceder descrito suponen una clara infracción del deber de lealtad laboral que justifica la decisión empresarial de extinguir el contrato de trabajo con base en el citado art. 54.2 d), al haber utilizado el trabajador los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los laborales (contraviniendo así con independencia de su concreto coste económico temporal un deber básico que, además de inherente a las reglas de buena fe y diligencia que han de presidir las relaciones de trabajo ex art. 5 a), parece explicitado en el hecho 11) y comprometiendo la actividad laboral de otros productores. Como señala la STSJ de Murcia 15 Junio 1999 (…) por razones elementales de orden lógico y de buena fe, un trabajador no puede introducir datos ajenos a la empresa en un ordenador de la misma, sin expresa autorización de ésta, pues todos los instrumentos están puestos a su exclusivo servicio…».

El Correo electrónico para usos sindicales

¿Qué ocurre cuando se usa el correo electrónico sin tanta desproporción? ¿Y qué ocurre cuando se usa para asuntos sindicales? El pronunciamiento de la Audiencia Nacional de 6 de Febrero de 2001 intenta aclarar el supuesto. Se había notificado a los trabajadores que el uso particular del correo electrónico era «inapropiado y podría configurar falta laboral». Y advertía del uso masivo de correos que podía ser sancionable. Pero también por la empresa se estimulaba el uso del correo electrónico, para evitar las cartas y el teléfono, con lo que tenemos un elemento que de alguna forma puede contrarrestar la mala fe de los empleados. Finalmente, la sentencia reconoce a los trabajadores su derecho a transmitir noticias de interés sindical para sus afiliados, pero siempre dentro de los cauces de la normalidad. Precisamente porque el uso de internet, entre otros factores, está plenamente extendido en la empresa, y porque supone prácticamente un «coste cero» para el empresario.

Sin embargo, cuando la mala fe en el uso del correo sindical está acreditada, las cosas se vuelven distintas. Para muestra, la sentencia del Juzgado de lo Social nº 25 de Madrid en sentencia de 13 de Octubre de 2000 : «…la evolución tecnológica permite el empleo de medios más sofisticados, rápidos, útiles y directos, que el tradicional tablón o la no menos habitual hoja informativa expuesta en el mismo y/o entregada en mano, de tal manera que en aras a satisfacer ese derecho, no pueden existir impedimentos legales para utilizar otros medios que busquen esa misma finalidad y con las características ya expuestas, aunque, lógicamente, su empleo deba adaptarse a sus particularidades y condiciones, en este caso el correo electrónico. Sin ánimo de ser exhaustivo entendemos que ese uso ha de tener en cuenta los siguientes parámetros:

1. Deben tener acceso los mismos que normalmente ejercitan tal derecho en los tablones de anuncios, es decir los representantes unitarios, sindicales y grupos de trabajadores que tengan cierta cohesión. Por tanto, no puede estar limitado su ejercicio al Presidente de la representación unitaria, como alega la empresa.

2. Respecto a la libertad de expresión y a su vez a las limitaciones que tiene ese derecho en el ámbito laboral.

3. Tampoco, en principio, pueden establecerse restricciones en orden a su difusión, ya sea geográfica, ya de otro tipo, con la excusa de su falta de interés para ciertos trabajadores, pues como toda información, es el destinatario el que voluntariamente ha de discriminarla. Sin embargo, no se debe sobrepasar el marco de lo que es la empresa, pues, también en principio, esa información es ajena a terceros, problemas que no se pueden dar en la empresa hoy demandada al ser interno su correo electrónico.

4. Las comunicaciones deben salvaguardar el sigilo profesional que establece el art. 65.2 ET.

5. En aquellos supuestos en los que su utilización deba compatibilizarse con lo que es la actividad empresarial propiamente dicha, como es el supuesto que nos ocupa, debe subordinarse a la misma, en situaciones especialmente conflictiva y en las que estén en juego derechos fundamentales, como por ejemplo el de huelga, aunque han de evitarse interpretaciones abusivas sobre tal subordinación y que en la práctica impidan su ejercicio.

Se ha de rechazar que la utilización sindical del correo electrónico deba configurarse como responsabilidad privativa del que nominativamente lo insta, y más si se tiene en cuenta que el origen de todo lo actuado es una decisión de la Sección Sindical de CC.OO., que además tiene importante representación en el Comité de Empresa de esta Comunidad, siendo, por tanto, el demandante mero ejecutor de lo allí previamente acordado. En ese mismo sentido, se ha de recordar todo lo expuesto en el anterior fundamento de derecho, sobre la posibilidad que han de tener los representantes unitarios y/o sindicales para utilizar ciertos medios que sirven para informar a sus representados, por lo que se rechaza cualquier utilización patrimonial y particular de este sistema electrónico de comunicación.

No obstante lo anterior, ello no es óbice para que se reconozca que, con todas las atenuantes que se quiera, la actuación del actor es ilícita desde el punto de vista laboral, ya que una vez que solicita permiso para utilizar el correo electrónico y mientras no le sea dado, lo lógico sería esperar a una contestación definitiva, o extender su reivindicación a niveles más altos, y, en último caso, utilizar los medios legales que a su alcance tiene, aunque en este último supuesto tampoco se ha de olvidar que existe cierta premura a la hora de informar de algunos temas a los trabajadores. Pero, con todo, lo que no tiene justificación es que engañe a dos subencargados para conseguir ésta finalidad, aunque en principio sea lícita y esto es lo que aquí exclusivamente se debe sancionar.

En consecuencia y utilizando el cauce disciplinario que la propia empresa enuncia, se ha de considerar que su actuación no puede ir más allá de una falta leve, vistas las circunstancias reiteradamente invocadas, de tal manera que en consonancia al art. 68.1, la suspensión de empleo que se autoriza a imponerle no puede superar los tres días».

01Ene/14

Marco legal en la seguridad de la información

Marco legal en la seguridad de la información

La seguridad de la información es un concepto que abarca un conjunto de normas, que en muchas ocasiones de forma voluntaria, se adhiere una organización con el fin de mejorar los procesos y garantizar un mayor nivel de protección, minimizando y conociendo los riesgos con los que se puede encontrar.

No obstante, existen diferentes leyes que de una forma u otra, complementan el concepto general de seguridad, además de tratarse de normas de obligado cumplimiento. Van desde la conocida ley de protección de datos o ley de acceso electrónico a los servicios públicos, hasta diferentes regulaciones sectoriales que pueden afectar a diferentes ámbitos de negocio. De esta forma vamos a repasar de forma general aquellas normas que debe considerar cualquier organización:

La normativa española en materia de protección de datos se establece en la Ley Orgánica 15/1999, y viene regulada por el Real Decreto 1720/2007, cuyo objetivo es plantear un marco de actuación en la empresa en torno a garantizar y proteger el tratamiento de datos personales, estableciendo una serie de medidas de seguridad tanto para ficheros automatizados, como en papel.

De forma complementaria a esta normativa, y compartiendo un mismo órgano regulador (la Agencia Española de Protección de Datos), se establece la Ley 34/2002, de servicios de la sociedad de la información y comercio electrónico. Su objeto es la regulación de las obligaciones de los prestadores de servicios en Internet, como por ejemplo la obligatoriedad de disponer de un Aviso Legal, así como la regulación de las comunicaciones comerciales por vía electrónica.

El Real Decreto 1/1996 establece la correspondencia de una obra con su autor, a través de una serie de derechos morales y de explotación con objeto de proteger el conocimiento. La propiedad intelectual tiene como relevante en el ámbito de la seguridad la obligación de contar con software original en la organización, ya sea propietario o libre, a través de una licencia de uso.

Aunque en la mayoría de las legislaciones internacionales se tratan de forma conjunta, la legislación española separa la propiedad industrial de la intelectual, regulándose a través de la Ley 17/2001 y cuyo fin es velar por los derechos sobre marcas y nombres comerciales. El organismo que se encarga de velar por esta norma es la Oficina de Patentes y Marcas, cuyo registro, de consulta pública, garantiza su eficacia.

Con el objeto de garantizar a todos los ciudadanos un servicio mínimo común en cuanto a condiciones de igualdad y precio, se aprobó la Ley 32/2003 General de Telecomunicaciones. Igualmente tiene como objeto esta normativa fomentar la competencia, promover el desarrollo del sector, gestionar el uso de los recursos en este ámbito y promover un mercado común europeo.

La firma electrónica en nuestro país se regula por la Ley 59/2003, cuyo fin es garantizar su eficacia jurídica y la prestación de servicios de certificación. De esta forma la firma electrónica adquiere un mismo valor que la firma manuscrita y su utilización debe quedar debidamente controlada, siendo un medio de identificación real cuya aplicación puede extenderse actualmente a la mayoría de las gestiones.

El reconocimiento del derecho de los ciudadanos a relacionarse electrónicamente con las administraciones públicas nace con la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, que permite (o permitirá) poder realizar los trámites y gestiones desde cualquier lugar y en cualquier momento, agilizando los trámites burocráticos en España. Todo ello bajo una política de seguridad que deben garantizar las administraciones públicas, constituido por un conjunto de principios y requisitos técnicos a través del Esquema Nacional de Seguridad (Real Decreto 3/2010).

La disposición de estas normas permite cubrir aspectos que de otra forma muchas organizaciones no establecerían como políticas y procedimientos en su rutina diaria. El actual régimen jurídico en torno a la seguridad de la información es uno de sus pilares básicos, permitiendo a las empresas y administraciones públicas a través de su cumplimiento dar cabida a los requisitos mínimos en materia de confidencialidad, integridad y disponibilidad en la gestión de la información.

23Dic/10

Ley nº 4017/2010 de validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico

Ley nº 4017/2010 de validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico, de 23 diciembre de 2010 (Publicada en la Gaceta Oficial de la República del Paraguay nº 252, de 24 de diciembre de 2010)

TÍTULO PRIMERO.- DISPOSICIONES GENERALES

Artículo 1º.- Objeto y ámbito de aplicación. La presente Ley reconoce la validez jurídica de la firma electrónica, la firma digital, los mensajes de datos, el expediente electrónico y regula la utilización de los mismos, las empresas certificadoras, su habilitación y la prestación de los servicios de certificación.

Artículo 2º.- Definiciones. A efectos de la presente Ley, se entenderá por:

Firma electrónica: es el conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital.

Firma digital: es una firma electrónica certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría.

Mensaje de datos: es toda información generada, enviada, recibida, archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el telegrama, el télex o el telefax, siendo esta enumeración meramente enunciativa y no limitativa.

Documento Digital: es un mensaje de datos que representa actos o hechos, con independencia del soporte utilizado para su creación, fijación, almacenamiento, comunicación o archivo.

Firmante, suscriptor o signatario: es toda persona física o jurídica titular de la firma electrónica o digital. Cuando el titular sea una persona jurídica, ésta es responsable de determinar las personas físicas a quienes se autorizará a administrar los datos de creación de la firma electrónica o digital.

Remitente de un mensaje de datos: es toda persona que haya actuado por su cuenta o en cuyo nombre se haya actuado para enviar o generar un mensaje de datos.

Certificado digital: es todo mensaje de datos u otro registro emitido por una entidad legalmente habilitada para el efecto y que confirme la vinculación entre el titular de una firma digital y los datos de creación de la misma.

Prestador de servicios de certificación: entidad prestadora de servicios de certificación de firmas digitales.

Expediente electrónico: se entiende por «expediente electrónico», la serie ordenada de documentos públicos registrados por vía informática, tendientes a la formación de la voluntad administrativa en un asunto determinado.

Parte que confía: es toda persona que pueda actuar sobre la base de un certificado o de una firma electrónica.

Artículo 3º.-   Principios Generales. En la aplicación de la presente Ley, deberán observarse los siguientes principios:

a) Neutralidad tecnológica: Ninguna de las disposiciones de la presente Ley podrá ser aplicada de forma que excluya, restrinja o prive de efectos jurídicos a cualquier otro sistema o método técnico conocido o por conocerse que reúna los requisitos establecidos en la presente Ley.

b) Interoperabilidad: Las tecnologías utilizadas en la aplicación de la presente Ley se basarán en estándares internacionales.

c) Interpretación funcional: Los términos técnicos y conceptos utilizados serán interpretados en base a la buena fe, de manera que no sean negados efectos jurídicos a un proceso o tecnología utilizado por otro Estado por el solo hecho de que se le atribuya una nomenclatura diferente a la prevista en la presente Ley.

TÍTULO SEGUNDO

Sección I.- De los Mensajes de Datos

Artículo 4º.-   Valor jurídico de los mensajes de datos. Se reconoce el valor jurídico de los mensajes de datos y no se negarán efectos jurídicos, validez o fuerza obligatoria a la información por la sola razón de que esté en forma de mensaje de datos.

Tampoco se negarán efectos jurídicos, validez ni fuerza obligatoria a la información por la sola razón de que no esté contenida en el mensaje de datos que se supone ha de dar lugar a este efecto jurídico, sino que figure simplemente en el mensaje de datos en forma de remisión.

Artículo 5º.-   Empleo de mensajes de datos en la formación de los contratos. La oferta, aceptación así como cualquier negociación, declaración o acuerdo realizado por las partes en todo contrato, podrá ser expresada por medio de un mensaje de datos, no pudiendo negarse validez a un contrato por la sola razón de que en su formación se ha utilizado este sistema, siempre y cuando concurran el consentimiento y los demás requisitos necesarios para su validez previstos en el Código Civil.

Para que sea válida la celebración de contratos por vía electrónica, no será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos.

Artículo 6º.-   Cumplimiento del requisito de escritura. Cuando en el ámbito de aplicación de la presente Ley, la normativa vigente requiera que la información conste por escrito o si las normas prevean consecuencias en el caso de que la información no sea presentada o conservada en su forma original; ese requisito quedará satisfecho con un mensaje de datos firmado digitalmente que permita que la información que éste contiene sea accesible para su ulterior consulta.

En caso de que el mensaje de datos no estuviere vinculado con una firma digital, el mismo será considerado válido, en los términos del parágrafo anterior; si fuera posible determinar por algún medio inequívoco su autenticidad e integridad.

Artículo 7º.-   Admisibilidad y fuerza probatoria de los mensajes de datos. Toda información presentada en forma de mensaje de datos gozará de la debida fuerza probatoria, siempre y cuando el mismo tenga una firma digital válida de acuerdo con la presente Ley.

Los actos y contratos suscritos por medio de firma digital, otorgados o celebrados por personas naturales o jurídicas, públicas o privadas en el ámbito de aplicación de la presente Ley, serán válidos de la misma manera y producirán los mismos efectos que los celebrados por escrito y en soporte de papel. Dichos actos y contratos se reputarán como escritos, en los casos en que la ley exija que los mismos consten por escrito, a los efectos de que surtan consecuencias jurídicas.

Artículo 8º.-   Conservación de los mensajes de datos. Cuando la ley requiera que ciertos documentos, registros o informaciones sean conservados en su forma original, ese requisito quedará satisfecho con un mensaje de datos que los reproduzca, si:

a) existe una garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez su forma definitiva, como mensaje de datos u otra forma. Esta garantía quedará cumplida si al mensaje de datos resultante se aplica la firma digital del responsable de la conservación;

b) la información que contenga sea accesible para su ulterior consulta;

c) el mensaje de datos sea conservado con el formato que se haya generado, enviado o recibido o con algún formato que sea demostrable que reproduce con exactitud la información generada, enviada o recibida; y,

d) se conserve, de haber alguno, todo dato que permita determinar el origen y el destino del mensaje, la fecha y la hora que fue enviado o recibido.

Artículo 9º.-   Integridad del documento digital o mensaje de datos. Para efectos del artículo anterior, se considerará que la información consignada en un mensaje de datos es íntegra, si ésta ha permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que sea inherente al proceso de comunicación, archivo o presentación. El grado de confiabilidad requerido será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias relevantes del caso.

Artículo 10.-  De la reproducción de documentos originales por medios electrónicos.Cuando sea necesario almacenar documentos y datos de cualquier especie, se podrá almacenar la reproducción de los mismos en mensajes de datos. La reproducción del documento o dato deberá ser realizada en la forma y en los lugares indicados por la reglamentación de la presente Ley.

La reproducción, a la que hace mención el presente artículo, no afectará ni modificará de modo alguno los plazos individualizados en el documento reproducido, ni tampoco implica reconocimiento expreso o tácito de que el contenido sea válido.

Artículo 11.-  De la digitalización de los archivos públicos. El Estado y sus órganos dependientes podrán proceder a la digitalización total o parcial de sus archivos almacenados, para lo cual cada organismo del Estado o el Poder Ejecutivo podrá dictar el reglamento aplicable al proceso de digitalización mencionado, siempre y cuando los mensajes de datos resultantes cumplan con las condiciones mínimas establecidas en la presente Ley y estuvieran firmados digitalmente por el funcionario autorizado para realizar las citadas reproducciones.

Sección II.- Del Envío y Recepción de los Mensajes de Datos

Artículo 12.-  Remitente de los mensajes de datos. A los efectos de la presente Ley, se entenderá que un mensaje de datos:

a) proviene del remitente, si:

i) ha sido enviado por el propio remitente;

ii) ha sido enviado por alguna persona facultada para actuar en nombre del remitente respecto de ese mensaje;

iii) ha sido enviado por un sistema de información programado por el remitente o en su nombre para que opere automáticamente, o

iv) el mensaje de datos que reciba el destinatario resulte de los actos de una persona cuya relación con el remitente, o con algún mandatario suyo, le haya dado acceso a algún método utilizado por el remitente para identificar un mensaje de datos como propio, aun cuando esta persona no hubiese estado debidamente autorizada por el mismo para ese efecto.

Los numerales ii, iii y iv del presente artículo no se aplicarán entre remitente y destinatario, a partir del momento en que el destinatario haya sido informado por el remitente de que los mensajes de datos que provengan en su nombre y/o con su firma digital pueden ser emitidos por personas no autorizadas para el efecto, quedando automáticamente inhabilitada la firma digital entre el remitente y el destinatario debidamente notificado. La notificación aquí mencionada no exime al titular de la firma digital de la obligación de notificar a la autoridad certificadora de esta situación.

Artículo 13.-  Acuse de recibo. El remitente de un mensaje de datos podrá solicitar o acordar con el destinatario que se acuse recibo del mensaje de datos.

1) Cuando el remitente no haya acordado con el destinatario que el acuse de recibo se dé en alguna forma determinada o utilizando un método determinado, se podrá acusar recibo mediante:

a) toda comunicación del destinatario, automatizada o no, o

b) todo acto del destinatario, que baste para indicar al remitente que se ha recibido el mensaje de datos.

2) Cuando el remitente haya indicado que los efectos del mensaje de datos estarán condicionados a la recepción de un acuse de recibo, se considerará que el mensaje de datos no ha sido enviado en tanto que no se haya recibido el acuse de recibo.

3) Cuando el remitente no haya indicado que los efectos del mensaje de datos estarán condicionados a la recepción de un acuse de recibo, si no ha recibido acuse en el plazo fijado o convenido, o no se ha fijado o convenido ningún plazo, en un plazo razonable el remitente:

a) podrá dar aviso al destinatario de que no ha recibido acuse de recibo y fijar un plazo razonable para su recepción; y,

b) de no recibirse acuse dentro del plazo fijado conforme al inciso a), podrá, dando aviso de ello al destinatario, considerar que el mensaje de datos no ha sido enviado o ejercer cualquier otro derecho que pueda tener.

4) Cuando el remitente reciba acuse de recibo del destinatario, se presumirá que éste ha recibido el mensaje de datos correspondiente. Esa presunción no implicará que el mensaje de datos corresponda al mensaje recibido.

5) Cuando en el acuse de recibo se indique que el mensaje de datos recibido cumple con los requisitos técnicos convenidos o enunciados en alguna norma técnica aplicable, se presumirá que ello es así.

Salvo en lo que se refiere al envío o recepción del mensaje de datos, el presente artículo no obedece al propósito de regir las consecuencias jurídicas que puedan derivarse de ese mensaje de datos o de su acuse de recibo.

Artículo 14.- Tiempo y lugar del envío y la recepción de un mensaje de datos.

1) De no convenir otra cosa el remitente y el destinatario, el mensaje de datos se tendrá por expedido cuando entre en un sistema de información que no esté bajo el control del remitente o de la persona que envió el mensaje de datos en nombre del remitente.

2) De no convenir otra cosa el remitente y el destinatario, el momento de recepción de un mensaje de datos se determinará como sigue:

a) si el destinatario ha designado un sistema de información para la recepción de mensajes de datos, la recepción tendrá lugar:

i) en el momento en que entre el mensaje de datos en el sistema de información designado; o

ii) de enviarse el mensaje de datos a un sistema de información del destinatario que no sea el sistema de información designado, en el momento en que el destinatario recupere el mensaje de datos.

b) si el destinatario no ha designado un sistema de información, la recepción tendrá lugar en el momento en que el destinatario recupere el mensaje de datos  de un sistema de información que no esté bajo su control.

3) El párrafo 2) será aplicable aun cuando el sistema de información esté ubicado en un lugar distinto de donde se tenga por recibido el mensaje conforme al párrafo 4).

4) De no convenir otra cosa el remitente y el destinatario, el mensaje de datos se tendrá por expedido en el lugar donde el remitente tenga su establecimiento y por recibido en el lugar donde el destinatario tenga el suyo. Para los fines del presente párrafo:

a) si el remitente o el destinatario tienen más de un establecimiento, será válido el que guarde una relación más estrecha con la operación subyacente o, de no haber una operación subyacente, será válido su establecimiento principal; y,

b) si el remitente o el destinatario no tienen establecimiento, se tendrá en cuenta su lugar de residencia habitual.

TÍTULO TERCERO.-DE LA FIRMA ELECTRÓNICA

Sección I.- Disposiciones Generales

Artículo 15.-  Titulares de una firma electrónica. Podrán ser titulares de una firma electrónica personas físicas o jurídicas.

Para el caso de las personas jurídicas, la aplicación o utilización de la firma electrónica por sus representantes se considerará como efectuada por la persona jurídica con todos los alcances previstos en los estatutos o normas correspondientes a su funcionamiento que se encuentren vigentes al momento de la firma.

Corresponde a la persona jurídica, a través de sus órganos directivos, determinar las personas autorizadas para emplear la firma electrónica que le fuera asignada.

Artículo 16.-  Obligaciones de los titulares de firmas electrónicas. Los titulares de firmas electrónicas deberán:

a) actuar con diligencia razonable para evitar la utilización no autorizada de sus datos de creación de la firma;

b) dar aviso sin dilación indebida a cualquier persona que, según pueda razonablemente prever el titular, que puedan considerar fiable la firma electrónica o que puedan prestar servicios que la apoyen si:

i) sabe que los datos de creación de la firma han quedado en entredicho; o sabe que los datos de creación de la firma han quedado en entredicho; o

ii) las circunstancias de que tiene conocimiento dan lugar a un riesgo considerable de que los datos de creación de la firma hayan quedado en entredicho.

c) cuando se emplee un certificado para refrendar la firma electrónica, actuar con diligencia razonable para cerciorarse de que todas las declaraciones que haya hecho en relación con su período de validez o que hayan de consignarse en él sean exactas y cabales.

El titular de la firma electrónica incurrirá en responsabilidad personal, solidaria e intransferible por el incumplimiento de los requisitos enunciados en este artículo.

Artículo 17.-  Efectos del empleo de una firma electrónica. La aplicación de la firma electrónica a un mensaje de datos implica para las partes la presunción de:

a) que el mensaje de datos proviene del firmante;

b) que el firmante aprueba el contenido del mensaje de datos.

Artículo 18.-  Validez jurídica de la firma electrónica. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez.

Artículo 19.-  De la revocación de una firma electrónica. La asignación de una firma electrónica a su titular quedará sin efecto y la misma perderá todo valor como firma en los siguientes casos:

1) Por extinción del plazo de vigencia de la misma.

2) A solicitud del titular de la firma.

3) Por fallecimiento del titular o disolución de la persona jurídica que represente, en su caso.

4) Por resolución judicial ejecutoriada, o

5) Por incumplimiento de las obligaciones del usuario establecidas en la presente Ley.

Sección II.- De la Firma Digital

Artículo 20.-  Validez  jurídica de la firma digital. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia.

Artículo 21.- Exclusiones. Las disposiciones de esta Ley no son aplicables:

a) a las disposiciones por causa de muerte;

b) a los actos jurídicos del derecho de familia;

c) a los actos que deban ser instrumentados bajo exigencias o formalidades incompatibles con la utilización de la firma digital, ya sea como consecuencia de disposiciones legales o acuerdo de partes; y,

d) a los actos personalísimos en general.

Artículo 22.- Requisitos de validez de la firma digital. Una firma digital es válida si cumple con los siguientes requisitos:

a)   haber sido creada durante el período de vigencia del certificado digital válido del firmante;

b)   haber sido debidamente verificada la relación entre el firmante y la firma digital, por la referencia a los datos indicados en el certificado digital, según el procedimiento de verificación correspondiente. Se exigirá la presencia física del solicitante del certificado con documento de identidad vigente y válido en la República del Paraguay;

c)   que dicho certificado haya sido emitido por una entidad prestadora de servicios de certificación autorizada por la presente Ley;

d)   que los datos de creación de la firma hayan estado, en el momento de la firma, bajo el control del firmante;

e)   que sea posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma;

f)    que sea posible detectar cualquier alteración de la información contenida en  el mensaje de datos al cual está asociada, hecha después del momento de la firma;

g)   el  solicitante es el responsable respecto de la clave privada cuya clave pública correspondiente se consigna en el certificado y todos los usos que a la misma se le dieran;

h)   el solicitante deberá manifestar su total conocimiento y aceptación de la Declaración de Prácticas de Certificación y/o Política de Certificación correspondientes al certificado solicitado.

Artículo 23.-  Efectos del empleo de una firma digital. La aplicación de la firma digital a un mensaje de datos implica para las partes la presunción de:

a) que el mensaje de datos proviene del remitente;

b) que el contenido del mensaje de datos no ha sido adulterado desde el momento de la firma y el firmante aprueba el contenido del mensaje de datos.

Para que la presunción expresada en el parágrafo anterior sea efectiva, la firma digital aplicada al mensaje de datos debe poder ser verificada con el certificado digital respectivo expedido por la prestadora de servicios de firma digital.

Los efectos enumerados en el presente artículo continuarán vigentes por tiempo indefinido para el mensaje de datos al que fuera aplicada la firma digital, aun cuando con posterioridad a la aplicación de la misma, ésta fuera revocada por cualquiera de los motivos indicados en la presente Ley.

Artículo 24.-  De la revocación de una firma digital. La asignación de una firma digital a su titular quedará sin efecto y la misma perderá todo valor como firma digital en los siguientes casos:

1) Por extinción del plazo de vigencia de la firma digital, el cual no podrá exceder de dos años, contados desde la fecha de adjudicación de la misma a su titular por parte del prestador de servicios de firmas digitales respectivo.

2) Por revocación realizada por el prestador de servicios de certificación, la que tendrá lugar en las siguientes circunstancias:

a) a solicitud del titular de la firma;

b) por fallecimiento del titular o disolución de la persona jurídica que represente, en su caso;

c) por resolución judicial ejecutoriada, o

d) por incumplimiento de las obligaciones del usuario establecidas en la presente Ley.

La revocación de un certificado en las circunstancias del inciso d) del numeral 2) de este artículo, será comunicada previamente al prestador de servicios de certificación que hubiera emitido la misma, indicando la causa. En cualquier caso, la revocación no privará de valor a las firmas digitales antes del momento exacto que sea verificada por el prestador.

En caso de que el prestador de servicios de certificación que originalmente haya adjudicado la firma digital a ser revocada ya no existiera o su funcionamiento se encontrase suspendido, el titular deberá comunicar la revocación de su firma digital al prestador de servicios de firma digital que haya sido designado responsable de la verificación de las firmas emitidas por aquella.

Igualmente, cuando ocurriere una suspensión por causas técnicas, se aplicará lo dispuesto en el párrafo anterior.

