| Diccionario Informático Ampliado |
|---|
|
| |
|---|
Firma electrónica
El avance de las transacciones a través de Internet conlleva la necesidad de que estas tengan una garantía
legal entre las partes.
Tradicionalmente, la firma de los interesados daba validez a cualquier acto, ¿qué hacer entonces
cuando la misma operación se efectúa a través de la Red? Pues exactamente lo mismo, salvo
que no puede ser de su "puño y letra", por lo que hay que buscar la forma en que se sustituya.
¿Cómo se consigue esto? Pues buscando las mismas características, a saber:
a) Que tan solo pueda ser realizada por el autor, es decir, que sea inequívoca, no pueden existir dos iguales.
b) Que el firmante no pueda negar que ha estampado su firma en el documento.
c) Que ésta pueda ser comprobada como real, no falsificada.
Un sistema que comprenda estas premisas se puede considerar que cumple con los cometidos necesarios para considerarse
válida. ¿Cómo hacer esto mismo a través de Internet? Pues respondiendo a las premisas
anteriores:
a) Generando una clave o cadena de caracteres que acompañen al documento y que acrediten al firmante.
b) Para que éste no pueda negar su autoría se utiliza un sistema de criptografía del que solo
el interesado tiene conocimiento.
c) La parte más compleja. Para que una firma sea comprobada ha de existir quien tenga capacidad para ello.
Es la figura de la "Autoridad de Certificación".
Así se generan una cantidad de claves y palabras de paso correspondientes al firmante, al que recibe la
firma y a la autoridad correspondiente a reconocerla como verídica. Que en síntesis vienen a funcionar
como la aplicación de la clave privada a un documento comprimido, lo que da como resultado un conjunto de
caracteres que se une al mismo. El receptor de éste aplica la clave pública del emisor para descifrar
la firma original y comprime el documento, con lo que los resultados deben de ser iguales (no sabría con
ello el receptor la clave privada del emisor, tan solo la adaptación de ella al documento concreto), si
no lo fuesen, o la firma no es correcta o el documento ha sufrido modificaciones.
En el caso de necesidad, entra en funcionamiento la Autoridad de Certificación, que no es más que
un servidor de claves, con conocimiento de las privadas y que a su vez tiene unas claves públicas que los
interesados saben.
Todo ello parece más complejo de lo que en realidad es. En encriptación hay dos componentes básicos,
la clave que se utiliza y el algoritmo que la maneja, en este caso aplicado al documento. Y a su vez hay dos tipos
de encriptación, simétrica y asimétrica. En la primera el emisor y el receptor utilizarían
la misma clave, muy simple pero no es válido en este caso, una persona podría firmar por la otra.
En la segunda existen dos, una privada, que utiliza el firmante, y otra pública. Aplicando ambas es como
se consigue la seguridad, y por supuesto, cuanto más complejas sean o se compongan de más bytes,
más difícil su falsificación.
Nos queda un paso, los Certificados. Estos son los que "ligan" a la persona con su clave pública,
pudiendo así ser conocida ésta por cualquier persona. Se encuentran en un servidor con los datos
básicos del firmante, y dependiendo del organismo que genere la certificación pueden ser de distintos
tipos, dependiendo de a qué se destinen.
En España están reguladas por el "Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma
electrónica", y que aunque no es el momento de analizarla, sí copio literalmente el glosario
que incluye la misma:
a) "Firma electrónica": Es el conjunto de datos, en forma electrónica, anejos a otros datos
electrónicos o asociadosfuncionalmente con ellos, utilizados como medio para identificar formalmente al
autor o a los autores del documento que la recoge.
b) "Firma electrónica avanzada": Es la firma electrónica que permite la identificación
del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está
vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier
modificación ulterior de éstos.
c) "Signatario": Es la persona física que cuenta con un dispositivo de creación de firma
y que actúa en nombre propio o en el de una persona física o jurídica a la que representa.
d) "Datos de creación de firma": Son los datos únicos, como códigos o claves criptográficas
privadas, que el signatario utiliza para crear la firma electrónica.
e) "Dispositivo de creación de firma": Es un programa o un aparato informático que sirve
para aplicar los datos de creación de firma.
f) "Dispositivo seguro de creación de firma": Es un dispositivo de creación de firma que
cumple los requisitos establecidos en el artículo 19.
g) "Datos de verificación de firma": Son los datos, como códigos o claves criptográficas
públicas, que se utilizan para verificar la firma electrónica.
h) "Dispositivo de verificación de firma": Es un programa o un aparato informático que
sirve para aplicar los datos de verificación de firma.
i) "Certificado": Es la certificación electrónica que vincula unos datos de verificación
de firma a un signatario y confirma su identidad.
j) "Certificado reconocido": Es el certificado que contiene la información descrita en el artículo
8 y es expedido por un prestador de servicios de certificación que cumple los requisitos enumerados en el
artículo 12.
k) "Prestador de servicios de certificación": Es la persona física o jurídica que
expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica.
l) "Producto de firma electrónica": Es un programa o un aparato informático o sus componentes
específicos, destinados a ser utilizados para la prestación de servicios de firma electrónica
por el prestador de servicios de certificación o para la creación o verificación de firma
electrónica.
ll) "Acreditación voluntaria del prestador de servicios de certificación": Resolución
que establece los derechos y obligaciones específicos para la prestación de servicios de certificación
y que se dicta, a petición del prestador al que le beneficie, por el organismo público encargado
de su supervisión.
José Luis Freire
Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica
TITULO PRIMERO
Disposiciones generales
CAPITULO UNICO
Disposiciones generales
Artículo 1. Ambito de aplicación.
1. Este Real Decreto-ley regula el uso de la firma electrónica, el reconocimiento de su eficacia jurídica
y la prestación al público de servicios de certificación. Las normas sobre esta actividad
son de aplicación a los prestadores de servicios establecidos en España.
