Novedades

PROMULGACION: 19 de marzo de 2018
PUBLICACION: 5 de abril de 2018

Decreto Nº 70/018 - Se dictan normas relativas a los servicios de confianza de identificación digital y firma electrónica avanzada con custodia centralizada.

MINISTERIO DEL INTERIOR
 MINISTERIO DE RELACIONES EXTERIORES
  MINISTERIO DE ECONOMIA Y FINANZAS
   MINISTERIO DE DEFENSA NACIONAL
    MINISTERIO DE EDUCACION Y CULTURA
     MINISTERIO DE TRANSPORTE Y OBRAS PUBLICAS
      MINISTERIO DE INDUSTRIA, ENERGIA Y MINERIA
       MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL
        MINISTERIO DE SALUD PUBLICA
         MINISTERIO DE GANADERIA, AGRICULTURA Y PESCA
          MINISTERIO DE TURISMO Y DEPORTE
           MINISTERIO DE VIVIENDA, ORDENAMIENTO TERRITORIAL Y MEDIO AMBIENTE
            MINISTERIO DE DESARROLLO SOCIAL

Montevideo, 19 de marzo de 2018

VISTO: lo dispuesto por los artículos 31 a 33 de la Ley N° 18.600 de 21 de setiembre de 2009, en la redacción dada por el artículo 28 de la Ley N° 19.535 de 25 de setiembre de 2017 respecto a los servicios de confianza de identificación digital y firma electrónica avanzada con custodia centralizada.

RESULTANDO: que razones de juridicidad y conveniencia imponen estatuir aquellos aspectos básicos y primarios de la reglamentación, que ordenen y favorezcan su puesta en práctica.

CONSIDERANDO: I) que la Ley N° 18.600 establece el marco normativo general del Documento y la Firma Electrónica;
II) que la Agenda Digital Uruguay 2020, aprobada por el Decreto N° 459/016 de 30 de diciembre de 2016, establece como objetivo la construcción de entornos seguros y formas de interacción basadas en la confianza, que promuevan la plena participación en la sociedad de la información, a través de diversos medios como la firma electrónica avanzada;
III) que otros países han regulado la materia con positiva repercusión en el ámbito tanto público como privado;
IV) que su regulación constituye un elemento esencial para garantizar la seguridad de las transacciones electrónicas, promoviendo el comercio electrónico seguro, de modo de permitir la identificación en forma fehaciente de los sujetos intervinientes; ....


El texto completo ha sido incorporado en la Base de Datos respectiva y sólo puede ser visualizado por los suscriptores de El Derecho Digital. Por más información haga click aquí o consulte al (+598) 2903 5119.

PROMULGACION: 19 de marzo de 2018
PUBLICACION: 5 de abril de 2018

Decreto Nº 70/018 - Se dictan normas relativas a los servicios de confianza de identificación digital y firma electrónica avanzada con custodia centralizada.

MINISTERIO DEL INTERIOR
 MINISTERIO DE RELACIONES EXTERIORES
  MINISTERIO DE ECONOMIA Y FINANZAS
   MINISTERIO DE DEFENSA NACIONAL
    MINISTERIO DE EDUCACION Y CULTURA
     MINISTERIO DE TRANSPORTE Y OBRAS PUBLICAS
      MINISTERIO DE INDUSTRIA, ENERGIA Y MINERIA
       MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL
        MINISTERIO DE SALUD PUBLICA
         MINISTERIO DE GANADERIA, AGRICULTURA Y PESCA
          MINISTERIO DE TURISMO Y DEPORTE
           MINISTERIO DE VIVIENDA, ORDENAMIENTO TERRITORIAL Y MEDIO AMBIENTE
            MINISTERIO DE DESARROLLO SOCIAL

Montevideo, 19 de marzo de 2018

VISTO: lo dispuesto por los artículos 31 a 33 de la Ley N° 18.600 de 21 de setiembre de 2009, en la redacción dada por el artículo 28 de la Ley N° 19.535 de 25 de setiembre de 2017 respecto a los servicios de confianza de identificación digital y firma electrónica avanzada con custodia centralizada.

RESULTANDO: que razones de juridicidad y conveniencia imponen estatuir aquellos aspectos básicos y primarios de la reglamentación, que ordenen y favorezcan su puesta en práctica.