Sección III.- De los Prestadores de Servicios de Certificación

Artículo 25.-  Del prestador de servicios de certificación. Podrán ser prestadores de servicios de certificación, las personas jurídicas que fueran habilitadas por la autoridad normativa indicada en la presente Ley, en base a las disposiciones de la presente Ley, así como a las disposiciones del decreto reglamentario correspondiente.

Artículo 26.-  Del procedimiento de habilitación de prestadores de servicios de certificación. La autoridad normativa autorizará el funcionamiento de prestadores de servicios de certificación que hubiesen solicitado la habilitación requerida por esta Ley, siempre y cuando las mismas cumplan con todos los requisitos básicos individualizados en ella.

Una vez habilitado un prestador de servicios de certificación, el mismo deberá auto asignarse una firma digital, debiendo entregar la clave verificadora de la misma a la autoridad normativa quien tendrá habilitado al efecto un registro de prestadores de servicios de certificación habilitados en la República del Paraguay, y a la cual podrá recurrirse para verificar la firma digital del prestador.

Artículo 27.-  De la resolución ficta de habilitación de prestadores de servicios de certificación. Cuando la autoridad normativa considere que el solicitante de la habilitación para prestar servicios de certificación no cumple con los requisitos mínimos establecidos, deberá demostrarlo así en un procedimiento sumario que deberá completarse en un plazo máximo de cincuenta días hábiles, contados a partir de la fecha de presentación de la solicitud de habilitación respectiva.

En caso de que vencido el plazo no pudiera demostrarse el incumplimiento de los requisitos básicos establecidos, se producirá resolución ficta concediendo la habilitación solicitada y debiendo expedirse inmediatamente la documentación que acredite la habilitación del prestador.

Artículo 28.-  Requisitos básicos que deben cumplir los prestadores de servicios de certificación para ser habilitados. Los proveedores de servicios de certificación deberán:

a) garantizar la utilización de un servicio rápido y seguro de guía de usuarios y de un servicio de revocación seguro e inmediato;

b) garantizar que pueda determinarse con precisión la fecha y la hora en que se expidió o revocó un certificado;

c) comprobar debidamente, de conformidad con el derecho nacional, la identidad y, si procede, cualesquiera atributos específicos de la persona a la que se expide un certificado reconocido;

d) emplear personal que tenga los conocimientos especializados, la experiencia y las cualificaciones necesarias correspondientes a los servicios prestados, en particular: competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma electrónica y familiaridad con los procedimientos de seguridad adecuados; deben poner asimismo en práctica los procedimientos administrativos y de gestión adecuados y conformes a normas reconocidas;

e) utilizar sistemas y productos fiables que se requiera para prestar servicios de certificación y que estén protegidos contra toda alteración y que garanticen la seguridad técnica y criptográfica de los procedimientos con que trabajan;

f) tomar medidas contra la falsificación de certificados y, en caso de que el proveedor de servicios de certificación genere datos de creación de firma, garantizar la confidencialidad durante el proceso de generación de dichos datos;

g) disponer de recursos económicos suficientes para operar de conformidad con lo dispuesto en la presente Ley, en particular para afrontar el riesgo de responsabilidad por daños y perjuicios, pudiendo emplearse para el efecto fianzas, avales, seguros o cualquier otro medio;

h) registrar toda la información pertinente relativa a un certificado reconocido durante un período de tiempo adecuado, en particular para aportar pruebas de certificación en procedimientos judiciales. Esta actividad de registro podrá realizarse por medios electrónicos;

i) no almacenar ni copiar los datos de creación de firma de la persona a la que el proveedor de servicios de certificación ha prestado servicios de asignación de firmas electrónicas;

j) utilizar sistemas fiables para almacenar certificados de forma verificable, de modo que:

– sólo personas autorizadas puedan hacer anotaciones y modificaciones;

– pueda comprobarse la autenticidad de la información;

– los certificados estén a disposición del público para su consulta sólo en los casos en los que se haya obtenido el consentimiento del titular del certificado; y

– el agente pueda detectar todos los cambios técnicos que pongan en entredicho los requisitos de seguridad mencionados.

k) demostrar la honestidad de sus representantes legales, administradores y funcionarios, a través de certificaciones de antecedentes policiales y judiciales.

Artículo 29.-  Requisitos de validez de los certificados digitales. Los certificados digitales para ser válidos deberán:

a) ser emitidos por una entidad prestadora de servicios de certificación habilitada por la presente Ley; y,

b) responder a formatos estándares tecnológicos preestablecidos reconocidos internacionalmente, fijados por la presente Ley y la reglamentación respectiva, y contener, como mínimo, los datos que permitan:

1. identificar indubitablemente a su titular y la entidad que lo emitió, indicando su período de vigencia y los datos que permitan su identificación única;

2. ser susceptible de verificación respecto de su vigencia o revocación;

3. establecer claramente la información incluida en el certificado que haya podido ser verificada;

4. contemplar la información necesaria para la verificación de la firma;

5. identificar la política de certificación bajo la cual fue emitido, en especial si la misma implica limitación en los fines en que ha de utilizarse o de la de responsabilidad que asume el prestador con relación al certificado emitido;

6. la firma digital del prestador de servicios de certificación.

Artículo 30.-  Políticas de Certificación. El certificado de firma digital podrá establecer límites en cuanto a sus posibles usos, siempre y cuando los límites sean reconocibles por terceros. La Autoridad de aplicación deberá aprobar la Política de Certificación, que será empleada por las empresas prestadoras de los servicios de certificación.

Artículo 31.-  De las prestadoras de servicios de certificación aprobadas por leyes anteriores. Las entidades prestadoras de servicios de certificación cuyo funcionamiento hubiera sido autorizado con anterioridad a la presente Ley, deberán adecuar su funcionamiento a las disposiciones de ésta en un plazo perentorio máximo de seis meses y de no hacerlo así, su habilitación será revocada automáticamente, siendo a cargo exclusivo de las mismas las responsabilidades emergentes de su funcionamiento sin la habilitación pertinente.

La firma digital empleada en base a las disposiciones de la presente Ley será suficiente para su empleo ante cualquier dependencia estatal o privada, aun cuando por ley anterior estuviere establecido el empleo de una firma expedida por prestadoras de servicios de certificación determinados.

Artículo 32.-  Obligaciones del prestador de servicios de certificación. El prestador de servicios de certificación deberá:

a) adjudicar una firma digital a quien lo solicite sin distinciones ni privilegios de ninguna clase, siempre y cuando el solicitante presente los recaudos establecidos para el efecto;

b) actuar con diligencia razonable para cerciorarse de que todas las declaraciones importantes que haya hecho en relación con el ciclo vital del certificado o que estén consignadas en él sean exactas y cabales;

c) proporcionar medios de acceso razonablemente fácil que permitan a la parte que confía en el certificado determinar mediante éste:

i) la identidad del prestador de servicios de certificación;

ii) que el firmante nombrado en el certificado haya tenido bajo su control los datos de creación de la firma en el momento en que se aplicó ésta al mensaje de datos;

iii) que los datos de creación de la firma hayan sido válidos en la fecha que se expidió el certificado o antes de ella.

d) proporcionar medios de acceso razonablemente fácil que, según proceda, permitan a la parte que confía en el certificado determinar mediante éste o de otra manera:

i) el método utilizado para identificar al firmante;

ii) cualquier limitación en los fines o el valor respecto de los cuales puedan utilizarse los datos de creación de la firma o el certificado;

iii) si los datos de creación de la firma son válidos y no están en entredicho;

iv) cualquier limitación en cuanto al ámbito o el alcance de la responsabilidad indicada por el prestador de servicios de certificación;

v) si existe un medio para que el firmante dé aviso de que los datos de creación de la firma están en entredicho;

vi) si se ofrece un servicio de revocación oportuna del certificado.

e) además deberá informar a quien solicita la adjudicación de una firma digital con carácter previo a su emisión las condiciones precisas de utilización de la firma digital, sus características y efectos, forma que garantiza su posible responsabilidad patrimonial. Esa información deberá estar libremente accesible en lenguaje fácilmente comprensible. La parte pertinente de dicha información estará también disponible para terceros;

f) abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma digital de los titulares de certificados digitales por él emitidos;

g) mantener el control exclusivo de sus propios datos de creación de firma digital e impedir su divulgación;

h) operar utilizando un sistema técnicamente confiable;

i) notificar al solicitante las medidas que está obligado a adoptar y las obligaciones que asume por el solo hecho de ser titular de una firma digital;

j) recabar únicamente aquellos datos personales del titular de la firma digital que sean necesarios para su emisión, quedando el solicitante en libertad de proveer información adicional;

k) mantener la confidencialidad de toda información que reciba y que no figure en el certificado digital;

l) poner a disposición del solicitante de una firma digital, toda la información relativa a su tramitación;

m) mantener la documentación respaldatoria de las firmas digitales y los certificados digitales emitidos, por diez años a partir de su fecha de vencimiento o revocación;

n) publicar en Internet o cualquier otra red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, la lista de firmas digitales vigentes y revocadas, las políticas de certificación, la información relevante de los informes de la última auditoría de que hubiera sido objeto, su manual de procedimientos y toda información que considere pertinente;

ñ) registrar las presentaciones que le sean formuladas, así como el trámite conferido a cada una de ellas;

o) verificar, de acuerdo con lo dispuesto en su manual de procedimientos, toda otra información que deba ser objeto de verificación, la que debe figurar en las políticas de certificación y en los certificados digitales;

p) emplear personal idóneo que tenga los conocimientos específicos, la experiencia necesaria para proveer los servicios ofrecidos y en particular, competencia en materia de gestión, conocimientos técnicos en el ámbito de la firma digital y experiencia adecuada en los procedimientos de seguridad pertinentes;

q) llevar un registro de las claves públicas de las firmas digitales existentes, a los efectos de confirmar la veracidad de las mismas cuando éstos son empleados;

r) velar por la vigencia y, en su caso, cancelación oportuna de las firmas digitales cuando existan razones válidas para ello;

s) actuar con diligencia razonable para evitar la utilización no autorizada de sus datos de creación de firmas, así como de cualquier otra información obrante en su poder relacionada a las firmas electrónicas que administre o certifique;

t) dar aviso sin dilación indebida por lo menos en dos medios masivos de comunicación si:

i) sabe que los datos de creación de su firma digital o cualquier otra información relacionada a la misma ha quedado en entredicho; o

ii) las circunstancias de que tiene conocimiento dan lugar a un riesgo considerable de que datos de creación de su firma digital o cualquier otra información relacionada a la misma ha quedado en entredicho.

Artículo 33.-  Responsabilidades de los prestadores de servicios de certificación. Los prestadores de servicios de certificación autorizados en base a la presente Ley serán responsables por los daños y perjuicios causados a toda persona física o jurídica que confíe razonablemente en el certificado digital por él emitido, en lo que respecta a:

a) la inclusión de todos los campos y datos requeridos por la ley y a la exactitud de los mismos, al momento de su emisión;

b) que al momento de la emisión de un certificado reconocido por el prestador de servicios de certificación autorizado, la firma en él identificada obedezca a los datos de creación de las firmas correspondientes a los datos de verificación incluidos en el certificado reconocido por el prestador, con el objeto de asegurar la cadena de confianza;

c) los errores u omisiones que presenten los certificados digitales que emitan; y,

d) el registro, en tiempo y forma, de la revocación de los certificados reconocidos que haya emitido, cuando así correspondiere.

Corresponde al prestador de servicios de certificación autorizado demostrar que no actuó ni con culpa ni con dolo.

Los prestadores no serán responsables de los daños y perjuicios causados por el uso que exceda de los límites de las Políticas de Certificación indicados en el certificado, ni de aquéllos que tengan su origen en el uso indebido o fraudulento de un certificado de firma digital.

Tampoco responderá por eventuales inexactitudes en el certificado reconocido que resulten de la información verificada facilitada por el titular, siempre que el prestador de servicios de certificación acreditado pueda demostrar que ha cumplido todas las medidas previstas en sus políticas y procedimientos de certificación.

A los efectos de salvaguardar los intereses de las partes que utilizan los servicios de certificación, el prestador de servicios de certificación deberá contar con un medio de garantía suficiente para cubrir las responsabilidades inherentes a su gestión, entre los que se podría citar: pólizas de seguros, cauciones bancarias o financieras o en fin cualquier sistema que el Reglamento de la presente Ley establezca para el efecto.

Artículo 34.-  Protección de datos personales. Los prestadores de servicios de certificación sólo podrán recolectar los datos personales directamente de la persona a quien esos datos se refieran, después de haber obtenido su consentimiento expreso y sólo en la medida en que los mismos sean necesarios para la emisión y mantenimiento del certificado. Los datos no podrán ser obtenidos o utilizados para otro fin, sin el consentimiento expreso del titular de los datos.

Artículo 35.-  De los aranceles. Los aranceles por la prestación de servicios de certificación serán fijados por la autoridad normativa, quien podrá establecer los montos máximos a ser cobrados por los mismos. Podrá la misma permitir que los aranceles sean fijados libremente por los prestadores siempre que a su criterio el mercado estuviera en condiciones de regularlos en un marco de libre competencia.

Artículo 36.-  Reconocimiento de certificados extranjeros. Los certificados digitales emitidos por certificadores extranjeros podrán ser reconocidos en los mismos términos y condiciones exigidos en la presente Ley y sus normas reglamentarias cuando:

a) reúnan las condiciones que establece la presente Ley y la reglamentación correspondiente;

b) tales certificados provengan de proveedores extranjeros que sean reconocidos o aprobados por la autoridad normativa, facultándose a ésta a reglamentar el procedimiento para este reconocimiento o aprobación.

TÍTULO CUARTO.- DEL EXPEDIENTE ELECTRÓNICO Y DEL TRÁMITE ADMINISTRATIVO

Artículo 37.-  Expediente electrónico. Se entiende por «expediente electrónico» la serie ordenada de documentos públicos registrados por vía informática, tendientes a la formación de la voluntad administrativa en un asunto determinado.

En la tramitación de expedientes administrativos, podrán utilizarse expedientes electrónicos total o parcialmente, de acuerdo con las siguientes reglas:

1) El expediente electrónico tendrá la misma validez jurídica y probatoria que el expediente tradicional.

2) La documentación emergente de la transmisión a distancia, por medios electrónicos, entre dependencias oficiales, constituirá, de por sí, documentación auténtica y hará plena fe a todos sus efectos en cuanto a la existencia del original trasmitido.

3) La sustanciación de actuaciones en la Administración Pública, así como los actos administrativos que se dicten en las mismas, podrán realizarse por medios informáticos.

Cuando dichos trámites o actos, revestidos de carácter oficial, hayan sido redactados o extendidos por funcionarios competentes, según las formas requeridas, dentro del límite de sus atribuciones, y que aseguren su inalterabilidad por medio de la firma digital reconocida en la presente Ley tendrán el mismo valor probatorio y jurídico que se le asigna cuando son realizados por escrito en papel.

4) Cuando la sustanciación de las actuaciones administrativas se realice por medios informáticos, las firmas autógrafas que la misma requiera podrán ser sustituidas por firmas digitales.

5) Todas las normas sobre procedimiento administrativo serán de aplicación a los expedientes tramitados en forma electrónica, en la medida en que no sean incompatibles con la naturaleza del medio empleado.

6) Toda petición o recurso administrativo que se presente ante la Administración podrá realizarse por medio de documentos electrónicos. A tales efectos, los mismos deberán ajustarse a los formatos o parámetros técnicos establecidos por la autoridad normativa.

En caso de incumplimiento de dichas especificaciones, tales documentos se tendrán por no recibidos.

7) Toda vez que se presente un documento mediante transferencia electrónica, la Administración deberá expedir una constancia de su recepción. La constancia o acuse de recibo de un documento electrónico será prueba suficiente de su presentación. Su contenido será la fecha, lugar y firma digital del receptor.

8) La Administración admitirá la presentación de documentos registrados en papel para su utilización en un expediente electrónico. En tales casos, podrá optar entre la digitalización de dichos documentos para su incorporación al expediente electrónico, o la formación de una pieza separada, o una combinación de ambas, fijando como meta deseable la digitalización total de los documentos.

En caso de proceder a la digitalización del documento registrado en papel, se certificará la copia mediante la firma digital del funcionario encargado del proceso, así como la fecha y lugar de recepción.

9) Autorízase la reproducción y almacenamiento por medios informáticos de los expedientes y demás documentos registrados sobre papel, que fueran fruto de la aplicación de la presente Ley.

10) Podrán reproducirse sobre papel los expedientes electrónicos cuando sea del caso su sustanciación por ese medio, ya sea dentro o fuera de la repartición administrativa de que se trate, o para proceder a su archivo sobre papel. El funcionario responsable de dicha reproducción certificará su autenticidad.

11) Tratándose de expedientes totalmente digitalizados, el expediente original en papel deberá radicarse en un archivo centralizado. En caso de la tramitación de un expediente parcialmente digitalizado, la pieza separada que contenga los documentos registrados en papel, se radicará en un archivo a determinar por la repartición respectiva. En ambos casos, el lugar dispuesto propenderá a facilitar la consulta, sin obstaculizar el trámite del expediente.

12) Los plazos para la sustanciación de los expedientes electrónicos, se computarán a partir del día siguiente de su recepción efectiva por el funcionario designado.

Se entiende por «recepción efectiva» la fecha de ingreso del documento al subsistema de información al cual tiene acceso el funcionario designado a tales efectos.

13) Los sistemas de información de expedientes electrónicos deberán prever y controlar las demoras en cada etapa del trámite. A su vez, deberán permitir al superior jerárquico modificar el trámite para sortear los obstáculos detectados, minimizando demoras.

14) Los órganos administrativos que utilicen expedientes electrónicos, adoptarán procedimientos y tecnologías de respaldo o duplicación, a fin de asegurar su inalterabilidad y seguridad, según los estándares técnicos establecidos por la Autoridad Normativa.

15) Los documentos que hayan sido digitalizados en su totalidad, a través de los medios técnicos incluidos en el artículo anterior, se conservarán de acuerdo con lo dispuesto en la presente Ley. Los originales de valor histórico, cultural o de otro valor intrínseco, no podrán ser destruidos; por lo que luego de almacenados serán enviados para su guarda a la repartición pública que corresponda, en aplicación de las normas vigentes sobre conservación del patrimonio histórico y cultural del Estado.

16) La divulgación de la clave o contraseña personal de cualquier funcionario autorizado a documentar su actuación mediante firmas digitales, constituirá falta gravísima, aun cuando la clave o contraseña no llegase a ser utilizada.

17) Cuando los documentos electrónicos que a continuación se detallan, sean registrados electrónicamente, deberán identificarse mediante la firma digital de su autor:

a) los recursos administrativos, así como toda petición que se formule a la Administración;

b) los actos administrativos definitivos;

c) los actos administrativos de certificación o destinados a hacer fe pública; y,

d) los dictámenes o asesoramientos previos a una resolución definitiva.

TÍTULO QUINTO.- DE LA AUTORIDAD DE APLICACIÓN

Artículo 38.-  Autoridad de Aplicación. La Autoridad de Aplicación de la presente Ley será el Instituto Nacional de Tecnología y Normalización.

Artículo 39.-  Funciones. El Instituto Nacional de Tecnología y Normalización sin perjuicio de las funciones específicas del mismo, en su carácter de Autoridad de Aplicación de la presente Ley tendrá las siguientes atribuciones:

a) dictar las normas reglamentarias y de aplicación de la presente Ley;

b) establecer  los estándares tecnológicos y operativos de la implementación de la presente Ley;

c) autorizar, conforme a la reglamentación expedida por el Poder Ejecutivo, la operación de entidades de certificación en el territorio nacional;

d) velar por el adecuado funcionamiento y la eficiente prestación del servicio por parte de las entidades de certificación y el cabal cumplimiento de las disposiciones legales y reglamentarias de la actividad;

e) efectuar las auditorías de que trata la presente Ley;

f) determinar los efectos de la revocación de los certificados de los prestadores de servicios de certificación;

g) instrumentar acuerdos nacionales e internacionales, a fin de otorgar validez jurídica a las firmas digitales creadas sobre la base de certificados emitidos por certificadores de otros países;

h) determinar las pautas de auditoría, incluyendo los dictámenes tipo que deban emitirse como conclusión de las revisiones;

i) requerir en cualquier momento a las entidades de certificación para que suministren información relacionada con los certificados, las firmas digitales emitidas y los documentos en soporte informático que custodien o administren;

j) imponer  sanciones  a  las entidades  de  certificación por el  incumplimiento o cumplimiento parcial de las obligaciones derivadas de la prestación del servicio; 

k) otorgar o revocar las licencias a los prestadores del servicio de certificación habilitados y supervisar su actividad, según las exigencias establecidas por la reglamentación;

l) homologar  los  dispositivos  de  creación  y  verificación  de  firmas digitales,  con  ajuste a las normas y procedimientos establecidos por la reglamentación; y,

m) aplicar las sanciones previstas en la reglamentación.

Artículo 40.-  Obligaciones. En su calidad de titular de certificado digital, la Autoridad de Aplicación tiene las mismas obligaciones que los titulares de certificados y que los certificadores licenciados. En especial y en particular, debe:

a) abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento o acceder, bajo ninguna circunstancia, a los datos utilizados para generar la firma digital de los certificadores licenciados;

b) mantener el control exclusivo de los datos utilizados para generar su propia firma digital e impedir su divulgación;

c) publicar en Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, los domicilios, números telefónicos y direcciones de Internet tanto de los certificadores licenciados como los propios y su certificado digital; y,

d) supervisar la ejecución del plan de cese de actividades de los prestadores de servicio de certificación habilitados que discontinúan sus funciones.

Artículo 41.-  Recursos. Los recursos que perciba la Autoridad Acreditadora por parte de los prestadores acreditados de servicios de certificación constituirán ingresos propios de dicha entidad y se incorporarán a su presupuesto.

Artículo 42.-  Sistema de Auditorías. Los prestadores de servicios de certificación deben ser auditados periódicamente, de acuerdo con el sistema de auditoría que diseñe y apruebe la Autoridad de Aplicación.

La Autoridad de Aplicación podrá implementar el sistema de auditoría por sí o por terceros habilitados a tal efecto. Las auditorías deben como mínimo evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, así como también el cumplimiento de las reglamentaciones vigentes.

TÍTULO SEXTO.- DE LAS DISPOSICIONES FINALES Y TRANSITORIAS

Artículo 43.-  Los datos de creación de firma digital son los datos únicos que el firmante utiliza para crear la firma digital, están contenidos en la clave privada, que es generada por un proceso matemático, que contiene datos únicos que el firmante utiliza para crear la firma digital. Su conocimiento y control es exclusivo del firmante. Si el firmante decidiera compartirla, se imputará como suyo todo aquello que fuera realizado mediante el uso de la misma.

Artículo 44.- Original. Los documentos electrónicos firmados digitalmente y los reproducidos en formato digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte, también serán considerados originales y poseen, como consecuencia de ello, valor probatorio como tales, según los procedimientos que determine la reglamentación.

Artículo 45.- Reglamento de la ley. El Poder Ejecutivo reglamentará la presente Ley, en un plazo de noventa días, contados desde su publicación.

Artículo 46.- Derogación. Quedan derogadas todas las disposiciones legales que se opongan a la presente Ley.

Artículo 47.- Comuníquese al Poder Ejecutivo

Aprobado el Proyecto de Ley por la Honorable Cámara de Diputados, a los ocho días del mes de abril del año dos mil diez, y por la Honorable Cámara de Senadores, a los tres días del mes de junio del año dos mil diez, quedando sancionado el mismo, de conformidad con lo dispuesto en el Artículo 207, numeral 2 de la Constitución Nacional. Objetado totalmente por Decreto del Poder Ejecutivo nº 4.711, del 15 de julio de 2010. Rechazada la objeción total por la H. Cámara de Diputados el nueve de setiembre de 2010 y por la H. Cámara de Senadores, el once de noviembre de 2010, de conformidad con lo establecido en el Artículo 209 de la Constitución Nacional.

 

Victor Alcídes Bogardo González, Presidente H. Cámara de Diputados

Oscar González Daher, Presidente H. Cámara de Senadores

Jorge Ramón Avalos Mariño, Secretario Parlamentario

María Digna Rosa Rojas, Secretaria Parlamentaria.

 

Asunción, 23 de diciembre de 2010

Tengase por Ley de la República, publíquese e insértese en el Registro Oficial

El Presidente de la República: Fernando Lugo Méndez

Ministro de Industria y Comercio. Francisco José Rivas Almada.

15Oct/09

Ley de firma electrónica para el Estado de Baja California de 15 octubre 2009

Publicada en el Periódico Oficial nº 49, de fecha 06 de Noviembre de 2009, Tomo CXVI, Sección I

CAPÍTULO PRIMERO.- DISPOSICIONES GENERALES

Artículo 1.– La presente Ley es de orden público, y tiene por objeto regular el uso de la Firma Electrónica en trámites y documentos de la Administración Pública Estatal, así como establecer las bases mediante las cuales, los Ayuntamientos en el ámbito de sus respectivas competencias, emitirán las disposiciones reglamentarias correspondientes.

Artículo 2.- Para los efectos de esta Ley, se entenderán por:

I. Acuse de Recibo: El generado por Medios Electrónicos o Sistemas de Información para el Emisor, a efecto de constatar la fecha y hora en que un Mensaje de Datos es recibido por el Destinatario;

II. Administración Pública Estatal: El Gobernador del Estado, así como las Dependencias del Poder Ejecutivo y Entidades Paraestatales;

III. Agentes Certificadores: Las Dependencias del Estado y Entidades Paraestatales, que determine la Autoridad Certificadora;

IV. Autoridad Certificadora: A la Dirección General de Informática del Poder Ejecutivo del Estado;

V. Certificado de Firma Electrónica: El documento digital firmado electrónicamente por la Autoridad Certificadora o los Agentes Certificadores, mediante el cual se confirma el vínculo existente entre el Firmante y la Firma Electrónica Certificada;

VI. Datos de Creación de la Firma Electrónica: Los datos únicos que con cualquier tecnología el Firmante genera de manera secreta y utiliza para crear su Firma Electrónica, a fin de lograr el vínculo entre la misma y el Firmante;

VII. Datos de Verificación de la Firma Electrónica: Los datos únicos que con cualquier tecnología se utilizan para verificar que la Firma Electrónica corresponda a sus Datos de Creación de la Firma Electrónica;

VIII. Destinatario: A quien se dirige el Mensaje de Datos;

IX. Emisor: Persona que origina un Mensaje de Datos;

X. Firma Electrónica: La certificación de datos electrónicos tales como número, claves, contraseñas o cualquier otro que asociados a un Mensaje de Datos, son utilizados como medio de identificación para reconocer a su autor, legitimando su consentimiento y obligándose en términos de las manifestaciones que en dicho Mensaje de Datos se contienen;

XI. Firmante: Quien utiliza una Firma Electrónica en nombre propio, o el de la persona a que represente de conformidad con la legislación aplicable;

XII. Ley: Ley de Firma Electrónica para el Estado de Baja California;

XIII. Medios Electrónicos: Equipos de cómputo, enlaces, microondas, vías satelitales o cualquier tecnología, a través de la cual se transmitan o reciban Mensajes de Datos;

XIV. Mensajes de Datos: La información generada, enviada, recibida o archivada por Medios Electrónicos;

XV. Sistemas de Información: Los programas informáticos utilizados para generar, enviar, recibir, archivar o procesar de alguna forma Mensajes de Datos;

XVI. Titular: La persona física o moral en cuyo favor se expide un Certificado de Firma Electrónica; y,

XVII. Trámites: Cualquier solicitud, promoción o acto que las personas físicas o morales realicen directamente o por Medios Electrónicos ante la Administración Pública Estatal, de conformidad con las disposiciones de esta Ley.

