BOE 18 de septiembre de 1999
Real Decreto
Ley 14/1999,
de 17 de
septiembre, sobre firma electrónica
El Estado
español ha tenido una participación activa en el logro de la
posición común que facilita la tramitación del texto, al
recoger éste los elementos suficientes para proteger la seguridad y la
integridad de las comunicaciones telemáticas en las que se emplee la
firma electrónica. En ese sentido, existen ya en España diversas
normas sobre la presentación de la declaración del Impuesto sobre
la Renta de las Personas Físicas por medios telemáticos, dictadas
por la Administración tributaria. La Comisión Nacional del
Mercado de Valores, por su parte, ha aprobado y puesto en marcha un sistema de
cifrado y firma electrónica que se emplea para la recepción de
información de las entidades supervisadas. Asimismo, el artículo
81 de la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales, Administrativas
y de Orden Social, anuncia la posibilidad de prestar, por la Fábrica
Nacional de Moneda y Timbre-Real Casa de la Moneda, los servicios
técnicos y administrativos necesarios para garantizar la seguridad, la
validez y la eficacia de la emisión y recepción de
comunicaciones, a través de técnicas y medios
electrónicos, informáticos y telemáticos. La
Fábrica Nacional de la Moneda y Timbre-Real Casa de la Moneda
actuará en colaboración con Correos y
Telégrafos.
En el proyecto
de Directiva se incorpora, a solicitud del Estado español, una novedad,
recogida en el apartado c) del anexo II, entre los requisitos exigibles a los
prestadores de servicios de certificación que expidan certificados
reconocidos. Esta novedad consiste en permitir que la certificación
pueda recoger la fecha y la hora en la que se produce la actuación
certificante.
Existe,
además, en España un sector empresarial que podría prestar
un servicio de certificación de la firma electrónica con
suficiente calidad. Se considera que debe introducirse, cuanto antes, la
disciplina que permita utilizar, con la adecuada seguridad jurídica,
este medio tecnológico que contribuye al desarrollo de lo que se ha
venido en denominar, en la Unión Europea, la sociedad de la
información. La urgencia de la aprobación de esta norma deriva,
también, del deseo de dar, a los usuarios de los nuevos servicios,
elementos de confianza en los sistemas, permitiendo su introducción y
rápida difusión.
Por ello, este
Real Decreto-ley persigue, respetando el contenido de la posición
común respecto de la Directiva sobre firma electrónica,
establecer una regulación clara del uso de ésta,
atribuyéndole eficacia jurídica y previendo el régimen
aplicable a los prestadores de servicios de certificación. De igual
modo, este Real Decreto ley determina el registro en el que habrán de
inscribirse los prestadores de servicios de certificación y el
régimen de inspección administrativa de su actividad, regula la
expedición y la pérdida de eficacia de los certificados y
tipifica las infracciones y las sanciones que se prevén para garantizar
su cumplimiento.
La presente
disposición ha sido sometida al procedimiento de información en
materia de normas y reglamentaciones técnicas previsto en la Directiva
98/34/CE, del Parlamento Europeo y del Consejo, de 22 de junio de 1998,
modificada por la Directiva 98/48/CE, del Parlamento Europeo y del Consejo, de
20 de julio de 1998, y en el Real Decreto 1337/1999, de 31 de julio.
En su virtud,
a propuesta del Ministro de Fomento, de la Ministra de Justicia y del Ministro
de Industria y Energía, previo informe del Consejo General del Poder
Judicial y de la Agencia de Protección de Datos, tras la
deliberación del Consejo de Ministros, en su reunión celebrada el
día 17 de septiembre de 1999, y en uso de la autorización
concedida en el artículo 86 de la Constitución,
DISPONGO:
TITULO
PRIMERO
Disposiciones
generales
CAPITULO
UNICO
Artículo 1. Ambito de aplicación.
1. Este Real
Decreto-ley regula el uso de la firma electrónica, el reconocimiento de
su eficacia jurídica y la prestación al público de
servicios de certificación. Las normas sobre esta actividad son de
aplicación a los prestadores de servicios establecidos en
España.
2. Las
disposiciones contenidas en este Real Decreto-ley no alteran las normas
relativas a la celebración, la formalización, la validez y la
eficacia de los contratos y otros actos jurídicos ni al régimen
jurídico aplicable a las obligaciones.
Las normas
sobre la prestación de servicios de certificación de firma
electrónica que recoge este Real Decreto-ley no sustituyen ni modifican
las que regulan las funciones que corresponde realizar a las personas
facultadas, con arreglo a derecho, para dar fe de la firma en documentos o para
intervenir en su elevación a públicos.
Artículo 2. Definiciones.
A los efectos
de este Real Decreto-ley, se establecen las siguientes definiciones:
a) "Firma
electrónica": Es el conjunto de datos, en forma electrónica,
anejos a otros datos electrónicos o asociados funcionalmente con ellos,
utilizados como medio para identificar formalmente al autor o a los autores del
documento que la recoge.
b) "Firma
electrónica avanzada": Es la firma electrónica que permite la
identificación del signatario y ha sido creada por medios que
éste mantiene bajo su exclusivo control, de manera que está
vinculada únicamente al mismo y a los datos a los que se refiere, lo que
permite que sea detectable cualquier modificación ulterior de
éstos.
c)
"Signatario": Es la persona física que cuenta con un dispositivo de
creación de firma y que actúa en nombre propio o en el de una
persona física o jurídica a la que representa.
d) "Datos de
creación de firma": Son los datos únicos, como códigos o
claves criptográficas privadas, que el signatario utiliza para crear la
firma electrónica.
e)
"Dispositivo de creación de firma": Es un programa o un aparato
informático que sirve para aplicar los datos de creación de
firma.
f)
"Dispositivo seguro de creación de firma": Es un dispositivo de
creación de firma que cumple los requisitos establecidos en el
artículo 19.
