|
Ley 59/2003, de 19 de
diciembre, de firma electrónica
(BOE
núm. 304, de 20-12-2003, pp. 45329-45343)
JUAN CARLOS I
REY DE ESPAÑA
A todos los que la
presente vieren y entendieren.
Sabed: Que las Cortes
Generales han aprobado y Yo vengo en sancionar la siguiente ley.
EXPOSICIÓN DE MOTIVOS
I
El Real Decreto Ley
14/1999, de 17 de septiembre, sobre firma electrónica, fue aprobado con el
objetivo de fomentar la rápida incorporación de las nuevas tecnologías de
seguridad de las comunicaciones electrónicas en la actividad de las
empresas, los ciudadanos y las Administraciones públicas. De este modo, se
coadyuvaba a potenciar el crecimiento y la competitividad de la economía
española mediante el rápido establecimiento de un marco jurídico para la
utilización de una herramienta que aporta confianza en la realización de
transacciones electrónicas en redes abiertas como es el caso de Internet. El
citado real decreto ley incorporó al ordenamiento público español la
Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de
diciembre de 1999, por la que se establece un marco comunitario para la
firma electrónica, incluso antes de su promulgación y publicación en el
Diario Oficial de las Comunidades Europeas.
Tras su ratificación por
el Congreso de los Diputados, se acordó la tramitación del Real Decreto Ley
14/1999 como proyecto de ley, con el fin de someterlo a una más amplia
consulta pública y al posterior debate parlamentario para perfeccionar su
texto. No obstante, esta iniciativa decayó al expirar el mandato de las
Cámaras en marzo de 2000. Esta ley, por tanto, es el resultado del
compromiso asumido en la VI Legislatura, actualizando a la vez el marco
establecido en el Real Decreto Ley 14/1999 mediante la incorporación de las
modificaciones que aconseja la experiencia acumulada desde su entrada en
vigor tanto en nuestro país como en el ámbito internacional.
II
El desarrollo de la
sociedad de la información y la difusión de los efectos positivos que de
ella se derivan exige la generalización de la confianza de la ciudadanía en
las comunicaciones telemáticas. No obstante, los datos más recientes señalan
que aún existe desconfianza por parte de los intervinientes en las
transacciones telemáticas y, en general, en las comunicaciones que las
nuevas tecnologías permiten a la hora de transmitir información,
constituyendo esta falta de confianza un freno para el desarrollo de la
sociedad de la información, en particular, la Administración y el comercio
electrónicos.
Como respuesta a esta
necesidad de conferir seguridad a las comunicaciones por internet surge,
entre otros, la firma electrónica. La firma electrónica constituye un
instrumento capaz de permitir una comprobación de la procedencia y de la
integridad de los mensajes intercambiados a través de redes de
telecomunicaciones, ofreciendo las bases para evitar el repudio, si se
adoptan las medidas oportunas basándose en fechas electrónicas.
Los sujetos que hacen
posible el empleo de la firma electrónica son los denominados prestadores de
servicios de certificación. Para ello expiden certificados electrónicos, que
son documentos electrónicos que relacionan las herramientas de firma
electrónica en poder de cada usuario con su identidad personal, dándole así
a conocer en el ámbito telemático como firmante.
La ley obliga a los
prestadores de servicios de certificación a efectuar una tutela y gestión
permanente de los certificados electrónicos que expiden. Los detalles de
esta gestión deben recogerse en la llamada declaración de prácticas de
certificación, donde se especifican las condiciones aplicables a la
solicitud, expedición, uso, suspensión y extinción de la vigencia de los
certificados electrónicos. Además, estos prestadores están obligados a
mantener accesible un servicio de consulta sobre el estado de vigencia de
los certificados en el que debe indicarse de manera actualizada si éstos
están vigentes o si su vigencia ha sido suspendida o extinguida.
Asimismo, debe destacarse
que la ley define una clase particular de certificados electrónicos
denominados certificados reconocidos, que son los certificados electrónicos
que se han expedido cumpliendo requisitos cualificados en lo que se refiere
a su contenido, a los procedimientos de comprobación de la identidad del
firmante y a la fiabilidad y garantías de la actividad de certificación
electrónica.
Los certificados
reconocidos constituyen una pieza fundamental de la llamada firma
electrónica reconocida, que se define siguiendo las pautas impuestas en la
Directiva 1999/93/CE como la firma electrónica avanzada basada en un
certificado reconocido y generada mediante un dispositivo seguro de creación
de firma. A la firma electrónica reconocida le otorga la ley la equivalencia
funcional con la firma manuscrita respecto de los datos consignados en forma
electrónica.
Por otra parte, la ley
contiene las garantías que deben ser cumplidas por los dispositivos de
creación de firma para que puedan ser considerados como dispositivos seguros
y conformar así una firma electrónica reconocida.
La certificación técnica
de los dispositivos seguros de creación de firma electrónica se basa en el
marco establecido por la Ley 21/1992, de 16 de julio, de Industria y en sus
disposiciones de desarrollo. Para esta certificación se utilizarán las
normas técnicas publicadas a tales efectos en el «Diario Oficial de las
Comunidades Europeas» o, excepcionalmente, las aprobadas por el Ministerio
de Ciencia y Tecnología.
Adicionalmente, la ley
establece un marco de obligaciones aplicables a los prestadores de servicios
de certificación, en función de si éstos emiten certificados reconocidos o
no, y determina su régimen de responsabilidad, teniendo en cuenta los
deberes de diligencia que incumben a los firmantes y a los terceros
destinatarios de documentos firmados electrónicamente.
III
Esta ley se promulga para
reforzar el marco jurídico existente incorporando a su texto algunas
novedades respecto del Real Decreto Ley 14/1999 que contribuirán a dinamizar
el mercado de la prestación de servicios de certificación.
Así, se revisa la
terminología, se modifica la sistemática y se simplifica el texto
facilitando su comprensión y dotándolo de una estructura más acorde con
nuestra técnica legislativa.
Una de las novedades que
la ley ofrece respecto del Real Decreto Ley 14/1999, es la denominación como
firma electrónica reconocida de la firma electrónica que se equipara
funcionalmente a la firma manuscrita. Se trata simplemente de la creación de
un concepto nuevo demandado por el sector, sin que ello implique
modificación alguna de los requisitos sustantivos que tanto la Directiva
1999/93/CE como el propio Real Decreto Ley 14/1999 venían exigiendo. Con
ello se aclara que no basta con la firma electrónica avanzada para la
equiparación con la firma manuscrita; es preciso que la firma electrónica
avanzada esté basada en un certificado reconocido y haya sido creada por un
dispositivo seguro de creación.
Asimismo, es de destacar
de manera particular, la eliminación del registro de prestadores de
servicios de certificación, que ha dado paso al establecimiento de un mero
servicio de difusión de información sobre los prestadores que operan en el
mercado, las certificaciones de calidad y las características de los
productos y servicios con que cuentan para el desarrollo de su actividad.
Por otra parte, la ley
modifica el concepto de certificación de prestadores de servicios de
certificación para otorgarle mayor grado de libertad y dar un mayor
protagonismo a la participación del sector privado en los sistemas de
certificación y eliminando las presunciones legales asociadas a la misma,
adaptándose de manera más precisa a lo establecido en la directiva. Así, se
favorece la autorregulación de la industria, de manera que sea ésta quien
diseñe y gestione, de acuerdo con sus propias necesidades, sistemas
voluntarios de acreditación destinados a mejorar los niveles técnicos y de
calidad en la prestación de servicios de certificación. El nuevo régimen
nace desde el convencimiento de que los sellos de calidad son un instrumento
eficaz para convencer a los usuarios de las ventajas de los productos y
servicios de certificación electrónica, resultando imprescindible facilitar
y agilizar la obtención de estos símbolos externos para quienes los ofrecen
al público. Si bien se recogen fielmente en la ley los conceptos de
«acreditación» de prestadores de servicios de certificación y de
«conformidad» de los dispositivos seguros de creación de firma electrónica
contenidos en la directiva, la terminología se ha adaptado a la más
comúnmente empleada y conocida recogida en la Ley 21/1992, de 16 de julio,
de Industria.
Otra modificación
relevante es que la ley clarifica la obligación de constitución de una
garantía económica por parte de los prestadores de servicios de
certificación que emitan certificados reconocidos, estableciendo una cuantía
mínima única de tres millones de euros, flexibilizando además la combinación
de los diferentes instrumentos para constituir la garantía.
Por otra parte, dado que
la prestación de servicios de certificación no está sujeta a autorización
previa, resulta importante destacar que la ley refuerza las capacidades de
inspección y control del Ministerio de Ciencia y Tecnología, señalando que
este departamento podrá ser asistido de entidades independientes y
técnicamente cualificadas para efectuar las labores de supervisión y control
sobre los prestadores de servicios de certificación.
También ha de destacarse
la regulación que la ley contiene respecto del documento nacional de
identidad electrónico, que se erige en un certificado electrónico reconocido
llamado a generalizar el uso de instrumentos seguros de comunicación
electrónica capaces de conferir la misma integridad y autenticidad que la
que actualmente rodea las comunicaciones a través de medios físicos. La ley
se limita a fijar el marco normativo básico del nuevo DNI electrónico
poniendo de manifiesto sus dos notas más características —acredita la
identidad de su titular en cualquier procedimiento administrativo y permite
la firma electrónica de documentos— remitiéndose a la normativa específica
en cuanto a las particularidades de su régimen jurídico.
Asimismo, otra novedad es
el establecimiento en la ley del régimen aplicable a la actuación de
personas jurídicas como firmantes, a efectos de integrar a estas entidades
en el tráfico telemático. Se va así más allá del Real Decreto Ley de 1999,
que sólo permitía a las personas jurídicas ser titulares de certificados
electrónicos en el ámbito de la gestión de los tributos. Precisamente, la
enorme expansión que han tenido estos certificados en dicho ámbito en los
últimos años, sin que ello haya representado aumento alguno de la
litigiosidad ni de inseguridad jurídica en las transacciones, aconsejan la
generalización de la titularidad de certificados por personas morales.
En todo caso, los
certificados electrónicos de personas jurídicas no alteran la legislación
civil y mercantil en cuanto a la figura del representante orgánico o
voluntario y no sustituyen a los certificados electrónicos que se expidan a
personas físicas en los que se reflejen dichas relaciones de representación.
