REGLAMENTACION DE LOS ARTS. 31 A 33 DE LA LEY 18.600, RELATIVA A LOS SERVICIOS DE CONFIANZA DE IDENTIFICACION DIGITAL Y FIRMA ELECTRONICA AVANZADA CON CUSTODIA CENTRALIZADA




Promulgación: 19/03/2018
Publicación: 05/04/2018
  • El Registro Nacional de Leyes y Decretos del presente semestre aún no fue editado.
Reglamentario/a de: Ley Nº 18.600 de 21/09/2009 artículos 31, 32 y 33.
   VISTO: lo dispuesto por los artículos 31 a 33 de la Ley N° 18.600 de 21 de setiembre de 2009, en la redacción dada por el artículo 28 de la Ley N° 19.535 de 25 de setiembre de 2017 respecto a los servicios de confianza de identificación digital y firma electrónica avanzada con custodia centralizada.

   RESULTANDO: que razones de juridicidad y conveniencia imponen estatuir aquellos aspectos básicos y primarios de la reglamentación, que ordenen y favorezcan su puesta en práctica.

   CONSIDERANDO: I) que la Ley N° 18.600 establece el marco normativo general del Documento y la Firma Electrónica;

   II) que la Agenda Digital Uruguay 2020, aprobada por el Decreto N° 459/016 de 30 de diciembre de 2016, establece como objetivo la construcción de entornos seguros y formas de interacción basadas en la confianza, que promuevan la plena participación en la sociedad de la información, a través de diversos medios como la firma electrónica avanzada;

   III) que otros países han regulado la materia con positiva repercusión en el ámbito tanto público como privado;

   IV) que su regulación constituye un elemento esencial para garantizar la seguridad de las transacciones electrónicas, promoviendo el comercio electrónico seguro, de modo de permitir la identificación en forma fehaciente de los sujetos intervinientes;

   V) que la promulgación del presente decreto otorga un impulso decisivo para lograr un mayor despliegue y uso de los sistemas de firma electrónica, en las relaciones entre particulares y con el Estado;

   ATENTO: a lo precedentemente expuesto y a lo preceptuado en las disposiciones citadas y en el artículo 168 ordinal 4° de la Constitución;

                      EL PRESIDENTE DE LA REPÚBLICA
                     actuando en Consejo de Ministros

                                 DECRETA:

CAPÍTULO I - DISPOSICIONES GENERALES

Artículo 1

   Ámbito objetivo. El presente decreto será de aplicación a los servicios de confianza de identificación digital y firma electrónica avanzada con custodia centralizada.

Artículo 2

   Ámbito subjetivo. Los prestadores de servicios de confianza deberán ajustar su actividad, en el marco de la libre competencia, a las disposiciones del presente decreto.

Artículo 3

   Definiciones.  A los efectos de este decreto se entenderá por:

   A) "Autenticación electrónica": el proceso de identificar a una persona a través de un sistema informático mediante uno o más medios de identificación digital.

   B) "Firma electrónica avanzada con custodia centralizada": es la firma electrónica avanzada en la cual la clave privada del firmante se encuentra en custodia de un prestador de servicios de confianza acreditado, que realiza la firma bajo orden expresa del firmante.

   C) "Medio de identificación electrónica o digital": unidad material o inmaterial, procesable por un sistema informático, con una parte en control del sistema y otra en exclusivo control de la persona, ya sea mediante:
   a)   su conocimiento;
   b)   un dispositivo físico o lógico;
   c)   algún rasgo físico o comportamental.

   D) "Prestador de servicios de confianza": persona física o jurídica, pública o privada, nacional o extranjera, que presta uno o más servicios de confianza.

   E) "Registro de identificación digital": el proceso de identificar a una persona, verificar sus datos, expedir o asociar uno o más medios de identificación digital a ésta, y almacenar dicha asociación para su posterior utilización.

   F) "Servicios de confianza": son servicios electrónicos que permiten brindar seguridad jurídica a los hechos, actos y negocios realizados o registrados por medios electrónicos, entre ellos:
   a)   servicios de firma electrónica avanzada con custodia
        centralizada;
   b)   servicios de identificación digital;
   c)   servicios de sellado de tiempo;
   d)   otros servicios establecidos por la Unidad de Certificación
        Electrónica.