g) "Datos de
verificación de firma": Son los datos, como códigos o claves
criptográficas públicas, que se utilizan para verificar la firma
electrónica.
h)
"Dispositivo de verificación de firma": Es un programa o un aparato
informático que sirve para aplicar los datos de verificación de
firma.
i)
"Certificado": Es la certificación electrónica que vincula unos
datos de verificación de firma a un signatario y confirma su
identidad.
j)
"Certificado reconocido": Es el certificado que contiene la información
descrita en el artículo 8 y es expedido por un prestador de servicios de
certificación que cumple los requisitos enumerados en el artículo
12.
k) "Prestador
de servicios de certificación": Es la persona física o
jurídica que expide certificados, pudiendo prestar, además, otros
servicios en relación con la firma electrónica.
l) "Producto
de firma electrónica": Es un programa o un aparato informático o
sus componentes específicos, destinados a ser utilizados para la
prestación de servicios de firma electrónica por el prestador de
servicios de certificación o para la creación o
verificación de firma electrónica.
ll)
"Acreditación voluntaria del prestador de servicios de
certificación": Resolución que establece los derechos y
obligaciones específicos para la prestación de servicios de
certificación y que se dicta, a petición del prestador al que le
beneficie, por el organismo público encargado de su
supervisión.
Artículo 3. Efectos jurídicos de la firma
electrónica.
1. La firma
electrónica avanzada, siempre que esté basada en un certificado
reconocido y que haya sido producida por un dispositivo seguro de
creación de firma, tendrá, respecto de los datos consignados en
forma electrónica, el mismo valor jurídico que la firma
manuscrita en relación con los consignados en papel y será
admisible como prueba en juicio, valorándose ésta según
los criterios de apreciación establecidos en las normas
procesales.
Se
presumirá que la firma electrónica avanzada reúne las
condiciones necesarias para producir los efectos indicados en este apartado,
cuando el certificado reconocido en que se base haya sido expedido por un
prestador de servicios de certificación acreditado y el dispositivo
seguro de creación de firma con el que ésta se produzca se
encuentre certificado, con arreglo a lo establecido en el artículo
21.
2. A la firma
electrónica que no reúna todos los requisitos previstos en el
apartado anterior, no se le negarán efectos jurídicos ni
será excluida como prueba en juicio, por el mero hecho de presentarse en
forma electrónica.
TITULO
II
La
prestación de servicios de certificación
CAPITULO
PRIMERO
Principios
generales
Artículo 4. Régimen de libre competencia.
1. La
prestación de servicios de certificación no está sujeta a
autorización previa y se realiza en régimen de libre competencia,
sin que quepa establecer restricciones para los servicios de
certificación que procedan de alguno de los Estados miembros de la
Unión Europea.
2. La
prestación de los servicios de certificación por las
Administraciones o los organismos o sociedades de ellas dependientes se
realizará con la debida separación de cuentas y con arreglo a los
principios de objetividad, transparencia y no discriminación.
Artículo 5. Empleo de la firma electrónica por las
Administraciones públicas.
1. Se
podrá supeditar por la normativa estatal o, en su caso,
autonómica el uso de la firma electrónica en el seno de las
Administraciones públicas y sus entes públicos y en las
relaciones que con cualesquiera de ellos mantengan los particulares, a las
condiciones adicionales que se consideren necesarias, para salvaguardar las
garantías de cada procedimiento.
Las
condiciones adicionales que se establezcan podrán incluir la
prestación de un servicio de consignación de fecha y hora,
respecto de los documentos electrónicos integrados en un expediente
administrativo. El citado servicio consistirá en la acreditación
por el prestador de servicios de certificación, o por un tercero, de la
fecha y hora en que un documento electrónico es enviado por el
signatario o recibido por el destinatario.
Las normas
estatales que regulen las condiciones adicionales sobre el uso de la firma
electrónica a las que se refiere este apartado sólo podrán
hacer referencia a las características específicas de la
aplicación de que se trate y se dictarán a propuesta del
Ministerio de Administraciones Públicas y previo informe del Consejo
Superior de Informática.
2. Las
condiciones adicionales a las que se refiere el apartado anterior
deberán garantizar el cumplimiento de lo previsto en el artículo
45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de
las Administraciones Públicas y del Procedimiento Administrativo
Común, serán objetivas, razonables y no discriminatorias y no
obstaculizarán la prestación de servicios al ciudadano, cuando en
ella intervengan distintas Administraciones públicas nacionales o
extranjeras.
3.
Podrá someterse a un régimen específico, la
utilización de la firma electrónica en las comunicaciones que
afecten a la información clasificada, a la seguridad pública o a
la defensa. Asimismo, el Ministro de Economía y Hacienda, respetando las
condiciones previstas en este Real Decreto-ley, podrá establecer un
régimen normativo destinado a garantizar el cumplimiento de las
obligaciones tributarias, determinando, respecto de la gestión de los
tributos, la posibilidad de que el signatario sea una persona física o
una persona jurídica.
Artículo 6. Sistemas de acreditación de prestadores de
servicios de certificación y de certificación de productos de
firma electrónica.
1. El
Gobierno, por Real Decreto, podrá establecer sistemas voluntarios de
acreditación de los prestadores de servicios de certificación de
firma electrónica, determinando, para ello, un régimen que
permita lograr el adecuado grado de seguridad y proteger, debidamente, los
derechos de los usuarios.
2. Las
funciones de certificación a las que se refiere este Real Decreto-ley
serán ejercidas por los órganos, en cada caso competentes,
referidos en la Ley 11/1998, de 24 de abril, General de Telecomunicaciones; en
la Ley 21/1992, de 16 de julio, de Industria, y en la demás
legislación vigente sobre la materia. El Real Decreto al que se refiere
el apartado 1 establecerá las condiciones que permitan coordinar los
sistemas de certificación.
