MINISTERIO DEL INTERIOR
MINISTERIO DE RELACIONES EXTERIORES
MINISTERIO DE ECONOMÍA Y FINANZAS
MINISTERIO DE DEFENSA NACIONAL
MINISTERIO DE EDUCACIÓN Y CULTURA
MINISTERIO DE TRANSPORTE Y OBRAS PÚBLICAS
MINISTERIO DE INDUSTRIA, ENERGÍA Y MINERÍA
MINISTERIO DE TRABAJO Y SEGURIDAD SOCIAL
MINISTERIO DE SALUD PÚBLICA
MINISTERIO DE GANADERÍA, AGRICULTURA Y PESCA
MINISTERIO DE TURISMO Y DEPORTE
MINISTERIO DE VIVIENDA, ORDENAMIENTO
TERRITORIAL Y MEDIO AMBIENTE
MINISTERIO DE DESARROLLO SOCIAL　

Montevideo,　　

　　　　　　　　　　
VISTO: Que con fecha 17 de octubre de 2008, se promulgó la Ley nº 18.381 de Derecho de Acceso a la Información Pública, en concordancia con el artículo 72 de la Constitución de la República, en tanto el acceso a la información pública, hace a la construcción de la forma republicana de gobierno.

RESULTANDO: Que en la norma citada a través de los artículos 19 y siguientes, se creó un Órgano de Control – Unidad de Acceso a la Información Pública -, encargado  fundamentalmente de promover el ejercicio del derecho de acceso a la información y coordinar la implementación de políticas en la materia.

CONSIDERANDO:

I) Que razones de legalidad y conveniencia imponen estatuir aquellos aspectos fundamentales de la reglamentación que organicen y favorezcan su efectiva puesta en práctica;

II) Que a los efectos de armonizar el derecho de las personas a acceder a la información que se encuentra en poder del Estado, se hace necesario emitir un marco jurídico regulatorio que garantice el ejercicio de esos derechos y establezca en forma clara las excepciones – información reservada, confidencial y secreta -;

III) que el derecho de acceso a la información pública es una de las fuentes de desarrollo y fortalecimiento de la democracia en tanto permite a los ciudadanos una evaluación y juzgamiento completos de los actos de sus representantes así como un estímulo a la transparencia de los actos del gobierno;

IV) que es necesario hacer efectivo el principio de publicidad de los actos, contratos y gestiones de las instituciones del Estado, y aquéllas financiadas con recursos públicos o que por su naturaleza sean de interés público, garantizando a su vez la posibilidad de las personas de acceder a esta información;

V) que el artículo 35 de la citada Ley establece un plazo de ciento veinte días para que el Poder Ejecutivo dicte su reglamentación.

ATENTO: a lo precedentemente expuesto,

EL PRESIDENTE DE LA REPÚBLICA ACTUANDO EN CONSEJO DE MINISTROS

DECRETA:

TÍTULO I .– NORMAS GENERALES

CAPÍTULO I – ÁMBITO

Artículo 1º.- Objeto.　

El presente Decreto regula la aplicación de las normas y la ejecución de los procedimientos establecidos por la Ley nº 18.381, de 17 de octubre de 2008, de Derecho de Acceso a la Información Pública.

Artículo 2º.- Ámbito de aplicación.

El presente Decreto será de aplicación a todos los organismos públicos, sean o no estatales.

Artículo 3º.-Ámbito subjetivo.

El acceso a la información pública es un derecho de todas las personas físicas o jurídicas conforme a las normas constitucionales y legales vigentes, el que se regirá por los principios consagrados en el Capítulo II.

CAPÍTULO II – Principios vinculados con el acceso a la información pública

Artículo 4º.-Principio de libertad de información.

Toda persona tiene derecho de acceder a la información que obre en posesión de los sujetos obligados con la única excepción de aquella clasificada como información reservada, confidencial y secreta de acuerdo a lo establecido en las leyes especiales a tales efectos.

Artículo 5º.-Principio de transparencia.

Toda la información en poder de los sujetos obligados se entiende pública siempre que no esté sujeta a las excepciones establecidas en los artículos 8º, 9º y 10 de la Ley que se reglamenta.

Artículo 6º.-Principio de máxima publicidad.

Los sujetos obligados deben proporcionar la información de la forma más amplia posible estando excluida sólo aquella sujeta a las excepciones señaladas en los artículos 8º, 9º y 10 de la Ley que se reglamenta.

Artículo 7º.-Principio de divisibilidad.

Si un documento contiene información que pueda ser conocida e información que debe denegarse en virtud de causa legal, se dará acceso a la primera y no a la segunda.

Artículo 8º.-Principio de ausencia de ritualismos.

En los procedimientos establecidos para el acceso a la información pública se eliminarán las exigencias y ritualismos que pudieren ser un impedimento para el ejercicio del derecho consagrado por la Ley que se reglamenta.

Artículo 9º.-Principio de no discriminación.

Los sujetos obligados deberán entregar la información a quien lo solicite, sin discriminación de tipo alguno sea en razón del carácter o nacionalidad del solicitante.

Artículo 10.-Principio de oportunidad.

Los sujetos obligados deberán entregar la respuesta acorde a la solicitud que se hubiera efectuado en tiempo　 y forma, dando cumplimiento a los plazos establecidos en la Ley y en el presente reglamento.

Artículo 11.-Principio de responsabilidad.

Los sujetos obligados serán pasibles de responsabilidad y de las sanciones que pudieren corresponder en caso de no cumplir las obligaciones establecidas por la Ley nº 18.381, de 17 de octubre de 2008.

Artículo 12.-Principio de gratuidad.

El acceso a la información pública es gratuito, sin perjuicio de lo establecido por el artículo 17 inc. 2º de la Ley que se reglamenta.

CAPÍTULO III – Principios vinculados con los archivos

Artículo 13.– Principio de disponibilidad.

La información que se encuentre en los archivos de los sujetos obligados deberá ser entregada siempre a quien lo solicite, excepto aquella definida legalmente como secreta, o clasificada con carácter de reservada o confidencial.

Artículo 14.- Principio de eficiencia.

La utilización de los recursos asignados para la gestión de los expedientes deberá efectuarse de forma que garantice los objetivos fijados para el archivo, con el máximo rendimiento económico.

Artículo 15.- Principio de integridad.

Cada sujeto obligado debe mantener los documentos de forma tal que se facilite su localización, consulta y reproducción, a través de la utilización de métodos y técnicas que permitan la sistematización de la información y la utilización de nuevas tecnologías en la administración documentaria.

Artículo 16.-  Principio de conservación.

Implica la responsabilidad de cada sujeto obligado de mantener el estado de conservación de los documentos que maneje, debiendo evitar su destrucción, deterioro o alteración.

CAPÍTULO IV – Definiciones

Artículo 17.- Definiciones.

A los efectos de la Ley nº 18.381, de 17 de octubre de 2008, y del presente Decreto, se entenderá por:　

a.　Archivos: conjunto orgánico de documentos reunidos por personas físicas o jurídicas, públicas o privadas, en el ejercicio de sus funciones.　

b.　Clasificación: procedimiento por el cual se determina que la información de un sujeto obligado es información confidencial o reservada.

c.　Documentos: expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, circulares, contratos, convenios, instructivos, notas, memorandos, estadísticas o bien, cualquier otro registro que documente el ejercicio de las facultades o la actividad de los sujetos obligados y sus funcionarios, sin importar su fuente o fecha de elaboración.

Estos podrán estar en cualquier medio, sea escrito, impreso, sonoro, visual, electrónico, informático u holográfico.

d.　Expediente: conjunto de documentos que tratan de un mismo asunto y que se forma siguiendo el ordenamiento regular de los documentos que lo integran, en forma sucesiva y por orden de fechas.

e.　Información: todo archivo, registro o dato contenido en cualquier medio, documento o registro impreso, óptico, electrónico, magnético, químico, físico o biológico que se encuentre en poder de los sujetos obligados.

f.　Informe anual: reporte de actividades cuantitativo y cualitativo que los sujetos obligados deben presentar anualmente en relación con el estado de cumplimiento del derecho de acceso a la información pública.

g.　Informe semestral: reporte de información que los sujetos obligados deben remitir semestralmente sobre la información que ha sido clasificada como reservada con indicación de fecha y resolución que así lo ha determinado.

h.　Publicación: reproducción en medios electrónicos o impresos de información contenida en documentos para su conocimiento público.

i.　Sujeto obligado: todos los organismos públicos sean de carácter estatal o no estatal.

TÍTULO II – DE LA INFORMACIÓN

CAPÍTULO I .- Información pública

Artículo 18.- Disponibilidad de la información pública.

La información pública deberá estar disponible en forma actualizada sin previa solicitud. Aquella información determinada por el artículo 5º de la Ley que se reglamenta, deberá estar disponible en el sitio web del sujeto obligado así como en formato físico en forma actualizada.

CAPÍTULO II .- Información reservada

Artículo 19.- Categorización.–

La información podrá reservarse temporalmente del conocimiento público, de acuerdo con lo establecido por el artículo 11 de la Ley nº 18.381, de 17 de octubre de 2008.

Artículo 20.- Documentación reservada.–

La documentación clasificada como información reservada, de acuerdo con lo establecido en el artículo 9º de la Ley que se reglamenta,  deberá tener incluida una leyenda indicativa de su carácter reservado, la fecha de su clasificación, su fundamento legal, el período de reserva y la firma de la autoridad correspondiente.

Artículo 21.- Procedimiento de clasificación.

La información deberá ser clasificada por la autoridad administrativa competente por resolución fundada. Se entiende por autoridad administrativa competente el jerarca máximo de cada organismo obligado o quien ejerza facultades delegadas.

Artículo 22.- Nómina de asuntos reservados.

Los sujetos obligados elaborarán un listado de los documentos y expedientes clasificados como reservados, el que deberá ser enviado a la Unidad de Acceso a la Información Pública (UAIP) de acuerdo con lo establecido en el artículo 7º inc. 2º de la Ley que se reglamenta.　

Cada organismo enviará en la primera quincena de los meses de febrero y agosto una actualización de la información señalada en el inciso anterior.

Artículo 23.- Contenido de la nómina de asuntos reservados.

La nómina de los documentos y expedientes deberá contener:

a.　Contenido temático.

b.　Oficina administrativa que lo generó.

c.　Fecha de clasificación.

d.　Fundamento legal de la clasificación.

e.　Plazo de la reserva.

f.　Indicación de los expedientes o documentos que se reservan en caso de que la información reservada sea parcial.

g.　 Para el caso en que se prorrogue el período de reserva, fecha y resolución que así lo disponga.

h. Fecha y resolución de desclasificación de la información de carácter reservado, en caso de corresponder.

i. Firma del titular del sujeto obligado.

Artículo 24.- Acceso a la información reservada.-

Los titulares de los sujetos obligados deberán adoptar todas las medidas necesarias tendientes a otorgar seguridad a la restricción de acceso de los documentos o expedientes clasificados como reservados.

Artículo 25.- Prueba de daño.–

La información podrá clasificarse como reservada, siempre que en la resolución de la autoridad responsable, debidamente fundada y motivada, se demuestre la existencia de elementos objetivos que permitan determinar la expectativa razonable de un daño al interés público protegido, de acuerdo con lo establecido en el artículo 9º de la Ley que se reglamenta.

Artículo 26.-　Desclasificación de la información reservada.– La información clasificada como reservada será desclasificada en los siguientes casos:

a.　A partir del vencimiento del período de reserva.

b.　A partir de la extinción de los motivos que dieron origen a su clasificación.

c.　Cuando la UAIP así lo determine, por considerar inadecuada tal clasificación.

d.　Cuando una resolución judicial así lo determine.

La información clasificada como reservada debe desclasificarse a través de un acto administrativo fundado del sujeto obligado de acuerdo con los supuestos señalados en los literales a y b del inciso anterior.

Artículo 27.- Extensión del período de reserva.-

Cuando un sujeto obligado entienda necesario ampliar el plazo de reserva de un expediente o documento, deberá comunicarlo a la UAIP en el informe referido en el artículo 7º inc. 2º de la Ley que se reglamenta.

CAPÍTULO III .- Información confidencial

Artículo 28.- Información confidencial.-

Se considera información confidencial:

I)　Aquella entregada en tal carácter a los sujetos obligados, siempre que:

A)　Refiera al patrimonio de una persona física o jurídica.

B)　Comprenda hechos o actos de carácter económico, contable, jurídico o administrativo, relativos a una persona física o jurídica, que pudiera ser útil para un competidor.

C)　Esté amparada por una cláusula contractual de confidencialidad.

II)　Los datos personales que requieran previo consentimiento informado.

Tendrán el mismo carácter los documentos o secciones de documentos que contengan estos datos.

　　　
Artículo 29.- Información no confidencial.-

No será considerada información confidencial:

a.　La que por disposiciones legales se encuentre en registros públicos.

b.　La que se encuentre en fuentes de acceso público. En este caso, se dará a conocer a quien la solicita: fuente, lugar y forma de acceder a la información que se pretende.

Artículo 30.- Información confidencial entregada por particulares.-

Cuando los particulares entreguen a los sujetos obligados información confidencial, deberán señalar los documentos o secciones en los que se contenga tal información. También deberán presentar un “resumen no confidencial” breve y conciso. En caso que, la naturaleza de la información impida elaborarlo, se explicitará tal imposibilidad ante la autoridad competente.

Artículo 31.-  Acceso a la información confidencial.-　　

I. Los titulares de los sujetos obligados deberán adoptar las medidas necesarias tendientes a otorgar seguridad en el acceso a los documentos o expedientes clasificados como confidenciales.

II. Para que la información pueda ser clasificada como confidencial, se requerirá resolución fundada de la autoridad administrativa competente, tanto en el momento en que se genera el documento o expediente como en el  momento en que se recibe la solicitud de acceso a la información, en el caso que no se hubiera clasificado previamente.

III. La documentación clasificada como información confidencial deberá tener incorporada una leyenda indicativa de su carácter confidencial, la fecha de su clasificación, su fundamento legal y la firma de la autoridad correspondiente.

Artículo 32.- Período de la clasificación.-

La información confidencial no está sujeta a plazos de vencimiento y tendrá ese carácter en forma indefinida.

TÍTULO III – DE LOS ARCHIVOS

Artículo 33.- Preservación de los documentos.–

Los sujetos obligados deberán preservar los documentos en archivos administrativos organizados y actualizados.

Artículo 34.- Acceso a la información clasificada.-

La información clasificada será accesible para los miembros de la Unidad de Acceso a la Información Pública por lo que los titulares de los sujetos obligados adoptarán las medidas que sean necesarias para asegurar el acceso a documentos y expedientes clasificados, de acuerdo con lo establecido por el artículo 21 de la Ley que se reglamenta.

TÍTULO IV .– DE LA PRESENTACIÓN DE INFORMES

Artículo 35.- Tipos de informes.–

Los sujetos obligados deberán presentar los siguientes informes:

a.　Informe anual sobre cumplimiento del derecho de acceso a la información pública.

b.　Informe semestral conteniendo el listado actualizado de la información clasificada como reservada.

Artículo 36.- Contenido del Informe sobre estado de cumplimiento de las obligaciones establecidas en la Ley.

El informe sobre el estado de cumplimiento de las obligaciones señaladas en el Artículo 7º inciso 1º de la Ley que se reglamenta, a ser presentado por los sujetos obligados deberá contener:

a.　Identificación del sujeto obligado.

b.　Identificación de quienes ejercen la representación de los sujetos obligados al momento de la presentación del informe.

c.　Indicación del período que comprende el informe que se presenta.

d.　Información sobre el período comprendido entre el último informe y el que se presenta con especificación de:

i.　 Solicitudes de acceso a la información, con indicación temática.

ii.　 Trámite seguido por las solicitudes.

iii.　Conclusiones de las solicitudes.

iv.　En caso de solicitudes con resultado de denegatoria de acceso, determinación de los motivos por los que se adoptó tal resolución.

v. Resumen cuantitativo de resultados de las solicitudes.

Artículo 37.- Contenido del informe sobre información clasificada como reservada.-

El informe sobre la información clasificada como reservada de acuerdo con lo establecido en el artículo 7º inciso 2º de la Ley que se reglamenta, deberá contener:

a.　Identificación del sujeto obligado.

b.　Identificación del jerarca del sujeto obligado al momento de la presentación del informe.

c.　Indicación del período que comprende el informe que se presenta.

d.　Listado de la información que hubiere sido clasificada como reservada con indicación de fecha y número de la resolución que le estableció tal carácter.

TÍTULO V. – DE LA IMPLEMENTACIÓN DE LOS SITIOS WEB

CAPÍTULO I .– Difusión de la Información Pública

Artículo 38.- Información que debe ser difundida por todos los sujetos obligados.-

Los sujetos obligados deberán difundir en sus sitios web la siguiente información, que deberá ser actualizada mensualmente:

1. Creación y evolución histórica del sujeto obligado conjuntamente con sus cometidos.

2. Estructura orgánica en un formato que habilite la vinculación de cada oficina con ésta, las facultades y responsabilidades que le corresponden de conformidad con la normativa vigente.

3. El marco jurídico aplicable a cada organismo.

4. Programas operativos de largo y corto plazo y mecanismos que permitan visualizar metas y cumplimiento de éstas.

5. El Diario de Sesiones.

6. Los anteproyectos y proyectos de ley que se presenten, así como cualquier otro tipo de comunicación legislativa, la indicación del trámite de que ha sido objeto y las resoluciones que sobre éstos recaigan.

7. Listado con los servicios que ofrece y los programas que administra incluyendo los trámites para acceder a ellos y la población objetivo a que están dirigidos.

8. El listado de los funcionarios, a partir del jefe de departamento, gerente, director　 o equivalente hasta el jerarca máximo, incluyendo: nombre, domicilio postal, electrónico y números telefónicos oficiales.

9.  En caso de tratarse de órganos legislativos, las comisiones que se integren, estableciendo el número de convocatorias, presencias y ausencias en los diferentes órganos, inclusive de los suplentes proclamados por la Corte Electoral.

10.  Nómina de los funcionarios que no perteneciendo al organismo cumplen funciones en el mismo, sea por ser contratados, sea por estar en comisión provenientes de otro organismo, con indicación de compensaciones recibidas con cargo a las partidas asignadas al funcionamiento de los organismos correspondientes.

11.  Perfil de los diferentes puestos de trabajo y currículum actualizado de quienes ocupan aquéllos a partir del jefe de departamento, gerente, director  o equivalente hasta el jerarca máximo.

12.  Convocatorias a concursos de ingreso para ocupar cargos y resultados de los mismos.

13.  Remuneración mensual nominal de todos los funcionarios　 incluyendo todas las prestaciones en razón de los diferentes sistemas de compensación que se aplicaren.

14. Indicación de los viáticos recibidos y la determinación de su utilización.

15. Listado de comisiones de servicio en el exterior de los funcionarios, viáticos percibidos, razón del viaje y resultados del mismo, incluyendo a todas las personas que integren la delegación sin excepción alguna.

16. Presupuesto y ejecución del mismo:

a.　Ingresos recibidos por cualquier concepto, con indicación del responsable en la recepción, administración y ejecución.

b.　Ingresos asignados por el presupuesto nacional.

c.　Estados financieros y balances generales de gastos.

d.　Auditorías.

i.　Número y tipo de auditorías.

ii.　Número de observaciones realizadas por rubro de auditoría sujeto a revisión.

iii.　Total de aclaraciones efectuadas por el sujeto obligado.

