10/03/04

Sr. Presidente de la Asamblea General

El Poder Ejecutivo tiene el honor de remitir a la Asamblea General el Proyecto de ley sobre firma Digital y Prestadores de Servicios de Certificación que se adjunta.

1.1 El Uruguay fue uno de los primeros países en reconocer el valor jurídico de los mensajes trasmitidos a través de los medios electrónicos. En efecto la ley N° 16.002 del 24 de Noviembre de 1988, en su artículo 129, disponía "... que las trasmisión a distancia por medos electrónicos, entre dependencias oficiales, constituirá, de por sí, documentación auténtica y hará plena fe a todos sus efectos en cuanto a la existencia del original trasmitido.

1.2 La ley N° 16.736 del 5 de Enero de 1996 en el capítulo de Normas de desregulación ley Reforma Administrativa en los artículos 694 al 698, instaba a la Administración a emplear medios informáticas y telemáticos para el desarrollo de sus actividades y el ejercicio de sus competencias y le daba pleno valor jurídico a los actos comunicados por ese medio.

1.3 El decreto N° 65/998 del 10 de Marzo de 1998 reglamenta los citados artículos de la ley N° 16.736 y define la "firma electrónica" y la "firma digital".

1.4 La ley N° 17.243 del 29 de Junio de 2000, en la sección 3 sobre el Sistema informático del Estado" obliga a los entes públicos a "implantar el expediente electrónico para la sustanciación de todas las actuaciones administrativas." Además, en el articulo 25 del mismo capitulo establece: "Autorízase en todo caso la firma electrónica y la firma digital, las que tendrán idéntica validez y eficacia a la firma autógrafa. sIempre que estén autenticadas por claves u otros procedimientos seguros, de acuerdo a la tecnología informática." La redacción de este artículo muestra que el ámbito de su aplicación trasciende de la actividad administrativa y se aplica a todo acto jurídico como lo ha sostenido mayoritariamente la más calificada doctrina nacional.

1.5 El segundo inciso del artículo 25 dispone que "La prestación de servicios de certificación no estará sujeta a autorización previa y se realizará en régimen de libre competencla..."

1.6 El proyecto que acompaña esta exposición de motivos recoge íntegramente los dos principios establecidos en el artículo 25 de la ley 17.243.

2.1 Es necesario reglamentar el funcionamiento, en un régimen de libre competencia, de las empresas de prestación de servicios de certificación, tanto para que las mismas cumplan debidamente con su función de autentificación, como para que sus certificaciones tengan aceptación Internacional.

2.2 La falta de una ley como la que se propone coloca a nuestro país, pese a haber sido uno de los primeros en el mundo en prever el valor jurídico de la documentación transmitida por métodos electrónicos o informáticos, en situación de desventaja frente a otros países integrantes del MERCOSUR. Cabe señalar que la República Argentina dictó con fecha 14 de noviembre de 2001 una ley sobre la materia y Brasil tiene un régimen federal totalmente Integrado, originado en decretos y resoluciones del Gobierno Federal.

2.3 La necesidad de una ley que regule la prestación de servicios de certificación de firma digital, se hace aún más evidente ante fa existencia de algún proyecto, a nivel del MERCOSUR, de establecer una entidad de certificación supranacional, que relegarla a un plano totalmente secundario las certificaciones otorgadas por entidades nacionales públicas y privadas.

2.4 Ello no constituiría un desmedro para la actividad de certificación digital que ya se cumple en el país y que puede ampliarse en el futuro, sino que además significará un mayor costo para los exportadores e importadores uruguayos.

La claridad de los antecedentes legales y reglamentarios de nuestro país asegura que las normas propuestas obedecen a una necesidad y que las mismas son absolutamente coherentes con las ya aprobadas.

Asimismo, en la elaboración de este proyecto se puso especial énfasis en que las normas proyectadas resulten compatibles con disposiciones existentes tanto en la Comunidad Europea como en los países de América del Norte y del Sur, procurando evitar la aplicación de criterios legales o la definición de aspectos técnicos diferentes a los aplicables en otros países, que atenten contra la homogeneidad normativa necesaria para fomentar el comercio electrónico, la comunicación y la actividad empresarial por redes abiertas entre las naciones.

En el artículo 1 se resumen los principios generales que rigen las disposiciones proyectadas. En el primer inciso se establece que los actos jurídicos autenticados mediante firma digital, así como los servicios de certificación "se regirán por los principios de libertad, libre competencia, neutralidad tecnológica, compatibilidad internacional y equivalencia funcional."

En el segundo inciso del mismo se aclara que las disposiciones propuestas "... no alteran las normas relativas a la celebración, solemnidad, validez y eficacia de los actos y contratos."

En los artículos 2 al 4 se explicitan los efectos jurídicos y probatorios de la firma digital y la firma electrónica.