3. Las normas
que regulen los sistemas de acreditación y de certificación
deberán ser objetivas, razonables y no discriminatorias. Todos los
prestadores de servicios que se sometan voluntariamente a ellos, podrán
obtener la correspondiente acreditación de su actividad o, en su caso,
la certificación del producto de firma electrónica que
empleen.
4. Los
órganos competentes para el ejercicio de las funciones a que se refiere
el apartado anterior valorarán los informes técnicos que emitan
las entidades de evaluación sobre los prestadores de servicios que hayan
solicitado su acreditación o los productos para los que se haya pedido
certificación. También tomarán en cuenta el cumplimiento,
por el prestador de servicios, de los requisitos que se determinen
reglamentariamente para poder ser acreditado.
5. A los
efectos de este Real Decreto-ley, sólo podrán actuar como
entidades de evaluación aquellas que hayan sido acreditadas por el
organismo independiente al que se haya atribuido esta facultad por el Real
Decreto al que se refiere el apartado primero de este
artículo.
Artículo 7. Registro de Prestadores de Servicios de
Certificación.
1. Se crea, en
el Ministerio de Justicia, el Registro de Prestadores de Servicios de
Certificación, en el que deberán solicitar su inscripción,
con carácter previo al inicio de su actividad, todos los establecidos en
España. Su regulación se desarrollará por Real
Decreto.
2. La
solicitud de inscripción habrá de formularse, aportando la
documentación que se establezca reglamentariamente, a efectos de la
identificación del prestador de servicios de certificación y de
justificar que éste reúne los requisitos necesarios, en cada
caso, para ejercer su actividad. También será objeto de
inscripción ulterior cualquier circunstancia relevante, a efectos de
este Real Decreto-ley, relativa al prestador de servicios de
certificación, como su acreditación o estar en condiciones de
expedir certificados reconocidos.
La
formulación de la solicitud de inscripción en el Registro por los
citados prestadores de servicios, les permitirá iniciar o continuar su
actividad, sin perjuicio de la aplicación, en su caso, del
régimen sancionador correspondiente.
3. El Registro
de Prestadores de Servicios de Certificación será público
y deberá mantener permanentemente actualizada y a disposición de
cualquier persona una relación de los inscritos, en la que
figurarán su nombre o razón social, la dirección de su
página en Internet o de correo electrónico, los datos de
verificación de su firma electrónica y, en su caso, su
condición de acreditado o de tener la posibilidad de expedir
certificados reconocidos. En la citada relación figurarán,
también, cualesquiera otros datos complementarios que se determinen por
Real Decreto.
Los datos
inscritos en el Registro podrán ser consultados por vía
telemática o a través de la oportuna certificación
registral. El suministro de esta información podrá sujetarse al
pago de una tasa, cuyos elementos esenciales se determinarán por
ley.
CAPITULO
II
Certificados
Artículo 8. Requisitos para la existencia de un certificado
reconocido.
1. Los
certificados reconocidos, definidos en el artículo 2 j) de este Real
Decreto-ley, tendrán el siguiente contenido:
a) La
indicación de que se expiden como tales.
b) El
código identificativo único del certificado.
c) La
identificación del prestador de servicios de certificación que
expide el certificado, indicando su nombre o razón social, su domicilio,
su dirección de correo electrónico, su número de
identificación fiscal y, en su caso, sus datos de identificación
registral.
d) La firma
electrónica avanzada del prestador de servicios de certificación
que expide el certificado.
e) La
identificación del signatario, por su nombre y apellidos o a
través de un seudónimo que conste como tal de manera
inequívoca. Se podrá consignar en el certificado cualquier otra
circunstancia personal del titular, en caso de que sea significativa en
función del fin propio del certificado y siempre que aquél
dé su consentimiento.
f) En los
supuestos de representación, la indicación del documento que
acredite las facultades del signatario para actuar en nombre de la persona
física o jurídica a la que represente.
g) Los datos
de verificación de firma que correspondan a los datos de creación
de firma que se encuentren bajo el control del signatario.
h) El comienzo
y el fin del período de validez del certificado.
i) Los
límites de uso del certificado, si se prevén.
j) Los
límites del valor de las transacciones para las que puede utilizarse el
certificado, si se establecen.
2. La
consignación en el certificado de cualquier otra información
relativa al signatario, requerirá su consentimiento expreso.
Artículo 9. Vigencia de los certificados.
1. Los
certificados de firma electrónica quedarán sin efecto, si
concurre alguna de las siguientes circunstancias:
a)
Expiración del período de validez del certificado.
Tratándose de certificados reconocidos, éste no
podrá ser superior a cuatro años, contados desde la fecha en que
se hayan expedido.
b)
Revocación por el signatario, por la persona física o
jurídica representada por éste o por un tercero
autorizado.
c)
Pérdida o inutilización por daños del soporte del
certificado.
d)
Utilización indebida por un tercero.
e)
Resolución judicial o administrativa que lo ordene.
f)
Fallecimiento del signatario o de su representado, incapacidad sobrevenida,
total o parcial, de cualquiera de ellos, terminación de la
representación o extinción de la persona jurídica
representada.
g) Cese en su
actividad del prestador de servicios de certificación salvo que, previo
consentimiento expreso del signatario, los certificados expedidos por
aquél sean transferidos a otro prestador de servicios.
h)
Inexactitudes graves en los datos aportados por el signatario para la
obtención del certificado.
2. La
pérdida de eficacia de los certificados, en los supuestos de
expiración de su período de validez y de cese de actividad del
prestador de servicios, tendrá lugar desde que estas circunstancias se
produzcan. En los demás casos, la extinción de la eficacia de un
certificado surtirá efectos desde la fecha en que el prestador de
servicios tenga conocimiento cierto de cualquiera de los hechos determinantes
de ella y así lo haga constar en su Registro de certificados al que se
refiere el artículo 11.e).
