Proyecto de Ley de Certificados, Firmas y Documentos Electrónicos. Expediente nº 14.276 del Ministerio de Ciencia y Tecnología de 11 de febrero de 2004.
TEXTO SUSTITUTIVO de 11 de febrero del
2004
SEGUNDA LEGISLATURA (Del 1º de mayo de 2003 al 30 de abril de 2004)
SEGUNDO PERÍDO DE SESIONES EXTRAORDINARIAS (Del 1º de diciembre de 2003
al 30 de abril de 2004)
DEPARTAMENTO DE COMISIONES
COMISIÓN PERMANENTE DE ASUNTOS JURÍDICOS
Ley de
firmas y documentos electrónicos
Versión 02/12/2003
Comisión redactora:
Licda. Mariel Picado Quevedo, COMEX
Lic. Federico Chacón Loaiza, MICIT
Lic. Óscar Solís, MICIT
Lic. Francisco Salas Ruiz, Procuraduría General de la República
Lic. Randall Salazar Solórzano, Ministerio de Justicia
MSc.
Christian Hess Araya, Poder Judicial
La Asamblea
Legislativa,
DECRETA
Ley de firmas y documentos
electrónicos
TÍTULO PRIMERO: DISPOSICIONES GENERALES
CAPÍTULO ÚNICO
Artículo 1.- Objeto y ámbito
La
presente ley, que tiene carácter general, regula la validez y eficacia
probatoria de los documentos electrónicos, así como los requisitos para
el reconocimiento de la autenticidad e integridad de los documentos,
mensajes o archivos firmados electrónicamente.
Se aplicará a toda
clase de transacciones y actos jurídicos, públicos o privados, a menos
que otra disposición especial lo impida, o que la naturaleza o
requisitos particulares del acto o negocio concretos resulten
incompatibles.
Artículo 2.- Aplicación al sector público
El Estado y sus
instituciones quedan expresamente facultados para utilizar las firmas y
documentos electrónicos. Podrán además fungir como entidades
certificantes respecto de sus despachos y funcionarios(as), así como de
otras dependencias estatales.
Las empresas públicas cuyo giro
comercial lo comprenda podrán ofrecer servicios de certificación en
condiciones idénticas a las empresas de carácter privado.
Artículo 3.- Mecanismos alternativos en actos o negocios privados
En las transacciones y actos realizados exclusivamente entre sujetos
privados y que no afecten derechos de terceros, las partes podrán
convenir en la aplicación de los mecanismos previstos en esta ley o bien
de cualesquiera otras alternativas que deseen para asegurar la
autenticidad e integridad de sus documentos electrónicos, mensajes
electrónicos o archivos digitales.
Artículo 4.-
Neutralidad tecnológica e interpretación progresiva
La presente
ley será aplicable con independencia de la plataforma, mecanismo o
procedimiento tecnológico por medio del cual sean generados, procesados
o almacenados los documentos, mensajes, archivos, firmas electrónicas o
certificados digitales a que ella se refiere.
Sus disposiciones
serán interpretadas progresivamente, de manera que -en cuanto sea
posible- cubran tanto la gama de tecnologías existente al momento de su
promulgación como en el futuro, sin privilegiar ni privar de efectos a
priori a ninguna.
Artículo 5.- Definiciones
Para
los propósitos de esta ley y su reglamento, se entenderá por:
a)
Archivo digital: una estructura informática que puede almacenar
tanto código ejecutable como los datos de entrada, procesamiento o
salida de una aplicación informática.
b) Autenticidad:
la posibilidad técnica de establecer un nexo unívoco entre un documento,
mensaje, archivo o firma electrónica y su autor(a).
c)
Certificado digital: mecanismo informático por medio del cual se
garantiza técnicamente la autenticidad e integridad de un documento,
mensaje electrónico o archivo digital asociado con una firma
electrónica, de acuerdo con los requisitos que señalan esta ley y su
reglamento.
d) Documento electrónico:
toda representación de hechos, actos o transacciones jurídicas, producida y
conservada electrónicamente.
e) Ente Costarricense de
Acreditación (ECA): dependencia creada y regulada por ley Nº 8279 de
2 de mayo del 2002.
f) Entidad certificante: la persona
jurídica, pública o privada, nacional o extranjera, que emite
certificados digitales para respaldar un procedimiento de firma
electrónica de documentos, mensajes o archivos digitales.
g)
Entidad certificante autorizada: la entidad certificante que, previa
acreditación de su idoneidad técnica y cumplimiento de los restantes
requisitos señalados en esta ley y su reglamento, obtiene una licencia
de la Dirección Nacional de Entidades Certificantes para operar como
tal.
h) Firma electrónica: conjunto de datos adjunto o
lógicamente asociado a un mensaje, documento electrónico o archivo
digital, cuya finalidad sea comprobar su integridad y permitir la
identificación unívoca del autor.