Como resortes de
seguridad jurídica, la ley exige, por un lado, una especial legitimación
para que las personas físicas soliciten la expedición de certificados; por
otro lado, obliga a los solicitantes a responsabilizarse de la custodia de
los datos de creación de firma electrónica asociados a dichos certificados,
todo ello sin perjuicio de que puedan ser utilizados por otras personas
físicas vinculadas a la entidad. Por último, de cara a terceros, limita el
uso de estos certificados a los actos que integren la relación entre la
persona jurídica y las Administraciones públicas y a las cosas o servicios
que constituyen el giro o tráfico ordinario de la entidad, sin perjuicio de
los posibles límites cuantitativos o cualitativos que puedan añadirse. Se
trata de conjugar el dinamismo que debe presidir el uso de estos
certificados en el tráfico con las necesarias dosis de prudencia y seguridad
para evitar que puedan nacer obligaciones incontrolables frente a terceros
debido a un uso inadecuado de los datos de creación de firma. El equilibrio
entre uno y otro principio se ha establecido sobre las cosas y servicios que
constituyen el giro o tráfico ordinario de la empresa de modo paralelo a
cómo nuestro más que centenario Código de Comercio regula la vinculación
frente a terceros de los actos de comercio realizados por el factor del
establecimiento.
Con la expresión «giro o
tráfico ordinario» de una entidad se actualiza a un vocabulario más acorde
con nuestros días lo que en la legislación mercantil española se denomina
«establecimiento fabril o mercantil». Con ello se comprenden las
transacciones efectuadas mediata o inmediatamente para la realización del
núcleo de actividad de la entidad y las actividades de gestión o
administrativas necesarias para el desarrollo de la misma, como la
contratación de suministros tangibles e intangibles o de servicios
auxiliares. Por último, debe recalcarse que, aunque el «giro o tráfico
ordinario» sea un término acuñado por el derecho mercantil, la regulación
sobre los certificados de personas jurídicas no sólo se aplica a las
sociedades mercantiles, sino a cualquier tipo de persona jurídica que quiera
hacer uso de la firma electrónica en su actividad.
Adicionalmente, se añade
un régimen especial para la expedición de certificados electrónicos a
entidades sin personalidad jurídica a las que se refiere el artículo 33 de
la Ley General Tributaria, a los solos efectos de su utilización en el
ámbito tributario, en los términos que establezca el Ministerio de Hacienda.
Por otra parte, siguiendo
la pauta marcada por la Ley 34/2002, de 11 de julio, de
servicios de la sociedad de la información y de comercio electrónico, se
incluye dentro de la modalidad de prueba documental el soporte en el que
figuran los datos firmados electrónicamente, dando mayor seguridad jurídica
al empleo de la firma electrónica al someterla a las reglas de eficacia en
juicio de la prueba documental.
Además, debe resaltarse
que otro aspecto novedoso de la ley es el acogimiento explícito que se
efectúa de las relaciones de representación que pueden subyacer en el empleo
de la firma electrónica. No cabe duda que el instituto de la representación
está ampliamente generalizado en el tráfico económico, de ahí la
conveniencia de dotar de seguridad jurídica la imputación a la esfera
jurídica del representado las declaraciones que se cursan por el
representante a través de la firma electrónica. Para ello, se establece como
novedad que en la expedición de certificados reconocidos que admitan entre
sus atributos relaciones de representación, ésta debe estar amparada en un
documento público que acredite fehacientemente dicha relación de
representación así como la suficiencia e idoneidad de los poderes conferidos
al representante. Asimismo, se prevén mecanismos para asegurar el
mantenimiento de las facultades de representación durante toda la vigencia
del certificado reconocido.
Por último, debe
destacarse que la ley permite que los prestadores de servicios de
certificación podrán, con el objetivo de mejorar la confianza en sus
servicios, establecer mecanismos de coordinación con los datos que
preceptivamente deban obrar en los Registros públicos, en particular,
mediante conexiones telemáticas, a los efectos de verificar los datos que
figuran en los certificados en el momento de la expedición de éstos. Dichos
mecanismos de coordinación también podrán contemplar la notificación
telemática por parte de los registros a los prestadores de servicios de
certificación de las variaciones registrales posteriores.
IV
La ley consta de 36
artículos agrupados en seis títulos, 10 disposiciones adicionales, dos
disposiciones transitorias, una disposición derogatoria y tres disposiciones
finales.
El título I
contiene los principios generales que delimitan los ámbitos subjetivo y
objetivo de aplicación de la ley, los efectos de la firma electrónica y el
régimen de empleo ante las Administraciones públicas y de acceso a la
actividad de prestación de servicios de certificación.
El régimen aplicable a
los certificados electrónicos se contiene en el título II,
que dedica su primer capítulo a determinar quiénes
pueden ser sus titulares y a regular las vicisitudes que afectan a su
vigencia. El capítulo II regula los certificados
reconocidos y el tercero el documento nacional de
identidad electrónico.
El título
III regula la actividad de prestación de servicios de certificación
estableciendo las obligaciones a que están sujetos los prestadores
—distinguiendo con nitidez las que solamente afectan a los que expiden
certificados reconocidos—, y el régimen de responsabilidad aplicable.
El título
IV establece los requisitos que deben reunir los dispositivos de
verificación y creación de firma electrónica y el procedimiento que ha de
seguirse para obtener sellos de calidad en la actividad de prestación de
servicios de certificación.
Los títulos
V y VI dedican su contenido, respectivamente, a fijar
los regímenes de supervisión y sanción de los prestadores de servicios de
certificación.
Por último, cierran el
texto las disposiciones adicionales —que aluden a los
regímenes especiales que resultan de aplicación preferente—, las
disposiciones transitorias —que incorporan seguridad
jurídica a la actividad desplegada al amparo de la normativa anterior—, la
disposición derogatoria y las disposiciones
finales relativas al fundamento constitucional, la habilitación para el
desarrollo reglamentario y la entrada en vigor.
Esta disposición ha sido
sometida al procedimiento de información en materia de normas y
reglamentaciones técnicas previsto en la Directiva 98/34/CE, del Parlamento
Europeo y del Consejo, de 22 de junio de 1998, por la que se establece un
procedimiento de información en materia de normas y reglamentaciones
técnicas, modificada por la Directiva 98/48/CE, del Parlamento Europeo y del
Consejo, de 20 de julio de 1998, y en el Real Decreto 1337/1999, de 31 de
julio, por el que se regula la remisión de información en materia de normas
y reglamentaciones técnicas y reglamentos relativos a los servicios de la
sociedad de la información.
TÍTULO I
Disposiciones
generales
Artículo 1.
Objeto.
1. Esta ley regula la
firma electrónica, su eficacia jurídica y la prestación de servicios de
certificación.
2. Las disposiciones
contenidas en esta ley no alteran las normas relativas a la celebración,
formalización, validez y eficacia de los contratos y cualesquiera otros
actos jurídicos ni las relativas a los documentos en que unos y otros
consten.
Artículo 2.
Prestadores de servicios de certificación sujetos a la ley.
1. Esta ley se aplicará a
los prestadores de servicios de certificación establecidos en España y a los
servicios de certificación que los prestadores residentes o domiciliados en
otro Estado ofrezcan a través de un establecimiento permanente situado en
España.
2. Se denomina prestador
de servicios de certificación la persona física o jurídica que expide
certificados electrónicos o presta otros servicios en relación con la firma
electrónica.
3. Se entenderá que un
prestador de servicios de certificación está establecido en España cuando su
residencia o domicilio social se halle en territorio español, siempre que
éstos coincidan con el lugar en que esté efectivamente centralizada la
gestión administrativa y la dirección de sus negocios. En otro caso, se
atenderá al lugar en que se realice dicha gestión o dirección.
4. Se considerará que un
prestador opera mediante un establecimiento permanente situado en territorio
español cuando disponga en él, de forma continuada o habitual, de
instalaciones o lugares de trabajo en los que realice toda o parte de su
actividad.
5. Se presumirá que un
prestador de servicios de certificación está establecido en España cuando
dicho prestador o alguna de sus sucursales se haya inscrito en el Registro
Mercantil o en otro registro público español en el que fuera necesaria la
inscripción para la adquisición de personalidad jurídica.
La mera utilización de
medios tecnológicos situados en España para la prestación o el acceso al
servicio no implicará, por sí sola, el establecimiento del prestador en
España.
Artículo 3.
Firma electrónica, y documentos firmados electrónicamente.
1. La firma electrónica
es el conjunto de datos en forma electrónica, consignados junto a otros o
asociados con ellos, que pueden ser utilizados como medio de identificación
del firmante.
2. La firma electrónica
avanzada es la firma electrónica que permite identificar al firmante y
detectar cualquier cambio ulterior de los datos firmados, que está vinculada
al firmante de manera única y a los datos a que se refiere y que ha sido
creada por medios que el firmante puede mantener bajo su exclusivo control.
3. Se considera firma
electrónica reconocida la firma electrónica avanzada basada en un
certificado reconocido y generada mediante un dispositivo seguro de creación
de firma.
4. La firma electrónica
reconocida tendrá respecto de los datos consignados en forma electrónica el
mismo valor que la firma manuscrita en relación con los consignados en
papel.
5. Se considera documento
electrónico el redactado en soporte electrónico que incorpore datos que
estén firmados electrónicamente.
6. El documento
electrónico será soporte de:
a) Documentos públicos,
por estar firmados electrónicamente por funcionarios que tengan legalmente
atribuida la facultad de dar fe pública, judicial, notarial o
administrativa, siempre que actúen en el ámbito de sus competencias con los
requisitos exigidos por la ley en cada caso.
b) Documentos expedidos y
firmados electrónicamente por funcionarios o empleados públicos en el
ejercicio de sus funciones públicas, conforme a su legislación específica.
c) Documentos privados.
7. Los documentos a que
se refiere el apartado anterior tendrán el valor y la eficacia jurídica que
corresponda a su respectiva naturaleza, de conformidad con la legislación
que les resulte aplicable.
8. El soporte en que se
hallen los datos firmados electrónicamente será admisible como prueba
documental en juicio. Si se impugnare la autenticidad de la firma
electrónica reconocida, con la que se hayan firmado los datos incorporados
al documento electrónico, se procederá a comprobar que por el prestador de
servicios de certificación, que expide los certificados electrónicos, se
cumplen todos los requisitos establecidos en la ley en cuanto a la garantía
de los servicios que presta en la comprobación de la eficacia de la firma
electrónica, y en especial, las obligaciones de garantizar la
confidencialidad del proceso así como la autenticidad, conservación e
integridad de la información generada y la identidad de los firmantes. Si se
impugna la autenticidad de la firma electrónica avanzada, con la que se
hayan firmado los datos incorporados al documento electrónico, se estará a
lo establecido en el apartado 2 del artículo
326 de la Ley de Enjuiciamiento Civil.