3. En
cualquiera de los supuestos indicados, el prestador de servicios de
certificación, habrá de publicar la extinción de eficacia
del certificado en el Registro al que se refiere el artículo 11.e), y
responderá de los posibles perjuicios que se causen al signatario o a
terceros de buena fe, por el retraso en la publicación.
Corresponderá al prestador de servicios la prueba de que los terceros
conocían las circunstancias invalidantes del certificado.
4. El
prestador de servicios de certificación podrá suspender,
temporalmente, la eficacia de los certificados expedidos, si así lo
solicita el signatario o sus representados o lo ordena una autoridad judicial o
administrativa. La suspensión surtirá efectos en la forma
prevista en los dos apartados anteriores.
Artículo 10. Equivalencia de certificados.
Los
certificados que los prestadores de servicios de certificación
establecidos en un Estado que no sea miembro de la Unión Europea, de
acuerdo con la legislación de éste, expidan como reconocidos, se
considerarán equivalentes a los expedidos por los establecidos en
España, siempre que se cumplan alguna de las siguientes
condiciones:
a) Que el
prestador de servicios reúna los requisitos establecidos en la normativa
comunitaria sobre firma electrónica y haya sido acreditado, conforme a
un sistema voluntario establecido en un Estado miembro de la Unión
Europea.
b) Que el
certificado esté garantizado por un prestador de servicios de la
Unión Europea que cumpla los requisitos establecidos en la normativa
comunitaria sobre firma electrónica.
c) Que el
certificado o el prestador de servicios estén reconocidos en virtud de
un acuerdo bilateral o multilateral entre la Comunidad Europea y terceros
países u organizaciones internacionales.
CAPITULO
III
Condiciones
exigibles a los prestadores de servicios de certificación
Artículo 11. Obligaciones de los prestadores de servicios de
certificación.
Todos los
prestadores de servicios de certificación deben cumplir las siguientes
obligaciones:
a) Comprobar
por sí o por medio de una persona física o jurídica que
actúe en nombre y por cuenta suyos, la identidad y cualesquiera
circunstancias personales de los solicitantes de los certificados relevantes
para el fin propio de éstos, utilizando cualquiera de los medios
admitidos en derecho. Se exceptúan de esta obligación, los
prestadores de servicios de certificación que, expidiendo certificados
que no tengan la consideración de reconocidos, se limiten a constatar
determinadas circunstancias específicas de los solicitantes de
aquéllos.
b) Poner a
disposición del signatario los dispositivos de creación y de
verificación de firma electrónica.
c) No
almacenar ni copiar los datos de creación de firma de la persona a la
que hayan prestado sus servicios, salvo que ésta lo solicite.
d) Informar,
antes de la emisión de un certificado, a la persona que solicite sus
servicios, de su precio, de las condiciones precisas para la utilización
del certificado, de sus limitaciones de uso y de la forma en que garantiza su
posible responsabilidad patrimonial.
e) Mantener un
registro de certificados, en el que quedará constancia de los emitidos y
figurarán las circunstancias que afecten a la suspensión o
perdida de vigencia de sus efectos. A dicho registro podrá accederse por
medios telemáticos y su contenido estará a disposición de
las personas que lo soliciten, cuando así lo autorice el
signatario.
f) En el caso
de cesar en su actividad, los prestadores de servicios de certificación
deberán comunicarlo con la antelación indicada en el apartado 1
del artículo 13, a los titulares de los certificados por ellos emitidos
y, si estuvieran inscritos en él, al Registro de Prestadores de
Servicios del Ministerio de Justicia.
g) Solicitar
la inscripción en el Registro de Prestadores de Servicios de
Certificación.
h) Cumplir las
demás normas previstas, respecto de ellos, en este Real Decreto-ley y en
sus normas de desarrollo.
Artículo 12. Obligaciones exigibles a los prestadores de
servicios de certificación que expidan certificados
reconocidos.
Además
de cumplir las obligaciones establecidas en los artículos 7 y 11, los
prestadores de servicios de certificación que expidan certificados
reconocidos, han de cumplir las siguientes:
a) Indicar la
fecha y la hora en las que se expidió o se dejó sin efecto un
certificado.
b) Demostrar
la fiabilidad necesaria de sus servicios.
c) Garantizar
la rapidez y la seguridad en la prestación del servicio. En concreto,
deberán permitir la utilización de un servicio rápido y
seguro de consulta del Registro de certificados emitidos y habrán de
asegurar la extinción o suspensión de la eficacia de éstos
de forma segura e inmediata.
d) Emplear
personal cualificado y con la experiencia necesaria para la prestación
de los servicios ofrecidos, en el ámbito de la firma electrónica
y los procedimientos de seguridad y de gestión adecuados.
e) Utilizar
sistemas y productos fiables que estén protegidos contra toda
alteración y que garanticen la seguridad técnica y, en su caso,
criptográfica de los procesos de certificación a los que sirven
de soporte.
f) Tomar
medidas contra la falsificación de certificados y, en el caso de que el
prestador de servicios de certificación genere datos de creación
de firma, garantizar su confidencialidad durante el proceso de
generación.
g) Disponer de
los recursos económicos suficientes para operar de conformidad con lo
dispuesto en este Real Decreto-ley y, en particular, para afrontar el riesgo de
la responsabilidad por daños y perjuicios. Para ello, habrán de
garantizar su responsabilidad frente a los usuarios de sus servicios y terceros
afectados por éstos. La garantía a constituir podrá
consistir en un afianzamiento mercantil prestado por una entidad de
crédito o en un seguro de caución.