2. Las disposiciones contenidas en este Real Decreto-ley no alteran las normas relativas a la celebración,
la formalización, la validez y la eficacia de los contratos y otros actos jurídicos ni al régimen
jurídico aplicable a las obligaciones.
Las normas sobre la prestación de servicios de certificación de firma electrónica que recoge
este Real Decreto-ley no sustituyen ni modifican las que regulan las funciones que corresponde realizar a las personas
facultadas, con arreglo a derecho, para dar fe de la firma en documentos o para intervenir en su elevación
a públicos.
Artículo 2. Definiciones.
A los efectos de este Real Decreto-ley, se establecen las siguientes definiciones:
a) "Firma electrónica": Es el conjunto de datos, en forma electrónica, anejos a otros datos
electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al
autor o a los autores del documento que la recoge.
b) "Firma electrónica avanzada": Es la firma electrónica que permite la identificación
del signatario y ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que está
vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier
modificación ulterior de éstos.
c) "Signatario": Es la persona física que cuenta con un dispositivo de creación de firma
y que actúa en nombre propio o en el de una persona física o jurídica a la que representa.
d) "Datos de creación de firma": Son los datos únicos, como códigos o claves criptográficas
privadas, que el signatario utiliza para crear la firma electrónica.
e) "Dispositivo de creación de firma": Es un programa o un aparato informático que sirve
para aplicar los datos de creación de firma.
f) "Dispositivo seguro de creación de firma": Es un dispositivo de creación de firma que
cumple los requisitos establecidos en el artículo 19.
g) "Datos de verificación de firma": Son los datos, como códigos o claves criptográficas
públicas, que se utilizan para verificar la firma electrónica.
h) "Dispositivo de verificación de firma": Es un programa o un aparato informático que
sirve para aplicar los datos de verificación de firma.
i) "Certificado": Es la certificación electrónica que vincula unos datos de verificación
de firma a un signatario y confirma su identidad.
j) "Certificado reconocido": Es el certificado que contiene la información descrita en el artículo
8 y es expedido por un prestador de servicios de certificación que cumple los requisitos enumerados en el
artículo 12.
k) "Prestador de servicios de certificación": Es la persona física o jurídica que
expide certificados, pudiendo prestar, además, otros servicios en relación con la firma electrónica.
l) "Producto de firma electrónica": Es un programa o un aparato informático o sus componentes
específicos, destinados a ser utilizados para la prestación de servicios de firma electrónica
por el prestador de servicios de certificación o para la creación o verificación de firma
electrónica.
ll) "Acreditación voluntaria del prestador de servicios de certificación": Resolución
que establece los derechos y obligaciones específicos para la prestación de servicios de certificación
y que se dicta, a petición del prestador al que le beneficie, por el organismo público encargado
de su supervisión.
Artículo 3. Efectos jurídicos de la firma electrónica.
1. La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya
sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados
en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los
consignados en papel y será admisible como prueba en juicio, valorándose ésta según
los criterios de apreciación establecidos en las normas procesales.
Se presumirá que la firma electrónica avanzada reúne las condiciones necesarias para producir
los efectos indicados en este apartado, cuando el certificado reconocido en que se base haya sido expedido por
un prestador de servicios de certificación acreditado y el dispositivo seguro de creación de firma
con el que ésta se produzca se encuentre certificado, con arreglo a lo establecido en el artículo
21.
2. A la firma electrónica que no reúna todos los requisitos previstos en el apartado anterior, no
se le negarán efectos jurídicos ni será excluida como prueba en juicio, por el mero hecho
de presentarse en forma electrónica.
TITULO II
La prestación de servicios de certificación
CAPITULO PRIMERO
Principios generales
Artículo 4. Régimen de libre competencia.
1. La prestación de servicios de certificación no está sujeta a autorización previa
y se realiza en régimen de libre competencia, sin que quepa establecer restricciones para los servicios
de certificación que procedan de alguno de los Estados miembros de la Unión Europea.
2. La prestación de los servicios de certificación por las Administraciones o los organismos o sociedades
de ellas dependientes se realizará con la debida separación de cuentas y con arreglo a los principios
de objetividad, transparencia y no discriminación.
Artículo 5. Empleo de la firma electrónica por las Administraciones públicas.
1. Se podrá supeditar por la normativa estatal o, en su caso, autonómica el uso de la firma electrónica
en el seno de las Administraciones públicas y sus entes públicos y en las relaciones que con cualesquiera
de ellos mantengan los particulares, a las condiciones adicionales que se consideren necesarias, para salvaguardar
las garantías de cada procedimiento.
Las condiciones adicionales que se establezcan podrán incluir la prestación de un servicio de consignación
de fecha y hora, respecto de los documentos electrónicos integrados en un expediente administrativo. El
citado servicio consistirá en la acreditación por el prestador de servicios de certificación,
o por un tercero, de la fecha y hora en que un documento electrónico es enviado por el signatario o recibido
por el destinatario.
Las normas estatales que regulen las condiciones adicionales sobre el uso de la firma electrónica a las
que se refiere este apartado sólo podrán hacer referencia a las características específicas
de la aplicación de que se trate y se dictarán a propuesta del Ministerio de Administraciones Públicas
y previo informe del Consejo Superior de Informática.
2. Las condiciones adicionales a las que se refiere el apartado anterior deberán garantizar el cumplimiento
de lo previsto en el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico
de las Administraciones Públicas y del Procedimiento Administrativo Común, serán objetivas,
razonables y no discriminatorias y no obstaculizarán la prestación de servicios al ciudadano, cuando
en ella intervengan distintas Administraciones públicas nacionales o extranjeras.
3. Podrá someterse a un régimen específico, la utilización de la firma electrónica
en las comunicaciones que afecten a la información clasificada, a la seguridad públicaoaladefensa.