i) Firma electrónica
certificada: la firma electrónica que se encuentre respaldada por un
certificado digital expedido por una entidad certificante autorizada.
j) Integridad: la propiedad de un documento, mensaje electrónico
o archivo digital cuyo contenido y características permanecen
inalterables desde el momento de su emisión. El grado de confiabilidad
se establecerá de acuerdo con los fines para los que se generó la
información y de las circunstancias relevantes.
k) Mensaje electrónico: toda información o conjunto de datos
generados y transmitidos por medios telemáticos, ya sea que contengan o
no un documento electrónico.
l) Usuario(a): la persona física
o jurídica, pública o privada, que utilice la tecnología de firma
electrónica al amparo de esta ley y su reglamento. En el caso de las
personas jurídicas, las disposiciones de esta ley se entenderán
referidas a las actuaciones de sus representantes legales o personas
responsables de las claves, contraseñas o mecanismos de identificación
similares.
TÍTULO SEGUNDO: DOCUMENTOS Y MENSAJES ELECTRÓNICOS
CAPÍTULO ÚNICO
Artículo 6.- Equivalencia funcional
El solo hecho de que una comunicación, acto o negocio jurídico esté
expresado o sea transmitido por un medio electrónico o informático no
será motivo para cuestionar su autenticidad, validez o eficacia
probatoria. Salvo prueba o mandato legal en contrario, se les tendrá por
jurídicamente equivalentes a los que se otorguen, residan en, o se
transmitan por medios físicos.
En cualquier norma del ordenamiento jurídico que se haga referencia a un
documento o comunicación, se entenderán igualmente comprendidos tanto
los electrónicos como los físicos, a menos que la fijación física
resulte consustancial o sea legalmente exigida para el acto o negocio
plasmado en el documento. En particular, no se equipararán los
documentos que, por haber sido otorgados en el extranjero, deban pasar
por el proceso de legalización consular previo a su utilización en el
país.
Artículo 7.- Calificación jurídica y fuerza probatoria
Los
documentos electrónicos se calificarán de públicos o privados y se les
reconocerá fuerza probatoria en las mismas condiciones que los
documentos físicos.
No obstante, se podrá negar ese valor probatorio
cuando:
a) No fuere posible acceder al contenido del documento
electrónico, respecto de quien tenga interés legítimo en él;
b) No
sea posible establecer fehacientemente su autoría; o,
c) No sea
posible aseverar la integridad del contenido con posterioridad a su
emisión.
Artículo 8.- Contratos electrónicos
En la formación de los contratos de cualquier índole, tanto la oferta
como la aceptación podrán ser expresadas por medio de un documento
electrónico, un mensaje electrónico o un mensaje portador de un
documento electrónico, siempre que las solemnidades exigidas por la ley
no resulten incompatibles.
En el comercio electrónico, tanto la
oferta como la aceptación podrán ser expresados automáticamente por
medio de un sistema informático programado con esa finalidad, en cuyo
caso el consentimiento se entenderá válidamente dado por la persona
física o jurídica que lo destinó al efecto.
Artículo 9.-
Domicilio electrónico
Tanto en transacciones privadas como en
sus relaciones con el Estado, las personas físicas o jurídicas podrán,
bajo su responsabilidad, señalar una dirección de correo electrónico
como su domicilio para la recepción de cualquier clase de
comunicaciones. Este señalamiento deberá realizarse mediante una
manifestación expresa en tal sentido y regirá únicamente para los
propósitos para los que haya sido hecha.
En caso de actos o negocios
privados, la recepción de estas comunicaciones se probará por los medios
establecidos en el derecho común. Tratándose de notificaciones oficiales
y a falta de norma especial aplicable, se les entenderá por recibidas a
partir del momento en que el (la) destinatario(a) dé acuse de recibo
expreso o implícito, o bien transcurridos diez días hábiles desde que el
(la) funcionario(a) notificador(a) ponga constancia de envío, lo que
suceda primero.
El señalamiento de domicilio electrónico podrá ser
variado o revocado en cualquier tiempo, sin perjuicio de las
consecuencias jurídicas surgidas hasta ese momento.
Artículo 10.- Lugar de emisión y de recepción
A menos que las
partes hayan dispuesto expresamente otra cosa o que así se desprenda
indudablemente de las circunstancias, todo mensaje o documento
electrónico se tendrá por expedido en el lugar donde el emisor tenga su
domicilio físico y por recibido en el lugar donde el destinatario tenga
el suyo.
Artículo 11.- Gestión y conservación de
documentos, mensajes electrónicos o archivos digitales
Cuando
sea legalmente requerido que un documento físico o electrónico, un
mensaje electrónico o un archivo digital sea conservado para referencia
futura, se podrá optar por hacerlo en soporte electrónico siempre que se
aplique las medidas de seguridad necesarias para garantizar su
inalterabilidad, se posibilite su acceso o consulta posterior y se
preserve además la información relativa a su origen y demás
características básicas.