17. En caso de los pliegos de bases y condiciones particulares de los procedimientos licitatorios que representen gastos de funcionamiento o de inversión y las resoluciones que dispongan la adjudicación en dichos　 procedimientos, las que declaren desiertas o dispongan el rechazo de todas las ofertas presentadas, deberá establecerse un vínculo electrónico con el sitio www.comprasestatales.gub.uy, en cumplimiento de los requerimientos establecidos por las Leyes nos. 16.736, de 5 de enero de 1996, Artículo 694, 17.060, de 23 de diciembre de 1998, Artículo 5 y 17.556, de 18 de setiembre de 2002, Artículo 163 y los Decretos nos. 66/002, de 26 de febrero de 2002, 232/003, de 9 de junio de 2003, 393/004 de 3 de noviembre de 2004 y 191/007, de 28 de mayo de 2007.

18. Las partidas presupuestales provenientes de convenios con organismos internacionales o que se gestionen a través de éstos, deberán incluirse en la web del sujeto obligado.

19. Montos otorgados en carácter de financiamiento a los diferentes Partidos Políticos por parte del Estado.

20. Calendario de reuniones, citaciones de comisión, de directorios, de plenarios, de asambleas, que sean convocadas, así como presencias y ausencias de los convocados, minuta de comunicación　
indicativa del orden del día de la convocatoria y resoluciones y resultados de las mismas.

21. Concesiones, licencias, permisos y autorizaciones debiendo publicarse el objeto, nombre o razón social del titular, así como si el contrato involucra el aprovechamiento de bienes, servicios o recursos públicos.

22. Programas educativos que se encuentran vigentes y correlaciones de adecuación en relación con los últimos dos planes de estudios inmediatos anteriores.

23. Listado de programas de capacitación, número de funcionarios capacitados así como sus evaluaciones.

24. Indicadores de gestión de evaluaciones al desempeño académico y/o administrativo.

25. Listados de partidos y agrupaciones políticas que se encuentran registrados.

26. Resultados totales de las elecciones y las discriminaciones que se consideren útiles para la ciudadanía.

27. La fecha de la última actualización.

28. Mapa del sitio.

29. Domicilio postal y electrónico y números telefónicos oficiales del sujeto obligado.

30. Información sobre la política de seguridad y protección de datos.

31.Cualquier otra información que pudiere ser de utilidad o relevante para el conocimiento y evaluación de las funciones y políticas públicas que son responsabilidad del sujeto obligado.

Artículo 39.- Excepción.-

Los sujetos obligados deberán determinar en su sitio web los rubros señalados en el artículo anterior que no les son aplicables.

Artículo 40.-Información adicional a ser presentada por el Poder Ejecutivo.-

Sin perjuicio de la información requerida de acuerdo a lo dispuesto en el artículo 38, el Poder Ejecutivo deberá hacer pública en su sitio web la siguiente información:

1.　El listado de expropiaciones que por razones de utilidad pública se cumplan.

2.　La coordinación de proyectos con las Intendencias Municipales, Entes Autónomos y Servicios Descentralizados, Personas Jurídicas de Derecho Público no Estatal así como aquéllos con los sectores empresariales y sociales.

3.　El presupuesto que haya sido aprobado por el Parlamento y las adecuaciones presupuestales que se sucedan en las diferentes rendiciones de cuentas.　

4.　Toda aquella información que se considere de utilidad o sea importante para el conocimiento y evaluación de las funciones y políticas públicas bajo responsabilidad de cada dependencia y entidad.

Artículo 41.- Responsable de la información.-

Deberá establecerse en cada sujeto obligado, quién es la persona responsable de la información que se publica en su sitio web.

TÍTULO  VI .– ÓRGANO DE CONTROL

CAPÍTULO I .– Presidencia

Artículo 42.- Presidencia de la Unidad de Acceso a la Información Pública.–

La dirección técnica y administrativa de la Unidad de Acceso a la Información Pública será ejercida por un Consejo Ejecutivo integrado por tres miembros, de acuerdo con lo preceptuado por el artículo 19 de la Ley que se reglamenta.

La Presidencia del Consejo Ejecutivo será ejercida en forma anual y rotativa entre sus miembros, con excepción del Director Ejecutivo de AGESIC. Ante la ausencia temporal del Presidente, la Presidencia será ejercida interinamente por el otro miembro designado por el Poder Ejecutivo.

La representación de la Unidad de Acceso a la Información Pública corresponderá a quien ejerza la presidencia del Consejo Ejecutivo.

Artículo 43.- Funciones del Presidente.-

Al Presidente del Consejo Ejecutivo o a quien lo sustituya corresponde:

a. La representación de la UAIP en sus relaciones externas por sí o por medio de apoderado en forma.

b. Cumplir y hacer cumplir las normas constitucionales, legales y reglamentarias y ejecutar y hacer ejecutar las decisiones del Consejo Ejecutivo.

c. Presidir las sesiones del Consejo Ejecutivo y dirigir sus deliberaciones.

d. Adoptar las medidas que creyere conveniente en caso de urgencia, dando cuenta en la primera sesión del Consejo Ejecutivo y estando a lo que se resuelva.

e. Estructurar el orden del día.

f. Convocar las sesiones ordinarias y extraordinarias.

g. Someter a la aprobación del Consejo Ejecutivo la planificación de la Unidad y el proyecto de memoria anual.

h. Firmar las actas, las resoluciones del Consejo Ejecutivo y la correspondencia oficial.

i. Firmar los contratos y documentos de cualquier naturaleza, debidamente autorizados por el Consejo Ejecutivo.

j. Fiscalizar la administración ejecutiva y el desempeño de los funcionarios y demás personas que presenten servicios en la UAIP, dando cuenta al Consejo Ejecutivo.

CAPÍTULO II .– Consejo Ejecutivo

Artículo 44.- Competencia.-

El Consejo Ejecutivo tendrá las siguientes funciones y atribuciones:

a.　Asesorar a los organismos públicos en los temas que éstos soliciten vinculados con el cumplimiento de la Ley que se reglamenta.

b.　Asegurar la regularidad y eficiencia de las actividades propias de la Unidad, ejerciendo todas las potestades jerárquicas.

c.　Planificar y coordinar con diferentes organismos públicos o privados, campañas de sensibilización y socialización de la temática vinculada al acceso a la información pública, la transparencia gubernamental, la rendición de cuentas y la participación ciudadana.

d.　Desarrollar coordinadamente con los organismos públicos, programas de capacitación de funcionarios en relación con el cumplimiento de la Ley que se reglamenta.

e.　Designar a los funcionarios que ejercerán la representación de la Unidad siempre que ello fuere necesario.

f.　Dictar recomendaciones que deberían observarse en el desenvolvimiento de las actividades comprendidas por la Ley que se reglamenta, fundamentalmente en lo que refiere a la implementación de los sitios web de los organismos públicos, la clasificación de la información y la presentación de los informes vinculados a la situación de cumplimiento del derecho de acceso a la información pública.

g.　Desarrollar actividades de investigación a los efectos de conocer posibles violaciones a los preceptos establecidos en la Ley que se reglamenta.

h.　Resolver dentro de sus competencias, todos los asuntos que le sean presentados.

i.　En general, desarrollar todas las actividades necesarias para el cumplimiento de sus cometidos.

Artículo 45.- Funcionamiento del Consejo Ejecutivo.–

El Consejo Ejecutivo fijará día y hora de las sesiones ordinarias, pudiendo reunirse extraordinariamente cuando lo disponga el Presidente o a solicitud de dos de sus miembros. Éste podrá sesionar con dos de ellos.

Habiendo quórum para sesionar, el Presidente declarará abierta la sesión, disponiendo leer el acta o actas anteriores correlativas si las hubiera.　

Aprobada, en su caso dicha acta o actas se dará cuenta de los asuntos entrados.

Acto continuo los miembros podrán hacer las solicitudes, reclamos o indicaciones que estimen convenientes, los que podrán ser considerados de inmediato, pasados a una Comisión o remitidos a informes de la repartición correspondiente, según resuelva el Consejo Ejecutivo.

Seguidamente se pasará a considerar el orden del día.

Finalizada la consideración del orden del día se levantará la sesión, pudiendo continuarse cuando el Consejo dispusiese ocuparse de algún otro asunto.

De todo lo actuado por el Consejo se dejará constancia en acta, que, una vez aprobada, será firmada por el Presidente.

Artículo 46.- De las diferentes mociones.-

En el curso de la discusión podrán hacerse mociones o indicaciones con el carácter de cuestión de orden o previa, las que serán inmediatamente resueltas, suspendiéndose entretanto la discusión del asunto que esté a consideración del Consejo Ejecutivo.

Las mociones para cerrar la discusión, declararla libre o pedir que los asuntos pasen a Comisión se votarán sin discusión.

Cuestiones de orden: son las que se refieren al orden del día, observancia del presente Decreto, suspensión o aplazamiento de la discusión, consideración de un asunto, reconsideración de un proyecto antes de su sanción definitiva y declaración de urgencia.

Cuestiones previas: son las consultas al Consejo Ejecutivo sobre el contenido o el espíritu de una disposición legal o reglamentaria que tenga relación con el asunto que se discuta.

Artículo 47.- De la Comisión General.–

El Consejo Ejecutivo podrá constituirse en Comisión General para conferenciar sobre algún asunto que exija explicaciones preliminares. La Comisión General no adoptará decisión alguna.

Artículo 48.- De las votaciones.–

Para toda votación es necesaria la asistencia de los miembros. Las resoluciones se tomarán por mayoría de sus miembros. Si se produjera empate el asunto será tratado en la próxima sesión y si éste subsistiera, el voto del Presidente se computará doble.

Artículo 49.- Comisiones Especiales.–

Cuando el Consejo Ejecutivo lo resuelva podrá formar Comisiones Especiales, ya sea con carácter permanente o extraordinario, con el objetivo de asesorar o realizar trabajos, estudios o investigaciones que se dispongan.

Las Comisiones podrán examinar los antecedentes que requiera el estudio de los asuntos y recabar directamente los informes que necesitaren.

Las Comisiones deberán expedirse dentro del término que les señale el Consejo Ejecutivo, debiendo rendirle informe escrito, salvo que se acepte en forma verbal. El Presidente por sí o por acuerdo del Consejo Ejecutivo hará los requerimientos que estime convenientes a las Comisiones que se encuentren atrasadas en el trámite de sus asuntos.

Los dictámenes de las Comisiones no obligan al Consejo Ejecutivo.

Artículo 50.- Atribuciones de los miembros.–

Las atribuciones que por este reglamento se confieren especialmente al Presidente no impiden a los demás miembros vigilar e informar sobre el funcionamiento de los servicios, debiendo poner en conocimiento del Consejo Ejecutivo las irregularidades y deficiencias que hubieran comprobado.

Los miembros tendrán derecho de iniciativa en todos los asuntos.

Artículo 51.- Publicidad.–

La UAIP hará públicas las resoluciones que adopte incluyéndolas en su sitio web, en forma posterior a la notificación. La publicación se realizará aplicando los criterios de disociación de los datos de carácter personal que a tal efecto se establezcan.

CAPÍTULO III .– Consejo Consultivo

Artículo 52.- Funcionamiento del Consejo Consultivo.-

El Consejo Consultivo será convocado por el Consejo Ejecutivo o la mayoría de sus miembros, con una antelación mínima de cinco días y sesionará con mayoría simple de sus integrantes.

Habiendo quórum para sesionar, el Presidente declarará abierta la sesión, disponiendo leer el acta o actas anteriores correlativas si las hubiera. De todo lo actuado por el Consejo Consultivo se dejará constancia en acta, la cual una vez aprobada será firmada por todos los asistentes.

Artículo 53.- Votación.–

Para toda votación es necesaria la asistencia de los integrantes. Las decisiones se tomarán por mayoría de sus miembros.

Artículo 54.- Elección de representantes del Consejo Consultivo.–

El representante del área académica será designado por acuerdo entre las Facultades de Derecho de las Universidades reconocidas existentes en el país.

El representante del sector privado será designado por el Centro de Archivos y Acceso a la Información Pública (CAInfo), persona jurídica sin fines de lucro.

TÍTULO VII .- FUNCIONARIOS RESPONSABLES

Artículo 55.- Obligaciones del jerarca de los sujetos obligados.-

Los jerarcas de de los sujetos obligados tendrán las siguientes obligaciones:

a.　Designar al o a los funcionarios responsables de la recepción de solicitudes y entrega de la información requerida.

b.　Adoptar las medidas tendientes a garantizar el ejercicio del derecho de acceso a la información pública dentro de su competencia funcional e institucional.

c.　Disponer los mecanismos de creación y mantenimiento de los registros continentes de la información que se maneja.

d.　Clasificar la información de carácter reservado y confidencial.　

e.　Elevar a la Unidad de Acceso a la Información Pública el informe anual sobre el estado de cumplimiento del derecho de acceso a la información pública previsto por el artículo 7º de la Ley que se reglamenta.　

f.　Disponer las medidas de seguridad que permitan la adecuada utilización y contralor de la información que se encuentra en sus archivos.

g.　Disponer los recursos financieros necesarios para la capacitación de los funcionarios y las adecuaciones que debieren efectuarse para facilitar el acceso a la información por parte de los ciudadanos.

Artículo 56.- Designación de funcionarios responsables para recepción de solicitudes y entrega de información.-

La designación de los funcionarios responsables se hará por resolución del jerarca y deberá publicarse en el sitio web del sujeto obligado y en un lugar visible  de sus oficinas administrativas.

Artículo 57.- Obligaciones del funcionario responsable de entregar la información.-

El funcionario responsable de entregar la información tendrá las siguientes obligaciones:

a.　Atender y responder a las solicitudes de acceso a la información dentro de los plazos que establece la Ley que se reglamenta.

b.　Solicitar la información al área correspondiente.

c.　Entregar la información al solicitante. En caso que hubiere elegido algún soporte particular para obtener la misma, se deberá controlar el correspondiente pago previo a la entrega.

Artículo 58.- Responsabilidades por incumplimiento.-

Los funcionarios podrán incurrir en falta grave cuando de modo arbitrario obstruyan el acceso a la información de parte del solicitante en los casos previstos en el artículo 31 de la Ley que se reglamenta.

La responsabilidad será determinada de acuerdo con los procedimientos administrativos correspondientes.

Los sujetos obligados serán responsables de acuerdo a lo dispuesto en los artículos 24 y 25 de la Constitución de la República.

TÍTULO VIII .– DISPOSICIONES TRANSITORIAS

Artículo 59.- Todos los sujetos obligados implementarán, de acuerdo con sus competencias y posibilidades presupuestarias, programas de difusión y capacitación destinados a sus funcionarios con la finalidad de garantizar mayores posibilidades de participación ciudadana y calidad en la respuesta a la ciudadanía.

Artículo 60.- Hasta tanto no se publique el Decreto reglamentario de la Ley nº 18.220 de 20 de diciembre de 2007, el archivo de la documentación deberá elaborarse de acuerdo con las normas archivísticas internacionalmente reconocidas, debiendo contener por lo menos los niveles de fondo, sección y serie documental, sin perjuicio de que pudieren existir otros niveles intermedios según éstos lo requieran.

Artículo 61.- Los sujetos obligados deberán presentar los informes previstos en el Artículo 7º de la Ley que se reglamenta en los formularios proporcionados por la UAIP.

Artículo 62.- Comuníquese, publíquese, etc.-

Montevideo, 7 de Noviembre de 2007.

VISTO: la necesidad de abreviar y simplificar el procedimiento administrativo regulado por el Decreto 500/991 de 27 de setiembre de 1991;

RESULTANDO: que si bien dicho cuerpo normativo consagra en general las garantías del administrado y el desarrollo del principio de buena administración, es menester proceder a su actualización en virtud de la evolución natural del derecho positivo y las transformaciones ocurridas en el campo de la tecnología;

CONSIDERANDO: que el Poder Ejecutivo ha definido claramente una política administrativa tendiente a optimizar la gestión del Estado, a través de instrumentos que garanticen el desenvolvimiento eficiente de la Administración;

ATENTO: a lo precedentemente expuesto;

EL PRESIDENTE DE LA REPUBLICA

actuando en Consejo de Ministros

DECRETA:

Artículo 1º.- Modifícanse los artículos del Decreto 500/991 de 27 de setiembre de 1991, que a continuación se describen, los que quedarán redactados en la forma referida:

«Artículo 3.- Los funcionarios intervinientes en el procedimiento administrativo deberán excusarse y ser recusados cuando medie cualquier circunstancia comprobable que pueda afectar su imparcialidad por interés en el procedimiento en que intervienen o afecto o enemistad en relación a las partes, así como por haber dado opinión concreta sobre el asunto en trámite (prejuzgamiento). La excusación del funcionario o su recusación por los interesados no produce suspensión del procedimiento ni implica la separación automática del funcionario inteviniente; no obstante, la autoridad competente para decidir deberá disponer preventivamente la separación, cuando existan razones que, a su juicio, lo justifiquen.

Con el escrito de excusación o recusación se formará un expediente separado, al cual se agregarán los informes necesarios y se elevará dentro de los cinco días al funcionario jerarca inmediatamente superior, el cual decidirá la cuestión. Si admitiere la excusación o recusación, designará en el mismo acto qué funcionario deberá continuar con la tramitación del procedimiento de que se trate.

Las disposiciones anteriores alcanzarán a toda persona que, sin ser funcionario, pueda tener participación en los procedimientos administrativos, cuando su imparcialidad sea exigible en atención a la labor que cumpla (peritos, asesores especialmente contratados, etc.)».

«Artículo 19.- Toda petición o exposición que se formule ante cualquier órgano administrativo, se efectuará por escrito, de acuerdo con las especificaciones contenidas en el artículo 44 del presente decreto.

Podrán utilizarse formularios proporcionados por la Administración, admitiéndose también los impresos que presenten las partes siempre que respeten las reglas referidas en el inciso anterior.

Asimismo las dependencias de la Administración Central podrán admitir la presentación de los particulares por fax u otros medios similares de transmisión a distancia, en los casos que determinen.»

«Artículo 59.- Los funcionarios técnicos y asesores deberán expedir sus dictámenes o informaciones dentro de los cinco días de recibido el expediente. Este plazo podrá extenderse hasta diez días, con la constancia fundada, en el expediente, del funcionario consultado. En caso de requerirse información adicional para emitir pronunciamiento, y siempre que ello pueda cumplirse sin necesidad de remitir el expediente, lo harán saber directamente al consultante, por el medio más rápido, haciéndose constar en el expediente, suspendiéndose el plazo por hasta cinco días.

Vencido el término, sin que se hubiere agregado la información solicitada, el expediente será devuelto a esos efectos.»

«Artículo 66.- Cuando se requiera informe de los asesores, deberá indicarse con precisión y claridad las cuestiones sobre las que se estime necesario su pronunciamiento.

El técnico que deba pronunciarse podrá, bajo su más seria responsabilidad, devolver sin informe todo expediente en el que no se señale con precisión y claridad el punto sobre el que se solicita su opinión.

Cuando la cuestión revele ineptitud, negligencia o desconocimiento de la función por parte del funcionario que solicita el asesoramiento, el técnico devolverá el expediente con la información requerida, pero con la constancia del caso debidamente fundada.»

«Artículo 69.- Todo funcionario, cuando eleve solicitudes, proyectos o produzca informes, dictámenes, etc., fundamentará su opinión en forma sucinta. Procurará en lo posible no incorporar a su texto el extracto de las actuaciones anteriores, ni reiterar datos, pero hará referencia a todo antecedente que permita ilustrar para su mejor resolución.

Suscribirá aquellos con su firma, consignando su nombre, apellido y cargo.»

«Artículo 71.- La Administración podrá disponer de oficio las diligencias probatorias que estime necesarias para el esclarecimiento de los hechos acerca de los cuales debe dictar resolución.

