REAL DECRETO-LEY 14/1999, de 17 de septiembre, sobre firma
electrónica.
En la sesión del Consejo de Ministros de
Telecomunicaciones de la Unión Europea, celebrada el 22 de abril de 1999, se ha informado
favorablemente la adopción de una posición común, respecto del proyecto de Directiva
del Parlamento Europeo y del Consejo por la que se establece un marco común para la firma
electrónica.
El Estado español ha tenido una
participación activa en el logro de la posición común que facilita la tramitación del
texto, al recoger éste los elementos suficientes para proteger la seguridad y la
integridad de las comunicaciones telemáticas en las que se emplee la firma electrónica.
En ese sentido, existen ya en España diversas normas sobre la presentación de la
declaración del Impuesto sobre la Renta de las Personas Físicas por medios telemáticos,
dictadas por la Administración tributaria. La Comisión Nacional del Mercado de Valores,
por su parte, ha aprobado y puesto en marcha un sistema de cifrado y firma electrónica
que se emplea para la recepción de información de las entidades supervisadas. Asimismo,
el artículo 81 de la Ley 66/1997, de 30 de diciembre, de Medidas Fiscales,
Administrativas y de Orden Social, anuncia la posibilidad de prestar, por la Fábrica
Nacional de Moneda y Timbre-Real Casa de la Moneda, los servicios técnicos y
administrativos necesarios para garantizar la seguridad, la validez y la eficacia de la
emisión y recepción de comunicaciones, a través de técnicas y medios electrónicos,
informáticos y telemáticos. La Fábrica Nacional de la Moneda y Timbre-Real Casa de la
Moneda actuará en colaboración con Correos y Telégrafos.
En el proyecto de Directiva se
incorpora, a solicitud del Estado español, una novedad, recogida en el apartado c) del
anexo II, entre los requisitos exigibles a los prestadores de servicios de certificación
que expidan certificados reconocidos. Esta novedad consiste en permitir que la
certificación pueda recoger la fecha y la hora en la que se produce la actuación
certificante.
Existe, además, en España un
sector empresarial que podría prestar un servicio de certificación de la firma
electrónica con suficiente calidad. Se considera que debe introducirse, cuanto antes, la
disciplina que permita utilizar, con la adecuada seguridad jurídica, este medio
tecnológico que contribuye al desarrollo de lo que se ha venido en denominar, en la
Unión Europea, la sociedad de la información. La urgencia de la aprobación de esta
norma deriva, también, del deseo de dar, a los usuarios de los nuevos servicios,
elementos de confianza en los sistemas, permitiendo su introducción y rápida difusión.
Por ello, este Real Decreto-ley
persigue, respetando el contenido de la posición común respecto de la Directiva sobre
firma electrónica, establecer una regulación clara del uso de ésta, atribuyéndole
eficacia jurídica y previendo el régimen aplicable a los prestadores de servicios de
certificación. De igual modo, este Real Decreto ley determina el registro en el que
habrán de inscribirse los prestadores de servicios de certificación y el régimen de
inspección administrativa de su actividad, regula la expedición y la pérdida de
eficacia de los certificados y tipifica las infracciones y las sanciones que se prevén
para garantizar su cumplimiento.
La presente disposición ha sido
sometida al procedimiento de información en materia de normas y reglamentaciones
técnicas previsto en la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 22
de junio de 1998, modificada por la Directiva 98/48/CE, del Parlamento Europeo y del
Consejo, de 20 de julio de 1998, y en el Real Decreto 1337/1999, de 31 de julio.
En su virtud, a propuesta del
Ministro de Fomento, de la Ministra de Justicia y del Ministro de Industria y Energía,
previo informe del Consejo General del Poder Judicial y de la Agencia de Protección de
Datos, tras la deliberación del Consejo de Ministros, en su reunión celebrada el día 17
de septiembre de 1999, y en uso de la autorización concedida en el artículo 86 de la
Constitución,
DISPONGO:
TITULO PRIMERO
Disposiciones generales
CAPITULO UNICO
Artículo 1. Ambito de
aplicación.
1. Este Real Decreto-ley regula
el uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la
prestación al público de servicios de certificación. Las normas sobre esta actividad
son de aplicación a los prestadores de servicios establecidos en España.
2. Las disposiciones contenidas
en este Real Decreto-ley no alteran las normas relativas a la celebración, la
formalización, la validez y la eficacia de los contratos y otros actos jurídicos ni al
régimen jurídico aplicable a las obligaciones.
Las normas sobre la prestación
de servicios de certificación de firma electrónica que recoge este Real Decreto-ley no
sustituyen ni modifican las que regulan las funciones que corresponde realizar a las
personas facultadas, con arreglo a derecho, para dar fe de la firma en documentos o para
intervenir en su elevación a públicos.
Artículo 2. Definiciones.
A los efectos de este Real
Decreto-ley, se establecen las siguientes definiciones:
a) "Firma
electrónica": Es el conjunto de datos, en forma electrónica, anejos a otros datos
electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar
formalmente al autor o a los autores del documento que la recoge.
b) "Firma electrónica
avanzada": Es la firma electrónica que permite la identificación del signatario y
ha sido creada por medios que éste mantiene bajo su exclusivo control, de manera que
está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite
que sea detectable cualquier modificación ulterior de éstos.
c) "Signatario": Es la
persona física que cuenta con un dispositivo de creación de firma y que actúa en nombre
propio o en el de una persona física o jurídica a la que representa.
d) "Datos de creación de
firma": Son los datos únicos, como códigos o claves criptográficas privadas, que
el signatario utiliza para crear la firma electrónica.
e) "Dispositivo de creación
de firma": Es un programa o un aparato informático que sirve para aplicar los datos
de creación de firma.