Asimismo, el Ministro de Economía y Hacienda, respetando las condiciones previstas en este Real Decreto-ley,
podrá establecer un régimen normativo destinado a garantizar el cumplimiento de las obligaciones
tributarias, determinando, respecto de la gestión de los tributos, la posibilidad de que el signatario sea
una persona física o una persona jurídica.
Artículo 6. Sistemas de acreditación de prestadores de servicios de certificación y de certificación
de productos de firma electrónica.
1. El Gobierno, por Real Decreto, podrá establecer sistemas voluntarios de acreditación de los prestadores
de servicios de certificación de firma electrónica, determinando, para ello, un régimen que
permita lograr el adecuado grado de seguridad y proteger, debidamente, los derechos de los usuarios.
2. Las funciones de certificación a las que se refiere este Real Decreto-ley serán ejercidas por
los órganos, en cada caso competentes, referidos en la Ley 11/1998, de 24 de abril, General de Telecomunicaciones;
en la Ley 21/1992, de 16 de julio, de Industria, y en la demás legislación vigente sobre la materia.
El Real Decreto al que se refiere el apartado 1 establecerá las condiciones que permitan coordinar los sistemas
de certificación.
3. Las normas que regulen los sistemas de acreditación y de certificación deberán ser objetivas,
razonables y no discriminatorias. Todos los prestadores de servicios que se sometan voluntariamente a ellos, podrán
obtener la correspondiente acreditación de su actividad o, en su caso, la certificación del producto
de firma electrónica que empleen.
4. Los órganos competentes para el ejercicio de las funciones a que se refiere el apartado anterior valorarán
los informes técnicos que emitan las entidades de evaluación sobre los prestadores de servicios que
hayan solicitado su acreditación o los productos para los que se haya pedido certificación. También
tomarán en cuenta el cumplimiento, por el prestador de servicios, de los requisitos que se determinen reglamentariamente
para poder ser acreditado.
5. A los efectos de este Real Decreto-ley, sólo podrán actuar como entidades de evaluación
aquellas que hayan sido acreditadas por el organismo independiente al que se haya atribuido esta facultad por el
Real Decreto al que se refiere el apartado primero de este artículo.
Artículo 7. Registro de Prestadores de Servicios de Certificación.
1. Se crea, en el Ministerio de Justicia, el Registro de Prestadores de Servicios de Certificación, en el
que deberán solicitar su inscripción, con carácter previo al inicio de su actividad, todos
los establecidos en España.
Su regulación se desarrollará por Real Decreto.
2. La solicitud de inscripción habrá de formularse, aportando la documentación que se establezca
reglamentariamente, a efectos de la identificación del prestador de servicios de certificación y
de justificar que éste reúne los requisitos necesarios, en cada caso, para ejercer su actividad.
También será objeto de inscripción ulterior cualquier circunstancia relevante, a efectos de
este Real Decreto-ley, relativa al prestador de servicios de certificación, como su acreditación
o estar en condiciones de expedir certificados reconocidos.
La formulación de la solicitud de inscripción en el Registro por los citados prestadores de servicios,
les permitirá iniciar o continuar su actividad, sin perjuicio de la aplicación, en su caso, del régimen
sancionador correspondiente.
3. El Registro de Prestadores de Servicios de Certificación será público y deberá mantener
permanentemente actualizada y a disposición de cualquier persona una relación de los inscritos, en
la que figurarán su nombre o razón social, la dirección de su página en Internet o
de correo electrónico, los datos de verificación de su firma electrónica y, en su caso, su
condición de acreditado o de tener la posibilidad de expedir certificados reconocidos. En la citada relación
figurarán, también, cualesquiera otros datos complementarios que se determinen por Real Decreto.
Los datos inscritos en el Registro podrán ser consultados por vía telemática o a través
de la oportuna certificación registral. El suministro de esta información podrá sujetarse
al pago de una tasa, cuyos elementos esenciales se determinarán por ley.
CAPITULO II
Certificados
Artículo 8. Requisitos para la existencia de un certificado reconocido.
1. Los certificados reconocidos, definidos en el artículo 2 j) de este Real Decreto-ley, tendrán
el siguiente contenido: a) La indicación de que se expiden como tales.
b) El código identificativo único del certificado.
c) La identificación del prestador de servicios de certificación que expide el certificado, indicando
su nombre o razón social, su domicilio, su dirección de correo electrónico, su número
de identificación fiscal y, en su caso, sus datos de identificación registral.
d) La firma electrónica avanzada del prestador de servicios de certificación que expide el certificado.
e) La identificación del signatario, por su nombre y apellidos o a través de un seudónimo
que conste como tal de manera inequívoca. Se podrá consignar en el certificado cualquier otra circunstancia
personal del titular, en caso de que sea significativa en función del fin propio del certificado y siempre
que aquél dé su consentimiento.
f) En los supuestos de representación, la indicación del documento que acredite las facultades del
signatario para actuar en nombre de la persona física o jurídica a la que represente.
g) Los datos de verificación de firma que correspondan a los datos de creación de firma que se encuentren
bajo el control del signatario.
h) El comienzo y el fin del período de validez del certificado.
i) Los límites de uso del certificado, si se prevén.
j) Los límites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.
2. La consignación en el certificado de cualquier otra información relativa al signatario, requerirá
su consentimiento expreso.
Artículo 9. Vigencia de los certificados.
1. Los certificados de firma electrónica quedarán sin efecto, si concurre alguna de las siguientes
circunstancias: a) Expiración del período de validez del certificado.