Artículo 3.– Las disposiciones de esta Ley no son aplicables a:

I. Las funciones de investigación y persecución de los delitos;

II. Los procedimientos administrativos seguidos en forma de juicio, ante las autoridades de la administración pública Estatal, salvo que las leyes que regulan dichos procedimientos lo permitan; y,

III. Los procedimientos de responsabilidades de los servidores públicos.

Artículo 4.- La aplicación de la presente Ley se regirá por los siguientes principios:

I. Autenticidad: Es la certeza de atribuir la autoría del contenido de un Mensaje de Datos al Firmante, siéndole atribuibles las consecuencias jurídicas que del mismo se derivan, por ser expresión de su voluntad libre de vicios;

II. Confidencialidad: Es la característica que existe cuando la información permanece controlada y es protegida de su acceso y distribución no autorizada;

III. Conservación: Es el resguardo del Mensaje de Datos a efecto de que su existencia sea permanente y susceptible de reproducción;

IV. Equivalencia Funcional: Consiste en equiparar los efectos jurídicos de los documentos escritos con los Mensajes de Datos, y de la firma autógrafa con la Firma Electrónica;

V. Integridad: Es la cualidad de que un Mensaje de Datos permanezca completo e inalterado, con independencia de los cambios que pudiera sufrir el medio electrónico que lo contiene como resultado del proceso de comunicación, archivo o presentación; y,

VI. Neutralidad Tecnológica: Consistente en no privilegiar el uso exclusivo de cierta tecnología.

CAPÍTULO SEGUNDO.- DE LA FIRMA ELECTRÓNICA

Artículo 5.– Para la atención de los trámites, así como para realizar las comunicaciones internas de carácter oficial, los funcionarios y empleados de la Administración Pública Estatal, podrán utilizar la Firma Electrónica.
Las personas físicas o morales podrán hacer uso de la Firma Electrónica en la realización de trámites ante la Administración Pública Estatal, siempre y cuando se les autorice para tal efecto.

Artículo 6.- La Firma Electrónica tendrá los mismos efectos jurídicos que una firma autógrafa consignada en documentos escritos.

Cualquier tipo de información contenida en un Mensaje de Datos firmado electrónicamente, o la constancia que de ellos se haga tendrán el mismo valor jurídico y la misma eficacia probatoria que la ley otorga a los documentos escritos en soporte de papel y con firma autógrafa.

Artículo 7.- Para la obtención del Certificado de Firma Electrónica, se requiere la comparecencia del particular o de su representante, debiendo invariablemente presentar a la Autoridad Certificadora o a los Agentes Certificadores para su verificación, la documentación que acredite la identidad, y en su caso existencia y facultades de su representante.

Los Mensajes de Datos que contengan una Firma Electrónica tendrán valor probatorio pleno.

Artículo 8.- Las personas interesadas en obtener la Firma Electrónica, deberán suscribir ante la Autoridad Certificadora o los Agentes Certificadores, un documento en el que:

I. Expresarán que es su libre voluntad contar con un Certificado de Firma Electrónica;

II. Se obligan a proporcionar información veraz y exacta para la obtención de la Firma Electrónica;

III. Reconocerán como propios y auténticos los Mensajes de Datos que contengan su Firma Electrónica;

IV. Aceptarán que el uso de la Firma Electrónica por persona distinta, quedará bajo su exclusiva responsabilidad, y que de ocurrir ese supuesto se atribuirá la autoría de los Mensajes de Datos;

V. Se obligarán a notificar para efectos de su invalidación, la pérdida o cualquier otra situación que pudiera implicar la reproducción o el uso indebido del Certificado de Firma Electrónica.

VI. Autorizarán que las notificaciones, citaciones o requerimientos se les hagan a través de Medios Electrónicos o Sistemas de Información, mismas que se practicarán en los términos, plazos y condiciones previstas en los acuerdos a que se refiere esta Ley; y,

VII. Las demás que determinen las leyes.

Artículo 9.- El Firmante tendrá las siguientes obligaciones:

I. Cumplir con los términos y condiciones a que se sujeta el uso de la Firma Electrónica;

II. Actuar con diligencia y los cuidados necesarios para evitar la utilización no autorizada de la Firma Electrónica;

III. Cerciorarse de que las declaraciones hechas en relación con la obtención de la Firma Electrónica son exactas;

IV. Asumir cualquier tipo de responsabilidad y cumplir con las obligaciones derivadas del mal uso que se haga de la Firma Electrónica; y,

V. Las demás que determinen las leyes y ordenamientos.

CAPÍTULO TERCERO.- DEL USO DE LA FIRMA ELECTRÓNICA

Artículo 10.– La Administración Pública Estatal podrá establecer el uso de la Firma Electrónica, a fin de hacer más eficiente la atención de los trámites y las comunicaciones internas de carácter oficial.

El uso de la Firma Electrónica para la realización de Trámites será optativo para las personas físicas o morales, salvo los casos que establezcan las disposiciones aplicables.

Artículo 11.- Atendiendo a la naturaleza de los Trámites, la Autoridad Certificadora en coordinación con los titulares de las Dependencias del Estado y Entidades Paraestatales, según corresponda, emitirán los Acuerdos mediante los cuales se establezcan las disposiciones de carácter general que se deberán observar en la obtención, implementación y uso de la Firma Electrónica para la realización de trámites, así como para las comunicaciones internas de carácter oficial.

Artículo 12.– Los Acuerdos mediante los cuales se establezcan las disposiciones de carácter general a que se refiere el Artículo anterior, deberán señalar como mínimo lo siguiente:

I. Los Trámites que las personas físicas o morales podrán realizar a través del uso de la Firma Electrónica, así como los requisitos que se deberán cumplir para ello;

II. Las condiciones, plazos y términos bajo los cuales la Administración Pública Estatal atenderá los Trámites referidos en la fracción que antecede;

III. Las bases técnicas para el establecimiento del uso de la Firma Electrónica; y

IV. La facultad de la Autoridad Certificadora de verificar su cumplimiento.

Artículo 13.- Atendiendo a la naturaleza del Trámite, los Mensajes de Datos podrán hacerse constar mediante archivos electrónicos con Firma Electrónica o en forma impresa de datos que contenga dicha firma.

Artículo 14.- La Autoridad Certificadora podrá implementar un Sistema de Información, con el objeto de que los interesados puedan verificar la autenticidad de los Mensajes de Datos que contengan Firma Electrónica.

Artículo 15.– Todo Mensaje de Datos se tendrá por expedido en el lugar donde el Emisor tenga su domicilio legal y por recibido en el lugar donde el Destinatario tenga el suyo.

Artículo 16.-Para hacer constar la recepción de un Mensaje de Datos se deberá generar un Acuse de Recibo, mismo que deberá contener los siguientes elementos:

I. Nombre, denominación o razón social del Emisor;

II. Registro Federal de Contribuyentes del Emisor, cuando así se requiera;

III. Nombre o denominación del Destinatario;

IV. Tipo de Trámite o asunto;

V. Fecha y hora de la recepción;

VI. Caracteres de identificación del acuse; y,

VII. Los demás que se determinen en los Acuerdos a que se refiere el Artículo 11 de esta Ley.

Artículo 17.– Cuando los particulares realicen Trámites en hora o día inhábil por Medios Electrónicos y Sistemas de Información con Firma Electrónica, que no sean factibles de ser procesados electrónicamente en forma inmediata por la autoridad competente, se tendrán por presentados en la primera hora hábil del día siguiente hábil, a aquel en que se genera el Acuse de Recibo.

Para los efectos de este Artículo, las horas y días inhábiles serán las establecidas en las disposiciones legales aplicables al Trámite correspondiente.

Artículo 18.- La Administración Pública Estatal deberá conservar en archivos electrónicos los Mensajes de Datos que contengan Firma Electrónica, garantizando su Autenticidad e Integridad en los términos de esta Ley.

De considerarlo necesario, podrá respaldarse en forma impresa.

La Administración Pública Estatal exhibirá los archivos electrónicos que obren en su poder o bien, la impresión de éstos debidamente certificados cuando así lo requiera la autoridad competente.

Artículo 19.– Cuando los Mensajes de Datos con Firma Electrónica presenten problemas técnicos, deberá requerirse al Emisor, a efecto de que subsane la deficiencia respectiva, o en su caso, envíe de nuevo el Mensaje de Datos de que se trate, dentro del plazo que se determine en los Acuerdos a que hace referencia el Artículo 11 de la presente Ley. En caso contrario el Trámite se tendrá por no presentado, quedando sin efecto el
Acuse de Recibo que se hubiese generado.

Cuando los Mensajes de Datos con Firma Electrónica enviados por la Administración Pública Estatal presenten problemas técnicos, el Destinatario deberá solicitarle en un término no mayor a veinticuatro horas, que subsane la deficiencia respectiva o en su caso, envíe de nueva cuenta el Mensaje de Datos de que se trate.

CAPÍTULO CUARTO.- DE LOS CERTIFICADOS DE FIRMA ELECTRÓNICA

Artículo 20.- Los efectos del Certificado de Firma Electrónica son:

I. Autentificar que la Firma Electrónica pertenece a determinada persona; y,

II. Establecer la vigencia de la Firma Electrónica.

Artículo 21.- Los Certificados de Firma Electrónica deberán contener:

I. La expresión de que tienen esa naturaleza;

II. El código único de identificación;

III. Los datos de autorización de quien lo expide;

IV. La Firma Electrónica de la Autoridad Certificadora o del Agente Certificador que lo expide;

V. El nombre, denominación o razón social del Titular. Se podrá consignar en el Certificado de Firma Electrónica cualquier otra circunstancia personal del titular o de su representante, en caso de que sea significativa en función del propio certificado y siempre que aquel otorgue su consentimiento;

VI. En los supuestos de representación, la indicación del documento que la acredite, el nombre del Firmante, y las facultades para actuar en nombre de la persona a la que represente, misma que se considerará como Titular;

VII. Los Datos de Verificación de la Firma Electrónica;

VIII. El período de vigencia;

IX. En su caso, los límites de uso; y,

X. Los demás elementos que determine la Autoridad Certificadora.

Artículo 22.- El Certificado de Firma Electrónica tendrá una vigencia de dos años, no obstante podrá extinguirse por cualquiera de las siguientes causas:

I. Cuando así lo solicite su Titular, o el Firmante en los casos de representación;

II. Por revocación de la Autoridad Certificadora o los Agentes Certificadores, cuando se dejen de reunir las condiciones que sirvieron de base para su otorgamiento, o bien el Titular o Firmante incumplan las obligaciones que les impone esta Ley;

III. Resolución judicial o administrativa;

IV. Fallecimiento del Firmante o su representando;

V. Incapacidad legal superviniente del Titular, o del Firmante en el caso de representación;

VI. Terminación de la representación, o extinción de la persona moral representada;

VII. Expiración de su vigencia; y,

VIII. Cualquiera otra que impida su debida utilización.

Antes de que concluya el período de vigencia de un Certificado de Firma Electrónica, su Titular podrá solicitar uno nuevo.

En el supuesto mencionado en el párrafo anterior, la Autoridad Certificadora o los Agentes Certificadores podrán, mediante reglas de carácter general, relevar a los Titulares del Certificado de Firma Electrónica de la comparecencia personal ante dichos entes para acreditar su identidad y, en el caso de las personas morales, la representación legal correspondiente, cuando los Titulares cumplan con los requisitos que se establezcan en las propias reglas.

Si dichos órganos no emiten las reglas de carácter general, se estará a lo dispuesto por los Artículos 7 y 8 de esta Ley.

Artículo 23.– La revocación de los Certificados de Firma Electrónica se sujetará a lo siguiente:

I. La autoridad que otorgó el Certificado de Firma Electrónica notificará a su Titular, o al Firmante en los casos de representación, el inicio del procedimiento de revocación y la causa que motiva el mismo;

II. El Titular o Firmante en los casos de representación contará con tres días hábiles para manifestar lo que a su derecho convenga, aportando en su caso los elementos que estime pertinentes, los cuales deberán estar relacionados con el hecho que se pretende probar; y,

III. Transcurrido dicho plazo se resolverá lo conducente.

IV. A partir de que se notifique el inicio del procedimiento respectivo, se suspenderán temporalmente los efectos del Certificado de Firma Electrónica, en tanto se resuelve la revocación.

Artículo 24.– La extinción de un Certificado de Firma Electrónica surtirá efectos desde la fecha en que la Autoridad Certificadora o los Agentes Certificadores tengan conocimiento de la causa que la origina, debiendo hacerse constar tal circunstancia en el Registro de Certificados.

Tratándose del fallecimiento del Firmante o su representado, la extinción surtirá efectos a partir de que este ocurra.

Artículo 25.– Cuando algún servidor público deje de prestar sus servicios a la Administración Pública, se procederá a la cancelación inmediata del Certificado de Firma Electrónica que se le hubiera expedido con tal carácter.

Artículo 26.- La Autoridad Certificadora o los Agentes Certificadores, suspenderán temporalmente un Certificado de Firma Electrónica cuando lo solicite el Titular, el Firmante en los casos de representación o cuando así proceda en términos de esta Ley. La suspensión deberá inscribirse en el Registro de Certificados de Firma Electrónica.

Artículo 27.– El Titular del Poder Ejecutivo del Estado por conducto de la Autoridad Certificadora, podrá celebrar convenios con la Federación, las Entidades Federativas, el Distrito Federal y los Municipios a efecto de que la Firma Electrónica utilizada por dichas autoridades, pueda ser manejada por los particulares en términos de esta Ley, o bien para que se utilice en la Federación, las Entidades Federativas, el Distrito Federal y los Municipios.

CAPÍTULO QUINTO.- DE LOS TITULARES DE CERTIFICADOS DE FIRMA ELECTRÓNICA

Artículo 28.- Los Titulares de Certificados de Firma Electrónica, respecto de la Autoridad Certificadora y los Agentes Certificadores tendrán derecho a:

I. Solicitar la expedición de la constancia de la existencia y un registro del Certificado;

II. Solicitar la modificación de datos y elementos del Certificado de Firma Electrónica cuando así se convenga a sus intereses;

III. Recibir información sobre términos y condiciones bajo los cuales se otorgará la certificación;

IV. La confidencialidad sobre la información proporcionada para la obtención de la Firma Electrónica;

V. Conocer los medios a través de los cuales podrá solicitar aclaraciones, presentar quejas o reportes; y,

VI. Que se les notifique la suspensión, cancelación o extinción de su certificado.

Artículo 29.- Son obligaciones de los Titulares de Certificados de Firma Electrónica:

I. Proporcionar datos veraces, completos y exactos;

II. Mantener el control exclusivo de sus Datos de Creación de Firma Electrónica;

III. Solicitar la extinción de su Certificado de Firma Electrónica en caso de pérdida, robo o cualquier circunstancia que pueda comprometer la privacidad de sus datos de creación de Firma Electrónica;

IV. Verificar que el Firmante en el caso de representación, cumpla con las obligaciones que le establece esta Ley;

V. Actualizar los datos contenidos en el Certificado de Firma Electrónica; y,

VI. Las demás que determine la Autoridad Certificadora en los términos de esta Ley.

CAPÍTULO SEXTO.- DE LA AUTORIDAD CERTIFICADORA Y LOS AGENTES CERTIFICADORES

Artículo 30.– La Autoridad Certificadora, tendrá las siguientes atribuciones y obligaciones:

I. Autorizar en los términos de la Ley a las Dependencias y Entidades, para la expedición de Certificados de Firma Electrónica;

II. Revocar la autorización a que se refiere la fracción anterior, cuando se dejen de reunir las condiciones que sirvieron de base para su otorgamiento;

III. Llevar un Registro de Certificados de Firma Electrónica y de Agentes Certificadores;

IV. Vigilar el cumplimiento de las obligaciones de los Agentes Certificadores;

V. Establecer los estándares tecnológicos y operativos de la infraestructura de los Medios Electrónicos y/o Sistemas de Información, así como de la Firma Electrónica;

VI. Guardar la confidencialidad respecto de la información que haya recibido para el otorgamiento de un Certificado de Firma Electrónica;

VII. Poner a disposición del Firmante los dispositivos de creación y de verificación de Firma Electrónica;

VIII. Informar sobre las características y condiciones de uso del Certificado de Firma Electrónica;

IX. Registrar toda la información y documentación relativa a los Certificados de Firma Electrónica; y,

X. Las demás que deriven de esta Ley y otras disposiciones aplicables.

Artículo 31.- Las disposiciones técnicas que se establezcan en materia de Medios Electrónicos, en términos del segundo párrafo del Artículo 22 de la Ley de Adquisiciones, Arrendamientos y Servicios para el Estado de Baja California, deberán ser emitidas por la Autoridad Certificadora conjuntamente con la Oficialía Mayor del Poder Ejecutivo.

Artículo 32.– Sólo las Dependencias del Estado y Entidades Paraestatales, podrán ser autorizadas como Agentes Certificadores, siempre y cuando cuenten con elementos humanos, materiales, económicos que determine la Autoridad Certificadora.

Artículo 33.– Los Agentes Certificadores tendrán las siguientes atribuciones y obligaciones:

I. Expedir los Certificados de Firma Electrónica en los términos que establece esta Ley;

II. Remitir a la Autoridad Certificadora la información relativa a la expedición, suspensión o extinción de los Certificados de Firma Electrónica, para su inscripción en el Registro de Certificados de Firma Electrónica;

III. Guardar la confidencialidad respecto de la información que haya recibido para el otorgamiento del Certificado de Firma Electrónica;

IV. Poner a disposición del Firmante los dispositivos de creación y de verificación de Firma Electrónica;

V. Informar sobre las características y condiciones de uso del Certificado de Firma Electrónica;

VI. Facilitar a la Autoridad Certificadora la información que le permita verificar el cumplimiento de sus obligaciones en los términos de esta Ley;

VII. Resguardar toda la información y documentación relativa a los Certificados de Firma Electrónica que expidan;

VIII. Cumplir con las obligaciones que deriven de esta Ley y demás disposiciones aplicables.

CAPÍTULO SÉPTIMO.- DE LOS MEDIOS DE DEFENSA

Artículo 34.– La negativa de la Autoridad Certificadora o los Agentes Certificadores para expedir un Certificado de Firma Electrónica, o la resolución que recaiga al procedimiento de revocación del Certificado de Firma Electrónica, podrá ser impugnada por el interesado en los términos de la Ley del Procedimiento para los Actos de la Administración Pública del Estado de Baja California.

CAPÍTULO OCTAVO.- DEL USO DE MEDIOS ELECTRÓNICOS Y LA FIRMA ELECTRÓNICA EN EL ÁMBITO MUNICIPAL

Artículo 35.– Los Ayuntamientos que implementen el uso de la Firma Electrónica, en el ámbito de su competencia, expedirán la normatividad que deberá regir esta materia, de conformidad con las siguientes bases:

I. Los términos y condiciones a que se sujetará el uso de la Firma Electrónica;

II. La Autoridad competente para expedir los Certificados de Firma Electrónica;

III. En su caso, el régimen de actuación de las dependencias y entidades que funjan como Agentes Certificadores; y,

IV. Las demás disposiciones que consideren necesarias para lograr el cumplimiento del objeto de la Ley.

TRANSITORIOS

ARTÍCULO PRIMERO.- La presente Ley entrará en vigor al día siguiente de su publicación en el Periódico Oficial del Estado.

ARTÍCULO SEGUNDO.- Los trámites que a la fecha de la entrada en vigor del presente ordenamiento sean realizados por Medios Electrónicos, continuarán realizándose de este modo, hasta en tanto se establezcan las disposiciones de carácter general que determinen los trámites que podrán sujetarse al uso de la Firma Electrónica.

DADO en el Salón de Sesiones «Lic. Benito Juárez García» del H. Poder Legislativo del Estado de Baja California, en la Ciudad de Mexicali, B.C., a los treinta días del mes de septiembre de dos mil nueve, rúbrica la Mesa Directiva del Primero Periodo Ordinario de Sesiones del Tercer Año de Ejercicio Constitucional, el día quince de octubre de dos mil nueve.

DIP. ANTONIO RICARDO CANO JIMÉNEZ
PRESIDENTE
 
DIP. RUBÉN ERNESTO ARMENTA ZANABIA
SECRETARIO

DE CONFORMIDAD CON LO DISPUESTO POR LA FRACCION I DEL ARTÍCULO 49 DE LA CONSTITUCIÓN POLÍTICA DEL ESTADO, IMPRÍMASE Y PUBLÍQUESE.

MEXICALI, BAJA CALIFORNIA, A LOS VEINTISÉIS DIAS DEL MES DE OCTUBRE DEL AÑO DOS MIL NUEVE.

GOBERNADOR DEL ESTADO
JOSE GUADALUPE OSUNA MILLÁN

SECRETARIO GENERAL DE GOBIERNO
JOSE FRANCISCO BLAKE MORA

12Dic/04

Decreto n° 3.335. Mensajes de datos y firmas electrónicas

Decreto nº 3.335 de 12 de diciembre de 2004. Reglamento parcial del Decreto Ley sobre mensajes de datos y firmas electrónicas

(Gaceta Oficial nº 38.086 del 14 de diciembre de 2004).

HUGO CHAVEZ FRIAS

Presidente de la República

En ejercicio de la atribución que le confiere el numeral 10 del artículo 236 de la Constitución de la República Bolivariana de Venezuela, en concordancia con el artículo 87 de la Ley Orgánica de la Administración Pública, en Consejo de Ministros,

DICTA

el siguiente,

REGLAMENTO PARCIAL DEL DECRETO LEY SOBRE MENSAJES DE DATOS Y FIRMAS ELECTRONICAS

Capítulo I. Disposiciones Generales


Artículo 1º. Objeto

El presente Reglamento tiene por objeto desarrollar la normativa que regula la acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, la creación del Registro de Auditores, así como los estándares, planes y procedimientos de seguridad, de conformidad con el Decreto Ley.

 

Artículo 2º. Definiciones

A los efectos del presente Reglamento se entenderá por:

Declaración de Prácticas de Certificación: Documento en el cual el Proveedor de Servicios de Certificación Electrónica define los procedimientos relacionados con el manejo de los certificados electrónicos que emite.

Política de Certificados: Documento en el cual el Proveedor de Servicios de Certificación Electrónica, define las reglas a seguir para el uso de un Certificado Electrónico en una comunidad de usuarios o aplicación determinados y sus requerimientos de seguridad.

Datos de Generación de Firma Electrónica: Valor o valores numéricos que utilizados conjuntamente con un procedimiento matemático sirven para crear la firma electrónica asociada a un mensaje de datos.

Datos de Verificación de la Firma Electrónica: Valor o valores numéricos que son utilizados para comprobar que la firma electrónica fue creada con los datos de generación de firma electrónica del signatario.

Repositorio: Sistema de Información utilizado para el almacenamiento y acceso de los certificados electrónicos y la información asociada a los mismos.

Auditores: Son los expertos técnicos en la materia, inscritos en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica.

 

Capítulo II. De la Acreditación de los Proveedores de Servicios de Certificación

 

Artículo 3º. Presentación de la Solicitud de Acreditación

 

El Proveedor de Servicios de Certificación Electrónica presentará la solicitud de acreditación ante la Superintendencia de Servicios de Certificación Electrónica, con los siguientes recaudos e información:

1. Identificación completa del solicitante.

2. Información económica y financiera, con la cual se demuestre la capacidad suficiente para prestar servicios como Proveedor de Servicios de Certificación.

3. Copia de los contratos correspondientes a aquellos servicios que sean prestados por terceros, en caso de haberlos.

4. Proyectos de contratos a ser suscritos con los signatarios.

5. Políticas de Certificados y Declaración de Prácticas de Certificación.

6. Estados financieros auditados y declaraciones del impuesto sobre la renta de los dos últimos ejercicios fiscales.

7. Informe de auditoría de acuerdo con lo establecido en el artículo 5 de este Reglamento, elaborado por auditores independientes, no vinculados e inscritos en el registro que a tal efecto lleva la Superintendencia de Servicios de Certificación Electrónica.

8. Documento con la descripción detallada de la infraestructura, planes y procedimientos establecidos en el Capítulo VIII de este Reglamento. En caso que toda o parte de la infraestructura sea prestada por un tercero debe incluirse copia de los contratos o convenios con éste.

Los requisitos establecidos anteriormente, así como cualquier otro documento a los que se refiere este Reglamento, deberán presentarse en idioma castellano o traducido al castellano por intérprete público.

 

Artículo 4º. Admisibilidad de la Solicitud

Una vez presentados todos los recaudos establecidos en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y este Reglamento, la Superintendencia de Servicios de Certificación Electrónica tendrá veinte días hábiles de conformidad con el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas para pronunciarse sobre la solicitud de la Acreditación.

 

Artículo 5º. Contenido del Informe de Auditoría

El informe de auditoría deberá contener los siguientes requisitos:
1. Nombre e identificación de los auditores.

2. Fecha de inicio y terminación de la auditoría.

3. Declaración de conformidad de cada una de las condiciones previstas en el artículo 31 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y las demás previstas en este Reglamento.

4. Manifestación del cumplimiento de los estándares indicados en el Capítulo VIII de este Reglamento.

5. Firma del auditor.

 

Artículo 6º. Inspecciones y Visitas en el Procedimiento de Acreditación

Durante todo el procedimiento de acreditación, la Superintendencia de Servicios de Certificación Electrónica podrá, realizar visitas a las instalaciones del solicitante por intermedio de sus funcionarios o por expertos especialmente autorizados para tal fin.

 

Artículo 7º. Pronunciamiento de la Superintendencia de Servicios de Certificación Electrónica sobre las Garantías

Aprobada la solicitud, el Proveedor de Servicios de Certificación Electrónica deberá presentar las garantías necesarias para su acreditación.

Presentadas las garantías y verificadas por la Superintendencia de Servicios de Certificación Electrónica, ésta procederá a acreditar al Proveedor de Servicio de Certificación Electrónica mediante providencia publicada en la Gaceta Oficial de la República Bolivariana de Venezuela.

La Superintendencia de Servicios de Certificación Electrónica no otorgará la Acreditación, hasta tanto el solicitante cumpla con los requisitos establecidos en el artículo 32 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas. Dicha decisión será debidamente notificada al interesado mediante acto motivado.

 

Artículo 8º. Duración de la Acreditación

La acreditación de los Proveedores de Servicios de Certificación ante la Superintendencia de Servicios de Certificación Electrónica, tendrá la duración de un año.

 

Artículo 9º. Renovación de la Acreditación

El Proveedor de Servicios de Certificación, deberá solicitar la renovación de la acreditación dentro de los cuarenta y cinco días continuos, previos al vencimiento de la acreditación.

Al momento de la solicitud de la renovación, el Proveedor de Servicios de Certificación deberá presentar nuevamente todos los recaudos de conformidad con lo establecido en el artículo 3 de este Reglamento.

La Superintendencia de Servicios de Certificación Electrónica tendrá veinte días de conformidad con la ley que rige los procedimientos administrativos, para el pronunciamiento de la renovación de la acreditación, e informará al Proveedor de Servicios de Certificación, dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito.

 

Artículo 10. Notificación de la Revocatoria de la Acreditación

La revocatoria de la acreditación surtirá sus efectos a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.

Los Proveedores de Servicio de Certificación cuya acreditación haya sido revocada, deberán comunicar inmediatamente este hecho a los titulares de los certificados electrónicos por ellos emitidos. Sin perjuicio de ello, la Superintendencia de Servicios de Certificación Electrónica publicará en un diario de los de mayor circulación nacional un aviso dando cuenta de la revocatoria. El costo de dicho aviso será por cuenta del Proveedor de Servicios de Certificación.

 

Artículo 11. Responsabilidad por los Perjuicios Causados por la Revocación

El Proveedor de Servicios de Certificación será responsable de los perjuicios que pueda causar la revocatoria de la acreditación a los titulares de los Certificados Electrónicos que se encontraban vigentes. Los costos de transferencia a otro proveedor acreditado, serán por cuenta del Proveedor de Servicios de Certificación cuya acreditación se revocó.

 

Capítulo III. De los Proveedores de Servicios de Certificación Acreditados

 

Artículo 12. Obligaciones de los Proveedores de Servicios de Certificación Acreditados

Los Proveedores de Servicios de Certificación Electrónica, de conformidad con lo previsto en el artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán:

1. Comprobar presencialmente la identidad de los solicitantes de los Certificados Electrónicos y verificar cualesquiera otras circunstancias relevantes, en forma previa a la expedición, conservando la documentación que respalda dicha identificación por el tiempo señalado en el numeral 4 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.