En lo relativo al Estado y sus
instituciones, se aplicará lo dispuesto en la Ley del Sistema Nacional
de Archivos, nº 7202 de 24 de octubre de 1990. La Dirección General del
Archivo Nacional dictará las regulaciones necesarias para asegurar la
debida gestión y conservación de los documentos, mensajes o archivos
digitales que deban ser transferidos para su custodia a esa dependencia.
En los negocios entre particulares, la información relativa a uno o más
actos o transacciones en particular podrá ser presentada para su
conservación a un tercero confiable, quien también deberá observar los
requerimientos del párrafo trasanterior.
TÍTULO TERCERO:
FIRMAS ELECTRÓNICAS Y CERTIFICADOS DIGITALES
CAPÍTULO
ÚNICO
Artículo 12.- Valor equivalente
El
documento o mensaje electrónico asociado a una firma electrónica
certificada tendrá el mismo valor y eficacia probatoria de su
equivalente firmado de modo manuscrito.
En cualquier norma jurídica
que exija la presencia de una firma, se entenderá igualmente comprendida
tanto la electrónica como la manuscrita. Dicho requisito se tendrá por
satisfecho con respecto a la primera siempre que cumpla con los
requisitos fijados en esta ley y su reglamento.
Artículo
13.- Reglamentación
Los aspectos técnicos y detalles puntuales
relativos a la implementación del sistema de firma electrónica serán los
que señale el reglamento de esta ley.
Los órganos y entidades
públicas podrán además reglamentar internamente los aspectos
particulares que requiera el eficiente despacho de sus asuntos.
Artículo 14.- Presunción de autoría
Todo documento, mensaje
electrónico o archivo digital asociado a una firma electrónica
certificada se presumirá, salvo prueba en contrario, como de la autoría
y responsabilidad del (la) titular del correspondiente certificado
digital, vigente al momento de su emisión.
No obstante, esta presunción no dispensa el cumplimiento de las formalidades
adicionales de autenticación, certificación o registro que desde el
punto de vista jurídico exija la ley para determinados actos o negocios.
Artículo 15.- Obligaciones y responsabilidades
Los (las)
usuarios(as) del sistema de firma electrónica estarán obligados(as) a:
a) Suministrar a las entidades certificantes la información veraz,
completa y actualizada que requieran para la prestación de sus
servicios.
b) Resguardar estrictamente la confidencialidad de la clave, contraseña o
mecanismo de identificación similar que se les haya asignado con ese
carácter, informando inmediatamente a la entidad certificante en caso de
que dicha confidencialidad se vea o se sospeche que haya sido
comprometida.
c) Acatar las recomendaciones técnicas y de seguridad
que le señale la correspondiente entidad certificante.
Sin
perjuicio de la eventual responsabilidad penal que también corresponda,
los (las) usuarios(as) particulares del sistema serán civilmente
responsables por todos los daños o perjuicios que deriven del
incumplimiento de sus obligaciones, siempre que medie dolo o culpa.
El Estado, sus instituciones y funcionarios responderán de acuerdo con lo
dispuesto en la Ley General de la Administración Pública y demás
legislación aplicable.
Artículo 16.- Contenido de los
certificados digitales
Todo certificado digital emitido en el
país deberá:
a) Poseer un número de serie único e irrepetible
respecto de la entidad que lo expide.
b) Identificar al (la)
usuario(a) al (la) que va destinado.
c) Identificar a la entidad
certificante y la dirección de su página electrónica en Internet.
d)
Indicar las fechas de expedición y de vencimiento.
e) Estar firmado
electrónicamente por la entidad certificante, indicando el procedimiento
empleado para la generación de la firma.
f) Identificar la dirección
de la página electrónica en Internet de la Dirección Nacional de
Entidades Certificantes. Y,
g) Cumplir con los restantes requisitos
que señale el Reglamento de esta ley.
Artículo 17.-
Reconocimiento de certificados extranjeros
Se conferirá pleno
valor y eficacia jurídica a un certificado digital emitido en el
extranjero, en cualquiera de los siguientes casos:
a) Que esté
respaldado por una entidad certificante autorizada en el país, en virtud
de existir una relación de corresponsalía en los términos a que se
refiere esta ley; o,
b) Que cumpla con todos los requisitos
enunciados en el artículo precedente y exista un acuerdo recíproco en
este sentido entre Costa Rica y el país de origen de la entidad
certificante extranjera.
Los certificados que no cumplan con las
condiciones citadas no surtirán efectos por sí solos, pero podrán ser
empleados como elemento de convicción complementario para establecer la
existencia y alcances de un determinado acto o negocio.