9. No se negarán efectos
jurídicos a una firma electrónica que no reúna los requisitos de firma
electrónica reconocida en relación a los datos a los que esté asociada por
el mero hecho de presentarse en forma electrónica.
10. A los efectos de lo
dispuesto en este artículo, cuando una firma electrónica se utilice conforme
a las condiciones acordadas por las partes para relacionarse entre sí, se
tendrá en cuenta lo estipulado entre ellas.
Artículo 4.
Empleo de la firma electrónica en el ámbito de las Administraciones
públicas.
1. Esta ley se aplicará
al uso de la firma electrónica en el seno de las Administraciones públicas,
sus organismos públicos y las entidades dependientes o vinculadas a las
mismas y en las relaciones que mantengan aquéllas y éstos entre sí o con los
particulares.
Las Administraciones
públicas, con el objeto de salvaguardar las garantías de cada procedimiento,
podrán establecer condiciones adicionales a la utilización de la firma
electrónica en los procedimientos. Dichas condiciones podrán incluir, entre
otras, la imposición de fechas electrónicas sobre los documentos
electrónicos integrados en un expediente administrativo. Se entiende por
fecha electrónica el conjunto de datos en forma electrónica utilizados como
medio para constatar el momento en que se ha efectuado una actuación sobre
otros datos electrónicos a los que están asociados.
2. Las condiciones
adicionales a las que se refiere el apartado anterior sólo podrán hacer
referencia a las características específicas de la aplicación de que se
trate y deberán garantizar el cumplimiento de lo previsto en el artículo 45
de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común. Estas
condiciones serán objetivas, proporcionadas, transparentes y no
discriminatorias y no deberán obstaculizar la prestación de servicios de
certificación al ciudadano cuando intervengan distintas Administraciones
públicas nacionales o del Espacio Económico Europeo.
3. Las normas que
establezcan condiciones generales adicionales para el uso de la firma
electrónica ante la Administración General del Estado, sus organismos
públicos y las entidades dependientes o vinculadas a las mismas se dictarán
a propuesta conjunta de los Ministerios de Administraciones Públicas y de
Ciencia y Tecnología y previo informe del Consejo Superior de Informática y
para el impulso de la Administración Electrónica.
4. La utilización de la
firma electrónica en las comunicaciones que afecten a la información
clasificada, a la seguridad pública o a la defensa nacional se regirá por su
normativa específica.
Artículo 5.
Régimen de prestación de los servicios de certificación.
1. La prestación de
servicios de certificación no está sujeta a autorización previa y se
realizará en régimen de libre competencia. No podrán establecerse
restricciones para los servicios de certificación que procedan de otro
Estado miembro del Espacio Económico Europeo.
2. Los órganos de defensa
de la competencia velarán por el mantenimiento de condiciones de competencia
efectiva en la prestación de servicios de certificación al público mediante
el ejercicio de las funciones que tengan legalmente atribuidas.
3. La prestación al
público de servicios de certificación por las Administraciones públicas, sus
organismos públicos o las entidades dependientes o vinculadas a las mismas
se realizará con arreglo a los principios de objetividad, transparencia y no
discriminación.
TÍTULO II
Certificados
electrónicos
CAPÍTULO I
Disposiciones
generales
Artículo 6.
Concepto de certificado electrónico y de firmante.
1. Un certificado
electrónico es un documento firmado electrónicamente por un prestador de
servicios de certificación que vincula unos datos de verificación de firma a
un firmante y confirma su identidad.
2. El firmante es la
persona que posee un dispositivo de creación de firma y que actúa en nombre
propio o en nombre de una persona física o jurídica a la que representa.
Artículo 7.
Certificados electrónicos de personas jurídicas.
1. Podrán solicitar
certificados electrónicos de personas jurídicas sus administradores,
representantes legales y voluntarios con poder bastante a estos efectos. Los
certificados electrónicos de personas jurídicas no podrán afectar al régimen
de representación orgánica o voluntaria regulado por la legislación civil o
mercantil aplicable a cada persona jurídica.
2. La custodia de los
datos de creación de firma asociados a cada certificado electrónico de
persona jurídica será responsabilidad de la persona física solicitante, cuya
identificación se incluirá en el certificado electrónico.
3. Los datos de creación
de firma sólo podrán ser utilizados cuando se admita en las relaciones que
mantenga la persona jurídica con las Administraciones públicas o en la
contratación de bienes o servicios que sean propios o concernientes a su
giro o tráfico ordinario. Asimismo, la persona jurídica podrá imponer
límites adicionales, por razón de la cuantía o de la materia, para el uso de
dichos datos que, en todo caso, deberán figurar en el certificado
electrónico.
4. Se entenderán hechos
por la persona jurídica los actos o contratos en los que su firma se hubiera
empleado dentro de los límites previstos en el apartado anterior.
Si la firma se utiliza
transgrediendo los límites mencionados, la persona jurídica quedará
vinculada frente a terceros sólo si los asume como propios o se hubiesen
celebrado en su interés. En caso contrario, los efectos de dichos actos
recaerán sobre la persona física responsable de la custodia de los datos de
creación de firma, quien podrá repetir, en su caso, contra quien los hubiera
utilizado.
5. Lo dispuesto en este
artículo no será de aplicación a los certificados que sirvan para verificar
la firma electrónica del prestador de servicios de certificación con la que
firme los certificados electrónicos que expida.
6. Lo dispuesto en este
artículo no será de aplicación a los certificados que se expidan a favor de
las Administraciones públicas, que estarán sujetos a su normativa
específica
.
Artículo 8.
Extinción de la vigencia de los certificados electrónicos.
1. Son causas de
extinción de la vigencia de un certificado electrónico:
a) Expiración del período
de validez que figura en el certificado.
b) Revocación formulada
por el firmante, la persona física o jurídica representada por éste, un
tercero autorizado o la persona física solicitante de un certificado
electrónico de persona jurídica.
c) Violación o puesta en
peligro del secreto de los datos de creación de firma del firmante o del
prestador de servicios de certificación o utilización indebida de dichos
datos por un tercero.
d) Resolución judicial o
administrativa que lo ordene.
e) Fallecimiento o
extinción de la personalidad jurídica del firmante; fallecimiento, o
extinción de la personalidad jurídica del representado; incapacidad
sobrevenida, total o parcial, del firmante o de su representado; terminación
de la representación; disolución de la persona jurídica representada o
alteración de las condiciones de custodia o uso de los datos de creación de
firma que estén reflejadas en los certificados expedidos a una persona
jurídica.
f) Cese en la actividad
del prestador de servicios de certificación salvo que, previo consentimiento
expreso del firmante, la gestión de los certificados electrónicos expedidos
por aquél sean transferidos a otro prestador de servicios de certificación.
g) Alteración de los
datos aportados para la obtención del certificado o modificación de las
circunstancias verificadas para la expedición del certificado, como las
relativas al cargo o a las facultades de representación, de manera que éste
ya no fuera conforme a la realidad.
h) Cualquier otra causa
lícita prevista en la declaración de prácticas de certificación.
2. El período de validez
de los certificados electrónicos será adecuado a las características y
tecnología empleada para generar los datos de creación de firma. En el caso
de los certificados reconocidos este período no podrá ser superior a cuatro
años.
3. La extinción de la
vigencia de un certificado electrónico surtirá efectos frente a terceros, en
los supuestos de expiración de su período de validez, desde que se produzca
esta circunstancia y, en los demás casos, desde que la indicación de dicha
extinción se incluya en el servicio de consulta sobre la vigencia de los
certificados del prestador de servicios de certificación.
Artículo 9.
Suspensión de la vigencia de los certificados electrónicos.
1. Los prestadores de
servicios de certificación suspenderán la vigencia de los certificados
electrónicos expedidos si concurre alguna de las siguientes causas:
a) Solicitud del
firmante, la persona física o jurídica representada por éste, un tercero
autorizado o la persona física solicitante de un certificado electrónico de
persona jurídica.
b) Resolución judicial o
administrativa que lo ordene.
c) La existencia de dudas
fundadas acerca de la concurrencia de las causas de extinción de la vigencia
de los certificados contempladas en los párrafos c) y g) del
artículo 8.1.
d) Cualquier otra causa
lícita prevista en la declaración de prácticas de certificación.
2. La suspensión de la
vigencia de un certificado electrónico surtirá efectos desde que se incluya
en el servicio de consulta sobre la vigencia de los certificados del
prestador de servicios de certificación.
Artículo 10.
Disposiciones comunes a la extinción y suspensión de la vigencia de
certificados electrónicos.
1. El prestador de
servicios de certificación hará constar inmediatamente, de manera clara e
indubitada, la extinción o suspensión de la vigencia de los certificados
electrónicos en el servicio de consulta sobre la vigencia de los
certificados en cuanto tenga conocimiento fundado de cualquiera de los
hechos determinantes de la extinción o suspensión de su vigencia.
2. El prestador de
servicios de certificación informará al firmante acerca de esta
circunstancia de manera previa o simultánea a la extinción o suspensión de
la vigencia del certificado electrónico, especificando los motivos y la
fecha y la hora en que el certificado quedará sin efecto. En los casos de
suspensión, indicará, además, su duración máxima, extinguiéndose la vigencia
del certificado si transcurrido dicho plazo no se hubiera levantado la
suspensión.
3. La extinción o
suspensión de la vigencia de un certificado electrónico no tendrá efectos
retroactivos.
4. La extinción o
suspensión de la vigencia de un certificado electrónico se mantendrá
accesible en el servicio de consulta sobre la vigencia de los certificados
al menos hasta la fecha en que hubiera finalizado su período inicial de
validez.
CAPÍTULO II
Certificados
reconocidos
Artículo 11.
Concepto y contenido de
los certificados reconocidos.
1. Son certificados
reconocidos los certificados electrónicos expedidos por un prestador de
servicios de certificación que cumpla los requisitos establecidos en esta
ley en cuanto a la comprobación de la identidad y demás circunstancias de
los solicitantes y a la fiabilidad y las garantías de los servicios de
certificación que presten.