2. Mantener a disposición permanente del público en su página Web o en cualquier otra red mundial de acceso público y con un acceso desde su página inicial, la declaración de prácticas de certificación y las políticas de certificados vigentes.

3. Cumplir cabalmente con las políticas de certificados y la declaración de prácticas de certificación vigente.

4. Informar en la forma establecida en el numeral 4 del artículo 31 y numeral 6 del artículo 35 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, el nivel de confiabilidad de sus certificados electrónicos, los límites de responsabilidad del Proveedor de Servicios de Certificación y las obligaciones que el signatario asume como usuario del servicio de certificación.

5. Garantizar la prestación permanente e ininterrumpida del servicio. Quedan a salvo las suspensiones que autorice la Superintendencia de Servicios de Certificación Electrónica de conformidad con la Ley y sus reglamentos.

6. Garantizar de manera fácil y permanente el acceso de los signatarios y terceros al repositorio.

7. Informar a la Superintendencia de Servicios de Certificación Electrónica de manera inmediata, cualquier evento que comprometa la prestación del servicio.

8. Abstenerse de almacenar los datos de generación de firma del signatario y garantizar un método de creación de los mismos, que impida mantener copia una vez que éstos hayan sido entregados al signatario.

9. Mantener actualizado el registro de los certificados electrónicos revocados.

10. Informar al signatario dentro de las veinticuatro horas siguientes de la suspensión o revocatoria de su Certificado Electrónico.

11. Mantener el control exclusivo de sus datos de generación de firma electrónica como Proveedor de Servicios de Certificación, y establecer las medidas de seguridad necesarias para que ésta no se divulgue o comprometa.

 

Artículo 13. Cambio o Actualización de Datos de un Proveedor de Servicios de Certificación

Si el Proveedor de Servicios de Certificación realizara cualquier reforma de los estatutos sociales de la empresa, así como la ubicación de sus oficinas principales, deberá notificarlo a la Superintendencia de Servicios de Certificación Electrónica dentro de los diez días siguientes a la modificación o cambio, a los fines de mantener actualizada la información.

 

Artículo 14. Modificación de la Declaración de Prácticas de Certificación y las Políticas de Certificados

El Proveedor de Servicios de Certificación acreditado deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica, cualquier modificación en su declaración de Prácticas de Certificación. Asimismo, deberá someter a la autorización de la Superintendencia de Servicios de Certificación Electrónica cualquier creación, modificación o eliminación de sus políticas de certificados.

 

Artículo 15. Información Periódica

Para fines estadísticos, el Proveedor de Servicios de Certificación acreditado, deberá enviar a la Superintendencia de Servicios de Certificación Electrónica, dentro de los primeros diez días del inicio de cada trimestre un reporte sobre la actividad del trimestre anterior, discriminada mes a mes con la siguiente información:

1. Cantidad de Certificados Electrónicos emitidos, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para dicho Proveedor de Servicios de Certificación.

2. Cantidad de Certificados Electrónicos vigentes, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.

3. Cantidad de Certificados Electrónicos revocados, de acuerdo con las políticas de certificados autorizados por la Superintendencia de Servicios de Certificación Electrónica, para el Proveedor de Servicios de Certificación.

 

Artículo 16. Suspensión del Servicio por Mantenimiento y Mejoras de Sistemas

Los Proveedores de Servicios de Certificación podrán cesar temporalmente la prestación del servicio, a fin de hacer mantenimiento o mejoras a sus sistemas hasta por setenta y dos horas acumulativas por cada año calendario.

Cuando la suspensión deba exceder el lapso indicado en el párrafo anterior, el Proveedor de Servicios de Certificación, deberá solicitar a la Superintendencia de Servicios de Certificación Electrónica la autorización correspondiente.

El Proveedor de Servicios de Certificación deberá informar al signatario la suspensión con no menos de veinticuatro horas de anticipación, y deberá remitir a la Superintendencia de Servicios de Certificación Electrónica, la constancia de dicho aviso durante las veinticuatro horas siguientes de haber informado al signatario.

 

Artículo 17. Suspensión del Servicio por Caso Fortuito o Fuerza Mayor

Cuando por caso fortuito o fuerza mayor se ocasione la suspensión de la prestación de sus servicios, el Proveedor de Servicios de Certificación deberá, notificarlo a sus usuarios dentro de las veinticuatro horas siguientes al inicio de la misma y remitir constancia de dicha notificación a la Superintendencia de Servicios de Certificación Electrónica, adicionalmente, deberá consignar ante este servicio autónomo, un informe contentivo de las causas y período de la suspensión en un plazo no mayor de cuarenta y ocho horas luego del restablecimiento del servicio.

 

Artículo 18. Indicación de la Acreditación

El Proveedor de Servicios de Certificación podrá, señalar en cualquier medio en el cual publicite sus servicios, que ha sido debidamente acreditado ante la Superintendencia de Servicios de Certificación Electrónica.

 

Capítulo IV. De los Proveedores de Servicios de Certificación Extranjeros

 

Artículo 19. Garantía de los Certificados Electrónicos Extranjeros

Los certificados electrónicos emitidos por un Proveedor de Servicios de Certificación Extranjero, de conformidad con lo establecido en el artículo 44 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, deberán ser garantizados por el Proveedor de Servicios de Certificación acreditado ante la Superintendencia de Servicios de Certificación Electrónica, la cual verificará la suficiencia de la garantía y la adecuación de ésta a las normas para el desarrollo de esta actividad.

 

Artículo 20. Notificación de la Garantía de Certificación

El Proveedor de Servicios de Certificación acreditado que garantice certificados electrónicos extranjeros, deberá comunicar a la Superintendencia de Servicios de Certificación Electrónica la fecha a partir de la cual la garantía a la que se refiere el artículo anterior será efectiva en sus sistemas.

La forma y alcance de la garantía de los certificados extranjeros deberán estar establecidas en la Declaración de Prácticas de Certificación del garante.

 

Artículo 21. Efectos de la Garantía del Certificado Extranjero

El efecto de la garantía de cada certificado extranjero, se limitará a las características establecidas en la Política de Certificado correspondiente y por el período de validez del mismo.

Los signatarios de los certificados electrónicos garantizados y los terceros interesados tendrán idénticos derechos que los signatarios y terceros interesados de los certificados electrónicos propios del Proveedor de Servicios de Certificación que hace el reconocimiento.

 

Capítulo V. De la Supervisión de los Proveedores de Servicios de Certificación Acreditados por la Superintendencia de Servicios de Certificación Electrónica

 

Artículo 22. Realización de Inspecciones

La Superintendencia de Servicios de Certificación Electrónica ejercerá la facultad inspectora sobre los Proveedores de Servicios de Certificación, y podrá, a tal efecto, requerir la información correspondiente y realizar las visitas a sus instalaciones con el fin de comprobar el cumplimiento de sus obligaciones de conformidad con las competencias establecidas en el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.

 

Artículo 23. Inspecciones Ordinarias y Extraordinarias

La Superintendencia de Servicios de Certificación Electrónica podrá realizar inspecciones tanto ordinarias como extraordinarias a los Proveedores de Servicios de Certificación.

La inspección ordinaria, consiste en una visita anual a las instalaciones del Proveedor de Servicios de Certificación acreditado, y el requerimiento en forma semestral de información sobre el desarrollo de sus actividades.

La inspección extraordinaria, podrá ser practicada en cualquier momento, por denuncia de terceros sobre inconsistencias en la prestación del servicio o de oficio.

 

Artículo 24. Ejecución de las Inspecciones

La Superintendencia de Servicios de Certificación Electrónica realizará las inspecciones a través de sus funcionarios, y podrá hacerse asistir de los expertos técnicos o legales que considere necesarios para facilitar el ejercicio de sus competencias.

La Superintendencia de Servicios de Certificación Electrónica, podrá requerir al Proveedor de Servicios de Certificación toda la información técnica, financiera o de cualquier otra naturaleza que considere necesaria, dentro del ámbito de sus competencias.

 

Artículo 25. Confidencialidad de la Información Suministrada

La Superintendencia de Servicios de Certificación Electrónica, así como, el personal que actúe bajo su dependencia o por cuenta de ella, deberá mantener la confidencialidad de la información y documentos entregados por los Proveedores de Servicios de Certificación, cuando dicha información revista tal carácter, en virtud de las normas legales vigentes.

 

Capítulo VI. Del Registro de Auditores


Artículo 26. De los Auditores

A los efectos de lo establecido en el artículo 26 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, las auditorías a las que se refiere la mencionada Ley y sus reglamentos, serán realizadas por auditores debidamente inscritos ante la Superintendencia de Servicios de Certificación Electrónica, de conformidad con lo dispuesto en el presente Reglamento.

Solamente los informes de los auditores inscritos ante la Superintendencia de Servicios de Certificación Electrónica podrán, hacerse valer como parte de los requisitos de acreditación exigidos, o en cualquier otro caso en que se requiera de conformidad con el Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y sus Reglamentos.

 

Artículo 27. Creación del Registro de Auditores

La Superintendencia de Servicios de Certificación Electrónica creará un Registro de Auditores, con el propósito de inscribir a las personas autorizadas para la realización de los informes de auditoría, con base en lo dispuesto en el numeral 14 del artículo 22 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas.

 

Artículo 28. Solicitud de Inscripción en el Registro

A los fines de la inscripción en el Registro de Auditores de la Superintendencia de Servicios de Certificación Electrónica, los interesados deberán realizar su solicitud por escrito y cumplir con los requisitos previamente establecidos por la Superintendencia de Servicios de Certificación Electrónica.

 

Artículo 29. Decisión de Inscripción en el Registro

Recibida la solicitud, la Superintendencia de Servicios de Certificación Electrónica dispondrá de veinte días hábiles para decidir sobre la inscripción en el Registro de Auditores de conformidad con lo que establece la ley que rige los procedimientos administrativos.

La Superintendencia de Servicios de Certificación Electrónica informará al solicitante, dentro de los cinco días siguientes a la presentación de la solicitud de inscripción, la omisión o incumplimiento de algún requisito, de conformidad con la ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.

 

Artículo 30. Vigencia de la Inscripción en el Registro

Decidida favorablemente la inscripción en el Registro de Auditores, la Superintendencia de Servicios de Certificación Electrónica expedirá una certificación de inscripción que tendrá una vigencia de tres años.

 

Artículo 31. Renovación de la Inscripción

Al momento de la renovación del Registro de Auditores, el auditor deberá presentar nuevamente todos los recaudos que son necesarios para la inscripción, dentro de un lapso de cuarenta y cinco días continuos previos al vencimiento.

La Superintendencia de Servicios de Certificación Electrónica tendrá, veinte días hábiles para el pronunciamiento de la renovación de la inscripción, de conformidad con lo establecido con la Ley que rige los procedimientos administrativos.

Asimismo, la Superintendencia de Servicios de Certificación Electrónica informará al auditor dentro de los cinco días siguientes a la presentación de la solicitud de renovación, la omisión o incumplimiento de algún requisito, de conformidad con la Ley que rige los procedimientos administrativos. Dicho pronunciamiento será debidamente notificado al solicitante.

 

Capítulo VII. De los Certificados Electrónicos y de las Firmas Electrónicas


Artículo 32. Contenido de los Certificados Electrónicos

Los Certificados Electrónicos emitidos por los Proveedores de Servicios de Certificación acreditados por la Superintendencia de Servicios de Certificación Electrónica, podrán incluir información adicional a la requerida en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, siempre y cuando ésta no dificulte o impida su lectura o el reconocimiento de dichos certificados por terceros.

Artículo 33. Manejo de los Datos de Generación de Firma Electrónica

Los Datos de Generación de la Firma Electrónica creados por el Proveedor de Servicios de Certificación Electrónica, deberán ser entregados al signatario en forma personal y de manera inmediata quedando comprobada la recepción de los mismos mediante acuse de recibo. A partir de este momento, el signatario pasará a ser responsable del uso y resguardo de los Datos de Generación de Firma Electrónica.

El Proveedor de Servicios de Certificación Electrónica, no podrá mantener copia de los Datos de Generación de la Firma Electrónica del signatario.

 

Capítulo VIII. De los Estándares, Planes y Procedimientos de Seguridad


Artículo 34. Políticas, Planes y Procedimientos de Seguridad

El Proveedor de Servicios de Certificación debe definir y poner en práctica políticas, planes y procedimientos de seguridad orientados a garantizar la prestación continua de los servicios de certificación y el resguardo de los registros, que deberán ser revisados y actualizados periódicamente, los cuales deben incluir:

1. Políticas y procedimientos de seguridad de las instalaciones físicas y los equipos.

2. Políticas de acceso a los sistemas e instalaciones del proveedor y monitoreo constante de los mismos.

3. Planes y procedimientos de actualización de hardware y software, utilizados para la operación de Proveedores de Servicios de Certificación.

4. Planes y procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del funcionamiento del Proveedor de Servicios de Certificación, según estudio que se actualizará periódicamente.

5. Plan de manejo, control y prevención de virus informático.

 

Artículo 35. Cumplimiento de los Requisitos Técnicos

El Proveedor de Servicios de Certificación Electrónica deberá contar con el personal calificado, infraestructura física y tecnológica y sistemas de seguridad de conformidad con el artículo 31, numerales 2, 3, 4, 5 y 7, del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, así como con las siguientes obligaciones técnicas:

1. Generar las firmas electrónicas propias, y prestar los servicios para los cuales ha sido autorizado en la correspondiente acreditación.

2. Garantizar el cumplimiento de lo previsto en la Declaración de Prácticas de Certificación y las Políticas de Certificados.

3. Garantizar que los certificados expedidos cumplan con lo previsto en el artículo 43 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas y por lo menos, con alguno de los estándares de certificados admitidos por la Superintendencia de Servicios de Certificación Electrónica.

4. Establecer sistemas de seguridad en las instalaciones, con monitoreo permanente de la infraestructura física, y con acceso restringido a los equipos de sistemas de operación del Proveedor de Servicios de Certificación Electrónica.

5. Someter los datos de generación de firma electrónica al procedimiento propio de seguridad que evite el acceso físico o de otra índole, a personal no autorizado.

6. Garantizar que los sistemas que cumplan las funciones de certificación sólo sean utilizados para ese fin, y no puedan realizar ninguna otra función.

7. Garantizar que todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que serán actualizados de acuerdo con los avances tecnológicos para garantizar la correcta prestación del servicio.

 

Artículo 36. Estándares

La Superintendencia de Servicios de Certificación Electrónica de conformidad con la facultad que le confieren los artículos 22 numeral 5 y 27 del Decreto Ley Sobre Mensajes de Datos y Firmas Electrónicas, establecerá los estándares o las prácticas aceptadas para la prestación de los Servicios de Certificación Electrónica.

Artículo 37. Infraestructura Prestada por un Tercero

Cuando el Proveedor de Servicios de Certificación requiera o utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que a la terminación de los mismos, se establezca un tiempo suficiente para que el Proveedor de Servicios de Certificación tome las medidas necesarias para garantizar la continuidad de la prestación de sus servicios sin perjuicio alguno para los signatarios.

La contratación de esta infraestructura o servicios no exime al Proveedor de Servicios de Certificación, de la presentación de los informes de auditoría previstos en este Reglamento, los cuales deben incluir los sistemas informáticos y de seguridad del tercero contratado.

Disposición Final

Única.- El presente Reglamento entrará en vigencia a partir de la fecha de su publicación en la Gaceta Oficial de la República Bolivariana de Venezuela.

 

Dado en Caracas, a los doce días del mes de Diciembre de dos mil cuatro. Años 194° de la Independencia y 145° de la Federación.

29Nov/04

Efficacia del documento sottoscritto con firma elettronica qualificata o con firma digitale: ritorno al futuro

Efficacia del documento sottoscritto con firma elettronica qualificata o con firma digitale: ritorno al futuro

Il nuovo progetto di Codice dell’amministrazione digitale, recentemente approvato dal Governo ed ora all’esame del Consiglio di Stato e delle varie Commissioni parlamentari, reca alcune rilevanti novità in tema di forma ed efficacia del documento informatico (preferisco utilizzare questa classificazione, a mio avviso più corretta secondo la tradizione giuridica italiana, piuttosto che parlare di efficacia della firma digitale). Ciò discende direttamente dalla delega legislativa che era stata attribuita al Governo con la Legge di semplificazione 2003, la quale prevedeva espressamente la facoltà introdurre modifiche di riordino della normativa in tema di documento informatico e firma elettronica, con lo scopo di graduare gli effetti giuridici riconosciuti alle varie tipologie di firme elettroniche e digitali in funzione del loro grado di sicurezza.

Prima di commentare l’articolo 18, che contiene una nuova disciplina dell’efficacia del documento sottoscritto con firma elettronica avanzata o digitale, occorre fare un breve excursus storico e rivisitare le norme che si sono succedute nel tempo, indagando le ragioni che sottendevano a tali scelte legislative.

Come a tutti noto, il DPR 513/93 stabiliva all’art 5 (Efficacia probatoria del documento informatico) che: «1. Il documento informatico, sottoscritto con firma digitale ai sensi dell’articolo 10, ha efficacia di scrittura privata ai sensi dell’articolo 2702 del codice civile.»

Tale impostazione, scelta dei primi studiosi che si erano occupati di questo delicato aspetto delle firme elettroniche (principalmente D. Limone e F. Cocco), era, per certi versi, obbligata. Da un lato, vi era stata la scelta di politica legislativa operata con la cd. «Bassanini 1» (legge 59/1997), in base alla quale si era stabilito di replicare le categorie giuridiche esistenti nel diritto tradizionale anche per il «cyberspazio», anziché crearne di nuove. Dall’altro lato, vi era il Codice civile italiano che offriva una ripartizione, per così dire, su quattro livelli, ad efficacia probatoria crescente, all’interno dei quali si era ritenuto inevitabile, per una sorta di «parallelismo assoluto», ricomprendere i «nuovi fenomeni digitali»:

  • «documento informatico non sottoscritto» quale «riproduzione meccanica» (art. 2712 cod. civ.);
  • «documento informatico sottoscritto con firma digitale» quale «scrittura privata» (art. 2702 cod. civ.);
  • «documento informatico sottoscritto con firma digitale davanti al notaio o pubblico ufficiale» quale «scrittura privata autenticata» (art. 2703 cod. civ.);
  • «atto pubblico» (art. 2700 cod. civ.) per il quale non veniva previsto (forse perché non ritenuto possibile) un equivalente basato su documento informatico.

Tale scelta iniziale appariva senza dubbio molto logica, molto suggestiva. Inoltre, semplificazione non da poco, vi era un solo tipo di firma digitale da disciplinare.

Il Testo Unico in materia di documentazione amministrativa (DPR 445/2000), a parte uno «svarione» sulle cd. «riproduzioni meccaniche» contenuto nel comma 1, non aveva inizialmente introdotto novità in tema di forma ed efficacia del documento informatico. Stabiliva, infatti, all’art. 10 (originario) che «3. Il documento informatico, sottoscritto con firma digitale ai sensi dell’art. 23, ha l’efficacia di scrittura privata ai sensi dell’art. 2702 cod. civ.».

Solo successivamente, in sede di attuazione della direttiva 1999/93/CE, con la modifica dell’art. 10 del DPR 445/2000 introdotta dal Decreto Legislativo 10 gennaio 2002, n. 10, si è avuta una rilevantissima differenza laddove il comma 3 è stato modificato nel modo seguente: «3. Il documento informatico, quando è sottoscritto con firma digitale o con un altro tipo di firma elettronica avanzata, e la firma è basata su di un certificato qualificato ed è generata mediante un dispositivo per la creazione di una firma sicura, fa inoltre piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto».

Questa differenza ha naturalmente determinato un dibattito accesissimo tra gli studiosi delle infrastrutture di sicurezza a chiave pubblica.

L’argomento principe che suffragava la scelta del legislatore in sede d’attuazione della direttiva, come si evince chiaramente dalla relazione d’accompagnamento al Decreto legislativo 10/2002, è di natura eminentemente pratica.

In estrema sintesi, il ragionamento era questo. Poiché, in base all’art. 2702 cod. civ., una scrittura privata (cartacea) «fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta», se questa è considerata legalmente riconosciuta; e poiché la scrittura (cartacea) è legalmente considerata come riconosciuta, tra le varie ipotesi, se al termine del processo di verificazione di cui all’art. 214 e segg. cod. proc. civ., la grafia contenuta nel documento, sulla base dell’analisi delle scritture di comparazione di provenienza certa, risulta attribuibile all’autore (l’art. 220 cod. proc. civ. recita esattamente «scrittura o sottoscrizione di mano della parte che l’ha negata»); assumendo che la validazione della firma digitale, passaggio indispensabile per appurare l’esistenza e la validità di una firma digitale apposta ad un documento informatico, fosse l’equivalente del culmine della verificazione giudiziale di un documento cartaceo, il legislatore del DPR 445/2000 aveva concluso che la firma digitale doveva considerarsi sempre come verificata quanto a provenienza. Pertanto, concludendo questo sillogismo normativo, il legislatore aveva stabilito che se la firma digitale era certa quanto a provenienza (in quanto diversamente non sarebbe nemmeno esistita), rendendosi la verificazione inutile, in quanto implicita nella procedura di validazione della firma digitale, ricorrendo de facto uno dei presupposti in base ai quali il documento (informatico) poteva essere ritenuto come legalmente riconosciuto, allora non poteva che discenderne l’efficacia fino a querela di falso.

Si noti come la considerazione della sostanziale inutilità della verificazione (intesa come il procedimento previsto dalle norme processuali civilistiche) applicata alla firma digitale era stata sostenuta in dottrina da alcuni valenti studiosi, tra cui R. Zagami, il quale aveva ipotizzato, già in sede di commento del DPR 513/97, un’efficacia di fatto più simile alla scrittura privata autenticata ex art. 2703 cod. civ..

Da molti si è gridato allo «scandalo», sostenendo che l’attribuzione di un’efficacia fino querela di falso fosse un assurdo giuridico, anche perché vi era difetto d’intervento del soggetto che può attribuire la fede pubblica, vale a dire il notaio o il pubblico ufficiale. Tra i sostenitori di questa tesi vi sono, con varie argomentazioni, E. Santangelo e M. Nastri, U. Bechini, M. Cammarata e E. Maccarone ed in misura più attenuata G. Finocchiaro.

L’attuazione della direttiva europea 1999/93/CE rendeva vieppiù complicato il quadro giuridico in tema di forma ed efficacia del documento informatico anche per altri motivi. Come noto, la direttiva europea risultava il frutto di un vistoso compromesso tra Paesi che propugnavano l’utilizzo di firme cd «forti» (Italia, Spagna, Germania e Francia) e Paesi che propugnavano il ricorso a firme cd. «deboli» (soprattutto i Paesi Scandinavi), peggiorato dalla scelta (obbligatoria per un atto normativo comunitario) dell’approccio «tecnologicamente neutro», che non solo vanificava illuminate scelte normative italiane, ma riscriveva financo le definizioni che il legislatore italiano aveva già adottato. Da qui nasceva la previsione di due categorie di firme: le elettroniche e le elettroniche avanzate, con le firme digitali del DPR 513/97 che rientravano in qualche modo nella categoria delle firme elettroniche avanzate.

A questo punto, dunque, il recepimento della direttiva, in un certo modo, «sparigliava» il «parallelismo assoluto» su cui si era basato il legislatore del DPR 513/97, dato che nella tripartizione classificatoria sopra accennata: riproduzione meccanica (documento informatico non sottoscritto), scrittura privata (documento informatico con firma digitale) e scrittura privata autenticata (documento informatico con firma digitale apposta davanti al notaio o pubblico ufficiale), introduceva un quarto elemento, documento informatico sottoscritto con firma elettronica (non avanzata), per il quale si trattava letteralmente di «inventarsi» una soluzione, come quando si hanno quattro invitati ma solo tre posti a sedere a tavola.

Come noto, per le firme elettroniche, la soluzione è stata quella di riconoscere, con vistosa e reiterata contraddittorietà nell’ambito di un solo comma, il secondo, dell’art. 10 del DPR 445/2000: efficacia di forma scritta; nel contempo, assenza di efficacia sul piano probatorio salvo rinviare la determinazione degli effetti giuridici alla decisione del giudice sulla base delle caratteristiche oggettive di qualità e sicurezza; ed infine ancora, efficacia ai fini dell’assolvimento dell’obbligo di tenuta delle scritture contabili obbligatorie (ex art. 2214 e seguenti del codice civile e da ogni altra analoga disposizione legislativa o regolamentare).

Sarebbe interessante capire per quale motivo un documento non ritenuto adeguato in linea di principio a costituire mezzo di prova, salvo valutazione favorevole del giudice quanto all’adeguatezza delle caratteristiche oggettive di qualità e sicurezza, veniva invece considerato dal legislatore dell’attuazione della direttiva come sufficiente ed adeguato ai fini della tenuta delle scritture contabili.
Detto questo, il riconoscimento dell’efficacia fino a querela di falso di un documento informatico sottoscritto con firma digitale o firma elettronica qualificata potrebbe apparire per certi versi un male minore rispetto alla soluzione del DPR 513/97. Vediamo perché, e subito dopo vediamo perché la soluzione prevista dal nuovo Codice dell’amministrazione digitale mi sembra preferibile alle altre due soluzioni «contendenti in campo». Tesi, antitesi e sintesi.

Sul piano logico, e terminologico, occorre osservare che l’efficacia dell’art. 10 del DPR 445/2000 (mi riferirò qui solo a documenti informatici sottoscritti con firma digitale o con firma elettronica qualificata) non sia mai stata classificata dal legislatore come integrante una scrittura privata autenticata (di cui all’art. 2703 cod. civ.). Questo anche in funzione del difetto di soggettività ad attribuire la fede pubblica. Meglio sarebbe dire che un documento sottoscritto digitalmente viene considerato come legalmente riconosciuto in base all’art. 2702 cod. civ. (a tutti e nota la curiosa formulazione del codice civile a proposito della scrittura privata a concetto invertito, si parla di riconoscimento per attribuire la possibilità del disconoscimento).

Tuttavia, tale constatazione potrebbe risultare debole ed inconferente, giacché gli effetti pratici sono gli stessi di quelli previsti dall’art. 2703 cod. civ. che disciplina invece la scrittura privata autenticata.
Piuttosto, mi sembra che valga la pena di notare come, tra l’efficacia di scrittura privata e l’efficacia fino a querela di falso, quest’ultima, fino ad approvazione del nuovo Codice dell’amministrazione digitale, meglio abbia tutelato lo sviluppo della giovane e purtroppo debole e minacciata vita della firma digitale.

Mi spiego meglio. A mio parere, l’efficacia di scrittura privata ex art. 2702 cod. civ. appare insufficiente e qualora fosse ripristinata tucur rischierebbe di determinare la morte (mediante processo civile: un «ossimoro» in questo senso) della firma digitale.

La ragione è semplice: come accennato, nel nostro ordinamento non sono state create norme specifiche per disciplinare i fenomeni dell’informatica e del cyberspazio, preferendo ricorrere alle categorie giuridiche preesistenti. Soprattutto, da un punto di vista processuale, non è stato introdotta alcuna norma specifica per disciplinare le modalità di disconoscimento e di verificazione di un documento informatico sottoscritto digitalmente.

Se ciò è vero, e se consideriamo che uno dei principi base del nostro processo civile è l’onere della prova a carico dell’attore stabilito dall’art. 99 cod. proc. civ. (onus probandi incumbit ei qui dicit), allora risulta chiaro che in caso di disconoscimento della provenienza di un documento sottoscritto digitalmente (si noti, più propriamente che non disconoscimento della firma digitale) da parte del titolare, allora chi ha prodotto il documento (l’attore) dovrà dare dimostrazione della provenienza, sopportando l’onere della prova per intero. Solo successivamente alla vittoriosa dimostrazione di provenienza il documento potrà essere considerato riconosciuto e valido fino a querela di falso.

