Decisión Administrativa Nº 6/2007. Establécese el marco normativo de firma digital aplicable al otorgamiento y revocación de las licencias a los certificadores que así lo soliciten.
Publicado en el Boletin Oficial: 12/02/2007
Bs.
As., 7/2/2007
VISTO la Ley Nº 25.506, los Decretos Nros. 2628 del 19 de diciembre de 2002,
624 del 21 de agosto de 2003, 1028 del 6 de noviembre de 2003; 409 del 2 de mayo
de 2005 y 724 del 8 de junio de 2006.
CONSIDERANDO:
Que la Ley Nº 25.506 legisló sobre la firma digital, la firma electrónica y
el documento digital.
Que dicha normativa ha significado un salto cualitativo importante a fin de
habilitar la validez legal del documento digital, otorgándole las condiciones
de autoría e integridad imprescindibles como base del comercio electrónico, el
gobierno electrónico y la sociedad de la información.
Que resulta necesario dictar las normas técnicas que permitan implementar
definitivamente el sistema de licenciamiento establecido en la mencionada ley,
regulando la Infraestructura de Firma Digital de la República Argentina.
Que el Decreto Nº 2628/02, reglamentario de la Ley Nº 25.506 de Firma Digital
creó, a través de su artículo 11, el Ente Administrador de Firma Digital
dependiente de la JEFATURA DE GABINETE DE MINISTROS, como órgano técnico
administrativo encargado de otorgar las licencias a los certificadores, de
supervisar su actividad y dictar las normas tendientes a asegurar el régimen de
libre competencia en el mercado de los prestadores y la protección de los
usuarios de Firma Digital.
Que el Decreto Nº 624/03 aprobó la estructura organizativa de primer nivel
operativo de la JEFATURA DE GABINETE DE MINISTROS, estableciendo la
responsabilidad primaria de la OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION de
la SUBSECRETARIA DE LA GESTION PUBLICA de la JEFATURA DE GABINETE DE MINISTROS.
Que el Decreto Nº 1028/03, modificatorio del Decreto Nº 624/03, a fin de
reordenar y racionalizar los recursos en materia de infraestructura de firma
digital, disolvió el Ente Administrador de Firma Digital y resolvió que su
accionar sea llevado a cabo por la OFICINA NACIONAL DE TECNOLOGIAS DE
INFORMACION, como así también asignarle la responsabilidad de intervenir en la
definición de las normas y procedimientos reglamentarios del régimen de firma
digital establecido en la Ley Nº 25.506.
Que conforme al Decreto Nº 409/05, uno de los objetivos de la SUBSECRETARIA DE
LA GESTION PUBLICA es actuar como autoridad de aplicación del régimen
normativo de Firma Digital así como en las funciones de entidad licenciante de
certificadores.
Que el Decreto Nº 724/06 modifica el Decreto Nº 2628/02 en sus artículos 1º
inciso b), 30 y 38, regulando la aceptación por parte de terceros usuarios de
los documentos firmados digitalmente.
Que ha tomado intervención el servicio jurídico competente.
Que la presente medida se encuadra en las facultades atribuidas por el artículo
100 incisos 1 y 2 de la Constitución Nacional y el artículo 6 del Decreto Nº
2628 del 19 de diciembre de 2002.
Por ello,
EL JEFE DE GABINETE DE MINISTROS
DECIDE:
CAPITULO I
Artículo 1º — Establécese el marco normativo de firma digital aplicable al otorgamiento y revocación de las licencias a los certificadores que así lo soliciten, conforme a los requisitos y procedimientos de la presente Decisión y sus correspondientes Anexos.
Art. 2º — Apruébanse los "Requisitos para el licenciamiento de certificadores" que como Anexo I forma parte de la presente Decisión.
Art. 3º — Apruébanse los "Requisitos Mínimos para Políticas de Certificación" que como Anexo II forma parte de la presente Decisión.
Art. 4º — Apruébase el "Perfil Mínimo
de Certificados y Listas de Certificados Revocados" que como Anexo III
forma parte de la presente Decisión.