Si mediare pedido de parte, deberá disponer la apertura de un período de prueba por un plazo prudencial no superior a los diez días, a fin de que puedan practicarse cuantas sean legalmente admisibles y juzgue conducentes o concernientes al asunto en trámite. La resolución de la Administración que rechace el diligenciamiento de una prueba por considerarla inadmisible, inconducente o impertinente será debidamente fundada y podrá ser objeto de los recursos administrativos correspondientes.

En el ámbito del procedimiento disciplinario, la admisión o rechazo de una prueba, será competencia del Instructor actuante y los recursos administrativos que se interpongan contra la resolución denegatoria, que se tramitarán por cuerda separada, no afectarán el curso del sumario en trámite.

Las partes tienen derecho a controlar la producción de la prueba; a tal efecto, la Administración les comunicará con antelación suficiente el lugar, fecha y hora en que se practicará la prueba y les hará saber que podrán concurrir asistidos por técnicos».

«Artículo 91.- Las resoluciones que den vista de las actuaciones, decreten la apertura a prueba, las que culminen el procedimiento y, en general, todas aquellas que causen gravamen irreparable o que la autoridad disponga expresamente que así se haga, serán notificadas personalmente al interesado. La notificación personal se practicará en la oficina mediante la comparecencia del interesado, su apoderado, o persona debidamente autorizada para estos efectos. Si el día en que concurriere el interesado la actuación no se hallare disponible, la oficina expedirá constancia de su comparecencia.

Si el interesado no compareciese espontáneamente, se intimará su concurrencia a la oficina dentro del plazo de tres días hábiles, mediante telegrama colacionado certificado con aviso de entrega, carta certificada con aviso de retorno o por cualquier otro medio idóneo.

Si al vencimiento de dicho plazo el interesado no hubiese concurrido, la notificación se tendrá por efectuada.

Sin perjuicio de lo dispuesto, cuando no fuere posible la notificación en la oficina de las resoluciones que culminen el procedimiento y las que la autoridad disponga expresamente que así se haga, la misma se practicará a domicilio por telegrama colacionado certificado con aviso de entrega, carta certificada con aviso de retorno o por cualquier otro medio idóneo que proporcione certeza en cuanto a la efectiva realización de la diligencia».

«Artículo 92.- Las notificaciones se practicarán en el plazo máximo de cinco días, computados a partir del día siguiente al del acto objeto de notificación».

«Artículo 94.- Cuando corresponda notificar un acto administrativo y se desconozca el domicilio de quien deba tener conocimiento de él, se le tendrá por notificado del mismo mediante su publicación en el «Diario Oficial».

El emplazamiento, la citación, las notificaciones e intimaciones a personas inciertas o a un grupo indeterminado de personas, podrá además realizarse por cualquier medio idóneo.»

«Artículo 95.- Los emplazamientos, citaciones y notificaciones e intimaciones a que se refiere este Capítulo, se documentarán mediante copia del documento utilizado y el correspondiente aviso de recibo en el que deberán constar, necesariamente, fecha y hora de recepción.

Cuando hayan sido hechas por publicación en el «Diario Oficial», se estará a lo dispuesto en el artículo 47. Si además se realizó por otro medio, se dejará también constancia de ello, certificándose el medio utilizado, fecha y contenido del texto difundido.»

«Artículo 96.- En las notificaciones por medio de telegrama colacionado con aviso de entrega, publicación en el Diario Oficial u otro medio, se reproducirá íntegramente la parte dispositiva del acto. La publicación incluirá la expresa mención de la persona con la que se entiende practicada la diligencia y de los antecedentes en que el acto fue dictado. En los demás casos se proporcionará al notificado el texto íntegro del acto de que se trata.»

«Artículo 99.- Si el interesado no supiera o no pudiera firmar, lo expresará así, poniéndose constancia en el expediente.

Si la parte se resistiera a firmar la notificación de la resolución administrativa en la oficina, el funcionario encargado del trámite deberá hacer la anotación correspondiente, firmándola con su jerarca inmediato.»

«Artículo 110.- Los términos y plazos señalados en este reglamento obligan por igual y sin necesidad de apremio a las autoridades y funcionarios competentes para la instrucción de los asuntos y a los interesados en los mismos.

Su inobservancia por parte de los funcionarios intervinientes determina la responsabilidad consiguiente, pasible de sanción disciplinaria, en caso de que el Jerarca entienda que la demora ha sido injustificada.»

«Artículo 178.- La denuncia podrá ser escrita o verbal. En el primer caso, se efectuará de conformidad con lo dispuesto en el artículo 119 de este decreto.

Tratándose de denuncia verbal, se labrará acta, que será firmada por el denunciante y por el funcionario ante quien se formule. Si aquél no supiese o no pudiere firmar, lo hará el funcionario, poniendo la constancia respectiva.»

«Artículo 196.- Durante el curso del sumario o investigación, el instructor podrá llamar cuantas veces crea necesario a los sumariados y a los testigos, sean estos últimos funcionarios o particulares, para prestar declaración o ampliar las ya prestadas, y éstos podrán también ofrecerlas debiendo ser aceptadas de inmediato, siempre que tengan relación con el sumario o la investigación.

El sumariado deberá prestar la más amplia colaboración para el esclarecimiento de los hechos investigados, de acuerdo con la regla enunciada en el artículo quinto del Código General del Proceso, lo que será valorado en la resolución que recaiga en el sumario.»

«Artículo 205.- El funcionario que sin causa justificada no concurra a prestar declaración cuando sea citado, será suspendido preventivamente por el funcionario instructor en el ejercicio de las funciones de su cargo hasta tanto lo haga. Esta medida importará la retención de sueldos prevista en el inciso 2º del artículo 192 y deberá comunicarse de inmediato a su Jerarca, el que podrá declarar definitiva la retención preventiva de sueldos operada.

En caso de que el sumariado no concurriere al ser citado en forma por el instructor, éste lo comunicará de inmediato al jerarca máximo del servicio quien adoptará las medidas administrativas que correspondan, sin perjuicio de la consecuencia prevista en el inciso final del artículo 196.»

«Artículo 212.- Todo sumario e investigación administrativa deberá terminarse en el plazo de sesenta días corridos, contados desde aquél en que el funcionario instructor haya sido notificado de la resolución que lo ordena. En casos extraordinarios o circunstancias imprevistas, previa solicitud del funcionario instructor, el jerarca respectivo podrá prorrogar dicho plazo por un máximo de 60 días, sin perjuicio de lo dispuesto en el párrafo siguiente.

Cualquier prórroga que supere el límite señalado precedentemente, será de exclusiva responsabilidad del jerarca que la hubiere concedido. Vencida ésta, el sumariado podrá pedir la clausura de la instrucción del sumario, debiendo en tal caso la administración proceder de conformidad con los artículos 215 y siguientes hasta la culminación del procedimiento. La clausura de la instrucción no será de aplicación en el caso de funcionarios sometidos a la justicia penal.»

«Artículo 213.- El superior inmediato del instructor, en cuanto tenga intervención en el trámite, deberá fiscalizar que el sumario o la investigación administrativa hayan sido instruidos dentro del término correspondiente, que el instructor no se haya desprendido del expediente, por ningún motivo; y que el diligenciamiento de la prueba se cumplió conforme a derecho. Si la instrucción hubiera violado algunos de los preceptos enunciados, dará cuenta al jerarca de quien dependa para que sancione la omisión.

Este deber de fiscalizar se extiende, asimismo, a los abogados de la Administración, cuando tengan que dictaminar respecto del sumario o la investigación administrativa.

Al funcionario a quien por primera vez se le compruebe esta omisión se le sancionará con la anotación del hecho mismo en su legajo personal. La reiteración y la omisión dolosa serán circunstancias agravantes.

La omisión en la fiscalización será sancionada de la misma manera y en las mismas condiciones señaladas precedentemente.»

«Artículo 216.- Tratándose de investigaciones administrativas, serán elevadas al jerarca que las decretó quien, previo informe letrado, adoptará decisión.

Tratándose de sumario, el instructor sumariante pondrá el expediente de manifiesto, dando vista a los interesados por un término no inferior a los diez días.

Cuando haya más de una parte que deba evacuar la vista, el término será común a todas ellas y correrá del día siguiente a la última notificación.

Vencido el término, sin que se hubiese presentado escrito de evacuación de vista o habiéndose presentado sin ofrecimiento de prueba, la oficina dará cuenta al superior, elevando el expediente a despacho a los efectos que corresponda, no admitiéndose después a los interesados, escritos ni petitorios que tengan por fin estudiar el sumario.

Si dentro del término de vista se ofreciere prueba, el instructor se pronunciará de acuerdo a lo dispuesto por el inciso tercero 3ro. Del artículo 71, debiendo proceder a su diligenciamiento toda vez que dicha prueba fuera aceptada, contando para ello con el plazo previsto en el artículo 220 del presente decreto».

«Artículo 218.- Las oficinas pasarán el expediente en vista a su Asesoría Letrada, la que deberá expedirse en el plazo de veinte días prorrogable por diez días más si fuese necesario a juicio del jerarca.

El abogado asesor fiscalizará el cumplimiento de los plazos para la instrucción y controlará la regularidad de los procedimientos, estableciendo las conclusiones y aconsejando las sanciones y medidas que en su concepto corresponda aplicar. Asimismo podrá aconsejar la ampliación o revisión del sumario.

Cuando el funcionario instructor sea el Asesor Jefe, deberá enviarse al Fiscal de Gobierno de Turno quien dispondrá de los plazos referidos en el inciso primero de este artículo.

Sin perjuicio, en cualquier estado del trámite, el Jerarca podrá solicitar opinión al Fiscal de Gobierno de Turno, en carácter de medida para mejor proveer».

«Artículo 219.- Compete a la Comisión Nacional del Servicio Civil pronunciarse sobre las destituciones de funcionarios en último término, una vez culminada la instrucción correspondiente, antes de la resolución de la autoridad administrativa, disponiendo para ello de un plazo de treinta días a contar de la recepción del expediente por la Oficina Nacional del Servicio Civil.

En caso de impugnación de la resolución que dispone la destitución del funcionario, deberá oírse en primer término a la Asesoría Letrada del Organismo, debiendo remitirse posteriormente el expediente en vista al Fiscal de Gobierno de Turno, quien dispondrá de los plazos referidos en el artículo anterior para expedirse».

«Artículo 223.- El vencimiento de los plazos previstos para los procedimientos disciplinarios no exonera a la Administración de su deber de pronunciarse.»

«Artículo 226.- Los funcionarios públicos que registren en sus legajos sanciones de suspensión, como consecuencia de responsabilidad grave, comprobada, en el ejercicio de funciones o tareas relativas a la materia financiera, adquisiciones, gestión de inventario, manejo de bienes o dinero, no podrán prestar servicios vinculados a dichas áreas o actividades, ni ocupar cargos de Dirección de Unidades Ejecutoras. Tampoco podrán integrar en representación del Estado, órganos de dirección de personas jurídicas de derecho público no estatal, debiendo el Poder Ejecutivo, o quien por derecho corresponda designar al reemplazante. Los órganos y organismos de la Administración que deban decidir sobre tales cuestiones, deberán recabar informe previo de la Oficina Nacional del Servicio Civil.»

Artículo 2º.- Exhórtase a los Entes Autónomos y Servicios Descentralizados que hubieren adoptado o adopten por decisiones internas las normas del Decreto 500/991, a incluir las modificaciones establecidas en el presente decreto. El Poder Ejecutivo apreciará, en el ejercicio de sus poderes de contralor, el modo como se cumpla la exhortación que precede.

Artículo 3º.– Siempre que coexistan normas de procedimiento en el Decreto 500/991, cuyo contenido hubiera sido contemplado en los Decretos nº 65/98 de 10 de marzo de 1998 y 83/001 de 8 de marzo de 2001, prevalecerá la aplicación de estos últimos, en cuanto corresponda.

Artículo 4º.- En los procedimientos disciplinarios en trámite a la fecha de entrada en vigencia del presente Decreto, se aplicarán las modificaciones introducidas a las etapas pendientes del mismo.

Artículo 5.- Cométese a la Oficina Nacional del Servicio Civil la información y divulgación a los funcionarios de la Administración Central de las normas contenidas en el presente Decreto, a efectos de su correcta aplicación.

Artículo 6.- Comuníquese, publíquese, etc..-

Dr. TABARE VAZQUEZ, Presidente de la República;

DAISY TOURNE;

MARIA B. HERRERA;

DANILO ASTORI;

AZUCENA BERRUTTI;

JORGE BROVETTO;

VICTOR ROSSI;

JORGE LEPRA;

EDUARDO BONOMI;

MARIA JULIA MUÑOZ;

ERNESTO AGAZZI;

HECTOR LESCANO;

MARIANO ARANA;

MARINA ARISMENDI.

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o Artigo 84, inciso IV, da Constituição, e tendo em vista o disposto na Lei nº 8.078,, de 11 de setembro de 1990,　

DECRETA:　

Artigo 1º.- Este Decreto regulamenta a Lei nº 8.078, de 11 de setembro de 1990, e fixa normas gerais sobre o Serviço de Atendimento ao Consumidor -SAC por telefone, no âmbito dos fornecedores de serviços regulados pelo Poder Público federal, com vistas à observância dos direitos básicos do consumidor de obter informação adequada e clara sobre os serviços que contratar e de manter-se protegido contra práticas abusivas ou ilegais impostas no fornecimento desses serviços.　　

CAPÍTULO I.- DO ÂMBITO DA APLICAÇÃO

Artigo 2º- Para os fins deste Decreto, compreende-se por SAC o serviço de atendimento telefônico das prestadoras de serviços regulados que tenham como finalidade resolver as demandas dos consumidores sobre informação, dúvida, reclamação, suspensão ou cancelamento de contratos e de serviços.　

Parágrafo único.- Excluem-se do âmbito de aplicação deste Decreto a oferta e a contratação de produtos e serviços realizadas por telefone.

CAPÍTULO II.- DA ACESSIBILIDADE DO SERVIÇO　

Artigo  3º.- As ligações para o SAC serão gratuitas e o atendimento das solicitações e demandas previsto neste Decreto não deverá resultar em qualquer ônus para o consumidor.　

Artigo 4º.- O SAC garantirá ao consumidor, no primeiro menu eletrônico, as opções de contato com o atendente, de reclamação e de cancelamento de contratos e serviços.　

§ 1^º A opção de contatar o atendimento pessoal constará de todas as subdivisões do menu eletrônico.　

§ 2º O consumidor não terá a sua ligação finalizada pelo fornecedor antes da conclusão do atendimento.　

§ 3º O acesso inicial ao atendente não será condicionado ao prévio fornecimento de dados pelo consumidor.　

§ 4º Regulamentação específica tratará do tempo máximo necessário para o contato direto com o atendente, quando essa opção for selecionada.

Artigo 5º.- O SAC estará disponível, ininterruptamente, durante vinte e quatro horas por dia e sete dias por semana, ressalvado o disposto em normas específicas.　

Artigo 6º.- O acesso das pessoas com deficiência auditiva ou de fala será garantido pelo SAC, em caráter preferencial, facultado à empresa atribuir número telefônico específico para este fim.　

Artigo 7.- O número do SAC constará de forma clara e objetiva em todos os documentos e materiais impressos entregues ao consumidor no momento da contratação do serviço e durante o seu fornecimento, bem como na página eletrônica da empresa na INTERNET.

Parágrafo único.- No caso de empresa ou grupo empresarial que oferte serviços conjuntamente, será garantido ao consumidor o acesso, ainda que por meio de diversos números de telefone, a canal único que possibilite o atendimento de demanda relativa a qualquer um dos serviços oferecidos.　

CAPÍTULO III.- DA QUALIDADE DO ATENDIMENTO　

Artigo 8º.- O SAC obedecerá aos princípios da dignidade, boa-fé, transparência, eficiência, eficácia, celeridade e cordialidade.　

Artigo 9º.- O atendente, para exercer suas funções no SAC, deve ser capacitado com as habilidades técnicas e procedimentais necessárias para realizar o adequado atendimento ao consumidor, em linguagem clara.　

Artigo 10.– Ressalvados os casos de reclamação e de cancelamento de serviços, o SAC garantirá a transferência imediata ao setor competente para atendimento definitivo da demanda, caso o primeiro atendente não tenha essa atribuição.　

§ 1º A transferência dessa ligação será efetivada em até sessenta segundos.　

§ 2º Nos casos de reclamação e cancelamento de serviço, não será admitida a transferência da ligação, devendo todos os atendentes possuir atribuições para executar essas funções.　

§ 3º O sistema informatizado garantirá ao atendente o acesso ao histórico de demandas do consumidor.　

Artigo 11.– Os dados pessoais do consumidor serão preservados, mantidos em sigilo e utilizados exclusivamente para os fins do atendimento.　

Artigo 12.- É vedado solicitar a repetição da demanda do consumidor após seu registro pelo primeiro atendente.　

Artigo 13.– O sistema informatizado deve ser programado tecnicamente de modo a garantir a agilidade, a segurança das informações e o respeito ao consumidor.　

Artigo　14.　　É vedada a veiculação de mensagens publicitárias durante o tempo de espera para o atendimento, salvo se houver prévio consentimento do consumidor.　

CAPÍTULO IV.- DO ACOMPANHAMENTO DE DEMANDAS　

Artigo 15.– Será permitido o acompanhamento pelo consumidor de todas as suas demandas por meio de registro numérico, que lhe será informado no início do atendimento.　

§ 1º Para fins do disposto no　caput, será utilizada seqüência numérica única para identificar todos os atendimentos.　

§ 2º O registro numérico, com data, hora e objeto da demanda, será informado ao consumidor e, se por este solicitado, enviado por correspondência ou por meio eletrônico, a critério do consumidor.　

§ 3º É obrigatória a manutenção da gravação das chamadas efetuadas para o SAC, pelo prazo mínimo de noventa dias, durante o qual o consumidor poderá requerer acesso ao seu conteúdo.　

§ 4º O registro eletrônico do atendimento será mantido à disposição do consumidor e do órgão ou entidade fiscalizadora por um período mínimo de dois anos após a solução da demanda.

Artigo 16.- O consumidor terá direito de acesso ao conteúdo do histórico de suas demandas, que lhe será enviado, quando solicitado, no prazo máximo de setenta e duas horas, por correspondência ou por meio eletrônico, a seu critério. 　

CAPÍTULO V.- DO PROCEDIMENTO PARA A RESOLUÇÃO DE DEMANDAS　

Artigo 17.– As informações solicitadas pelo consumidor serão prestadas imediatamente e suas reclamações, resolvidas no prazo máximo de cinco dias úteis a contar do registro.　　

§ 1º O consumidor será informado sobre a resolução de sua demanda e, sempre que solicitar, ser-lhe-á enviada a comprovação pertinente por correspondência ou por meio eletrônico, a seu critério.　

§ 2º A resposta do fornecedor será clara e objetiva e deverá abordar todos os pontos da demanda do consumidor.　

§ 3º Quando a demanda versar sobre serviço não solicitado ou cobrança indevida, a cobrança será suspensa imediatamente, salvo se o fornecedor indicar o instrumento por meio do qual o serviço foi contratado e comprovar que o valor é efetivamente devido.　

CAPÍTULO VI.- DO PEDIDO DE CANCELAMENTO DO SERVIÇO　

Artigo 18.- O SAC receberá e processará imediatamente o pedido de cancelamento de serviço feito pelo consumidor.　

§ 1º O pedido de cancelamento será permitido e assegurado ao consumidor por todos os meios disponíveis para a contratação do serviço.　

