Publicada en el Diario Oficial el 5 de Noviembre (Nº 27.850): Por la cual se reconoce la admisibilidad, validez y eficacia jurídica del documento electrónico y de la firma electrónica.
Los servicios de certificación deberán ajustarse a las disposiciones de ésta ley, su actividad no estará sujeta a autorización previa y se realizará en régimen de libre competencia, sin que ello modifique las normas que regulan las funciones que corresponden a quienes están facultados legalmente a dar fe pública.
El art. 2 de la ley define los conceptos de:
- acreditación: procedimiento por el cual el prestador de servicios de certificación demuestra a la UCE que cumple con la ley,
- Certificado electrónico: documento electrónico firmado electrónicamente que da fe del vinculo entre el firmante o el titular del certificado y los datos de creación de la firma electrónica
- Certificado reconocido: certificado electrónico emitido por un prestador de servicios de certificación acreditado;
- datos de creación de firma: datos únicos, tales como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica;
- datos de verificación de firma: datos tales como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica;
- Dispositivo de creación de firma: componente informático que sirve para aplicar los datos de creación de la firma;
- Dispositivo de verificación de firma: componente informático que sirve para aplicar los datos de verificación de la firma;
- Documento electrónico o digital: representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo;
- Fecha electrónica: conjunto de datos en forma electrónica utilizados como medio para determinar el momento en que se ha efectuado una actuación sobre otros datos electrónicos a los que está asociado;
- Firma electrónica: datos en forma electrónica anexos a un documento electrónico o asociados de manera lógico con el mismo, utilizados por el firmante como medio de identificación;
- Firma electrónica avanzada: la firma electrónica que cumple los siguientes requisitos:
- Requerir información de exclusivo conocimiento del firmante, permitiendo su identificación unívoca;
- Ser creada por medios que el firmante pueda mantener bajo su exclusivo control
- Ser susceptible de verificación por terceros
- Estar vinculada a un documento electrónico de tal modo que cualquier alteración subsiguiente en el mismo sea detectable, y
- Haber sido creada utilizando un dispositivo de creación de firma técnicamente seguro y confiable y estar basada en un certificado reconocido válido al momento de la firma
- Firmante o signatario: persona que utiliza bajo su exclusivo control un certificado electrónico o un certificado reconocido para efectuar operaciones de firma electrónica o firma electrónica avanzada;
- Prestador de servicios de certificación: persona física o jurídica, pública o privada, nacional o extranjera, que expida certificados electrónicos o preste servicios de certificación en relación con la firma electrónica;
- Prestador de servicios de verificación acreditado: aquel prestador de servicios de certificación acreditado ante la UCE y
ñ) Titular certificado: persona que utiliza bajo su exclusivo control un certificado electrónico.
El art. 3 establece los principios generales, a título enunciativo, de los actos y negocios jurídicos realizados electrónicamente, firmas electrónicas o firmas electrónicas avanzadas y la prestación de los servicios de certificación. Ellos son: a) equivalencia funcional; b) neutralidad tecnológica; c) libre competencia; d) compatibilidad internacional y e) buena fe.
El art. 4 establece que los documentos electrónicos tendrán el mismo valor y efectos jurídicos que los documentos escritos, salvo las excepciones legales. El que voluntariamente transmitiere un texto del que resulte un documento infiel, adultere o destruya un documento electrónico, incurrirá en los delitos previstos por los arts. 236 a 245 del Código Penal, según corresponda.
El art. 5º refiere a los efectos legales de la firma electrónica, disponiéndose que tendrá eficacia jurídica cuando fuese admitida como válida por las partes que la utilizan o haya sido aceptada por la persona ante quien se oponga el documento. En caso de desconocimiento por una de las partes de la firma electrónica, corresponderá a la otra probar su validez. Se respetará la libertad de las partes para que de común acuerdo concierten las condiciones en que aceptarán las firmas electrónicas.
La firma electrónica avanzada tendrá idéntica validez y eficacia que la firma autógrafa consignada en documento público o en documento privado con firmas certificadas, siempre que esté debidamente autentificada por claves u otros procedimientos seguros que:
- Garanticen que la firma se corresponde con el certificado reconocido emitido por un prestador de servicios de certificación acreditado, que lo asocia con la identificación del firmante.
- Aseguren que la firma se corresponde con el documento respectivo y que el mismo no fue alterado ni pueda ser repudiado.
- Garanticen que la firma ha sido creada utilizando medios que el signatario mantiene bajo su exclusivo control y durante la vigencia del certificado reconocido.
El documento electrónico suscripto con firma electrónica avanzada tendrá idéntico valor probatorio al documento público o al documento privado con firmas certificadas en soporte papel. No hará fe de su fecha a menos que conste a través de un fechado electrónico fechado otorgado por un prestador de servicios de certificación acreditado.