Ora, il fatto è che, a differenza di un documento cartaceo con sottoscrizione olografa, dove la grafia è la diretta espressione psicosomatica del firmatario (abbiamo ricordato la felice espressione del codice di rito «di mano della parte che l’ha negata»), e dove l’accertamento del perito serve a stabilire l’abbinamento grafia-autore, nel caso di sottoscrizione digitale l’operazione di apposizione di una firma digitale può avvenire solo tramite l’utilizzo di un mezzo materiale, il dispositivo sicuro per la creazione di firma. In altri termini, la firma digitale o elettronica qualificata non fluisce direttamente dalla mano del firmatario, bensì risulta dall’utilizzo di un corpus mechanicus, indipendentemente dalla «mano» che l’ha utilizzata.

Orbene, se si applica per intero il principio dell’onere della prova a carico all’attore, quale stabilito dall’art. 99 cod. proc. civ., allora ne consegue che l’attore dovrebbe dare dimostrazione, a fini della provenienza del documento, non solo della validità del certificato, o meglio della validità della chiave pubblica al momento della sottoscrizione, bensì anche dell’imputabilità al titolare medesimo dell’utilizzo del dispositivo di firma. Prova a dir poco impossibile per l’attore, qualora la sottoscrizione digitale non sia avvenuta alla presenza di un terzo (pubblico ufficiale o notaio?).

Temo, dunque, che un ripristino dell’efficacia di scrittura privata rischierebbe di rendere facilmente, troppo facilmente, disconoscibile un documento sottoscritto con firma digitale, che così degraderebbe – nei fatti – al ragno di riproduzione meccanica. Ed a questo punto il cd. «non ripudio», tanto caro agli informatici che si occupano di questa materia, sarebbe una chimera irraggiungibile ed il valore di una firma digitale equivarrebbe a nulla. E se così dovesse accadere, temo che della firma digitale non interesserebbe più a nessuno dei potenziali utilizzatori e tanto meno alle loro controparti.

Se, dunque, l’efficacia di scrittura privata potrebbe essere considerata troppo debole (in assenza di correttivi della legge processuale, precisamente sul procedimento di verificazione), è altrettanto vero che anche l’efficacia fino a querela di falso potrebbe essere considerata eccessiva. Anche in questo caso mi spiego meglio.

Se è vero che, nel caso di efficacia di scrittura privata, il titolare potrebbe semplicemente disconoscere la provenienza del documento e lasciare alla controparte l’onere di provarla, nel caso di efficacia fino a querela di falso è chiaro che spetterebbe al titolare della firma digitale o elettronica qualificata l’onere di disconosce con ogni mezzo la provenienza del documento informatico prodotto in giudizio.

Ebbene, come ha acutamente notato su queste colonne il Capo dell’ufficio legislativo del Dipartimento per l’innovazione e le tecnologie, avvocato Enrico De Giovanni nell’intervista del 4 aprile 2003 (http://www.interlex.it/docdigit/degiovanni2.htm), liberarsi degli effetti di una firma digitale o elettronica qualificata apposta illecitamente potrebbe risultare eccessivamente oneroso per il titolare. Egli dovrebbe, infatti, promuovere, tramite querela di falso, un apposito procedimento da celebrarsi davanti al Tribunale in composizione collegiale, con l’intervento del pubblico ministero ai sensi dell’art. 221 e segg. cod. proc. civ.. Insomma, con un procedimento soggetto ad una certa durata, comunque dotato di rilevanza, giacché si dibatterebbe di fede pubblica, durante il quale rischierebbe in ogni modo di subire – medio tempore – gli effetti dell’utilizzo illecito prodottisi comunque prima del procedimento incidentale che risulterebbe necessario sollevare (pagamenti, trascrizioni, pignoramenti, ecc.).

Considerando appieno tutti gli aspetti di questa situazione, dove l’efficacia di scrittura privata appare troppo «debole» e l’efficacia fino a querela di falso troppo «forte» appare dunque inevitabile approdare ad una nuova soluzione.

In effetti, a ben vedere, il punto critico di tutta la questione dell’efficacia della firma digitale e del suo disconoscimento risiede proprio in questo: da un lato nel rischio di rendere eccessivamente facile (per il titolare di un certificato) il disconoscimento della sottoscrizione digitale e, dall’altro lato, nel rischio di rendere quasi impossibile (per l’attore che producesse un documento sottoscritto digitalmente) fornire la prova dell’utilizzo del dispositivo di sottoscrizione recante la chiave privata abbinata alla chiave pubblica contenuta nel relativo certificato.

Logico quindi pensare che un ritorno alla «efficacia di scrittura privata», in modo da correggere le tante anomalie della «efficacia fino a querela di falso», deve essere accompagnato da un «correttivo», tale da impedire al titolare un disconoscimento di comodo ed al contempo in grado di alleviare la controparte dell’onere di una prova quasi impossibile, in modo tale da evitare di svuotare di significato la firma digitale.

A mio modo di vedere, si tratta dunque di temperare il regime probatorio a carico dell’attore, inserendo una presunzione d’attribuibilità dell’utilizzo del dispositivo sicuro di firma in capo al titolare, salvo che questi provi il contrario.

In questo modo si ritorna nell’ortodossia della classificazione giuridica del codice civile italiano, si evita di scomodare la querela di falso e le conseguenti implicazioni processual civilistiche e si ottiene, inoltre, un «bilanciamento» degli interessi delle parti.

In aggiunta, oltre a sgravare l’attore che produce un documento sottoscritto digitalmente dell’onere della prova impossibile, si ottengono anche due ulteriori vantaggi. Si consente al titolare, se necessario, di disconoscere la provenienza del documento, o meglio dell’utilizzo del dispositivo di firma, in modo anticipato, direttamente durante il processo ordinario di cognizione, con indubbia economia di tempo ed attività giudiziale e difensiva; inoltre, si fornisce al giudice di merito una chiave interpretativa chiara in materia di disconoscimento della firma digitale ed elettronica qualificata, evitando di coinvolgerlo in una valutazione che in qualche caso potrebbe avvenire anche non considerando appieno tutti gli aspetti connessi al funzionamento tecnico e di sicurezza ovvero che potrebbe portare a vistose disparità di valutazione da parte di giudici diversi a parità di situazione.

In questo senso va letta favorevolmente la nuova disposizione contenuta nell’art. 18 (Valore probatorio del documento informatico sottoscritto) del nuovo Codice dell’amministrazione digitale, che sostituisce il comma 3 dell’art. 10 nel modo seguente: «2. Il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dipositivo di firma si presume riconducibile al titolare, salvo che sia data prova contraria.»

La nuova formulazione mi sembra colga bene le esigenze che sopra ho espresso, attui un buon bilanciamento tra gli interessi delle parti ed inoltre renda equilibrato, in termini di oneri probatori, un eventuale fase di disconoscimento del documento informatico sottoscritto con firma digitale o con firma elettronica qualificata.

La parola ora passa alla giurisprudenza. Questa ci dovrà dare finalmente un riscontro dell’applicazione concreta di questa costruzione giuridica nella vita giudiziaria di tutti i giorni. Certo, tre cambi d’indirizzo in pochi anni sono tanti; tuttavia sarebbe stato peggio non evolvere il pensiero giuridico e non adattare le norme alla nuova realtà tecnica, anche alla luce della conoscenza via via acquisita ed affinata in un campo senza dubbio nuovo.

19Dic/03

Ley 59/2003 Firma electrónica

Ley 59/2003, de 19 de diciembre, de firma electrónica (B.O.E. 304/45329)

JUAN CARLOS I

REY DE ESPAÑA

A todos los que la presente vieren y entendieren.

Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley.

EXPOSICIÓN DE MOTIVOS

I

El Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica, fue aprobado con el objetivo de fomentar la rápida incorporación de las nuevas tecnologías de seguridad de las comunicaciones electrónicas en la actividad de las empresas, los ciudadanos y las Administraciones públicas. De este modo, se coadyuvaba a potenciar el crecimiento y la competitividad de la economía española mediante el rápido establecimiento de un marco jurídico para la utilización de una herramienta que aporta confianza en la realización de transacciones electrónicas en redes abiertas como es el caso de Internet. El citado real decreto ley incorporó al ordenamiento público español la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica, incluso antes de su promulgación y publicación en el Diario Oficial de las Comunidades Europeas.

Tras su ratificación por el Congreso de los Diputados, se acordó la tramitación del Real Decreto Ley 14/1999 como proyecto de ley, con el fin de someterlo a una más amplia consulta pública y al posterior debate parlamentario para perfeccionar su texto. No obstante, esta iniciativa decayó al expirar el mandato de las Cámaras en marzo de 2000. Esta ley, por tanto, es el resultado del compromiso asumido en la VI Legislatura, actualizando a la vez el marco establecido en el Real Decreto Ley 14/1999 mediante la incorporación de las modificaciones que aconseja la experiencia acumulada desde su entrada en vigor tanto en nuestro país como en el ámbito internacional.

II

El desarrollo de la sociedad de la información y la difusión de los efectos positivos que de ella se derivan exige la generalización de la confianza de la ciudadanía en las comunicaciones telemáticas. No obstante, los datos más recientes señalan que aún existe desconfianza por parte de los intervinientes en las transacciones telemáticas y, en general, en las comunicaciones que las nuevas tecnologías permiten a la hora de transmitir información, constituyendo esta falta de confianza un freno para el desarrollo de la sociedad de la información, en particular, la Administración y el comercio electrónicos.

Como respuesta a esta necesidad de conferir seguridad a las comunicaciones por internet surge, entre otros, la firma electrónica. La firma electrónica constituye un instrumento capaz de permitir una comprobación de la procedencia y de la integridad de los mensajes intercambiados a través de redes de telecomunicaciones, ofreciendo las bases para evitar el repudio, si se adoptan las medidas oportunas basándose en fechas electrónicas.

Los sujetos que hacen posible el empleo de la firma electrónica son los denominados prestadores de servicios de certificación. Para ello expiden certificados electrónicos, que son documentos electrónicos que relacionan las herramientas de firma electrónica en poder de cada usuario con su identidad personal, dándole así a conocer en el ámbito telemático como firmante.

La ley obliga a los prestadores de servicios de certificación a efectuar una tutela y gestión permanente de los certificados electrónicos que expiden. Los detalles de esta gestión deben recogerse en la llamada declaración de prácticas de certificación, donde se especifican las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados electrónicos. Además, estos prestadores están obligados a mantener accesible un servicio de consulta sobre el estado de vigencia de los certificados en el que debe indicarse de manera actualizada si éstos están vigentes o si su vigencia ha sido suspendida o extinguida.

Asimismo, debe destacarse que la ley define una clase particular de certificados electrónicos denominados certificados reconocidos, que son los certificados electrónicos que se han expedido cumpliendo requisitos cualificados en lo que se refiere a su contenido, a los procedimientos de comprobación de la identidad del firmante y a la fiabilidad y garantías de la actividad de certificación electrónica.

Los certificados reconocidos constituyen una pieza fundamental de la llamada firma electrónica reconocida, que se define siguiendo las pautas impuestas en la Directiva 1999/93/CE como la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. A la firma electrónica reconocida le otorga la ley la equivalencia funcional con la firma manuscrita respecto de los datos consignados en forma electrónica.

Por otra parte, la ley contiene las garantías que deben ser cumplidas por los dispositivos de creación de firma para que puedan ser considerados como dispositivos seguros y conformar así una firma electrónica reconocida.

La certificación técnica de los dispositivos seguros de creación de firma electrónica se basa en el marco establecido por la Ley 21/1992, de 16 de julio, de Industria y en sus disposiciones de desarrollo. Para esta certificación se utilizarán las normas técnicas publicadas a tales efectos en el «Diario Oficial de las Comunidades Europeas» o, excepcionalmente, las aprobadas por el Ministerio de Ciencia y Tecnología.

Adicionalmente, la ley establece un marco de obligaciones aplicables a los prestadores de servicios de certificación, en función de si éstos emiten certificados reconocidos o no, y determina su régimen de responsabilidad, teniendo en cuenta los deberes de diligencia que incumben a los firmantes y a los terceros destinatarios de documentos firmados electrónicamente.

III

Esta ley se promulga para reforzar el marco jurídico existente incorporando a su texto algunas novedades respecto del Real Decreto Ley 14/1999 que contribuirán a dinamizar el mercado de la prestación de servicios de certificación.

Así, se revisa la terminología, se modifica la sistemática y se simplifica el texto facilitando su comprensión y dotándolo de una estructura más acorde con nuestra técnica legislativa.

Una de las novedades que la ley ofrece respecto del Real Decreto Ley 14/1999, es la denominación como firma electrónica reconocida de la firma electrónica que se equipara funcionalmente a la firma manuscrita. Se trata simplemente de la creación de un concepto nuevo demandado por el sector, sin que ello implique modificación alguna de los requisitos sustantivos que tanto la Directiva 1999/93/CE como el propio Real Decreto Ley 14/1999 venían exigiendo. Con ello se aclara que no basta con la firma electrónica avanzada para la equiparación con la firma manuscrita; es preciso que la firma electrónica avanzada esté basada en un certificado reconocido y haya sido creada por un dispositivo seguro de creación.

Asimismo, es de destacar de manera particular, la eliminación del registro de prestadores de servicios de certificación, que ha dado paso al establecimiento de un mero servicio de difusión de información sobre los prestadores que operan en el mercado, las certificaciones de calidad y las características de los productos y servicios con que cuentan para el desarrollo de su actividad.

Por otra parte, la ley modifica el concepto de certificación de prestadores de servicios de certificación para otorgarle mayor grado de libertad y dar un mayor protagonismo a la participación del sector privado en los sistemas de certificación y eliminando las presunciones legales asociadas a la misma, adaptándose de manera más precisa a lo establecido en la directiva. Así, se favorece la autorregulación de la industria, de manera que sea ésta quien diseñe y gestione, de acuerdo con sus propias necesidades, sistemas voluntarios de acreditación destinados a mejorar los niveles técnicos y de calidad en la prestación de servicios de certificación.

El nuevo régimen nace desde el convencimiento de que los sellos de calidad son un instrumento eficaz para convencer a los usuarios de las ventajas de los productos y servicios de certificación electrónica, resultando imprescindible facilitar y agilizar la obtención de estos símbolos externos para quienes los ofrecen al público.

Si bien se recogen fielmente en la ley los conceptos de «acreditación» de prestadores de servicios de certificación y de «conformidad» de los dispositivos seguros de creación de firma electrónica contenidos en la directiva, la terminología se ha adaptado a la más comúnmente empleada y conocida recogida en la Ley 21/1992, de 16 de julio, de Industria.

Otra modificación relevante es que la ley clarifica la obligación de constitución de una garantía económica por parte de los prestadores de servicios de certificación que emitan certificados reconocidos, estableciendo una cuantía mínima única de tres millones de euros, flexibilizando además la combinación de los diferentes instrumentos para constituir la garantía.

Por otra parte, dado que la prestación de servicios de certificación no está sujeta a autorización previa, resulta importante destacar que la ley refuerza las capacidades de inspección y control del Ministerio de Ciencia y Tecnología, señalando que este departamento podrá ser asistido de entidades independientes y técnicamente cualificadas para efectuar las labores de supervisión y control sobre los prestadores de servicios de certificación.

También ha de destacarse la regulación que la ley contiene respecto del documento nacional de identidad electrónico, que se erige en un certificado electrónico reconocido llamado a generalizar el uso de instrumentos seguros de comunicación electrónica capaces de conferir la misma integridad y autenticidad que la que actualmente rodea las comunicaciones a través de medios físicos. La ley se limita a fijar el marco normativo básico del nuevo DNI electrónico poniendo de manifiesto sus dos notas más características -acredita la identidad de su titular en cualquier procedimiento administrativo y permite la firma electrónica de documentos- remitiéndose a la normativa específica en cuanto a las particularidades de su régimen jurídico.

Asimismo, otra novedad es el establecimiento en la ley del régimen aplicable a la actuación de personas jurídicas como firmantes, a efectos de integrar a estas entidades en el tráfico telemático. Se va así más allá del Real Decreto Ley de 1999, que sólo permitía a las personas jurídicas ser titulares de certificados electrónicos en el ámbito de la gestión de los tributos. Precisamente, la enorme expansión que han tenido estos certificados en dicho ámbito en los últimos años, sin que ello haya representado aumento alguno de la litigiosidad ni de inseguridad jurídica en las transacciones, aconsejan la generalización de la titularidad de certificados por personas morales.

En todo caso, los certificados electrónicos de personas jurídicas no alteran la legislación civil y mercantil en cuanto a la figura del representante orgánico o voluntario y no sustituyen a los certificados electrónicos que se expidan a personas físicas en los que se reflejen dichas relaciones de representación.

Como resortes de seguridad jurídica, la ley exige, por un lado, una especial legitimación para que las personas físicas soliciten la expedición de certificados; por otro lado, obliga a los solicitantes a responsabilizarse de la custodia de los datos de creación de firma electrónica asociados a dichos certificados, todo ello sin perjuicio de que puedan ser utilizados por otras personas físicas vinculadas a la entidad. Por último, de cara a terceros, limita el uso de estos certificados a los actos que integren la relación entre la persona jurídica y las Administraciones públicas y a las cosas o servicios que constituyen el giro o tráfico ordinario de la entidad, sin perjuicio de los posibles límites cuantitativos o cualitativos que puedan añadirse. Se trata de conjugar el dinamismo que debe presidir el uso de estos certificados en el tráfico con las necesarias dosis de prudencia y seguridad para evitar que puedan nacer obligaciones incontrolables frente a terceros debido a un uso inadecuado de los datos de creación de firma. El equilibrio entre uno y otro principio se ha establecido sobre las cosas y servicios que constituyen el giro o tráfico ordinario de la empresa de modo paralelo a cómo nuestro más que centenario Código de Comercio regula la vinculación frente a terceros de los actos de comercio realizados por el factor del establecimiento.

Con la expresión «giro o tráfico ordinario» de una entidad se actualiza a un vocabulario más acorde con nuestros días lo que en la legislación mercantil española se denomina «establecimiento fabril o mercantil». Con ello se comprenden las transacciones efectuadas mediata o inmediatamente para la realización del núcleo de actividad de la entidad y las actividades de gestión o administrativas necesarias para el desarrollo de la misma, como la contratación de suministros tangibles e intangibles o de servicios auxiliares. Por último, debe recalcarse que, aunque el «giro o tráfico ordinario» sea un término acuñado por el derecho mercantil, la regulación sobre los certificados de personas jurídicas no sólo se aplica a las sociedades mercantiles, sino a cualquier tipo de persona jurídica que quiera hacer uso de la firma electrónica en su actividad.

Adicionalmente, se añade un régimen especial para la expedición de certificados electrónicos a entidades sin personalidad jurídica a las que se refiere el artículo 33 de la Ley General Tributaria, a los solos efectos de su utilización en el ámbito tributario, en los términos que establezca el Ministerio de Hacienda.

Por otra parte, siguiendo la pauta marcada por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, se incluye dentro de la modalidad de prueba documental el soporte en el que figuran los datos firmados electrónicamente, dando mayor seguridad jurídica al empleo de la firma electrónica al someterla a las reglas de eficacia en juicio de la prueba documental.

Además, debe resaltarse que otro aspecto novedoso de la ley es el acogimiento explícito que se efectúa de las relaciones de representación que pueden subyacer en el empleo de la firma electrónica. No cabe duda que el instituto de la representación está ampliamente generalizado en el tráfico económico, de ahí la conveniencia de dotar de seguridad jurídica la imputación a la esfera jurídica del representado las declaraciones que se cursan por el representante a través de la firma electrónica.

Para ello, se establece como novedad que en la expedición de certificados reconocidos que admitan entre sus atributos relaciones de representación, ésta debe estar amparada en un documento público que acredite fehacientemente dicha relación de representación así como la suficiencia e idoneidad de los poderes conferidos al representante. Asimismo, se prevén mecanismos para asegurar el mantenimiento de las facultades de representación durante toda la vigencia del certificado reconocido.

Por último, debe destacarse que la ley permite que los prestadores de servicios de certificación podrán, con el objetivo de mejorar la confianza en sus servicios, establecer mecanismos de coordinación con los datos que preceptivamente deban obrar en los Registros públicos, en particular, mediante conexiones telemáticas, a los efectos de verificar los datos que figuran en los certificados en el momento de la expedición de éstos.

Dichos mecanismos de coordinación también podrán contemplar la notificación telemática por parte de los registros a los prestadores de servicios de certificación de las variaciones registrales posteriores.

IV

La ley consta de 36 artículos agrupados en seis títulos, 10 disposiciones adicionales, dos disposiciones transitorias, una disposición derogatoria y tres disposiciones finales.

El título I contiene los principios generales que delimitan los ámbitos subjetivo y objetivo de aplicación de la ley, los efectos de la firma electrónica y el régimen de empleo ante las Administraciones públicas y de acceso a la actividad de prestación de servicios de certificación.

El régimen aplicable a los certificados electrónicos se contiene en el título II, que dedica su primer capítulo a determinar quiénes pueden ser sus titulares y a regular las vicisitudes que afectan a su vigencia. El capítulo II regula los certificados reconocidos y el tercero el documento nacional de identidad electrónico.

El título III regula la actividad de prestación de servicios de certificación estableciendo las obligaciones a que están sujetos los prestadores -distinguiendo con nitidez las que solamente afectan a los que expiden certificados reconocidos-, y el régimen de responsabilidad aplicable.

El título IV establece los requisitos que deben reunir los dispositivos de verificación y creación de firma electrónica y el procedimiento que ha de seguirse para obtener sellos de calidad en la actividad de prestación de servicios de certificación.

Los títulos V y VI dedican su contenido, respectivamente, a fijar los regímenes de supervisión y sanción de los prestadores de servicios de certificación.

Por último, cierran el texto las disposiciones adicionales -que aluden a los regímenes especiales que resultan de aplicación preferente-, las disposiciones transitorias -que incorporan seguridad jurídica a la actividad desplegada al amparo de la normativa anterior-, la disposición derogatoria y las disposiciones finales relativas al fundamento constitucional, la habilitación para el desarrollo reglamentario y la entrada en vigor.

Esta disposición ha sido sometida al procedimiento de información en materia de normas y reglamentaciones técnicas previsto en la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un procedimiento de información en materia de normas y reglamentaciones técnicas, modificada por la Directiva 98/48/CE, del Parlamento Europeo y del Consejo, de 20 de julio de 1998, y en el Real Decreto 1337/1999, de 31 de julio, por el que se regula la remisión de información en materia de normas y reglamentaciones técnicas y reglamentos relativos a los servicios de la sociedad de la información.

TÍTULO I. Disposiciones generales

Artículo 1. Objeto.
1. Esta ley regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación.

2. Las disposiciones contenidas en esta ley no alteran las normas relativas a la celebración, formalización, validez y eficacia de los contratos y cualesquiera otros actos jurídicos ni las relativas a los documentos en que unos y otros consten.

Artículo 2. Prestadores de servicios de certificación sujetos a la ley.
1. Esta ley se aplicará a los prestadores de servicios de certificación establecidos en España y a los servicios de certificación que los prestadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.

2. Se denomina prestador de servicios de certificación la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.

3. Se entenderá que un prestador de servicios de certificación está establecido en España cuando su residencia o domicilio social se halle en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios. En otro caso, se atenderá al lugar en que se realice dicha gestión o dirección.

4. Se considerará que un prestador opera mediante un establecimiento permanente situado en territorio español cuando disponga en él, de forma continuada o habitual, de instalaciones o lugares de trabajo en los que realice toda o parte de su actividad.

5. Se presumirá que un prestador de servicios de certificación está establecido en España cuando dicho prestador o alguna de sus sucursales se haya inscrito en el Registro Mercantil o en otro registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.

La mera utilización de medios tecnológicos situados en España para la prestación o el acceso al servicio no implicará, por sí sola, el establecimiento del prestador en España.

Artículo 3. Firma electrónica, y documentos firmados electrónicamente.
1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

5. Se considera documento electrónico el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente.

6. El documento electrónico será soporte de:

a) Documentos públicos, por estar firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la ley en cada caso.

b) Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica.

c) Documentos privados.

7. Los documentos a que se refiere el apartado anterior tendrán el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.

8. El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio. Si se impugnare la autenticidad de la firma electrónica reconocida, con la que se hayan firmado los datos incorporados al documento electrónico, se procederá a comprobar que por el prestador de servicios de certificación, que expide los certificados electrónicos, se cumplen todos los requisitos establecidos en la ley en cuanto a la garantía de los servicios que presta en la comprobación de la eficacia de la firma electrónica, y en especial, las obligaciones de garantizar la confidencialidad del proceso así como la autenticidad, conservación e integridad de la información generada y la identidad de los firmantes. Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil.

9. No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.

10. A los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.

Artículo 4. Empleo de la firma electrónica en el ámbito de las Administraciones públicas.
1. Esta ley se aplicará al uso de la firma electrónica en el seno de las Administraciones públicas, sus organismos públicos y las entidades dependientes o vinculadas a las mismas y en las relaciones que mantengan aquéllas y éstos entre sí o con los particulares.

Las Administraciones públicas, con el objeto de salvaguardar las garantías de cada procedimiento, podrán establecer condiciones adicionales a la utilización de la firma electrónica en los procedimientos. Dichas condiciones podrán incluir, entre otras, la imposición de fechas electrónicas sobre los documentos electrónicos integrados en un expediente administrativo. Se entiende por fecha electrónica el conjunto de datos en forma electrónica utilizados como medio para constatar el momento en que se ha efectuado una actuación sobre otros datos electrónicos a los que están asociados.

2. Las condiciones adicionales a las que se refiere el apartado anterior sólo podrán hacer referencia a las características específicas de la aplicación de que se trate y deberán garantizar el cumplimiento de lo previsto en el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Estas condiciones serán objetivas, proporcionadas, transparentes y no discriminatorias y no deberán obstaculizar la prestación de servicios de certificación al ciudadano cuando intervengan distintas Administraciones públicas nacionales o del Espacio Económico Europeo.

3. Las normas que establezcan condiciones generales adicionales para el uso de la firma electrónica ante la Administración General del Estado, sus organismos públicos y las entidades dependientes o vinculadas a las mismas se dictarán a propuesta conjunta de los Ministerios de Administraciones Públicas y de Ciencia y Tecnología y previo informe del Consejo Superior de Informática y para el impulso de la Administración Electrónica.

4. La utilización de la firma electrónica en las comunicaciones que afecten a la información clasificada, a la seguridad pública o a la defensa nacional se regirá por su normativa específica.

Artículo 5. Régimen de prestación de los servicios de certificación.
1. La prestación de servicios de certificación no está sujeta a autorización previa y se realizará en régimen de libre competencia. No podrán establecerse restricciones para los servicios de certificación que procedan de otro Estado miembro del Espacio Económico Europeo.

2. Los órganos de defensa de la competencia velarán por el mantenimiento de condiciones de competencia efectiva en la prestación de servicios de certificación al público mediante el ejercicio de las funciones que tengan legalmente atribuidas.

3. La prestación al público de servicios de certificación por las Administraciones públicas, sus organismos públicos o las entidades dependientes o vinculadas a las mismas se realizará con arreglo a los principios de objetividad, transparencia y no discriminación.

TÍTULO II. Certificados electrónicos

CAPÍTULO I. Disposiciones generales

Artículo 6. Concepto de certificado electrónico y de firmante.
1. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.

2. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.

Artículo 7. Certificados electrónicos de personas jurídicas.
1. Podrán solicitar certificados electrónicos de personas jurídicas sus administradores, representantes legales y voluntarios con poder bastante a estos efectos.

Los certificados electrónicos de personas jurídicas no podrán afectar al régimen de representación orgánica o voluntaria regulado por la legislación civil o mercantil aplicable a cada persona jurídica.

2. La custodia de los datos de creación de firma asociados a cada certificado electrónico de persona jurídica será responsabilidad de la persona física solicitante, cuya identificación se incluirá en el certificado electrónico.