§ 2º Os efeitos do cancelamento serão imediatos à solicitação do consumidor, ainda que o seu processamento técnico necessite de prazo, e independe de seu adimplemento contratual.　

§ 3º O comprovante do pedido de cancelamento será expedido por correspondência ou por meio eletrônico, a critério do consumidor.　

CAPÍTULO VII.- DAS DISPOSIÇÕES FINAIS　

Artigo 19.- A inobservância das condutas descritas neste Decreto ensejará aplicação das sanções previstas no Artigo 56 da Lei nº 8.078, de 1990, sem prejuízo das constantes dos regulamentos específicos dos órgãos e entidades reguladoras.

Artigo 20.- Os órgãos competentes, quando necessário, expedirão normas complementares e específicas para execução do disposto neste Decreto.

Artigo 21.– Os direitos previstos neste Decreto não excluem outros, decorrentes de regulamentações expedidas pelos órgãos e entidades reguladores, desde que mais benéficos para o consumidor.

Artigo 22.– Este Decreto entra em vigor em 1º de dezembro de 2008.

Brasília, 31 de julho de 2008; 187º da Independência e 120º da República.

LUIZ INÁCIO LULA DA SILVA　
Tarso Genro

DECRETO DEL PODER EJECUTVO Nº 4.711, DEL 15 DE JULIO DE 2010, POR EL CUAL SE OBJETA TOTALMENTE EL PROYECTO DE LEY Nº 4017/10, DE «VALIDEZ DE LA FIRMA ELECTRÓNICA, LA FIRMA DIGITAL, LOS MENSAJES DE DATOS Y EL EXPEDIENTE ELECTRÓNICO»

Asunción, 15 de julio de 2010.-

VISTO:     El Proyecto de Ley Nº 4017 «De validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico», sancionado por el Honorable Congreso Nacional el 3 de junio de 2010, y recibido en la Presidencia de la República el 17 de junio de 2010, a los efectos instituidos en el Artículo 204 de la Constitución Nacional; y

CONSIDERANDO:   Que, el Artículo 238, Numeral 4), de la Constitución Nacional, faculta a quien ejerce la Presidencia de la República, a vetar total o parcialmente un Proyecto de Ley sancionado por el Honorable Congreso de la Nación, formulando las observaciones u objeciones que estime convenientes.

                                    Que, a criterio del Poder Ejecutivo existen fundamentos suficientes para la objeción total de la sancionada Ley, conforme se desprende de las siguientes argumentaciones:

Que, el Artículo 5°, contiene una fuente de conflicto: el consentimiento. En ese sentido establece: «…siempre y cuando concurran el consentimiento y los demás requisitos necesarios para su validez previstos en el Código Civil». Esto se debe a que la Ley activa ciertas presunciones a pesar que el acto no fue emitido por el «firmante titular», lo cual colisiona con el régimen de formación del consentimiento del derecho civil (abriendo la ventana a una serie de impugnaciones que harían inocua la Ley, pues la validez se otorga o no, no se condiciona ambiguamente).

Que, el Artículo 21, «Exclusiones»: establece en qué casos no es aplicable la firma digital. En ese sentido, el último literal (d) establece que la Ley no se aplica a los «actos personalísimos en general». La legislación paraguaya no establece una definición de actos personalísimos ni establece cuales serían los mismos, por lo cual dicha excepción daría lugar a una serie de dudas respecto al alcance de la exclusión. Es más, la mayoría de los actos considerados normalmente personalísimos (como ser los testamentos, actos de derecho de familia y otros), ya se encuentran incluidos en la enumeración en los literales a) a c). Por tanto, entendemos que el citado literal d) debe ser excluido o aclarado (definido), para evitar incongruencias.

Que, el Artículo 22 del Proyecto establece los requisitos para la validez de la firma digital en 8 literales (a-h). Sin embargo, no se expresa conjunción «y» o disyunción «o» entre los dos últimos literales. Del texto de la Ley se desprende que deben ser cumplidos todos los requisitos allí establecidos, por lo cual faltaría incluir la conjunción «y» entre los literales g) y h). Debe ser hecha dicha inclusión a fin de evitar errores de interpretación y consiguientemente de ejecución de la Ley.

Que, el Artículo 23 del Proyecto de Ley, referente a efectos del empleo de una firma digital expresa que la aplicación de una firma digital a un mensaje de datos «crea una presunción» de validez. Siendo que el propio proyecto le otorga idéntico valor al de la firma manuscrita, consideramos un despropósito establecer una presunción, siendo que ello no es el objeto de la firma digital, cuya finalidad precisamente es equiparar los efectos de ambas firmas.

Que, el Artículo 27 del Proyecto de Ley referente a la resolución ficta de habilitación de prestadores de servicios de certificación  establece su aprobación ficta. En ese sentido señala que si la autoridad de control no pudiera demostrar el incumplimiento de los requisitos básicos establecidos para las certificadoras, que se hayan presentado dentro del plazo respectivo, las mismas automáticamente tendrán concedida la habilitación solicitada. No corresponde dicha aprobación ficta, dado que equivale a aprobarlas directamente si no reciben negativa en el plazo respectivo. Se debe eliminar éste Artículo, dado el riesgo que representa tener certificadoras operando por el simple hecho que no se las haya rechazado en un tiempo determinado. Sobre el punto, cabe agregar que la propia Constitución Nacional establece la presunción de la denegatoria tácita.

Que, el Artículo 37, «Expediente Electrónico»: Incorpora una cuestión proveniente del ámbito del derecho público, específicamente del Derecho Administrativo. Con dicha inclusión, la Ley deja de ser una norma exclusiva de derecho privado, ámbito en el cual campea el principio de la libertad, y se convierte en una norma que requiere ejecución pública, ámbito propio del principio de la legalidad, opuesto al anteriormente citado. Dicha incorporación no es en absoluto recomendable, pues los ámbitos de conducta y los análisis de validez que deben ser realizados a la luz de los principios citados difieren sustancialmente unos de otros. Mediante la eliminación del Artículo 37, la Ley pasará a configurar una norma de aplicación exclusiva al comercio electrónico, es decir, una norma de aplicación fundamental al relacionamiento entre particulares (excepcionalmente como parte contractual al Estado).

El Artículo 37 incorpora la regulación del expediente electrónico, instrumento tendiente a la formación de la voluntad administrativa con la característica distintiva del medio de formación, el electrónico. No obstante, es importante señalar que el expediente electrónico deviene como consecuencia lógica de un procedimiento administrativo. En nuestro país aún no contamos con una Ley general de procedimiento administrativo, por lo que mal podría en dicha situación, legislarse sobre solo uno de los medios a través de los cuales puede ser materializado, implementado o instruido el procedimiento administrativo. Es importante hacer notar que en el marco de un acuerdo de cooperación con la Unión Europea, debidamente aprobado por el Congreso Nacional, se ha elaborado un Proyecto de Ley de procedimientos administrativos que supliría la importantísima falencia citada en el párrafo anterior. Dicho proyecto regula todo aspecto del procedimiento administrativo y cuenta con un capítulo referido a la implementación del mismo por medios electrónicos.

                        Que, el Artículo 38 dispone que la Autoridad de Aplicación será el Instituto Nacional de Tecnología y Normalización. El Articulo 1° de la Ley nº 2961/06 «Que modifica  y amplia disposiciones de la Ley nº 904/63, que establece las funciones del Ministerio de Industria y Comercio», prescribe que corresponde al Ministerio de Industria y Comercio promover el incremento del comercio interno e internacional. Asimismo el Decreto nº 2348/99, «Por el cual se reglamenta la Carta Orgánica del Ministerio de Industria y Comercio – Ley nº 904/63, y se deroga el Decreto nº  902/73», establece en su Artículo 1°, Inciso H) que a la Subsecretaria de Estado de Comercio, en coordinación con el Ministro del ramo, le compete elaborar las estrategias y lineamientos generales de la política comercial del país, en bienes y servicios; velar por la ejecución y cumplimiento de las políticas comerciales del Gobierno, desarrollar estrategias y acciones que favorezcan la competitividad del país ante la apertura comercial  y la globalización de la economía.

Que, el Instituto Nacional de Tecnología y Normalización, según su Ley Orgánica, nº 862/63, no contempla las funciones que el Proyecto de Ley  pretende facultarle, como la Certificación de firmas digitales, montar laboratorio de firma digital o cualquier otra actividad relacionada con lo regulado por el Proyecto de Ley.

Que, el Instituto Nacional de Tecnología y Normalización, ha manifestado los inconvenientes para el cumplimiento como Autoridad de Aplicación conferida por el citado Proyecto de Ley.

Que, el Ministerio de Industria y Comercio, desde el año 2006, se encuentra inmerso en el Proyecto Mercosur Digital, desarrollado en Paraguay con la cooperación de la Unión Europea y el Mercosur y cuyo objetivo es apoyar a los países que no poseen aun firma digital, regular la actividad digital y la protección de datos personales, el comercio electrónico y la responsabilidad civil de proveedores, los crímenes electrónicos y la documentación electrónica.

Que, el Ministerio de Industria y Comercio, como Coordinador Nacional del Proyecto, ha sido considerado como próximo beneficiario de la Administración del Proyecto Mercosur Digital para la implementación de la firma digital, que incluye el diseño, adquisición y ejecución de hardware y software, como asimismo la capacitación del grupo técnico nacional y la provisión de equipos tecnológicos.

                                    Que, técnicos de la Administración del Proyecto Mercosur, han verificado y aprobado las instalaciones del Ministerio de Industria y Comercio como asiento del futuro Laboratorio de Certificación de Firmas Digitales, en razón de la seguridad en cuanto a infraestructura disponible por dicho Ministerio.

Que, en atención a las observaciones puntualizadas, el Ministerio de Industria y Comercio hasta la fecha ha hecho ingentes esfuerzos, contando con la infraestructura y los contactos necesarios para constituirse en Autoridad de Aplicación del Proyecto de Ley Nº 4017/10.

Que, el Artículo 39 literal m) del Proyecto establece que la autoridad de aplicación fijará sanciones a ser previstas en la reglamentación.  Sin embargo, conforme al principio de legalidad (nullum crime, nulla poena sine lege) y la reserva de ley, no puede establecerse pena alguna por reglamentación, sino únicamente ser impartida por ley.

Que, los Artículos 40, 41 y 42, devienen improcedentes en razón de que los mismos son derivaciones de los Artículos 38 y 39 de la Autoridad de Aplicación y Funciones  respectivamente.

Que, en estas condiciones, habiéndose objetados varias disposiciones que afectan partes sustanciales del Proyecto de Ley, resulta necesario objetar totalmente dicho proyecto, a fin de evitar la vigencia de una norma cercenada, incompleta e ineficaz a los efectos pretendidos.

Que, en estas condiciones, al Poder Ejecutivo no le resta otra posibilidad que objetar totalmente el Proyecto de Ley nº 4017/10, conforme a las razones expuestas precedentemente.

POR TANTO, en ejercicio de sus atribuciones constitucionales,

EL PRESIDENTE DE LA REPÚBLICA DEL PARAGUAY

D E C R E T A:

Art. 1°.-          Objétase totalmente el Proyecto de Ley nº 4017 «De validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico», por las fundamentaciones expuestas en el Considerando de este Decreto.

Art. 2°.-          Devuélvase al Honorable Congreso Nacional la Ley sancionada y objetada, a los efectos previstos en el Artículo 209 de la Constitución Nacional.

Art. 3°.-         El presente Decreto será refrendado por el Ministro de Industria y Comercio.

Art. 4°.-        Comuníquese, publíquese e insértese en el Registro Oficial. 

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;

Visti gli articoli 9 e 24 della legge 15 dicembre 2011, n. 217, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee;

Visto il Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni;

Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

Vista la direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori;

Vista la direttiva 2009/140/CE del Parlamento e del Consiglio del 25 novembre 2009, recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica;

Sentito il Garante per la protezione dei dati personali;

Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 6 aprile 2012;

Acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica;

Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 25 maggio 2012;

Sulla proposta del Ministro per gli affari europei e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri, dell'economia e delle finanze e della giustizia;

Emana

il seguente decreto legislativo:

Articolo 1.- Modifiche al decreto legislativo 30 giugno 2003, n. 196

1. All'articolo 4, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) al comma 2 :

1) la lettera b) é sostituita dalla seguente: «b) chiamata, la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale;»;

2) la lettera c) é sostituita dalla seguente: «c) reti di comunicazione elettronica, i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;»;

3) la lettera d) é sostituita dalla seguente: «d) rete pubblica di comunicazioni, una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti;»;

4) alla lettera i) dopo le parole: «rete di comunicazione elettronica» sono inserite le seguenti: «o da un servizio di comunicazione elettronica»;

b) al comma 3, dopo la lettera g) é aggiunta la seguente:

«g-bis) violazione di dati personali: violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.».

2. All'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) la rubrica é sostituita dalla seguente: «Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico»;

b) il comma 1 é sostituito dal seguente: «1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis»;

c) dopo il comma 1, sono inseriti i seguenti:

«1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati.

1-ter. Le misure di cui al commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché assicurano l'attuazione di una politica di sicurezza.»;

d) al comma 3, dopo le parole: «ai sensi dei commi 1» sono inserite le seguenti: «, 1-bis».

3. Dopo l'articolo 32, del decreto legislativo 30 giugno 2003, n. 196, é inserito il seguente:

«Articolo 32-bis (Adempimenti conseguenti ad una violazione di dati personali). 

1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.

2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza di contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione.

3. La comunicazione di cui al comma 2 non é dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione.

4. Ove il fornitore non vi abbia già provveduto, il Garante puó, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione.

5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.

6. Il Garante puó emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE.

7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine.

8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo.».

4. All'articolo 121, comma 1, del decreto legislativo 30 giugno 2003, n. 196, dopo le parole: «reti pubbliche di comunicazioni» sono aggiunte, in fine, le seguenti: «, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione».

5. All'articolo 122, del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) il comma 1, é sostituito dal seguente: «1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ció non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.»;

b) il comma 2, é sostituito dal seguente: «2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente.»;

c) dopo il comma 2, é aggiunto il seguente: «2-bis. Salvo quanto previsto dal comma 1, é vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente.».

6. All'articolo 123, comma 3, del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «manifestato» é inserita la seguente: «preliminarmente».

7. All'articolo 130 del decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) al comma 1:

1) le parole: «L'uso di sistemi automatizzati» sono sostituite dalle seguenti: «Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati»;

2) dopo la parola: «automatizzati» sono inserite le seguenti: «di chiamata o di comunicazione»;

3) le parole: «dell'interessato» sono sostituite dalle seguenti: «del contraente o utente»;

b) al comma 5:

1) dopo la parola: «mittente» sono inserite le seguenti: «o in violazione dell'articolo 8 del decreto legislativo 9 aprile 2003, n. 70,»;

2) dopo le parole: «di cui all'articolo 7» sono aggiunte, in fine, le seguenti: «, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003″.

8. Dopo l'articolo 132, del decreto legislativo 30 giugno 2003, n. 196, é inserito il seguente:

«Articolo 132-bis (Procedure istituite dai fornitori). 

1. I fornitori istituiscono procedure interne per corrispondere alle richieste effettuate in conformità alle disposizioni che prevedono forme di accesso a dati personali degli utenti.

2. A richiesta, i fornitori forniscono al Garante, per i profili di competenza, informazioni sulle procedure di cui al comma 1, sul numero di richieste ricevute, sui motivi legali addotti e sulle risposte date.».

9. Dopo l'articolo 162-bis, del decreto legislativo 30 giugno 2003, n. 196, é inserito il seguente:

«Articolo 162-ter (Sanzioni nei confronti di fornitori di servizi di comunicazione elettronica accessibili al pubblico).

1. La violazione delle disposizioni di cui all'articolo 32-bis, comma 1, é punita con la sanzione amministrativa del pagamento di una somma da venticinquemila euro a centocinquantamila euro.

2. La violazione delle disposizioni di cui all'articolo 32-bis, comma 2, é punita con la sanzione amministrativa del pagamento di una somma da centocinquanta euro a mille euro per ciascun contraente o altra persona nei cui confronti venga omessa o ritardata la comunicazione di cui al medesimo articolo 32-bis, comma 2. Non si applica l'articolo 8 della legge 24 novembre 1981, n. 689.

3. La sanzione amministrativa di cui al comma 2 non puó essere applicata in misura superiore al 5 per cento del volume d'affari realizzato dal fornitore di servizi di comunicazione elettronica accessibili al pubblico nell'ultimo esercizio chiuso anteriormente alla notificazione della contestazione della violazione amministrativa, fermo restando quanto previsto dall'articolo 164-bis, comma 4.

4. La violazione delle disposizioni di cui all'articolo 32-bis, comma 7, é punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.

5. Le medesime sanzioni di cui al presente articolo si applicano nei confronti dei soggetti a cui il fornitore di servizi di comunicazione elettronica accessibili al pubblico abbia affidato l'erogazione dei predetti servizi, qualora tali soggetti non abbiano comunicato senza indebito ritardo, al fornitore, ai sensi dell'articolo 32-bis, comma 8, le informazioni necessarie ai fini degli adempimenti di cui all'articolo 32-bis.».

10. Al comma 1 dell'articolo 164-bis del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «162,» sono inserite le seguenti: «162-ter,».

11. Al comma 1 dell'articolo 168 del decreto legislativo 30 giugno 2003, n. 196, dopo la parola: «Chiunque,» sono inserite le seguenti: «nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8,».

12. Nel decreto legislativo 30 giugno 2003, n. 196, n. 196, la parola: «abbonato», ovunque ricorra, é sostituita dalla seguente: «contraente».

Articolo 2.- Disposizione finanziaria

1. Dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le Amministrazioni interessate provvedono agli adempimenti previsti con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Articolo 3.- Entrata in vigore

1. Il presente decreto legislativo entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.　

Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. É fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.　

Dato a Roma, addí 28 maggio 2012　

NAPOLITANO

Monti, Presidente del Consiglio dei Ministri e Ministro dell'economia e delle finanze

Moavero Milanesi, Ministro per gli affari europei

Passera, Ministro dello sviluppo economico

Terzi di Sant'Agata, Ministro degli affari esteri

Severino, Ministro della giustizia

Visto, il Guardasigilli: Severino

O presente decreto-lei visa compatibilizar o regime jurídico da assinatura digital estabelecido no Decreto-Lei nº 290-D/99, de 2 de Agosto, com a Directiva nº 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, relativa a um quadro legal comunitário para as assinaturas electrónicas.

Em conformidade com a referida directiva e com os recentes desenvolvimentos legislativos nos Estados membros da União Europeia, é adoptada uma terminologia tecnologicamente neutra. Assim, as referências que traduziam a opção pelo modelo tecnológico prevalecente, a assinatura digital produzida através de técnicas criptográficas, são eliminadas. A expressão «assinatura digital» é substituída, consoante os casos, por «assinatura electrónica qualificada» ou por «assinatura electrónica qualificada certificada por entidade certificadora credenciada». As referências a «chaves privadas» são substituídas por «dados de criação de assinatura» e as referências a «chaves públicas» são substituídas por «dados de verificação de assinatura».

O presente decreto-lei estabelece três modalidades de assinaturas electrónicas: a assinatura electrónica, a assinatura electrónica avançada e a assinatura electrónica qualificada, que correspondem a diferentes graus de segurança e fiabilidade.