Tratándose de certificados reconocidos, éste no podrá ser superior a cuatro años, contados
desde la fecha en que se hayan expedido.
b) Revocación por el signatario, por la persona física o jurídica representada por éste
o por un tercero autorizado.
c) Pérdida o inutilización por daños del soporte del certificado.
d) Utilización indebida por un tercero.
e) Resolución judicial o administrativa que lo ordene.
f) Fallecimiento del signatario o de su representado, incapacidad sobrevenida, total o parcial, de cualquiera de
ellos, terminación de la representación o extinción de la persona jurídica representada.
g) Cese en su actividad del prestador de servicios de certificación salvo que, previo consentimiento expreso
del signatario, los certificados expedidos por aquél sean transferidos a otro prestador de servicios.
h) Inexactitudes graves en los datos aportados por el signatario para la obtención del certificado.
2. La pérdida de eficacia de los certificados, en los supuestos de expiración de su período
de validez y de cese de actividad del prestador de servicios, tendrá lugar desde que estas circunstancias
se produzcan. En los demás casos, la extinción de la eficacia de un certificado surtirá efectos
desde la fecha en que el prestador de servicios tenga conocimiento cierto de cualquiera de los hechos determinantes
de ella y así lo haga constar en su Registro de certificados al que se refiere el artículo 11.e).
3. En cualquiera de los supuestos indicados, el prestador de servicios de certificación, habrá de
publicar la extinción de eficacia del certificado en el Registro al que se refiere el artículo 11.e),
y responderá de los posibles perjuicios que se causen al signatario o a terceros de buena fe, por el retraso
en la publicación. Corresponderá al prestador de servicios la prueba de que los terceros conocían
las circunstancias invalidantes del certificado.
4. El prestador de servicios de certificación podrá suspender, temporalmente, la eficacia de los
certificados expedidos, si así lo solicita el signatario o sus representados o lo ordena una autoridad judicial
o administrativa. La suspensión surtirá efectos en la forma prevista en los dos apartados anteriores.
Artículo 10. Equivalencia de certificados.
Los certificados que los prestadores de servicios de certificación establecidos en un Estado que no sea
miembro de la Unión Europea, de acuerdo con la legislación de éste, expidan como reconocidos,
se considerarán equivalentes a los expedidos por los establecidos en España, siempre que se cumplan
alguna de las siguientes condiciones: a) Que el prestador de servicios reúna los requisitos establecidos
en la normativa comunitaria sobre firma electrónica y haya sido acreditado, conforme a un sistema voluntario
establecido en un Estado miembro de la Unión Europea.
b) Que el certificado esté garantizado por un prestador de servicios de la Unión Europea que cumpla
los requisitos establecidos en la normativa comunitaria sobre firma electrónica.
c) Que el certificado o el prestador de servicios estén reconocidos en virtud de un acuerdo bilateral o
multilateral entre la Comunidad Europea y terceros países u organizaciones internacionales.
CAPITULO III
Condiciones exigibles a los prestadores de servicios de certificación
Artículo 11. Obligaciones de los prestadores de servicios de certificación.
Todos los prestadores de servicios de certificación deben cumplir las siguientes obligaciones: a) Comprobar
por sí o por medio de una persona física o jurídica que actúe en nombre y por cuenta
suyos, la identidad y cualesquiera circunstancias personales de los solicitantes de los certificados relevantes
para el fin propio de éstos, utilizando cualquiera de los medios admitidos en derecho. Se exceptúan
de esta obligación, los prestadores de servicios de certificación que, expidiendo certificados que
no tengan la consideración de reconocidos, se limiten a constatar determinadas circunstancias específicas
de los solicitantes de aquéllos.
b) Poner a disposición del signatario los dispositivos de creación y de verificación de firma
electrónica.
c) No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios,
salvo que ésta lo solicite.
d) Informar, antes de la emisión de un certificado, a la persona que solicite sus servicios, de su precio,
de las condiciones precisas para la utilización del certificado, de sus limitaciones de uso y de la forma
en que garantiza su posible responsabilidad patrimonial.
e) Mantener un registro de certificados, en el que quedará constancia de los emitidos y figurarán
las circunstancias que afecten a la suspensión o perdida de vigencia de sus efectos. A dicho registro podrá
accederse por medios telemáticos y su contenido estará a disposición de las personas que lo
soliciten, cuando así lo autorice el signatario.
f) En el caso de cesar en su actividad, los prestadores de servicios de certificación deberán comunicarlo
con la antelación indicada en el apartado 1 del artículo 13, a los titulares de los certificados
por ellos emitidos y, si estuvieran inscritos en él, al Registro de Prestadores de Servicios del Ministerio
de Justicia.
g) Solicitar la inscripción en el Registro de Prestadores de Servicios de Certificación.
h) Cumplir las demás normas previstas, respecto de ellos, en este Real Decreto-ley y en sus normas de desarrollo.
Artículo 12. Obligaciones exigibles a los prestadores de servicios de certificación que expidan certificados
reconocidos.
Además de cumplir las obligaciones establecidas en los artículos 7 y 11, los prestadores de servicios
de certificación que expidan certificados reconocidos, han de cumplir las siguientes: a) Indicar la fecha
y la hora en las que se expidió o se dejó sin efecto un certificado.
b) Demostrar la fiabilidad necesaria de sus servicios.
c) Garantizar la rapidez y la seguridad en la prestación del servicio. En concreto, deberán permitir
la utilización de un servicio rápido y seguro de consulta del Registro de certificados emitidos y
habrán de asegurar la extinción o suspensión de la eficacia de éstos de forma segura
e inmediata.
d) Emplear personal cualificado y con la experiencia necesaria para la prestación de los servicios ofrecidos,
en el ámbito de la firma electrónica y los procedimientos de seguridad y de gestión adecuados.
e) Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen
la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a los que
sirven de soporte.
f) Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador de servicios
de certificación genere datos de creación de firma, garantizar su confidencialidad durante el proceso
de generación.
g) Disponer de los recursos económicos suficientes para operar de conformidad con lo dispuesto en este Real
Decreto-ley y, en particular, para afrontar el riesgo de la responsabilidad por daños y perjuicios. Para
ello, habrán de garantizar su responsabilidad frente a los usuarios de sus servicios y terceros afectados
por éstos. La garantía a constituir podrá consistir en un afianzamiento mercantil prestado
por una entidad de crédito o en un seguro de caución.