3. Los datos de creación de firma sólo podrán ser utilizados cuando se admita en las relaciones que mantenga la persona jurídica con las Administraciones públicas o en la contratación de bienes o servicios que sean propios o concernientes a su giro o tráfico ordinario.

Asimismo, la persona jurídica podrá imponer límites adicionales, por razón de la cuantía o de la materia, para el uso de dichos datos que, en todo caso, deberán figurar en el certificado electrónico.

4. Se entenderán hechos por la persona jurídica los actos o contratos en los que su firma se hubiera empleado dentro de los límites previstos en el apartado anterior.

Si la firma se utiliza transgrediendo los límites mencionados, la persona jurídica quedará vinculada frente a terceros sólo si los asume como propios o se hubiesen celebrado en su interés. En caso contrario, los efectos de dichos actos recaerán sobre la persona física responsable de la custodia de los datos de creación de firma, quien podrá repetir, en su caso, contra quien los hubiera utilizado.

5. Lo dispuesto en este artículo no será de aplicación a los certificados que sirvan para verificar la firma electrónica del prestador de servicios de certificación con la que firme los certificados electrónicos que expida.

6. Lo dispuesto en este artículo no será de aplicación a los certificados que se expidan a favor de las Administraciones públicas, que estarán sujetos a su normativa específica.

Artículo 8. Extinción de la vigencia de los certificados electrónicos.
1. Son causas de extinción de la vigencia de un certificado electrónico:

a) Expiración del período de validez que figura en el certificado.

b) Revocación formulada por el firmante, la persona física o jurídica representada por éste, un tercero autorizado o la persona física solicitante de un certificado electrónico de persona jurídica.

c) Violación o puesta en peligro del secreto de los datos de creación de firma del firmante o del prestador de servicios de certificación o utilización indebida de dichos datos por un tercero.

d) Resolución judicial o administrativa que lo ordene.

e) Fallecimiento o extinción de la personalidad jurídica del firmante; fallecimiento, o extinción de la personalidad jurídica del representado; incapacidad sobrevenida, total o parcial, del firmante o de su representado; terminación de la representación; disolución de la persona jurídica representada o alteración de las condiciones de custodia o uso de los datos de creación de firma que estén reflejadas en los certificados expedidos a una persona jurídica.

f) Cese en la actividad del prestador de servicios de certificación salvo que, previo consentimiento expreso del firmante, la gestión de los certificados electrónicos expedidos por aquél sean transferidos a otro prestador de servicios de certificación.

g) Alteración de los datos aportados para la obtención del certificado o modificación de las circunstancias verificadas para la expedición del certificado, como las relativas al cargo o a las facultades de representación, de manera que éste ya no fuera conforme a la realidad.

h) Cualquier otra causa lícita prevista en la declaración de prácticas de certificación.

2. El período de validez de los certificados electrónicos será adecuado a las características y tecnología empleada para generar los datos de creación de firma.

En el caso de los certificados reconocidos este período no podrá ser superior a cuatro años.

3. La extinción de la vigencia de un certificado electrónico surtirá efectos frente a terceros, en los supuestos de expiración de su período de validez, desde que se produzca esta circunstancia y, en los demás casos, desde que la indicación de dicha extinción se incluya en el servicio de consulta sobre la vigencia de los certificados del prestador de servicios de certificación.

Artículo 9. Suspensión de la vigencia de los certificados electrónicos.
1. Los prestadores de servicios de certificación suspenderán la vigencia de los certificados electrónicos expedidos si concurre alguna de las siguientes causas:

a) Solicitud del firmante, la persona física o jurídica representada por éste, un tercero autorizado o la persona física solicitante de un certificado electrónico de persona jurídica.

b) Resolución judicial o administrativa que lo ordene.

c) La existencia de dudas fundadas acerca de la concurrencia de las causas de extinción de la vigencia de los certificados contempladas en los párrafos c)
y g) del artículo 8.1.

d) Cualquier otra causa lícita prevista en la declaración de prácticas de certificación.

2. La suspensión de la vigencia de un certificado electrónico surtirá efectos desde que se incluya en el servicio de consulta sobre la vigencia de los certificados del prestador de servicios de certificación.

Artículo 10. Disposiciones comunes a la extinción y suspensión de la vigencia de certificados electrónicos.
1. El prestador de servicios de certificación hará constar inmediatamente, de manera clara e indubitada, la extinción o suspensión de la vigencia de los certificados electrónicos en el servicio de consulta sobre la vigencia de los certificados en cuanto tenga conocimiento fundado de cualquiera de los hechos determinantes de la extinción o suspensión de su vigencia.

2. El prestador de servicios de certificación informará al firmante acerca de esta circunstancia de manera previa o simultánea a la extinción o suspensión de la vigencia del certificado electrónico, especificando los motivos y la fecha y la hora en que el certificado quedará sin efecto. En los casos de suspensión, indicará, además, su duración máxima, extinguiéndose la vigencia del certificado si transcurrido dicho plazo no se hubiera levantado la suspensión.

3. La extinción o suspensión de la vigencia de un certificado electrónico no tendrá efectos retroactivos.

4. La extinción o suspensión de la vigencia de un certificado electrónico se mantendrá accesible en el servicio de consulta sobre la vigencia de los certificados al menos hasta la fecha en que hubiera finalizado su período inicial de validez.

CAPÍTULO II. Certificados reconocidos

Artículo 11. Concepto y contenido de los certificados reconocidos.
1. Son certificados reconocidos los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.

2. Los certificados reconocidos incluirán, al menos, los siguientes datos:

a) La indicación de que se expiden como tales.

b) El código identificativo único del certificado.

c) La identificación del prestador de servicios de certificación que expide el certificado y su domicilio.

d) La firma electrónica avanzada del prestador de servicios de certificación que expide el certificado.

e) La identificación del firmante, en el supuesto de personas físicas, por su nombre y apellidos y su número de documento nacional de identidad o a través de un seudónimo que conste como tal de manera inequívoca y, en el supuesto de personas jurídicas, por su denominación o razón social y su código de identificación fiscal.

f) Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante.

g) El comienzo y el fin del período de validez del certificado.

h) Los límites de uso del certificado, si se establecen.

i) Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.

3. Los certificados reconocidos podrán asimismo contener cualquier otra circunstancia o atributo específico del firmante en caso de que sea significativo en función del fin propio del certificado y siempre que aquél lo solicite.

4. Si los certificados reconocidos admiten una relación de representación incluirán una indicación del documento público que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales, de conformidad con el apartado 2 del artículo 13.

Artículo 12. Obligaciones previas a la expedición de certificados reconocidos.
Antes de la expedición de un certificado reconocido, los prestadores de servicios de certificación deberán cumplir las siguientes obligaciones:

a) Comprobar la identidad y circunstancias personales de los solicitantes de certificados con arreglo a lo dispuesto en el artículo siguiente.

b) Verificar que la información contenida en el certificado es exacta y que incluye toda la información prescrita para un certificado reconocido.

c) Asegurarse de que el firmante está en posesión de los datos de creación de firma correspondientes a los de verificación que constan en el certificado.

d) Garantizar la complementariedad de los datos de creación y verificación de firma, siempre que ambos sean generados por el prestador de servicios de certificación.

Artículo 13. Comprobación de la identidad y otras circunstancias personales de los solicitantes de un certificado reconocido.
1. La identificación de la persona física que solicite un certificado reconocido exigirá su personación ante los encargados de verificarla y se acreditará mediante el documento nacional de identidad, pasaporte u otros medios admitidos en derecho. Podrá prescindirse de la personación si su firma en la solicitud de expedición de un certificado reconocido ha sido legitimada en presencia notarial.

El régimen de personación en la solicitud de certificados que se expidan previa identificación del solicitante ante las Administraciones públicas se regirá por lo establecido en la normativa administrativa.

2. En el caso de certificados reconocidos de personas jurídicas, los prestadores de servicios de certificación comprobarán, además, los datos relativos a la constitución y personalidad jurídica y a la extensión y vigencia de las facultades de representación del solicitante, bien mediante consulta en el registro público en el que estén inscritos los documentos de constitución y de apoderamiento, bien mediante los documentos públicos que sirvan para acreditar los extremos citados de manera fehaciente, cuando aquéllos no sean de inscripción obligatoria.

3. Si los certificados reconocidos reflejan una relación de representación voluntaria, los prestadores de servicios de certificación comprobarán, los datos relativos a la personalidad jurídica del representado y a la extensión y vigencia de las facultades del representante, bien mediante consulta en el registro público en el que estén inscritas, bien mediante los documentos públicos que sirvan para acreditar los extremos citados de manera fehaciente, cuando aquéllos no sean de inscripción obligatoria.

Si los certificados reconocidos admiten otros supuestos de representación, los prestadores de servicios de certificación deberán exigir la acreditación de las circunstancias en las que se fundamenten, en la misma forma prevista anteriormente.

Cuando el certificado reconocido contenga otras circunstancias personales o atributos del solicitante, como su condición de titular de un cargo público, su pertenencia a un colegio profesional o su titulación, éstas deberán comprobarse mediante los documentos oficiales que las acrediten, de conformidad con su normativa específica.

4. Lo dispuesto en los apartados anteriores podrá no ser exigible en los siguientes casos:

a) Cuando la identidad u otras circunstancias permanentes de los solicitantes de los certificados constaran ya al prestador de servicios de certificación en virtud de una relación preexistente, en la que, para la identificación del interesado, se hubieran empleado los medios señalados en este artículo y el período de tiempo transcurrido desde la identificación es menor de cinco años.

b) Cuando para solicitar un certificado se utilice otro vigente para cuya expedición se hubiera identificado al firmante en la forma prescrita en este artículo y le conste al prestador de servicios de certificación que el período de tiempo transcurrido desde la identificación es menor de cinco años.

5. Los prestadores de servicios de certificación podrán realizar las actuaciones de comprobación previstas en este artículo por sí o por medio de otras personas físicas o jurídicas, públicas o privadas, siendo responsable, en todo caso, el prestador de servicios de certificación.

Artículo 14. Equivalencia internacional de certificados reconocidos.
Los certificados electrónicos que los prestadores de servicios de certificación establecidos en un Estado que no sea miembro del Espacio Económico Europeo expidan al público como certificados reconocidos de acuerdo con la legislación aplicable en dicho Estado se considerarán equivalentes a los expedidos por los establecidos en España, siempre que se cumpla alguna de las siguientes condiciones:

a) Que el prestador de servicios de certificación reúna los requisitos establecidos en la normativa comunitaria sobre firma electrónica para la expedición de certificados reconocidos y haya sido certificado conforme a un sistema voluntario de certificación establecido en un Estado miembro del Espacio Económico Europeo.

b) Que el certificado esté garantizado por un prestador de servicios de certificación establecido en el Espacio Económico Europeo que cumpla los requisitos establecidos en la normativa comunitaria sobre firma electrónica para la expedición de certificados reconocidos.

c) Que el certificado o el prestador de servicios de certificación estén reconocidos en virtud de un acuerdo bilateral o multilateral entre la Comunidad Europea y terceros países u organizaciones internacionales.

CAPÍTULO III. El documento nacional de identidad electrónico

Artículo 15. Documento nacional de identidad electrónico.
1. El documento nacional de identidad electrónico es el documento nacional de identidad que acredita electrónicamente la identidad personal de su titular y permite la firma electrónica de documentos.

2. Todas la personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia del documento nacional de identidad electrónico para acreditar la identidad y los demás datos personales del titular que consten en el mismo, y para acreditar la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica en él incluidos.

Artículo 16. Requisitos y características del documento nacional de identidad electrónico.
1. Los órganos competentes del Ministerio del Interior para la expedición del documento nacional de identidad electrónico cumplirán las obligaciones que la presente Ley impone a los prestadores de servicios de certificación que expidan certificados reconocidos con excepción de la relativa a la constitución de la garantía a la que se refiere el apartado 2 del artículo 20.

2. La Administración General del Estado empleará, en la medida de lo posible, sistemas que garanticen la compatibilidad de los instrumentos de firma electrónica incluidos en el documento nacional de identidad electrónico con los distintos dispositivos y productos de firma electrónica generalmente aceptados.

TÍTULO III. Prestación de servicios de certificación

CAPÍTULO I. Obligaciones

Artículo 17. Protección de los datos personales.
1. El tratamiento de los datos personales que precisen los prestadores de servicios de certificación para el desarrollo de su actividad y los órganos administrativos para el ejercicio de las funciones atribuidas por esta ley se sujetará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en sus normas de desarrollo.

2. Para la expedición de certificados electrónicos al público, los prestadores de servicios de certificación únicamente podrán recabar datos personales directamente de los firmantes o previo consentimiento expreso de éstos.

Los datos requeridos serán exclusivamente los necesarios para la expedición y el mantenimiento del certificado electrónico y la prestación de otros servicios en relación con la firma electrónica, no pudiendo tratarse con fines distintos sin el consentimiento expreso del firmante.

3. Los prestadores de servicios de certificación que consignen un seudónimo en el certificado electrónico a solicitud del firmante deberán constatar su verdadera identidad y conservar la documentación que la acredite.

Dichos prestadores de servicios de certificación estarán obligados a revelar la identidad de los firmantes cuando lo soliciten los órganos judiciales en el ejercicio de las funciones que tienen atribuidas y en los demás supuestos previstos en el artículo 11.2 de la Ley Orgánica de Protección de Datos de Carácter Personal en que así se requiera.

4. En cualquier caso, los prestadores de servicios de certificación no incluirán en los certificados electrónicos que expidan, los datos a los que se hace referencia en el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Artículo 18. Obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos.
Los prestadores de servicios de certificación que expidan certificados electrónicos deberán cumplir las siguientes obligaciones:

a) No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios.

b) Proporcionar al solicitante antes de la expedición del certificado la siguiente información mínima, que deberá transmitirse de forma gratuita, por escrito o por vía electrónica:

1.o Las obligaciones del firmante, la forma en que han de custodiarse los datos de creación de firma, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos y determinados dispositivos de creación y de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido.

2.o Los mecanismos para garantizar la fiabilidad de la firma electrónica de un documento a lo largo del tiempo.

3.o El método utilizado por el prestador para comprobar la identidad del firmante u otros datos que figuren en el certificado.

4.o Las condiciones precisas de utilización del certificado, sus posibles límites de uso y la forma en que el prestador garantiza su responsabilidad patrimonial.

5.o Las certificaciones que haya obtenido, en su caso, el prestador de servicios d certificación y los procedimientos aplicables para la resolución extrajudicial de los conflictos que pudieran surgir por el ejercicio de su actividad.

6.o Las demás informaciones contenidas en la declaración de prácticas de certificación.

La información citada anteriormente que sea relevante para terceros afectados por los certificados deberá estar disponible a instancia de éstos.

c) Mantener un directorio actualizado de certificados en el que se indicarán los certificados expedidos y si están vigentes o si su vigencia ha sido suspendida o extinguida. La integridad del directorio se protegerá mediante la utilización de los mecanismos de seguridad adecuados.

d) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.

Artículo 19. Declaración de prácticas de certificación.
1. Todos los prestadores de servicios de certificación formularán una declaración de prácticas de certificación en la que detallarán, en el marco de esta ley y de sus disposiciones de desarrollo, las obligaciones que se comprometen a cumplir en relación con la gestión de los datos de creación y verificación de firma y de los certificados electrónicos, las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados las medidas de seguridad técnicas y organizativas, los perfiles y los mecanismos de información sobre la vigencia de los certificados y, en su caso la existencia de procedimientos de coordinación con los Registros públicos correspondientes que permitan el intercambio de información de manera inmediata sobre la vigencia de los poderes indicados en los certificados y que deban figurar preceptivamente inscritos en dichos registros.

2. La declaración de prácticas de certificación de cada prestador estará disponible al público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita.

3. La declaración de prácticas de certificación tendrá la consideración de documento de seguridad a los efectos previstos en la legislación en materia de protección de datos de carácter personal y deberá contener todos los requisitos exigidos para dicho documento en la mencionada legislación.

Artículo 20. Obligaciones de los prestadores de servicios de certificación que expidan certificados reconocidos.
1. Además de las obligaciones establecidas en este capítulo, los prestadores de servicios de certificación que expidan certificados reconocidos deberán cumplir las siguientes obligaciones:

a) Demostrar la fiabilidad necesaria para prestar servicios de certificación.

b) Garantizar que pueda determinarse con precisión la fecha y la hora en las que se expidió un certificado o se extinguió o suspendió su vigencia.

c) Emplear personal con la cualificación, conocimientos y experiencia necesarios para la prestación delos servicios de certificación ofrecidos y los procedimientos de seguridad y de gestión adecuados en el ámbito de la firma electrónica.

d) Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a los que sirven de soporte.

e) Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador de servicios de certificación genere datos de creación de firma, garantizar su confidencialidad durante el proceso de generación y su entrega por un procedimiento seguro al firmante.

f) Conservar registrada por cualquier medio seguro toda la información y documentación relativa a un certificado reconocido y las declaraciones de prácticas de certificación vigentes en cada momento, al menos durante 15 años contados desde el momento de su expedición, de manera que puedan verificarse las firmas efectuadas con el mismo.

g) Utilizar sistemas fiables para almacenar certificados reconocidos que permitan comprobar su autenticidad de impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o a las personas que el firmante haya indicado y permitan detectar cualquier cambio que afecte a estas condiciones de seguridad.

2. Los prestadores de servicios de certificación que expidan certificados reconocidos deberán constituir un seguro de responsabilidad civil por importe de al menos 3.000.000 de euros para afrontar el riesgo de la responsabilidad por los daños y perjuicios que pueda ocasionar el uso de los certificados que expidan. La citada garantía podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución, de manera que la suma de las cantidades aseguradas sea al menos de 3.000.000 de euros. Las cuantías y los medios de aseguramiento y garantía establecidos en los dos párrafos anteriores podrán ser modificados mediante real decreto.

Artículo 21. Cese de la actividad de un prestador de servicios de certificación.
1. El prestador de servicios de certificación que vaya a cesar en su actividad deberá comunicarlo a los firmantes que utilicen los certificados electrónicos que haya expedido así como a los solicitantes de certificados expedidos a favor de personas jurídicas; y podrá transferir, con su consentimiento expreso, la gestión de los que sigan siendo válidos en la fecha en que el cese se produzca a otro prestador de servicios de certificación que los asuma o, en caso contrario, extinguir su vigencia. La citada comunicación se llevará a cabo con una antelación mínima de dos meses al cese efectivo de la actividad e informará, en su caso, sobre las características del prestador al que se propone la transferencia de la gestión de los certificados.

2. El prestador de servicios de certificación que expida certificados electrónicos al público deberá comunicar al Ministerio de Ciencia y Tecnología, con la antelación indicada en el anterior apartado, el cese de su actividad y el destino que vaya a dar a los certificados, especificando, en su caso, si va a transferir la gestión y a quién o si extinguirá su vigencia.

Igualmente, comunicará cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. En especial, deberá comunicar, en cuanto tenga conocimiento de ello, la apertura de cualquier proceso concursal que se siga contra él.

3. Los prestadores de servicios de certificación remitirán al Ministerio de Ciencia y Tecnología con carácter previo al cese definitivo de su actividad la información relativa a los certificados electrónicos cuya vigencia haya sido extinguida para que éste se haga cargo de su custodia a efectos de lo previsto en el artículo 20.1.f). Este ministerio mantendrá accesible al público un servicio de consulta específico donde figure una indicación sobre los citados certificados durante un período que considere suficiente en función de las consultas efectuadas al mismo.

CAPÍTULO II. Responsabilidad

Artículo 22. Responsabilidad de los prestadores de servicios de certificación.
1. Los prestadores de servicios de certificación responderán por los daños y perjuicios que causen a cualquier persona en el ejercicio de su actividad cuando incumplan las obligaciones que les impone esta ley. La responsabilidad del prestador de servicios de certificación regulada en esta ley será exigible conforme a las normas generales sobre la culpa contractual o extracontractual, según proceda, si bien corresponderá al prestador de servicios de certificación demostrar que actuó con la diligencia profesional que le es exigible.

2. Si el prestador de servicios de certificación no cumpliera las obligaciones señaladas en los párrafos b) al d) del artículo 12 al garantizar un certificado electrónico expedido por un prestador de servicios de certificación establecido en un Estado no perteneciente al Espacio Económico Europeo, será responsable por los daños y perjuicios causados por el uso de dicho certificado.

3. De manera particular, el prestador de servicios de certificación responderá de los perjuicios que se causen al firmante o a terceros de buena fe por la falta o el retraso en la inclusión en el servicio de consulta sobre la vigencia de los certificados de la extinción o suspensión de la vigencia del certificado electrónico.

4. Los prestadores de servicios de certificación asumirán toda la responsabilidad frente a terceros por la actuación de las personas en las que deleguen la ejecución de alguna o algunas de las funciones necesarias para la prestación de servicios de certificación.

5. La regulación contenida en esta ley sobre la responsabilidad del prestador de servicios de certificación se entiende sin perjuicio de lo establecido en la legislación sobre cláusulas abusivas en contratos celebrados con consumidores.

Artículo 23. Limitaciones de responsabilidad de los prestadores de servicios de certificación.
1. El prestador de servicios de certificación no será responsable de los daños y perjuicios ocasionados al firmante o terceros de buena fe, si el firmante incurre en alguno de los siguientes supuestos:

a) No haber proporcionado al prestador de servicios de certificación información veraz, completa y exacta sobre los datos que deban constar en el certificado electrónico o que sean necesarios para su expedición o para la extinción o suspensión de su vigencia, cuando su inexactitud no haya podido ser detectada por el prestador de servicios de certificación.

b) La falta de comunicación sin demora al prestador de servicios de certificación de cualquier modificación de las circunstancias reflejadas en el certificado electrónico.

c) Negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación.

d) No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma.

e) Utilizar los datos de creación de firma cuando haya expirado el período de validez del certificado electrónico o el prestador de servicios de certificación le notifique la extinción o suspensión de su vigencia.

f) Superar los límites que figuren en el certificado electrónico en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con él o no utilizarlo conforme a las condiciones establecidas y comunicadas al firmante por el prestador de servicios de certificación.

2. En el caso de los certificados electrónicos que recojan un poder de representación del firmante, tanto éste como la persona o entidad representada, cuando ésta tenga conocimiento de la existencia del certificado, están obligados a solicitar la revocación o suspensión de la vigencia del certificado en los términos previstos en esta ley.

3. Cuando el firmante sea una persona jurídica, el solicitante del certificado electrónico asumirá las obligaciones indicadas en el apartado 1.

4. El prestador de servicios de certificación tampoco será responsable por los daños y perjuicios ocasionados al firmante o a terceros de buena fe si el destinatario de los documentos firmados electrónicamente actúa deforma negligente. Se entenderá, en particular, que el destinatario actúa de forma negligente en los siguientes casos:

a) Cuando no compruebe y tenga en cuenta las restricciones que figuren en el certificado electrónico en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con él.
b) Cuando no tenga en cuenta la suspensión o pérdida de vigencia del certificado electrónico publicada en el servicio de consulta sobre la vigencia de los certificados o cuando no verifique la firma electrónica.

5. El prestador de servicios de certificación no será responsable de los daños y perjuicios ocasionados al firmante o terceros de buena fe por la inexactitud delos datos que consten en el certificado electrónico, si éstos le han sido acreditados mediante documento público. En caso de que dichos datos deban figurar inscritos en un registro público, el prestador de servicios de certificación deberá comprobarlos en el citado registro en el momento inmediato anterior a la expedición del certificado, pudiendo emplear, en su caso, medios telemáticos.

6. La exención de responsabilidad frente a terceros obliga al prestador de servicios de certificación a probar que actuó en todo caso con la debida diligencia.

TÍTULO IV. Dispositivos de firma electrónica y sistemas de certificación de prestadores de servicios de certificación y de dispositivos de firma electrónica

CAPÍTULO I. Dispositivos de firma electrónica

Artículo 24. Dispositivos de creación de firma electrónica.
1. Los datos de creación de firma son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica.

2. Un dispositivo de creación de firma es un programa o sistema informático que sirve para aplicar los datos de creación de firma.

3. Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías:

a) Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.

b) Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.

c) Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.

d) Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.

Artículo 25. Dispositivos de verificación de firma electrónica.
1. Los datos de verificación de firma son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.

2. Un dispositivo de verificación de firma es un programa o sistema informático que sirve para aplicar los datos de verificación de firma.

3. Los dispositivos de verificación de firma electrónica garantizarán, siempre que sea técnicamente posible, que el proceso de verificación de una firma electrónica satisfaga, al menos, los siguientes requisitos:

a) Que los datos utilizados para verificar la firma correspondan a los datos mostrados a la persona que verifica la firma.

b) Que la firma se verifique de forma fiable y el resultado de esa verificación se presente correctamente.

c) Que la persona que verifica la firma electrónica pueda, en caso necesario, establecer de forma fiable el contenido de los datos firmados y detectar si han sido modificados.

d) Que se muestren correctamente tanto la identidad del firmante o, en su caso, conste claramente la utilización de un seudónimo, como el resultado de la verificación.

e) Que se verifiquen de forma fiable la autenticidad y la validez del certificado electrónico correspondiente.

f) Que pueda detectarse cualquier cambio relativo a su seguridad.

4. Asimismo, los datos referentes a la verificación de la firma, tales como el momento en que ésta se produce o una constatación de la validez del certificado electrónico en ese momento, podrán ser almacenados por la persona que verifica la firma electrónica o por terceros de confianza.

CAPÍTULO II. Certificación de prestadores de servicios de certificación y de dispositivos de creación de firma electrónica

Artículo 26. Certificación de prestadores de servicios de certificación.
1. La certificación de un prestador de servicios de certificación es el procedimiento voluntario por el que una entidad cualificada pública o privada emite una declaración a favor de un prestador de servicios de certificación, que implica un reconocimiento del cumplimiento de requisitos específicos en la prestación de los servicios que se ofrecen al público.

2. La certificación de un prestador de servicios de certificación podrá ser solicitada por éste y podrá llevarse a cabo, entre otras, por entidades de certificación reconocidas por una entidad de acreditación designada de acuerdo con lo dispuesto en la Ley 21/1992, de 16 de julio, de Industria, y en sus disposiciones de desarrollo.

3. En los procedimientos de certificación podrán utilizarse normas técnicas u otros criterios de certificación adecuados. En caso de utilizarse normas técnicas, se emplearán preferentemente aquellas que gocen de amplio reconocimiento aprobadas por organismos de normalización europeos y, en su defecto, otras normas internacionales o españolas.

4. La certificación de un prestador de servicios de certificación no será necesaria para reconocer eficacia jurídica a una firma electrónica.

Artículo 27. Certificación de dispositivos seguros de creación de firma electrónica.
1. La certificación de dispositivos seguros de creación de firma electrónica es el procedimiento por el que se comprueba que un dispositivo cumple los requisitos establecidos en esta ley para su consideración como dispositivo seguro de creación de firma.

2. La certificación podrá ser solicitada por los fabricantes o importadores de dispositivos de creación de firma y se llevará a cabo por las entidades de certificación reconocidas por una entidad de acreditación designada de acuerdo con lo dispuesto en la Ley 21/1992, de16 de julio, de Industria y en sus disposiciones de desarrollo.

3. En los procedimientos de certificación se utilizarán las normas técnicas cuyos números de referencia hayan sido publicados en el «Diario Oficial de la Unión Europea» y, excepcionalmente, las aprobadas por el Ministerio de Ciencia y Tecnología que se publicarán en la dirección de Internet de este Ministerio.

4. Los certificados de conformidad de los dispositivos seguros de creación de firma serán modificados o, en su caso, revocados cuando se dejen de cumplirlas condiciones establecidas para su obtención. Los organismos de certificación asegurarán la difusión de las decisiones de revocación de certificados de dispositivos de creación de firma.

Artículo 28. Reconocimiento de la conformidad con la normativa aplicable a los productos de firma electrónica.
1. Se presumirá que los productos de firma electrónica aludidos en el párrafo d) del apartado 1 del artículo 20 y en el apartado 3 del artículo 24 son conformes con los requisitos previstos en dichos artículos si se ajustan a las normas técnicas correspondientes cuyos números de referencia hayan sido publicados en el «Diario Oficial de la Unión Europea».