2. Los certificados
reconocidos incluirán, al menos, los siguientes datos:
a) La indicación de que
se expiden como tales.
b) El código
identificativo único del certificado.
c) La identificación del
prestador de servicios de certificación que expide el certificado y su
domicilio.
d) La firma electrónica
avanzada del prestador de servicios de certificación que expide el
certificado.
e) La identificación del
firmante, en el supuesto de personas físicas, por su nombre y apellidos y su
número de documento nacional de identidad o a través de un seudónimo que
conste como tal de manera inequívoca y, en el supuesto de personas
jurídicas, por su denominación o razón social y su código de identificación
fiscal.
f) Los datos de
verificación de firma que correspondan a los datos de creación de firma que
se encuentren bajo el control del firmante.
g) El comienzo y el fin
del período de validez del certificado.
h) Los límites de uso del
certificado, si se establecen.
i) Los límites del valor
de las transacciones para las que puede utilizarse el certificado, si se
establecen.
3. Los certificados
reconocidos podrán asimismo contener cualquier otra circunstancia o atributo
específico del firmante en caso de que sea significativo en función del fin
propio del certificado y siempre que aquél lo solicite.
4. Si los certificados
reconocidos admiten una relación de representación incluirán una indicación
del documento público que acredite de forma fehaciente las facultades del
firmante para actuar en nombre de la persona o entidad a la que represente
y, en caso de ser obligatoria la inscripción, de los datos registrales, de
conformidad con el apartado 2 del artículo 13.
Artículo 12.
Obligaciones previas a la expedición de certificados reconocidos.
Antes de la expedición de
un certificado reconocido, los prestadores de servicios de certificación
deberán cumplir las siguientes obligaciones:
a) Comprobar la identidad
y circunstancias personales de los solicitantes de certificados con arreglo
a lo dispuesto en el artículo siguiente.
b) Verificar que la
información contenida en el certificado es exacta y que incluye toda la
información prescrita para un certificado reconocido.
c) Asegurarse de que el
firmante está en posesión de los datos de creación de firma correspondientes
a los de verificación que constan en el certificado.
d) Garantizar la
complementariedad de los datos de creación y verificación de firma, siempre
que ambos sean generados por el prestador de servicios de certificación.
Artículo 13.
Comprobación de la identidad y otras circunstancias personales de los
solicitantes de un certificado reconocido.
1. La identificación de
la persona física que solicite un certificado reconocido exigirá su
personación ante los encargados de verificarla y se acreditará mediante el
documento nacional de identidad, pasaporte u otros medios admitidos en
derecho. Podrá prescindirse de la personación si su firma en la solicitud de
expedición de un certificado reconocido ha sido legitimada en presencia
notarial.
El régimen de personación
en la solicitud de certificados que se expidan previa identificación del
solicitante ante las Administraciones públicas se regirá por lo establecido
en la normativa administrativa.
2. En el caso de
certificados reconocidos de personas jurídicas, los prestadores de servicios
de certificación comprobarán, además, los datos relativos a la constitución
y personalidad jurídica y a la extensión y vigencia de las facultades de
representación del solicitante, bien mediante consulta en el registro
público en el que estén inscritos los documentos de constitución y de
apoderamiento, bien mediante los documentos públicos que sirvan para
acreditar los extremos citados de manera fehaciente, cuando aquéllos no sean
de inscripción obligatoria.
3. Si los certificados
reconocidos reflejan una relación de representación voluntaria, los
prestadores de servicios de certificación comprobarán, los datos relativos a
la personalidad jurídica del representado y a la extensión y vigencia de las
facultades del representante, bien mediante consulta en el registro público
en el que estén inscritas, bien mediante los documentos públicos que sirvan
para acreditar los extremos citados de manera fehaciente, cuando aquéllos no
sean de inscripción obligatoria. Si los certificados reconocidos admiten
otros supuestos de representación, los prestadores de servicios de
certificación deberán exigir la acreditación de las circunstancias en las
que se fundamenten, en la misma forma prevista anteriormente.
Cuando el certificado
reconocido contenga otras circunstancias personales o atributos del
solicitante, como su condición de titular de un cargo público, su
pertenencia a un colegio profesional o su titulación, éstas deberán
comprobarse mediante los documentos oficiales que las acrediten, de
conformidad con su normativa específica.
4. Lo dispuesto en los
apartados anteriores podrá no ser exigible en los siguientes casos:
a) Cuando la identidad u
otras circunstancias permanentes de los solicitantes de los certificados
constaran ya al prestador de servicios de certificación en virtud de una
relación preexistente, en la que, para la identificación del interesado, se
hubieran empleado los medios señalados en este artículo y el período de
tiempo transcurrido desde la identificación es menor de cinco años.
b) Cuando para solicitar
un certificado se utilice otro vigente para cuya expedición se hubiera
identificado al firmante en la forma prescrita en este artículo y le conste
al prestador de servicios de certificación que el período de tiempo
transcurrido desde la identificación es menor de cinco años.
5. Los prestadores de
servicios de certificación podrán realizar las actuaciones de comprobación
previstas en este artículo por sí o por medio de otras personas físicas o
jurídicas, públicas o privadas, siendo responsable, en todo caso, el
prestador de servicios de certificación.
Artículo 14.
Equivalencia internacional de certificados reconocidos.
Los certificados
electrónicos que los prestadores de servicios de certificación establecidos
en un Estado que no sea miembro del Espacio Económico Europeo expidan al
público como certificados reconocidos de acuerdo con la legislación
aplicable en dicho Estado se considerarán equivalentes a los expedidos por
los establecidos en España, siempre que se cumpla alguna de las siguientes
condiciones:
a) Que el prestador de
servicios de certificación reúna los requisitos establecidos en la normativa
comunitaria sobre firma electrónica para la expedición de certificados
reconocidos y haya sido certificado conforme a un sistema voluntario de
certificación establecido en un Estado miembro del Espacio Económico
Europeo.
b) Que el certificado
esté garantizado por un prestador de servicios de certificación establecido
en el Espacio Económico Europeo que cumpla los requisitos establecidos en la
normativa comunitaria sobre firma electrónica para la expedición de
certificados reconocidos.
c) Que el certificado o
el prestador de servicios de certificación estén reconocidos en virtud de un
acuerdo bilateral o multilateral entre la Comunidad Europea y terceros
países u organizaciones internacionales.
CAPÍTULO III
El documento nacional
de identidad electrónico
Artículo 15.
Documento nacional de identidad electrónico.
1. El documento nacional
de identidad electrónico es el documento nacional de identidad que acredita
electrónicamente la identidad personal de su titular y permite la firma
electrónica de documentos.
2. Todas la personas
físicas o jurídicas, públicas o privadas, reconocerán la eficacia del
documento nacional de identidad electrónico para acreditar la identidad y
los demás datos personales del titular que consten en el mismo, y para
acreditar la identidad del firmante y la integridad de los documentos
firmados con los dispositivos de firma electrónica en él incluidos.
Artículo 16.
Requisitos y características del documento nacional de identidad
electrónico.
1. Los órganos
competentes del Ministerio del Interior para la expedición del documento
nacional de identidad electrónico cumplirán las obligaciones que la presente
Ley impone a los prestadores de servicios de certificación que expidan
certificados reconocidos con excepción de la relativa a la constitución de
la garantía a la que se refiere el apartado 2 del artículo 20.
2. La Administración
General del Estado empleará, en la medida de lo posible, sistemas que
garanticen la compatibilidad de los instrumentos de firma electrónica
incluidos en el documento nacional de identidad electrónico con los
distintos dispositivos y productos de firma electrónica generalmente
aceptados.
TÍTULO III
Prestación de
servicios de certificación
CAPÍTULO I
Obligaciones
Artículo 17.
Protección de los datos personales.
1. El tratamiento de los
datos personales que precisen los prestadores de servicios de certificación
para el desarrollo de su actividad y los órganos administrativos para el
ejercicio de las funciones atribuidas por esta ley se sujetará a lo
dispuesto en la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal y en sus
normas de desarrollo.
2. Para la expedición de
certificados electrónicos al público, los prestadores de servicios de
certificación únicamente podrán recabar datos personales directamente de los
firmantes o previo consentimiento expreso de éstos.
Los datos requeridos
serán exclusivamente los necesarios para la expedición y el mantenimiento
del certificado electrónico y la prestación de otros servicios en relación
con la firma electrónica, no pudiendo tratarse con fines distintos sin el
consentimiento expreso del firmante.
3. Los prestadores de
servicios de certificación que consignen un seudónimo en el certificado
electrónico a solicitud del firmante deberán constatar su verdadera
identidad y conservar la documentación que la acredite.
Dichos prestadores de
servicios de certificación estarán obligados a revelar la identidad de los
firmantes cuando lo soliciten los órganos judiciales en el ejercicio de las
funciones que tienen atribuidas y en los demás supuestos previstos en el
artículo 11.2 de la Ley Orgánica de
Protección de Datos de Carácter Personal en que así se requiera.
4. En cualquier caso, los
prestadores de servicios de certificación no incluirán en los certificados
electrónicos que expidan, los datos a los que se hace referencia en el
artículo 7 de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Artículo 18.
Obligaciones de los prestadores de servicios de certificación que expidan
certificados electrónicos.
Los prestadores de
servicios de certificación que expidan certificados electrónicos deberán
cumplir las siguientes obligaciones:
a) No almacenar ni copiar
los datos de creación de firma de la persona a la que hayan prestado sus
servicios.
b) Proporcionar al
solicitante antes de la expedición del certificado la siguiente información
mínima, que deberá transmitirse de forma gratuita, por escrito o por vía
electrónica:
1.º Las obligaciones del
firmante, la forma en que han de custodiarse los datos de creación de firma,
el procedimiento que haya de seguirse para comunicar la pérdida o posible
utilización indebida de dichos datos y determinados dispositivos de creación
y de verificación de firma electrónica que sean compatibles con los datos de
firma y con el certificado expedido.
2.º Los mecanismos para
garantizar la fiabilidad de la firma electrónica de un documento a lo largo
del tiempo.
3.º El método utilizado
por el prestador para comprobar la identidad del firmante u otros datos que
figuren en el certificado.
4.º Las condiciones
precisas de utilización del certificado, sus posibles límites de uso y la
forma en que el prestador garantiza su responsabilidad patrimonial.