f) "Dispositivo seguro de
creación de firma": Es un dispositivo de creación de firma que cumple los
requisitos establecidos en el artículo 19.
g) "Datos de verificación
de firma": Son los datos, como códigos o claves criptográficas públicas, que se
utilizan para verificar la firma electrónica.
h) "Dispositivo de
verificación de firma": Es un programa o un aparato informático que sirve para
aplicar los datos de verificación de firma.
i) "Certificado": Es la
certificación electrónica que vincula unos datos de verificación de firma a un
signatario y confirma su identidad.
j) "Certificado
reconocido": Es el certificado que contiene la información descrita en el artículo
8 y es expedido por un prestador de servicios de certificación que cumple los requisitos
enumerados en el artículo 12.
k) "Prestador de servicios
de certificación": Es la persona física o jurídica que expide certificados,
pudiendo prestar, además, otros servicios en relación con la firma electrónica.
l) "Producto de firma
electrónica": Es un programa o un aparato informático o sus componentes
específicos, destinados a ser utilizados para la prestación de servicios de firma
electrónica por el prestador de servicios de certificación o para la creación o
verificación de firma electrónica.
ll) "Acreditación
voluntaria del prestador de servicios de certificación": Resolución que establece
los derechos y obligaciones específicos para la prestación de servicios de
certificación y que se dicta, a petición del prestador al que le beneficie, por el
organismo público encargado de su supervisión.
Artículo 3. Efectos jurídicos
de la firma electrónica.
1. La firma electrónica
avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida
por un dispositivo seguro de creación de firma, tendrá, respecto de los datos
consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en
relación con los consignados en papel y será admisible como prueba en juicio,
valorándose ésta según los criterios de apreciación establecidos en las normas
procesales.
Se presumirá que la firma
electrónica avanzada reúne las condiciones necesarias para producir los efectos
indicados en este apartado, cuando el certificado reconocido en que se base haya sido
expedido por un prestador de servicios de certificación acreditado y el dispositivo
seguro de creación de firma con el que ésta se produzca se encuentre certificado, con
arreglo a lo establecido en el artículo 21.
2. A la firma electrónica que no
reúna todos los requisitos previstos en el apartado anterior, no se le negarán efectos
jurídicos ni será excluida como prueba en juicio, por el mero hecho de presentarse en
forma electrónica.
TITULO II
La prestación de servicios de
certificación
CAPITULO PRIMERO
Principios generales
Artículo 4. Régimen de libre
competencia.
1. La prestación de servicios de
certificación no está sujeta a autorización previa y se realiza en régimen de libre
competencia, sin que quepa establecer restricciones para los servicios de certificación
que procedan de alguno de los Estados miembros de la Unión Europea.
2. La prestación de los
servicios de certificación por las Administraciones o los organismos o sociedades de
ellas dependientes se realizará con la debida separación de cuentas y con arreglo a los
principios de objetividad, transparencia y no discriminación.
Artículo 5. Empleo de la firma
electrónica por las Administraciones públicas.
1. Se podrá supeditar por la
normativa estatal o, en su caso, autonómica el uso de la firma electrónica en el seno de
las Administraciones públicas y sus entes públicos y en las relaciones que con
cualesquiera de ellos mantengan los particulares, a las condiciones adicionales que se
consideren necesarias, para salvaguardar las garantías de cada procedimiento.
Las condiciones adicionales que
se establezcan podrán incluir la prestación de un servicio de consignación de fecha y
hora, respecto de los documentos electrónicos integrados en un expediente administrativo.
El citado servicio consistirá en la acreditación por el prestador de servicios de
certificación, o por un tercero, de la fecha y hora en que un documento electrónico es
enviado por el signatario o recibido por el destinatario.
Las normas estatales que regulen
las condiciones adicionales sobre el uso de la firma electrónica a las que se refiere
este apartado sólo podrán hacer referencia a las características específicas de la
aplicación de que se trate y se dictarán a propuesta del Ministerio de Administraciones
Públicas y previo informe del Consejo Superior de Informática.
2. Las condiciones adicionales a
las que se refiere el apartado anterior deberán garantizar el cumplimiento de lo previsto
en el artículo 45 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común, serán objetivas,
razonables y no discriminatorias y no obstaculizarán la prestación de servicios al
ciudadano, cuando en ella intervengan distintas Administraciones públicas nacionales o
extranjeras.
3. Podrá someterse a un régimen
específico, la utilización de la firma electrónica en las comunicaciones que afecten a
la información clasificada, a la seguridad pública o a la defensa. Asimismo, el Ministro
de Economía y Hacienda, respetando las condiciones previstas en este Real Decreto-ley,
podrá establecer un régimen normativo destinado a garantizar el cumplimiento de las
obligaciones tributarias, determinando, respecto de la gestión de los tributos, la
posibilidad de que el signatario sea una persona física o una persona jurídica.
Artículo 6. Sistemas de
acreditación de prestadores de servicios de certificación y de certificación de
productos de firma electrónica.
1. El Gobierno, por Real Decreto,
podrá establecer sistemas voluntarios de acreditación de los prestadores de servicios de
certificación de firma electrónica, determinando, para ello, un régimen que permita
lograr el adecuado grado de seguridad y proteger, debidamente, los derechos de los
usuarios.
2. Las funciones de
certificación a las que se refiere este Real Decreto-ley serán ejercidas por los
órganos, en cada caso competentes, referidos en la Ley 11/1998, de 24 de abril, General
de Telecomunicaciones; en la Ley 21/1992, de 16 de julio, de Industria, y en la demás
legislación vigente sobre la materia. El Real Decreto al que se refiere el apartado 1
establecerá las condiciones que permitan coordinar los sistemas de certificación.