Inicialmente, la garantía cubrirá, al menos, el 4 por 100 de la suma de los importes límite
de las transacciones en que puedan emplearse el conjunto de los certificados que emita cada prestador de servicios
de certificación.
Teniendo en cuenta la evolución del mercado, el Gobierno, por Real Decreto, podrá reducir el citado
porcentaje, hasta el 2 por 100.
En caso de que no se limite el importe de las transacciones en las que puedan emplearse al conjunto de los certificados
que emita el prestador de servicios de certificación, la garantía a constituir, cubrirá, al
menos, su responsabilidad por un importe de 1.000.000.000 de pesetas (6.010.121,04 euros). El Gobierno, por Real
Decreto, podrá modificar el referido importe.
h) Conservar registrada toda la información y documentación relativa a un certificado reconocido
durante quince años. Esta actividad de registro podrá realizarse por medios electrónicos.
i) Antes de expedir un certificado, informar al solicitante sobre el precio y las condiciones precisas de utilización
del certificado. Dicha información, deberá incluir posibles límites de uso, la acreditación
del prestador de servicios y los procedimientos de reclamación y de resolución de litigios previstos
en las leyes y deberá ser fácilmente comprensible.
Estará también a disposición de terceros interesados y se incorporará a un documento
que se entregará a quien lo solicite. Para comunicar esta información, podrán utilizarse medios
electrónicos si el signatario o los terceros interesados lo admiten.
j) Utilizar sistemas fiables para almacenar certificados, de modo tal que: 1. Sólo personas autorizadas
puedan consultarlos, si éstos únicamente están disponibles para verificación de firmas
electrónicas.
2. Unicamente personas autorizadas puedan hacer en ellos anotaciones y modificaciones.
3. Pueda comprobarse la autenticidad de la información.
4. El signatario o la persona autorizada para acceder a los certificados, pueda detectar todos los cambios técnicos
que afecten a los requisitos de seguridad mencionados.
k) Informar a cualesquiera usuarios de sus servicios de los criterios que se comprometen a seguir, respetando este
Real Decreto-ley y sus disposiciones de desarrollo, en el ejercicio de su actividad.
Artículo 13. Cese de la actividad.
1. El prestador de servicios de certificación que vaya a cesar en su actividad, deberá comunicarlo
a los titulares de los certificados por él expedidos y transferir, con su consentimiento expreso, los que
sigan siendo válidos en la fecha en que el cese se produzca a otro prestador de servicios que los asuma
o dejarlos sin efecto. La citada comunicación se llevará a cabo con una antelación mínima
de dos meses al cese efectivo de la actividad.
2. Si el prestador de servicios estuviere inscrito en el Registro de Prestadores de Servicios de Certificación
del Ministerio de Justicia, deberá comunicar a éste, con la antelación indicada en el anterior
apartado, el cese de su actividad, y el destino que vaya a dar a los certificados especificando, en su caso, si
los va a transferir y a quién o si los dejará sin efecto. Igualmente, indicará cualquier otra
circunstancia relevante, que pueda impedir la continuación de su actividad. En especial, deberá comunicar,
en cuanto tenga conocimiento de ello, la apertura de un procedimiento de quiebra o suspensión de pagos respecto
de él.
3. La inscripción del prestador de servicios de certificación en el Registro de Prestadores de Servicios
de Certificación será cancelada, de oficio, por el Ministerio de Justicia, cuando aquél cese
en su actividad. El Ministerio de Justicia se hará cargo de la información relativa a los certificados
que se hubieren dejado sin efecto por el prestador de servicios de certificación, a efectos de lo previsto
en el artículo 12.h).
Artículo 14. Responsabilidad de los prestadores de servicios de certificación.
1. Los prestadores de servicios de certificación responderán por los daños y perjuicios que
causen a cualquier persona, en el ejercicio de su actividad, cuando incumplan las obligaciones que les impone este
Real Decreto-ley o actúen con negligencia. En todo caso, corresponderá al prestador de servicios
demostrar que actuó con la debida diligencia.
2. El prestador de servicios de certificación sólo responderá de los daños y perjuicios
causados por el uso indebido del certificado reconocido, cuando no haya consignado en él, de forma claramente
reconocible por terceros, el límite en cuanto a su posible uso o al importe del valor de las transacciones
válidas que pueden realizarse empleándolo.
3. La responsabilidad será exigible conforme a las normas generales sobre la culpa contractual o extracontractual,
según proceda, con las especialidades previstas en este artículo. Cuando la garantía que,
en su caso, hubieran constituido los prestadores de servicios de certificación no sea suficiente para satisfacer
la indemnización debida, responderán de la deuda, con todos sus bienes presentes y futuros.
4. Lo dispuesto en este artículo, se entiende sin perjuicio de lo establecido en la legislación sobre
protección de los consumidores y usuarios.
Artículo 15. Protección de los datos personales.
1. El tratamiento de los datos personales que precisen los prestadores de servicios de certificación para
el desarrollo de su actividad y el que se realice en el Registro de Prestadores de Servicios de Certificación
al que se refiere este Real Decreto-ley, se sujetan a lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre,
de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, y en las disposiciones
dictadas en su desarrollo. El mismo régimen será de aplicación a los datos personales que
se conozcan en el órgano que, en el ejercicio de sus funciones, supervisa la actuación de los prestadores
de servicios de certificación y el competente en materia de acreditación.
2. Los prestadores de servicios de certificación que expidan certificados a los usuarios, únicamente
pueden recabar datos personales directamente de los titulares de los mismos o con su consentimiento explícito.
Los datos requeridos serán, exclusivamente, los necesarios para la expedición y el mantenimiento
del certificado.