CONSIDERANDO: I) que la Ley N° 18.600 establece el marco normativo general del Documento y la Firma Electrónica;
II) que la Agenda Digital Uruguay 2020, aprobada por el Decreto N° 459/016 de 30 de diciembre de 2016, establece como objetivo la construcción de entornos seguros y formas de interacción basadas en la confianza, que promuevan la plena participación en la sociedad de la información, a través de diversos medios como la firma electrónica avanzada;
III) que otros países han regulado la materia con positiva repercusión en el ámbito tanto público como privado;
IV) que su regulación constituye un elemento esencial para garantizar la seguridad de las transacciones electrónicas, promoviendo el comercio electrónico seguro, de modo de permitir la identificación en forma fehaciente de los sujetos intervinientes;
V) que la promulgación del presente decreto otorga un impulso decisivo para lograr un mayor despliegue y uso de los sistemas de firma electrónica, en las relaciones entre particulares y con el Estado;

ATENTO: a lo precedentemente expuesto y a lo preceptuado en las disposiciones citadas y en el artículo 168 ordinal 4° de la Constitución;

EL PRESIDENTE DE LA REPUBLICA
actuando en Consejo de Ministros
DECRETA:
CAPÍTULO I - Disposiciones Generales

ART. 1º.-
Ámbito objetivo. El presente decreto será de aplicación a los servicios de confianza de identificación digital y firma electrónica avanzada con custodia centralizada.

ART. 2º.-
Ámbito subjetivo. Los prestadores de servicios de confianza deberán ajustar su actividad, en el marco de la libre competencia, a las disposiciones del presente decreto.

ART. 3º.-
Definiciones. A los efectos de este decreto se entenderá por:
A) "Autenticación electrónica": el proceso de identificar a una persona a través de un sistema informático mediante uno o más medios de identificación digital.
B) "Firma electrónica avanzada con custodia centralizada": es la firma electrónica avanzada en la cual la clave privada del firmante se encuentra en custodia de un prestador de servicios de confianza acreditado, que realiza la firma bajo orden expresa del firmante.
C) "Medio de identificación electrónica o digital": unidad material o inmaterial, procesable por un sistema informático, con una parte en control del sistema y otra en exclusivo control de la persona, ya sea mediante:
a) su conocimiento;
b) un dispositivo físico o lógico;
c) algún rasgo físico o comportamental.
D) "Prestador de servicios de confianza": persona física o jurídica, pública o privada, nacional o extranjera, que presta uno o más servicios de confianza.
E) "Registro de identificación digital": el proceso de identificar a una persona, verificar sus datos, expedir o asociar uno o más medios de identificación digital a ésta, y almacenar dicha asociación para su posterior utilización.
F) "Servicios de confianza": son servicios electrónicos que permiten brindar seguridad jurídica a los hechos, actos y negocios realizados o registrados por medios electrónicos, entre ellos:
a) servicios de firma electrónica avanzada con custodia centralizada;
b) servicios de identificación digital;
c) servicios de sellado de tiempo;
d) otros servicios establecidos por la Unidad de Certificación Electrónica.
G) "Servicios de identificación digital": son servicios que realizan registros de autenticación electrónica de personas para su verificación por terceros.

CAPÍTULO II - Órgano de Control

ART. 4º.-
Competencias de la Unidad de Certificación Electrónica. La UCE deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de este decreto. A tales efectos tendrá las siguientes funciones y atribuciones específicas:
A) Acreditar y controlar los servicios prestados por los prestadores de servicios de confianza.
B) Establecer las especificaciones técnicas, normas y procedimientos respecto a los servicios de confianza.
C) Definir nuevos servicios de confianza.

CAPÍTULO III - Servicios de Identificación digital

ART. 5º.-
Seguridad de los servicios de identificación digital. Los servicios de identificación digital podrán contar con diversos niveles de seguridad. Será competencia de la UCE definir las especificaciones técnicas, normas y procedimientos para determinar los niveles de seguridad de los servicios mencionados, debiendo considerar entre otros elementos:
1. El procedimiento de registro de identificación digital.
2. Los medios de identificación digital.
3. El proceso de autenticación.
La UCE definirá los niveles de seguridad que proporcionen a la identificación digital el mismo valor y efecto jurídicos que la identificación presencial.

ART. 6º.-
Niveles de seguridad. Aquellos niveles de seguridad que tengan idéntica validez que la identificación presencial deberán ser prestados por un prestador de servicios de confianza acreditado.

ART. 7º.-
Responsabilidad. Es responsabilidad de quienes utilizan servicios de identificación digital requerir, en la prestación de sus servicios, un nivel de seguridad adecuado para la identificación digital de personas.

CAPÍTULO IV - Servicios de Firma Electrónica Avanzada con custodia centralizada

ART. 8º.-
Servicios de confianza de firma electrónica avanzada con custodia centralizada. Los servicios de confianza de firma electrónica avanzada con custodia centralizada podrán consistir en la generación, almacenamiento y firma con certificados de firma electrónica avanzada de personas físicas y jurídicas.

