FIRMA DIGITAL
Decisión Administrativa 6/2007
Establécese el marco normativo de firma digital aplicable al otorgamiento y revocación de las licencias a los certificadores que así lo soliciten.
Bs. As., 7/2/2007
VISTO la Ley Nº 25.506, los Decretos Nros. 2628 del 19 de diciembre de 2002, 624 del 21 de agosto de 2003, 1028 del 6 de noviembre de 2003; 409 del 2 de mayo de 2005 y 724 del 8 de junio de 2006.
CONSIDERANDO:
Que la Ley Nº 25.506 legisló sobre la firma digital, la firma electrónica y el documento digital.
Que dicha normativa ha significado un salto cualitativo importante a fin de habilitar la validez legal del documento digital, otorgándole las condiciones de autoría e integridad imprescindibles como base del comercio electrónico, el gobierno electrónico y la sociedad de la información.
Que resulta necesario dictar las normas técnicas que permitan implementar definitivamente el sistema de licenciamiento establecido en la mencionada ley, regulando la Infraestructura de Firma Digital de la República Argentina.
Que el Decreto Nº 2628/02, reglamentario de la Ley Nº 25.506 de Firma Digital creó, a través de su artículo 11, el Ente Administrador de Firma Digital dependiente de la JEFATURA DE GABINETE DE MINISTROS, como órgano técnico administrativo encargado de otorgar las licencias a los certificadores, de supervisar su actividad y dictar las normas tendientes a asegurar el régimen de libre competencia en el mercado de los prestadores y la protección de los usuarios de Firma Digital.
Que el Decreto Nº 624/03 aprobó la estructura organizativa de primer nivel operativo de la JEFATURA DE GABINETE DE MINISTROS, estableciendo la responsabilidad primaria de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS.
Que el Decreto Nº 1028/03, modificatorio del Decreto Nº 624/03, a fin de reordenar y racionalizar los recursos en materia de infraestructura de firma digital, disolvió el Ente Administrador de Firma Digital y resolvió que su accionar sea llevado a cabo por la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION, como así también asignarle la responsabilidad de intervenir en la definición de las normas y procedimientos reglamentarios del régimen de firma digital establecido en la Ley Nº 25.506.
Que conforme al Decreto Nº 409/05, uno de los objetivos de la SUBSECRETARIA DE LA GESTION PUBLICA es actuar como autoridad de aplicación del régimen normativo de Firma Digital así como en las funciones de entidad licenciante de certificadores.
Que el Decreto Nº 724/06 modifica el Decreto Nº 2628/02 en sus artículos 1º inciso b), 30 y 38, regulando la aceptación por parte de terceros usuarios de los documentos firmados digitalmente.
Que ha tomado intervención el servicio jurídico competente.
Que la presente medida se encuadra en las facultades atribuidas por el artículo 100 incisos 1 y 2 de la Constitución Nacional y el artículo 6 del Decreto Nº 2628 del 19 de diciembre de 2002.
Por ello,
EL JEFE DE GABINETE DE MINISTROS
DECIDE:
CAPITULO I
Artículo 1º — Establécese el marco normativo de firma digital aplicable al otorgamiento y revocación de las licencias a los certificadores que así lo soliciten, conforme a los requisitos y procedimientos de la presente Decisión y sus correspondientes Anexos.
Art. 2º — Apruébanse los "Requisitos para el licenciamiento de certificadores" que como Anexo I forma parte de la presente Decisión.
Art. 3º — Apruébanse los "Requisitos Mínimos para Políticas de Certificación" que como Anexo II forma parte de la presente Decisión.
Art. 4º — Apruébase el "Perfil Mínimo de Certificados y Listas de Certificados Revocados" que como Anexo III forma parte de la presente Decisión.
Art. 5º — Apruébanse los "Contenidos Mínimos del Resumen de la Política de Certificación y del Manual de Procedimientos de Certificación para Suscriptores" que como Anexo IV forma parte de la presente Decisión.