   G) "Servicios de identificación digital": son servicios que realizan registros de autenticación electrónica de personas para su verificación por terceros.

CAPÍTULO II - ÓRGANO DE CONTROL

Artículo 4

   Competencias de la Unidad de Certificación Electrónica. La UCE deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de este decreto. A tales efectos tendrá las siguientes funciones y atribuciones específicas:

   A)   Acreditar y controlar los servicios prestados por los prestadores
        de servicios de confianza.

   B)   Establecer las especificaciones técnicas, normas y procedimientos
        respecto a los servicios de confianza.

   C)   Definir nuevos servicios de confianza.

CAPÍTULO III - SERVICIOS DE IDENTIFICACION DIGITAL

Artículo 5

   Seguridad de los servicios de identificación digital. Los servicios de identificación digital podrán contar con diversos niveles de seguridad. Será competencia de la UCE definir las especificaciones técnicas, normas y procedimientos para determinar los niveles de seguridad de los servicios mencionados, debiendo considerar entre otros elementos:
1. El procedimiento de registro de identificación digital.
2. Los medios de identificación digital.
3. El proceso de autenticación.
   La UCE definirá los niveles de seguridad que proporcionen a la identificación digital el mismo valor y efecto jurídicos que la identificación presencial.

Artículo 6

   Niveles de seguridad. Aquellos niveles de seguridad que tengan idéntica validez que la identificación presencial deberán ser prestados por un prestador de servicios de confianza acreditado.

Artículo 7

   Responsabilidad. Es responsabilidad de quienes utilizan servicios de identificación digital requerir, en la prestación de sus servicios, un nivel de seguridad adecuado para la identificación digital de personas.

CAPÍTULO IV - SERVICIOS DE FIRMA ELECTRÓNICA AVANZADA CON CUSTODIA CENTRALIZADA

Artículo 8

   Servicios de confianza de firma electrónica avanzada con custodia centralizada. Los servicios de confianza de firma electrónica avanzada con custodia centralizada podrán consistir en la generación, almacenamiento y firma con certificados de firma electrónica avanzada de personas físicas y jurídicas.

Artículo 9

   Prohibición de migrar clave privada. La clave privada de firma electrónica avanzada de persona fisica no podrá ser migrada entre diferentes prestadores de servicios de confianza, ni modificar el medio de almacenamiento dentro del mismo prestador de servicios de certificación.

CAPÍTULO V - PRESTADORES DE SERVICIOS DE CONFIANZA

Artículo 10

   Requisitos para ser prestador de servicios de confianza.- Son condiciones indispensables para ser prestador de servicios de confianza acreditado, las siguientes:
   a)   Ser persona fisica o jurídica constituida en el país, dar
        garantía económica y solvencia suficiente para prestar los
        servicios.
   b)   Contar con personal calificado con conocimientos y experiencia
        necesarios para la prestación de los servicios de confianza
        ofrecidos y con procedimientos de seguridad y de gestión
        adecuados.
   c)   Utilizar estándares y herramientas adecuadas según lo establecido
        por la Unidad de Certificación Electrónica.
   d)   Estar domiciliado en el territorio de la República Oriental del
        Uruguay, entendiéndose que cumple con este requisito cuando su
        infraestructura tecnológica y demás recursos materiales y humanos
        se encuentren situados en territorio uruguayo.

Artículo 11

   Obligaciones de los prestadores de servicios de confianza. Los prestadores de servicios de confianza deberán:
   a)   Custodiar diligentemente la clave privada del firmante o
        signatario y asegurar los medios para su generación, protección y
        destrucción.
   b)   Establecer mecanismos seguros para realizar firmas electrónicas
        por orden del firmante o signatario de acuerdo con lo que
        determine la UCE.
   c)   Disponer de mecanismos seguros para el registro y autenticación
        de personas físicas para su identificación digital.
   d)   Cumplir las Políticas que establezca la UCE.