Art. 5º — Apruébanse los "Contenidos Mínimos
del Resumen de la Política de Certificación y del Manual de Procedimientos de
Certificación para Suscriptores" que como Anexo IV forma parte de la
presente Decisión.
Art. 6º — Apruébanse los "Contenidos Mínimos
de los Acuerdos con Suscriptores" que como Anexo V forma parte de la
presente Decisión.
Art. 7º — Apruébanse los "Contenidos Mínimos
de los Términos y Condiciones con Terceros Usuarios" que como Anexo VI
forma parte de la presente Decisión.
Art. 8º — Apruébanse los "Montos de
aranceles y garantías" que como Anexo VII forma parte de la presente
Decisión.
Art. 9º — Apruébanse los "Contenidos Mínimos
de la Política de Privacidad" que como Anexo VIII forma parte de la
presente Decisión.
CAPITULO
II
PRINCIPIOS GENERALES
Art.
10. — Principios. La actividad de los certificadores licenciados se
realizará con arreglo a los principios de objetividad, transparencia y no
discriminación.
Art. 11. — Alcance. El cumplimiento de las
normas reglamentarias técnicas establecidas en la presente Decisión sólo será
obligatorio para aquellas entidades que decidan obtener el carácter de
certificador licenciado.
Art. 12. — Confidencialidad. Toda la
documentación exigida durante el proceso de licenciamiento conforme lo
determinado en el Anexo I "Requisitos para el licenciamiento de
certificadores", será considerada confidencial.
El ente licenciante sólo procederá a su utilización a los fines de evaluar la
aptitud del certificador para cumplir con sus funciones y obligaciones
inherentes al licenciamiento, absteniéndose de proceder a revelarla, utilizarla
para otros fines o bien divulgarla a terceros aún después de haber finalizado
el proceso de licenciamiento, salvo respecto de aquella información que la
normativa vigente establezca como pública.
CAPITULO
III
INFRAESTRUCTURA DE FIRMA DIGITAL DE LA REPUBLICA ARGENTINA
Art.
13. — Alcance. Se definen como componentes de la Infraestructura de
Firma Digital de la República Argentina:
a) al ente licenciante y su Autoridad Certificante Raíz,
b) los certificadores licenciados, incluyendo sus Autoridades Certificantes y
sus Autoridades de Registro,
c) los suscriptores de los certificados digitales de esas Autoridades
Certificantes y
d) los terceros usuarios de esos certificados.
Art. 14. — De la Autoridad Certificante Raíz.
Es la Autoridad Certificante administrada por el ente licenciante que emite
certificados digitales a las Autoridades Certificantes de los certificadores
licenciados correspondientes a sus Políticas de Certificación aprobadas. Al
otorgar la licencia respecto a una Política de Certificación, el ente
licenciante procederá a emitirle un certificado digital a través de su
Autoridad Certificante Raíz.
Art. 15. — Vínculo entre las Políticas de
Certificación licenciadas y las Autoridades Certificantes de los
certificadores. El certificador licenciado debe implementar una Autoridad
Certificante por cada una de sus Políticas de Certificación licenciadas. La
Autoridad Certificante Raíz emitirá un certificado digital para cada una de
esas Autoridades Certificantes.
Art. 16. — De las Autoridades Certificantes de
certificadores licenciados: Los certificadores licenciados emitirán
certificados digitales a los suscriptores de sus Políticas de Certificación, a
través de las Autoridades Certificantes que forman parte de su infraestructura
tecnológica. Diferentes Autoridades Certificantes de un certificador licenciado
podrán compartir la misma infraestructura tecnológica, previa aprobación por
parte del ente licenciante.
Art. 17. — De la infraestructura tecnológica.
Se entiende por infraestructura tecnológica del certificador al conjunto de
servidores, software y dispositivos criptográficos utilizados para la generación,
almacenamiento y publicación de los certificados digitales y para la provisión
de información sobre su estado de validez. La infraestructura tecnológica que
soporta los servicios del certificador, deberá estar situada en territorio
argentino, bajo su control y afectada exclusivamente a las tareas de certificación.