3. Las normas que regulen los
sistemas de acreditación y de certificación deberán ser objetivas, razonables y no
discriminatorias. Todos los prestadores de servicios que se sometan voluntariamente a
ellos, podrán obtener la correspondiente acreditación de su actividad o, en su caso, la
certificación del producto de firma electrónica que empleen.
4. Los órganos competentes para
el ejercicio de las funciones a que se refiere el apartado anterior valorarán los
informes técnicos que emitan las entidades de evaluación sobre los prestadores de
servicios que hayan solicitado su acreditación o los productos para los que se haya
pedido certificación. También tomarán en cuenta el cumplimiento, por el prestador de
servicios, de los requisitos que se determinen reglamentariamente para poder ser
acreditado.
5. A los efectos de este Real
Decreto-ley, sólo podrán actuar como entidades de evaluación aquellas que hayan sido
acreditadas por el organismo independiente al que se haya atribuido esta facultad por el
Real Decreto al que se refiere el apartado primero de este artículo.
Artículo 7. Registro de
Prestadores de Servicios de Certificación.
1. Se crea, en el Ministerio de
Justicia, el Registro de Prestadores de Servicios de Certificación, en el que deberán
solicitar su inscripción, con carácter previo al inicio de su actividad, todos los
establecidos en España. Su regulación se desarrollará por Real Decreto.
2. La solicitud de inscripción
habrá de formularse, aportando la documentación que se establezca reglamentariamente, a
efectos de la identificación del prestador de servicios de certificación y de justificar
que éste reúne los requisitos necesarios, en cada caso, para ejercer su actividad.
También será objeto de inscripción ulterior cualquier circunstancia relevante, a
efectos de este Real Decreto-ley, relativa al prestador de servicios de certificación,
como su acreditación o estar en condiciones de expedir certificados reconocidos.
La formulación de la solicitud
de inscripción en el Registro por los citados prestadores de servicios, les permitirá
iniciar o continuar su actividad, sin perjuicio de la aplicación, en su caso, del
régimen sancionador correspondiente.
3. El Registro de Prestadores de
Servicios de Certificación será público y deberá mantener permanentemente actualizada
y a disposición de cualquier persona una relación de los inscritos, en la que figurarán
su nombre o razón social, la dirección de su página en Internet o de correo
electrónico, los datos de verificación de su firma electrónica y, en su caso, su
condición de acreditado o de tener la posibilidad de expedir certificados reconocidos. En
la citada relación figurarán, también, cualesquiera otros datos complementarios que se
determinen por Real Decreto.
Los datos inscritos en el
Registro podrán ser consultados por vía telemática o a través de la oportuna
certificación registral. El suministro de esta información podrá sujetarse al pago de
una tasa, cuyos elementos esenciales se determinarán por ley.
CAPITULO II
Certificados
Artículo 8. Requisitos para la
existencia de un certificado reconocido.
1. Los certificados reconocidos,
definidos en el artículo 2 j) de este Real Decreto-ley, tendrán el siguiente contenido:
a) La indicación de que se
expiden como tales.
b) El código identificativo
único del certificado.
c) La identificación del
prestador de servicios de certificación que expide el certificado, indicando su nombre o
razón social, su domicilio, su dirección de correo electrónico, su número de
identificación fiscal y, en su caso, sus datos de identificación registral.
d) La firma electrónica avanzada
del prestador de servicios de certificación que expide el certificado.
e) La identificación del
signatario, por su nombre y apellidos o a través de un seudónimo que conste como tal de
manera inequívoca. Se podrá consignar en el certificado cualquier otra circunstancia
personal del titular, en caso de que sea significativa en función del fin propio del
certificado y siempre que aquél dé su consentimiento.
f) En los supuestos de
representación, la indicación del documento que acredite las facultades del signatario
para actuar en nombre de la persona física o jurídica a la que represente.
g) Los datos de verificación de
firma que correspondan a los datos de creación de firma que se encuentren bajo el control
del signatario.
h) El comienzo y el fin del
período de validez del certificado.
i) Los límites de uso del
certificado, si se prevén.
j) Los límites del valor de las
transacciones para las que puede utilizarse el certificado, si se establecen.
2. La consignación en el
certificado de cualquier otra información relativa al signatario, requerirá su
consentimiento expreso.
Artículo 9. Vigencia de los
certificados.
1. Los certificados de firma
electrónica quedarán sin efecto, si concurre alguna de las siguientes circunstancias:
a) Expiración del período de
validez del certificado.
Tratándose de certificados
reconocidos, éste no podrá ser superior a cuatro años, contados desde la fecha en que
se hayan expedido.
b) Revocación por el signatario,
por la persona física o jurídica representada por éste o por un tercero autorizado.
c) Pérdida o inutilización por
daños del soporte del certificado.
d) Utilización indebida por un
tercero.
e) Resolución judicial o
administrativa que lo ordene.
f) Fallecimiento del signatario o
de su representado, incapacidad sobrevenida, total o parcial, de cualquiera de ellos,
terminación de la representación o extinción de la persona jurídica representada.
g) Cese en su actividad del
prestador de servicios de certificación salvo que, previo consentimiento expreso del
signatario, los certificados expedidos por aquél sean transferidos a otro prestador de
servicios.
h) Inexactitudes graves en los
datos aportados por el signatario para la obtención del certificado.
2. La pérdida de eficacia de los
certificados, en los supuestos de expiración de su período de validez y de cese de
actividad del prestador de servicios, tendrá lugar desde que estas circunstancias se
produzcan. En los demás casos, la extinción de la eficacia de un certificado surtirá
efectos desde la fecha en que el prestador de servicios tenga conocimiento cierto de
cualquiera de los hechos determinantes de ella y así lo haga constar en su Registro de
certificados al que se refiere el artículo 11.e).