Art. 6º — Apruébanse los "Contenidos Mínimos de los Acuerdos con Suscriptores" que como Anexo V forma parte de la presente Decisión.
Art. 7º — Apruébanse los "Contenidos Mínimos de los Términos y Condiciones con Terceros Usuarios" que como Anexo VI forma parte de la presente Decisión.
Art. 8º — Apruébanse los "Montos de aranceles y garantías" que como Anexo VII forma parte de la presente Decisión.
Art. 9º — Apruébanse los "Contenidos Mínimos de la Política de Privacidad" que como Anexo VIII forma parte de la presente Decisión.
CAPITULO II
PRINCIPIOS GENERALES
Art. 10°. — Principios. La actividad de los certificadores licenciados se realizará con arreglo a los principios de objetividad, transparencia y no discriminación.
Art. 11°. — Alcance. El cumplimiento de las normas reglamentarias técnicas establecidas en la presente Decisión sólo será obligatorio para aquellas entidades que decidan obtener el carácter de certificador licenciado.
Art. 12°. — Confidencialidad. Toda la documentación exigida durante el proceso de licenciamiento conforme lo determinado en el Anexo I "Requisitos para el licenciamiento de certificadores", será considerada confidencial.
El ente licenciante sólo procederá a su utilización a los fines de evaluar la aptitud del certificador para cumplir con sus funciones y obligaciones inherentes al licenciamiento, absteniéndose de proceder a revelarla, utilizarla para otros fines o bien divulgarla a terceros aún después de haber finalizado el proceso de licenciamiento, salvo respecto de aquella información que la normativa vigente establezca como pública.
CAPITULO III
INFRAESTRUCTURA DE FIRMA DIGITAL DE LA REPUBLICA ARGENTINA
Art. 13°. — Alcance. Se definen como componentes de la Infraestructura de Firma Digital de la República Argentina:
a) al ente licenciante y su Autoridad Certificante Raíz,
b) los certificadores licenciados, incluyendo sus Autoridades Certificantes y sus Autoridades de Registro,
c) los suscriptores de los certificados digitales de esas Autoridades Certificantes y
d) los terceros usuarios de esos certificados.
Art. 14°. — De la Autoridad Certificante Raíz. Es la Autoridad Certificante administrada por el ente licenciante que emite certificados digitales a las Autoridades Certificantes de los certificadores licenciados correspondientes a sus Políticas de Certificación aprobadas. Al otorgar la licencia respecto a una Política de Certificación, el ente licenciante procederá a emitirle un certificado digital a través de su Autoridad Certificante Raíz.
Art. 15°. — Vínculo entre las Políticas de Certificación licenciadas y las Autoridades Certificantes de los certificadores. El certificador licenciado debe implementar una Autoridad Certificante por cada una de sus Políticas de Certificación licenciadas. La Autoridad Certificante Raíz emitirá un certificado digital para cada una de esas Autoridades Certificantes.
Art. 16°. — De las Autoridades Certificantes de certificadores licenciados: Los certificadores licenciados emitirán certificados digitales a los suscriptores de sus Políticas de Certificación, a través de las Autoridades Certificantes que forman parte de su infraestructura tecnológica. Diferentes Autoridades Certificantes de un certificador licenciado podrán compartir la misma infraestructura tecnológica, previa aprobación por parte del ente licenciante.
Art. 17°. — De la infraestructura tecnológica. Se entiende por infraestructura tecnológica del certificador al conjunto de servidores, software y dispositivos criptográficos utilizados para la generación, almacenamiento y publicación de los certificados digitales y para la provisión de información sobre su estado de validez. La infraestructura tecnológica que soporta los servicios del certificador, deberá estar situada en territorio argentino, bajo su control y afectada exclusivamente a las tareas de certificación.
No se admitirá compartir infraestructuras tecnológicas entre distintos certificadores.