ART. 9º.-
Prohibición de migrar clave privada. La clave privada de firma electrónica avanzada de persona fisica no podrá ser migrada entre diferentes prestadores de servicios de confianza, ni modificar el medio de almacenamiento dentro del mismo prestador de servicios de certificación.

CAPÍTULO V - Prestadores de Servicios de Confianza

ART. 10.-
Requisitos para ser prestador de servicios de confianza.- Son condiciones indispensables para ser prestador de servicios de confianza acreditado, las siguientes:
a) Ser persona fisica o jurídica constituida en el país, dar garantía económica y solvencia suficiente para prestar los servicios.
b) Contar con personal calificado con conocimientos y experiencia necesarios para la prestación de los servicios de confianza ofrecidos y con procedimientos de seguridad y de gestión adecuados.
c) Utilizar estándares y herramientas adecuadas según lo establecido por la Unidad de Certificación Electrónica.
d) Estar domiciliado en el territorio de la República Oriental del Uruguay, entendiéndose que cumple con este requisito cuando su infraestructura tecnológica y demás recursos materiales y humanos se encuentren situados en territorio uruguayo.

ART. 11.-
Obligaciones de los prestadores de servicios de confianza. Los prestadores de servicios de confianza deberán:
a) Custodiar diligentemente la clave privada del firmante o signatario y asegurar los medios para su generación, protección y destrucción.
b) Establecer mecanismos seguros para realizar firmas electrónicas por orden del firmante o signatario de acuerdo con lo que determine la UCE.
c) Disponer de mecanismos seguros para el registro y autenticación de personas físicas para su identificación digital.
d) Cumplir las Políticas que establezca la UCE.

ART. 12.-
Requerimientos técnicos y de gestión. Los aspectos técnicos y de gestión que deben cumplir los prestadores de servicios de confianza acreditados en la prestación de los servicios serán determinados por la UCE.

ART. 13.-
Responsabilidad. La responsabilidad de los prestadores de servicios de confianza acreditados se regirá por lo establecido para los prestadores de servicios de certificación en el artículo 20 de la Ley N° 18.600.

CAPÍTULO VI - Procedimiento de acreditación de prestadores de servicios de confianza

ART. 14.-
Servicios de Confianza. Los prestadores de servicios de confianza podrán acreditarse para brindar los siguientes servicios:
a. Generación, almacenamiento de certificados y firma de personas físicas y jurídicas.
b. Almacenamiento de certificados y firma de personas físicas o jurídicas.
c. Identificación digital de personas físicas con niveles de seguridad equivalentes a la identificación presencial.

ART. 15.-
Requisitos de los prestadores de servicios de confianza de generación, almacenamiento y firma de persona física y jurídica, y de identificación digital. El procedimiento de acreditación de los prestadores de servicios de confianza de generación, almacenamiento y firma, almacenamiento y firma de persona física y de identificación digital se realizará de acuerdo con las disposiciones de la Ley N° 18.600 y en el Capítulo V del Decreto N° 436/011 de 8 de diciembre de 2011.

ART. 16.-
Requisitos de los prestadores de servicios de confianza de almacenamiento y firma de persona jurídica. Los prestadores de servicios de confianza de almacenamiento y firma de persona jurídica deberán contar con procedimientos de acceso y resguardo de certificados, cláusulas contractuales y demás obligaciones establecidas por la UCE en las Políticas específicamente dictadas. No será necesario el cumplimiento de los procesos de acreditación, pudiendo la UCE controlar, en cualquier momento, la regularidad de los servicios prestados, con todas las competencias establecidas por la Ley N° 18.600.

ART. 17.-
Prestadores de servicios de certificación acreditados. Los prestadores de servicios de certificación acreditados ante la UCE podrán solicitar su inscripción en el Registro de prestadores de servicios de confianza. En este caso, los solicitantes únicamente deberán acreditar los requisitos específicos establecidos en las Políticas definidas por la UCE para los servicios de confianza que pretendan brindar.

ART. 18.-
Comunicación de modificación en los requisitos. Los requisitos exigidos deberán ser cumplidos mientras esté vigente la acreditación y ser comunicados a la UCE cuando se produzca un cambio en alguno de ellos, dentro del plazo máximo de 10 días corridos a partir del hecho.

ART. 19.-
Control de admisibilidad. El control de admisibilidad de las solicitudes se regirá por lo establecido en el articula 15 del Decreto N° 436/011.

ART. 20.-
Garantía de solvencia económica. Aprobada técnicamente la solicitud, se comunicará al solicitante quién dispondrá de 20 días corridos contados a partir del día siguiente a la notificación, para presentar la garantía prevista en el artículo 17 de la Ley N° 18.600 a través de la contratación de un seguro de responsabilidad civil para afrontar el riesgo de la responsabilidad por daños y perjuicios que pudieran ocasionar en la prestación de sus servicios.