El artículo 5 dispone que las manifestaciones de voluntad y las comunicaciones electrónicas de los organismos públicos que impongan obligaciones a los administradores deberán ser firmadas con firma digital.

En el artículo 6 se pone de manifiesto que la Ley proyectada en nada afecta la actuación notarial, la que seguirá regida por ras normas existentes, y aquellas que dicte la Suprema Corte de Justicia respecto de las actuaciones notariales que se realicen por medios informáticos.

En el Título II se reglamenta la prestación de servicios de certificación de firma digital, explicitando que se trata de una actividad que no está sujeta a autorización previa, pero se requiere el registro de quienes la desempeñen.

El artículo 8 crea un Registro de Prestadores de Servicios de Certificación de Firma Digital y establece los recaudos que deben cumplir las entidades que certifiquen firmas digitales. El contralor de las entidades de certificación registradas estará bajo la superintendencia de URSEC al solo efecto de supervisar el cumplimiento de las normas legales.

En los artículos 9, 10 y 12 se detallan las funciones y obligaciones de los prestadores de servicios de certificación de firma digital.

El artículo 13 consagra el régimen de responsabilidad, frente a terceros, de las entidades certificadoras

En el artículo 14 se dispone la aceptación de los certificados emitidos en el extranjero sobre la base de dos principios: que el país de la emisión acepte las certificaciones uruguayas, principio de reciprocidad y que existan en dicho país normas de confiabilidad similares a las nacionales, principio de equivalencia.

En el Título III, que comprende los artículos 15 al 19, se establecen normas de aplicación y se crea el delito de falsificación documentaria en los actos jurídicos trasmitidos por medios electrónicos.

E! artículo 16 define el concepto de infracción administrativa y el régimen de sanciones que URSEC podrá Imponer a los prestadores Infractores.

En el artículo 18 se crea una tasa a ser cobrada por URSEC por su función registradora y de vigilancia del cumplimiento de las normas legales.

El Poder Ejecutivo saluda a ese Cuerpo con su mayor consideración.

Artículo 1.- Principios generales.- Los actos y contratos autenticados mediante firma digital así como la prestación de servicios de certificación, tanto en el ámbito público como en el privado, se regirán por los principios de libertad, libre competencia, neutralidad tecnológica, compatibilidad Internacional y equivalencia funcional.

Las disposiciones contenidas en la presente Ley en materia de firma digital no alteran las normas relativas a la celebración, solemnidad, validez y eficacia de los actos y contratos.

Las disposiciones de esta Ley relativas a la prestación de servicios de certificación no sustituyen ni modifican las que regulan las funciones que corresponde realizar a las personas facultadas a dar fe publica o intervenir en documentos públicos, tanto en el ámbito publico como en el privado

Artículo 2.- Validez y eficacia de la firma digital.- La firma digital tendrá Idéntica validez y eficacia a la firma autógrafa, siempre que esté debidamente autenticada por claves u otros procedimientos seguros de acuerdo a la tecnología informática que:

1. Garanticen que la firma digital se corresponde con el certificado digital emitido por un prestador de servicios de certificación de firma digital debidamente registrado de acuerdo a los requisitos de la presente Ley, que lo asocia con la identificación del signatario;

2. Aseguren que la firma digital se corresponde con el documento respectivo y que el mismo no fue alterado ni pueda ser repudiado; y

3. Garanticen que la firma digital ha sido creada usando medios que el signatario mantiene bajo su exclusivo control y durante la vigencia del certificado digital.

Artículo 3.- Valor probatorio de la firma digital.- La firma digital tendrá respecto al documento respectivo, idéntico valor probatorio al que tiene la firma manuscrita con respecto al documento consignado en papel, siempre que la misma .haya sido creada mediante mecanismos de clave pública y privada u otros procedimientos acordes a la evolución de estándares tecnológicos internacionalmente reconocidos como fiables que cumplan con las exigencias establecidas en el artículo precedente.

Artículo 4.. Valor probatorio de otras firmas electrónicas.- Las demás firmas electrónicas tendrán respecto al documento respectivo, el valor probatorio que le asignen las partes o que resulte de la valoración judicial conforme a las reglas de la sana critica.

Artículo 5.- Las manifestaciones de voluntad y Comunicaciones electrónicas de la Administración Pública, nacional, departamental o de cualquier otro órgano público, estatal, no estatal, que impongan obligaciones a los administrados, deberán ser firmadas con firma digital. También deberán ser firmadas con firma digital las manifestaciones de voluntad y comunicaciones electrónicas dirigidas a dichos organismos por los particulares cuando con ello cumplan una obligación legal o reglamentaria.

Articulo 6.- Uso de la firma digital en la función notarial.- Autorizase el uso de documentos digitales y firma digital en la función notarial, de conformidad con la reglamentación que establezca fa Suprema Corte de Justicia.