Introduzem-se, correspondentemente, novas definições no artigo 2º e são reforçados os deveres das entidades certificadoras que emitem certificados qualificados. A avaliação e certificação da conformidade dos produtos de assinatura electrónica utilizados na prestação de serviços de assinatura electrónica qualificada por uma entidade certificadora ou na criação e verificação de assinatura electrónica qualificada é atribuída a organismos de certificação. Para além do mais, visando assegurar uma melhor e maior fiscalização destas entidades pelos titulares e por terceiros, entendeu-se criar um registo junto da autoridade credenciadora, que, ainda que tenha um carácter meramente declarativo, é obrigatório para as entidades certificadoras que emitem certificados qualificados.

Mantém-se a possibilidade de as entidades certificadoras que emitem assinaturas electrónicas especialmente seguras e fiáveis, as assinaturas electrónicas qualificadas, solicitarem a sua credenciação junto da autoridade credenciadora. As assinaturas electrónicas qualificadas emitidas por uma entidade certificadora credenciada têm a força probatória de documento particular assinado, nos termos do artigo 376º do Código Civil, enquanto as restantes modalidades de assinatura electrónica são livremente apreciadas pelo tribunal.

Clarifica-se o regime aplicável às assinaturas electrónicas de pessoas colectivas ao admitir-se expressamente que pessoas colectivas possam ser titulares de um dispositivo de criação de assinatura. Todavia, o presente decreto-lei não estabelece, em matéria de representação das pessoas colectivas, um regime diverso do resultante das disposições que regulam especialmente esta questão. Dentro da posição adoptada de neutralidade das tecnologias em relação ao direito, cabe à entidade certificadora verificar se a assinatura garante a intervenção das pessoas singulares que, estatutária ou legalmente, representam a pessoa colectiva.

As disposições relativas aos certificados de outros Estados são, igualmente, alteradas para assegurar a livre circulação dos produtos de assinatura electrónica no mercado interno.

Todavia, a evolução tecnológica determinará a médio prazo a revisão e adaptação do regime estabelecido no presente diploma.

Assim:

Nos termos da alínea a) do nº 1 do artigo 198º da Constituição, o Governo decreta, para valer como lei geral da República, o seguinte:

Artigo 1º.- Objecto

O presente decreto-lei transpõe para a ordem jurídica interna a Directiva nº 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, relativa a um quadro legal comunitário para as assinaturas electrónicas.

Artigo 2º.- Alterações ao Decreto-Lei nº 290-D/99, de 2 de Agosto

Os artigos 1º, 2º, 3º, 5º, 6º, 7º, 8º, 9º, 11º, 12º, 13º, 14º, 15º, 16º, 17º, 18º, 19º, 20º, 21º, 22º, 23º, 24º, 25º, 26º, 27º, 28º, 29º, 30º, 31º, 32º, 33º, 37º, 38º e 39º do Decreto-Lei nº 290-D/99, de 2 de Agosto, passam a ter a seguinte redacção:

«Artigo 1º
[…]

O presente diploma regula a validade, eficácia e valor probatório dos documentos electrónicos, a assinatura electrónica e a actividade de certificação de entidades certificadoras estabelecidas em Portugal.

Artigo 2º
[…]

Para os fins do presente diploma, entende-se por:

a) …

b) Assinatura electrónica: resultado de um processamento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico;

c) Assinatura electrónica avançada: assinatura electrónica que preenche os seguintes requisitos:

i) Identifica de forma unívoca o titular como autor do documento;
ii) A sua aposição ao documento depende apenas da vontade do titular;
iii) É criada com meios que o titular pode manter sob seu controlo exclusivo;
iv) A sua conexão com o documento permite detectar toda e qualquer alteração superveniente do conteúdo deste;

d) Assinatura digital: modalidade de assinatura electrónica avançada baseada em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância com o seu conteúdo e ao destinatário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento electrónico foi alterado depois de aposta a assinatura;

e) [Anterior alínea d).]

f) [Anterior alínea e).]

g) Assinatura electrónica qualificada: assinatura digital ou outra modalidade de assinatura electrónica avançada que satisfaça exigências de segurança idênticas às da assinatura digital baseadas num certificado qualificado e criadas através de um dispositivo seguro de criação de assinatura;

h) Dados de criação de assinatura: conjunto único de dados, como chaves privadas, utilizado pelo titular para a criação de uma assinatura electrónica;

i) Dispositivo de criação de assinatura: suporte lógico ou dispositivo de equipamento utilizado para possibilitar o tratamento dos dados de criação de assinatura;

j) Dispositivo seguro de criação de assinatura: dispositivo de criação de assinatura que assegure, através de meios técnicos e processuais adequados, que:

i) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura só possam ocorrer uma única vez e que a confidencialidade desses dados se encontre assegurada;　
ii) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura não possam, com um grau razoável de segurança, ser deduzidos de outros dados e que a assinatura esteja protegida contra falsificações realizadas através das tecnologias disponíveis;　
iii) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura possam ser eficazmente protegidos pelo titular contra a utilização ilegítima por terceiros;　
iv) Os dados que careçam de assinatura não sejam modificados e possam ser apresentados ao titular antes do processo de assinatura;

l) Dados de verificação de assinatura: conjunto de dados, como chaves públicas, utilizado para verificar uma assinatura electrónica;

m) Credenciação: acto pelo qual é reconhecido a uma entidade que o solicite e que exerça a actividade de entidade certificadora o preenchimento dos requisitos definidos no presente diploma para os efeitos nele previstos;

n) [Anterior alínea g).]

o) Entidade certificadora: entidade ou pessoa singular ou colectiva que cria ou fornece meios para a criação e verificação das assinaturas, emite os certificados, assegura a respectiva publicidade e presta outros serviços relativos a assinaturas electrónicas;

p) Certificado: documento electrónico que liga os dados de verificação de assinatura ao seu titular e confirma a identidade desse titular;

q) Certificado qualificado: certificado que contém os elementos referidos no artigo 29º e é emitido por entidade certificadora que reúne os requisitos definidos no artigo 24º;

r) Titular: pessoa singular ou colectiva identificada num certificado como a detentora de um dispositivo de criação de assinatura;

s) Produto de assinatura electrónica: suporte lógico, dispositivo de equipamento ou seus componentes específicos, destinados a ser utilizados na prestação de serviços de assinatura electrónica qualificada por uma entidade certificadora ou na criação e verificação de assinatura electrónica qualificada;

t) Organismo de certificação: entidade pública ou privada competente para a avaliação e certificação da conformidade dos processos, sistemas e produtos de assinatura electrónica com os requisitos a que se refere a alínea c) do nº 1 do artigo 12º;

u) [Anterior alínea j).]

v) [Anterior alínea l).]

Artigo 3º
[…]

1 – …

2 – Quando lhe seja aposta uma assinatura electrónica qualificada certificada por uma entidade certificadora credenciada, o documento electrónico com o conteúdo referido no número anterior tem a força probatória de documento particular assinado, nos termos do artigo 376º do Código Civil.

3 – Quando lhe seja aposta uma assinatura electrónica qualificada certificada por uma entidade certificadora credenciada, o documento electrónico cujo conteúdo não seja susceptível de representação como declaração escrita tem a força probatória prevista no artigo 368º do Código Civil e no artigo 167º do Código de Processo Penal.

4 – O disposto nos números anteriores não obsta à utilização de outro meio de comprovação da autoria e integridade de documentos electrónicos, incluindo outras modalidades de assinatura electrónica, desde que tal meio seja adoptado pelas partes ao abrigo de válida convenção sobre prova ou seja aceite pela pessoa a quem for oposto o documento.

5 – Sem prejuízo do disposto no número anterior, o valor probatório dos documentos electrónicos aos quais não seja aposta uma assinatura electrónica qualificada certificada por entidade certificadora credenciada é apreciado nos termos gerais de direito.

Artigo 5º
[…]

1 – Os organismos públicos podem emitir documentos electrónicos com assinatura electrónica qualificada aposta em conformidade com as normas do presente diploma.

2 – …

Artigo 6º
[…]

1 – …

2 – …

3 – A comunicação do documento electrónico, ao qual seja aposta assinatura electrónica qualificada, por meio de telecomunicações que assegure a efectiva recepção equivale à remessa por via postal registada e, se a recepção for comprovada por mensagem de confirmação dirigida ao remetente pelo destinatário que revista idêntica forma, equivale à remessa por via postal registada com aviso de recepção.

4 – …

5 – …

Artigo 7º.- Assinatura electrónica qualificada

1 – A aposição de uma assinatura electrónica qualificada a um documento electrónico equivale à assinatura autógrafa dos documentos com forma escrita sobre suporte de papel e cria a presunção de que:

a) A pessoa que apôs a assinatura electrónica qualificada é o titular desta ou é representante, com poderes bastantes, da pessoa colectiva titular da assinatura electrónica qualificada;

b) A assinatura electrónica qualificada foi aposta com a intenção de assinar o documento electrónico;

c) O documento electrónico não sofreu alteração desde que lhe foi aposta a assinatura electrónica qualificada.

2 – A assinatura electrónica qualificada deve referir-se inequivocamente a uma só pessoa singular ou colectiva e ao documento ao qual é aposta.

3 – A aposição de assinatura electrónica qualificada substitui, para todos os efeitos legais, a aposição de selos, carimbos, marcas ou outros sinais identificadores do seu titular.

4 – A aposição de assinatura electrónica qualificada que conste de certificado que esteja revogado, caduco ou suspenso na data da aposição ou não respeite as condições dele constantes equivale à falta de assinatura.

Artigo 8º.- Obtenção dos dados de assinatura e certificado

Quem pretenda utilizar uma assinatura electrónica qualificada deve, nos termos do nº 1 do artigo 28º, gerar ou obter os dados de criação e verificação de assinatura, bem como obter o respectivo certificado emitido por entidade certificadora nos termos deste diploma.

Artigo 9º
[…]

1 – É livre o exercício da actividade de entidade certificadora, sendo facultativa a solicitação da credenciação regulada nos artigos 11º e seguintes.

2 – Sem prejuízo do disposto no número anterior, as entidades certificadoras que emitam certificados qualificados devem proceder ao seu registo junto da autoridade credenciadora, nos termos a fixar por portaria do Ministro da Justiça.

3 – A credenciação e o registo estão sujeitos ao pagamento de taxas em função dos custos associados às tarefas administrativas, técnicas, operacionais e de fiscalização correspondentes, nos termos a fixar por despacho conjunto dos Ministros da Justiça e das Finanças, que constituem receita da autoridade credenciadora.

Artigo 11º
[…]

A credenciação de entidades certificadoras para efeitos do presente diploma compete à autoridade credenciadora.

Artigo 12º
[…]

1 – É concedida a credenciação a entidades certificadoras de assinaturas electrónicas qualificadas, mediante pedido apresentado à autoridade credenciadora, que satisfaçam os seguintes requisitos:

a) …

b) Dêem garantias de absoluta integridade e independência no exercício da actividade de certificação de assinaturas electrónicas qualificadas;

c) Disponham de recursos técnicos e humanos que satisfaçam os padrões de segurança e de eficácia que sejam previstos na regulamentação a que se refere o artigo 39º;

d) …

2 – A credenciação é válida pelo período de três anos, podendo ser objecto de renovação por períodos de igual duração.

Artigo 13º
[…]

1 – O pedido de credenciação de entidade certificadora deve ser instruído com os seguintes documentos:

a) …

b) …

c) …

d) …

e) …

f) Demonstração dos meios técnicos e humanos exigidos nos termos do diploma regulamentar a que se refere a alínea c) do nº 1 do artigo 12º, incluindo certificados de conformidade dos produtos de assinatura electrónica emitidos por organismo reconhecido de certificação acreditado nos termos previstos no artigo 37º;

g) …

h) …

i) …

j) …

2 – …

3 – …

4 – …

5 – O pedido de renovação de credenciação deve ser instruído com os seguintes documentos:

a) Programa geral da actividade prevista para os próximos três anos;

b) Descrição geral das actividades exercidas nos últimos três anos e balanço e contas dos exercícios correspondentes;

c) Declaração em como todos os elementos referidos no nº 1 deste artigo e nos n.os 2 e 3 do artigo 32º não sofreram alteração desde a sua apresentação à autoridade credenciadora.

Artigo 14º
[…]

1 – As entidades certificadoras privadas, que sejam pessoas colectivas, devem estar dotadas de capital social no valor mínimo de (euro) 200000 ou, não sendo sociedades, do substrato patrimonial equivalente.

2 – …

3 – …

Artigo 15º
[…]

1 – …

2 – Entre outras circunstâncias atendíveis, considera-se indiciador de falta de idoneidade o facto de a pessoa ter sido:

a) …

b) …

c) Sujeita a sanções, no País ou no estrangeiro, pela prática de infracções às normas legais ou regulamentares que regem as actividades de produção, autenticação, registo e conservação de documentos, designadamente as do notariado, dos registos públicos, do funcionalismo judicial, das bibliotecas públicas e da certificação de assinaturas electrónicas qualificadas.

3 – A falta dos requisitos de idoneidade previstos no presente artigo constitui fundamento de recusa e de revogação da credenciação, nos termos da alínea c) do nº 1 do artigo 18º e da alínea f) do nº 1 do artigo 20º

Artigo 16º.- Seguro obrigatório de responsabilidade civil
(Anterior artigo 17º)
　

Artigo 17º.- Decisão

1 – (Anterior nº 1 do artigo 18º)

2 – A decisão sobre o pedido de credenciação ou sua renovação deve ser notificada aos interessados no prazo de três meses a contar da recepção do pedido ou, se for o caso, a contar da recepção das informações complementares solicitadas ou da conclusão das diligências que entenda necessárias, não podendo no entanto exceder o prazo de seis meses sobre a data da recepção daquele.

3 – (Anterior nº 3 do artigo 18º)

4 – A credenciação é inscrita no registo a que se refere o nº 2 do artigo 9º e publicada no Diário da República, 2.ª série.

5 – A decisão de credenciação é comunicada à Comissão Europeia e aos outros Estados membros da União Europeia.

Artigo 18º.- Recusa de credenciação

1 – A credenciação é recusada sempre que:

a) [Anterior alínea a) do artigo 19º]

b) [Anterior alínea b) do artigo 19º]

c) A autoridade credenciadora não considerar demonstrado algum dos requisitos enumerados nos artigos 12º e seguintes.

2 – (Anterior nº 2 do artigo 19º)

Artigo 19º.- Caducidade da credenciação

1 – A credenciação caduca nos seguintes casos:

a) Quando a actividade de certificação não seja iniciada no prazo de 12 meses após a recepção da notificação da credenciação;

b) Quando, tratando-se de pessoa colectiva, esta seja dissolvida, sem prejuízo dos actos necessários à respectiva liquidação;

c) Quando, tratando-se de pessoa singular, esta faleça ou seja declarada interdita ou inabilitada;

d) Quando, findo o prazo de validade, a credenciação não tenha sido objecto de renovação.

2 – A caducidade da credenciação é inscrita no registo a que se refere o nº 2 do artigo 9º e publicada na 2.ª série do Diário da República.

3 – A caducidade da credenciação é comunicada à Comissão Europeia e aos outros Estados membros da União Europeia.

Artigo 20º.- Revogação da credenciação

1 – A credenciação é revogada, sem prejuízo de outras sanções aplicáveis nos termos da lei, quando se verifique alguma das seguintes situações:

a) [Anterior alínea a) do nº 1 do artigo 21º]

b) [Anterior alínea b) do nº 1 do artigo 21º]

c) [Anterior alínea c) do nº 1 do artigo 21º]

d) [Anterior alínea d) do nº 1 do artigo 21º]

e) [Anterior alínea e) do nº 1 do artigo 21º]

f) [Anterior alínea f) do nº 1 do artigo 21º]

g) Se os certificados do organismo de certificação referidos na alínea f) do nº 1 do artigo 13º tiverem sido revogados.

2 – (Anterior nº 2 do artigo 21º)

3 – A decisão de revogação é inscrita no registo a que se refere o nº 2 do artigo 9º e publicada na 2.ª série do Diário da República.

4 – A decisão de revogação é comunicada à Comissão Europeia e aos outros Estados membros da União Europeia.

Artigo 21º.- Anomalias nos órgãos de administração e fiscalização
(Anterior artigo 22º)
　

Artigo 22º.- Comunicação de alterações
(Anterior artigo 23º)
　

Artigo 23º.- Registo de alterações

1 – (Anterior nº 1 do artigo 24º)

2 – (Anterior nº 2 do artigo 24º)

3 – (Anterior nº 3 do artigo 24º)

4 – O registo é recusado em caso de inidoneidade, nos termos do artigo 15º, e a recusa é comunicada aos interessados e à entidade certificadora, a qual deve tomar as medidas adequadas para que aqueles cessem imediatamente funções ou deixem de estar para com a pessoa colectiva na relação prevista no mesmo artigo, seguindo-se no aplicável o disposto no artigo 21º

5 – (Anterior nº 5 do artigo 24º)

Artigo 24º.- Deveres da entidade certificadora que emite certificados qualificados

Compete à entidade certificadora que emite certificados qualificados:

a) Estar dotada dos requisitos patrimoniais estabelecidos no artigo 14º;

b) Oferecer garantias de absoluta integridade e independência no exercício da actividade de certificação;

c) Demonstrar a fiabilidade necessária para o exercício da actividade de certificação;

d) Manter um contrato de seguro válido para a cobertura adequada da responsabilidade civil emergente da actividade de certificação, nos termos previstos no artigo 16º;

e) Dispor de recursos técnicos e humanos que satisfaçam os padrões de segurança e eficácia, nos termos do diploma regulamentar;

f) Utilizar sistemas e produtos fiáveis protegidos contra qualquer modificação e que garantam a segurança técnica dos processos para os quais estejam previstos;

g) Adoptar medidas adequadas para impedir a falsificação ou alteração dos dados constantes dos certificados e, nos casos em que a entidade certificadora gere dados de criação de assinaturas, garantir a sua confidencialidade durante o processo de criação;

h) Utilizar sistemas fiáveis de conservação dos certificados, de forma que:

i) Os certificados só possam ser consultados pelo público nos casos em que tenha sido obtido o consentimento do seu titular;　
ii) Apenas as pessoas autorizadas possam inserir dados e alterações aos certificados;　
iii) A autenticidade das informações possa ser verificada; e
iv) Quaisquer alterações de carácter técnico susceptíveis de afectar os requisitos de segurança sejam imediatamente detectáveis;

i) Verificar rigorosamente a identidade dos requerentes titulares dos certificados e, tratando-se de representantes de pessoas colectivas, os respectivos poderes de representação, bem como, quando aplicável, as qualidades específicas a que se refere a alínea i) do nº 1 do artigo 29º;

j) Conservar os elementos que comprovem a verdadeira identidade dos requerentes titulares de certificados com pseudónimo;

l) Informar os requerentes, por forma escrita, de modo completo e claro, sobre o processo de emissão de certificados qualificados e os termos e condições exactos de utilização do certificado qualificado, incluindo eventuais restrições à sua utilização;

m) [Anterior alínea e) do artigo 25º]

n) Não armazenar ou copiar dados de criação de assinaturas do titular a quem a entidade certificadora tenha oferecido serviços de gestão de chaves;

o) Assegurar o funcionamento de um serviço que:

i) Permita a consulta, de forma célere e segura, do registo informático dos certificados emitidos, revogados, suspensos ou caducados; e　
ii) Garanta, de forma imediata e segura, a revogação, suspensão ou caducidade dos certificados;

p) [Anterior alínea h) do artigo 25º]

q) [Anterior alínea j) do artigo 25º]

r) [Anterior alínea i) do artigo 25º]

Artigo 25º.- Protecção de dados

1 – As entidades certificadoras só podem coligir dados pessoais necessários ao exercício das suas actividades e obtê-los directamente das pessoas interessadas na titularidade dos dados de criação e verificação de assinatura e respectivos certificados, ou de terceiros junto dos quais aquelas pessoas autorizem a sua colecta.