Art. 18°. — Condiciones de uso de la infraestructura tecnológica. El certificador podrá utilizar la misma infraestructura tecnológica, para emitir certificados digitales de políticas de certificación no licenciadas, mientras use los mismos procedimientos y recursos utilizados para sus políticas de certificación licenciadas siempre y cuando no se afecten las condiciones de seguridad y control que dieron lugar al otorgamiento de la licencia. En todos los casos debe mediar autorización previa del ente licenciante.
Art. 19°. — Restricciones a la emisión de certificados digitales por parte de los certificadores licenciados. Un certificador licenciado no podrá emitir certificados a Autoridades Certificantes subordinadas.
CAPITULO IV
DE LOS ESTANDARES TECNOLOGICOS Y OPERATIVOS DE LA INFRAESTRUCTURA DE FIRMA DIGITAL
Art. 20°. — Estándares tecnológicos. Establécese como estándar tecnológico de la Infraestructura de Firma Digital de la República Argentina, en lo referente al formato de los certificados digitales y listas de certificados revocados, al estándar ITU-T X.509 (ISO/IEC 9594-8) de acuerdo con las pautas definidas en el Anexo III.
Art. 21°. — Estándares operativos. Establécense como estándares operativos de la Infraestructura de Firma Digital de la República Argentina, los contenidos en los Anexos I y II.
CAPITULO V
DE LOS CERTIFICADORES LICENCIADOS
Art. 22°. — Certificadores licenciados. Aquellas entidades que soliciten el carácter de certificadores licenciados deberán cumplir con los requisitos de licenciamiento establecidos en el Anexo I.
Art. 23°. — Consentimiento de los suscriptores de certificados digitales. Para la emisión de certificados, los certificadores licenciados y/o sus autoridades de registro, deberán contar con el consentimiento libre, expreso e informado del suscriptor, el que deberá constar por escrito. Este consentimiento debe incluir la confirmación, por parte del suscriptor, de que la información a incluir en el certificado es correcta.
El certificador licenciado no podrá llevar a cabo publicación alguna de los certificados que hubiere emitido sin previa autorización de su correspondiente titular, sin perjuicio de lo dispuesto en el inciso f) del artículo 19 de la Ley Nº 25.506.
Art. 24°. — Publicación de información adicional. Conforme lo establecido en el inciso k) del Artículo 21 de la Ley Nº 25.506, los certificadores licenciados adicionalmente deberán publicar en Internet, en forma permanente e ininterrumpida, los actos administrativos por los cuales les fueron otorgadas y eventualmente revocadas sus licencias, los acuerdos con suscriptores y términos y condiciones con terceros usuarios, para cada una de las políticas de certificación por la cual obtuvo una licencia, y toda otra información relevante relativa a ella.
Art. 25°. — Domicilio del certificador licenciado. El certificador licenciado deberá encontrarse domiciliado en el territorio de la República Argentina, considerándose que cumple con este requisito, cuando el establecimiento en el cual desempeña en forma permanente, habitual o continuada su actividad, se encuentre situado en el territorio argentino.
Art. 26°. — Comunicación de cambios. Los certificadores licenciados están obligados a notificar al ente licenciante con una antelación no menor a DIEZ (10) días, cualquier modificación que proyecten realizar sobre los aspectos que fueron objeto de revisión para el otorgamiento de su licencia, reservándose el ente licenciante la facultad de aceptar o rechazar dichos cambios.
Art. 27°. — Uso del término "licenciado" Queda absolutamente prohibido el uso del término "licenciado" a todos aquellos prestadores del servicio de certificación u otros servicios relacionados con la firma digital, que no hayan cumplido con el correspondiente proceso de licenciamiento establecido por la presente Decisión.