Artículo 12

   Requerimientos técnicos y de gestión. Los aspectos técnicos y de gestión que deben cumplir los prestadores de servicios de confianza acreditados en la prestación de los servicios serán determinados por la UCE.

Artículo 13

   Responsabilidad. La responsabilidad de los prestadores de servicios de confianza acreditados se regirá por lo establecido para los prestadores de servicios de certificación en el artículo 20 de la Ley N° 18.600.

CAPÍTULO VI - PROCEDIMIENTO DE ACREDITACIÓN DE PRESTADORES DE SERVICIOS DE CONFIANZA

Artículo 14

   Servicios de Confianza. Los prestadores de servicios de confianza podrán acreditarse para brindar los siguientes servicios:
   a.   Generación, almacenamiento de certificados y firma de personas
        físicas y jurídicas.
   b.   Almacenamiento de certificados y firma de personas físicas o
        jurídicas.
   c.   Identificación digital de personas físicas con niveles de
        seguridad equivalentes a la identificación presencial.

Artículo 15

   Requisitos de los prestadores de servicios de confianza de generación, almacenamiento y firma de persona física y jurídica, y de identificación digital. El procedimiento de acreditación de los prestadores de servicios de confianza de generación, almacenamiento y firma, almacenamiento y firma de persona física y de identificación digital se realizará de acuerdo con las disposiciones de la Ley N° 18.600 y en el Capítulo V del Decreto N° 436/011 de 8 de diciembre de 2011.

Artículo 16

   Requisitos de los prestadores de servicios de confianza de almacenamiento y firma de persona jurídica. Los prestadores de servicios de confianza de almacenamiento y firma de persona jurídica deberán contar con procedimientos de acceso y resguardo de certificados, cláusulas contractuales y demás obligaciones establecidas por la UCE en las Políticas específicamente dictadas. No será necesario el cumplimiento de los procesos de acreditación, pudiendo la UCE controlar, en cualquier momento, la regularidad de los servicios prestados, con todas las competencias establecidas por la Ley N° 18.600.

Artículo 17

   Prestadores de servicios de certificación acreditados. Los prestadores de servicios de certificación acreditados ante la UCE podrán solicitar su inscripción en el Registro de prestadores de servicios de confianza. En este caso, los solicitantes únicamente deberán acreditar los requisitos específicos establecidos en las Políticas definidas por la UCE para los servicios de confianza que pretendan brindar.

Artículo 18

   Comunicación de modificación en los requisitos. Los requisitos exigidos deberán ser cumplidos mientras esté vigente la acreditación y ser comunicados a la UCE cuando se produzca un cambio en alguno de ellos, dentro del plazo máximo de 10 días corridos a partir del hecho.

Artículo 19

   Control de admisibilidad. El control de admisibilidad de las solicitudes se regirá por lo establecido en el articula 15 del Decreto N° 436/011.

Artículo 20

   Garantía de solvencia económica. Aprobada técnicamente la solicitud, se comunicará al solicitante quién dispondrá de 20 días corridos contados a partir del día siguiente a la notificación, para presentar la garantía prevista en el artículo 17 de la Ley N° 18.600 a través de la contratación de un seguro de responsabilidad civil para afrontar el riesgo de la responsabilidad por daños y perjuicios que pudieran ocasionar en la prestación de sus servicios.

Artículo 21

   Otorgamiento. La acreditación será otorgada al solicitante por el plazo que determine la UCE y estará sujeta a las inspecciones y auditorías que requiera.

Artículo 22

   Efectos de la acreditación. La acreditación del prestador de servicios de confianza producirá los siguientes efectos:
   a.   Incorporación en el Registro de prestadores de servicios de
        confianza acreditados.
   b.   Habilitación para prestar el servicio de confianza en el cual se
        acredite.

Artículo 23

   Suspensión y revocación de la acreditación de los prestadores de servicios de confianza de generación, almacenamiento y firma electrónica avanzada. La suspensión y revocación de la acreditación de los prestadores de servicios de confianza de generación, almacenamiento y firma electrónica avanzada, así como sus efectos, se regirán por lo establecido para los prestadores de servicios de certificación.