No se admitirá compartir infraestructuras tecnológicas entre distintos
certificadores.
Art. 18. — Condiciones de uso de la
infraestructura tecnológica. El certificador podrá utilizar la misma
infraestructura tecnológica, para emitir certificados digitales de políticas
de certificación no licenciadas, mientras use los mismos procedimientos y
recursos utilizados para sus políticas de certificación licenciadas siempre y
cuando no se afecten las condiciones de seguridad y control que dieron lugar al
otorgamiento de la licencia. En todos los casos debe mediar autorización previa
del ente licenciante.
Art. 19. — Restricciones a la emisión de
certificados digitales por parte de los certificadores licenciados. Un
certificador licenciado no podrá emitir certificados a Autoridades
Certificantes subordinadas.
CAPITULO
IV
DE LOS ESTANDARES TECNOLOGICOS Y OPERATIVOS DE LA INFRAESTRUCTURA DE FIRMA
DIGITAL
Art.
20. — Estándares tecnológicos. Establécese como estándar tecnológico
de la Infraestructura de Firma Digital de la República Argentina, en lo
referente al formato de los certificados digitales y listas de certificados
revocados, al estándar ITU-T X.509 (ISO/IEC 9594-8) de acuerdo con las pautas
definidas en el Anexo III.
Art. 21. — Estándares operativos. Establécense
como estándares operativos de la Infraestructura de Firma Digital de la República
Argentina, los contenidos en los Anexos I y II.
CAPITULO
V
DE LOS CERTIFICADORES LICENCIADOS
Art.
22. — Certificadores licenciados. Aquellas entidades que soliciten el
carácter de certificadores licenciados deberán cumplir con los requisitos de
licenciamiento establecidos en el Anexo I.
Art. 23. — Consentimiento de los suscriptores
de certificados digitales. Para la emisión de certificados, los certificadores
licenciados y/o sus autoridades de registro, deberán contar con el
consentimiento libre, expreso e informado del suscriptor, el que deberá constar
por escrito. Este consentimiento debe incluir la confirmación, por parte del
suscriptor, de que la información a incluir en el certificado es correcta.
El certificador licenciado no podrá llevar a cabo publicación alguna de los
certificados que hubiere emitido sin previa autorización de su correspondiente
titular, sin perjuicio de lo dispuesto en el inciso f) del artículo 19 de la
Ley Nº 25.506.
Art. 24. — Publicación de información
adicional. Conforme lo establecido en el inciso k) del Artículo 21 de la Ley Nº
25.506, los certificadores licenciados adicionalmente deberán publicar en
Internet, en forma permanente e ininterrumpida, los actos administrativos por
los cuales les fueron otorgadas y eventualmente revocadas sus licencias, los
acuerdos con suscriptores y términos y condiciones con terceros usuarios, para
cada una de las políticas de certificación por la cual obtuvo una licencia, y
toda otra información relevante relativa a ella.
Art. 25. — Domicilio del certificador
licenciado. El certificador licenciado deberá encontrarse domiciliado en el
territorio de la República Argentina, considerándose que cumple con este
requisito, cuando el establecimiento en el cual desempeña en forma permanente,
habitual o continuada su actividad, se encuentre situado en el territorio
argentino.
Art. 26. — Comunicación de cambios. Los
certificadores licenciados están obligados a notificar al ente licenciante con
una antelación no menor a DIEZ (10) días, cualquier modificación que
proyecten realizar sobre los aspectos que fueron objeto de revisión para el
otorgamiento de su licencia, reservándose el ente licenciante la facultad de
aceptar o rechazar dichos cambios.
Art. 27. — Uso del término
"licenciado" Queda absolutamente prohibido el uso del término
"licenciado" a todos aquellos prestadores del servicio de certificación
u otros servicios relacionados con la firma digital, que no hayan cumplido con
el correspondiente proceso de licenciamiento establecido por la presente Decisión.