3. Los prestadores de servicios de certificación que hayan consignado un seudónimo en el certificado,
a solicitud del signatario, deberán constatar su verdadera identidad y conservar la documentación
que la acredite. Dichos prestadores de servicios estarán obligados a revelar la identidad de los titulares
de certificados cuando lo soliciten los órganos judiciales en el ejercicio de las funciones que tienen atribuidas
y en los demás supuestos previstos en el artículo 11.2 de la Ley Orgánica 5/1992, de 29 de
octubre.
Ello se entiende sin perjuicio de lo que, en la legislación específica en materia tributaria, de
defensa de la competencia y de seguridad pública, se disponga sobre la identificación de las personas.
En todo caso, se estará a lo previsto en las normas sobre protección de datos indicadas en el apartado
1 de este artículo.
CAPITULO IV
Inspección y control de la actividad de los prestadores de servicios de certificación
Artículo 16. Supervisión y control.
1. El Ministerio de Fomento controlará, a través de la Secretaría General de Comunicaciones,
el cumplimiento, por los prestadores de servicios de certificación que expidan al público certificados
reconocidos, de las obligaciones establecidas en este Real Decreto-ley y en sus disposiciones de desarrollo. Asimismo,
vigilará el cumplimiento, por los prestadores de servicios de certificación que no expidan certificados
reconocidos, de las obligaciones establecidas en el artículo 11.
2. En el ejercicio de su actividad de control, la Secretaría General de Comunicaciones actuará de
oficio, mediante petición razonada del Ministerio de Justicia o de otros órganos administrativos
o a instancia de persona interesada. Los funcionarios de la Secretaría General de Comunicaciones adscritos
a la Inspección de las Telecomunicaciones, a efectos de cumplir las tareas de control, tendrán la
consideración de autoridad pública.
3. Cuando, como consecuencia de una actuación inspectora, se tuviera constancia de la contravención
en el tratamiento de datos, de lo dispuesto en el artículo 11.c), la Secretaría General de Comunicaciones
pondrá el hecho en conocimiento de la Agencia de Protección de Datos. Esta podrá, con arreglo
a la Ley Orgánica 5/1992, iniciar el oportuno procedimiento sancionador, con arreglo a la legislación
que regula su actividad.
Artículo 17. Deber de colaboración.
Los prestadores de servicios de certificación tienen la obligación de facilitar a la Secretaría
General de Comunicaciones toda la información y los medios precisos para el ejercicio de sus funciones y
la de permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación
relevante para la inspección de que se trate, referida siempre a datos que conciernan al prestador de servicios.
Artículo 18. Resoluciones del órgano de supervisión.
La Secretaría General de Comunicaciones podrá ordenar a los prestadores de servicios de certificación
la adopción de las medidas apropiadas para exigirles que cumplan este Real Decreto-ley y sus disposiciones
de desarrollo.
TITULO III
Los dispositivos de firma electrónica y la evaluación de su conformidad con la normativa aplicable
CAPITULO UNICO
Los dispositivos de firma electrónica y la evaluación de su conformidad con la normativa aplicable
Artículo 19. Dispositivos seguros de creación de firma electrónica.
A efectos del artículo 2 f), para que se entienda que el dispositivo de creación de una firma electrónica
es seguro, se exige: 1.º Que garantice que los datos utilizados para la generación de firma puedan
producirse sólo una vez y que asegure, razonablemente, su secreto.
2.º Que exista seguridad razonable de que dichos datos no puedan ser derivados de los de verificación
de firma o de la propia firma y de que la firma no pueda ser falsificada con la tecnología existente en
cada momento.
3.º Que los datos de creación de firma puedan ser protegidos fiablemente por el signatario contra la
utilización por otros.
4.º Que el dispositivo utilizado no altere los datos o el documento que deba firmarse ni impida que éste
se muestre al signatario antes del proceso de firma.
Artículo 20. Normas técnicas.
1. Se presumirá que los productos de firma electrónica que se ajusten a las normas técnicas
cuyos números de referencia hayan sido publicados en el "Diario Oficial de las Comunidades Europeas"
son conformes con lo previsto en la letra e) del artículo 12 y en el artículo 19.
2. Sin perjuicio de esta presunción, los números de referencia de esas normas se publicarán
en el "Boletín Oficial del Estado".
Artículo 21. Evaluación de la conformidad con la normativa aplicable de los dispositivos seguros
de creación de firma electrónica.
1. Los órganos de certificación a los que se refiere el artículo 6 podrán certificar
los dispositivos seguros de creación de firma electrónica, previa valoración de los informes
técnicos emitidos sobre los mismos, por entidades de evaluación acreditadas.
En la evaluación del cumplimiento de los requisitos previstos en el artículo 19, las entidades de
evaluación podrán aplicar las normas técnicas respecto de los productos de firma electrónica
a las que se refiere el artículo anterior u otras que determinen los órganos de acreditación
y de certificación, y cuyas referencias se publiquen en el "Boletín Oficial del Estado".
2. Se reconocerá eficacia a los certificados sobre dispositivos seguros de creación de firma que
hayan sido expedidos por los organismos designados para ello por los Estados miembros de la Unión Europea,
cuando pongan de manifiesto que dichos dispositivos cumplen los requisitos contenidos en la normativa comunitaria
sobre firma electrónica.
Artículo 22. Dispositivos de verificación de firma.
1. Los dispositivos de verificación de firma electrónica avanzada deben garantizar lo siguiente:
1. Que la firma se verifica de forma fiable y el resultado de esa verificación figura correctamente.
2. Que el verificador puede, en caso necesario, establecer de forma fiable el contenido de los datos firmados y
detectar si han sido modificados.
3. Que figura correctamente la identidad del signatario o, en su caso, consta claramente la utilización
de un seudónimo.