3. En cualquiera de los supuestos
indicados, el prestador de servicios de certificación, habrá de publicar la extinción
de eficacia del certificado en el Registro al que se refiere el artículo 11.e), y
responderá de los posibles perjuicios que se causen al signatario o a terceros de buena
fe, por el retraso en la publicación. Corresponderá al prestador de servicios la prueba
de que los terceros conocían las circunstancias invalidantes del certificado.
4. El prestador de servicios de
certificación podrá suspender, temporalmente, la eficacia de los certificados expedidos,
si así lo solicita el signatario o sus representados o lo ordena una autoridad judicial o
administrativa. La suspensión surtirá efectos en la forma prevista en los dos apartados
anteriores.
Artículo 10. Equivalencia de
certificados.
Los certificados que los
prestadores de servicios de certificación establecidos en un Estado que no sea miembro de
la Unión Europea, de acuerdo con la legislación de éste, expidan como reconocidos, se
considerarán equivalentes a los expedidos por los establecidos en España, siempre que se
cumplan alguna de las siguientes condiciones:
a) Que el prestador de servicios
reúna los requisitos establecidos en la normativa comunitaria sobre firma electrónica y
haya sido acreditado, conforme a un sistema voluntario establecido en un Estado miembro de
la Unión Europea.
b) Que el certificado esté
garantizado por un prestador de servicios de la Unión Europea que cumpla los requisitos
establecidos en la normativa comunitaria sobre firma electrónica.
c) Que el certificado o el
prestador de servicios estén reconocidos en virtud de un acuerdo bilateral o multilateral
entre la Comunidad Europea y terceros países u organizaciones internacionales.
CAPITULO III
Condiciones exigibles a los
prestadores de servicios de certificación
Artículo 11. Obligaciones de los
prestadores de servicios de certificación.
Todos los prestadores de
servicios de certificación deben cumplir las siguientes obligaciones:
a) Comprobar por sí o por medio
de una persona física o jurídica que actúe en nombre y por cuenta suyos, la identidad y
cualesquiera circunstancias personales de los solicitantes de los certificados relevantes
para el fin propio de éstos, utilizando cualquiera de los medios admitidos en derecho. Se
exceptúan de esta obligación, los prestadores de servicios de certificación que,
expidiendo certificados que no tengan la consideración de reconocidos, se limiten a
constatar determinadas circunstancias específicas de los solicitantes de aquéllos.
b) Poner a disposición del
signatario los dispositivos de creación y de verificación de firma electrónica.
c) No almacenar ni copiar los
datos de creación de firma de la persona a la que hayan prestado sus servicios, salvo que
ésta lo solicite.
d) Informar, antes de la emisión
de un certificado, a la persona que solicite sus servicios, de su precio, de las
condiciones precisas para la utilización del certificado, de sus limitaciones de uso y de
la forma en que garantiza su posible responsabilidad patrimonial.
e) Mantener un registro de
certificados, en el que quedará constancia de los emitidos y figurarán las
circunstancias que afecten a la suspensión o perdida de vigencia de sus efectos. A dicho
registro podrá accederse por medios telemáticos y su contenido estará a disposición de
las personas que lo soliciten, cuando así lo autorice el signatario.
f) En el caso de cesar en su
actividad, los prestadores de servicios de certificación deberán comunicarlo con la
antelación indicada en el apartado 1 del artículo 13, a los titulares de los
certificados por ellos emitidos y, si estuvieran inscritos en él, al Registro de
Prestadores de Servicios del Ministerio de Justicia.
g) Solicitar la inscripción en
el Registro de Prestadores de Servicios de Certificación.
h) Cumplir las demás normas
previstas, respecto de ellos, en este Real Decreto-ley y en sus normas de desarrollo.
Artículo 12. Obligaciones
exigibles a los prestadores de servicios de certificación que expidan certificados
reconocidos.
Además de cumplir las
obligaciones establecidas en los artículos 7 y 11, los prestadores de servicios de
certificación que expidan certificados reconocidos, han de cumplir las siguientes:
a) Indicar la fecha y la hora en
las que se expidió o se dejó sin efecto un certificado.
b) Demostrar la fiabilidad
necesaria de sus servicios.
c) Garantizar la rapidez y la
seguridad en la prestación del servicio. En concreto, deberán permitir la utilización
de un servicio rápido y seguro de consulta del Registro de certificados emitidos y
habrán de asegurar la extinción o suspensión de la eficacia de éstos de forma segura e
inmediata.
d) Emplear personal cualificado y
con la experiencia necesaria para la prestación de los servicios ofrecidos, en el ámbito
de la firma electrónica y los procedimientos de seguridad y de gestión adecuados.
e) Utilizar sistemas y productos
fiables que estén protegidos contra toda alteración y que garanticen la seguridad
técnica y, en su caso, criptográfica de los procesos de certificación a los que sirven
de soporte.
f) Tomar medidas contra la
falsificación de certificados y, en el caso de que el prestador de servicios de
certificación genere datos de creación de firma, garantizar su confidencialidad durante
el proceso de generación.
g) Disponer de los recursos
económicos suficientes para operar de conformidad con lo dispuesto en este Real
Decreto-ley y, en particular, para afrontar el riesgo de la responsabilidad por daños y
perjuicios. Para ello, habrán de garantizar su responsabilidad frente a los usuarios de
sus servicios y terceros afectados por éstos. La garantía a constituir podrá consistir
en un afianzamiento mercantil prestado por una entidad de crédito o en un seguro de
caución.