Art. 28. — Reconocimiento de certificados
extranjeros. Sin perjuicio de la validación que a dicho efecto deberá realizar
la Autoridad de Aplicación, todo aquel certificador licenciado que quiera
garantizar la validez y vigencia de certificados extranjeros en los términos
del inciso b) del artículo 16 de la Ley Nº 25.506, deberá presentar al ente
licenciante para su aprobación una política de certificación apropiada a los
fines de la obtención de la licencia correspondiente, como así también
acreditar el cumplimiento de los demás requisitos exigidos.
CAPITULO
VI
REGISTRO DE CERTIFICADORES LICENCIADOS
Art.
29. — Registro de certificadores licenciados. El ente licenciante deberá
mantener actualizado en forma regular y continua, y accesible por Internet, un
registro de certificadores licenciados y de aquellos certificadores cuyas
licencias hayan vencido o hayan sido revocadas.
Este registro deberá contener el número de Resolución que concede, renueva o
revoca la licencia, el o los certifcados digitales del certificador licenciado,
la identificación del certificador, su domicilio y números telefónicos, la
dirección de su sitio en Internet, las políticas de certificación del
certificador licenciado, así como las correspondientes Resoluciones que las
aprueban. Toda nueva Política de Certificación presentada por dicho
certificador licenciado para su licenciamiento y aprobada por el ente
licenciante, será incluida en el registro de certificadores mencionado en el
presente artículo, con su correspondiente Resolución.
CAPITULO
VII
CERTIFICADOS DE PERSONAS JURIDICAS
Art.
30. — Certificados de personas jurídicas. Podrán solicitar
certificados digitales las personas jurídicas a través de sus representantes
legales o apoderados con poder suficiente a dichos efectos.
La custodia de los datos de creación de firma asociados a cada certificado
digital correspondiente a la persona jurídica solicitante, será
responsabilidad de su representante legal o apoderado, debiendo su identificación
ser incluida en dicho certificado.
Art. 31. — Certificados de aplicaciones. Las
personas jurídicas podrán solicitar certificados digitales para utilizar en
sus aplicaciones informáticas. Dicha solicitud deberá ser realizada según lo
establecido en el artículo anterior.
La constancia de la identificación de la persona física responsable de la
custodia de los datos de creación de firma asociados a cada certificado
digital, deberá ser conservada por el certificador como información de
respaldo de la emisión del certificado.
CAPITULO
VIII
AUDITORIAS
Art.
32. — Auditorías Ordinarias. El ente licenciante realizará auditorías
ordinarias a los certificadores y a sus autoridades de registro a fin de
verificar el cumplimiento de los requisitos de licenciamiento. Dichas auditorías
se realizarán previamente al otorgamiento de la licencia y posteriormente en
forma anual.
Art. 33. — Inspecciones extraordinarias El
ente licenciante podrá realizar inspecciones extraordinarias de oficio o en
caso de denuncias de terceros basadas en posibles deficiencias o incumplimientos
incurridos por el certificador licenciado.
CAPITULO
IX
ARANCELES Y GARANTIAS
Art.
34. — Establecimiento de aranceles y garantías. De acuerdo a los artículos
30 inciso f) y 32 de la Ley de Firma Digital el ente licenciante procederá,
cuando lo estime necesario, a la actualización de los montos de los respectivos
aranceles de licenciamiento y renovación, monto de garantía de caución y
multas por incumplimientos. Asimismo, conforme al Anexo VII de la presente
medida, procederá a fijar aranceles para los nuevos servicios que pudieran
prestarse en el marco de la Infraestructura de Firma Digital de la República
Argentina.
Art. 35. — Arancel de licenciamiento. El
proceso de evaluación por parte del ente licenciante acerca del cumplimiento de
todas las condiciones legales y técnicas que hacen al carácter de certificador
licenciado, genera la obligación de pago del arancel de licenciamiento. Dicho
arancel no será reembolsable en caso alguno.
Art. 36. — Exención al pago del arancel. Los
certificadores licenciados pertenecientes a entidades y jurisdicciones del
sector público quedarán exentos de la obligación de pago del arancel de
licenciamiento.