En atención a la validez y eficacia que se le reconoce a los documentos electrónicos con firma electrónica avanzada, se admite su utilización en la función notarial, de conformidad con la reglamentación que dicte la SCJ.
Se establece que todos los órganos del Estado podrán ejecutar o realizar actos, celebrar contratos y expedir cualquier documento suscribiéndolos por medio de firma electrónica o firma electrónica avanzada. Se exceptúan aquellas actuaciones que por la Constitución o la ley requieran una solemnidad especial o que requieran la concurrencia personal de la autoridad o funcionario que deba intervenir.
La Unidad de Certificación Electrónica (UCE) podrá determinar por vía reglamentaria el uso de la firma electrónico o firma electrónica avanzada en el seno de la Administración Pública y en las relaciones con los particulares, a los efectos de adoptar las condiciones adicionales que estimen necesarias, para salvaguardar las garantías de cada procedimiento.
La SCJ expedirá, en forma exclusiva, los certificados reconocidos para ser utilizados en el ejercicio de las profesiones de Abogado, Escribano y Procurador, si se constituye como prestador de servicios de certificación acreditado en las condiciones que establece ésta ley. En caso que la SCJ no se constituya como prestador de servicios de certificación acreditado, tendrá plena validez y eficacia para ser utilizados en el ejercicio de éstas profesiones, los certificados reconocidos expedidos por otro prestador de servicios de certificación acreditado.
El Capítulo II refiere a la Infraestructura Nacional de Certificación Electrónica, definida como el conjunto de equipos y programas informáticos, dispositivos criptográficos, políticas, normas y procedimientos, dispuestos para la generación, almacenamiento y publicación de información de los certificados reconocidos, así como también para la publicación de información y consulta del estado de vigencia y validez de dichos certificados.
Se crea la Unidad de Certificación Electrónica (UCE) como órgano desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), dotada de la más amplia autonomía técnica.
La UCE estará dirigida por un Consejo Ejecutivo integrado por 3 miembros que durarán cuatro años en sus cargos, pudiendo ser reelectos. Uno de los miembros será el Director Ejecutivo de la AGESIC y los restantes serán designados por el Poder Ejecutivo entre personas que, por sus antecedentes personales, profesionales y de conocimiento en la materia, aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de su cargo. Solo cesarán en sus cargos por la expiración de su mandato y designación de sucesor o por su remoción dispuesta por el Poder Ejecutivo en casos de ineptitud, omisión o delito.
La Presidencia de la UCE será ejercida en forma rotativa por períodos anuales entre los integrantes del Consejo Ejecutivo (a excepción del Director de la AGESIC) y tendrá a su cargo la representación de la UCE y la ejecución de las actividades necesarias para el cumplimiento de sus resoluciones.
El Consejo Ejecutivo de la UCE funcionará asistida por un Consejo Consultivo integrado por el Presidente de la UCE que lo presidirá, el Presidente de la SCJ, el Presidente del BCU, el Rector de la UDELAR, el Presidente de la URSEC y el Presidente de la Cámara Nacional de Comercio y Servicios, o quienes ellos designen como sus representantes. Podrá ser consultado por el Consejo Ejecutivo sobre cualquier aspecto de su competencia y lo será preceptivamente cuando aquél ejerza potestades de reglamentación, sin que sus pronunciamientos tengan carácter vinculante. Este Consejo sesionará a convocatoria del Presidente de la UCE o de la mayoría absoluta de los miembros del Consejo Consultivo.
La UCE tendrá las siguientes funciones y atribuciones:
- Acreditación
- Recibir, tramitar y resolver las solicitudes de acreditación de los prestadores de servicios de certificación.
- Inscribir a los prestadores de servicios de certificación en el Registro de Prestadores de Servicios de Certificación Acreditados (RPSCA) una vez otorgada la acreditación.
- Suspender o revocar la inscripción de los prestadores de servicios de certificación acreditados.
- Mantener en el sitio web de la UCE la información relativa al RPSCA tales como altas, bajas, sanciones y revocaciones.
- Control
- Controlar la calidad y confiabilidad de los servicios brindados por los prestadores de servicios de certificación acreditados, así como los procedimientos de auditoría que se establezcan en la reglamentación.
- Realizar auditoría a prestadores de servicios de certificación acreditados para verificar todos lo relacionado con el ciclo de vida de los certificados reconocidos y sus claves criptográficas.
- Determinar las medidas necesarias para proteger la confidencialidad de los titulares de certificados reconocidos.
- Efectuar inspecciones y requerir en cualquier momento a los prestadores de servicios de certificación acreditados toda la información necesaria para garantizar el cumplimiento de la función en los términos definidos en esta ley y su reglamento.