4. Que se verifica de forma fiable el certificado.
5. Que puede detectarse cualquier cambio relativo a su seguridad.
2. El Real Decreto al que se refiere el artículo 6 podrá establecer los términos en los que
las entidades de evaluación y los órganos de certificación podrán evaluar y certificar,
respectivamente, el cumplimiento, por los dispositivos de verificación de firma electrónica avanzada,
de los requisitos establecidos en este artículo.
TITULO IV
Tasa por el reconocimiento de acreditaciones y certificaciones
CAPITULO UNICO
Tasa por el reconocimiento de acreditaciones y certificaciones
Artículo 23. Régimen aplicable a la tasa.
1. La gestión precisa para el reconocimiento de las acreditaciones y de las certificaciones con arreglo
a los artículos 6, 21 y 22, por los órganos públicos competentes, se grava con una tasa, a
la que se aplicará el siguiente régimen: a) Constituye el hecho imponible el reconocimiento por dichos
órganos de la acreditación de los prestadores de servicios o de la certificación de los dispositivos
de creación o de verificación de firma a que se refieren los artículos 6, 21 y 22.
b) Es sujeto pasivo la persona natural o jurídica que se beneficie del reconocimiento de la correspondiente
acreditación o certificación.
c) Su cuota es de 47.500 pesetas (285,48 euros) por cada acreditación o certificación reconocida.
Esta cantidad podrá ser actualizada por Real Decreto.
d) Se devengará cuando se presente la solicitud de reconocimiento de la correspondiente acreditación
o certificación.
2. La forma de liquidación de la tasa se establecerá reglamentariamente.
TITULO V
Infracciones y sanciones
CAPITULO UNICO
Infracciones y sanciones
Artículo 24. Clasificación de las infracciones.
Las infracciones de las normas reguladoras de la firma electrónica y los servicios de certificación
se clasifican en muy graves, graves y leves.
Artículo 25. Infracciones.
1. Son infracciones muy graves: a) El incumplimiento por los prestadores de servicios de certificación que
expidan certificados reconocidos de las obligaciones establecidas en cualquiera de las letras del artículo
11, salvo la c), la g) y la h).
b) El incumplimiento por los prestadores de servicios de certificación que expidan certificados reconocidos
de las obligaciones impuestas en las letras c) a la j) del artículo 12, siempre que se causen daños
graves a los usuarios o a terceros o se afecte gravemente a la seguridad de los servicios de certificación.
c) El incumplimiento grave y reiterado por los prestadores de servicios de certificación de las resoluciones
dictadas por la Secretaría General de Comunicaciones, para asegurar el respeto a este Real Decreto-ley.
2. Son infracciones graves: a) El incumplimiento por los prestadores de servicios de certificación que no
expidan certificados reconocidos, de las obligaciones impuestas en cualquiera de las letras del artículo
11, salvo la c), la g) y la h), siempre que se causen daños graves a los usuarios o a terceros o se afecte
gravemente a la seguridad de los servicios de certificación.
b) El incumplimiento por los prestadores de servicios de certificación que expidan certificados reconocidos
de las obligaciones previstas en las letras a), b), y k) del artículo 12.
c) El incumplimiento por los prestadores de servicios de certificación que expidan certificados reconocidos
de las obligaciones contempladas en las letras c) a la j) del artículo 12, cuando no concurran las circunstancias
previstas en el apartado 1.b) de este artículo.
d) La falta de comunicación por el prestador de servicios de certificación al Ministerio de Justicia,
en los plazos previstos en el artículo 13, del cese de su actividad o de la iniciación, respecto
de él, de un procedimiento de suspensión de pagos o de quiebra.
e) La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla
a cabo, con arreglo a este Real Decreto-ley.
f) El incumplimiento de las resoluciones dictadas por la Secretaría General de Comunicaciones para asegurar
que el prestador de servicios de certificación se ajuste a este Real Decreto-ley, cuando no deba considerarse
como infracción muy grave, conforme al apartado 1.c) de este artículo.
3. Son infracciones leves: a) El incumplimiento por los prestadores de servicios de certificación que no
expidan certificados reconocidos de las obligaciones establecidas en cualquiera de las letras del artículo
11, excepto la c), cuando no deba considerarse como infracción grave, de acuerdo con lo previsto en el apartado
2 a) de este artículo.
b) La expedición de certificados reconocidos que incumplan alguno de los requisitos establecidos en el artículo
8.
c) No facilitar los datos requeridos, en el ámbito de sus respectivas funciones, por el Ministerio de Justicia
o la Secretaría General de Comunicaciones para comprobar el cumplimiento de este Real Decreto-ley por los
prestadores de servicios de certificación.
d) Cualquier otro incumplimiento de las obligaciones impuestas a los prestadores de servicios de certificación
por este Real Decreto-ley, salvo el de la recogida en el artículo 11.c) o que deba ser considerado como
infracción grave o muy grave, de acuerdo con lo dispuesto en los apartados anteriores.
Artículo 26. Sanciones.
1. Por la comisión de infracciones recogidas en el artículo anterior, se impondrán las siguientes
sanciones: a) Por la comisión de infracciones muy graves, se impondrá al infractor multa por importe
no inferior al tanto, ni superior al quíntuplo, del beneficio bruto obtenido como consecuencia de los actos
u omisiones en que consista la infracción o, en caso de que no resulte posible aplicar este criterio o de
su aplicación resultare una cantidad inferior a la mayor de las que a continuación se indican, esta
última constituirá el límite del importe de la sanción pecuniaria. A estos efectos,
se considerarán las siguientes cantidades: El 1 por 100 de los ingresos brutos anuales obtenidos por la
entidad infractora en el último ejercicio o, en caso de inexistencia de éstos, en el ejercicio actual;
el 5 por 100 de los fondos totales, propios o ajenos, utilizados para la comisión de la infracción
o 100.000.000 de pesetas (601.012,10 euros).
La reiteración de dos o más infracciones muy graves, en el plazo de cinco años, podrá
dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación
en España durante un plazo máximo de dos años.