2 – (Anterior nº 2 do artigo 26º)

3 – (Anterior nº 3 do artigo 26º)

4 – (Anterior nº 4 do artigo 26º)

Artigo 26º.- Responsabilidade civil

1 – A entidade certificadora é civilmente responsável pelos danos sofridos pelos titulares dos certificados e por terceiros, em consequência do incumprimento dos deveres que lhe incumbem por força do presente diploma e da sua regulamentação, excepto se provar que não actuou de forma dolosa ou negligente.

2 – (Anterior nº 2 do artigo 27º)

Artigo 27º.- Cessação da actividade

1 – No caso de pretender cessar voluntariamente a sua actividade, a entidade certificadora que emite certificados qualificados deve comunicar essa intenção à autoridade credenciadora e às pessoas a quem tenha emitido certificados que permaneçam em vigor, com a antecipação mínima de três meses, indicando também qual a entidade certificadora à qual é transmitida a sua documentação ou a revogação dos certificados no termo daquele prazo, devendo neste último caso, quando seja credenciada, colocar a sua documentação à guarda da autoridade credenciadora.

2 – A entidade certificadora que emite certificados qualificados que se encontre em risco de decretação de falência, de processo de recuperação de empresa ou de cessação da actividade por qualquer outro motivo alheio à sua vontade deve informar imediatamente a autoridade credenciadora.

3 – (Anterior nº 3 do artigo 28º)

4 – A cessação da actividade de entidade certificadora que emite certificados qualificados é inscrita no registo a que se refere o nº 2 do artigo 9º e publicada na 2.ª série do Diário da República.

5 – A cessação da actividade de entidade certificadora é comunicada à Comissão Europeia e aos outros Estados membros da União Europeia.

Artigo 28º.- Emissão dos certificados qualificados

1 – A entidade certificadora emite, a pedido de uma pessoa singular ou colectiva interessada e a favor desta, os dados de criação e de verificação de assinatura ou, se tal for solicitado, coloca à disposição os meios técnicos necessários para que esta os crie, devendo sempre verificar, por meio legalmente idóneo e seguro, a identidade e, quando existam, os poderes de representação da requerente.

2 – A entidade certificadora emite, a pedido do titular, uma ou mais vias do certificado e do certificado complementar.

3 – (Anterior nº 3 do artigo 29º)

4 – A entidade certificadora fornece aos titulares dos certificados as informações necessárias para a utilização correcta e segura das assinaturas, nomeadamente as respeitantes:

a) [Anterior alínea a) do nº 4 do artigo 29º]

b) Ao procedimento de aposição e verificação de assinatura;

c) À conveniência de os documentos aos quais foi aposta uma assinatura serem novamente assinados quando ocorrerem circunstâncias técnicas que o justifiquem.

5 – (Anterior nº 5 do artigo 29º)

Artigo 29º.- Conteúdo dos certificados qualificados

1 – O certificado qualificado deve conter, pelo menos, as seguintes informações:

a) [Anterior alínea a) do nº 1 do artigo 30º]

b) Nome e assinatura electrónica qualificada da entidade certificadora, bem como a indicação do país onde se encontra estabelecida;

c) Dados de verificação de assinatura correspondentes aos dados de criação de assinatura detidos pelo titular;

d) [Anterior alínea d) do nº 1 do artigo 30º]

e) [Anterior alínea e) do nº 1 do artigo 30º]

f) Identificadores de algoritmos utilizados na verificação de assinaturas do titular e da entidade certificadora;

g) [Anterior alínea g) do nº 1 do artigo 30º]

h) Limitações convencionais da responsabilidade da entidade certificadora, sem prejuízo do disposto no nº 2 do artigo 26º;

i) [Anterior alínea i) do nº 1 do artigo 30º]

j) Indicação de que é emitido como certificado qualificado.

2 – (Anterior nº 2 do artigo 30º)

Artigo 30º.- Suspensão e revogação dos certificados qualificados

1 – A entidade certificadora suspende o certificado:

a) A pedido do titular, devidamente identificado para o efeito;

b) Quando existam fundadas razões para crer que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas deixaram de ser conformes com a realidade ou que a confidencialidade dos dados de criação de assinatura não está assegurada.

2 – (Anterior nº 2 do artigo 31º)

3 – (Anterior corpo do nº 3 do artigo 31º)

a) A pedido do titular, devidamente identificado para o efeito;

b) Quando, após suspensão do certificado, se confirme que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas deixaram de ser conformes com a realidade ou que a confidencialidade dos dados de criação de assinatura não está assegurada;

c) [Anterior alínea c) do nº 3 do artigo 31º]

d) [Anterior alínea d) do nº 3 do artigo 31º]

e) [Anterior alínea l) do nº 3 do artigo 31º]

4 – A decisão de revogação do certificado com um dos fundamentos previstos nas alíneas b), c) e d) do nº 3 será sempre fundamentada e comunicada ao titular, bem como imediatamente inscrita.

5 – (Anterior nº 5 do artigo 31º)

6 – (Anterior nº 6 do artigo 31º)

7 – (Anterior nº 7 do artigo 31º)

8 – A partir da suspensão ou revogação de um certificado ou do termo do seu prazo de validade, é proibida a emissão de certificado referente aos mesmos dados de criação de assinatura pela mesma ou outra entidade certificadora.

Artigo 31º.- Obrigações do titular

1 – (Anterior nº 1 do artigo 32º)

2 – Em caso de dúvida quanto à perda de confidencialidade dos dados de criação de assinatura, o titular deve pedir a suspensão do certificado e, se a perda for confirmada, a sua revogação.

3 – A partir da suspensão ou revogação de um certificado ou do termo do seu prazo de validade, é proibida ao titular a utilização dos respectivos dados de criação de assinatura para gerar uma assinatura electrónica.

4 – (Anterior nº 4 do artigo 32º)

Artigo 32º.- Deveres de informação das entidades certificadoras

1 – As entidades certificadoras fornecem à autoridade credenciadora, de modo pronto e exaustivo, todas as informações que ela lhes solicite para fins de fiscalização da sua actividade e facultam-lhe para os mesmos fins a inspecção dos seus estabelecimentos e o exame local de documentos, objectos, equipamentos de hardware e software e procedimentos operacionais, no decorrer dos quais a autoridade credenciadora poderá fazer as cópias e registos que sejam necessários.

2 – As entidades certificadoras credenciadas devem comunicar sempre à autoridade credenciadora, no mais breve prazo possível, todas as alterações relevantes que sobrevenham nos requisitos e elementos referidos nos artigos 13º e 15º

3 – Até ao último dia útil de cada semestre, as entidades certificadoras credenciadas devem enviar à autoridade credenciadora uma versão actualizada das relações referidas na alínea b) do nº 1 do artigo 13º

Artigo 33º.- Auditor de segurança

1 – As entidades certificadoras que emitam certificados qualificados devem ser auditadas por um auditor de segurança que cumpra os requisitos especificados na regulamentação a que se refere o artigo 39º

2 – O auditor de segurança elabora um relatório anual de segurança que envia à autoridade credenciadora, até 31 de Março de cada ano civil.

Artigo 37º.- Organismos de certificação

A conformidade dos produtos de assinatura electrónica com os requisitos técnicos a que se refere a alínea c) do nº 1 do artigo 12º é verificada e certificada por:

a) Organismo de certificação acreditado no âmbito do Sistema Português de Qualidade;

b) Organismo de certificação acreditado no âmbito da EA (European Cooperation for Accreditation), sendo o respectivo reconhecimento comprovado pela entidade competente do Sistema Português de Qualidade para a Acreditação;

c) Organismo de certificação designado por outros Estados membros e notificado à Comissão Europeia nos termos da alínea b) do nº 1 do artigo 11º da Directiva nº 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro.

Artigo 38º.- Certificados de outros Estados

1 – As assinaturas electrónicas qualificadas certificadas por entidade certificadora credenciada em outro Estado membro da União Europeia são equiparadas às assinaturas electrónicas qualificadas certificadas por entidade certificadora credenciada nos termos deste diploma.

2 – Os certificados qualificados emitidos por entidade certificadora sujeita a sistema de fiscalização de outro Estado membro da União Europeia são equiparados aos certificados qualificados emitidos por entidade certificadora estabelecida em Portugal.

3 – Os certificados qualificados emitidos por entidades certificadoras estabelecidas em Estados terceiros são equiparados aos certificados qualificados emitidos por entidade certificadora estabelecida em Portugal, desde que se verifique alguma das seguintes circunstâncias:

a) A entidade certificadora preencha os requisitos estabelecidos pela Directiva nº 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, e tenha sido credenciada num Estado membro da União Europeia;

b) O certificado esteja garantido por uma entidade certificadora estabelecida na União Europeia que cumpra os requisitos estabelecidos na directiva referida na alínea anterior;

c) O certificado ou a entidade certificadora seja reconhecido com base num acordo internacional que vincule o Estado Português.

4 – (Anterior nº 2 do artigo 37º)

Artigo 39º.- Normas regulamentares
(Anterior artigo 38º)».

Artigo 3º.- Alteração da epígrafe do capítulo II do Decreto-Lei nº 290-D/99, de 2 de Agosto

A epígrafe do capítulo II do Decreto-Lei nº 290-D/99, de 2 de Agosto, passa a ter a seguinte redacção:

«CAPÍTULO II
Assinaturas electrónicas qualificadas»

Artigo 4º.- Norma revogatória

É revogado o artigo 39º do Decreto-Lei nº 290-D/99, de 2 de Agosto.

Artigo 5º.- Republicação

É republicado em anexo ao presente decreto-lei, dele fazendo parte integrante, o Decreto-Lei nº 290-D/99, de 2 de Agosto, com as alterações ora introduzidas.

Artigo 6º.- Entrada em vigor

O presente diploma entra em vigor no dia seguinte ao da sua publicação.

Visto e aprovado em Conselho de Ministros de 29 de Janeiro de 2003. -　José Manuel Durão Barroso　-　Maria Manuela Dias Ferreira Leite　-　António Manuel de Mendonça Martins da Cruz　-　Maria Celeste Ferreira Lopes Cardona　-　Nuno Albuquerque Morais Sarmento　-　Pedro Lynce de Faria.

Promulgado em 20 de Março de 2003.

Publique-se.

O Presidente da República,　Jorge Sampaio.

Referendado em 24 de Março de 2003.

O Primeiro-Ministro,　José Manuel Durão Barroso.

ANEXO.- Decreto-Lei nº 290-D/99, de 2 de Agosto
(regime jurídico dos documentos electrónicos e da assinatura electrónica)

CAPÍTULO I.- Documentos e actos jurídicos electrónicos

Artigo 1º.- Objecto

O presente diploma regula a validade, eficácia e valor probatório dos documentos electrónicos, a assinatura electrónica e a actividade de certificação de entidades certificadoras estabelecidas em Portugal.

Artigo 2º.- Definições

Para os fins do presente diploma, entende-se por:

a) Documento electrónico: documento elaborado mediante processamento electrónico de dados;

b) Assinatura electrónica: resultado de um processamento electrónico de dados susceptível de constituir objecto de direito individual e exclusivo e de ser utilizado para dar a conhecer a autoria de um documento electrónico;

c) Assinatura electrónica avançada: assinatura electrónica que preenche os seguintes requisitos:

i) Identifica de forma unívoca o titular como autor do documento;
ii) A sua aposição ao documento depende apenas da vontade do titular;
iii) É criada com meios que o titular pode manter sob seu controlo exclusivo;
iv) A sua conexão com o documento permite detectar toda e qualquer alteração superveniente do conteúdo deste;

d) Assinatura digital: modalidade de assinatura electrónica avançada baseada em sistema criptográfico assimétrico composto de um algoritmo ou série de algoritmos, mediante o qual é gerado um par de chaves assimétricas exclusivas e interdependentes, uma das quais privada e outra pública, e que permite ao titular usar a chave privada para declarar a autoria do documento electrónico ao qual a assinatura é aposta e concordância com o seu conteúdo e ao destinatário usar a chave pública para verificar se a assinatura foi criada mediante o uso da correspondente chave privada e se o documento electrónico foi alterado depois de aposta a assinatura;

e) Chave privada: elemento do par de chaves assimétricas destinado a ser conhecido apenas pelo seu titular, mediante o qual se apõe a assinatura digital no documento electrónico, ou se decifra um documento electrónico previamente cifrado com a correspondente chave pública;

f) Chave pública: elemento do par de chaves assimétricas destinado a ser divulgado, com o qual se verifica a assinatura digital aposta no documento electrónico pelo titular do par de chaves assimétricas, ou se cifra um documento electrónico a transmitir ao titular do mesmo par de chaves;

g) Assinatura electrónica qualificada: assinatura digital ou outra modalidade de assinatura electrónica avançada que satisfaça exigências de segurança idênticas às da assinatura digital baseadas num certificado qualificado e criadas através de um dispositivo seguro de criação de assinatura;

h) Dados de criação de assinatura: conjunto único de dados, como chaves privadas, utilizado pelo titular para a criação de uma assinatura electrónica;

i) Dispositivo de criação de assinatura: suporte lógico ou dispositivo de equipamento utilizado para possibilitar o tratamento dos dados de criação de assinatura;

j) Dispositivo seguro de criação de assinatura: dispositivo de criação de assinatura que assegure, através de meios técnicos e processuais adequados, que:

i) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura só possam ocorrer uma única vez e que a confidencialidade desses dados se encontre assegurada;　
ii) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura não possam, com um grau razoável de segurança, ser deduzidos de outros dados e que a assinatura esteja protegida contra falsificações realizadas através das tecnologias disponíveis;　
iii) Os dados necessários à criação de uma assinatura utilizados na geração de uma assinatura possam ser eficazmente protegidos pelo titular contra a utilização ilegítima por terceiros;　
iv) Os dados que careçam de assinatura não sejam modificados e possam ser apresentados ao titular antes do processo de assinatura;

l) Dados de verificação de assinatura: conjunto de dados, como chaves públicas, utilizado para verificar uma assinatura electrónica;

m) Credenciação: acto pelo qual é reconhecido a uma entidade que o solicite e que exerça a actividade de entidade certificadora o preenchimento dos requisitos definidos no presente diploma para os efeitos nele previstos;

n) Autoridade credenciadora: entidade competente para a credenciação e fiscalização das entidades certificadoras;

o) Entidade certificadora: entidade ou pessoa singular ou colectiva que cria ou fornece meios para a criação e verificação das assinaturas, emite os certificados, assegura a respectiva publicidade e presta outros serviços relativos a assinaturas electrónicas;

p) Certificado: documento electrónico que liga os dados de verificação de assinatura ao seu titular e confirma a identidade desse titular;

q) Certificado qualificado: certificado que contém os elementos referidos no artigo 29º e é emitido por entidade certificadora que reúne os requisitos definidos no artigo 24º;

r) Titular: pessoa singular ou colectiva identificada num certificado como a detentora de um dispositivo de criação de assinatura;

s) Produto de assinatura electrónica: suporte lógico, dispositivo de equipamento ou seus componentes específicos, destinados a ser utilizados na prestação de serviços de assinatura electrónica qualificada por uma entidade certificadora ou na criação e verificação de assinatura electrónica qualificada;

t) Organismo de certificação: entidade pública ou privada competente para a avaliação e certificação da conformidade dos processos, sistemas e produtos de assinatura electrónica com os requisitos a que se refere a alínea c) do nº 1 do artigo 12º;

u) Validação cronológica: declaração de entidade certificadora que atesta a data e hora da criação, expedição ou recepção de um documento electrónico;

v) Endereço electrónico: identificação de um equipamento informático adequado para receber e arquivar documentos electrónicos.

Artigo 3º.- Forma e força probatória

1 – O documento electrónico satisfaz o requisito legal de forma escrita quando o seu conteúdo seja susceptível de representação como declaração escrita.

2 – Quando lhe seja aposta uma assinatura electrónica qualificada certificada por uma entidade certificadora credenciada, o documento electrónico com o conteúdo referido no número anterior tem a força probatória de documento particular assinado, nos termos do artigo 376º do Código Civil.

3 – Quando lhe seja aposta uma assinatura electrónica qualificada certificada por uma entidade certificadora credenciada, o documento electrónico cujo conteúdo não seja susceptível de representação como declaração escrita tem a força probatória prevista no artigo 368º do Código Civil e no artigo 167º do Código de Processo Penal.

4 – O disposto nos números anteriores não obsta à utilização de outro meio de comprovação da autoria e integridade de documentos electrónicos, incluindo outras modalidades de assinatura electrónica, desde que tal meio seja adoptado pelas partes ao abrigo de válida convenção sobre prova ou seja aceite pela pessoa a quem for oposto o documento.

5 – Sem prejuízo do disposto no número anterior, o valor probatório dos documentos electrónicos aos quais não seja aposta uma assinatura electrónica qualificada certificada por entidade certificadora credenciada é apreciado nos termos gerais de direito.

Artigo 4º.- Cópias de documentos

As cópias de documentos electrónicos, sobre idêntico ou diferente tipo de suporte, são válidas e eficazes nos termos gerais de direito e têm a força probatória atribuída às cópias fotográficas pelo nº 2 do artigo 387º do Código Civil e pelo artigo 168º do Código de Processo Penal, se forem observados os requisitos aí previstos.

Artigo 5º.- Documentos electrónicos dos organismos públicos

1 – Os organismos públicos podem emitir documentos electrónicos com assinatura electrónica qualificada aposta em conformidade com as normas do presente diploma.

2 – Nas operações relativas à criação, emissão, arquivo, reprodução, cópia e transmissão de documentos electrónicos que formalizem actos administrativos através de sistemas informáticos, incluindo a sua transmissão por meios de telecomunicações, os dados relativos ao organismo interessado e à pessoa que tenha praticado cada acto administrativo devem ser indicados de forma a torná-los facilmente identificáveis e a comprovar a função ou cargo desempenhado pela pessoa signatária de cada documento.

Artigo 6º.- Comunicação de documentos electrónicos

1 – O documento electrónico comunicado por um meio de telecomunicações considera-se enviado e recebido pelo destinatário se for transmitido para o endereço electrónico definido por acordo das partes e neste for recebido.

2 – São oponíveis entre as partes e a terceiros a data e a hora da criação, da expedição ou da recepção de um documento electrónico que contenha uma validação cronológica emitida por uma entidade certificadora.

3 – A comunicação do documento electrónico, ao qual seja aposta assinatura electrónica qualificada, por meio de telecomunicações que assegure a efectiva recepção equivale à remessa por via postal registada e, se a recepção for comprovada por mensagem de confirmação dirigida ao remetente pelo destinatário que revista idêntica forma, equivale à remessa por via postal registada com aviso de recepção.

4 – Os dados e documentos comunicados por meio de telecomunicações consideram-se em poder do remetente até à recepção pelo destinatário.

5 – Os operadores que assegurem a comunicação de documentos electrónicos por meio de telecomunicações não podem tomar conhecimento do seu conteúdo, nem duplicá-los por qualquer meio ou ceder a terceiros qualquer informação, ainda que resumida ou por extracto, sobre a existência ou sobre o conteúdo desses documentos, salvo quando se trate de informação que, pela sua natureza ou por indicação expressa do seu remetente, se destine a ser tornada pública.

CAPÍTULO II.- Assinaturas electrónicas qualificadas

Artigo 7º.- Assinatura electrónica qualificada

1 – A aposição de uma assinatura electrónica qualificada a um documento electrónico equivale à assinatura autógrafa dos documentos com forma escrita sobre suporte de papel e cria a presunção de que:

a) A pessoa que apôs a assinatura electrónica qualificada é o titular desta ou é representante, com poderes bastantes, da pessoa colectiva titular da assinatura electrónica qualificada;

b) A assinatura electrónica qualificada foi aposta com a intenção de assinar o documento electrónico;

c) O documento electrónico não sofreu alteração desde que lhe foi aposta a assinatura electrónica qualificada.

