MINISTERIO DEL INTERIOR
MINISTERIO DE RELACIONES EXTERIORES
MINISTERIO DE ECONOMIA Y FINANZAS
MINISTERIO DE DEFENSA NACIONAL
MINISTERIO DE EDUCACION Y CULTURA
MINISTERIO DE TRANSPORTE Y OBRAS PUBLICAS
MINISTERIO DE INDUSTRIA, ENERGIA Y MINERIA
MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL
MINISTERIO DE SALUD PUBLICA
MINISTERIO DE GANADERIA, AGRICULTURA Y PESCA
MINISTERIO DE TURISMO Y DEPORTE
MINISTERIO DE VIVIENDA, ORDENAMIENTO TERRITORIAL Y MEDIO AMBIENTE
MINISTERIO DE DESARROLLO SOCIAL
Montevideo, 19 de marzo de 2018
VISTO: lo dispuesto por los artículos 31 a 33 de la Ley N° 18.600 de 21 de setiembre de 2009, en la redacción dada por el artículo 28 de la Ley N° 19.535 de 25 de setiembre de 2017 respecto a los servicios de confianza de identificación digital y firma electrónica avanzada con custodia centralizada.
RESULTANDO: que razones de juridicidad y conveniencia imponen estatuir aquellos aspectos básicos y primarios de la reglamentación, que ordenen y favorezcan su puesta en práctica.
CONSIDERANDO: I) que la Ley N° 18.600 establece el marco normativo general del Documento y la Firma Electrónica;
II) que la Agenda Digital Uruguay 2020, aprobada por el Decreto N° 459/016 de 30 de diciembre de 2016, establece como objetivo la construcción de entornos seguros y formas de interacción basadas en la confianza, que promuevan la plena participación en la sociedad de la información, a través de diversos medios como la firma electrónica avanzada;
III) que otros países han regulado la materia con positiva repercusión en el ámbito tanto público como privado;
IV) que su regulación constituye un elemento esencial para garantizar la seguridad de las transacciones electrónicas, promoviendo el comercio electrónico seguro, de modo de permitir la identificación en forma fehaciente de los sujetos intervinientes;
V) que la promulgación del presente decreto otorga un impulso decisivo para lograr un mayor despliegue y uso de los sistemas de firma electrónica, en las relaciones entre particulares y con el Estado;
ATENTO: a lo precedentemente expuesto y a lo preceptuado en las disposiciones citadas y en el artículo 168 ordinal 4° de la Constitución;
EL PRESIDENTE DE LA REPUBLICA
actuando en Consejo de Ministros
DECRETA:
CAPÍTULO I - Disposiciones Generales
ART. 1º.-
Ámbito objetivo. El presente decreto será de aplicación a los servicios de confianza de identificación digital y firma electrónica avanzada con custodia centralizada.
ART. 2º.-
Ámbito subjetivo. Los prestadores de servicios de confianza deberán ajustar su actividad, en el marco de la libre competencia, a las disposiciones del presente decreto.
ART. 3º.-
Definiciones. A los efectos de este decreto se entenderá por:
A) "Autenticación electrónica": el proceso de identificar a una persona a través de un sistema informático mediante uno o más medios de identificación digital.
B) "Firma electrónica avanzada con custodia centralizada": es la firma electrónica avanzada en la cual la clave privada del firmante se encuentra en custodia de un prestador de servicios de confianza acreditado, que realiza la firma bajo orden expresa del firmante.
C) "Medio de identificación electrónica o digital": unidad material o inmaterial, procesable por un sistema informático, con una parte en control del sistema y otra en exclusivo control de la persona, ya sea mediante:
a) su conocimiento;
b) un dispositivo físico o lógico;
c) algún rasgo físico o comportamental.
D) "Prestador de servicios de confianza": persona física o jurídica, pública o privada, nacional o extranjera, que presta uno o más servicios de confianza.
E) "Registro de identificación digital": el proceso de identificar a una persona, verificar sus datos, expedir o asociar uno o más medios de identificación digital a ésta, y almacenar dicha asociación para su posterior utilización.