Artículo 7.- Régimen.- La prestación de servicios de certificación de firmas digitales no está sujeta a autorización previa, requiriéndose el registro de quienes los desempeñen para la acreditación pública de su solvencia moral, técnica y económica.

Artículo 8.- Registro.- Créase el Registro de Prestadores de Servicios de Certificación de Firmas Digitales a cargo de la Unidad Reguladora de Servicios de Cominicaciones (URSEC), en el que se inscribirán los interesados en operar como prestadores de servicios de certificación de firma digita.

La solicitud de inscripción habrá de formularse aportando los siguientes recaudos:

1. Certificado de Buena Conducta de cada uno de los directores y/o administradores, y dos referencias bancarias o comerciales a cada uno de los directores o administradores.

2. Acreditación dé solvencia económica en los términos que dicte la reglamentación.

3. Acreditación de cumplimento de los requerimientos determinados por URSEC que permitan asegurar que quien solicita su registro tiene capacidad técnica o cuenta con personal con capacidad técnica, procedimientos adecuados, hardware y software idóneos para otorgar certificados digitales seguros y confiables.

El Registro de Prestadores de Servicios de Certificación será público y deberá mantener permanentemente actualizada y a disposición de cualquier persona una relación de los inscriptos, en la que figurará su nombre o razón social, la dirección de su página en Internet o de correo electrónico y los datos de verificación de su firma digital. Estos datos podrán ser consultados por vía telemática. Asimismo, el mismo Registro llevará una relación pormenorizada de aquellos prestadores de servicios de certificación dados de baja del mismo, con especificación en cada caso de la causa de dicha baja.

El prestador de servicios de certificación de firma digital registrado conforme a la ley deberá hacer pública su condición de "prestador de servicios de certificación de firma digital registrado en URSEC-Uruguay", en toda la publicidad y documentación, electrónica o tradicional, que generase en el desarrollo de sus actividades, informando asimismo la dirección URL del Registrador. Esta denominación no podrá ser usada por las entidades certificadoras que no hayan sido registradas en la URSEC.

Artículo 9.- Funciones.- Los prestadores de servicios de certificación de firmas digitales tendrán las funciones siguientes:

1. Emitir certificados de firma digital, que aseguren la autoría del titular del certificado sobre los mensajes que firma digitalmente, los que deberán tener los siguientes contenidos mínimos:

a) Identificación del prestador de servicios de certificación que expide el certificado.

b) Identificación del titular del certificado.

c) Período de validez del certificado, el que no podrá exceder de 5 años.

d) Identificación de la política de certificación bajo la cual fue emitido.

El certificado deberá además estar firmado digitalmente por el prestador de servicios de certificación o poseer algún otro mecanismo que garantice su integridad y autenticidad.

2. Revocar tos certificados emitidos en los siguientes casos:

a) A solicitud del titular y bajo su responsabilidad.

b) Por fallecimiento del titular.

c) Por falsedad en la solicitud de certificado de firma digital.

d) Por orden judicial de proceder a la revocación del certificado .

e) Por declaración judicial de incapacidad del titular.

f) Cuando sobrevenga un factor de inseguridad en la tecnología aplicada.

g) Cuando la autoridad sea notificada de su exclusión del registro de prestadores de servicios de certificación de firma digital.

3. Llevar al día un Registro donde consten todos los certificados emitidos.

4. Poner a disposición del público los medios necesarios para verificar la validez de los certificados emitidos, entre los que se deberá incluir una lista de los certificados revocados. A dichos medios deberá poderse acceder libremente y en cualquIer momento, por vía telemática.

5. Poner a disposición del usurio los dispositivos de creación y de verificación de firma digital.

Artículo 10.- Obligaciones.- Los prestado res de servicios de certificación deberán:

1. Presentar a URSEC anualmente el informe de una auditoria independiente, que certifique que se mantienen todas las exigencias necesarias para el registro original, este informe deberá presentarse dentro de los 120 días de vencido el período de un año a partir de la inscripción en el registro. Vencido dicho plazo, si no presenta el aludido informe, el prestador será excluido del registro y sus certificados deberán considerarse automáticamente revocados. La URSEC publicará la exclusión, a costa del incumplidor, en el Diario Oficial y en otro diario de circulación nacional durante tres publicaciones, como asimismo en el sitio web de la URSEC.

2. Recabar de los solicitantes la información y la documentación necesarias para la emisión de los certificados.

3. Comprobar la identidad y todas las circunstancias personales de los solicitantes de los certificados para el fin propio de estos, utilizando cualquiera de tos medios admitidos en Derecho. ,

4. Guardar reserva de los datos suministrados por los solicitantes, con excepción de aquellos de carácter público, y no facilitarlos a terceros salvo autorización escrita del titular o resolución judicial que así lo ordene.