Artículo 18.- Suspensión de certificados digitales
Un
certificado digital podrá ser suspendido por todo el plazo en que
subsista cualquiera de las siguientes causales:
a) La petición del
(la) propio(a) usuario(a) a favor de quien se expidió.
b) Como
medida cautelar, cuando la entidad certificante que lo emitió tuviere
fundadas sospechas de que su confiabilidad haya sido comprometida por
un(a) usuario(a), o bien porque éste(a) desatienda los lineamientos de
seguridad establecidos. En este caso, la suspensión podrá ser recurrida
ante la Dirección Nacional de Entidades Certificantes, aplicándose lo
dispuesto en el artículo 148 de la Ley General de la Administración
Pública.
c) Cuando contra el (la) usuario(a) se hubiera dictado auto
de apertura a juicio, por delitos en cuya comisión se haya utilizado la
firma electrónica.
d) Cuando así lo ordene la Dirección Nacional de
Entidades Certificantes en caso de que por sí o a través del Ente
Costarricense de Acreditación se determine que el (la) usuario(a)
incumple las obligaciones que le imponen esta ley y su reglamento.
e) Cuando el (la) usuario(a) no cancele oportunamente el costo del servicio,
pactado contractualmente.
f) Por orden de la autoridad judicial.
Artículo 19.- Revocación de certificados digitales
El
certificado digital será revocado en los siguientes supuestos:
a) A
petición del (la) usuario(a) a favor de quien se expidió.
b) Cuando
se confirme el extravío o pérdida de confidencialidad de la clave,
contraseña o mecanismo de identificación similar.
c) Cuando se
determine que el (la) usuario(a) ha suplido información falsa a la
entidad certificante, u omitido otra información relevante, para
propósitos de obtener el certificado.
d) Por fallecimiento, ausencia
legalmente declarada, interdicción o insolvencia del (la) usuario(a)
persona física.
e) Cuando recaiga condena firme contra el (la)
usuario(a) por delitos en cuya comisión se haya utilizado la firma
electrónica.
f) Por cese de actividades, quiebra o liquidación en el
caso de las personas jurídicas.
g) Por orden de la autoridad
judicial.
TÍTULO CUARTO: ENTIDADES CERTIFICANTES
CAPÍTULO ÚNICO
Artículo 20.- Reconocimiento
oficial
Solo recibirá reconocimiento oficial como entidad
certificante autorizada, la persona jurídica, pública o privada, de
origen nacional o extranjero, que haya sido previamente habilitada al
efecto por medio de una licencia expedida por la Dirección Nacional de
Entidades Certificantes.
Artículo 21.- Regulaciones para
entidades no registradas
Las entidades certificantes no
registradas ante la Dirección Nacional de Entidades Certificantes
deberán advertir claramente esta circunstancia en su correspondencia y
publicidad.
En caso de incumplimiento y sin perjuicio de las
atribuciones conferidas a los órganos y dependencias de protección del
consumidor, la Dirección Nacional podrá aplicar las sanciones de
amonestación o multa señaladas en el artículo 47 de esta ley.
Artículo 22.- Costo del licenciamiento
Las entidades
certificantes autorizadas pagarán a la Dirección Nacional de Entidades
Certificantes una suma correspondiente a la expedición o renovación de
su licencia, así como por cada año de operación. Ambas serán fijados por
la Autoridad Reguladora de los Servicios Públicos a propuesta de la
Dirección Nacional y servirán exclusivamente para cubrir sus costos de
administración y operación.
Artículo 23.- Requisitos
Para poder adquirir la licencia de entidad certificante, se requiere
poseer idoneidad técnica y administrativa, lo cual se acreditará
previamente por medio del Ente Costarricense de Acreditación, de
conformidad con los requisitos y procedimientos señalados en la ley de
esa dependencia.
En el caso de los sujetos privados, se exigirá
además:
a) Que la persona jurídica se encuentre debidamente
constituida de acuerdo con la ley y en pleno ejercicio de su capacidad
jurídica. En el caso de empresas mercantiles, su propietario o quien
figure como titular de más del cincuenta por ciento del capital social
deberá carecer de parentesco hasta el tercer grado de consanguinidad o
afinidad con el Director(a) de la Dirección Nacional de Entidades
Certificantes.
b) Tener un domicilio físico en el territorio de la
República. Cualquier cambio posterior de dicho domicilio deberá ser
comunicado de inmediato a la Dirección Nacional de Entidades
Certificantes.
c) Rendir caución por las eventuales consecuencias civiles de su actividad,
del modo, por el monto y con el plazo de vigencia que indique el
Reglamento.
Artículo 24.- Trámite de las licencias
Recibida la solicitud para obtener la licencia de entidad certificante,
la Dirección Nacional procederá a:
a) Apercibir al (la)
interesado(a) en un plazo no mayor de quince días hábiles y por una
única vez, sobre cualquier falta u omisión que deba ser subsanada para
dar inicio a su tramitación.
b) Remitir la solicitud al Ente
Costarricense de Acreditación para la correspondiente análisis de
idoneidad técnica y administrativa. Corresponderá al ECA fijar los
requerimientos para este efecto, de acuerdo con su legislación y las
prácticas internacionales.