F) "Servicios de confianza": son servicios electrónicos que permiten brindar seguridad jurídica a los hechos, actos y negocios realizados o registrados por medios electrónicos, entre ellos:
a) servicios de firma electrónica avanzada con custodia
centralizada;
b) servicios de identificación digital;
c) servicios de sellado de tiempo;
d) otros servicios establecidos por la Unidad de Certificación
Electrónica.
G) "Servicios de identificación digital": son servicios que realizan registros de autenticación electrónica de personas para su verificación por terceros.
CAPÍTULO II - Órgano de Control
ART. 4º.-
Competencias de la Unidad de Certificación Electrónica. La UCE deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de este decreto. A tales efectos tendrá las siguientes funciones y atribuciones específicas:
A) Acreditar y controlar los servicios prestados por los prestadores
de servicios de confianza.
B) Establecer las especificaciones técnicas, normas y procedimientos
respecto a los servicios de confianza.
C) Definir nuevos servicios de confianza.
CAPÍTULO III - Servicios de Identificación digital
ART. 5º.-
Seguridad de los servicios de identificación digital. Los servicios de identificación digital podrán contar con diversos niveles de seguridad. Será competencia de la UCE definir las especificaciones técnicas, normas y procedimientos para determinar los niveles de seguridad de los servicios mencionados, debiendo considerar entre otros elementos:
1. El procedimiento de registro de identificación digital.
2. Los medios de identificación digital.
3. El proceso de autenticación.
La UCE definirá los niveles de seguridad que proporcionen a la identificación digital el mismo valor y efecto jurídicos que la identificación presencial.
ART. 6º.-
Niveles de seguridad. Aquellos niveles de seguridad que tengan idéntica validez que la identificación presencial deberán ser prestados por un prestador de servicios de confianza acreditado.
ART. 7º.-
Responsabilidad. Es responsabilidad de quienes utilizan servicios de identificación digital requerir, en la prestación de sus servicios, un nivel de seguridad adecuado para la identificación digital de personas.
CAPÍTULO IV - Servicios de Firma Electrónica Avanzada con custodia
centralizada
ART. 8º.-
Servicios de confianza de firma electrónica avanzada con custodia centralizada. Los servicios de confianza de firma electrónica avanzada con custodia centralizada podrán consistir en la generación, almacenamiento y firma con certificados de firma electrónica avanzada de personas físicas y jurídicas.
ART. 9º.-
Prohibición de migrar clave privada. La clave privada de firma electrónica avanzada de persona fisica no podrá ser migrada entre diferentes prestadores de servicios de confianza, ni modificar el medio de almacenamiento dentro del mismo prestador de servicios de certificación.
CAPÍTULO V - Prestadores de Servicios de Confianza
ART. 10.-
Requisitos para ser prestador de servicios de confianza.- Son condiciones indispensables para ser prestador de servicios de confianza acreditado, las siguientes:
a) Ser persona fisica o jurídica constituida en el país, dar
garantía económica y solvencia suficiente para prestar los
servicios.
b) Contar con personal calificado con conocimientos y experiencia
necesarios para la prestación de los servicios de confianza
ofrecidos y con procedimientos de seguridad y de gestión
adecuados.
c) Utilizar estándares y herramientas adecuadas según lo establecido
por la Unidad de Certificación Electrónica.
d) Estar domiciliado en el territorio de la República Oriental del
Uruguay, entendiéndose que cumple con este requisito cuando su
infraestructura tecnológica y demás recursos materiales y humanos
se encuentren situados en territorio uruguayo.
ART. 11.-
Obligaciones de los prestadores de servicios de confianza. Los prestadores de servicios de confianza deberán:
a) Custodiar diligentemente la clave privada del firmante o
signatario y asegurar los medios para su generación, protección y
destrucción.
b) Establecer mecanismos seguros para realizar firmas electrónicas
por orden del firmante o signatario de acuerdo con lo que
determine la UCE.
c) Disponer de mecanismos seguros para el registro y autenticación
de personas físicas para su identificación digital.
d) Cumplir las Políticas que establezca la UCE.