ART. 21.-
Otorgamiento. La acreditación será otorgada al solicitante por el plazo que determine la UCE y estará sujeta a las inspecciones y auditorías que requiera.

ART. 22.-
Efectos de la acreditación. La acreditación del prestador de servicios de confianza producirá los siguientes efectos:
a. Incorporación en el Registro de prestadores de servicios de confianza acreditados.
b. Habilitación para prestar el servicio de confianza en el cual se acredite.

ART. 23.-
Suspensión y revocación de la acreditación de los prestadores de servicios de confianza de generación, almacenamiento y firma electrónica avanzada. La suspensión y revocación de la acreditación de los prestadores de servicios de confianza de generación, almacenamiento y firma electrónica avanzada, así como sus efectos, se regirán por lo establecido para los prestadores de servicios de certificación.

ART. 24.-
Suspensión de la acreditación de los prestadores de servicios de confianza de identificación digital. La suspensión de la acreditación surtirá efectos a partir de la fecha de la Resolución que la determine, la cual fijará su duración y producirá los siguientes efectos:
a. No podrá brindar servicios de identificación digital durante el período de suspensión.
b. Las identificaciones realizadas hasta la fecha mantendrán su validez.
c. Se deberán mantener las demás condiciones exigidas por la Ley y el presente decreto.

ART. 25.-
Revocación de la acreditación de los prestadores de servicios de confianza de identificación digital. La acreditación de los prestadores de servicios de confianza de identificación digital quedará sin efecto en los siguientes casos:
a. Por solicitud del prestador de acuerdo con lo dispuesto en el artículo 19 de la Ley N° 18.600.
b. Revocación de la acreditación por sanción dispuesta por la UCE.
La revocación de la acreditación tendrá efectos desde la fecha de la Resolución que la determine, la cual implicará que el prestador no podrá brindar más servicios de identificación digital en el marco de esta norma.

ART. 26.-
Cese de actividades del prestador de servicios de confianza de identificación digital. El prestador de servicios de confianza de identificación digital que vaya a cesar en sus actividades deberá comunicarlo a los titulares de las identidades digitales que provea y a la UCE en un plazo de 30 días corridos previos a la fecha de cese, sin perjuicio de las responsabilidades ulteriores.

ART. 27.-
Cese de actividades del prestador de servicios de confianza acreditados. Los prestadores de servicios de confianza acreditados que cesen en sus actividades estarán obligados a comunicarlo a través del Diario Oficial y cualquier otro medio electrónico o tradicional que considere pertinente. Asimismo, el prestador de servicios de confianza de generación, almacenamiento y firma deberá mantener o derivar el servicio de recepción de solicitudes de revocación, y actualizar y publicar en el Registro actualizado de certificados revocados hasta que haya vencido el último de los certificados emitidos.

ART. 28.-
El Registro de prestadores de servicios de confianza. El registro de prestadores de servicios de confianza se regirá por lo dispuesto para el Registro de prestadores de servicios de certificación.

Capítulo VII - Control y Supervisión de los prestadores de servicios de confianza acreditados

ART. 29.-
Potestades sancionatorias. La Unidad de Certificación Electrónica podrá aplicar a los prestadores de servicios de confianza las sanciones establecidas en el artículo 14 numeral 5° de la Ley N° 18.600.

ART. 30.-
Deber de colaboración. Los prestadores de servicios de confianza tienen la obligación de facilitar a la UCE toda la información y elementos necesarios para el ejercicio de sus funciones, así como la de permitir al personal inspector el acceso a sus instalaciones y la consulta de toda la documentación relevante.

ART. 31.-
Relacionamiento entre prestadores de servicios de certificación y prestadores de servicios de confianza. Los prestadores de servicios de certificación deberán informar a la UCE la existencia de acuerdos o convenios que suscriban con prestadores de servicios de confianza para la prestación de los servicios que se regulan. Dicha obligación se considerará cumplida mediante la entrega a la UCE del listado de los prestadores participantes. La UCE garantizará la confidencialidad de la información entregada.

Capítulo VIII - Disposiciones finales

ART. 32.-
Remisión. Serán de aplicación en lo no previsto las disposiciones establecidas para los prestadores de servicios de certificación acreditados.

ART. 33.-
Comuniquese, publíquese, etc.
VÁZQUEZ - EDUARDO BONOMI - RODOLFO NIN NOVOA - DANILO ASTORI - JORGE MENÉNDEZ - MARÍA JULIA MUÑOZ - VÍCTOR ROSSI - GUILLERMO MONCECCHI - ERNESTO MURRO - JORGE BASSO - ENZO BENECH - LILIAM KECHICHIAN - ENEIDA de LEÓN - MARINA ARISMENDI.