Inicialmente, la garantía
cubrirá, al menos, el 4 por 100 de la suma de los importes límite de las transacciones
en que puedan emplearse el conjunto de los certificados que emita cada prestador de
servicios de certificación. Teniendo en cuenta la evolución del mercado, el Gobierno,
por Real Decreto, podrá reducir el citado porcentaje, hasta el 2 por 100.
En caso de que no se limite el
importe de las transacciones en las que puedan emplearse al conjunto de los certificados
que emita el prestador de servicios de certificación, la garantía a constituir,
cubrirá, al menos, su responsabilidad por un importe de 1.000.000.000 de pesetas
(6.010.121,04 euros). El Gobierno, por Real Decreto, podrá modificar el referido importe.
h) Conservar registrada toda la
información y documentación relativa a un certificado reconocido durante quince años.
Esta actividad de registro podrá realizarse por medios electrónicos.
i) Antes de expedir un
certificado, informar al solicitante sobre el precio y las condiciones precisas de
utilización del certificado. Dicha información, deberá incluir posibles límites de
uso, la acreditación del prestador de servicios y los procedimientos de reclamación y de
resolución de litigios previstos en las leyes y deberá ser fácilmente comprensible.
Estará también a disposición de terceros interesados y se incorporará a un documento
que se entregará a quien lo solicite. Para comunicar esta información, podrán
utilizarse medios electrónicos si el signatario o los terceros interesados lo admiten.
j) Utilizar sistemas fiables para
almacenar certificados, de modo tal que:
1. Sólo personas autorizadas
puedan consultarlos, si éstos únicamente están disponibles para verificación de firmas
electrónicas.
2. Unicamente personas
autorizadas puedan hacer en ellos anotaciones y modificaciones.
3. Pueda comprobarse la
autenticidad de la información.
4. El signatario o la persona
autorizada para acceder a los certificados, pueda detectar todos los cambios técnicos que
afecten a los requisitos de seguridad mencionados.
k) Informar a cualesquiera
usuarios de sus servicios de los criterios que se comprometen a seguir, respetando este
Real Decreto-ley y sus disposiciones de desarrollo, en el ejercicio de su actividad.
Artículo 13. Cese de la
actividad.
1. El prestador de servicios de
certificación que vaya a cesar en su actividad, deberá comunicarlo a los titulares de
los certificados por él expedidos y transferir, con su consentimiento expreso, los que
sigan siendo válidos en la fecha en que el cese se produzca a otro prestador de servicios
que los asuma o dejarlos sin efecto. La citada comunicación se llevará a cabo con una
antelación mínima de dos meses al cese efectivo de la actividad.
2. Si el prestador de servicios
estuviere inscrito en el Registro de Prestadores de Servicios de Certificación del
Ministerio de Justicia, deberá comunicar a éste, con la antelación indicada en el
anterior apartado, el cese de su actividad, y el destino que vaya a dar a los certificados
especificando, en su caso, si los va a transferir y a quién o si los dejará sin efecto.
Igualmente, indicará cualquier otra circunstancia relevante, que pueda impedir la
continuación de su actividad. En especial, deberá comunicar, en cuanto tenga
conocimiento de ello, la apertura de un procedimiento de quiebra o suspensión de pagos
respecto de él.
3. La inscripción del prestador
de servicios de certificación en el Registro de Prestadores de Servicios de
Certificación será cancelada, de oficio, por el Ministerio de Justicia, cuando aquél
cese en su actividad. El Ministerio de Justicia se hará cargo de la información relativa
a los certificados que se hubieren dejado sin efecto por el prestador de servicios de
certificación, a efectos de lo previsto en el artículo 12.h).
Artículo 14. Responsabilidad de
los prestadores de servicios de certificación.
1. Los prestadores de servicios
de certificación responderán por los daños y perjuicios que causen a cualquier persona,
en el ejercicio de su actividad, cuando incumplan las obligaciones que les impone este
Real Decreto-ley o actúen con negligencia. En todo caso, corresponderá al prestador de
servicios demostrar que actuó con la debida diligencia.
2. El prestador de servicios de
certificación sólo responderá de los daños y perjuicios causados por el uso indebido
del certificado reconocido, cuando no haya consignado en él, de forma claramente
reconocible por terceros, el límite en cuanto a su posible uso o al importe del valor de
las transacciones válidas que pueden realizarse empleándolo.
3. La responsabilidad será
exigible conforme a las normas generales sobre la culpa contractual o extracontractual,
según proceda, con las especialidades previstas en este artículo. Cuando la garantía
que, en su caso, hubieran constituido los prestadores de servicios de certificación no
sea suficiente para satisfacer la indemnización debida, responderán de la deuda, con
todos sus bienes presentes y futuros.
4. Lo dispuesto en este
artículo, se entiende sin perjuicio de lo establecido en la legislación sobre
protección de los consumidores y usuarios.
Artículo 15. Protección de los
datos personales.
1. El tratamiento de los datos
personales que precisen los prestadores de servicios de certificación para el desarrollo
de su actividad y el que se realice en el Registro de Prestadores de Servicios de
Certificación al que se refiere este Real Decreto-ley, se sujetan a lo dispuesto en la
Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los
Datos de Carácter Personal, y en las disposiciones dictadas en su desarrollo. El mismo
régimen será de aplicación a los datos personales que se conozcan en el órgano que, en
el ejercicio de sus funciones, supervisa la actuación de los prestadores de servicios de
certificación y el competente en materia de acreditación.
2. Los prestadores de servicios
de certificación que expidan certificados a los usuarios, únicamente pueden recabar
datos personales directamente de los titulares de los mismos o con su consentimiento
explícito. Los datos requeridos serán, exclusivamente, los necesarios para la
expedición y el mantenimiento del certificado.