ART. 12.-
Requerimientos técnicos y de gestión. Los aspectos técnicos y de gestión que deben cumplir los prestadores de servicios de confianza acreditados en la prestación de los servicios serán determinados por la UCE.
ART. 13.-
Responsabilidad. La responsabilidad de los prestadores de servicios de confianza acreditados se regirá por lo establecido para los prestadores de servicios de certificación en el artículo 20 de la Ley N° 18.600.
CAPÍTULO VI - Procedimiento de acreditación de prestadores de servicios de
confianza
ART. 14.-
Servicios de Confianza. Los prestadores de servicios de confianza podrán acreditarse para brindar los siguientes servicios:
a. Generación, almacenamiento de certificados y firma de personas
físicas y jurídicas.
b. Almacenamiento de certificados y firma de personas físicas o
jurídicas.
c. Identificación digital de personas físicas con niveles de
seguridad equivalentes a la identificación presencial.
ART. 15.-
Requisitos de los prestadores de servicios de confianza de generación, almacenamiento y firma de persona física y jurídica, y de identificación digital. El procedimiento de acreditación de los prestadores de servicios de confianza de generación, almacenamiento y firma, almacenamiento y firma de persona física y de identificación digital se realizará de acuerdo con las disposiciones de la Ley N° 18.600 y en el Capítulo V del Decreto N° 436/011 de 8 de diciembre de 2011.
ART. 16.-
Requisitos de los prestadores de servicios de confianza de almacenamiento y firma de persona jurídica. Los prestadores de servicios de confianza de almacenamiento y firma de persona jurídica deberán contar con procedimientos de acceso y resguardo de certificados, cláusulas contractuales y demás obligaciones establecidas por la UCE en las Políticas específicamente dictadas. No será necesario el cumplimiento de los procesos de acreditación, pudiendo la UCE controlar, en cualquier momento, la regularidad de los servicios prestados, con todas las competencias establecidas por la Ley N° 18.600.
ART. 17.-
Prestadores de servicios de certificación acreditados. Los prestadores de servicios de certificación acreditados ante la UCE podrán solicitar su inscripción en el Registro de prestadores de servicios de confianza. En este caso, los solicitantes únicamente deberán acreditar los requisitos específicos establecidos en las Políticas definidas por la UCE para los servicios de confianza que pretendan brindar.
ART. 18.-
Comunicación de modificación en los requisitos. Los requisitos exigidos deberán ser cumplidos mientras esté vigente la acreditación y ser comunicados a la UCE cuando se produzca un cambio en alguno de ellos, dentro del plazo máximo de 10 días corridos a partir del hecho.
ART. 19.-
Control de admisibilidad. El control de admisibilidad de las solicitudes se regirá por lo establecido en el articula 15 del Decreto N° 436/011.
ART. 20.-
Garantía de solvencia económica. Aprobada técnicamente la solicitud, se comunicará al solicitante quién dispondrá de 20 días corridos contados a partir del día siguiente a la notificación, para presentar la garantía prevista en el artículo 17 de la Ley N° 18.600 a través de la contratación de un seguro de responsabilidad civil para afrontar el riesgo de la responsabilidad por daños y perjuicios que pudieran ocasionar en la prestación de sus servicios.
ART. 21.-
Otorgamiento. La acreditación será otorgada al solicitante por el plazo que determine la UCE y estará sujeta a las inspecciones y auditorías que requiera.
ART. 22.-
Efectos de la acreditación. La acreditación del prestador de servicios de confianza producirá los siguientes efectos:
a. Incorporación en el Registro de prestadores de servicios de
confianza acreditados.
b. Habilitación para prestar el servicio de confianza en el cual se
acredite.
ART. 23.-
Suspensión y revocación de la acreditación de los prestadores de servicios de confianza de generación, almacenamiento y firma electrónica avanzada. La suspensión y revocación de la acreditación de los prestadores de servicios de confianza de generación, almacenamiento y firma electrónica avanzada, así como sus efectos, se regirán por lo establecido para los prestadores de servicios de certificación.