Art. 37. — Lugar de pago de aranceles y
multas. Los aranceles y las multas que pudieran aplicarse deberán ser abonados
en la COORDINACION DE TESORERIA dependiente de la DIRECCION GENERAL TECNICO
ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS.
Art. 38. — Garantías. Las entidades privadas
que soliciten licencia de certificador deberán constituir un seguro de caución
a fin de garantizar el cumplimiento de las obligaciones de la presente.
Las pólizas de seguro de caución deberán reunir las siguientes condiciones básicas:
a) Instituir al ente licenciante como asegurado.
b) Mantener la vigencia del seguro de caución mientras no se extingan las
obligaciones cuyo cumplimiento se cubre.
La garantía exigida deberá ser acreditada por el certificador como requisito
previo al otorgamiento de la licencia y sus renovaciones.
Art. 39. — Incumplimiento de obligaciones.
Dictada la Resolución que establece la responsabilidad responsabilidad del
certificador licenciado por el incumplimiento de las obligaciones a su cargo y,
previa intimación infructuosa de pago, el ente licenciante, en su calidad de
asegurado, procederá a exigir al asegurador el pago pertinente, el que deberá
efectuarse dentro del término de QUINCE (15) días de serle requerido, no
siendo necesaria ninguna otra interpelación ni acción previa contra sus
bienes.
CAPITULO
X
NORMAS DE PROCEDIMIENTO
Art.
40. — Plazos. Todos los términos y plazos fijados en la presente
normativa se regirán según lo establecido en la Ley Nº 19.549 y sus
modificatorias.
Art. 41. — Inicio del trámite. Se dará
inicio al procedimiento de licenciamiento cuando el interesado presente la
solicitud de licencia conjuntamente con toda la documentación detallada en el
Anexo I.
Art. 42. — Admisibilidad de la solicitud.
Recibida la solicitud de licencia, se procederá a su estudio de forma o
admisibilidad mediante la verificación de los antecedentes requeridos.
El interesado deberá subsanar las omisiones o bien ampliar o efectuar
aclaraciones sobre la documentación presentada dentro de los DIEZ (10) días de
haber sido notificado, caso contrario se procederá a rechazar la solicitud.
Art. 43. — Adecuación de condiciones. Cuando
del análisis de la documentación presentada o de las auditorías realizadas
surgieran observaciones, se procederá a informar al solicitante a los fines de
que proceda a subsanarlas dentro del plazo que el ente licenciante determine a
dichos fines y efectos.
Art. 44. — Dictamen de aptitud. Una vez
aceptada la documentación en las condiciones requeridas por la presente decisión,
se procederá a emitir en el término de SESENTA (60) días el dictamen legal y
técnico respecto a la aptitud del certificador para cumplir con las funciones y
obligaciones inherentes al licenciamiento. Este plazo no se computará a los
fines del artículo precedente.
Art. 45. — Finalización del trámite. Emitido
el dictamen legal y técnico que acredite la aptitud del certificador y, habiéndose
presentado el seguro de caución en los casos que así correspondiese, el ente
licenciante procederá al dictado de la Resolución que otorgue la
correspondiente licencia y ordenará su publicación en el Boletín Oficial.
Art. 46. — Rechazo de la solicitud. En caso
que el dictamen legal y técnico fuera desfavorable, el ente licenciante
procederá a dictar una Resolución fundada denegando la solicitud la cual deberá
ser publicada en el Boletín Oficial.
RENOVACION
Art. 47. — Renovación de licencias. Todo
inicio de trámite de renovación está supeditado al pago del correspondiente
arancel, el que deberá ser abonado con anterioridad a la presentación de la
solicitud.
El trámite de renovación se regirá por las mismas normas establecidas en los
artículos precedentes y deberá ser iniciado con SESENTA (60) días de
anticipación al vencimiento de la licencia original.
Es responsabilidad del certificador tomar los recaudos necesarios en previsión
de demoras en la renovación de la licencia, para evitar que el vencimiento de
certificados y políticas afecte a sus suscriptores.