Inicialmente,
la garantía cubrirá, al menos, el 4 por 100 de la suma de los
importes límite de las transacciones en que puedan emplearse el conjunto
de los certificados que emita cada prestador de servicios de
certificación. Teniendo en cuenta la evolución del mercado, el
Gobierno, por Real Decreto, podrá reducir el citado porcentaje, hasta el
2 por 100.
En caso de que
no se limite el importe de las transacciones en las que puedan emplearse al
conjunto de los certificados que emita el prestador de servicios de
certificación, la garantía a constituir, cubrirá, al
menos, su responsabilidad por un importe de 1.000.000.000 de pesetas
(6.010.121,04 euros). El Gobierno, por Real Decreto, podrá modificar el
referido importe.
h) Conservar
registrada toda la información y documentación relativa a un
certificado reconocido durante quince años. Esta actividad de registro
podrá realizarse por medios electrónicos.
i) Antes de
expedir un certificado, informar al solicitante sobre el precio y las
condiciones precisas de utilización del certificado. Dicha
información, deberá incluir posibles límites de uso, la
acreditación del prestador de servicios y los procedimientos de
reclamación y de resolución de litigios previstos en las leyes y
deberá ser fácilmente comprensible. Estará también
a disposición de terceros interesados y se incorporará a un
documento que se entregará a quien lo solicite. Para comunicar esta
información, podrán utilizarse medios electrónicos si el
signatario o los terceros interesados lo admiten.
j) Utilizar
sistemas fiables para almacenar certificados, de modo tal que:
1. Sólo
personas autorizadas puedan consultarlos, si éstos únicamente
están disponibles para verificación de firmas
electrónicas.
2. Unicamente
personas autorizadas puedan hacer en ellos anotaciones y
modificaciones.
3. Pueda
comprobarse la autenticidad de la información.
4. El
signatario o la persona autorizada para acceder a los certificados, pueda
detectar todos los cambios técnicos que afecten a los requisitos de
seguridad mencionados.
k) Informar a
cualesquiera usuarios de sus servicios de los criterios que se comprometen a
seguir, respetando este Real Decreto-ley y sus disposiciones de desarrollo, en
el ejercicio de su actividad.
Artículo 13. Cese de la actividad.
1. El
prestador de servicios de certificación que vaya a cesar en su
actividad, deberá comunicarlo a los titulares de los certificados por
él expedidos y transferir, con su consentimiento expreso, los que sigan
siendo válidos en la fecha en que el cese se produzca a otro prestador
de servicios que los asuma o dejarlos sin efecto. La citada comunicación
se llevará a cabo con una antelación mínima de dos meses
al cese efectivo de la actividad.
2. Si el
prestador de servicios estuviere inscrito en el Registro de Prestadores de
Servicios de Certificación del Ministerio de Justicia, deberá
comunicar a éste, con la antelación indicada en el anterior
apartado, el cese de su actividad, y el destino que vaya a dar a los
certificados especificando, en su caso, si los va a transferir y a quién
o si los dejará sin efecto. Igualmente, indicará cualquier otra
circunstancia relevante, que pueda impedir la continuación de su
actividad. En especial, deberá comunicar, en cuanto tenga conocimiento
de ello, la apertura de un procedimiento de quiebra o suspensión de
pagos respecto de él.
3. La
inscripción del prestador de servicios de certificación en el
Registro de Prestadores de Servicios de Certificación será
cancelada, de oficio, por el Ministerio de Justicia, cuando aquél cese
en su actividad. El Ministerio de Justicia se hará cargo de la
información relativa a los certificados que se hubieren dejado sin
efecto por el prestador de servicios de certificación, a efectos de lo
previsto en el artículo 12.h).
Artículo 14. Responsabilidad de los prestadores de servicios de
certificación.
1. Los
prestadores de servicios de certificación responderán por los
daños y perjuicios que causen a cualquier persona, en el ejercicio de su
actividad, cuando incumplan las obligaciones que les impone este Real
Decreto-ley o actúen con negligencia. En todo caso, corresponderá
al prestador de servicios demostrar que actuó con la debida
diligencia.
2. El
prestador de servicios de certificación sólo responderá de
los daños y perjuicios causados por el uso indebido del certificado
reconocido, cuando no haya consignado en él, de forma claramente
reconocible por terceros, el límite en cuanto a su posible uso o al
importe del valor de las transacciones válidas que pueden realizarse
empleándolo.
3. La
responsabilidad será exigible conforme a las normas generales sobre la
culpa contractual o extracontractual, según proceda, con las
especialidades previstas en este artículo. Cuando la garantía
que, en su caso, hubieran constituido los prestadores de servicios de
certificación no sea suficiente para satisfacer la indemnización
debida, responderán de la deuda, con todos sus bienes presentes y
futuros.
4. Lo
dispuesto en este artículo, se entiende sin perjuicio de lo establecido
en la legislación sobre protección de los consumidores y
usuarios.
Artículo 15. Protección de los datos
personales.
1. El
tratamiento de los datos personales que precisen los prestadores de servicios
de certificación para el desarrollo de su actividad y el que se realice
en el Registro de Prestadores de Servicios de Certificación al que se
refiere este Real Decreto-ley, se sujetan a lo dispuesto en la Ley
Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal, y en las disposiciones
dictadas en su desarrollo. El mismo régimen será de
aplicación a los datos personales que se conozcan en el órgano
que, en el ejercicio de sus funciones, supervisa la actuación de los
prestadores de servicios de certificación y el competente en materia de
acreditación.
2. Los
prestadores de servicios de certificación que expidan certificados a los
usuarios, únicamente pueden recabar datos personales directamente de los
titulares de los mismos o con su consentimiento explícito. Los datos
requeridos serán, exclusivamente, los necesarios para la
expedición y el mantenimiento del certificado.