Art. 28°. — Reconocimiento de certificados extranjeros. Sin perjuicio de la validación que a dicho efecto deberá realizar la Autoridad de Aplicación, todo aquel certificador licenciado que quiera garantizar la validez y vigencia de certificados extranjeros en los términos del inciso b) del artículo 16 de la Ley Nº 25.506, deberá presentar al ente licenciante para su aprobación una política de certificación apropiada a los fines de la obtención de la licencia correspondiente, como así también acreditar el cumplimiento de los demás requisitos exigidos.
CAPITULO VI
REGISTRO DE CERTIFICADORES LICENCIADOS
Art. 29°. — Registro de certificadores licenciados. El ente licenciante deberá mantener actualizado en forma regular y continua, y accesible por Internet, un registro de certificadores licenciados y de aquellos certificadores cuyas licencias hayan vencido o hayan sido revocadas.
Este registro deberá contener el número de Resolución que concede, renueva o revoca la licencia, el o los certifcados digitales del certificador licenciado, la identificación del certificador, su domicilio y números telefónicos, la dirección de su sitio en Internet, las políticas de certificación del certificador licenciado, así como las correspondientes Resoluciones que las aprueban. Toda nueva Política de Certificación presentada por dicho certificador licenciado para su licenciamiento y aprobada por el ente licenciante, será incluida en el registro de certificadores mencionado en el presente artículo, con su correspondiente Resolución.
CAPITULO VII
CERTIFICADOS DE PERSONAS JURIDICAS
Art. 30°. — Certificados de personas jurídicas. Podrán solicitar certificados digitales las personas jurídicas a través de sus representantes legales o apoderados con poder suficiente a dichos efectos.
La custodia de los datos de creación de firma asociados a cada certificado digital correspondiente a la persona jurídica solicitante, será responsabilidad de su representante legal o apoderado, debiendo su identificación ser incluida en dicho certificado.
Art. 31°. — Certificados de aplicaciones. Las personas jurídicas podrán solicitar certificados digitales para utilizar en sus aplicaciones informáticas. Dicha solicitud deberá ser realizada según lo establecido en el artículo anterior.
La constancia de la identificación de la persona física responsable de la custodia de los datos de creación de firma asociados a cada certificado digital, deberá ser conservada por el certificador como información de respaldo de la emisión del certificado.
CAPITULO VIII
AUDITORIAS
Art. 32°. — Auditorías Ordinarias. El ente licenciante realizará auditorías ordinarias a los certificadores y a sus autoridades de registro a fin de verificar el cumplimiento de los requisitos de licenciamiento. Dichas auditorías se realizarán previamente al otorgamiento de la licencia y posteriormente en forma anual.
Art. 33°. — Inspecciones extraordinarias El ente licenciante podrá realizar inspecciones extraordinarias de oficio o en caso de denuncias de terceros basadas en posibles deficiencias o incumplimientos incurridos por el certificador licenciado.
CAPITULO IX
ARANCELES Y GARANTIAS
Art. 34°. — Establecimiento de aranceles y garantías. De acuerdo a los artículos 30 inciso f) y 32 de la Ley de Firma Digital el ente licenciante procederá, cuando lo estime necesario, a la actualización de los montos de los respectivos aranceles de licenciamiento y renovación, monto de garantía de caución y multas por incumplimientos. Asimismo, conforme al Anexo VII de la presente medida, procederá a fijar aranceles para los nuevos servicios que pudieran prestarse en el marco de la Infraestructura de Firma Digital de la República Argentina.
Art. 35°. — Arancel de licenciamiento. El proceso de evaluación por parte del ente licenciante acerca del cumplimiento de todas las condiciones legales y técnicas que hacen al carácter de certificador licenciado, genera la obligación de pago del arancel de licenciamiento. Dicho arancel no será reembolsable en caso alguno.
Art. 36°. — Exención al pago del arancel. Los certificadores licenciados pertenecientes a entidades y jurisdicciones del sector público quedarán exentos de la obligación de pago del arancel de licenciamiento.