3. Los prestadores de servicios
de certificación que hayan consignado un seudónimo en el certificado, a solicitud del
signatario, deberán constatar su verdadera identidad y conservar la documentación que la
acredite. Dichos prestadores de servicios estarán obligados a revelar la identidad de los
titulares de certificados cuando lo soliciten los órganos judiciales en el ejercicio de
las funciones que tienen atribuidas y en los demás supuestos previstos en el artículo
11.2 de la Ley Orgánica 5/1992, de 29 de octubre. Ello se entiende sin perjuicio de lo
que, en la legislación específica en materia tributaria, de defensa de la competencia y
de seguridad pública, se disponga sobre la identificación de las personas.
En todo caso, se estará a lo
previsto en las normas sobre protección de datos indicadas en el apartado 1 de este
artículo.
CAPITULO IV
Inspección y control de la
actividad de los prestadores de servicios de certificación
Artículo 16. Supervisión y
control.
1. El Ministerio de Fomento
controlará, a través de la Secretaría General de Comunicaciones, el cumplimiento, por
los prestadores de servicios de certificación que expidan al público certificados
reconocidos, de las obligaciones establecidas en este Real Decreto-ley y en sus
disposiciones de desarrollo. Asimismo, vigilará el cumplimiento, por los prestadores de
servicios de certificación que no expidan certificados reconocidos, de las obligaciones
establecidas en el artículo 11.
2. En el ejercicio de su
actividad de control, la Secretaría General de Comunicaciones actuará de oficio,
mediante petición razonada del Ministerio de Justicia o de otros órganos administrativos
o a instancia de persona interesada. Los funcionarios de la Secretaría General de
Comunicaciones adscritos a la Inspección de las Telecomunicaciones, a efectos de cumplir
las tareas de control, tendrán la consideración de autoridad pública.
3. Cuando, como consecuencia de
una actuación inspectora, se tuviera constancia de la contravención en el tratamiento de
datos, de lo dispuesto en el artículo 11.c), la Secretaría General de Comunicaciones
pondrá el hecho en conocimiento de la Agencia de Protección de Datos. Esta podrá, con
arreglo a la Ley Orgánica 5/1992, iniciar el oportuno procedimiento sancionador, con
arreglo a la legislación que regula su actividad.
Artículo 17. Deber de
colaboración.
Los prestadores de servicios de
certificación tienen la obligación de facilitar a la Secretaría General de
Comunicaciones toda la información y los medios precisos para el ejercicio de sus
funciones y la de permitir a sus agentes o al personal inspector el acceso a sus
instalaciones y la consulta de cualquier documentación relevante para la inspección de
que se trate, referida siempre a datos que conciernan al prestador de servicios.
Artículo 18. Resoluciones del
órgano de supervisión.
La Secretaría General de
Comunicaciones podrá ordenar a los prestadores de servicios de certificación la
adopción de las medidas apropiadas para exigirles que cumplan este Real Decreto-ley y sus
disposiciones de desarrollo.
TITULO III
Los dispositivos de firma
electrónica y la evaluación de su conformidad con la normativa aplicable
CAPITULO UNICO
Los dispositivos de firma
electrónica y la evaluación de su conformidad con la normativa aplicable
Artículo 19. Dispositivos
seguros de creación de firma electrónica.
A efectos del artículo 2 f),
para que se entienda que el dispositivo de creación de una firma electrónica es seguro,
se exige:
1.º Que garantice que los datos
utilizados para la generación de firma puedan producirse sólo una vez y que asegure,
razonablemente, su secreto.
2.º Que exista seguridad
razonable de que dichos datos no puedan ser derivados de los de verificación de firma o
de la propia firma y de que la firma no pueda ser falsificada con la tecnología existente
en cada momento.
3.º Que los datos de creación
de firma puedan ser protegidos fiablemente por el signatario contra la utilización por
otros.
4.º Que el dispositivo utilizado
no altere los datos o el documento que deba firmarse ni impida que éste se muestre al
signatario antes del proceso de firma.
Artículo 20. Normas técnicas.
1. Se presumirá que los
productos de firma electrónica que se ajusten a las normas técnicas cuyos números de
referencia hayan sido publicados en el "Diario Oficial de las Comunidades
Europeas" son conformes con lo previsto en la letra e) del artículo 12 y en el
artículo 19.
2. Sin perjuicio de esta
presunción, los números de referencia de esas normas se publicarán en el "Boletín
Oficial del Estado".
Artículo 21. Evaluación de la
conformidad con la normativa aplicable de los dispositivos seguros de creación de firma
electrónica.
1. Los órganos de certificación
a los que se refiere el artículo 6 podrán certificar los dispositivos seguros de
creación de firma electrónica, previa valoración de los informes técnicos emitidos
sobre los mismos, por entidades de evaluación acreditadas.
En la evaluación del
cumplimiento de los requisitos previstos en el artículo 19, las entidades de evaluación
podrán aplicar las normas técnicas respecto de los productos de firma electrónica a las
que se refiere el artículo anterior u otras que determinen los órganos de acreditación
y de certificación, y cuyas referencias se publiquen en el "Boletín Oficial del
Estado".
2. Se reconocerá eficacia a los
certificados sobre dispositivos seguros de creación de firma que hayan sido expedidos por
los organismos designados para ello por los Estados miembros de la Unión Europea, cuando
pongan de manifiesto que dichos dispositivos cumplen los requisitos contenidos en la
normativa comunitaria sobre firma electrónica.
Artículo 22. Dispositivos de
verificación de firma.
1. Los dispositivos de
verificación de firma electrónica avanzada deben garantizar lo siguiente:
1. Que la firma se verifica de
forma fiable y el resultado de esa verificación figura correctamente.
2. Que el verificador puede, en
caso necesario, establecer de forma fiable el contenido de los datos firmados y detectar
si han sido modificados.