3. Los
prestadores de servicios de certificación que hayan consignado un
seudónimo en el certificado, a solicitud del signatario, deberán
constatar su verdadera identidad y conservar la documentación que la
acredite. Dichos prestadores de servicios estarán obligados a revelar la
identidad de los titulares de certificados cuando lo soliciten los
órganos judiciales en el ejercicio de las funciones que tienen
atribuidas y en los demás supuestos previstos en el artículo 11.2
de la Ley Orgánica 5/1992, de 29 de octubre. Ello se entiende sin
perjuicio de lo que, en la legislación específica en materia
tributaria, de defensa de la competencia y de seguridad pública, se
disponga sobre la identificación de las personas.
En todo caso,
se estará a lo previsto en las normas sobre protección de datos
indicadas en el apartado 1 de este artículo.
CAPITULO
IV
Inspección y control de la actividad de los prestadores de
servicios de certificación
Artículo 16. Supervisión y control.
1. El
Ministerio de Fomento controlará, a través de la
Secretaría General de Comunicaciones, el cumplimiento, por los
prestadores de servicios de certificación que expidan al público
certificados reconocidos, de las obligaciones establecidas en este Real
Decreto-ley y en sus disposiciones de desarrollo. Asimismo, vigilará el
cumplimiento, por los prestadores de servicios de certificación que no
expidan certificados reconocidos, de las obligaciones establecidas en el
artículo 11.
2. En el
ejercicio de su actividad de control, la Secretaría General de
Comunicaciones actuará de oficio, mediante petición razonada del
Ministerio de Justicia o de otros órganos administrativos o a instancia
de persona interesada. Los funcionarios de la Secretaría General de
Comunicaciones adscritos a la Inspección de las Telecomunicaciones, a
efectos de cumplir las tareas de control, tendrán la
consideración de autoridad pública.
3. Cuando,
como consecuencia de una actuación inspectora, se tuviera constancia de
la contravención en el tratamiento de datos, de lo dispuesto en el
artículo 11.c), la Secretaría General de Comunicaciones
pondrá el hecho en conocimiento de la Agencia de Protección de
Datos. Esta podrá, con arreglo a la Ley Orgánica 5/1992, iniciar
el oportuno procedimiento sancionador, con arreglo a la legislación que
regula su actividad.
Artículo 17. Deber de colaboración.
Los
prestadores de servicios de certificación tienen la obligación de
facilitar a la Secretaría General de Comunicaciones toda la
información y los medios precisos para el ejercicio de sus funciones y
la de permitir a sus agentes o al personal inspector el acceso a sus
instalaciones y la consulta de cualquier documentación relevante para la
inspección de que se trate, referida siempre a datos que conciernan al
prestador de servicios.
Artículo 18. Resoluciones del órgano de
supervisión.
La
Secretaría General de Comunicaciones podrá ordenar a los
prestadores de servicios de certificación la adopción de las
medidas apropiadas para exigirles que cumplan este Real Decreto-ley y sus
disposiciones de desarrollo.
TITULO
III
Los
dispositivos de firma electrónica y la evaluación de su
conformidad con la normativa aplicable
CAPITULO
UNICO
Los
dispositivos de firma electrónica y la evaluación de su
conformidad con la normativa aplicable
Artículo 19. Dispositivos seguros de creación de firma
electrónica.
A efectos del
artículo 2 f), para que se entienda que el dispositivo de
creación de una firma electrónica es seguro, se exige:
1.º Que
garantice que los datos utilizados para la generación de firma puedan
producirse sólo una vez y que asegure, razonablemente, su
secreto.
2.º Que
exista seguridad razonable de que dichos datos no puedan ser derivados de los
de verificación de firma o de la propia firma y de que la firma no pueda
ser falsificada con la tecnología existente en cada momento.
3.º Que
los datos de creación de firma puedan ser protegidos fiablemente por el
signatario contra la utilización por otros.
4.º Que
el dispositivo utilizado no altere los datos o el documento que deba firmarse
ni impida que éste se muestre al signatario antes del proceso de
firma.
Artículo 20. Normas técnicas.
1. Se
presumirá que los productos de firma electrónica que se ajusten a
las normas técnicas cuyos números de referencia hayan sido
publicados en el "Diario Oficial de las Comunidades Europeas" son conformes con
lo previsto en la letra e) del artículo 12 y en el artículo
19.
2. Sin
perjuicio de esta presunción, los números de referencia de esas
normas se publicarán en el "Boletín Oficial del
Estado".
Artículo 21. Evaluación de la conformidad con la
normativa aplicable de los dispositivos seguros de creación de firma
electrónica.
1. Los
órganos de certificación a los que se refiere el artículo
6 podrán certificar los dispositivos seguros de creación de firma
electrónica, previa valoración de los informes técnicos
emitidos sobre los mismos, por entidades de evaluación
acreditadas.
En la
evaluación del cumplimiento de los requisitos previstos en el
artículo 19, las entidades de evaluación podrán aplicar
las normas técnicas respecto de los productos de firma
electrónica a las que se refiere el artículo anterior u otras que
determinen los órganos de acreditación y de certificación,
y cuyas referencias se publiquen en el "Boletín Oficial del
Estado".
2. Se
reconocerá eficacia a los certificados sobre dispositivos seguros de
creación de firma que hayan sido expedidos por los organismos designados
para ello por los Estados miembros de la Unión Europea, cuando pongan de
manifiesto que dichos dispositivos cumplen los requisitos contenidos en la
normativa comunitaria sobre firma electrónica.
Artículo 22. Dispositivos de verificación de
firma.
1. Los
dispositivos de verificación de firma electrónica avanzada deben
garantizar lo siguiente:
1. Que la
firma se verifica de forma fiable y el resultado de esa verificación
figura correctamente.
2. Que el
verificador puede, en caso necesario, establecer de forma fiable el contenido
de los datos firmados y detectar si han sido modificados.