5.º Las certificaciones
que haya obtenido, en su caso, el prestador de servicios de certificación y
los procedimientos aplicables para la resolución extrajudicial de los
conflictos que pudieran surgir por el ejercicio de su actividad.
6.º Las demás
informaciones contenidas en la declaración de prácticas de certificación.
La información citada
anteriormente que sea relevante para terceros afectados por los certificados
deberá estar disponible a instancia de éstos.
c) Mantener un directorio
actualizado de certificados en el que se indicarán los certificados
expedidos y si están vigentes o si su vigencia ha sido suspendida o
extinguida. La integridad del directorio se protegerá mediante la
utilización de los mecanismos de seguridad adecuados.
d) Garantizar la
disponibilidad de un servicio de consulta sobre la vigencia de los
certificados rápido y seguro.
Artículo 19.
Declaración de prácticas de certificación.
1. Todos los prestadores
de servicios de certificación formularán una declaración de prácticas de
certificación en la que detallarán, en el marco de esta ley y de sus
disposiciones de desarrollo, las obligaciones que se comprometen a cumplir
en relación con la gestión de los datos de creación y verificación de firma
y de los certificados electrónicos, las condiciones aplicables a la
solicitud, expedición, uso, suspensión y extinción de la vigencia de los
certificados las medidas de seguridad técnicas y organizativas, los perfiles
y los mecanismos de información sobre la vigencia de los certificados y, en
su caso la existencia de procedimientos de coordinación con los Registros
públicos correspondientes que permitan el intercambio de información de
manera inmediata sobre la vigencia de los poderes indicados en los
certificados y que deban figurar preceptivamente inscritos en dichos
registros.
2. La declaración de
prácticas de certificación de cada prestador estará disponible al público de
manera fácilmente accesible, al menos por vía electrónica y de forma
gratuita.
3. La declaración de
prácticas de certificación tendrá la consideración de documento de seguridad
a los efectos previstos en la legislación en materia de protección de datos
de carácter personal y deberá contener todos los requisitos exigidos para
dicho documento en la mencionada legislación.
Artículo 20.
Obligaciones de los prestadores de servicios de certificación que expidan
certificados reconocidos.
1. Además de las
obligaciones establecidas en este capítulo, los prestadores de servicios de
certificación que expidan certificados reconocidos deberán cumplir las
siguientes obligaciones:
a) Demostrar la
fiabilidad necesaria para prestar servicios de certificación.
b) Garantizar que pueda
determinarse con precisión la fecha y la hora en las que se expidió un
certificado o se extinguió o suspendió su vigencia.
c) Emplear personal con
la cualificación, conocimientos y experiencia necesarios para la prestación
de los servicios de certificación ofrecidos y los procedimientos de
seguridad y de gestión adecuados en el ámbito de la firma electrónica.
d) Utilizar sistemas y
productos fiables que estén protegidos contra toda alteración y que
garanticen la seguridad técnica y, en su caso, criptográfica de los procesos
de certificación a los que sirven de soporte.
e) Tomar medidas contra
la falsificación de certificados y, en el caso de que el prestador de
servicios de certificación genere datos de creación de firma, garantizar su
confidencialidad durante el proceso de generación y su entrega por un
procedimiento seguro al firmante.
f) Conservar registrada
por cualquier medio seguro toda la información y documentación relativa a un
certificado reconocido y las declaraciones de prácticas de certificación
vigentes en cada momento, al menos durante 15 años contados desde el momento
de su expedición, de manera que puedan verificarse las firmas efectuadas con
el mismo.
g) Utilizar sistemas
fiables para almacenar certificados reconocidos que permitan comprobar su
autenticidad e impedir que personas no autorizadas alteren los datos,
restrinjan su accesibilidad en los supuestos o a las personas que el
firmante haya indicado y permitan detectar cualquier cambio que afecte a
estas condiciones de seguridad.
2. Los prestadores de
servicios de certificación que expidan certificados reconocidos deberán
constituir un seguro de responsabilidad civil por importe de al menos
3.000.000 de euros para afrontar el riesgo de la responsabilidad por los
daños y perjuicios que pueda ocasionar el uso de los certificados que
expidan.
La citada garantía podrá
ser sustituida total o parcialmente por una garantía mediante aval bancario
o seguro de caución, de manera que la suma de las cantidades aseguradas sea
al menos de 3.000.000 de euros.
Las cuantías y los medios
de aseguramiento y garantía establecidos en los dos párrafos anteriores
podrán ser modificados mediante real decreto.
Artículo 21.
Cese de la actividad de un prestador de servicios de certificación.
1. El prestador de
servicios de certificación que vaya a cesar en su actividad deberá
comunicarlo a los firmantes que utilicen los certificados electrónicos que
haya expedido así como a los solicitantes de certificados expedidos a favor
de personas jurídicas; y podrá transferir, con su consentimiento expreso, la
gestión de los que sigan siendo válidos en la fecha en que el cese se
produzca a otro prestador de servicios de certificación que los asuma o, en
caso contrario, extinguir su vigencia. La citada comunicación se llevará a
cabo con una antelación mínima de dos meses al cese efectivo de la actividad
e informará, en su caso, sobre las características del prestador al que se
propone la transferencia de la gestión de los certificados.
2. El prestador de
servicios de certificación que expida certificados electrónicos al público
deberá comunicar al Ministerio de Ciencia y Tecnología, con la antelación
indicada en el anterior apartado, el cese de su actividad y el destino que
vaya a dar a los certificados, especificando, en su caso, si va a transferir
la gestión y a quién o si extinguirá su vigencia.
Igualmente, comunicará
cualquier otra circunstancia relevante que pueda impedir la continuación de
su actividad. En especial, deberá comunicar, en cuanto tenga conocimiento de
ello, la apertura de cualquier proceso concursal que se siga contra él.
3. Los prestadores de
servicios de certificación remitirán al Ministerio de Ciencia y Tecnología
con carácter previo al cese definitivo de su actividad la información
relativa a los certificados electrónicos cuya vigencia haya sido extinguida
para que éste se haga cargo de su custodia a efectos de lo previsto en el
artículo 20.1.f). Este ministerio mantendrá accesible al
público un servicio de consulta específico donde figure una indicación sobre
los citados certificados durante un período que considere suficiente en
función de las consultas efectuadas al mismo.
CAPÍTULO II
Responsabilidad
Artículo 22.
Responsabilidad de los
prestadores de servicios de certificación.
1. Los prestadores de
servicios de certificación responderán por los daños y perjuicios que causen
a cualquier persona en el ejercicio de su actividad cuando incumplan las
obligaciones que les impone esta ley.
La responsabilidad del
prestador de servicios de certificación regulada en esta ley será exigible
conforme a las normas generales sobre la culpa contractual o
extracontractual, según proceda, si bien corresponderá al prestador de
servicios de certificación demostrar que actuó con la diligencia profesional
que le es exigible.
2. Si el prestador de
servicios de certificación no cumpliera las obligaciones señaladas en los
párrafos b) al d) del artículo 12 al garantizar un
certificado electrónico expedido por un prestador de servicios de
certificación establecido en un Estado no perteneciente al Espacio Económico
Europeo, será responsable por los daños y perjuicios causados por el uso de
dicho certificado.
3. De manera particular,
el prestador de servicios de certificación responderá de los perjuicios que
se causen al firmante o a terceros de buena fe por la falta o el retraso en
la inclusión en el servicio de consulta sobre la vigencia de los
certificados de la extinción o suspensión de la vigencia del certificado
electrónico.
4. Los prestadores de
servicios de certificación asumirán toda la responsabilidad frente a
terceros por la actuación de las personas en las que deleguen la ejecución
de alguna o algunas de las funciones necesarias para la prestación de
servicios de certificación.
5. La regulación
contenida en esta ley sobre la responsabilidad del prestador de servicios de
certificación se entiende sin perjuicio de lo establecido en la legislación
sobre cláusulas abusivas en contratos celebrados con consumidores.
Artículo 23.
Limitaciones de responsabilidad de los prestadores de servicios de
certificación.
1. El prestador de
servicios de certificación no será responsable de los daños y perjuicios
ocasionados al firmante o terceros de buena fe, si el firmante incurre en
alguno de los siguientes supuestos:
a) No haber proporcionado
al prestador de servicios de certificación información veraz, completa y
exacta sobre los datos que deban constar en el certificado electrónico o que
sean necesarios para su expedición o para la extinción o suspensión de su
vigencia, cuando su inexactitud no haya podido ser detectada por el
prestador de servicios de certificación.
b) La falta de
comunicación sin demora al prestador de servicios de certificación de
cualquier modificación de las circunstancias reflejadas en el certificado
electrónico.
c) Negligencia en la
conservación de sus datos de creación de firma, en el aseguramiento de su
confidencialidad y en la protección de todo acceso o revelación.
d) No solicitar la
suspensión o revocación del certificado electrónico en caso de duda en
cuanto al mantenimiento de la confidencialidad de sus datos de creación de
firma.
e) Utilizar los datos de
creación de firma cuando haya expirado el período de validez del certificado
electrónico o el prestador de servicios de certificación le notifique la
extinción o suspensión de su vigencia.
f) Superar los límites
que figuren en el certificado electrónico en cuanto a sus posibles usos y al
importe individualizado de las transacciones que puedan realizarse con él o
no utilizarlo conforme a las condiciones establecidas y comunicadas al
firmante por el prestador de servicios de certificación.
2. En el caso de los
certificados electrónicos que recojan un poder de representación del
firmante, tanto éste como la persona o entidad representada, cuando ésta
tenga conocimiento de la existencia del certificado, están obligados a
solicitar la revocación o suspensión de la vigencia del certificado en los
términos previstos en esta ley.
3. Cuando el firmante sea
una persona jurídica, el solicitante del certificado electrónico asumirá las
obligaciones indicadas en el apartado 1.
4. El prestador de
servicios de certificación tampoco será responsable por los daños y
perjuicios ocasionados al firmante o a terceros de buena fe si el
destinatario de los documentos firmados electrónicamente actúa de forma
negligente. Se entenderá, en particular, que el destinatario actúa de forma
negligente en los siguientes casos:
a) Cuando no compruebe y
tenga en cuenta las restricciones que figuren en el certificado electrónico
en cuanto a sus posibles usos y al importe individualizado de las
transacciones que puedan realizarse con él.
b) Cuando no tenga en
cuenta la suspensión o pérdida de vigencia del certificado electrónico
publicada en el servicio de consulta sobre la vigencia de los certificados o
cuando no verifique la firma electrónica.