3. Que figura correctamente la
identidad del signatario o, en su caso, consta claramente la utilización de un
seudónimo.
4. Que se verifica de forma
fiable el certificado.
5. Que puede detectarse cualquier
cambio relativo a su seguridad.
2. El Real Decreto al que se
refiere el artículo 6 podrá establecer los términos en los que las entidades de
evaluación y los órganos de certificación podrán evaluar y certificar,
respectivamente, el cumplimiento, por los dispositivos de verificación de firma
electrónica avanzada, de los requisitos establecidos en este artículo.
TITULO IV
Tasa por el reconocimiento de
acreditaciones y certificaciones
CAPITULO UNICO
Tasa por el reconocimiento de
acreditaciones y certificaciones
Artículo 23. Régimen aplicable
a la tasa.
1. La gestión precisa para el
reconocimiento de las acreditaciones y de las certificaciones con arreglo a los artículos
6, 21 y 22, por los órganos públicos competentes, se grava con una tasa, a la que se
aplicará el siguiente régimen:
a) Constituye el hecho imponible
el reconocimiento por dichos órganos de la acreditación de los prestadores de servicios
o de la certificación de los dispositivos de creación o de verificación de firma a que
se refieren los artículos 6, 21 y 22.
b) Es sujeto pasivo la persona
natural o jurídica que se beneficie del reconocimiento de la correspondiente
acreditación o certificación.
c) Su cuota es de 47.500 pesetas
(285,48 euros) por cada acreditación o certificación reconocida. Esta cantidad podrá
ser actualizada por Real Decreto.
d) Se devengará cuando se
presente la solicitud de reconocimiento de la correspondiente acreditación o
certificación.
2. La forma de liquidación de la
tasa se establecerá reglamentariamente.
TITULO V
Infracciones y sanciones
CAPITULO UNICO
Infracciones y sanciones
Artículo 24. Clasificación de
las infracciones.
Las infracciones de las normas
reguladoras de la firma electrónica y los servicios de certificación se clasifican en
muy graves, graves y leves.
Artículo 25. Infracciones.
1. Son infracciones muy graves:
a) El incumplimiento por los
prestadores de servicios de certificación que expidan certificados reconocidos de las
obligaciones establecidas en cualquiera de las letras del artículo 11, salvo la c), la g)
y la h).
b) El incumplimiento por los
prestadores de servicios de certificación que expidan certificados reconocidos de las
obligaciones impuestas en las letras c) a la j) del artículo 12, siempre que se causen
daños graves a los usuarios o a terceros o se afecte gravemente a la seguridad de los
servicios de certificación.
c) El incumplimiento grave y
reiterado por los prestadores de servicios de certificación de las resoluciones dictadas
por la Secretaría General de Comunicaciones, para asegurar el respeto a este Real
Decreto-ley.
2. Son infracciones graves:
a) El incumplimiento por los
prestadores de servicios de certificación que no expidan certificados reconocidos, de las
obligaciones impuestas en cualquiera de las letras del artículo 11, salvo la c), la g) y
la h), siempre que se causen daños graves a los usuarios o a terceros o se afecte
gravemente a la seguridad de los servicios de certificación.
b) El incumplimiento por los
prestadores de servicios de certificación que expidan certificados reconocidos de las
obligaciones previstas en las letras a), b), y k) del artículo 12.
c) El incumplimiento por los
prestadores de servicios de certificación que expidan certificados reconocidos de las
obligaciones contempladas en las letras c) a la j) del artículo 12, cuando no concurran
las circunstancias previstas en el apartado 1.b) de este artículo.
d) La falta de comunicación por
el prestador de servicios de certificación al Ministerio de Justicia, en los plazos
previstos en el artículo 13, del cese de su actividad o de la iniciación, respecto de
él, de un procedimiento de suspensión de pagos o de quiebra.
e) La resistencia, excusa o
negativa a la actuación inspectora de los órganos facultados para llevarla a cabo, con
arreglo a este Real Decreto-ley.
f) El incumplimiento de las
resoluciones dictadas por la Secretaría General de Comunicaciones para asegurar que el
prestador de servicios de certificación se ajuste a este Real Decreto-ley, cuando no deba
considerarse como infracción muy grave, conforme al apartado 1.c) de este artículo.
3. Son infracciones leves:
a) El incumplimiento por los
prestadores de servicios de certificación que no expidan certificados reconocidos de las
obligaciones establecidas en cualquiera de las letras del artículo 11, excepto la c),
cuando no deba considerarse como infracción grave, de acuerdo con lo previsto en el
apartado 2 a) de este artículo.
b) La expedición de certificados
reconocidos que incumplan alguno de los requisitos establecidos en el artículo 8.
c) No facilitar los datos
requeridos, en el ámbito de sus respectivas funciones, por el Ministerio de Justicia o la
Secretaría General de Comunicaciones para comprobar el cumplimiento de este Real
Decreto-ley por los prestadores de servicios de certificación.
d) Cualquier otro incumplimiento
de las obligaciones impuestas a los prestadores de servicios de certificación por este
Real Decreto-ley, salvo el de la recogida en el artículo 11.c) o que deba ser considerado
como infracción grave o muy grave, de acuerdo con lo dispuesto en los apartados
anteriores.
Artículo 26. Sanciones.
1. Por la comisión de
infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:
a) Por la comisión de
infracciones muy graves, se impondrá al infractor multa por importe no inferior al tanto,
ni superior al quíntuplo, del beneficio bruto obtenido como consecuencia de los actos u
omisiones en que consista la infracción o, en caso de que no resulte posible aplicar este
criterio o de su aplicación resultare una cantidad inferior a la mayor de las que a
continuación se indican, esta última constituirá el límite del importe de la sanción
pecuniaria. A estos efectos, se considerarán las siguientes cantidades: El 1 por 100 de
los ingresos brutos anuales obtenidos por la entidad infractora en el último ejercicio o,
en caso de inexistencia de éstos, en el ejercicio actual; el 5 por 100 de los fondos
totales, propios o ajenos, utilizados para la comisión de la infracción o 100.000.000 de
pesetas (601.012,10 euros).