Cuando la resolución de imposición de esta sanción sea firme, será comunicada al Registro
de Prestadores de Servicios de Certificación para que cancele la inscripción del prestador de servicios
sancionado.
b) Por la comisión de infracciones graves, se impondrá al infractor multa por importe de hasta el
duplo del beneficio bruto obtenido como consecuencia de los actos u omisiones que constituyan aquéllas o,
en caso de que no resulte aplicable este criterio o de su aplicación resultare una cantidad inferior a la
mayor de las que a continuación se indican, esta última constituirá el límite del importe
de la sanción pecuniaria. A estos efectos, se considerarán las siguientes cantidades: El 0,5 por
100 de los ingresos brutos anuales obtenidos por la entidad infractora en el último ejercicio o, en caso
de inexistencia de éstos, en el ejercicio actual; el 2 por 100 de los fondos totales, propios o ajenos,
utilizados para la comisión de la infracción o 50.000.000 de pesetas (300.506,04 euros).
c) Por la comisión de infracciones leves, se impondrá al infractor una multa por importe de hasta
2.000.000 de pesetas (12.020,23 euros).
2. Las infracciones graves y muy graves podrán llevar aparejada la publicación de la resolución
sancionadora en el "Boletín Oficial del Estado" y en dos periódicos de difusión
nacional, una vez que aquélla tenga carácter firme.
3. La cuantía de las multas que se impongan, dentro de los límites indicados, se graduará
teniendo en cuenta, además de lo previsto en el artículo 131.3 de la Ley 30/1992, lo siguiente: a)
La gravedad de las infracciones cometidas anteriormente por el sujeto al que se sanciona.
b) La repercusión social de las infracciones.
c) El daño causado, siempre que no haya sido tomado en consideración para calificar la infracción
como leve, grave o muy grave.
d) El beneficio que haya reportado al infractor el hecho objeto de la infracción.
4. Se anotarán en el Registro de Prestadores de Servicios de Certificación las sanciones impuestas
por resolución firme a éstos por la comisión de cualquier infracción grave o muy grave.
Las notas relativas a las sanciones se cancelarán una vez transcurridos los plazos de prescripción
de las sanciones administrativas previstos en la Ley reguladora del procedimiento administrativo común.
5. Las cuantías señaladas en este artículo serán actualizadas periódicamente
por el Gobierno, mediante Real Decreto, teniendo en cuenta la variación de los índices de precios
al consumo.
Artículo 27. Medidas cautelares.
En los procedimientos sancionadores por infracciones graves o muy graves se podrán adoptar, con arreglo
a la Ley 30/1992, de 26 de noviembre, las medidas cautelares que se estimen necesarias para asegurar la eficacia
de la resolución que definitivamente se dicte. Estas medidas podrán consistir en la orden de cese
temporal de la actividad del prestador de servicios de certificación, en la suspensión de la vigencia
de los certificados por él expedidos o en la adopción de otras cautelas que se estimen precisas.
En todo caso, se respetará el principio de proporcionalidad de la medida a adoptar con los objetivos que
se pretendan alcanzar en cada supuesto.
Artículo 28. Procedimiento sancionador.
1. El ejercicio de la potestad sancionadora atribuida por este Real Decreto-ley corresponde a la Secretaría
General de Comunicaciones del Ministerio de Fomento. Para ello, la Secretaría General de Comunicaciones
se sujetará al procedimiento aplicable, con carácter general, al ejercicio de la potestad sancionadora
por las Administraciones públicas.
2. El Ministerio de Justicia y los demás órganos que ejercen competencias con arreglo a este Real
Decreto-ley y sus normas de desarrollo podrán instar la incoación de un procedimiento sancionador,
mediante petición razonada dirigida a la Secretaría General de Comunicaciones
DISPOSICION ADICIONAL UNICA
Posibilidad de emisión por las entidades públicas de radiodifusión de una Comunidad Autónoma
en el territorio de otras con las que aquélla tenga espacios radioeléctricos colindantes.
Las entidades autonómicas habilitadas, con arreglo a la Ley, para prestar el servicio de radiodifusión
digital terrenal, podrán emitir en el territorio de otras Comunidades Autónomas con las que aquélla
tenga espacios radioeléctricos colindantes. Para ello, será preciso que exista acuerdo entre las
Comunidades Autónomas afectadas y que, en cada territorio, se empleen los bloques de frecuencias planificados
en el Plan Técnico Nacional de Radiodifusión Sonora Digital Terrenal, para el ámbito autonómico.
DISPOSICION TRANSITORIA UNICA
Prestadores de servicios de certificación establecidos en España antes de la entrada en vigor de
este Real Decreto-ley.
Los prestadores de servicios de certificación ya establecidos en España y cuya actividad se rija
por una normativa específica habrán de adaptarse a este Real Decreto-ley en el plazo de un año
desde su entrada en vigor.
No obstante conservarán su validez los certificados ya expedidos que hayan surtido efectos.
DISPOSICIONES FINALES
Primera. Fundamento constitucional.
Este Real Decreto-ley se dicta al amparo del artículo 149.1.8.ª, 18.ª y 21.ª de la Constitución,
que atribuye competencia exclusiva al Estado en materia de legislación civil, de bases del régimen
jurídico de las Administraciones Públicas y de telecomunicaciones.
Segunda. Habilitación al Gobierno.
Se habilita al Gobierno para desarrollar, mediante Reglamento, lo previsto en este Real Decreto-ley.
Tercera. Entrada en vigor.
El presente Real Decreto-ley entrará en vigor el día siguiente al de su publicación en el
"Boletín Oficial del Estado".
El Rinconcito Informático: 25/06/2000 - (c) 2000 - 2008 | Creación y mantenimiento : José Luis Freire | Se pretende poder utilizar cualquier navegador. Recomendado 1024x768 |