Decreto 382/2003 sobre firma digital de 17 de septiembre de 2003.
Montevideo, 17 de setiembre de 2003.
VISTO: lo dispuesto
por los artículos 129 de la ley 16.002 de 24
de noviembre de 1988, los artículos 694 a 607 de la
ley 16.736 de 5 de enero de 1996 y el artículo 25 de la
ley 17.243 de 29 de junio de 2000, en cuanto prevén el uso de
medios informáticos y telemáticos.
RESULTANDO: Que con
la sanción del artículo 25 de al ley 17.243
se reconoce el empleo de la firma digital y su eficacia jurídica para
otorgar seguridad a las transacciones electrónicas, promoviendo el
comercio electrónico seguro, de modo de permitir la identificación en
forma confiable de las personas que realicen transacciones electrónicas.
Que asimismo, la sanción del artículo 129 de la
ley 16.002 y de los artículos 694 a 697 de la
ley nº 16.736 impulsa la progresiva despapelización del Estado,
contribuyendo a mejorar su gestión, facilitar el acceso de la comunidad
a la información y posibilitar la realización de trámites por Internet
de forma segura.
CONSIDERANDO: Que resulta conveniente
reglamentar las disposiciones legales precitadas.
ATENTO: a lo precedentemente expuesto y a lo dispuesto por el artículo 168 numeral 4º de la Constitución de la República
EL PRESIDENTE DE LA REPUBLICA
Actuando en Consejo de
Ministros
DECRETA:
Artículo 1º-
El presente decreto reglamenta el uso de la firma digital y el
reconocimiento de su eficacia jurídica.
Artículo 2º
- Definiciones. A los efectos de este Decreto, se establecen las
siguientes definiciones:
a) Firma digital es el
resultado de aplicar a un documento un procedimiento matemático que
requiere información de exclusivo conocimiento del firmante,
encontrándose ésta bajo su absoluto control. La firma digital debe ser
susceptible de verificación por terceras partes, de manera tal que dicha
verificación permita, simultáneamente, identificar al firmante y
detectar cualquier alteración del documento digital posterior a su
firma.
b) Prestador de servicios de certificación
es una tercera parte que expide certificados digitales, pudiendo prestar
además, otros servicios relacionados con la firma digital.
c)
Certificado Digital es un documento digital firmado digitalmente por
un Prestador de servicios de certificación, que vincula la identidad del
titular del mismo con una clave pública y su correspondiente clave
privada.
d) Clave Privada es la clave generada por un
proceso matemático, que contiene datos únicos que el firmante utiliza
para crear la firma digital. Su conocimiento y control es exclusivo del
firmante. Si el firmante decidiera compartirla, se imputará como suyo
todo aquello que fuera realizado mediante el uso de la misma.
e) Clave Pública es aquella clave generada por el mismo proceso
matemático que la clave privada. Contiene datos únicos que permiten
verificar la firma digital del firmante. Su conocimiento es público.
f) Lista de Certificados Revocados de un prestador de servicios de
certificación
es un archivo firmado digitalmente por éste, en el que constan los números
de serie y fecha de revocación de todos los certificados revocados del
Prestador de servicios de certificación.
g) Firmante o
Signatario, es la persona física que cuenta con un Certificado
Digital que utiliza para firmar digitalmente.
h) Período de
Validez, es el período de vigencia del Certificado Digital.
Artículo 3º
Validez y eficacia de la firma digital. La firma digital tendrá
idéntica validez y eficacia a la firma autógrafa, siempre que esté
debidamente autenticada por claves u otros procedimientos seguros de
acuerdo a la tecnología informática que:
1. garanticen que la
firma digital se corresponde con el certificado digital emitido por un
prestador de servicios de certificación de firma digital, que lo asocia
con la identificación del signatario;
2. aseguren que la firma
digital se corresponde con el documento respectivo y que el mismo no fue
alterado ni pueda ser repudiado; y
3. garanticen que la firma
digital ha sido creada usando medios que el signatario mantiene bajo su
exclusivo control y durante la vigencia del certificado digital.
Artículo 4º- Valor probatorio de la firma digital.
La firma digital tendrá respecto al documento respectivo, idéntico valor
probatorio al que tiene la firma manuscrita con respecto al documento
consignado en papel, siempre que la misma haya sido creada mediante
mecanismos de clave pública y privada u otros procedimientos acordes a
la evolución de estándares tecnológicos internacionalmente reconocidos
como fiables que cumplan con las exigencias establecidas en el artículo
precedente.
Artículo 5º - Requisitos del
Certificado Digital. El Certificado Digital del firmante deberá
cumplir con los siguientes requisitos:
1. Contar como mínimo
con la siguiente información del titular del certificado:
a. Nombre
completo tal como aparece en el documento de identidad
b. Número,
tipo y país emisor del documento de identidad
c. La clave pública
asociada a la clave privada.
2. Número de serie
3.
Identificación del prestador de servicios de certificación.
4.
Período de validez.
5. Firma Digital del prestador de
servicios de certificación
6. Debe estar vigente
7.
No debe estar revocado a la fecha de la firma
8. Haber sido creado de acuerdo a las políticas del prestador de servicios de certificación que cumplan con lo establecido en el artículo 6.
Artículo 6º -Requisitos de emisión del Certificado Digital.
Los
requisitos para la emisión de Certificados Digitales serán los
siguientes:
a) Presencia física del solicitante del
certificado con documento de identidad vigente y válido en la República
Oriental del Uruguay.
b) Un contrato en soporte papel, con
fecha de emisión, en el que se consigna la información exacta trasladada
de la documentación presentada firmado en forma manuscrita en el que
deberá constar:
I) Responsabilidades del Solicitante respecto
de la clave Privada cuya clave pública correspondiente se consigna en el
certificado y todos los usos que a la misma se le dieran.
II)
Declaración del solicitante de su total conocimiento y aceptación de la
Declaración de Prácticas de Certificación y/o Política de Certificación
correspondientes al certificado solicitado.
III)
Responsabilidades del solicitante y del prestador de servicios de
certificación respecto a la solicitud de revocación de un certificado,
consignando plazos de responsabilidad.
c) Generar la clave privada
cuya clave pública correspondiente se consignará en el certificado.
Artículo 7º - Cese de actividades del prestador de servicios de certificación. Si el prestador de servicios de certificación cesara sus actividades está obligado a comunicar dicha situación a través del Diario Oficial y cualquier otro medio que considere pertinente, a mantener o derivar el servicio de recepción de solicitudes de revocación y a actualizar y publicar la Lista de Certificados Revocados hasta que haya vencido el último de los certificados emitidos.
Artículo 8º - Actualización y publicación de la Lista de Certificados Revocados. El prestador de servicios de certificación deberá actualizar y publicar la Lista de Certificados Revocados al menos cada 24 horas.
Artículo 9º - Equivalencia de certificados. Los certificados que expidan los prestadores de servicios de certificación establecidos en otros Estados, de acuerdo con su respectiva legislación, se considerarán equivalentes a los expedidos por los establecidos en la República, siempre que los mismos hayan sido emitidos con garantías de confiabilidad similares a las exigidas por este decreto, y que exista reciprocidad del país de origen con respecto de los certificados emitidos en el Uruguay.
Artículo 10º - De forma