Artículo 25.- Oposiciones
Recibida en orden la solicitud y obtenida la acreditación
correspondiente por parte del ECA, la Dirección publicará un resumen en
el diario oficial "La Gaceta", así como en los medios electrónicos
establecidos en esta ley y su reglamento.
Dentro de los cinco días
siguientes a la publicación, quien se sintiere legítimamente
perjudicado(a) por la solicitud planteada o que dispusiera de alguna
información que pueda contribuir a calificarla, deberá hacerlo
presentando las pruebas pertinentes a la Dirección Nacional, la cual
conferirá audiencia al (la) interesado(a) por un plazo de cinco días
hábiles.
Artículo 26.- Resolución
Cumplido lo
anterior, en un plazo no mayor de quince días hábiles, la Dirección
Nacional resolverá lo que corresponda por medio de resolución fundada y
notificará a los (las) interesados(as). Si el acuerdo es favorable, se
publicará un resumen en el diario oficial "La Gaceta", así como por los
medios electrónicos previstos en esta ley y su reglamento.
Artículo 27.- Plazo de las licencias
La licencia otorgada a las
entidades certificantes tendrá tres años de vigencia, prorrogables
indefinidamente y por periodos iguales. Para obtener la renovación, la
entidad interesada deberá solicitarla con no menos de dos meses de
anticipación a su vencimiento y cancelar la tarifa que corresponda. Caso
contrario, la licencia caducará y se deberá efectuar de nuevo el trámite
completo para la obtención de una nueva.
Artículo 28.- Funciones
Las entidades certificantes
autorizadas tendrán las siguientes atribuciones y responsabilidades:
a) Expedir las claves, contraseñas o dispositivos de identificación a
los (las) usuarios(as) del sistema de firma electrónica, en condiciones
seguras y previa verificación fehaciente de la identidad del (la)
solicitante o de sus representantes autorizados(as) en el caso de
personas jurídicas.
b) Llevar un registro completo y actualizado de todos(as) sus usuarios(as),
para lo cual les solicitará la información necesaria. En el caso de las
personas físicas, no se requerirá más información personal que la que
sea imprescindible, quedando obligada la entidad certificante a
mantenerla en estricta confidencialidad, con la salvedad prevista en el
inciso j).
c) Expedir el certificado digital que respalde la firma
electrónica de los (las) usuarios(as) de sus servicios, así como
suspenderlo o revocarlo bajo las condiciones previstas en esta ley.
d) Conservar la información y registros relativos a los certificados que
emitan, durante no menos de diez años contados a partir de su expiración
o revocación. En caso de cese de actividades, la información y registros
respectivos deberán ser remitidos a la Dirección Nacional de Entidades
Certificantes.
e) Optativamente, ofrecer servicios de firmado
electrónico certificado, así como de registro y estampado cronológico de
documentos electrónicos, mensajes electrónicos o archivos digitales.
f) Mantener un repositorio electrónico, pública y permanentemente
accesible, de los certificados digitales que haya expedido y de su
estado actual, con las características técnicas que señale el
Reglamento.
g) Certificar, a solicitud de autoridad competente
administrativa o judicial, la autoría, integridad o -si lo hubiere- el
estampado cronológico de un documento, mensaje electrónico o archivo
digital firmado electrónicamente por uno(a) de sus usuarios(as), para
efectos probatorios.
h) Impartir lineamientos técnicos y de
seguridad a los (las) usuarios(as), con base en los que a su vez dicte
la Dirección Nacional de Entidades Certificantes.
i) Acatar las
instrucciones y directrices que emita la Dirección Nacional para una
mayor seguridad o confiabilidad del sistema de firma electrónica.
j)
Rendir a la Dirección Nacional de Entidades Certificantes todos los
informes y datos que ésta requiera para el desempeño de sus funciones.
Artículo 29.- Divulgación de datos
Toda entidad certificante
autorizada deberá mantener un sitio o página electrónica en Internet, de
acceso público, por medio de la cual divulgue al menos los datos
siguientes, empleando un lenguaje fácilmente comprensible:
a) Su
nombre, dirección física, números telefónicos y de fax (si lo tuviera),
así como correo electrónico de contacto.
b) Los datos de la licencia
expedida por la Dirección Nacional de Entidades Certificantes y su
estado actual (en orden, suspendida o revocada).
c) Los resultados
de la más reciente evaluación o auditoría de sus servicios, efectuada
por el Ente Costarricense de Acreditación.
d) Cualesquiera restricciones establecidas por la Dirección Nacional.
e) Cualquier otra información que requiera el Reglamento de esta ley.