2 – A assinatura electrónica qualificada deve referir-se inequivocamente a uma só pessoa singular ou colectiva e ao documento ao qual é aposta.

3 – A aposição de assinatura electrónica qualificada substitui, para todos os efeitos legais, a aposição de selos, carimbos, marcas ou outros sinais identificadores do seu titular.

4 – A aposição de assinatura electrónica qualificada que conste de certificado que esteja revogado, caduco ou suspenso na data da aposição ou não respeite as condições dele constantes equivale à falta de assinatura.

Artigo 8º.- Obtenção dos dados de assinatura e certificado

Quem pretenda utilizar uma assinatura electrónica qualificada deve, nos termos do nº 1 do artigo 28º, gerar ou obter os dados de criação e verificação de assinatura, bem como obter o respectivo certificado emitido por entidade certificadora nos termos deste diploma.

CAPÍTULO III.- Certificação

SECÇÃO I.- Acesso à actividade de certificação　

Artigo 9º.- Livre acesso à actividade de certificação

1 – É livre o exercício da actividade de entidade certificadora, sendo facultativa a solicitação da credenciação regulada nos artigos 11º e seguintes.

2 – Sem prejuízo do disposto no número anterior, as entidades certificadoras que emitam certificados qualificados devem proceder ao seu registo junto da autoridade credenciadora, nos termos a fixar por portaria do Ministro da Justiça.

3 – A credenciação e o registo estão sujeitos ao pagamento de taxas em função dos custos associados às tarefas administrativas, técnicas, operacionais e de fiscalização correspondentes, nos termos a fixar por despacho conjunto dos Ministros da Justiça e das Finanças, que constituem receita da autoridade credenciadora.

Artigo 10º.- Livre escolha da entidade certificadora

1 – É livre a escolha da entidade certificadora.

2 – A escolha de entidade determinada não pode constituir condição de oferta ou de celebração de qualquer negócio jurídico.

Artigo 11º.- Entidade competente para a credenciação

A credenciação de entidades certificadoras para efeitos do presente diploma compete à autoridade credenciadora.

Artigo 12º.- Credenciação da entidade certificadora

1 – É concedida a credenciação a entidades certificadoras de assinaturas electrónicas qualificadas, mediante pedido apresentado à autoridade credenciadora, que satisfaçam os seguintes requisitos:

a) Estejam dotadas de capital e meios financeiros adequados;

b) Dêem garantias de absoluta integridade e independência no exercício da actividade de certificação e assinaturas electrónicas qualificadas;

c) Disponham de recursos técnicos e humanos que satisfaçam os padrões de segurança e de eficácia que sejam previstos na regulamentação a que se refere o artigo 39º;

d) Mantenham contrato de seguro válido para cobertura adequada da responsabilidade civil emergente da actividade de certificação.

2 – A credenciação é válida pelo período de três anos, podendo ser objecto de renovação por períodos de igual duração.

Artigo 13º.- Pedido de credenciação

1 – O pedido de credenciação de entidade certificadora deve ser instruído com os seguintes documentos:

a) Estatutos da pessoa colectiva e, tratando-se de sociedade, contrato de sociedade ou, tratando-se de pessoa singular, a respectiva identificação e domicílio;

b) Tratando-se de sociedade, relação de todos os sócios, com especificação das respectivas participações, bem como dos membros dos órgãos de administração e de fiscalização, e, tratando-se de sociedade anónima, relação de todos os accionistas com participações significativas, directas ou indirectas;

c) Declarações subscritas por todas as pessoas singulares e colectivas referidas no nº 1 do artigo 15º de que não se encontram em nenhuma das situações indiciadoras de inidoneidade referidas no respectivo nº 2;

d) Prova do substrato patrimonial e dos meios financeiros disponíveis, e designadamente, tratando-se de sociedade, da realização integral do capital social;

e) Descrição da organização interna e plano de segurança;

f) Demonstração dos meios técnicos e humanos exigidos nos termos do diploma regulamentar a que se refere a alínea c) do nº 1 do artigo 12º, incluindo certificados de conformidade dos produtos de assinatura electrónica emitidos por organismo reconhecido de certificação acreditado nos termos previstos no artigo 37º;

g) Designação do auditor de segurança;

h) Programa geral da actividade prevista para os primeiros três anos;

i) Descrição geral das actividades exercidas nos últimos três anos ou no tempo decorrido desde a constituição, se for inferior, e balanço e contas dos exercícios correspondentes;

j) Comprovação de contrato de seguro válido para cobertura adequada da responsabilidade civil emergente da actividade de certificação.

2 – Se à data do pedido a pessoa colectiva não estiver constituída, o pedido será instruído, em substituição do previsto na alínea a) do número anterior, com os seguintes documentos:

a) Acta da reunião em que foi deliberada a constituição;

b) Projecto de estatutos ou contrato de sociedade;

c) Declaração de compromisso, subscrita por todos os fundadores, de que no acto de constituição, e como condição dela, estará integralmente realizado o substrato patrimonial exigido por lei.

3 – As declarações previstas na alínea c) do nº 1, poderão ser entregues em momento posterior ao pedido, nos termos e prazo que a autoridade credenciadora fixar.

4 – Consideram-se como participações significativas, para os efeitos do presente diploma, as que igualem ou excedam 10% do capital da sociedade anónima.

5 – O pedido de renovação de credenciação deve ser instruído com os seguintes documentos:

a) Programa geral da actividade prevista para os próximos três anos;

b) Descrição geral das actividades exercidas nos últimos três anos, e balanço e contas dos exercícios correspondentes;

c) Declaração que todos os elementos referidos no nº 1 deste artigo e nos n.os 2 e 3 do artigo 32º não sofreram alteração desde a sua apresentação à autoridade credenciadora.

Artigo 14º.- Requisitos patrimoniais

1 – As entidades certificadoras privadas, que sejam pessoas colectivas, devem estar dotadas de capital social no valor mínimo de (euro) 200000 ou, não sendo sociedades, do substrato patrimonial equivalente.

2 – O substrato patrimonial, e designadamente o capital social mínimo de sociedade, encontrar-se-á sempre integralmente realizado à data da credenciação, se a pessoa colectiva estiver já constituída, ou será sempre integralmente realizado com a constituição da pessoa colectiva, se esta ocorrer posteriormente.

3 – As entidades certificadoras que sejam pessoas singulares devem ter e manter durante toda a sua actividade um património, livre de quaisquer ónus, de valor equivalente ao previsto no nº 1.

Artigo 15º.- Requisitos de idoneidade

1 – A pessoa singular e, no caso de pessoa colectiva, os membros dos órgãos de administração e fiscalização, os empregados, comitidos e representantes das entidades certificadoras com acesso aos actos e instrumentos de certificação, os sócios da sociedade e, tratando-se de sociedade anónima, os accionistas com participações significativas serão sempre pessoas de reconhecida idoneidade.

2 – Entre outras circunstâncias atendíveis, considera-se indiciador de falta de idoneidade o facto de a pessoa ter sido:

a) Condenada, no País ou no estrangeiro, por crime de furto, roubo, burla, burla informática e nas comunicações, extorsão, abuso de confiança, infidelidade, falsificação, falsas declarações, insolvência dolosa, insolvência negligente, favorecimento de credores, emissão de cheques sem provisão, abuso de cartão de garantia ou de crédito, apropriação ilegítima de bens do sector público ou cooperativo, administração danosa em unidade económica do sector público ou cooperativo, usura, suborno, corrupção, recepção não autorizada de depósitos ou outros fundos reembolsáveis, prática ilícita de actos ou operações inerentes à actividade seguradora ou dos fundos de pensões, branqueamento de capitais, abuso de informação, manipulação do mercado de valores mobiliários ou crime previsto no Código das Sociedades Comerciais;

b) Declarada, por sentença nacional ou estrangeira, falida ou insolvente ou julgada responsável por falência ou insolvência de empresa por ela dominada ou de cujos órgãos de administração ou fiscalização tenha sido membro;

c) Sujeita a sanções, no País ou no estrangeiro, pela prática de infracções às normas legais ou regulamentares que regem as actividades de produção, autenticação, registo e conservação de documentos, e designadamente as do notariado, dos registos públicos, do funcionalismo judicial, das bibliotecas públicas, e da certificação de assinaturas electrónicas qualificadas.

3 – A falta dos requisitos de idoneidade previstos no presente artigo constitui fundamento de recusa e de revogação da credenciação, nos termos da alínea c) do nº 1 do artigo 18º e da alínea f) do nº 1 do artigo 20º

Artigo 16º.- Seguro obrigatório de responsabilidade civil

O Ministro das Finanças definirá, por portaria, as características do contrato de seguro de responsabilidade civil a que se refere a alínea d) do artigo 12º

Artigo 17º.- Decisão

1 – A autoridade credenciadora poderá solicitar dos requerentes informações complementares e proceder, por si ou por quem para o efeito designar, às averiguações, inquirições e inspecções que entenda necessárias para a apreciação do pedido.

2 – A decisão sobre o pedido de credenciação ou sua renovação deve ser notificada aos interessados no prazo de três meses a contar da recepção do pedido ou, se for o caso, a contar da recepção das informações complementares solicitadas ou da conclusão das diligências que entenda necessárias, não podendo no entanto exceder o prazo de seis meses sobre a data da recepção daquele.

3 – A autoridade credenciadora poderá incluir na credenciação condições adicionais desde que necessárias para assegurar o cumprimento das disposições legais e regulamentares aplicáveis ao exercício da actividade pela entidade certificadora.

4 – A credenciação é inscrita no registo a que se refere o nº 2 do artigo 9º e publicada na 2.ª série do Diário da República.

5 – A decisão de credenciação é comunicada à Comissão Europeia e aos outros Estados membros da União Europeia.

Artigo 18º.- Recusa de credenciação

1 – A credenciação é recusada sempre que:

a) O pedido não estiver instruído com todas as informações e documentos necessários;

b) A instrução do pedido enfermar de inexactidões ou falsidades;

c) A autoridade credenciadora não considerar demonstrado algum dos requisitos enumerados nos artigos 12º e seguintes.

2 – Se o pedido estiver deficientemente instruído, a autoridade credenciadora, antes de recusar a credenciação, notificará o requerente, dando-lhe prazo razoável para suprir a deficiência.

Artigo 19º.- Caducidade da credenciação

1 – A credenciação caduca nos seguintes casos:

a) Quando a actividade de certificação não seja iniciada no prazo de 12 meses após a recepção da notificação da credenciação;

b) Quando, tratando-se de pessoa colectiva, esta seja dissolvida, sem prejuízo dos actos necessários à respectiva liquidação;

c) Quando, tratando-se de pessoa singular, esta faleça ou seja declarada interdita ou inabilitada;

d) Quando, findo o prazo de validade, a credenciação não tenha sido objecto de renovação.

2 – A caducidade da credenciação é inscrita no registo a que se refere o nº 2 do artigo 9º e publicada na 2.ª série do Diário da República.

3 – A caducidade da credenciação é comunicada à Comissão Europeia e aos outros Estados membros da União Europeia.

Artigo 20º.- Revogação da credenciação

1 – A credenciação é revogada, sem prejuízo de outras sanções aplicáveis nos termos da lei, quando se verifique alguma das seguintes situações:

a) Se tiver sido obtida por meio de falsas declarações ou outros expedientes ilícitos;

b) Se deixar de se verificar algum dos requisitos enumerados no artigo 12º;

c) Se a entidade cessar a actividade de certificação ou a reduzir para nível insignificante por período superior a 12 meses;

d) Se ocorrerem irregularidades graves na administração, organização ou fiscalização interna da entidade;

e) Se no exercício da actividade de certificação ou de outra actividade social forem praticados actos ilícitos que lesem ou ponham em perigo a confiança do público na certificação;

f) Se supervenientemente se verificar alguma das circunstâncias de inidoneidade referidas no artigo 15º em relação a qualquer das pessoas a que alude o seu nº 1;

g) Se os certificados do organismo de certificação referidos na alínea f) do nº 1 do artigo 13º tiverem sido revogados.

2 – A revogação da credenciação compete à autoridade credenciadora, em decisão fundamentada que será notificada à entidade no prazo de oito dias úteis.

3 – A decisão de revogação é inscrita no registo a que se refere o nº 2 do artigo 9º e publicada na 2.ª série do Diário da República.

4 – A decisão de revogação é comunicada à Comissão Europeia e aos outros Estados membros da União Europeia.

Artigo 21º.- Anomalias nos órgãos de administração e fiscalização

1 – Se por qualquer motivo deixarem de estar preenchidos os requisitos legais e estatutários do normal funcionamento dos órgãos de administração ou fiscalização, a autoridade credenciadora fixará prazo para ser regularizada a situação.

2 – Não sendo regularizada a situação no prazo fixado, será revogada a credenciação nos termos do artigo anterior.

Artigo 22º.- Comunicação de alterações

Devem ser comunicadas à autoridade credenciadora, no prazo de 30 dias, as alterações das entidades certificadoras que emitem certificados qualificados relativas a:

a) Firma ou denominação;

b) Objecto;

c) Local da sede, salvo se a mudança ocorrer dentro do mesmo concelho ou para concelho limítrofe;

d) Substrato patrimonial ou património, desde que se trate de uma alteração significativa;

e) Estrutura de administração e de fiscalização;

f) Limitação dos poderes dos órgãos de administração e fiscalização;

g) Cisão, fusão e dissolução.

Artigo 23º.- Registo de alterações

1 – O registo das pessoas referidas no nº 1 do artigo 15º deve ser solicitado à autoridade credenciadora no prazo de 15 dias após assumirem qualquer das qualidades nele referidas, mediante pedido da entidade certificadora ou dos interessados, juntamente com as provas de que se encontram preenchidos os requisitos definidos no mesmo artigo, e sob pena da credenciação ser revogada.

2 – Poderão a entidade certificadora ou os interessados solicitar o registo provisório, antes da assunção por estes de qualquer das qualidades referidas no nº 1 do artigo 15º, devendo a conversão em definitivo ser requerida no prazo de 30 dias a contar da designação, sob pena de caducidade.

3 – Em caso de recondução, será esta averbada no registo, a pedido da entidade certificadora ou dos interessados.

4 – O registo é recusado em caso de inidoneidade, nos termos do artigo 15º, e a recusa é comunicada aos interessados e à entidade certificadora, a qual deve tomar as medidas adequadas para que aqueles cessem imediatamente funções ou deixem de estar para com a pessoa colectiva na relação prevista no mesmo artigo, seguindo-se no aplicável o disposto no artigo 21º

5 – Sem prejuízo do que resulte de outras disposições legais aplicáveis, a falta de registo não determina por si só invalidade dos actos jurídicos praticados pela pessoa em causa no exercício das suas funções.

SECÇÃO II.- Exercício da actividade

Artigo 24º.- Deveres da entidade certificadora que emite certificados qualificados

Compete à entidade certificadora que emite certificados qualificados:

a) Estar dotada dos requisitos patrimoniais estabelecidos no artigo 14º;

b) Oferecer garantias de absoluta integridade e independência no exercício da actividade de certificação;

c) Demonstrar a fiabilidade necessária para o exercício da actividade de certificação;

d) Manter um contrato de seguro válido para a cobertura adequada da responsabilidade civil emergente da actividade de certificação, nos termos previstos no artigo 16º;

e) Dispor de recursos técnicos e humanos que satisfaçam os padrões de segurança e eficácia, nos termos do diploma regulamentar;

f) Utilizar sistemas e produtos fiáveis protegidos contra qualquer modificação e que garantam a segurança técnica dos processos para os quais estejam previstos;

g) Adoptar medidas adequadas para impedir a falsificação ou alteração dos dados constantes dos certificados e, nos casos em que a entidade certificadora gere dados de criação de assinaturas, garantir a sua confidencialidade durante o processo de criação;

h) Utilizar sistemas fiáveis de conservação dos certificados, de forma que:

i) Os certificados só possam ser consultados pelo público nos casos em que tenha sido obtido o consentimento do seu titular;　
ii) Apenas as pessoas autorizadas possam inserir dados e alterações aos certificados;　
iii) A autenticidade das informações possa ser verificada; e
iv) Quaisquer alterações de carácter técnico susceptíveis de afectar os requisitos de segurança sejam imediatamente detectáveis;

i) Verificar rigorosamente a identidade dos requerentes titulares dos certificados e, tratando-se de representantes de pessoas colectivas, os respectivos poderes de representação, bem como, quando aplicável, as qualidades específicas a que se refere a alínea i) do nº 1 do artigo 29º;

j) Conservar os elementos que comprovem a verdadeira identidade dos requerentes titulares de certificados com pseudónimo;

l) Informar os requerentes, por forma escrita, de modo completo e claro, sobre o processo de emissão de certificados qualificados e os termos e condições exactos de utilização do certificado qualificado, incluindo eventuais restrições à sua utilização;

m) Cumprir as regras de segurança para tratamento de dados pessoais estabelecidas na legislação respectiva;

n) Não armazenar ou copiar dados de criação de assinaturas do titular a quem a entidade certificadora tenha oferecido serviços de gestão de chaves;

o) Assegurar o funcionamento de um serviço que:

i) Permita a consulta, de forma célere e segura, do registo informático dos certificados emitidos, revogados, suspensos ou caducados; e　
ii) Garanta, de forma imediata e segura, a revogação, suspensão ou caducidade dos certificados;

p) Proceder à publicação imediata da revogação ou suspensão dos certificados, nos casos previstos no presente diploma;

q) Assegurar que a data e hora da emissão, suspensão e revogação dos certificados possam ser determinadas através de validação cronológica;

r) Conservar os certificados que emitir, por um período não inferior a 20 anos.

Artigo 25º.- Protecção de dados

1 – As entidades certificadoras só podem coligir dados pessoais necessários ao exercício das suas actividades e obtê-los directamente das pessoas interessadas na titularidade dos dados de criação e verificação de assinatura e respectivos certificados, ou de terceiros junto dos quais aquelas pessoas autorizem a sua colecta.

2 – Os dados pessoais coligidos pela entidade certificadora não poderão ser utilizados para outra finalidade que não seja a de certificação, salvo se outro uso for consentido expressamente por lei ou pela pessoa interessada.

3 – As entidades certificadoras e a autoridade credenciadora respeitarão as normas legais vigentes sobre a protecção, tratamento e circulação dos dados pessoais e sobre a protecção da privacidade no sector das telecomunicações.

4 – As entidades certificadoras comunicarão à autoridade judiciária, sempre que esta o ordenar nos termos legalmente previstos, os dados relativos à identidade dos titulares de certificados que sejam emitidos com pseudónimo seguindo-se, no aplicável, o regime do artigo 182º do Código de Processo Penal.

Artigo 26º.- Responsabilidade civil

1 – A entidade certificadora é civilmente responsável pelos danos sofridos pelos titulares dos certificados e por terceiros, em consequência do incumprimento dos deveres que lhe incumbem por força do presente diploma e da sua regulamentação, excepto se provar que não actuou de forma dolosa ou negligente.

2 – São nulas as convenções de exoneração e limitação da responsabilidade prevista no nº 1.

Artigo 27º.- Cessação da actividade

1 – No caso de pretender cessar voluntariamente a sua actividade, a entidade certificadora que emite certificados qualificados deve comunicar essa intenção à autoridade credenciadora e às pessoas a quem tenha emitido certificados que permaneçam em vigor, com a antecipação mínima de três meses, indicando também qual a entidade certificadora à qual é transmitida a sua documentação ou a revogação dos certificados no termo daquele prazo, devendo neste último caso, quando seja credenciada, colocar a sua documentação à guarda da autoridade credenciadora.