3. Que figura
correctamente la identidad del signatario o, en su caso, consta claramente la
utilización de un seudónimo.
4. Que se
verifica de forma fiable el certificado.
5. Que puede
detectarse cualquier cambio relativo a su seguridad.
2. El Real
Decreto al que se refiere el artículo 6 podrá establecer los
términos en los que las entidades de evaluación y los
órganos de certificación podrán evaluar y certificar,
respectivamente, el cumplimiento, por los dispositivos de verificación
de firma electrónica avanzada, de los requisitos establecidos en este
artículo.
TITULO
IV
Tasa por el
reconocimiento de acreditaciones y certificaciones
CAPITULO
UNICO
Tasa por el
reconocimiento de acreditaciones y certificaciones
Artículo 23. Régimen aplicable a la tasa.
1. La
gestión precisa para el reconocimiento de las acreditaciones y de las
certificaciones con arreglo a los artículos 6, 21 y 22, por los
órganos públicos competentes, se grava con una tasa, a la que se
aplicará el siguiente régimen:
a) Constituye
el hecho imponible el reconocimiento por dichos órganos de la
acreditación de los prestadores de servicios o de la
certificación de los dispositivos de creación o de
verificación de firma a que se refieren los artículos 6, 21 y
22.
b) Es sujeto
pasivo la persona natural o jurídica que se beneficie del reconocimiento
de la correspondiente acreditación o certificación.
c) Su cuota es
de 47.500 pesetas (285,48 euros) por cada acreditación o
certificación reconocida. Esta cantidad podrá ser actualizada por
Real Decreto.
d) Se
devengará cuando se presente la solicitud de reconocimiento de la
correspondiente acreditación o certificación.
2. La forma de
liquidación de la tasa se establecerá
reglamentariamente.
TITULO
V
Infracciones y
sanciones
CAPITULO
UNICO
Infracciones y
sanciones
Artículo 24. Clasificación de las
infracciones.
Las
infracciones de las normas reguladoras de la firma electrónica y los
servicios de certificación se clasifican en muy graves, graves y
leves.
Artículo 25. Infracciones.
1. Son
infracciones muy graves:
a) El
incumplimiento por los prestadores de servicios de certificación que
expidan certificados reconocidos de las obligaciones establecidas en cualquiera
de las letras del artículo 11, salvo la c), la g) y la h).
b) El
incumplimiento por los prestadores de servicios de certificación que
expidan certificados reconocidos de las obligaciones impuestas en las letras c)
a la j) del artículo 12, siempre que se causen daños graves a los
usuarios o a terceros o se afecte gravemente a la seguridad de los servicios de
certificación.
c) El
incumplimiento grave y reiterado por los prestadores de servicios de
certificación de las resoluciones dictadas por la Secretaría
General de Comunicaciones, para asegurar el respeto a este Real
Decreto-ley.
2. Son
infracciones graves:
a) El
incumplimiento por los prestadores de servicios de certificación que no
expidan certificados reconocidos, de las obligaciones impuestas en cualquiera
de las letras del artículo 11, salvo la c), la g) y la h), siempre que
se causen daños graves a los usuarios o a terceros o se afecte
gravemente a la seguridad de los servicios de certificación.
b) El
incumplimiento por los prestadores de servicios de certificación que
expidan certificados reconocidos de las obligaciones previstas en las letras
a), b), y k) del artículo 12.
c) El
incumplimiento por los prestadores de servicios de certificación que
expidan certificados reconocidos de las obligaciones contempladas en las letras
c) a la j) del artículo 12, cuando no concurran las circunstancias
previstas en el apartado 1.b) de este artículo.
d) La falta de
comunicación por el prestador de servicios de certificación al
Ministerio de Justicia, en los plazos previstos en el artículo 13, del
cese de su actividad o de la iniciación, respecto de él, de un
procedimiento de suspensión de pagos o de quiebra.
e) La
resistencia, excusa o negativa a la actuación inspectora de los
órganos facultados para llevarla a cabo, con arreglo a este Real
Decreto-ley.
f) El
incumplimiento de las resoluciones dictadas por la Secretaría General de
Comunicaciones para asegurar que el prestador de servicios de
certificación se ajuste a este Real Decreto-ley, cuando no deba
considerarse como infracción muy grave, conforme al apartado 1.c) de
este artículo.
3. Son
infracciones leves:
a) El
incumplimiento por los prestadores de servicios de certificación que no
expidan certificados reconocidos de las obligaciones establecidas en cualquiera
de las letras del artículo 11, excepto la c), cuando no deba
considerarse como infracción grave, de acuerdo con lo previsto en el
apartado 2 a) de este artículo.
b) La
expedición de certificados reconocidos que incumplan alguno de los
requisitos establecidos en el artículo 8.
c) No
facilitar los datos requeridos, en el ámbito de sus respectivas
funciones, por el Ministerio de Justicia o la Secretaría General de
Comunicaciones para comprobar el cumplimiento de este Real Decreto-ley por los
prestadores de servicios de certificación.
d) Cualquier
otro incumplimiento de las obligaciones impuestas a los prestadores de
servicios de certificación por este Real Decreto-ley, salvo el de la
recogida en el artículo 11.c) o que deba ser considerado como
infracción grave o muy grave, de acuerdo con lo dispuesto en los
apartados anteriores.
Artículo 26. Sanciones.
1. Por la
comisión de infracciones recogidas en el artículo anterior, se
impondrán las siguientes sanciones:
a) Por la
comisión de infracciones muy graves, se impondrá al infractor
multa por importe no inferior al tanto, ni superior al quíntuplo, del
beneficio bruto obtenido como consecuencia de los actos u omisiones en que
consista la infracción o, en caso de que no resulte posible aplicar este
criterio o de su aplicación resultare una cantidad inferior a la mayor
de las que a continuación se indican, esta última
constituirá el límite del importe de la sanción
pecuniaria. A estos efectos, se considerarán las siguientes cantidades:
El 1 por 100 de los ingresos brutos anuales obtenidos por la entidad infractora
en el último ejercicio o, en caso de inexistencia de éstos, en el
ejercicio actual; el 5 por 100 de los fondos totales, propios o ajenos,
utilizados para la comisión de la infracción o 100.000.000 de
pesetas (601.012,10 euros).