Artículo 30.- Corresponsalía con entidades de certificación
extranjeras
Las entidades certificantes que operen en el país
podrán concertar relaciones de corresponsalía con entidades similares
del extranjero, para efectos de otorgar respaldo local a los
certificados digitales expedidos por las segundas o que éstas respalden
en el exterior los que emitan aquéllas.
Se deberá informar a la Dirección Nacional de Entidades Certificantes acerca
del establecimiento de relaciones de esta clase, de previo a ofrecer el
servicio.
Artículo 31.- Contenido de los contratos y costo
de los servicios
Las entidades certificantes que ofrezcan
servicios al público determinarán libremente el contenido de los
contratos que ofrezcan a sus clientes, así como las tarifas que les
cobren, que serán fijadas en condiciones de competitividad.
Artículo 32.- Auditorías
Toda entidad certificante autorizada estará sujeta a los procedimientos
de evaluación y auditoría que acuerden efectuar la Dirección Nacional de
Entidades Certificantes o el Ente Costarricense de Acreditación.
Artículo 33.- Suspensión o revocación de la licencia
En
caso de no renovación oportuna de la licencia o de incumplimiento grave
o muy grave de las obligaciones de una entidad certificante autorizada,
la Dirección Nacional de Entidades Certificantes podrá suspender o
revocar la licencia, de acuerdo con lo dispuesto en el capítulo sobre
sanciones administrativas de esta misma ley. La suspensión o revocación
conllevarán también la del correspondiente certificado digital expedido
por la Dirección Nacional a favor de la entidad.
Artículo
34.- Responsabilidad civil
Toda entidad certificante privada
será civilmente responsable por los daños y perjuicios que deriven del
ejercicio de su actividad, siempre que medie dolo o culpa.
El
Estado, sus instituciones y funcionarios responderán de acuerdo con lo
dispuesto en la Ley General de la Administración Pública y demás
legislación aplicable.
Artículo 35.- Cesación de funciones
Las entidades
certificantes autorizadas de carácter privado podrán cesar en sus
funciones, brindando aviso con no menos de un mes de anticipación a sus
usuarios(as) y de dos meses a la Dirección Nacional de Entidades
Certificantes. Sin perjuicio de las indicaciones que al efecto haga ese
organismo, la entidad se entenderá obligada a tomar todas las medidas
razonablemente posibles para garantizar la protección y confidencialidad
de los (las) usuarios(as) de sus servicios.
En el caso de las
entidades certificantes públicas, la Dirección Nacional adoptará las
medidas necesarias para garantizar la continuidad y eficiencia del
servicio.
TÍTULO QUINTO: RECTORÍA Y ADMINISTRACIÓN DEL
SISTEMA DE FIRMA ELECTRÓNICA
CAPÍTULO PRIMERO: CONSEJO SUPERIOR DEL SISTEMA DE FIRMA
ELECTRÓNICA
Artículo 36.- Naturaleza
Créase el
Consejo Superior del Sistema de Firma Electrónica (en adelante "el
Consejo Superior"), como órgano encargado de fijar las políticas y
lineamientos generales relativos a la operación del sistema de firma
electrónica en el país.
Artículo 37.- Integración
El Consejo Superior estará integrado por:
a) El (la) Ministro(a) de
Ciencia y Tecnología o su representante, quien lo presidirá.
b) El (la) Ministro(a) de Justicia y Gracia o su representante.
c) Un(a)
representante del sector bancario, designado por la Asociación Bancaria
Costarricense.
d) Un(a) representante de las cámaras empresariales,
designado por la Unión de Cámaras del sector privado.
e) Un(a)
representante del sector académico, designado por el Consejo Nacional de
Rectores de las entidades universitarias.
f) Un(a) representante de
la Cámara Costarricense de Productores de Software.
g) El Presidente
del Ente Costarricense de Acreditación.
El (la) Director(a) de la
Dirección Nacional de Entidades Certificantes y el (la) presidente(a) de
la Junta Directiva del Ente Costarricense de Acreditación asistirán a
las sesiones con voz pero sin voto.
Artículo 38.-
Funciones
Le corresponderá al Consejo Superior:
a) Definir
las políticas generales y técnicas en materia de firma electrónica y su
desarrollo en el país.
b) Supervisar el funcionamiento general del
sistema de firma electrónica en el país, a fin de garantizar el
cumplimiento de los requisitos establecidos en esta ley y su reglamento.
c) Proponer a las instancias administrativas correspondientes las
regulaciones necesarias para el eficiente funcionamiento del sistema.
Artículo 39.- Nombramiento de integrantes no estatales
Los (las) representantes de las Cámaras y organizaciones mencionadas en
el artículo trasanterior serán designados por períodos de cuatro años, a
partir de las ternas que remitirán al Consejo de Gobierno dentro de los
quince días hábiles siguientes a la publicación de la convocatoria que
al efecto se anunciará en el diario oficial "La Gaceta". Transcurrido el
plazo sin recibir las ternas de alguno de los grupos señalados, el
Consejo de Gobierno quedará en libertad de designar a las personas
necesarias para integrar el órgano.