- De Instrucción: recibir y evaluar reclamos de titulares de certificados reconocidos relativos a la prestación de servicios de certificación, sin perjuicio de la responsabilidad directa que el prestador de servicios de certificación acreditado tiene ante el titular.
- De Regulación:
- Definir estándares técnicos y operativos que deberán cumplir los prestadores de servicios de certificación, así como los procedimientos y requisitos de acreditación necesarios para su cumplimiento.
- Fijar reglas y patrones industriales que aseguren la compatibilidad, interconexión e interoperabilidad, así como el correcto y seguro funcionamiento de los dispositivos de creación y verificación de firma, controlando su aplicación.
- Sancionatorio: la UCE podrá imponer al prestador de servicios de certificación acreditado que infringiere total o parcialmente cualquiera de las obligaciones derivadas de esta ley o normas aplicables al servicio que presta, las sanciones que se graduarán en atención a la gravedad o reiteración de la infracción. Las sanciones se podrán aplicar independiente o conjuntamente, según las circunstancias del caso. Las resoluciones que impongan sanciones pecuniarias constituyen titulo ejecutivo a todos sus efectos:
- Apercibimiento
- Multa entre 100.000 UI y 4.000.000 UI
- Suspensión hasta por un año de la acreditación
- Revocación de la acreditación.
La Autoridad Certificadora Raíz Nacional (ACRN) es la primera autoridad de la cadena de certificación a la cual compete emitir, distribuir, revocar y administrar los certificados de los prestadores de servicios de certificación acreditados. Se designa a la AGESIC como ACRN.
El Capítulo III refiere a los "Prestadores de Servicios de Certificación Acreditados". Se dispone la creación del RPSCA a cargo de la UCE. Los prestadores de servicios de certificación acreditados, deberán cumplir con los siguientes requisitos:
- Ser persona física o jurídica constituida en el país, dar garantía económica y solvencia suficiente para prestar los servicios.
- Contar con personal calificado con conocimientos y experiencia necesarios para prestar el servicio y los procedimientos de seguridad y gestión adecuados en el ámbito de la firma electrónica avanzada.
- Utilizar estándares y herramientas adecuadas según lo establecido por la UCE.
- Estar domiciliado en nuestro país, entendiéndose cumplido éste requisito cuando su infraestructura tecnológica y sus recursos materiales y humanos se encuentren situados en territorio uruguayo.
Serán obligaciones de los prestadores de servicio de Certificación Acreditados:
- Abstenerse de generar, exigir o, por cualquier otro medio, tomar conocimiento o acceder bajo ninguna circunstancia, a los datos de creación de firma electrónica avanzada de los titulares de los certificados reconocidos por él emitidos.
- Proporcionar al solicitante antes de la expedición del certificado reconocido, la siguiente información mínima, en forma gratuita, por escrito o vía electrónica (art. 18 num. 2):
- Obligaciones del firmante, forma en que se protegerán los datos de creación de firma, procedimiento que haya de seguirse para comunicar la pérdida o utilización indebida de dichos datos y determinados dispositivos de creación y verificación de firma electrónica avanzada compatibles con los datos de firma y con el certificado reconocido expedido.
- Mecanismos para garantizar la fiabilidad de la firma electrónica avanzada de un documento a lo largo del tiempo.
- Método utilizado para comprobar la identidad del firmante u otros datos que figuren en el certificado reconocido
- Condiciones de utilización del certificado reconocido, límites de uso y forma en que el prestador garantiza su responsabilidad patrimonial.
- Acreditaciones que haya obtenido el prestador
- Informaciones contenidas en la declaración de prácticas de certificación.
- Mantener un registro actualizado de certificados reconocidos donde se indicarán los certificados expedidos y su vigencia, debiendo proteger la integridad de dicho registro mediante mecanismos de seguridad adecuados.
- Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de certificados reconocidos
- Informar a la UCE cualquier modificación de las condiciones que permitieron su acreditación durante la vigencia de su inscripción en el RPSCA.
Si un prestador de servicios de certificación fuera a cesar en su actividad deberá comunicarlo a los titulares de certificados reconocidos que hubiere expedido (con un antelación mínima de 60 días al cese efectivo) y podrá transferir su gestión, con su consentimiento expreso, a otro prestador de servicios de certificación o extinguir su vigencia. El prestador cesante deberá comunicarlo a la UCE con una antelación de 20 días al cese efectivo de su actividad e indicar el destino que dará a los certificados reconocidos, especificando si los va a transferir y a quién, o si los dejará sin efecto.