2. Se reconocerá eficacia a los certificados de conformidad sobre dispositivos seguros de creación de firma que hayan sido otorgados por los organismos designados para ello en cualquier Estado miembro del Espacio Económico Europeo.

TÍTULO V. Supervisión y control

Artículo 29. Supervisión y control.
1. El Ministerio de Ciencia y Tecnología controlará el cumplimiento por los prestadores de servicios de certificación que expidan al público certificados electrónicos de las obligaciones establecidas en esta ley y en sus disposiciones de desarrollo. Asimismo, supervisará el funcionamiento del sistema y de los organismos de certificación de dispositivos seguros de creación de firma electrónica.

2. El Ministerio de Ciencia y Tecnología realizará las actuaciones inspectoras que sean precisas para el ejercicio de su función de control. Los funcionarios adscritos al Ministerio de Ciencia y Tecnología que realicen la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos.

3. El Ministerio de Ciencia y Tecnología podrá acordarlas medidas apropiadas para el cumplimiento de esta ley y sus disposiciones de desarrollo.

4. El Ministerio de Ciencia y Tecnología podrá recurrir a entidades independientes y técnicamente cualificadas para que le asistan en las labores de supervisión y control sobre los prestadores de servicios de certificación que le asigna esta ley.

Artículo 30. Deber de información y colaboración.
1. Los prestadores de servicios de certificación, la entidad independiente de acreditación y los organismos de certificación tienen la obligación de facilitar al Ministerio de Ciencia y Tecnología toda la información y colaboración precisas para el ejercicio de sus funciones.

En particular, deberán permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.5 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. En sus inspecciones podrán ir acompañados de expertos o peritos en las materias sobre las que versen aquéllas.

2. Los prestadores de servicios de certificación deberán comunicar al Ministerio de Ciencia y Tecnología el inicio de su actividad, sus datos de identificación, incluyendo la identificación fiscal y registral, en su caso, los datos que permitan establecer comunicación con el prestador, incluidos el nombre de dominio de internet, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores y será objeto de publicación en la dirección de internet del citado ministerio con la finalidad de otorgarle la máxima difusión y conocimiento.

3. Cuando, como consecuencia de una actuación inspectora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.

TÍTULO VI. Infracciones y sanciones.

Artículo 31. Infracciones.
1. Las infracciones de los preceptos de esta ley se clasifican en muy graves, graves y leves.

2. Son infracciones muy graves:

a) El incumplimiento de alguna de las obligaciones establecidas en los artículos 18 y 20 en la expedición de certificados reconocidos, siempre que se hayan causado daños graves a los usuarios o la seguridad de los servicios de certificación se haya visto gravemente afectada.

Lo dispuesto en este apartado no será de aplicación respecto al incumplimiento de la obligación de constitución de la garantía económica prevista en el apartado 2 del artículo 20.

b) La expedición de certificados reconocidos sin realizar todas las comprobaciones previas señaladas en el artículo 12, cuando ello afecte a la mayoría de los certificados reconocidos expedidos en los tres años anteriores al inicio del procedimiento sancionador o desde el inicio de la actividad del prestador si este período es menor.

3. Son infracciones graves:

a) El incumplimiento de alguna de las obligaciones establecidas en los artículos 18 y 20 en la expedición de certificados reconocidos, excepto de la obligación de constitución de la garantía prevista en el apartado 2 del artículo 20, cuando no constituya infracción muy grave.

b) La falta de constitución por los prestadores que expidan certificados reconocidos de la garantía económica contemplada en el apartado 2 del artículo 20.

c) La expedición de certificados reconocidos sin realizar todas las comprobaciones previas indicadas en el artículo 12, en los casos en que no constituya infracción muy grave.

d) El incumplimiento por los prestadores de servicios de certificación que no expidan certificados reconocidos de las obligaciones señaladas en el artículo 18, si se hubieran causado daños graves a los usuarios o la seguridad de los servicios de certificación se hubiera visto gravemente afectada.

e) El incumplimiento por los prestadores de servicios de certificación de las obligaciones establecidas en el artículo 21 respecto al cese de actividad de los mismos o la producción de circunstancias que impidan la continuación de su actividad, cuando las mismas no sean sancionables de conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

f) La resistencia, obstrucción, excusa o negativa injustificada a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta ley y la falta o deficiente presentación de la información solicitada por parte del Ministerio de Ciencia y Tecnología en su función de inspección y control.

g) El incumplimiento de las resoluciones dictadas por el Ministerio de Ciencia y Tecnología para asegurar que el prestador de servicios de certificación se ajuste a esta ley.

4. Constituyen infracciones leves:

El incumplimiento por los prestadores de servicios de certificación que no expidan certificados reconocidos, de las obligaciones señaladas en el artículo 18 y las restantes de esta ley, cuando no constituya infracción grave o muy grave, excepto las contenidas en el apartado 2 del artículo 30.

Artículo 32. Sanciones.
1. Por la comisión de infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

a) Por la comisión de infracciones muy graves, se impondrá al infractor multa de 150.001 a 600.000 euros

La comisión de dos o más infracciones muy graves en el plazo de tres años, podrá dar lugar, en función de los criterios de graduación del artículo siguiente, a la sanción de prohibición de actuación en España durante un plazo máximo de dos años.

b) Por la comisión de infracciones graves, se impondrá al infractor multa de 30.001 a 150.000 euros.

c) Por la comisión de infracciones leves, se impondrá al infractor una multa por importe de hasta 30.000 euros.

2. Las infracciones graves y muy graves podrán llevar aparejada, a costa del sancionado, la publicación de la resolución sancionadora en el «Boletín Oficial del Estado» y en dos periódicos de difusión nacional o en la página de inicio del sitio de internet del prestador y, en su caso, en el sitio de internet del Ministerio de Ciencia y Tecnología, una vez que aquélla tenga carácter firme. Para la imposición de esta sanción, se considerará la repercusión social de la infracción cometida, el número de usuarios afectados y la gravedad del ilícito.

Artículo 33. Graduación de la cuantía de las sanciones.
La cuantía de las multas que se impongan, dentro de los límites indicados, se graduará teniendo en cuenta lo siguiente:

a) La existencia de intencionalidad o reiteración.

b) La reincidencia, por comisión de infracciones dela misma naturaleza, sancionadas mediante resolución firme.

c) La naturaleza y cuantía de los perjuicios causados.

d) Plazo de tiempo durante el que se haya venido cometiendo la infracción

e) El beneficio que haya reportado al infractor la comisión de la infracción.

f) Volumen de la facturación a que afecte la infracción cometida.

Artículo 34. Medidas provisionales.
1. En los procedimientos sancionadores por infracciones graves o muy graves el Ministerio de Ciencia y Tecnología podrá adoptar, con arreglo a la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y sus normas de desarrollo, las medidas de carácter provisional que se estimen necesarias para asegurarla eficacia de la resolución que definitivamente se dicte, el buen fin del procedimiento, evitar el mantenimiento de los efectos de la infracción y las exigencias de los intereses generales.

En particular, podrán acordarse las siguientes:

a) Suspensión temporal de la actividad del prestador de servicios de certificación y, en su caso, cierre provisional de sus establecimientos.

b) Precinto, depósito o incautación de registros, soportes y archivos informáticos y de documentos en general, así como de aparatos y equipos informáticos de todo tipo.

c) Advertencia al público de la existencia de posibles conductas infractoras y de la incoación del expediente sancionador de que se trate, así como de las medidas adoptadas para el cese de dichas conductas.

En la adopción y cumplimiento de las medidas de restricción a que alude este apartado se respetarán, en todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos a la intimidad personal y a la protección de los datos personales, cuando éstos pudieran resultar afectados.

2. En los supuestos de daños de excepcional gravedad en la seguridad de los sistemas empleados por el prestador de servicios de certificación que menoscaben seriamente la confianza de los usuarios en los servicios ofrecidos, el Ministerio de Ciencia y Tecnología podrá acordar la suspensión o pérdida de vigencia delos certificados afectados, incluso con carácter definitivo.

3. En todo caso, se respetará el principio de proporcionalidad de la medida a adoptar con los objetivos que se pretendan alcanzar en cada supuesto.

4. En casos de urgencia y para la inmediata protección de los intereses implicados, las medidas provisionales previstas en este artículo podrán ser acordadas antes de la iniciación del expediente sancionador.

Las medidas deberán ser confirmadas, modificadas o levantadas en el acuerdo de iniciación del procedimiento, que deberá efectuarse dentro de los 15 días siguientes a su adopción, el cual podrá ser objeto del recurso que proceda. En todo caso, dichas medidas quedarán sin efecto si no se inicia el procedimiento sancionador en dicho plazo o cuando el acuerdo de iniciación no contenga un pronunciamiento expreso acerca de las mismas.

Artículo 35. Multa coercitiva.
El órgano administrativo competente para resolver el procedimiento sancionador podrá imponer multas coercitivas por importe que no exceda de 6.000 euros por cada día que transcurra sin cumplir las medidas provisionales que hubieran sido acordadas.

Artículo 36. Competencia y procedimiento sancionador.
1. La imposición de sanciones por el incumplimiento de lo previsto en esta ley corresponderá, en el caso de infracciones muy graves, al Ministro de Ciencia y Tecnología y en el de infracciones graves y leves, al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.

No obstante, el incumplimiento de las obligaciones establecidas en el artículo 17 será sancionado por la Agencia de Protección de Datos con arreglo a lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

2. La potestad sancionadora regulada en esta Ley se ejercerá de conformidad con lo establecido al respecto en la Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común y en sus normas de desarrollo.

Disposición adicional primera. Fe pública y uso de firma electrónica.

1. Lo dispuesto en esta ley no sustituye ni modifica las normas que regulan las funciones que corresponden a los funcionarios que tengan legalmente la facultad de dar fe en documentos en lo que se refiere al ámbito de sus competencias siempre que actúen con los requisitos exigidos en la ley.

2. En el ámbito de la documentación electrónica, corresponderá a las entidades prestadoras de servicios de certificación acreditar la existencia de los servicios prestados en el ejercicio de su actividad de certificación electrónica, a solicitud del usuario, o de una autoridad judicial o administrativa.

Disposición adicional segunda. Ejercicio de la potestad sancionadora sobre la entidad de acreditación y los organismos de certificación de dispositivos de creación de firma electrónica.

1. En el ámbito de la certificación de dispositivos de creación de firma, corresponderá al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Ciencia y Tecnología la imposición de sanciones por la comisión, por los organismos de certificación de dispositivos seguros de creación de firma electrónica o por la entidad que los acredite, delas infracciones graves previstas en los párrafos e), f) y g) del apartado segundo del artículo 31 de la Ley 21/1992, de 16 de julio, de Industria, y de las infracciones leves indicadas en el párrafo a) del apartado 3 del artículo 31 de la citada ley que cometan en el ejercicio de actividades relacionadas con la certificación de firma electrónica.

2. Cuando dichas infracciones merezcan la calificación de infracciones muy graves, serán sancionadas por el Ministro de Ciencia y Tecnología.

Disposición adicional tercera. Expedición de certificados electrónicos a entidades sin personalidad jurídica para el cumplimiento de obligaciones tributarias.

Podrán expedirse certificados electrónicos a las entidades sin personalidad jurídica a que se refiere el artículo 33 de la Ley General Tributaria a los solos efectos de su utilización en el ámbito tributario, en los términos que establezca el Ministro de Hacienda.

Disposición adicional cuarta. Prestación de servicios por la Fabrica Nacional de Moneda y Timbre-Real Casa de la Moneda.

Lo dispuesto en esta ley se entiende sin perjuicio de lo establecido en el artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social.

Disposición adicional quinta. Modificación del artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social.

Se añaden apartado doce al artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, con la siguiente redacción.

«Doce. En el ejercicio de las funciones que le atribuye el presente artículo, la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda estará exenta de la constitución de la garantía a la que se refiere el apartado 2 del artículo 20 de la Ley 59/2003, de Firma Electrónica.»

Disposición adicional sexta. Régimen jurídico del documento nacional de identidad electrónico.

1. Sin perjuicio de la aplicación de la normativa vigente en materia del documento nacional de identidad en todo aquello que se adecue a sus características particulares, el documento nacional de identidad electrónico se regirá por su normativa específica.

2. El Ministerio de Ciencia y Tecnología podrá dirigirse al Ministerio del Interior para que por parte de éste se adopten las medidas necesarias para asegurar el cumplimiento de las obligaciones que le incumban como prestador de servicios de certificación en relación con el documento nacional de identidad electrónico.

Disposición adicional séptima. Emisión de facturas por vía electrónica.

Lo dispuesto en esta ley se entiende sin perjuicio de las exigencias derivadas de las normas tributarias en materia de emisión de facturas por vía electrónica.

Disposición adicional octava. Modificaciones de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Uno. Adición de un nuevo apartado 3 al artículo 10 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Se añade un apartado 3 con el siguiente texto:

«3. Cuando se haya atribuido un rango de numeración telefónica a servicios de tarificación adicional en el que se permita el acceso a servicios de la sociedad de la información y se requiera su utilización por parte del prestador de servicios, esta utilización y la descarga de programas informáticos que efectúen funciones de marcación, deberán realizarse con el consentimiento previo, informado y expreso del usuario.

A tal efecto, el prestador del servicio deberá proporcionar al menos la siguiente información:

a) Las características del servicio que se va a proporcionar.

b) Las funciones que efectuarán los programas informáticos que se descarguen, incluyendo el número telefónico que se marcará.

c) El procedimiento para dar fin a la conexión de tarificación adicional, incluyendo una explicación del momento concreto en que se producirá dicho fin, y

d) El procedimiento necesario para restablecer el número de conexión previo a la conexión de tarificación adicional.

La información anterior deberá estar disponible de manera claramente visible e identificable.

Lo dispuesto en este apartado se entiende sin perjuicio de lo establecido en la normativa de telecomunicaciones, en especial, en relación con los requisitos aplicables para el acceso por parte delos usuarios a los rangos de numeración telefónica, en su caso, atribuidos a los servicios de tarificación adicional.»

Dos. Los apartados 2, 3 y 4 del artículo 38 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico se redactan en los siguientes términos:

«2. Son infracciones muy graves:

a) El incumplimiento de las órdenes dictadas en virtud del artículo 8 en aquellos supuestos en que hayan sido dictadas por un órgano administrativo.

b) El incumplimiento de la obligación de suspenderla transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene, en virtud de lo dispuesto en el artículo 11.

c) El incumplimiento significativo de la obligación de retener los datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información, prevista en el artículo 12.

d) La utilización de los datos retenidos, en cumplimiento del artículo 12, para fines distintos de los señalados en él.

3. Son infracciones graves:

a) El incumplimiento de la obligación de retenerlos datos de tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información, prevista en el artículo 12, salvo que deba ser considerado como infracción muy grave.

b) El incumplimiento significativo de lo establecido en los párrafos a) y f) del artículo 10.1.

c).El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

d) El incumplimiento significativo de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios.

e) No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27.

f) El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor.

g) La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta ley.

h) El incumplimiento significativo de lo establecido en el apartado 3 del artículo 10.

i) El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.

4. Son infracciones leves:

a) La falta de comunicación al registro público en que estén inscritos, de acuerdo con lo establecido en el artículo 9, del nombre o nombres de dominio o direcciones de Internet que empleen para la prestación de servicios de la sociedad dela información.

b) No informar en la forma prescrita por el artículo 10.1 sobre los aspectos señalados en los párrafos b), c), d), e) y g) del mismo, o en los párrafos a) y f) cuando no constituya infracción grave.

c) El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promocionales y concursos.

d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.

e) No facilitar la información a que se refiere el artículo 27.1, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor.

f) El incumplimiento de la obligación de confirmarla recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave.

g) El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave.

h) El incumplimiento de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios cuando no constituya infracción grave.

i) El incumplimiento de lo establecido en el apartado 3 del artículo 10, cuando no constituya infracción grave.»

Tres. Modificación del artículo 43, apartado 1, segundo párrafo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

El segundo párrafo del apartado 1 del artículo 43 queda redactado como sigue:

«No obstante lo anterior, la imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función dela materia o entidad de que se trate a que se refieren los párrafos a) y b) del artículo 38.2 de esta ley corresponderá al órgano que dictó la resolución incumplida. Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g y h) de esta ley.»

Cuatro. Modificación del artículo 43, apartado 2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

El apartado 2 del artículo 43 queda redactado como sigue:

«2. La potestad sancionadora regulada en esta ley se ejercerá de conformidad con lo establecido al respecto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y en sus normas de desarrollo. No obstante, el plazo máximo de duración del procedimiento simplificado será de tres meses.»

Disposición adicional novena. Garantía de accesibilidad para las personas con discapacidad y de la tercera edad.

Los servicios, procesos, procedimientos y dispositivos de firma electrónica deberán ser plenamente accesibles a las personas con discapacidad y de la tercera edad, las cuales no podrán ser en ningún caso discriminadas en el ejercicio de los derechos y facultades reconocidos en esta ley por causas basadas en razones de discapacidad o edad avanzada.

Disposición adicional décima. Modificación de la Ley de Enjuiciamiento Civil.

Se añade un apartado tres al artículo 326 de la Ley de Enjuiciamiento Civil con el siguiente tenor:

«Cuando la parte a quien interese la eficacia de un documento electrónico lo pida o se impugne su autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de la Ley de Firma Electrónica.»

Disposición transitoria primera. Validez de los certificados electrónicos expedidos previamente a la entrada en vigor de esta ley.

Los certificados electrónicos que hayan sido expedidos por prestadores de servicios de certificación en el marco del Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica, mantendrán su validez.

Disposición transitoria segunda. Prestadores de servicios de certificación establecidos en España antes de la entrada en vigor de esta ley.

Los prestadores de servicios de certificación establecidos en España antes de la entrada en vigor de esta ley deberán comunicar al Ministerio de Ciencia y Tecnología su actividad y las características de los servicios que presten en el plazo de un mes desde la referida entrada en vigor. Esta información será objeto de publicación en la dirección de internet del citado ministerio con la finalidad de otorgarle la máxima difusión y conocimiento.

Disposición derogatoria única. Derogación normativa.

Queda derogado el Real Decreto Ley 14/1999, de17 de septiembre, sobre firma electrónica y cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta ley.

Disposición final primera. Fundamento constitucional.

Esta ley se dicta al amparo del artículo 149.1.8.a, 18.a, 21.a y 29.a de la Constitución.

Disposición final segunda. Desarrollo reglamentario.

1. El Gobierno adaptará la regulación reglamentaria del documento nacional de identidad a las previsiones de esta ley.

2. Así mismo, se habilita al Gobierno para dictarlas demás disposiciones reglamentarias que sean precisas para el desarrollo y aplicación de esta ley.

Disposición final tercera. Entrada en vigor.

La presente ley entrará en vigor a los tres meses de su publicación en el «Boletín Oficial del Estado».

Por tanto,

Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta ley.

Madrid, 19 de diciembre de 2003.

JUAN CARLOS R.

El Presidente del Gobierno,
JOSÉ MARÍA AZNAR LÓPEZ

 

 

09Jun/03

La firma electrónica: mayor seguridad en la red

La firma electrónica: mayor seguridad en la red

Se proponen cambios en la regulación de la firma electrónica, para impulsar el comercio electrónico. La confianza y la seguridad de los usuarios es clave para conseguirlo. Pero, ¿sabe usted qué es exactamente y cómo funciona?

¿Qué es la firma electrónica?

La firma electrónica o digital es un conjunto de datos electrónicos que identifican a una persona en concreto. Suelen unirse al documento que se envía por medio telemático, como si de la firma tradicional y manuscrita se tratara, de esta forma el receptor del mensaje está seguro de quién ha sido el emisor, así como que el mensaje no ha sido alterado o modificado.

La firma electrónica puede utilizarse en el sector privado, para contratación privada por vía electrónica, entre empresa y consumidor (por ejemplo, la compra de un libro o un compacto por Internet) y entre empresas (por ejemplo, realizar un pedido a un distribuidor) o incluso entre los mismos consumidores finales (por ejemplo, venta de una raqueta de 2° mano, una colección de monedas etc).
También nos sirve para realizar actuaciones con y entre la Administración, es decir, sirve tanto para las relaciones entre los propios entes públicos que la forman como para las relaciones del ciudadano con la Administración (por ejemplo, algo tan simple como la renovación del D.N.I, la solicitud de prestaciones a la Seguridad Social o incluso la presentación de la declaración de la renta por Internet con el conocido programa «Padre»).

¿Cómo funciona la firma electrónica?

La firma electrónica funciona mediante la encriptación o cifrado de los datos que la componen, de forma que si no se tiene la clave, el documento se convierte en ilegible.
Para ello es necesario contar con un par de claves :clave privada y clave pública que se corresponden de forma matemática. Pongamos un ejemplo, escribimos un documento y lo firmamos con nuestra clave privada y lo enviamos a nuestro receptor al cual previamente le habremos otorgado nuestra clave pública, esta clave pública es la que permite verificar la procedencia del mensaje y que verdaderamente ha sido firmado por nosotros, que somos los únicos poseedores de la clave privada)

Con esta encriptación se consigue que :

  • La información enviada bajo la firma electrónica sólo pueda leerse por la persona autorizada que posea la clave.
  • Acreditar la identidad de quien firma el documento electrónicamente.

¿Cuántos tipos de firma electrónica existen?

En nuestra actual normativa existen dos tipos: la básica y la avanzada.

La firma electrónica básica contiene un conjunto de datos recogidos de forma electrónica que formalmente identifican al autor y se incorporan al propio documento, pero este sistema tiene algunos problemas. ¿cómo sabemos que los datos enviados hayan sido creados por la persona que lo firma o que verdaderamente lo ha firmado él y no una tercera persona haciéndose pasar por él?.

Para resolver este problema se crea la firma electrónica avanzada , a la que nuestro ordenamiento atribuye plena eficacia jurídica y valor probatorio en juicio. Permite la identificación del emisor del mensaje ya que está vinculada de manera única al que firma el documento y a los datos que incorpora, debido a que es el signatario quien únicamente posee el control exclusivo de estas claves, además de que permite saber si estos datos han sido modificados posteriormente o en su transcurso.

Sin duda son figuras todavía desconocidas y complicadas para el uso y entendimiento de la población , no sólo porque son tratadas desde un punto de vista excesivamente técnico, sino por la propia ambigüedad que produce la lectura de las definiciones que ofrece la regulación actual.

¿Quién autentifica las firmas electrónicas?

Las autoridades de certificación, que son personas o entidades que cumplen una serie de requisitos legales y que deben ser autorizados por el Ministerio de Justicia para otorgar certificados que acrediten que la persona o entidad que usa dicha firma es ciertamente quien dice ser.

Las principales autoridades de certificación que operan en España y que por consiguiente se hayan debidamente acreditadas son:

  1. Agencia de Certificación Electrónica (ACE), está homologada por Visa y Mastercard y ofrece certificados para Entidades y Corporaciones dentro de Comercio electrónico y de comunicaciones a través de Internet. (www.ace.es)
  2. Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE), se trata de entidad formada por registradores, notarios, abogados, la Universidad de Zaragoza e Intercomputer S.A y su principal actuación se dirige a la contratación privada. (www.feste.es)
  3. Certificación Española (CERES), es una entidad de certificación pública que lleva a cabo la Fábrica Nacional de Moneda y Timbre. Su campo de actuación es la garantía de seguridad, validez y eficacia de comunicaciones entre los órganos de la Administración Pública y entre las personas físicas y jurídicas que se relacionen con ella, sin olvidar servicios de Comunidades autónomas, Entidades Locales y de derecho público siendo necesario únicamente un convenio previo.(www.fnmt.es/faq.htm).

En España la prestación de estos servicios es libre, si bien existe un procedimiento voluntario, que es la acreditación, mediante la cual la Administración, realizando las evaluaciones técnicas de rigor , emite una resolución o documento oficial donde certifica que ese Prestador cumple con las normas de calidad y seguridad establecidas en cuanto a sus procedimientos y a los productos y tecnología que utiliza.

¿Qué necesitamos para emitir un documento con firma digital avanzada?

Primeramente necesitaremos una serie de requisitos técnicos en nuestro ordenador, como es un navegador del tipo Nestcape o Microsoft Internet Explorer 4.0 o superior, en segundo lugar contactar con una Autoridad de certificación de firmas, como por ejemplo la Agencia de Certificación Electrónica, Verisign, IPS, etc, estas entidades comprobarán su identidad y le facilitarán un juego de claves (pública o privada) además de que le expedirán un certificado.

Actual Regulación: R.D.Ley 14/1999, de 17 de Septiembre sobre firma electrónica.

España es un país pionero en lo que respecta a la regulación de la firma electrónica, de hecho el Real Decreto fue publicado antes que la Directiva europea de 13 de Diciembre de 1999 de armonización de la firma electrónica.

Se critica de este Real Decreto Ley , precisamente que sea un Decreto la norma que regule la firma electrónica y que fuera aprobado con carácter de urgencia, y no una ley aprobada de forma consensuada y debatida en el Parlamento.

Su contenido es demasiado técnico y de difícil comprensión por personas no especializadas en la materia, incluidos jueces y abogados cuando realizan una interpretación de los mismos, asimismo se centra demasiado en aspectos administrativos, dejando un vacío respecto al verdadero y cotidiano uso de la firma por particulares.

Además observamos una falta de concreción con respecto a los requisitos necesarios para la prestación de servicios de certificación y a la posición de preeminencia que se otorga a las Administraciones Públicas pareciendo impedir en muchos casos el acceso al mercado de operadores privados dejando en muchos casos en entre dicho la libertad de competencia. También sería deseable que hubiera una autoridad claramente definida con una competencias marcadas en la tramitación de los «servicios de la sociedad de la información», como en el caso que nos ocupa la firma electrónica, ya que da la sensación de no saber dónde acudir.

Anteproyecto de Ley de firma electrónica

Se pretende dotar a la firma electrónica de una regulación legal, respecto a su forma y limar algunos de sus contenidos, algo que la propia evolución social y tecnológica clamaba desde hace tiempo.

La validez jurídica de la firma electrónica sigue teniendo la plena eficacia jurídica y probatoria.

Sin embargo podemos observar dos novedades importantes en este anteproyecto:

1º/ Creación del DNI electrónico, de este modo todos los ciudadanos podrán emitir firmas electrónicas certificadas por la Administración del Estado. Será muy útil en trámites administrativos, transacciones electrónicas y banca online.

2º/ Regulación de los certificados de personas jurídicas.
Las solicitarán los administradores, representantes legales y apoderados de la persona jurídica, es decir se requiere que haya una persona física con vinculación a la persona jurídica.

Será un gran paso para la seguridad jurídica entre empresas y como impulso del comercio electrónico.

Se pretende que cada vez más se extienda a la población en general y deje de ser un servicio prácticamente exclusivo de empresas y Administraciones Públicas.

Es deseable una distinción clara entre firma básica o simple y firma avanzada, en qué consisten , cuales son sus efectos y qué utilidades ofrecen para el usuario en función del destino que le vaya a dar.

Respecto a las entidades de certificación , es criticable la falta de transparencia hacia los ciudadanos de cual es su procedimiento.

Primeramente ante el desconocimiento de quién puede realizar estos servicios, qué requisitos deben cumplir, si están o no acreditados, en qué medida la acreditación influye en la prestación del servicio y las responsabilidades que conlleva etc, y en segundo lugar, la falta de información que existe sobre los servicios que se ofertan , los precios de los mismos, su utilidad real, y el procedimiento para llevarlos a cabo.
En la práctica nos encontramos con servicios dirigidos a un público demasiado especializado, que producen impotencia en el usuario ante la amalgama de términos empleados, también son frecuentes los enlaces a otras paginas, llevando al usuario a un desconcierto y la confusión.