Artículo 40.- Lugar y
régimen jurídico de las sesiones
El Consejo Superior se reunirá
en las instalaciones del Ministerio de Ciencia y Tecnología. En lo
demás, adecuará su funcionamiento al régimen de los órganos colegiados
de la Ley General de la Administración Pública. Sus integrantes no
devengarán dietas por su asistencia a las sesiones.
CAPÍTULO SEGUNDO: DIRECCIÓN NACIONAL DE ENTIDADES CERTIFICANTES
Artículo 41.- Naturaleza
Créase la Dirección Nacional de
Entidades Certificantes (en adelante "la Dirección Nacional"), como
órgano administrador, supervisor y jerarca autocertificante del sistema
de firma electrónica. Tendrá el carácter de órgano de desconcentración
máxima, adscrito al Ministerio de Ciencia y Tecnología. Las resoluciones
dictadas en los asuntos de su competencia agotarán la vía
administrativa.
Artículo 42.- Funciones
Las funciones de la Dirección
Nacional serán:
a) Otorgar, prorrogar, suspender o revocar las
licencias a las entidades certificantes que operen en el país.
b)
Expedir claves y certificados digitales a las entidades certificantes
autorizadas, manteniendo el correspondiente repositorio de acceso
público, con las características que indique el Reglamento.
c)
Fiscalizar el funcionamiento de las entidades certificantes autorizadas,
para asegurar su confiabilidad, eficiencia y cabal cumplimiento de la
normativa aplicable; imponiendo, en caso necesario, las sanciones
previstas en esta ley. En cuanto competa a ésta, dicha supervisión será
ejercida por medio del Ente Costarricense de Acreditación.
d) Mantener con el Ente Costarricense de Acreditación y con el Registro
Científico Tecnológico del Ministerio de Ciencia y Tecnología una
estrecha coordinación en procura del correcto y oportuno proceso de
licenciamiento y fiscalización de las entidades certificantes.
e)
Instruir los procedimientos de investigación y sancionar a las entidades
certificantes que incumplan con esta ley y su reglamento.
f) Mediar
en los conflictos que pudieran suscitarse entre las entidades
certificantes registradas.
g) Dictar los reglamentos de organización
y de servicios del órgano.
h) Rendir informes semestrales sobre su
labor al Consejo Superior del Sistema de Firma Electrónica.
i) Las
demás que le señale esta Ley o su Reglamento.
Artículo 43.-
Personalidad jurídica instrumental
La Dirección Nacional tendrá personalidad jurídica instrumental para los
efectos de administrar los fondos provenientes de la emisión y
renovación de las licencias de operación de las entidades certificantes.
Podrá además concertar convenios de corresponsalía con entidades
similares en el extranjero, así como los demás convenios y contratos
necesarios para el cumplimiento de sus funciones.
Artículo
44.- Jefatura
El (la) superior(a) administrativo(a) de la
Dirección Nacional será el (la) Director(a), nombrado(a) por el Consejo
de Gobierno mediante concurso de antecedentes, realizado por el
procedimiento definido en el reglamento de esta ley. La remoción del
cargo del (la) Director(a) deberá efectuarse por resolución razonada.
Será un(a) funcionario(a) excluido(a) del régimen del Servicio Civil,
designado(a) por plazos de seis años, prorrogables indefinidamente por
períodos iguales. Deberá declarar oportunamente sus bienes, de acuerdo
con la Ley sobre el Enriquecimiento Ilícito de los Servidores Públicos.
Artículo 45.- Requisitos
Quien sea designado(a) Director(a)
deberá reunir los siguientes requisitos:
a) Poseer reconocida
solvencia moral.
b) Poseer título profesional en informática o
ingeniería en sistemas.
c) Tener una amplia experiencia profesional en actividades afines.
d)
Estar incorporado(a) a su colegio profesional.
Artículo 46.-
Registro y publicidad de la inscripción de las entidades certificantes
Las entidades certificantes autorizadas se deberán inscribir en el
Registro Científico y Tecnológico del Ministerio de Ciencia y
Tecnología. Esta información deberá estar disponible a través de un
medio electrónico permanente de difusión en la red Internet, por medio
del cual divulgará la información relativa a las actividades de la
Dirección Nacional y el registro de entidades correspondiente.