ART. 24.-
Suspensión de la acreditación de los prestadores de servicios de confianza de identificación digital. La suspensión de la acreditación surtirá efectos a partir de la fecha de la Resolución que la determine, la cual fijará su duración y producirá los siguientes efectos:
a. No podrá brindar servicios de identificación digital durante el
período de suspensión.
b. Las identificaciones realizadas hasta la fecha mantendrán su
validez.
c. Se deberán mantener las demás condiciones exigidas por la Ley y
el presente decreto.
ART. 25.-
Revocación de la acreditación de los prestadores de servicios de confianza de identificación digital. La acreditación de los prestadores de servicios de confianza de identificación digital quedará sin efecto en los siguientes casos:
a. Por solicitud del prestador de acuerdo con lo dispuesto en el
artículo 19 de la Ley N° 18.600.
b. Revocación de la acreditación por sanción dispuesta por la UCE.
La revocación de la acreditación tendrá efectos desde la fecha de la
Resolución que la determine, la cual implicará que el prestador no
podrá brindar más servicios de identificación digital en el marco de
esta norma.
ART. 26.-
Cese de actividades del prestador de servicios de confianza de identificación digital. El prestador de servicios de confianza de identificación digital que vaya a cesar en sus actividades deberá comunicarlo a los titulares de las identidades digitales que provea y a la UCE en un plazo de 30 días corridos previos a la fecha de cese, sin perjuicio de las responsabilidades ulteriores.
ART. 27.-
Cese de actividades del prestador de servicios de confianza acreditados. Los prestadores de servicios de confianza acreditados que cesen en sus actividades estarán obligados a comunicarlo a través del Diario Oficial y cualquier otro medio electrónico o tradicional que considere pertinente. Asimismo, el prestador de servicios de confianza de generación, almacenamiento y firma deberá mantener o derivar el servicio de recepción de solicitudes de revocación, y actualizar y publicar en el Registro actualizado de certificados revocados hasta que haya vencido el último de los certificados emitidos.
ART. 28.-
El Registro de prestadores de servicios de confianza. El registro de prestadores de servicios de confianza se regirá por lo dispuesto para el Registro de prestadores de servicios de certificación.
Capítulo VII - Control y Supervisión de los prestadores de servicios de
confianza acreditados
ART. 29.-
Potestades sancionatorias. La Unidad de Certificación Electrónica podrá aplicar a los prestadores de servicios de confianza las sanciones establecidas en el artículo 14 numeral 5° de la Ley N° 18.600.
ART. 30.-
Deber de colaboración. Los prestadores de servicios de confianza tienen la obligación de facilitar a la UCE toda la información y elementos necesarios para el ejercicio de sus funciones, así como la de permitir al personal inspector el acceso a sus instalaciones y la consulta de toda la documentación relevante.
ART. 31.-
Relacionamiento entre prestadores de servicios de certificación y prestadores de servicios de confianza. Los prestadores de servicios de certificación deberán informar a la UCE la existencia de acuerdos o convenios que suscriban con prestadores de servicios de confianza para la prestación de los servicios que se regulan. Dicha obligación se considerará cumplida mediante la entrega a la UCE del listado de los prestadores participantes. La UCE garantizará la confidencialidad de la información entregada.
Capítulo VIII - Disposiciones finales
ART. 32.-
Remisión. Serán de aplicación en lo no previsto las disposiciones establecidas para los prestadores de servicios de certificación acreditados.
ART. 33.-
Comuniquese, publíquese, etc.
VÁZQUEZ - EDUARDO BONOMI - RODOLFO NIN NOVOA - DANILO ASTORI - JORGE MENÉNDEZ - MARÍA JULIA MUÑOZ - VÍCTOR ROSSI - GUILLERMO MONCECCHI - ERNESTO MURRO - JORGE BASSO - ENZO BENECH - LILIAM KECHICHIAN - ENEIDA de LEÓN - MARINA ARISMENDI.