Artículo 24

   Suspensión de la acreditación de los prestadores de servicios de confianza de identificación digital. La suspensión de la acreditación surtirá efectos a partir de la fecha de la Resolución que la determine, la cual fijará su duración y producirá los siguientes efectos:
   a.   No podrá brindar servicios de identificación digital durante el
        período de suspensión.
   b.   Las identificaciones realizadas hasta la fecha mantendrán su
        validez.
   c.   Se deberán mantener las demás condiciones exigidas por la Ley y
        el presente decreto.

Artículo 25

   Revocación de la acreditación de los prestadores de servicios de confianza de identificación digital. La acreditación de los prestadores de servicios de confianza de identificación digital quedará sin efecto en los siguientes casos:
   a.   Por solicitud del prestador de acuerdo con lo dispuesto en el
        artículo 19 de la Ley N° 18.600.
   b.   Revocación de la acreditación por sanción dispuesta por la UCE.
   La revocación de la acreditación tendrá efectos desde la fecha de la
    Resolución que la determine, la cual implicará que el prestador no 
   podrá brindar más servicios de identificación digital en el marco de
    esta norma.

Artículo 26

   Cese de actividades del prestador de servicios de confianza de identificación digital. El prestador de servicios de confianza de identificación digital que vaya a cesar en sus actividades deberá comunicarlo a los titulares de las identidades digitales que provea y a la UCE en un plazo de 30 días corridos previos a la fecha de cese, sin perjuicio de las responsabilidades ulteriores.

Artículo 27

   Cese de actividades del prestador de servicios de confianza acreditados. Los prestadores de servicios de confianza acreditados que cesen en sus actividades estarán obligados a comunicarlo a través del Diario Oficial y cualquier otro medio electrónico o tradicional que considere pertinente. Asimismo, el prestador de servicios de confianza de generación, almacenamiento y firma deberá mantener o derivar el servicio de recepción de solicitudes de revocación, y actualizar y publicar en el Registro actualizado de certificados revocados hasta que haya vencido el último de los certificados emitidos.

Artículo 28

   El Registro de prestadores de servicios de confianza. El registro de prestadores de servicios de confianza se regirá por lo dispuesto para el Registro de prestadores de servicios de certificación.

CAPÍTULO VII - CONTROL Y SUPERVISIÓN DE LOS PRESTADORES DE SERVICIOS DE CONFIANZA ACREDITADOS

Artículo 29

   Potestades sancionatorias. La Unidad de Certificación Electrónica podrá aplicar a los prestadores de servicios de confianza las sanciones establecidas en el artículo 14 numeral 5° de la Ley N° 18.600.

Artículo 30

   Deber de colaboración. Los prestadores de servicios de confianza tienen la obligación de facilitar a la UCE toda la información y elementos necesarios para el ejercicio de sus funciones, así como la de permitir al personal inspector el acceso a sus instalaciones y la consulta de toda la documentación relevante.

Artículo 31

   Relacionamiento entre prestadores de servicios de certificación y prestadores de servicios de confianza. Los prestadores de servicios de certificación deberán informar a la UCE la existencia de acuerdos o convenios que suscriban con prestadores de servicios de confianza para la prestación de los servicios que se regulan. Dicha obligación se considerará cumplida mediante la entrega a la UCE del listado de los prestadores participantes. La UCE garantizará la confidencialidad de la información entregada.

CAPÍTULO VIII - DISPOSICIONES FINALES

Artículo 32

   Remisión. Serán de aplicación en lo no previsto las disposiciones establecidas para los prestadores de servicios de certificación acreditados.

Artículo 33

   Comuníquese, publíquese, etc.

   TABARÉ VÁZQUEZ - EDUARDO BONOMI - RODOLFO NIN NOVOA - DANILO ASTORI - JORGE MENÉNDEZ - MARÍA JULIA MUÑOZ - VÍCTOR ROSSI - GUILLERMO MONCECCHI - ERNESTO MURRO - JORGE BASSO - ENZO BENECH - LILIAM KECHICHIAN - ENEIDA de LEÓN - MARINA ARISMENDI
Ayuda