Responsabilidad de los Prestadores: Los prestadores de servicios de certificación acreditados responderán por los daños y perjuicios que causen a cualquier persona en el ejercicio de su actividad, cuando incumplan las obligaciones que se estipulan en esta ley o actúen con negligencia, siendo de su cargo probar que actuó con la diligencia media (art. 20 inc. 1º)
El prestador del servicio sólo responderá de los daños y perjuicios causados por el uso indebido del certificado reconocido cuando no haya consignado en él, de forma clara para terceros, el límite en cuanto a su uso o al importe del valor de las transacciones válidas que pueden realizarse empleándolo (art. 20 inc. 2º).
La responsabilidad será exigible conforme a las normas generales sobre culpa contractual o extracontractual, según el caso, con las especialidades previstas en éste artículo. Cuando la garantía constituida por el prestador no fuera suficiente para satisfacer la indemnización debida, responderán de la deuda con todos sus bienes presentes y futuros (art. 20 inc. 3º), sin perjuicio de la normativa relativa a relaciones de consumo (ley 17,250). En ningún caso la responsabilidad de un certificador comprometerá la responsabilidad pecuniaria del Estado.
El Capítulo IV refiere a "Certificados Reconocidos". Los certificados reconocidos tendrán el siguiente contenido:
- Indicación de que se expiden como tales.
- Código identificativo único del certificado.
- Identificación del prestador de servicios de certificación que lo expide
- Firma electrónica avanzada del prestador de servicios de certificación que lo expide.
- Identificación del firmante
- En los casos de representación, la indicación del documento que acredite las facultades del firmante para actuar en nombre de la persona que represente.
- Datos de verificación de la firma que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante.
- El comienzo y el fin del período de validez del certificado
- Límites de uso del certificado, si se prevén.
La vigencia del certificado cesará si concurre alguno de los siguientes supuestos:
- Expiración del período de validez (desde que ello ocurra)
- Revocación por el signatario o por el representado o por un tercero autorizado (desde que el prestador tenga conocimiento)
- Pérdida o inutilización por daños del soporte del certificado (desde que el prestador tenga conocimiento).
- Utilización indebida por un tercero (desde que el prestador tenga conocimiento)
- Resolución judicial o administrativa que lo ordene (desde que el prestador tenga conocimiento).
- Fallecimiento del signatario o su representado, incapacidad total o parcial de cualquiera de ello, terminación de la representación o extinción de la persona jurídica representada (desde que el prestador tenga conocimiento).
- Cese en su actividad del prestador de servicios (desde que ello ocurra) salvo que, previo consentimiento expreso del firmante, los certificados sean transferidos a otro prestador de servicios de certificación.
- Inexactitudes graves en los datos aportados por el firmante para la obtención del certificado reconocido (desde que el prestador tenga conocimiento).
El prestador del servicio de certificación habrá de publicar la extinción de la eficacia del certificado reconocido y responderá de los posibles perjuicios que se causen al signatario o a terceros de buena fe por el retraso en la publicación. Será de cargo del prestador probar que los terceros conocían las circunstancias invalidantes del certificado reconocido,
El prestador de servicios podrá suspender temporalmente la eficacia de los certificados reconocidos si así lo solicita el firmante o sus representados o lo ordena la autoridad judicial o administrativa.
El Capítulo V de la ley refiere al "Firmante o Signatario". El art. 25 consagra los derechos del firmante, que son:
- Ser informado por el prestador de servicios de certificación, con carácter previo a la emisión del certificado, de acuerdo a lo establecido en el art. 18 num. 2)
- A que el prestador de servicios de certificación emplee elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por él y a ser informado sobre ello
- A ser informado por el prestador de servicios de certificación sobre su domicilio en el país y sobre los medios a los que puede acudir para solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema o presentar sus reclamos.
El art. 26 establece como obligaciones del firmante:
- brindar declaraciones exactas y completas en el momento de proporcionar los datos de su identidad personal u otras circunstancias objeto de certificación.
- Mantener el control exclusivo de sus datos de creación de firma electrónica avanzada, no compartirlos e impedir su divulgación.
- Utilizar un dispositivo de creación de firma electrónica avanzada técnicamente confiable.
- Solicitar la revocación de su certificado al prestador ante cualquier circunstancia que pueda haber comprometido la privacidad de sus datos de creación de firma
- Informar sin demora al prestador el cambio de alguno de los datos contenidos en el certificado que hubiera sido objeto de verificación.
En caso de que el titular del certificado reconocido sea una persona jurídica serán responsables sus representantes o administradores de acuerdo con la ley y las normas generales en la materia.
Derogaciones: arts. 129 y 130 de la Ley 16.002, art. 697 de la Ley 16.736; art, 25 de la Ley 17.243; arts. 329 y 330 de la Ley 18.172 y demás normas que se opongan a la presente ley.
Reglamentación: El PE deberá reglamentar esta ley dentro de los 180 días de su promulgación (21/9/2009).
No hay comentarios:
Publicar un comentario