30Mar/01

Décret no 2001-272 signature électronique

Décret no 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique

Le Premier ministre,
Sur le rapport de la garde des sceaux, ministre de la justice,
Vu la directive 1999/93/CE du Parlement européen et du Conseil en date du 13 décembre 1999 sur un cadre
communautaire pour les signatures électroniques ;
Vu le code civil, notamment ses articles 1316 à 1316-4 ;
Vu la loi no 90-1170 du 29 décembre 1990 modifiée sur la réglementation des télécommunications, notamment son
article 28 ;
Le Conseil d’Etat (section de l’intérieur) entendu,
Décrète :

Article 1

Au sens du présent décret, on entend par :

1. «Signature électronique» : une donnée qui résulte de l’usage d’un procédé répondant aux conditions définies à la première phrase du second alinéa de l’article 1316-4 du code civil ;

2. «Signature électronique sécurisée» : une signature électronique qui satisfait, en outre, aux exigences suivantes :
– être propre au signataire ;
– être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
– garantir avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable ;

3. «Signataire» : toute personne physique, agissant pour son propre compte ou pour celui de la personne physique ou morale qu’elle représente, qui met en oeuvre un dispositif de création de signature électronique ;

4. «Données de création de signature électronique» : les éléments propres au signataire, tels que des clés cryptographiques privées, utilisés par lui pour créer une signature électronique ;

5. «Dispositif de création de signature électronique» : un matériel ou un logiciel destiné à mettre en application les données de création de signature électronique ;

6. «Dispositif sécurisé de création de signature électronique» : un dispositif de création de signature électronique qui satisfait aux exigences définies au I de l’article 3 ;

7. «Données de vérification de signature électronique» : les éléments, tels que des clés cryptographiques publiques, utilisés pour vérifier la signature électronique ;

8. «Dispositif de vérification de signature électronique» : un matériel ou un logiciel destiné à mettre en application les données de vérification de signature électronique ;

9. «Certificat électronique» : un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire ;

10. «Certificat électronique qualifié» : un certificat électronique répondant aux exigences définies à l’article 6 ;

11. «Prestataire de services de certification électronique» : toute personne qui délivre des certificats électroniques ou fournit d’autres services en matière de signature électronique ;

12. «Qualification des prestataires de services de certification électronique» : l’acte par lequel un tiers, dit organisme de qualification, atteste qu’un prestataire de services de certification électronique fournit des prestations conformes à des exigences particulières de qualité.

Article 2

La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié.

Chapitre I. Des dispositifs sécurisés de création de signature électronique

Article 3

Un dispositif de création de signature électronique ne peut être regardé comme sécurisé que s’il satisfait aux exigences définies au I et que s’il est certifié conforme à ces exigences dans les conditions prévues au II.

I. . Un dispositif sécurisé de création de signature électronique doit :

1. Garantir par des moyens techniques et des procédures appropriés que les données de création de signature électronique :
a) Ne peuvent être établies plus d’une fois et que leur confidentialité est assurée ;
b) Ne peuvent être trouvées par déduction et que la signature électronique est protégée contre toute falsification ;
c) Peuvent être protégées de manière satisfaisante par le signataire contre toute utilisation par des tiers.

2. N’entraîner aucune altération du contenu de l’acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.

II. . Un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définies au I :
1º Soit par les services du Premier ministre chargés de la sécurité des systèmes d’information, après une évaluation réalisée, selon des règles définies par arrêté du Premier ministre, par des organismes agréés par ces services. La délivrance par ces services du certificat de conformité est rendue publique ;
2º Soit par un organisme désigné à cet effet par un Etat membre de la Communauté européenne.

Article 4

Le contrôle de la mise en oeuvre des procédures d’évaluation et de certification prévues au 1º du II de l’article 3 est assuré par un comité directeur de la certification, institué auprès du Premier ministre.
Un arrêté du Premier ministre précise les missions attribuées à ce comité, fixe sa composition, définit les procédures de certification et d’évaluation des dispositifs de création de signature électronique mentionnées à l’alinéa précédent ainsi que les procédures d’agrément des organismes d’évaluation. Il détermine, en outre, les obligations incombant à ces organismes et fixe les conditions dans lesquelles sont présentées et instruites les demandes de certification.

Chapitre II. Des dispositifs de vérification de signature électronique

Article 5

Un dispositif de vérification de signature électronique peut faire, après évaluation, l’objet d’une certification, selon les procédures définies par l’arrêté mentionné à l’article 4, s’il répond aux exigences suivantes :
a) Les données de vérification de signature électronique utilisées doivent être celles qui ont été portées à la connaissance de la personne qui met en oeuvre le dispositif et qui est dénommée «vérificateur»;
b) Les conditions de vérification de la signature électronique doivent permettre de garantir l’exactitude de celle-ci et le résultat de cette vérification doit sans subir d’altération être porté à la connaissance du vérificateur ;
c) Le vérificateur doit pouvoir, si nécessaire, déterminer avec certitude le contenu des données signées ;
d) Les conditions et la durée de validité du certificat électronique utilisé lors de la vérification de la signature
électronique doivent être vérifiées et le résultat de cette vérification doit sans subir d’altération être porté à la connaissance du vérificateur ;
e) L’identité du signataire doit sans subir d’altération être portée à la connaissance du vérificateur ;
f) Lorsqu’il est fait usage d’un pseudonyme, son utilisation doit être clairement portée à la connaissance du vérificateur;
g) Toute modification ayant une incidence sur les conditions de vérification de la signature électronique doit pouvoir être détectée.

Chapitre III. Des certificats électroniques qualifiés et des prestataires de services de certification électronique

Article 6

Un certificat électronique ne peut être regardé comme qualifié que s’il comporte les éléments énumérés au I et que s’il est délivré par un prestataire de services de certification électronique satisfaisant aux exigences fixées au II.

I.  Un certificat électronique qualifié doit comporter :
a) Une mention indiquant que ce certificat est délivré à titre de certificat électronique qualifié ;
b) L’identité du prestataire de services de certification électronique ainsi que l’Etat dans lequel il est établi ;
c) Le nom du signataire ou un pseudonyme, celui-ci devant alors être identifié comme tel ;
d) Le cas échéant, l’indication de la qualité du signataire en fonction de l’usage auquel le certificat électronique est destiné ;
e) Les données de vérification de signature électronique qui correspondent aux données de création de signature électronique;
f) L’indication du début et de la fin de la période de validité du certificat électronique ;
g) Le code d’identité du certificat électronique ;
h) La signature électronique sécurisée du prestataire de services de certification électronique qui délivre le certificat électronique ;
i) Le cas échéant, les conditions d’utilisation du certificat électronique, notamment le montant maximum des transactions pour lesquelles ce certificat peut être utilisé.

II.  Un prestataire de services de certification électronique doit satisfaire aux exigences suivantes :
a) Faire preuve de la fiabilité des services de certification électronique qu’il fournit ;
b) Assurer le fonctionnement, au profit des personnes auxquelles le certificat électronique est délivré, d’un service d’annuaire recensant les certificats électroniques des personnes qui en font la demande ;
c) Assurer le fonctionnement d’un service permettant à la personne à qui le certificat électronique a été délivré de révoquer sans délai et avec certitude ce certificat ;
d) Veiller à ce que la date et l’heure de délivrance et de révocation d’un certificat électronique puissent être déterminées avec précision ;
e) Employer du personnel ayant les connaissances, l’expérience et les qualifications nécessaires à la fourniture de services de certification électronique ;
f) Appliquer des procédures de sécurité appropriées ;
g) Utiliser des systèmes et des produits garantissant la sécurité technique et cryptographique des fonctions qu’ils assurent ;
h) Prendre toute disposition propre à prévenir la falsification des certificats électroniques ;
i) Dans le cas où il fournit au signataire des données de création de signature électronique, garantir la confidentialité de ces données lors de leur création et s’abstenir de conserver ou de reproduire ces données ;
j) Veiller, dans le cas où sont fournies à la fois des données de création et des données de vérification de la signature électronique, à ce que les données de création correspondent aux données de vérification ;
k) Conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s’avérer nécessaires pour faire la preuve en justice de la certification électronique.
l) Utiliser des systèmes de conservation des certificats électroniques garantissant que :
– l’introduction et la modification des données sont réservées aux seules personnes autorisées à cet effet par le prestataire ;
– l’accès du public à un certificat électronique ne peut avoir lieu sans le consentement préalable du titulaire du certificat;
– toute modification de nature à compromettre la sécurité du système peut être détectée ;
m) Vérifier, d’une part, l’identité de la personne à laquelle un certificat électronique est délivré, en exigeant d’elle la présentation d’un document officiel d’identité, d’autre part, la qualité dont cette personne se prévaut et conserver les caractéristiques et références des documents présentés pour justifier de cette identité et de cette qualité ;
n) S’assurer au moment de la délivrance du certificat électronique :
– que les informations qu’il contient sont exactes ;
– que le signataire qui y est identifié détient les données de création de signature électronique correspondant aux données de vérification de signature électronique contenues dans le certificat ;
o) Avant la conclusion d’un contrat de prestation de services de certification électronique, informer par écrit la personne demandant la délivrance d’un certificat électronique :
– des modalités et des conditions d’utilisation du certificat ;
– du fait qu’il s’est soumis ou non au processus de qualification volontaire des prestataires de services de certification électronique mentionnée à l’article 7 ;
– des modalités de contestation et de règlement des litiges ;
p) Fournir aux personnes qui se fondent sur un certificat électronique les éléments de l’information prévue au o qui leur sont utiles.

Article 7

Les prestataires de services de certification électronique qui satisfont aux exigences fixées à l’article 6 peuvent demander à être reconnus comme qualifiés.
Cette qualification, qui vaut présomption de conformité auxdites exigences, est délivrée par les organismes ayant reçu à cet effet une accréditation délivrée par une instance désignée par arrêté du ministre chargé de l’industrie. Elle est précédée d’une évaluation réalisée par ces mêmes organismes selon des règles définies par arrêté du Premier ministre.
L’arrêté du ministre chargé de l’industrie prévu à l’alinéa précédent détermine la procédure d’accréditation des organismes et la procédure d’évaluation et de qualification des prestataires de services de certification électronique.

Article 8

Un certificat électronique délivré par un prestataire de services de certification électronique établi dans un Etat n’appartenant pas à la Communauté européenne a la même valeur juridique que celui délivré par un prestataire établi dans la Communauté, dès lors :
a) Que le prestataire satisfait aux exigences fixées au II de l’article 6 et a été accrédité, au sens de la directive du 13 décembre 1999 susvisée, dans un Etat membre ;
b) Ou que le certificat électronique délivré par le prestataire a été garanti par un prestataire établi dans la Communauté et satisfaisant aux exigences fixées au II de l’article 6 ;
c) Ou qu’un accord auquel la Communauté est partie l’a prévu.

Article 9

I. . Au titre de la déclaration de fourniture de prestations de cryptologie effectuée conformément aux dispositions de l’article 28 de la loi du 29 décembre 1990 susvisée, le prestataire de services de certification électronique doit, quand il entend délivrer des certificats électroniques qualifiés, l’indiquer.

II. . Le contrôle des prestataires visés au I est effectué par des organismes publics désignés par arrêté du Premier ministre et agissant sous l’autorité des services du Premier ministre chargés de la sécurité des systèmes d’information.
Ce contrôle porte sur le respect des exigences définies à l’article 6. Il peut être effectué d’office ou à l’occasion de toute réclamation mettant en cause l’activité d’un prestataire de services de certification électronique.
Lorsque le contrôle révèle qu’un prestataire n’a pas satisfait à ces exigences, les services du Premier ministre chargés de la sécurité des systèmes d’information assurent la publicité des résultats de ce contrôle et, dans le cas où le prestataire a été reconnu comme qualifié dans les conditions fixées à l’article 7, en informent l’organisme de qualification.
Les mesures prévues à l’alinéa précédent doivent faire l’objet, préalablement à leur adoption, d’une procédure contradictoire permettant au prestataire de présenter ses observations.

Chapitre IV. Dispositions diverses

Article 10

Le présent décret est applicable en Nouvelle-Calédonie, en Polynésie française, aux îles Wallis et Futuna et à Mayotte.

Article 11

Le ministre de l’économie, des finances et de l’industrie, la garde des sceaux, ministre de la justice, le ministre de l’intérieur, le secrétaire d’Etat à l’outre-mer et le secrétaire d’Etat à l’industrie sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait à Paris, le 30 mars 2001.

Lionel Jospin
Par le Premier ministre :

La garde des sceaux, ministre de la justice,Marylise Lebranchu
Le ministre de l’économie,des finances et de l’industrie,Laurent Fabius

Le ministre de l’intérieur, Daniel Vaillant
Le secrétaire d’Etat à l’outre-mer,Christian Paul

Le secrétaire d’Etat à l’industrie,Christian Pierret

10Mar/98

Decreto 65/98

Decreto 65/998

Montevideo, 10 de marzo de 1998

VISTO: El proyecto de Decreto sobre «procedimiento administrativo electrónico» que eleva la Oficina Nacional del Servicio Civil.

RESULTANDO:

I) Que la Ley de Presupuesto nº 16.736 de fecha 5 de enero de 1996, encomendó al Poder Ejecutivo la reglamentación de los artículos 694 a 697 del citado cuerpo normativo.

II) Que dichas normas contienen las disposiciones tendientes al empleo y aplicación de medios informáticos y telemáticos, para el desarrollo de las actividades y el ejercicio de las competencias de la Administración Pública.

III) Que estos medios son de uso corriente, tanto en el ámbito nacional como internacional.

CONSIDERANDO:

I) Que el presente proyecto de decreto responde a la actual política de reforma del Estado, tendiente al logro de una mayor eficiencia en los trámites y procedimientos administrativos, reglamentando la implementación de medios electrónicos de trasmisión, almacenamiento y manejo de documentos.

II) Que el empleo de dichos medios informáticos y telemáticos en la sustanciación de los expedientes administrativos, permitirá minimizar la utilización de documentos basados en papel, logrando así una mayor celeridad y simplificación en la gestión administrativa.

III) Que, asimismo, la incorporación de la informática a la gestión administrativa, permitirá un mayor control del flujo de información que maneja el Estado, que redundará en beneficio de la Administración y de los administrados.

Que a tales fines, dada la diversidad de sistemas de información y de sus plataformas existentes en la Administración, es necesario establecer un estándar de comunicación electrónica de documentos que deberá ser compatible con los utilizados en la actividad privada nacional e internacional.

ATENTO: a lo informado por el Director de la Oficina Nacional del Servicio Civil y a lo preceptuado por los artículos 694 a 698 de la Ley 16.736 de fecha 5 de enero de 1996,

 

EL PRESIDENTE DE LA REPÚBLICA
actuando en Consejo de Ministros

DECRETA:

 

CAPÍTULO I . Disposiciones Generales

 

Artículo 1º OPCION
La sustanciación de actuaciones en LA ADMINISTRACION PUBLICA, así como los actos administrativos que se dicten en las mismas, podrán realizarse por medios informáticos.
Cuando dichos trámites o actos, revestidos de carácter oficial, hayan sido redactados o extendidos por funcionarios competentes, según las formas requeridas y dentro del límite de sus atribuciones, constituirán instrumentos públicos y como tales se tendrán como auténticos y harán plena fe, salvo desconocimiento o tacha de falsedad.

En tal sentido, constituirán instrumentos públicos, aquellos creados por medios informáticos que aseguren su inalterabilidad.

Cuando la sustanciación de las actuaciones administrativas se realice por medios informáticos, las firmas autógrafas que la misma requiera podrán ser sustituidas por contraseñas o signos informáticos adecuados.

COORDINAR: 9 que refiere a «TODOS LOS ORGANISMOS PUBLICOS»
VER: 14, 27, 28, 30, 34 del
Decreto 500/91 y 44 del Código Tributario
VER
ley 17243 arts. 24 a 26 y Decreto 382/03. No existe opción
NOTA: La norma contenida en el Artículo 1 incluye TODOS los procedimientos administrativos, esto es, comunes y especiales. Respecto del disciplinario debe considerarse los arts. 168 y 174 del D. 500/91. El Decreto, que ejecuta directamente una ley (Artículo 168 nral. 4), la expresión utilizada (ADMINISTRACION PUBLICA) y lo dispuesto en el Artículo 9, PARECE aplicable al Estado en sentido amplio.

Artículo 2º DEFINICION
Se entiende por expediente electrónico, la serie ordenada de documentos públicos registrados por vía informática, tendientes a la formación de la voluntad administrativa en un asunto determinado.

VER ART 24 ley 17243

Artículo 3 VALIDEZ
El expediente electrónico tendrá la misma validez jurídica y probatoria que el expediente tradicional.
La documentación emergente de la trasmisión a distancia, por medios electrónicos, entre dependencias oficiales, constituirá, de por sí, documentación auténtica y hará plena fe a todos sus efectos en cuanto a la existencia del original trasmitido (Artículo 129 de la Ley Nº 16.002 de fecha 25 de noviembre de 1988).
Las formalidades relativas a la intervención notarial de certificación de firmas en actos, actas y contratos de la Administración, se seguirá regulando por las normas vigentes en la materia.

VER: 27 y 32 del Decreto 500/91 y Decreto 382/03

 

CAPITULO II . Normas sobre procedimiento

 

Artículo 4º APLICACIÓN DEL Decreto 500/91
Todas las normas sobre procedimiento administrativo serán de aplicación a los expedientes tramitados en forma electrónica, en la medida en que no sean incompatibles con la naturaleza del medio empleado.

NOTA: Se destaca que son aplicables las normas del procedimiento de que se trate, por ej., licitatorio y, en ese caso, subsidiariamente, el D. 500/91. El D. 65/98 solo estableció la posibilidad de documentar los expedientes en forma electrónica, sea cual fuere su naturaleza, la que no varía de acuerdo al soporte a utilizar, sin perjuicio de las particularidades del medio empleado.

Artículo 5º PETICIONES Y RECURSOS .
Toda petición o recurso administrativo que se presente ante la Administración podrá realizarse por medio de documentos electrónicos. A tales efectos los mismas deberán ajustarse a los formatos o parámetros técnicos que oportunamente fije el Poder Ejecutivo, con el asesoramiento de la Oficina Nacional del Servicio Civil, en lo referente a componentes específicos y a la validez del documento electrónico, de la Comisión Nacional de Informática, en lo referente a aspectos informáticos y del Grupo Técnico Asesor, en lo que respecta a las telecomunicaciones e integración de diferentes organismos de la Administración Pública.

En caso de incumplimiento de dichas especificaciones, tales documentos se tendrán por no recibidos.

No obstante lo expresado precedentemente, se respetará el principio del informalismo a favor del administrado, tanto para las peticiones como para los recursos administrativos

VER: 2, 9, 106 y siguientes y 154 del D. 500/91

Artículo 6 FORMA
Los administrados podrán presentar sus peticiones y recursos administrativos por medio de documentos electrónicos, mediante la utilización de los programas de ordenador que satisfagan el estándar establecido por la Comisión Nacional de Informática.

VER: 117 y siguientes, 142 y siguientes del D. 500/91

Artículo 7º CONSTANCIA
Toda vez que se presente un documento mediante transferencia electrónica, la Administración deberá expedir una constancia de su recepción. La constancia de recibo de un documento electrónico será prueba suficiente de su presentación.

Su contenido será la fecha, lugar y /digital del receptor.

Para las hipótesis previstas en este artículo así como en el anterior, serán de aplicación en lo pertinente, las disposiciones contenidas en los artículos 157 a 159 del Decreto Nº 500/991 de fecha 27 de setiembre de 1991.
VER: Artículo 14, 25 y 157 a 159 del D. 500791
NOTA: la remisión es superabundante de acuerdo al Artículo 4.-

Artículo 8º PAPEL
La Administración admitirá la presentación de documentos registrados en papel para su utilización en un expediente electrónico. En tales casos podrá optar entre la digitalización de dichos documentos para su incorporación al expediente electrónico, o la formación de una pieza separada, o una combinación de ambas, fijando como meta deseable la digitalización total de los documentos.
En caso de proceder a la digitalización del documento registrado en papel, se certificará la copia mediante la firma digital del funcionario encargado del proceso, así como la fecha y lugar de recepción.

COORDINAR: Artículo 1

Artículo 9º REPRODUCCIÓN Y ALMACENAMIENTO
Autorízase la reproducción y almacenamiento por medios informáticos de los expedientes y demás documentos registrados sobre papel, existentes en todos los organismos públicos.

COORDINAR: Artículo 1
NOTA: la disposición refiere a TODOS LOS ORGANISMOS PUBLICOS
VER: Decreto 83/01

Artículo 10º AUTORIZACION
Podrán reproducirse sobre papel los expedientes electrónicos, cuando sea del caso su sustanciación por ese medio, ya sea dentro o fuera de la repartición administrativa de que se trate, o para proceder a su archivo sobre papel. El funcionario responsable de dicha reproducción, certificará su autenticidad.

Artículo 11º EXPEDIENTE DE SEGURIDAD
Tratándose de expedientes totalmente digitalizados, el expediente original en papel, deberá radicarse en un archivo centralizado. En caso de la tramitación de un expediente parcialmente digitalizado, la pieza separada que contenga los documentos registrados en papel, se radicará en un archivo a determinar por la repartición respectiva. En ambos casos, el lugar dispuesto propenderá a facilitar la consulta, sin obstaculizar el trámite del expediente.

Artículo 12º PLAZOS PARA SUSTANCIAR
Los plazos para la sustanciación de los expedientes electrónicos, se computarán a partir del día siguiente de su recepción efectiva por el funcionario designado.
Se entiende por recepción efectiva, la fecha de ingreso del documento al subsistema de información al cual tiene acceso el funcionario designado a tales efectos.

VER Decreto 500/91: Artículo 106 y siguientes, ESPECIALMENTE, 112

Artículo 13º AUTORIZACION AL JERARCA
Los sistemas de información de expedientes electrónicos deberán prever y controlar las demoras en cada etapa del trámite. A su vez, deberán permitir al jerarca modificar el trámite para sortear los obstáculos detectados, minimizando demoras.

VER: 38, 116 y 218 DEL D. 500/91
NOTA: En el expediente electrónico existen autorizaciones y permisos, en cada secuencia procedimental, de acuerdo al grado jerárquico del servidor público y del tema al que refiere. Es decir, que no todos los funcionarios tienen acceso, en todo momento, desde su micro o con su clave, a un expediente. El que tiene acceso, en todo momento, sin perjuicio de las particularidades que surgen en la casuística (por ejemplo secreto en el Procedimiento Disciplinario), es el jerarca. Así, éste, puede observar donde se encuentra el expediente electrónico, a todos sus efectos, y de acuerdo a su poder de mando.-

Artículo 14º TECNOLOGIA DE RESPALDO
Los órganos administrativos que utilicen expedientes electrónicos, adoptarán procedimientos y tecnologías de respaldo o duplicación, a fin de asegurar su inalterabilidad y seguridad, los que serán definidos por la Oficina Nacional del Servicio Civil, con el asesoramiento de la Comisión Nacional de Informática o eventualmente del Grupo Técnico Asesor, cuando involucre a más de un organismo.

Artículo 15º ACTUALIZACION
El Poder Ejecutivo, con el asesoramiento de la Oficina Nacional del Servicio Civil, de la Comisión Nacional de Informática y del Grupo Técnico Asesor, en sus respectivas competencias, determinará periódicamente, en consideración a la evolución de la tecnología disponible, los medios técnicos de almacenamiento, reproducción y trasmisión telemática de documentos que, por su naturaleza o por la eficacia de los procedimientos de control aplicables, ofrezcan protección adecuada contra la pérdida o adulteración de la información almacenada, reproducida y/o trasmitida.

VER Decreto 83/01

Artículo 16º DESTRUCCION
Los documentos que hayan sido digitalizados en su totalidad, a través de los medios técnicos incluidos en el artículo anterior, podrán ser destruidos si ello conviene a las necesidades de cada organismo. Los originales de valor histórico, cultural o de otro valor intrínseco, no podrán ser destruidos, por lo que luego de almacenados serán enviados para su guarda a la repartición pública que corresponda, en aplicación de las normas vigentes sobre conservación del patrimonio histórico y cultural del Estado.

VER Artículo 90 DEL Decreto 500/91
VER Decreto 83/01

Artículo 17º COPIAS
Las copias o reproducciones de documentos anteriormente referidos, tendrán la misma validez del documento original a todos los fines para los que éste fuese empleado, sustituyéndolo con idéntico valor legal, siempre que estuviesen debidamente autenticados.

VER: 64 DEL Decreto 500/91

 

CAPITULO III . Firma electrónica y digital

 

Artículo 18º FIRMA ELECTRONICA
Se entiende por firma electrónica, el resultado de obtener por medio de mecanismos o dispositivos un patrón que se asocie biunívocamente a un individuo y a su voluntad de firmar.

VER Artículo 25 ley 17243

Artículo 19º FIRMA DIGITAL
Se entiende por firma digital, un patrón creado mediante criptografía, debiendo utilizarse sistemas criptográficos «de clave pública» o «asimétricos», o los que determine la evolución de la tecnología.

VER Artículo 25 ley 17243 y Decreto 382/03, arts 1

Artículo 20º CLAVES
A efectos de dotar de seguridad y certeza la gestión del sistema que se reglamenta, será responsabilidad de cada organismo que dirija un proyecto que utilice la tecnología de «claves públicas» y «claves privadas», determinar y documentar la forma de administración de las mismas.

VER Decreto 382/03, arts 1

Artículo 21º FALTA GRAVISIMA
La divulgación de la clave o contraseña personal de cualquier funcionario autorizado a documentar su actuación mediante firmas o contraseñas informáticas, constituirá falta gravísima, aún cuando la clave o contraseña no llegase a ser utilizada.

Artículo 22º PRESUNCION
Todo documento electrónico autenticado mediante firma digital, se considerará como de la autoría del usuario al que se haya asignado la clave privada correspondiente, salvo que medie prueba de la falsificación del documento electrónico o de la divulgación de la clave por terceros.

Quedan expresamente exceptuados de lo dispuesto anteriormente, la firma del Presidente de la República y de los Ministros de Estado en los decretos y resoluciones del Poder Ejecutivo, debiendo estamparse las firmas en forma ológrafa (Arts. 168 numeral 25 y 181 ordinal 7º de la Constitución de la República).

VER: arts. 168/25 y 181, ordinal 7 de la Constitución ; Artículo 125 del Decreto 500/91

Artículo 23º OBLIGACION
Cuando los documentos electrónicos que a continuación se detallan, sean registrados electrónicamente, deberán identificarse mediante la firma electrónica o la firma digital de su autor:
a) los recursos administrativos, así como toda petición que se formule a la Administración;
b) los actos administrativos definitivos;
c) los actos administrativos de certificación o destinados a hacer fe pública;
d) los dictámenes o asesoramientos previos a una resolución definitiva.

VER: 69, 117, 120, 124 y 154 DEL Decreto 500/91

Artículo 24º MERO TRAMITE
Los actos administrativos de mero trámite, no requerirán la firma electrónica del o los funcionarios intervinientes, pero deberán identificarse mediante una clave simple.

 

CAPITULO IV. Penalidades

 

Artículo 25º TRANSMISIÓN INFIEL DESTRUCCION O ADULTERACION
El que voluntariamente trasmitiere un texto del que resulte un documento infiel, adultere o destruya un documento almacenado en soporte magnético, o su respaldo, incurrirá en los delitos previstos por los artículos 236 a 239 del Código Penal, según corresponda (Artículo 697 de la Ley Nº 16.736 de fecha 5 de enero de 1996).

VER Decreto 83/01

Artículo 26º TRANSMISIÓN ENTRE DEPENDENCIAS ESTATALES
El que voluntariamente trasmitiere a distancia entre dependencias oficiales un texto del que resulte un documento infiel, incurrirá en los delitos previstos por los artículos 236 a 239 del Código Penal, según corresponda (Artículo 130 de la Ley Nº 16.002 de fecha 25 de noviembre de 1988).

VER: 32 del D. 500/91 y Decreto 83/01

Artículo 27º DE FORMA
Comuníquese, publíquese, etc.