5. El prestador de
servicios de certificación no será responsable de los daños y perjuicios
ocasionados al firmante o terceros de buena fe por la inexactitud de los
datos que consten en el certificado electrónico, si éstos le han sido
acreditados mediante documento público. En caso de que dichos datos deban
figurar inscritos en un registro público, el prestador de servicios de
certificación deberá comprobarlos en el citado registro en el momento
inmediato anterior a la expedición del certificado, pudiendo emplear, en su
caso, medios telemáticos.
6. La exención de
responsabilidad frente a terceros obliga al prestador de servicios de
certificación a probar que actuó en todo caso con la debida diligencia.
TÍTULO IV
Dispositivos de firma
electrónica y sistemas de certificación de prestadores de servicios de
certificación y de dispositivos de firma electrónica
CAPÍTULO I
Dispositivos de firma
electrónica
Artículo 24.
Dispositivos de creación de firma electrónica.
1. Los datos de creación
de firma son los datos únicos, como códigos o claves criptográficas
privadas, que el firmante utiliza para crear la firma electrónica.
2. Un dispositivo de
creación de firma es un programa o sistema informático que sirve para
aplicar los datos de creación de firma.
3. Un dispositivo seguro
de creación de firma es un dispositivo de creación de firma que ofrece, al
menos, las siguientes garantías:
a) Que los datos
utilizados para la generación de firma pueden producirse sólo una vez y
asegura razonablemente su secreto.
b) Que existe una
seguridad razonable de que los datos utilizados para la generación de firma
no pueden ser derivados de los de verificación de firma o de la propia firma
y de que la firma está protegida contra la falsificación con la tecnología
existente en cada momento.
c) Que los datos de
creación de firma pueden ser protegidos de forma fiable por el firmante
contra su utilización por terceros.
d) Que el dispositivo
utilizado no altera los datos o el documento que deba firmarse ni impide que
éste se muestre al firmante antes del proceso de firma.
Artículo 25.
Dispositivos de verificación de firma electrónica.
1. Los datos de
verificación de firma son los datos, como códigos o claves criptográficas
públicas, que se utilizan para verificar la firma electrónica.
2. Un dispositivo de
verificación de firma es un programa o sistema informático que sirve para
aplicar los datos de verificación de firma.
3. Los dispositivos de
verificación de firma electrónica garantizarán, siempre que sea técnicamente
posible, que el proceso de verificación de una firma electrónica satisfaga,
al menos, los siguientes requisitos:
a) Que los datos
utilizados para verificar la firma correspondan a los datos mostrados a la
persona que verifica la firma.
b) Que la firma se
verifique de forma fiable y el resultado de esa verificación se presente
correctamente.
c) Que la persona que
verifica la firma electrónica pueda, en caso necesario, establecer de forma
fiable el contenido de los datos firmados y detectar si han sido
modificados.
d) Que se muestren
correctamente tanto la identidad del firmante o, en su caso, conste
claramente la utilización de un seudónimo, como el resultado de la
verificación.
e) Que se verifiquen de
forma fiable la autenticidad y la validez del certificado electrónico
correspondiente.
f) Que pueda detectarse
cualquier cambio relativo a su seguridad.
4. Asimismo, los datos
referentes a la verificación de la firma, tales como el momento en que ésta
se produce o una constatación de la validez del certificado electrónico en
ese momento, podrán ser almacenados por la persona que verifica la firma
electrónica o por terceros de confianza.
CAPÍTULO II
Certificación de
prestadores de servicios de certificación y de dispositivos de creación de
firma electrónica
Artículo 26.
Certificación de prestadores de servicios de certificación.
1. La certificación de un
prestador de servicios de certificación es el procedimiento voluntario por
el que una entidad cualificada pública o privada emite una declaración a
favor de un prestador de servicios de certificación, que implica un
reconocimiento del cumplimiento de requisitos específicos en la prestación
de los servicios que se ofrecen al público.
2. La certificación de un
prestador de servicios de certificación podrá ser solicitada por éste y
podrá llevarse a cabo, entre otras, por entidades de certificación
reconocidas por una entidad de acreditación designada de acuerdo con lo
dispuesto en la Ley 21/1992, de 16 de julio, de Industria, y en sus
disposiciones de desarrollo.
3. En los procedimientos
de certificación podrán utilizarse normas técnicas u otros criterios de
certificación adecuados. En caso de utilizarse normas técnicas, se emplearán
preferentemente aquellas que gocen de amplio reconocimiento aprobadas por
organismos de normalización europeos y, en su defecto, otras normas
internacionales o españolas.
4. La certificación de un
prestador de servicios de certificación no será necesaria para reconocer
eficacia jurídica a una firma electrónica.
Artículo 27.
Certificación de
dispositivos seguros de creación de firma electrónica.
1. La certificación de
dispositivos seguros de creación de firma electrónica es el procedimiento
por el que se comprueba que un dispositivo cumple los requisitos
establecidos en esta ley para su consideración como dispositivo seguro de
creación de firma.
2. La certificación podrá
ser solicitada por los fabricantes o importadores de dispositivos de
creación de firma y se llevará a cabo por las entidades de certificación
reconocidas por una entidad de acreditación designada de acuerdo con lo
dispuesto en la Ley 21/1992, de 16 de julio, de Industria y en sus
disposiciones de desarrollo.
3. En los procedimientos
de certificación se utilizarán las normas técnicas cuyos números de
referencia hayan sido publicados en el «Diario Oficial de la Unión Europea»
y, excepcionalmente, las aprobadas por el Ministerio de Ciencia y Tecnología
que se publicarán en la dirección de Internet de este Ministerio.
4. Los certificados de
conformidad de los dispositivos seguros de creación de firma serán
modificados o, en su caso, revocados cuando se dejen de cumplir las
condiciones establecidas para su obtención.
Los organismos de
certificación asegurarán la difusión de las decisiones de revocación de
certificados de dispositivos de creación de firma.
Artículo 28.
Reconocimiento de la conformidad con la normativa aplicable a los productos
de firma electrónica.
1. Se presumirá que los
productos de firma electrónica aludidos en el párrafo d) del
apartado 1 del artículo 20 y en el apartado 3 del
artículo 24 son conformes con los requisitos previstos en dichos
artículos si se ajustan a las normas técnicas correspondientes cuyos números
de referencia hayan sido publicados en el «Diario Oficial de la Unión
Europea».
2. Se reconocerá eficacia
a los certificados de conformidad sobre dispositivos seguros de creación de
firma que hayan sido otorgados por los organismos designados para ello en
cualquier Estado miembro del Espacio Económico Europeo.
TÍTULO V
Supervisión y control
Artículo 29.
Supervisión y control.
1. El Ministerio de
Ciencia y Tecnología controlará el cumplimiento por los prestadores de
servicios de certificación que expidan al público certificados electrónicos
de las obligaciones establecidas en esta ley y en sus disposiciones de
desarrollo. Asimismo, supervisará el funcionamiento del sistema y de los
organismos de certificación de dispositivos seguros de creación de firma
electrónica.
2. El Ministerio de
Ciencia y Tecnología realizará las actuaciones inspectoras que sean precisas
para el ejercicio de su función de control. Los funcionarios adscritos al
Ministerio de Ciencia y Tecnología que realicen la inspección a que se
refiere el apartado anterior tendrán la consideración de autoridad pública
en el desempeño de sus cometidos.
3. El Ministerio de
Ciencia y Tecnología podrá acordar las medidas apropiadas para el
cumplimiento de esta ley y sus disposiciones de desarrollo.
4. El Ministerio de
Ciencia y Tecnología podrá recurrir a entidades independientes y
técnicamente cualificadas para que le asistan en las labores de supervisión
y control sobre los prestadores de servicios de certificación que le asigna
esta ley.
Artículo 30.
Deber de información y colaboración.
1. Los prestadores de
servicios de certificación, la entidad independiente de acreditación y los
organismos de certificación tienen la obligación de facilitar al Ministerio
de Ciencia y Tecnología toda la información y colaboración precisas para el
ejercicio de sus funciones.
En particular, deberán
permitir a sus agentes o al personal inspector el acceso a sus instalaciones
y la consulta de cualquier documentación relevante para la inspección de que
se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.5
de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción
Contencioso-administrativa. En sus inspecciones podrán ir acompañados de
expertos o peritos en las materias sobre las que versen aquéllas.
2. Los prestadores de
servicios de certificación deberán comunicar al Ministerio de Ciencia y
Tecnología el inicio de su actividad, sus datos de identificación,
incluyendo la identificación fiscal y registral, en su caso, los datos que
permitan establecer comunicación con el prestador, incluidos el nombre de
dominio de internet, los datos de atención al público, las características
de los servicios que vayan a prestar, las certificaciones obtenidas para sus
servicios y las certificaciones de los dispositivos que utilicen. Esta
información deberá ser convenientemente actualizada por los prestadores y
será objeto de publicación en la dirección de internet del citado ministerio
con la finalidad de otorgarle la máxima difusión y conocimiento.
3. Cuando, como
consecuencia de una actuación inspectora, se tuviera conocimiento de hechos
que pudieran ser constitutivos de infracciones tipificadas en otras leyes,
se dará cuenta de los mismos a los órganos u organismos competentes para su
supervisión y sanción.
TÍTULO VI
Infracciones y
sanciones
Artículo 31.
Infracciones.
1. Las infracciones de
los preceptos de esta ley se clasifican en muy graves, graves y leves.
2. Son infracciones muy
graves:
a) El incumplimiento de
alguna de las obligaciones establecidas en los artículos 18
y 20 en la expedición de certificados reconocidos,
siempre que se hayan causado daños graves a los usuarios o la seguridad de
los servicios de certificación se haya visto gravemente afectada.
Lo dispuesto en este
apartado no será de aplicación respecto al incumplimiento de la obligación
de constitución de la garantía económica prevista en el
apartado 2 del artículo 20.
b) La expedición de
certificados reconocidos sin realizar todas las comprobaciones previas
señaladas en el artículo 12, cuando ello afecte a la
mayoría de los certificados reconocidos expedidos en los tres años
anteriores al inicio del procedimiento sancionador o desde el inicio de la
actividad del prestador si este período es menor.