Art. 37°. — Lugar de pago de aranceles y multas. Los aranceles y las multas que pudieran aplicarse deberán ser abonados en la COORDINACION DE TESORERIA dependiente de la DIRECCION GENERAL TECNICO ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS.
Art. 38°. — Garantías. Las entidades privadas que soliciten licencia de certificador deberán constituir un seguro de caución a fin de garantizar el cumplimiento de las obligaciones de la presente.
Las pólizas de seguro de caución deberán reunir las siguientes condiciones básicas:
a) Instituir al ente licenciante como asegurado.
b) Mantener la vigencia del seguro de caución mientras no se extingan las obligaciones cuyo cumplimiento se cubre.
La garantía exigida deberá ser acreditada por el certificador como requisito previo al otorgamiento de la licencia y sus renovaciones.
Art. 39°. — Incumplimiento de obligaciones. Dictada la Resolución que establece la responsabilidad del certificador licenciado por el incumplimiento de las obligaciones a su cargo y, previa intimación infructuosa de pago, el ente licenciante, en su calidad de asegurado, procederá a exigir al asegurador el pago pertinente, el que deberá efectuarse dentro del término de QUINCE (15) días de serle requerido, no siendo necesaria ninguna otra interpelación ni acción previa contra sus bienes.
CAPITULO X
NORMAS DE PROCEDIMIENTO
Art. 40°. — Plazos. Todos los términos y plazos fijados en la presente normativa se regirán según lo establecido en la Ley Nº 19.549 y sus modificatorias.
Art. 41°. — Inicio del trámite. Se dará inicio al procedimiento de licenciamiento cuando el interesado presente la solicitud de licencia conjuntamente con toda la documentación detallada en el Anexo I.
Art. 42°. — Admisibilidad de la solicitud. Recibida la solicitud de licencia, se procederá a su estudio de forma o admisibilidad mediante la verificación de los antecedentes requeridos.
El interesado deberá subsanar las omisiones o bien ampliar o efectuar aclaraciones sobre la documentación presentada dentro de los DIEZ (10) días de haber sido notificado, caso contrario se procederá a rechazar la solicitud.
Art. 43°. — Adecuación de condiciones. Cuando del análisis de la documentación presentada o de las auditorías realizadas surgieran observaciones, se procederá a informar al solicitante a los fines de que proceda a subsanarlas dentro del plazo que el ente licenciante determine a dichos fines y efectos.
Art. 44°. — Dictamen de aptitud. Una vez aceptada la documentación en las condiciones requeridas por la presente decisión, se procederá a emitir en el término de SESENTA (60) días el dictamen legal y técnico respecto a la aptitud del certificador para cumplir con las funciones y obligaciones inherentes al licenciamiento. Este plazo no se computará a los fines del artículo precedente.
Art. 45°. — Finalización del trámite. Emitido el dictamen legal y técnico que acredite la aptitud del certificador y, habiéndose presentado el seguro de caución en los casos que así correspondiese, el ente licenciante procederá al dictado de la Resolución que otorgue la correspondiente licencia y ordenará su publicación en el Boletín Oficial.
Art. 46. — Rechazo de la solicitud. En caso que el dictamen legal y técnico fuera desfavorable, el ente licenciante procederá a dictar una Resolución fundada denegando la solicitud la cual deberá ser publicada en el Boletín Oficial.
RENOVACION
Art. 47°. — Renovación de licencias. Todo inicio de trámite de renovación está supeditado al pago del correspondiente arancel, el que deberá ser abonado con anterioridad a la presentación de la solicitud.
El trámite de renovación se regirá por las mismas normas establecidas en los artículos precedentes y deberá ser iniciado con SESENTA (60) días de anticipación al vencimiento de la licencia original.
Es responsabilidad del certificador tomar los recaudos necesarios en previsión de demoras en la renovación de la licencia, para evitar que el vencimiento de certificados y políticas afecte a sus suscriptores.