La reiteración de dos o más
infracciones muy graves, en el plazo de cinco años, podrá dar lugar, en función de sus
circunstancias, a la sanción de prohibición de actuación en España durante un plazo
máximo de dos años. Cuando la resolución de imposición de esta sanción sea firme,
será comunicada al Registro de Prestadores de Servicios de Certificación para que
cancele la inscripción del prestador de servicios sancionado.
b) Por la comisión de
infracciones graves, se impondrá al infractor multa por importe de hasta el duplo del
beneficio bruto obtenido como consecuencia de los actos u omisiones que constituyan
aquéllas o, en caso de que no resulte aplicable este criterio o de su aplicación
resultare una cantidad inferior a la mayor de las que a continuación se indican, esta
última constituirá el límite del importe de la sanción pecuniaria. A estos efectos, se
considerarán las siguientes cantidades: El 0,5 por 100 de los ingresos brutos anuales
obtenidos por la entidad infractora en el último ejercicio o, en caso de inexistencia de
éstos, en el ejercicio actual; el 2 por 100 de los fondos totales, propios o ajenos,
utilizados para la comisión de la infracción o 50.000.000 de pesetas (300.506,04 euros).
c) Por la comisión de
infracciones leves, se impondrá al infractor una multa por importe de hasta 2.000.000 de
pesetas (12.020,23 euros).
2. Las infracciones graves y muy
graves podrán llevar aparejada la publicación de la resolución sancionadora en el
"Boletín Oficial del Estado" y en dos periódicos de difusión nacional, una
vez que aquélla tenga carácter firme.
3. La cuantía de las multas que
se impongan, dentro de los límites indicados, se graduará teniendo en cuenta, además de
lo previsto en el artículo 131.3 de la Ley 30/1992, lo siguiente:
a) La gravedad de las
infracciones cometidas anteriormente por el sujeto al que se sanciona.
b) La repercusión social de las
infracciones.
c) El daño causado, siempre que
no haya sido tomado en consideración para calificar la infracción como leve, grave o muy
grave.
d) El beneficio que haya
reportado al infractor el hecho objeto de la infracción.
4. Se anotarán en el Registro de
Prestadores de Servicios de Certificación las sanciones impuestas por resolución firme a
éstos por la comisión de cualquier infracción grave o muy grave. Las notas relativas a
las sanciones se cancelarán una vez transcurridos los plazos de prescripción de las
sanciones administrativas previstos en la Ley reguladora del procedimiento administrativo
común.
5. Las cuantías señaladas en
este artículo serán actualizadas periódicamente por el Gobierno, mediante Real Decreto,
teniendo en cuenta la variación de los índices de precios al consumo.
Artículo 27. Medidas cautelares.
En los procedimientos
sancionadores por infracciones graves o muy graves se podrán adoptar, con arreglo a la
Ley 30/1992, de 26 de noviembre, las medidas cautelares que se estimen necesarias para
asegurar la eficacia de la resolución que definitivamente se dicte. Estas medidas podrán
consistir en la orden de cese temporal de la actividad del prestador de servicios de
certificación, en la suspensión de la vigencia de los certificados por él expedidos o
en la adopción de otras cautelas que se estimen precisas. En todo caso, se respetará el
principio de proporcionalidad de la medida a adoptar con los objetivos que se pretendan
alcanzar en cada supuesto.
Artículo 28. Procedimiento
sancionador.
1. El ejercicio de la potestad
sancionadora atribuida por este Real Decreto-ley corresponde a la Secretaría General de
Comunicaciones del Ministerio de Fomento. Para ello, la Secretaría General de
Comunicaciones se sujetará al procedimiento aplicable, con carácter general, al
ejercicio de la potestad sancionadora por las Administraciones públicas.
2. El Ministerio de Justicia y
los demás órganos que ejercen competencias con arreglo a este Real Decreto-ley y sus
normas de desarrollo podrán instar la incoación de un procedimiento sancionador,
mediante petición razonada dirigida a la Secretaría General de Comunicaciones
DISPOSICION TRANSITORIA UNICA
Prestadores de servicios de
certificación establecidos en España antes de la entrada en vigor de este Real
Decreto-ley.
Los prestadores de servicios de
certificación ya establecidos en España y cuya actividad se rija por una normativa
específica habrán de adaptarse a este Real Decreto-ley en el plazo de un año desde su
entrada en vigor.
No obstante conservarán su
validez los certificados ya expedidos que hayan surtido efectos.
DISPOSICIONES FINALES
Primera. Fundamento
constitucional.
Este Real Decreto-ley se dicta al
amparo del artículo 149.1.8.ª, 18.ª y 21.ª de la Constitución, que atribuye
competencia exclusiva al Estado en materia de legislación civil, de bases del régimen
jurídico de las Administraciones Públicas y de telecomunicaciones.
Segunda. Habilitación al
Gobierno.
Se habilita al Gobierno para
desarrollar, mediante Reglamento, lo previsto en este Real Decreto-ley.
Tercera. Entrada en vigor.
El presente Real Decreto-ley
entrará en vigor el día siguiente al de su publicación en el "Boletín Oficial del
Estado".
Dado en Madrid a 17 de septiembre
de 1999.
JUAN CARLOS R.
El Presidente del Gobierno,
JOSE MARIA AZNAR LOPEZ |