CAPITULO
XI
CESE DE ACTIVIDADES
Art.
48. — Cese de actividades. El plan de cese de actividades deberá
llevarse a cabo en un todo conforme a lo establecido en el Anexo I.
Art. 49. — Notificación del cese de
actividades. Si el cese se produce por decisión unilateral del certificador
licenciado, esta circunstancia se deberá comunicar al ente licenciante y a los
suscriptores de certificados con una antelación de TREINTA (30) días.
Si el cese se produjera por caducidad de su licencia dispuesta por el ente
licenciante o bien por cancelación de su personería jurídica, el ente
licenciante procederá, en un plazo no mayor a CUARENTA Y OCHO (48) horas, a
publicar dicho cese en el Boletín Oficial.
CAPITULO
XII
DEFENSA DEL USUARIO
Art.
50. — Obligación de informar. Los certificadores licenciados deberán
informar a todo solicitante, previo a la emisión de los correspondientes
certificados, la política de certificación bajo la cual serán emitidos, sus
condiciones y límites de utilización, condiciones de la licencia obtenida y
todo aquello que fuere relevante con relación a un uso correcto y seguro de
dichos certificados, como así también prever procedimientos que aseguren la
resolución preventiva de conflictos.
Art. 51. — Reclamos. En caso de reclamos de
los usuarios de certificados digitales que se encuentren relacionados con la
prestación de los servicios de un certificador licenciado conforme los términos
de la presente normativa, el ente licenciante, previa constancia de haberse
formulado el reclamo previo correspondiente ante su propio certificador
licenciado con resultado negativo, procederá a recibir la denuncia
correspondiente, la que deberá ser evaluada y resuelta mediante la instrucción
de las actuaciones correspondientes, sin perjuicio de dejar a salvo los derechos
de las partes en conflicto de recurrir a la vía judicial cuando así lo
creyeran conveniente.
CAPITULO
XIII
SANCIONES
Art.
52. — Gradación de Sanciones. En caso de incumplimiento a las
disposiciones de la Ley Nº 25.506, su Decreto Reglamentario y la presente
normativa el ente licenciante, previa instrucción sumarial procederá a aplicar
las sanciones administrativas que correspondan.
La gradación de las sanciones referidas en el artículo 41 de la Ley Nº 25.506
será realizada por el ente licenciante teniendo en cuenta el tipo de infracción,
su repercusión social, el número de usuarios afectados y la gravedad del ilícito.
Art. 53. — Cuantía de multas. El ente
licenciante graduará la cuantía de las multas que se impongan, dentro de los límites
indicados, teniendo en cuenta lo siguiente:
a) La existencia de dolo o intencionalidad.
b) La reincidencia por comisión de infracciones de la misma naturaleza, cuando
así haya sido declarado por acto administrativo firme.
c) La naturaleza y cuantía de los perjuicios causados.
d) El tiempo durante el que se haya venido cometiendo la infracción.
e) El beneficio que haya reportado al infractor la comisión de la infracción.
Art. 54. — Inscripción de Sanciones. Cuando
se imponga una sanción, será inscripta en el Registro de certificadores
licenciados.
Art. 55. — Publicación de sanción de
caducidad. En los supuestos previstos en el artículo 44 de la Ley Nº 25.506,
será obligación del ente licenciante llevar a cabo la publicación en el Boletín
Oficial de la Resolución que ordene la caducidad de la licencia previamente
otorgada, circunstancia que deberá constar obligatoriamente en la página de
inicio del sitio de Internet del certificador.
CAPITULO
XIV
DISPOSICIONES GENERALES.
Art.
56. — Facúltase al Señor SUBSECRETARIO DE LA GESTION PUBLICA de la
JEFATURA DE GABINETE DE MINISTROS a dictar las normas aclaratorias y
complementarias de la presente medida.
Art. 57. — Comuníquese, publíquese, dése a
la Dirección Nacional del Registro Oficial y archívese. — Alberto A. Fernández.
— Alberto J. B. Iribarne.
KIRCHNER. Alberto A. Fernández. Alberto J. B. Iribarne.