3. Son infracciones
graves:
a) El incumplimiento de
alguna de las obligaciones establecidas en los artículos 18
y 20 en la expedición de certificados reconocidos,
excepto de la obligación de constitución de la garantía prevista en el
apartado 2 del artículo 20, cuando no constituya
infracción muy grave.
b) La falta de
constitución por los prestadores que expidan certificados reconocidos de la
garantía económica contemplada en el apartado 2 del artículo
20.
c) La expedición de
certificados reconocidos sin realizar todas las comprobaciones previas
indicadas en el artículo 12, en los casos en que no
constituya infracción muy grave.
d) El incumplimiento por
los prestadores de servicios de certificación que no expidan certificados
reconocidos de las obligaciones señaladas en el artículo 18,
si se hubieran causado daños graves a los usuarios o la seguridad de los
servicios de certificación se hubiera visto gravemente afectada.
e) El incumplimiento por
los prestadores de servicios de certificación de las obligaciones
establecidas en el artículo 21 respecto al cese de
actividad de los mismos o la producción de circunstancias que impidan la
continuación de su actividad, cuando las mismas no sean sancionables de
conformidad con lo dispuesto en la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal.
f) La resistencia,
obstrucción, excusa o negativa injustificada a la actuación inspectora de
los órganos facultados para llevarla a cabo con arreglo a esta ley y la
falta o deficiente presentación de la información solicitada por parte del
Ministerio de Ciencia y Tecnología en su función de inspección y control.
g) El incumplimiento de
las resoluciones dictadas por el Ministerio de Ciencia y Tecnología para
asegurar que el prestador de servicios de certificación se ajuste a esta
ley.
4. Constituyen
infracciones leves:
El incumplimiento por los
prestadores de servicios de certificación que no expidan certificados
reconocidos, de las obligaciones señaladas en el artículo 18
y las restantes de esta ley, cuando no constituya infracción grave o muy
grave, excepto las contenidas en el apartado 2 del artículo
30.
Artículo 32.
Sanciones.
1. Por la comisión de
infracciones recogidas en el artículo anterior, se impondrán las siguientes
sanciones:
a) Por la comisión de
infracciones muy graves, se impondrá al infractor multa de 150.001 a 600.000
euros.
La comisión de dos o más
infracciones muy graves en el plazo de tres años, podrá dar lugar, en
función de los criterios de graduación del artículo siguiente, a la sanción
de prohibición de actuación en España durante un plazo máximo de dos años.
b) Por la comisión de
infracciones graves, se impondrá al infractor multa de 30.001 a 150.000
euros.
c) Por la comisión de
infracciones leves, se impondrá al infractor una multa por importe de hasta
30.000 euros.
2. Las infracciones
graves y muy graves podrán llevar aparejada, a costa del sancionado, la
publicación de la resolución sancionadora en el «Boletín Oficial del Estado»
y en dos periódicos de difusión nacional o en la página de inicio del sitio
de internet del prestador y, en su caso, en el sitio de internet del
Ministerio de Ciencia y Tecnología, una vez que aquélla tenga carácter
firme.
Para la imposición de
esta sanción, se considerará la repercusión social de la infracción
cometida, el número de usuarios afectados y la gravedad del ilícito.
Artículo 33.
Graduación de la cuantía de las sanciones.
La cuantía de las multas
que se impongan, dentro de los límites indicados, se graduará teniendo en
cuenta lo siguiente:
a) La existencia de
intencionalidad o reiteración.
b) La reincidencia, por
comisión de infracciones de la misma naturaleza, sancionadas mediante
resolución firme.
c) La naturaleza y
cuantía de los perjuicios causados.
d) Plazo de tiempo
durante el que se haya venido cometiendo la infracción
e) El beneficio que haya
reportado al infractor la comisión de la infracción.
f) Volumen de la
facturación a que afecte la infracción cometida.
Artículo 34.
Medidas provisionales.
1. En los procedimientos
sancionadores por infracciones graves o muy graves el Ministerio de Ciencia
y Tecnología podrá adoptar, con arreglo a la Ley 30/1992, de 26 de
noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común, y sus normas de desarrollo, las medidas
de carácter provisional que se estimen necesarias para asegurar la eficacia
de la resolución que definitivamente se dicte, el buen fin del
procedimiento, evitar el mantenimiento de los efectos de la infracción y las
exigencias de los intereses generales.
En particular, podrán
acordarse las siguientes:
a) Suspensión temporal de
la actividad del prestador de servicios de certificación y, en su caso,
cierre provisional de sus establecimientos.
b) Precinto, depósito o
incautación de registros, soportes y archivos informáticos y de documentos
en general, así como de aparatos y equipos informáticos de todo tipo.
c) Advertencia al público
de la existencia de posibles conductas infractoras y de la incoación del
expediente sancionador de que se trate, así como de las medidas adoptadas
para el cese de dichas conductas.
En la adopción y
cumplimiento de las medidas de restricción a que alude este apartado se
respetarán, en todo caso, las garantías, normas y procedimientos previstos
en el ordenamiento jurídico para proteger los derechos a la intimidad
personal y a la protección de los datos personales, cuando éstos pudieran
resultar afectados.
2. En los supuestos de
daños de excepcional gravedad en la seguridad de los sistemas empleados por
el prestador de servicios de certificación que menoscaben seriamente la
confianza de los usuarios en los servicios ofrecidos, el Ministerio de
Ciencia y Tecnología podrá acordar la suspensión o pérdida de vigencia de
los certificados afectados, incluso con carácter definitivo.
3. En todo caso, se
respetará el principio de proporcionalidad de la medida a adoptar con los
objetivos que se pretendan alcanzar en cada supuesto.
4. En casos de urgencia y
para la inmediata protección de los intereses implicados, las medidas
provisionales previstas en este artículo podrán ser acordadas antes de la
iniciación del expediente sancionador.
Las medidas deberán ser
confirmadas, modificadas o levantadas en el acuerdo de iniciación del
procedimiento, que deberá efectuarse dentro de los 15 días siguientes a su
adopción, el cual podrá ser objeto del recurso que proceda.
En todo caso, dichas
medidas quedarán sin efecto si no se inicia el procedimiento sancionador en
dicho plazo o cuando el acuerdo de iniciación no contenga un pronunciamiento
expreso acerca de las mismas.
Artículo 35.
Multa coercitiva.
El órgano administrativo
competente para resolver el procedimiento sancionador podrá imponer multas
coercitivas por importe que no exceda de 6.000 euros por cada día que
transcurra sin cumplir las medidas provisionales que hubieran sido
acordadas.
Artículo 36.
Competencia y procedimiento sancionador.
1. La imposición de
sanciones por el incumplimiento de lo previsto en esta ley corresponderá, en
el caso de infracciones muy graves, al Ministro de Ciencia y Tecnología y en
el de infracciones graves y leves, al Secretario de Estado de
Telecomunicaciones y para la Sociedad de la Información.
No obstante, el
incumplimiento de las obligaciones establecidas en el
artículo 17 será sancionado por la Agencia de Protección de Datos con
arreglo a lo establecido en la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal.
2. La potestad
sancionadora regulada en esta Ley se ejercerá de conformidad con lo
establecido al respecto en la Ley de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común y en sus
normas de desarrollo.
Disposición adicional primera.
Fe pública y uso de firma electrónica.
1. Lo dispuesto en esta
ley no sustituye ni modifica las normas que regulan las funciones que
corresponden a los funcionarios que tengan legalmente la facultad de dar fe
en documentos en lo que se refiere al ámbito de sus competencias siempre que
actúen con los requisitos exigidos en la ley.
2. En el ámbito de la
documentación electrónica, corresponderá a las entidades prestadoras de
servicios de certificación acreditar la existencia de los servicios
prestados en el ejercicio de su actividad de certificación electrónica, a
solicitud del usuario, o de una autoridad judicial o administrativa.
Disposición adicional
segunda.
Ejercicio de la potestad sancionadora sobre la entidad de acreditación y los
organismos de certificación de dispositivos de creación de firma
electrónica.
1. En el ámbito de la
certificación de dispositivos de creación de firma, corresponderá al
Secretario de Estado de Telecomunicaciones y para la Sociedad de la
Información del Ministerio de Ciencia y Tecnología la imposición de
sanciones por la comisión, por los organismos de certificación de
dispositivos seguros de creación de firma electrónica o por la entidad que
los acredite, de las infracciones graves previstas en los párrafos e), f) y
g) del apartado segundo del artículo 31 de la Ley 21/1992, de 16 de julio,
de Industria, y de las infracciones leves indicadas en el párrafo a) del
apartado 3 del artículo 31 de la citada ley que cometan en el ejercicio de
actividades relacionadas con la certificación de firma electrónica.
2. Cuando dichas
infracciones merezcan la calificación de infracciones muy graves, serán
sancionadas por el Ministro de Ciencia y Tecnología.
Disposición adicional
tercera.
Expedición de certificados electrónicos a entidades sin personalidad
jurídica para el cumplimiento de obligaciones tributarias.
Podrán expedirse
certificados electrónicos a las entidades sin personalidad jurídica a que se
refiere el artículo 33 de la Ley General Tributaria a los solos efectos de
su utilización en el ámbito tributario, en los términos que establezca el
Ministro de Hacienda.
Disposición adicional
cuarta.
Prestación de servicios por la Fabrica Nacional de Moneda y Timbre-Real Casa
de la Moneda.
Lo dispuesto en esta ley
se entiende sin perjuicio de lo establecido en el artículo 81 de la Ley
66/1997, de 30 de diciembre, de medidas fiscales, administrativas y del
orden social.
Disposición adicional
quinta.
Modificación del artículo 81 de la Ley 66/1997, de 30 de diciembre, de
medidas fiscales, administrativas y del orden social.
Se añaden apartado doce
al artículo 81 de la Ley 66/1997, de 30 de diciembre, de medidas fiscales,
administrativas y del orden social, con la siguiente redacción.
«Doce. En el ejercicio de
las funciones que le atribuye el presente artículo, la Fábrica Nacional de
Moneda y Timbre-Real Casa de la Moneda estará exenta de la constitución de
la garantía a la que se refiere el apartado 2 del artículo 20 de la Ley
59/2003, de Firma Electrónica.»
Disposición adicional
sexta. Régimen
jurídico del documento nacional de identidad electrónico.
1. Sin perjuicio de la
aplicación de la normativa vigente en materia del documento nacional de
identidad en todo aquello que se adecue a sus características particulares,
el documento nacional de identidad electrónico se regirá por su normativa
específica.