5. Mantener la documentación respaldatoria de los certificados digitales emitidos por cinco años a partir de su fecha de vencimiento o revocación.

Artículo 11.- Se prohíbe a los prestadores de servicios de certificación conservar o permitir que alguien conserve, por cualquier medio, las claves privadas correspondientes a los certificados de firma digital emitidos a los solicitantes.

Artículo 12.- El prestador de servidos de certificación de Firma Digital que vaya a cesar en su actividad deberá comunicarlo a los titulares de los certificados vigentes por él expedidos, y deberá transferir con su consentimiento expreso, los que sigan siendo válidos en la fecha en que el cese se produzca a otro prestador de servicios que los asuma, o dejarlos sin efecto. La citada comunicación se llevará a cabo con una antelación mínima de dos meses al cese efectivo de la actividad. El prestador deberá cumplir los requisitos de publicidad previstos para el caso de la exclusión del registro que lleva la URSEC, a cuyos efectos publicará la comunicación en el Diario Oficial y en otro diario de circulación nacional durante tres publicaciones. acreditándolo ante la URSEC dentro del plazo referido.

Artículo 13.- Límites de Responsabilidad.- Los prestadores de servicios de certificación pueden limitar su responsabilidad respecto de operaciones de determinado monto o naturaleza, siempre que dicha limitación sea conocida por el usuario y por quien contrata con el usuario.

No serán responsables de los errores de identificación del titular del certificado cuando hayan cumplido diligentemente con todos los requisitos establecidos en la presente Ley.

No tendrán ninguna responsabilidad por el cumplimiento de las obligaciones establecidas en un texto que tenga firma digital.

Artículo 14.- Equivalencia de certificados.- Los certificados que expidan los prestadores de servicios de certificación establecidos en otros Estados, de acuerdo con su respectiva legislación, se considerarán equivalentes a los expedidos por los establecidos en la República, siempre que los mismos hayan sido emitidos con garantías de confiabilidad similares a las exigidas por esta ley, y que exista reciprocidad del país de origen con respecto de los certificados emitidos en el Uruguay.

Artículo 15.- Guarda de la clave privada.- el titular de un certificado digital debe cuidar que su clave privada no sea conocida por terceros, y en caso de que ello ocurra debe comunicarlo de inmediato al prestador de los servicios de certificación. El Prestador, a su vez, deberá publicar la revocación del certificado de dicho titular dentro de un plazo de veinticuatro horas. Los daños y perjuicios que pueda originar al titular, al ente certificador o a terceros la difusión de la clave privada será de exclusiva cuenta del titular de fa misma salvo que pruebe causa extraña que no le fuere imputable.

Los daños y perjuicios que pudieren sobrevenir a consecuencia de operaciones que pudieren verificarse por utilización ilícita de la clave dentro de las veinticuatro horas comprendidas entre la denuncia y la publicación, serán también de responsabilidad de dicho titular.

Artículo 16.- Infracciones y sanciones administrativas.- Se considera infracción administrativa todo acto u omisión verificado por el prestador de servicios de certificación en contravención a las normas dispuestas en la presente Ley.

En tal taso, la URSEC podrá imponer a dichos prestadotes, según la naturaleza y gravedad de la falta así como con arreglo a las normas del debido procedimiento, Ias siguientes sanciones:

a. Amonestación

b. Multas de entre 2.500 U.l. y 250.000 U.l.

c. Suspensión de todas o algunas de las actividades del prestador de servicios de certificación de firma digital.

d. Prohibición de la prestación directa o indirecta de la totalidad de los servicios hasta por el término de cinco años.

1. El particular que proporcione un dato falso al prestador de servicios de certificación, o al tercero endargado de recoger la información, incurrirá en el delito previsto en el artículo 239 de Código Penal.

2. El que a sabiendas utilizara o se valiera de la firma digital o electrónica de un tercero, sin el consentimiento de éste, será castigado con la pena prevista en el artículo 240 del Código Penal.

3. Aquel que a sabiendas confeccionare una firma electrónica o una firma digital falsas, o adulterare una verdadera, o se valiera de la firma electrónica o digital de un tercero sin consentimiento de éste, o utilizare a sabiendas un certificado digital falso, incurrirá en el delito previsto en el artículo 239 del Código Penal.

4. A los efectos de las figuras delictivas previstas en el presente artículo, quedan equiparados a los funcionarios públicos los prestadores de servicios de certificación.

Artículo 18.- Tasa de Registro y de acreditación del Prestador.- Créase una tasa por el equivalente a 11.000 U.I., con destino a sufragar la gestión de la URSEC en la materia, la que se aplicará a quienes se inscriban como prestadores de servicios de certificación de firma digital en el Registro respectivo.