TÍTULO SEXTO: SANCIONES
CAPÍTULO PRIMERO: SANCIONES
ADMINISTRATIVAS
Artículo 47.- Medidas aplicables
Previa oportunidad de
defensa, la Dirección Nacional de Entidades Certificantes podrá imponer
a las entidades certificantes las siguientes sanciones administrativas,
en atención a la gravedad de la falta, los daños y perjuicios irrogados
y a la reincidencia evidenciada:
a) Amonestación;
b) Multa hasta
por el equivalente de cien salarios base (en el sentido que señala el
artículo 2 de la Ley 7337 de 5 de mayo de 1993), a favor de la propia
Dirección Nacional y cobrable en la vía ejecutiva, por medio de
certificación que se expedirá al efecto;
c) Suspensión de la
licencia para operar, hasta por un año;
d) Revocación de la
licencia. La entidad certificante a la que se haya aplicado esta sanción
no podrá volver a ser autorizada para operar durante los cinco años
siguientes, bien fuere como tal o por medio de otra persona jurídica en
la que figuren las mismas personas como representantes legales,
propietarias o dueñas de más de un veinticinco por ciento del capital.
Artículo 48.- Procedimiento
Todas las sanciones serán impuestas por medio del procedimiento
administrativo ordinario previsto en la Ley General de la Administración
Pública, salvo en el caso de amonestación, en que se podrá aplicar el
procedimiento sumario.
Artículo 49.- Publicidad
Excepto el caso de amonestación, todas las sanciones administrativas
impuestas serán publicadas por medio de reseña -a menos que la Dirección
Nacional estime conveniente su trascripción íntegra- en el diario
oficial "La Gaceta", sin perjuicio de que, en atención al caso concreto,
se disponga además publicarlas en uno o más medios de circulación o
difusión nacional.
La Dirección Nacional dispondrá, además, la
publicación electrónica por los medios de acceso público que deberá
mantener permanentemente.
CAPÍTULO SEGUNDO: SANCIONES PENALES
Artículo
50.- Intrusión simple
Se impondrá pena de prisión de seis meses
a dos años a quien ingrese o facilite a otra persona el ingreso, sin la
debida autorización, a un sistema informático utilizado directamente
para la operación del sistema de firma electrónica, cuando de ello no
derive ningún daño o perjuicio.
Artículo 51.- Daños
Se castigará con prisión de tres meses a tres años a quien dañe o
destruya físicamente un equipo de cómputo empleado directamente para el
funcionamiento del sistema de firma electrónica.
Artículo
52.- Denegación de servicios
Se reprimirá con pena de cárcel de
uno a tres años a quien, por medio de cualquier artificio informático,
obstaculice el acceso, provoque una degradación en el rendimiento o
bloquee completamente el funcionamiento de un sistema empleado de modo
directo en el funcionamiento del sistema de firma electrónica.
Artículo 53.- Divulgación o facilitación de claves o contraseñas
La persona que divulgue o facilite una clave, contraseña o mecanismo de
identificación asignado a un(a) usuario(a) del sistema de firma
electrónica, será castigada con cárcel de dos a cuatro años. La pena irá
de tres a seis años si el (la) autor(a) labora en o para una entidad
certificante, o bien en la Dirección Nacional de Entidades
Certificantes.
Artículo 54.- Suministro de información
falsa u omisa a una entidad certificante
Se sancionará con pena de prisión de dos a cinco años a quien, con el
propósito de convertirse en usuario(a) del sistema de firma electrónica,
provea de información falsa o deje de proveer información relevante a
una entidad certificante, tal que de ello resultare daño o perjuicio.
Artículo 55.- Fraude informático
La persona que, con perjuicio
de terceros o para procurar un beneficio para sí o para un tercero,
ingrese datos falsos, oculte o altere la información, los archivos o los
programas contenidos en un sistema informático directamente utilizado
para el funcionamiento del sistema de firma electrónica, será reprimida
con prisión de uno a diez años.
Artículo 56.- Sabotaje
informático
La misma pena señalada en el artículo anterior será
impuesta a quien destruya los datos, archivos, aplicaciones o funciones
de un sistema informático directamente destinado a la operación del
sistema de firma electrónica.
Artículo 57.- Falsificación,
adulteración o destrucción de documentos o mensajes electrónicos
Se reprimirá con pena de cárcel de tres a seis años al (la)
funcionario(a) público(a) que, por razón de su cargo, tenga encomendada
la custodia de documentos o mensajes electrónicos y que los falsifique,
adultere, destruya o inutilice, o consienta dichas acciones, para
beneficio propio o ajeno.
TÍTULO SÉPTIMO: DISPOSICIONES
FINALES
CAPÍTULO ÚNICO
Artículo 58.-
Normativa especial en materia notarial
Lo relativo a la
utilización de firmas y documentos electrónicos en la actividad notarial
será regulado separadamente por la normativa especial de esa materia,
aplicándose esta ley de manera supletoria.
Artículo 59.-
Reglamentación
El Poder Ejecutivo reglamentará esta ley dentro de los seis meses
siguientes a su promulgación. No obstante, la ausencia del reglamento no
impedirá aplicarla en todo lo que no fuere exigido ese texto.
Artículo 60.- Vigencia
Rige desde su publicación.