CAPITULO XI
CESE DE ACTIVIDADES
Art. 48°. — Cese de actividades. El plan de cese de actividades deberá llevarse a cabo en un todo conforme a lo establecido en el Anexo I.
Art. 49°. — Notificación del cese de actividades. Si el cese se produce por decisión unilateral del certificador licenciado, esta circunstancia se deberá comunicar al ente licenciante y a los suscriptores de certificados con una antelación de TREINTA (30) días.
Si el cese se produjera por caducidad de su licencia dispuesta por el ente licenciante o bien por cancelación de su personería jurídica, el ente licenciante procederá, en un plazo no mayor a CUARENTA Y OCHO (48) horas, a publicar dicho cese en el Boletín Oficial.
CAPITULO XII
DEFENSA DEL USUARIO
Art. 50°. — Obligación de informar. Los certificadores licenciados deberán informar a todo solicitante, previo a la emisión de los correspondientes certificados, la política de certificación bajo la cual serán emitidos, sus condiciones y límites de utilización, condiciones de la licencia obtenida y todo aquello que fuere relevante con relación a un uso correcto y seguro de dichos certificados, como así también prever procedimientos que aseguren la resolución preventiva de conflictos.
Art. 51°. — Reclamos. En caso de reclamos de los usuarios de certificados digitales que se encuentren relacionados con la prestación de los servicios de un certificador licenciado conforme los términos de la presente normativa, el ente licenciante, previa constancia de haberse formulado el reclamo previo correspondiente ante su propio certificador licenciado con resultado negativo, procederá a recibir la denuncia correspondiente, la que deberá ser evaluada y resuelta mediante la instrucción de las actuaciones correspondientes, sin perjuicio de dejar a salvo los derechos de las partes en conflicto de recurrir a la vía judicial cuando así lo creyeran conveniente.
CAPITULO XIII
SANCIONES
Art. 52°. — Gradación de Sanciones. En caso de incumplimiento a las disposiciones de la Ley Nº 25.506, su Decreto Reglamentario y la presente normativa el ente licenciante, previa instrucción sumarial procederá a aplicar las sanciones administrativas que correspondan.
La gradación de las sanciones referidas en el artículo 41 de la Ley Nº 25.506 será realizada por el ente licenciante teniendo en cuenta el tipo de infracción, su repercusión social, el número de usuarios afectados y la gravedad del ilícito.
Art. 53°. — Cuantía de multas. El ente licenciante graduará la cuantía de las multas que se impongan, dentro de los límites indicados, teniendo en cuenta lo siguiente:
a) La existencia de dolo o intencionalidad.
b) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por acto administrativo firme.
c) La naturaleza y cuantía de los perjuicios causados.
d) El tiempo durante el que se haya venido cometiendo la infracción.
e) El beneficio que haya reportado al infractor la comisión de la infracción.
Art. 54°. — Inscripción de Sanciones. Cuando se imponga una sanción, será inscripta en el Registro de certificadores licenciados.
Art. 55°. — Publicación de sanción de caducidad. En los supuestos previstos en el artículo 44 de la Ley Nº 25.506, será obligación del ente licenciante llevar a cabo la publicación en el Boletín Oficial de la Resolución que ordene la caducidad de la licencia previamente otorgada, circunstancia que deberá constar obligatoriamente en la página de inicio del sitio de Internet del certificador.
CAPITULO XIV
DISPOSICIONES GENERALES.
Art. 56°. — Facúltase al Señor SUBSECRETARIO DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS a dictar las normas aclaratorias y complementarias de la presente medida.
Art. 57°. — Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Alberto A. Fernández. — Alberto J. B. Iribarne.
ANEXOS DEL I AL VIII
NOTA: Esta Decisión Administrativa se publica sin Anexos. La documentación no publicada puede ser consultada en la Sede Central de esta Dirección Nacional (Suipacha 767 - Ciudad Autónoma de Buenos Aires) y en www.boletinoficial.gov.ar