La
reiteración de dos o más infracciones muy graves, en el plazo de
cinco años, podrá dar lugar, en función de sus
circunstancias, a la sanción de prohibición de actuación
en España durante un plazo máximo de dos años. Cuando la
resolución de imposición de esta sanción sea firme,
será comunicada al Registro de Prestadores de Servicios de
Certificación para que cancele la inscripción del prestador de
servicios sancionado.
b) Por la
comisión de infracciones graves, se impondrá al infractor multa
por importe de hasta el duplo del beneficio bruto obtenido como consecuencia de
los actos u omisiones que constituyan aquéllas o, en caso de que no
resulte aplicable este criterio o de su aplicación resultare una
cantidad inferior a la mayor de las que a continuación se indican, esta
última constituirá el límite del importe de la
sanción pecuniaria. A estos efectos, se considerarán las
siguientes cantidades: El 0,5 por 100 de los ingresos brutos anuales obtenidos
por la entidad infractora en el último ejercicio o, en caso de
inexistencia de éstos, en el ejercicio actual; el 2 por 100 de los
fondos totales, propios o ajenos, utilizados para la comisión de la
infracción o 50.000.000 de pesetas (300.506,04 euros).
c) Por la
comisión de infracciones leves, se impondrá al infractor una
multa por importe de hasta 2.000.000 de pesetas (12.020,23 euros).
2. Las
infracciones graves y muy graves podrán llevar aparejada la
publicación de la resolución sancionadora en el "Boletín
Oficial del Estado" y en dos periódicos de difusión nacional, una
vez que aquélla tenga carácter firme.
3. La
cuantía de las multas que se impongan, dentro de los límites
indicados, se graduará teniendo en cuenta, además de lo previsto
en el artículo 131.3 de la Ley 30/1992, lo siguiente:
a) La gravedad
de las infracciones cometidas anteriormente por el sujeto al que se
sanciona.
b) La
repercusión social de las infracciones.
c) El
daño causado, siempre que no haya sido tomado en consideración
para calificar la infracción como leve, grave o muy grave.
d) El
beneficio que haya reportado al infractor el hecho objeto de la
infracción.
4. Se
anotarán en el Registro de Prestadores de Servicios de
Certificación las sanciones impuestas por resolución firme a
éstos por la comisión de cualquier infracción grave o muy
grave. Las notas relativas a las sanciones se cancelarán una vez
transcurridos los plazos de prescripción de las sanciones
administrativas previstos en la Ley reguladora del procedimiento administrativo
común.
5. Las
cuantías señaladas en este artículo serán
actualizadas periódicamente por el Gobierno, mediante Real Decreto,
teniendo en cuenta la variación de los índices de precios al
consumo.
Artículo 27. Medidas cautelares.
En los
procedimientos sancionadores por infracciones graves o muy graves se
podrán adoptar, con arreglo a la Ley 30/1992, de 26 de noviembre, las
medidas cautelares que se estimen necesarias para asegurar la eficacia de la
resolución que definitivamente se dicte. Estas medidas podrán
consistir en la orden de cese temporal de la actividad del prestador de
servicios de certificación, en la suspensión de la vigencia de
los certificados por él expedidos o en la adopción de otras
cautelas que se estimen precisas. En todo caso, se respetará el
principio de proporcionalidad de la medida a adoptar con los objetivos que se
pretendan alcanzar en cada supuesto.
Artículo 28. Procedimiento sancionador.
1. El
ejercicio de la potestad sancionadora atribuida por este Real Decreto-ley
corresponde a la Secretaría General de Comunicaciones del Ministerio de
Fomento. Para ello, la Secretaría General de Comunicaciones se
sujetará al procedimiento aplicable, con carácter general, al
ejercicio de la potestad sancionadora por las Administraciones
públicas.
2. El
Ministerio de Justicia y los demás órganos que ejercen
competencias con arreglo a este Real Decreto-ley y sus normas de desarrollo
podrán instar la incoación de un procedimiento sancionador,
mediante petición razonada dirigida a la Secretaría General de
Comunicaciones
DISPOSICION
TRANSITORIA UNICA
Prestadores de
servicios de certificación establecidos en España antes de la
entrada en vigor de este Real Decreto-ley.
Los
prestadores de servicios de certificación ya establecidos en
España y cuya actividad se rija por una normativa específica
habrán de adaptarse a este Real Decreto-ley en el plazo de un año
desde su entrada en vigor.
No obstante
conservarán su validez los certificados ya expedidos que hayan surtido
efectos.
DISPOSICIONES
FINALES
Primera.
Fundamento constitucional.
Este Real
Decreto-ley se dicta al amparo del artículo 149.1.8.ª, 18.ª y
21.ª de la Constitución, que atribuye competencia exclusiva al
Estado en materia de legislación civil, de bases del régimen
jurídico de las Administraciones Públicas y de
telecomunicaciones.
Segunda.
Habilitación al Gobierno.
Se habilita al
Gobierno para desarrollar, mediante Reglamento, lo previsto en este Real
Decreto-ley.
Tercera.
Entrada en vigor.
El presente
Real Decreto-ley entrará en vigor el día siguiente al de su
publicación en el "Boletín Oficial del Estado".
Dado en Madrid a 17 de septiembre de
1999.
JUAN CARLOS R.
El Presidente
del Gobierno,
JOSE MARIA AZNAR
LOPEZ
|