2. El Ministerio de
Ciencia y Tecnología podrá dirigirse al Ministerio del Interior para que por
parte de éste se adopten las medidas necesarias para asegurar el
cumplimiento de las obligaciones que le incumban como prestador de servicios
de certificación en relación con el documento nacional de identidad
electrónico.
Disposición adicional
séptima.
Emisión de facturas por vía electrónica.
Lo dispuesto en esta ley
se entiende sin perjuicio de las exigencias derivadas de las normas
tributarias en materia de emisión de facturas por vía electrónica.
Disposición adicional
octava.
Modificaciones de la Ley 34/2002, de 11 de julio, de
servicios de la sociedad de la información y de comercio electrónico.
Uno. Adición de un nuevo
apartado 3 al artículo 10 de la Ley 34/2002, de 11 de
julio, de servicios de la sociedad de la información y de comercio
electrónico.
Se añade un apartado 3
con el siguiente texto:
«3. Cuando se haya
atribuido un rango de numeración telefónica a servicios de tarificación
adicional en el que se permita el acceso a servicios de la sociedad de la
información y se requiera su utilización por parte del prestador de
servicios, esta utilización y la descarga de programas informáticos que
efectúen funciones de marcación, deberán realizarse con el consentimiento
previo, informado y expreso del usuario. A tal efecto, el prestador del
servicio deberá proporcionar al menos la siguiente información:
a) Las características
del servicio que se va a proporcionar.
b) Las funciones que
efectuarán los programas informáticos que se descarguen, incluyendo el
número telefónico que se marcará.
c) El procedimiento para
dar fin a la conexión de tarificación adicional, incluyendo una explicación
del momento concreto en que se producirá dicho fin, y
d) El procedimiento
necesario para restablecer el número de conexión previo a la conexión de
tarificación adicional.
La información anterior
deberá estar disponible de manera claramente visible e identificable.
Lo dispuesto en este
apartado se entiende sin perjuicio de lo establecido en la normativa de
telecomunicaciones, en especial, en relación con los requisitos aplicables
para el acceso por parte de los usuarios a los rangos de numeración
telefónica, en su caso, atribuidos a los servicios de tarificación
adicional.»
Dos. Los
apartados 2, 3 y 4 del artículo 38 de la Ley 34/2002,
de 11 de julio, de servicios de la sociedad de la información y de comercio
electrónico se redactan en los siguientes términos:
«2. Son infracciones muy
graves:
a) El incumplimiento de
las órdenes dictadas en virtud del artículo 8 en aquellos supuestos en que
hayan sido dictadas por un órgano administrativo.
b) El incumplimiento de
la obligación de suspender la transmisión, el alojamiento de datos, el
acceso a la red o la prestación de cualquier otro servicio equivalente de
intermediación, cuando un órgano administrativo competente lo ordene, en
virtud de lo dispuesto en el artículo 11.
c) El incumplimiento
significativo de la obligación de retener los datos de tráfico generados por
las comunicaciones establecidas durante la prestación de un servicio de la
sociedad de la información, prevista en el artículo 12.
d) La utilización de los
datos retenidos, en cumplimiento del artículo 12, para fines distintos de
los señalados en él.
3. Son infracciones
graves:
a) El incumplimiento de
la obligación de retener los datos de tráfico generados por las
comunicaciones establecidas durante la prestación de un servicio de la
sociedad de la información, prevista en el artículo 12, salvo que deba ser
considerado como infracción muy grave.
b) El incumplimiento
significativo de lo establecido en los párrafos a) y f) del artículo 10.1.
c) El envío masivo de
comunicaciones comerciales por correo electrónico u otro medio de
comunicación electrónica equivalente o el envío, en el plazo de un año, de
más de tres comunicaciones comerciales por los medios aludidos a un mismo
destinatario, cuando en dichos envíos no se cumplan los requisitos
establecidos en el artículo 21.
d) El incumplimiento
significativo de la obligación del prestador de servicios establecida en el
apartado 1 del artículo 22, en relación con los procedimientos para revocar
el consentimiento prestado por los destinatarios.
e) No poner a disposición
del destinatario del servicio las condiciones generales a que, en su caso,
se sujete el contrato, en la forma prevista en el artículo 27.
f) El incumplimiento
habitual de la obligación de confirmar la recepción de una aceptación,
cuando no se haya pactado su exclusión o el contrato se haya celebrado con
un consumidor.
g) La resistencia, excusa
o negativa a la actuación inspectora de los órganos facultados para llevarla
a cabo con arreglo a esta ley.
h) El incumplimiento
significativo de lo establecido en el apartado 3 del artículo 10.
i) El incumplimiento
significativo de las obligaciones de información o de establecimiento de un
procedimiento de rechazo del tratamiento de datos, establecidas en el
apartado 2 del artículo 22.
4. Son infracciones
leves:
a) La falta de
comunicación al registro público en que estén inscritos, de acuerdo con lo
establecido en el artículo 9, del nombre o nombres de dominio o direcciones
de Internet que empleen para la prestación de servicios de la sociedad de la
información.
b) No informar en la
forma prescrita por el artículo 10.1 sobre los aspectos señalados en los
párrafos b), c), d), e) y g) del mismo, o en los párrafos a) y f) cuando no
constituya infracción grave.
c) El incumplimiento de
lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas
promocionales y concursos.
d) El envío de
comunicaciones comerciales por correo electrónico u otro medio de
comunicación electrónica equivalente cuando en dichos envíos no se cumplan
los requisitos establecidos en el artículo 21 y no constituya infracción
grave.
e) No facilitar la
información a que se refiere el artículo 27.1, cuando las partes no hayan
pactado su exclusión o el destinatario sea un consumidor.
f) El incumplimiento de
la obligación de confirmar la recepción de una petición en los términos
establecidos en el artículo 28, cuando no se haya pactado su exclusión o el
contrato se haya celebrado con un consumidor, salvo que constituya
infracción grave.
g) El incumplimiento de
las obligaciones de información o de establecimiento de un procedimiento de
rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo
22, cuando no constituya una infracción grave.
h) El incumplimiento de
la obligación del prestador de servicios establecida en el apartado 1 del
artículo 22, en relación con los procedimientos para revocar el
consentimiento prestado por los destinatarios cuando no constituya
infracción grave.
i) El incumplimiento de
lo establecido en el apartado 3 del artículo 10, cuando no constituya
infracción grave.»
Tres. Modificación del artículo
43, apartado 1, segundo párrafo de la Ley 34/2002, de 11 de julio, de
servicios de la sociedad de la información y de comercio electrónico.
El segundo párrafo del
apartado 1 del artículo 43 queda redactado como sigue:
«No obstante lo anterior,
la imposición de sanciones por incumplimiento de las resoluciones dictadas
por los órganos competentes en función de la materia o entidad de que se
trate a que se refieren los párrafos a) y b) del artículo 38.2 de esta ley
corresponderá al órgano que dictó la resolución incumplida. Igualmente,
corresponderá a la Agencia de Protección de Datos la imposición de sanciones
por la comisión de las infracciones tipificadas en los artículos 38.3 c), d)
e i) y 38.4 d), g) y h) de esta ley.»
Cuatro. Modificación del
artículo 43, apartado 2 de la Ley 34/2002, de 11 de
julio, de servicios de la sociedad de la información y de comercio
electrónico.
El apartado 2 del
artículo 43 queda redactado como sigue:
«2. La potestad
sancionadora regulada en esta ley se ejercerá de conformidad con lo
establecido al respecto en la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo
Común, y en sus normas de desarrollo. No obstante, el plazo máximo de
duración del procedimiento simplificado será de tres meses.»
Disposición adicional
novena.
Garantía de accesibilidad para las personas con discapacidad y de la tercera
edad.
Los servicios, procesos,
procedimientos y dispositivos de firma electrónica deberán ser plenamente
accesibles a las personas con discapacidad y de la tercera edad, las cuales
no podrán ser en ningún caso discriminadas en el ejercicio de los derechos y
facultades reconocidos en esta ley por causas basadas en razones de
discapacidad o edad avanzada.
Disposición adicional
décima.
Modificación de la Ley de Enjuiciamiento Civil.
Se añade un
apartado tres al artículo 326 de la Ley de
Enjuiciamiento Civil con el siguiente tenor:
«Cuando la parte a quien
interese la eficacia de un documento electrónico lo pida o se impugne su
autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de
la Ley de Firma Electrónica.»
Disposición transitoria primera.
Validez de los certificados electrónicos expedidos previamente a la entrada
en vigor de esta ley.
Los certificados
electrónicos que hayan sido expedidos por prestadores de servicios de
certificación en el marco del Real Decreto Ley 14/1999, de 17 de septiembre,
sobre firma electrónica, mantendrán su validez.
Disposición transitoria
segunda.
Prestadores de servicios de certificación establecidos en España antes de la
entrada en vigor de esta ley.
Los prestadores de
servicios de certificación establecidos en España antes de la entrada en
vigor de esta ley deberán comunicar al Ministerio de Ciencia y Tecnología su
actividad y las características de los servicios que presten en el plazo de
un mes desde la referida entrada en vigor. Esta información será objeto de
publicación en la dirección de internet del citado ministerio con la
finalidad de otorgarle la máxima difusión y conocimiento.
Disposición derogatoria única.
Derogación normativa.
Queda derogado el Real
Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica y cuantas
disposiciones de igual o inferior rango se opongan a lo dispuesto en esta
ley.
Disposición final primera.
Fundamento constitucional.
Esta ley se dicta al
amparo del artículo
149.1.8.ª, 18.ª, 21.ª y 29.ª de la Constitución.
Disposición final
segunda.
Desarrollo reglamentario.
1. El Gobierno adaptará
la regulación reglamentaria del documento nacional de identidad a las
previsiones de esta ley.
2. Así mismo, se habilita
al Gobierno para dictar las demás disposiciones reglamentarias que sean
precisas para el desarrollo y aplicación de esta ley.
Disposición final
tercera.
Entrada en vigor.
La presente ley entrará
en vigor a los tres meses de su publicación en el «Boletín Oficial del
Estado».
Por tanto,
Mando a todos los
españoles, particulares y autoridades, que guarden y hagan guardar esta ley.
Madrid, 19 de diciembre
de 2003.
JUAN CARLOS R.
El Presidente del
Gobierno,
JOSÉ MARÍA AZNAR LÓPEZ
|