2 – A entidade certificadora que emite certificados qualificados que se encontre em risco de decretação de falência, de processo de recuperação de empresa ou de cessação da actividade por qualquer outro motivo alheio à sua vontade deve informar imediatamente a autoridade credenciadora.

3 – No caso previsto no número anterior, se a entidade certificadora vier a cessar a sua actividade, a autoridade credenciadora promoverá a transmissão da documentação daquela para outra entidade certificadora ou, se tal transmissão for impossível, a revogação dos certificados emitidos e a conservação dos elementos de tais certificados pelo prazo em que deveria fazê-lo a entidade certificadora.

4 – A cessação da actividade de entidade certificadora que emite certificados qualificados é inscrita no registo a que se refere o nº 2 do artigo 9º e publicada na 2.ª série do Diário da República.

5 – A cessação da actividade de entidade certificadora é comunicada à Comissão Europeia e aos outros Estados membros da União Europeia.

SECÇÃO III.- Certificados　

Artigo 28º.- Emissão dos certificados qualificados

1 – A entidade certificadora emite, a pedido de uma pessoa singular ou colectiva interessada e a favor desta, os dados de criação e de verificação de assinatura ou, se tal for solicitado, coloca à disposição os meios técnicos necessários para que esta os crie, devendo sempre verificar, por meio legalmente idóneo e seguro, a identidade e, quando existam, os poderes de representação da requerente.

2 – A entidade certificadora emite, a pedido do titular, uma ou mais vias do certificado e do certificado complementar.

3 – A entidade certificadora deve tomar medidas adequadas para impedir a falsificação ou alteração dos dados constantes dos certificados e assegurar o cumprimento das normas legais e regulamentares aplicáveis recorrendo a pessoal devidamente habilitado.

4 – A entidade certificadora fornece aos titulares dos certificados as informações necessárias para a utilização correcta e segura das assinaturas, nomeadamente as respeitantes:

a) Às obrigações do titular do certificado e da entidade certificadora;

b) Ao procedimento de aposição e verificação de assinatura;

c) À conveniência de os documentos aos quais foi aposta uma assinatura serem novamente assinados quando ocorrerem circunstâncias técnicas que o justifiquem.

5 – A entidade certificadora organizará e manterá permanentemente actualizado um registo informático dos certificados emitidos, suspensos ou revogados, o qual estará acessível a qualquer pessoa para consulta, inclusivamente por meio de telecomunicações, e será protegido contra alterações não autorizadas.

Artigo 29º.- Conteúdo dos certificados qualificados

1 – O certificado qualificado deve conter, pelo menos, as seguintes informações:

a) Nome ou denominação do titular da assinatura e outros elementos necessários para uma identificação inequívoca e, quando existam poderes de representação, o nome do seu representante ou representantes habilitados, ou um pseudónimo do titular, claramente identificado como tal;

b) Nome e assinatura electrónica qualificada da entidade certificadora, bem como a indicação do país onde se encontra estabelecida;

c) Dados de verificação de assinatura correspondentes aos dados de criação de assinatura detidos pelo titular;

d) Número de série do certificado;

e) Início e termo de validade do certificado;

f) Identificadores de algoritmos utilizados na verificação de assinaturas do titular e da entidade certificadora;

g) Indicação de o uso do certificado ser ou não restrito a determinados tipos de utilização, bem como eventuais limites do valor das transacções para as quais o certificado é válido;

h) Limitações convencionais da responsabilidade da entidade certificadora, sem prejuízo do disposto no nº 2 do artigo 26º;

i) Eventual referência a uma qualidade específica do titular da assinatura, em função da utilização a que o certificado estiver destinado;

j) Indicação de que é emitido como certificado qualificado.

2 – A pedido do titular podem ser incluídas no certificado ou em certificado complementar informações relativas a poderes de representação conferidos ao titular por terceiro, à sua qualificação profissional ou a outros atributos, mediante fornecimento da respectiva prova, ou com a menção de se tratar de informações não confirmadas.

Artigo 30º.- Suspensão e revogação dos certificados qualificados

1 – A entidade certificadora suspende o certificado:

a) A pedido do titular, devidamente identificado para o efeito;

b) Quando existam fundadas razões para crer que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas deixaram de ser conformes com a realidade ou que a confidencialidade dos dados de criação de assinatura não está assegurada.

2 – A suspensão com um dos fundamentos previstos na alínea b) do número anterior será sempre motivada e comunicada prontamente ao titular, bem como imediatamente inscrita no registo do certificado, podendo ser levantada quando se verifique que tal fundamento não corresponde à realidade.

3 – A entidade certificadora revogará o certificado:

a) A pedido do titular, devidamente identificado para o efeito;

b) Quando, após suspensão do certificado, se confirme que o certificado foi emitido com base em informações erróneas ou falsas, que as informações nele contidas deixaram de ser conformes com a realidade, ou que a confidencialidade dos dados de criação de assinatura não está assegurada;

c) Quando a entidade certificadora cesse as suas actividades sem ter transmitido a sua documentação a outra entidade certificadora;

d) Quando a autoridade credenciadora ordene a revogação do certificado por motivo legalmente fundado;

e) Quando tomar conhecimento do falecimento, interdição ou inabilitação da pessoa singular ou da extinção da pessoa colectiva.

4 – A decisão de revogação do certificado com um dos fundamentos previstos nas alíneas b), c) e d) do nº 3 será sempre fundamentada e comunicada ao titular, bem como imediatamente inscrita.

5 – A suspensão e a revogação do certificado são oponíveis a terceiros a partir da inscrição no registo respectivo, salvo se for provado que o seu motivo já era do conhecimento do terceiro.

6 – A entidade certificadora conservará as informações referentes aos certificados durante um prazo não inferior a 20 anos a contar da suspensão ou revogação de cada certificado e facultá-las-á a qualquer interessado.

7 – A revogação ou suspensão do certificado indicará a data e hora a partir das quais produzem efeitos, não podendo essa data e hora ser anterior àquela em que essa informação for divulgada publicamente.

8 – A partir da suspensão ou revogação de um certificado ou do termo do seu prazo de validade é proibida a emissão de certificado referente aos mesmos dados de criação de assinatura pela mesma ou outra entidade certificadora.

Artigo 31º.- Obrigações do titular

1 – O titular do certificado deve tomar todas as medidas de organização e técnica que sejam necessárias para evitar danos a terceiros e preservar a confidencialidade da informação transmitida.

2 – Em caso de dúvida quanto à perda de confidencialidade dos dados de criação de assinatura, o titular deve pedir a suspensão do certificado e, se a perda for confirmada, a sua revogação.

3 – A partir da suspensão ou revogação de um certificado ou do termo do seu prazo de validade é proibida ao titular a utilização dos respectivos dados de criação de assinatura para gerar uma assinatura electrónica.

4 – Sempre que se verifiquem motivos que justifiquem a revogação ou suspensão do certificado, deve o respectivo titular efectuar, com a necessária celeridade e diligência, o correspondente pedido de suspensão ou revogação à entidade certificadora.

CAPÍTULO IV.- Fiscalização

Artigo 32º.- Deveres de informação das entidades certificadoras

1 – As entidades certificadoras fornecem à autoridade credenciadora, de modo pronto e exaustivo, todas as informações que ela lhes solicite para fins de fiscalização da sua actividade e facultam-lhe para os mesmos fins a inspecção dos seus estabelecimentos e o exame local de documentos, objectos, equipamentos de hardware e software e procedimentos operacionais, no decorrer dos quais a autoridade credenciadora poderá fazer as cópias e registos que sejam necessários.

2 – As entidades certificadoras credenciadas devem comunicar sempre à autoridade credenciadora, no mais breve prazo possível, todas as alterações relevantes que sobrevenham nos requisitos e elementos referidos nos artigos 13º e 15º

3 – Até ao último dia útil de cada semestre, as entidades certificadoras credenciadas devem enviar à autoridade credenciadora uma versão actualizada das relações referidas na alínea b) do nº 1 do artigo 13º

Artigo 33º.- Auditor de segurança

1 – As entidades certificadoras que emitam certificados qualificados devem ser auditadas por um auditor de segurança que cumpra os requisitos especificados na regulamentação a que se refere o artigo 39º

2 – O auditor de segurança elabora um relatório anual de segurança que envia à autoridade credenciadora, até 31 de Março de cada ano civil.

Artigo 34º.- Revisores oficiais de contas e auditores externos

Os revisores oficiais de contas ao serviço das entidades certificadoras e os auditores externos que, por imposição legal, prestem às mesmas entidades serviços de auditoria devem comunicar à autoridade credenciadora as infracções graves às normas legais ou regulamentares relevantes para a fiscalização e que detectem no exercício das suas funções.

Artigo 35º.- Recursos

Nos recursos interpostos das decisões tomadas pela autoridade credenciadora no exercício dos seus poderes de credenciação e fiscalização, presume-se, até prova em contrário, que a suspensão da eficácia determina grave lesão do interesse público.

Artigo 36º.- Colaboração das autoridades

A autoridade credenciadora poderá solicitar às autoridades policiais e judiciárias e a quaisquer outras autoridades e serviços públicos toda a colaboração ou auxílio que julgue necessários para a credenciação e fiscalização da actividade de certificação.

CAPÍTULO V.- Disposições finais

Artigo 37º.- Organismos de certificação

A conformidade dos produtos de assinatura electrónica com os requisitos técnicos a que se refere a alínea c) do nº 1 do artigo 12º, é verificada e certificada por:

a) Organismo de certificação acreditado no âmbito do Sistema Português de Qualidade;

b) Organismo de certificação acreditado no âmbito da EA (European co-operation for Accreditation), sendo o respectivo reconhecimento comprovado pela entidade competente do Sistema Português de Qualidade para a acreditação;

c) Organismo de certificação designado por outros Estados membros e notificado à Comissão Europeia nos termos da alínea b) do nº 1 do artigo 11º da Directiva nº 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro.

Artigo 38º.- Certificados de outros Estados

1 – As assinaturas electrónicas qualificadas certificadas por entidade certificadora credenciada em outro Estado membro da União Europeia são equiparadas às assinaturas electrónicas qualificadas certificadas por entidade certificadora credenciada nos termos deste diploma.

2 – Os certificados qualificados emitidos por entidade certificadora sujeita a sistema de fiscalização de outro Estado membro da União Europeia são equiparados aos certificados qualificados emitidos por entidade certificadora estabelecida em Portugal.

3 – Os certificados qualificados emitidos por entidades certificadoras estabelecidas em Estados terceiros são equiparados aos certificados qualificados emitidos por entidade certificadora estabelecida em Portugal, desde que se verifique alguma das seguintes circunstâncias:

a) A entidade certificadora preencha os requisitos estabelecidos pela Directiva nº 1999/93/CE, do Parlamento Europeu e do Conselho, de 13 de Dezembro, e tenha sido credenciada num Estado membro da União Europeia;

b) O certificado esteja garantido por uma entidade certificadora estabelecida na União Europeia que cumpra os requisitos estabelecidos na directiva referida na alínea anterior;

c) O certificado ou a entidade certificadora seja reconhecida com base num acordo internacional que vincule o Estado Português.

4 – A autoridade credenciadora divulgará, sempre que possível e pelos meios de publicidade que considerar adequados, e facultará aos interessados, a pedido, as informações de que dispuser acerca das entidades certificadoras credenciadas em Estados estrangeiros.

Artigo 39º.- Normas regulamentares

1 – A regulamentação do presente diploma, nomeadamente no que se refere às normas de carácter técnico e de segurança, constará de decreto regulamentar, a adoptar no prazo de 150 dias.

2 – Os serviços e organismos da Administração Pública poderão emitir normas regulamentares relativas aos requisitos a que devem obedecer os documentos que recebam por via electrónica.

Artigo 40º.- Designação da autoridade credenciadora

A entidade referida no artigo 11º será designada em diploma próprio, no prazo de 150 dias.

Artigo 41º.- Entrada em vigor

O presente diploma entra em vigor no dia imediato ao da sua publicação. 

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, mediante Decreto Supremo nº 020-98-MTC se aprobaron los Lineamientos de Política de Apertura del Mercado de Telecomunicaciones del Perú;

Que, a fin de promover (i) el acceso de los agentes a aquellos lugares donde se necesite desarrollar la competencia; (ii) el uso eficiente de la infraestructura para la prestación de los servicios públicos de telecomunicaciones, evitando la duplicidad innecesaria de redes; (iii) el uso eficiente del espectro radioeléctrico; (iv) la expansión de los servicios de telecomunicaciones a nivel nacional; y (v) el desarrollo del acceso a Internet; resulta necesaria la modificación de los lineamientos antes mencionados;

Que, el 2 de julio de 2002, se llevó a cabo una audiencia pública cuyo fin fue la revisión de los citados lineamientos;

Que, el 20 de diciembre de 2002, se publicó el proyecto de Decreto Supremo para modificar los Lineamientos de Política de Apertura del Mercado de Telecomunicaciones del Perú y el Reglamento General de la Ley de Telecomunicaciones;

Que, como resultado de la citada audiencia y de la publicación del proyecto se han recibido valiosos comentarios, los cuales han sido evaluados por el Ministerio de Transportes y Comunicaciones;

Que, mediante Informe nº 31-2003-MTC/03.01, la Secretaría de Comunicaciones del Ministerio de Transportes y Comunicaciones, recomienda la modificación de los Decretos Supremos nºs. 06-94-TCC y 020-98-MTC;

De conformidad con lo dispuesto en el inciso 8) del Artículo 118 de la Constitución Política del Perú y la Ley nº 27791;

DECRETA:

Artículo 1º.- Modificar los Numerales 28º, 29º y 35º de los Lineamientos de Política de Apertura del Mercado de Telecomunicaciones del Perú, aprobados por Decreto Supremo nº 020-98-MTC, los cuales tendrán el siguiente texto:

«Numeral 28º.- Los planes mínimos de expansión tomarán en cuenta lo siguiente:
Para larga distancia:
El concesionario deberá estar en capacidad de prestar el servicio concedido dentro de un plazo máximo de 24 meses computados desde la fecha de inicio de operaciones, en cinco ciudades en distintos departamentos del país y poseer al menos un centro de conmutación.
Para efectos de verificar el cumplimiento de las obligaciones antes señaladas, todo concesionario del servicio portador de larga distancia que curse tráfico telefónico de larga distancia, deberá necesariamente brindar la capacidad para realizar llamadas telefónicas de larga distancia desde las ciudades que forman parte de su plan mínimo de expansión. OSIPTEL verificará el cumplimiento de dichas obligaciones, pudiendo dictar las normas reglamentarias que sean necesarias.

Para telefonía fija local:
a) Para la provincia de Lima y la Provincia Constitucional del Callao:

El área mínima de concesión es la provincia de Lima y la Provincia Constitucional del Callao.
El nuevo concesionario deberá instalar un 5% de las líneas en servicio del mayor operador establecido existente en la misma área en el momento de la solicitud de la concesión del nuevo operador, dentro de un plazo de cinco años computados desde la fecha de inicio de operaciones y al menos 10% de las nuevas líneas fuera de la ciudad con mayor densidad. En cualquier caso, la obligación estará sujeta a la existencia de demanda. Para acogerse a esta excepción, los concesionarios deberán acreditar dicha situación ante el OSIPTEL, quien se encargará de su verificación.

b) Para el Perú, sin incluir la provincia de Lima y la Provincia Constitucional del Callao:

El área mínima de concesión es la provincia. No serán aplicables las exigencias de plan mínimo de expansión establecidas para el caso de la provincia de Lima y la Provincia Constitucional del Callao.

«Numeral 29º.- Atendiendo a lo dispuesto en los numerales precedentes, para el otorgamiento de una concesión, serán requisitos:
a) Pago del derecho por concesión y demás pagos, previstos en el Reglamento General de la Ley de Telecomunicaciones.
b) Presentar un perfil técnico económico, que contemple planes mínimos de expansión. Para los casos de telefonía fija y larga distancia deberá tenerse en cuenta lo dispuesto en el Lineamiento 28. En el caso de concursos públicos, las bases podrán establecer exigencias de plan mínimo de expansión.
c) En el caso que la concesión implique la asignación de espectro, se establecerán metas de uso de espectro radioeléctrico.
d) Las concesiones contemplarán también el cumplimiento de las obligaciones generales a que se refiere la normatividad vigente.

«Numeral 35º.- El área local es el departamento. El área mínima de concesión es la provincia.
Dentro del área local otorgada en concesión se aplican las tarifas del servicio local.»

Artículo 2º.- Incorporar los Numerales 78º-A, 84º-A, 86º-A, 86º-B y 8º6-C y 115 a los Lineamientos de Política de Apertura del Mercado de Telecomunicaciones del Perú, aprobados por Decreto Supremo nº 020-98-MTC, con los siguientes textos:

«Numeral 78-A.- La asignación del espectro radioeléctrico deberá sujetarse, además de los principios reconocidos en el TUO de la Ley de Telecomunicaciones, su Reglamento General y la Ley nº 27444, a los señalados en la Norma de Metas de Uso de Espectro Radioeléctrico de Servicios Públicos de Telecomunicaciones, aprobada por Resolución Ministerial nº 087-2002-MTC/15.03. y las demás disposiciones que se dicten sobre la materia».

«Numeral 84º-A.- El Ministerio de Transportes y Comunicaciones publicará el Registro Nacional de Frecuencias en su página web, en un plazo no mayor de noventa (90) días hábiles a partir de la vigencia de la presente norma, el cual servirá de base para el establecimiento de un sistema electrónico de administración de frecuencias».

«Numeral 86º-A.- La asignación del espectro radioeléctrico en las bandas identificadas para el acceso a las redes de operadores y atribuidas a título primario para la prestación de servicios públicos de telecomunicaciones, se realizará mediante concurso público en la provincia de Lima y en la Provincia Constitucional del Callao. Para tal efecto, el Ministerio de Transportes y Comunicaciones emitirá los dispositivos correspondientes».

«Numeral 86º-B.- Deberán utilizarse, de manera previa, mecanismos de consulta pública a fin que el Ministerio de Transportes y Comunicaciones determine aquellos casos en los que el espectro radioeléctrico deba ser asignado por el mecanismo de concurso público».

«Numeral 86º-C.- El Ministerio de Transportes y Comunicaciones determinará aquellos casos en que el concurso público para el otorgamiento de concesiones y la asignación de espectro se deba delegar a otra entidad, para lo cual se deberá tener en cuenta lo dispuesto en el Artículo 58º del TUO de la Ley de Telecomunicaciones y el Artículo 139º de su Reglamento General«.

«Numeral 115º.- Establecimientos públicos de acceso a Internet:

Los establecimientos públicos de acceso a Internet no requieren de título habilitante por parte del Ministerio para su funcionamiento.
Sin perjuicio de lo establecido, la actividad señalada en el párrafo anterior deberá realizarse a través de las redes de los concesionarios de servicios públicos de telecomunicaciones y la provisión del servicio de acceso a Internet se hará por medio de un prestador de servicios de valor añadido debidamente registrado».

Artículo 3º.– Modificar el Artículo 55 y el inciso 7) del Artículo 130º del Reglamento General de la Ley de Telecomunicaciones, aprobado por Decreto Supremo nº 06-94-TCC, el cual tendrá el siguiente texto:

«Artículo 55º.- El servicio telefónico, según su ámbito de prestación, puede ser:
1. Local.- Es aquel que permite la comunicación de los usuarios dentro del área local.
El área local para telefonía fija es el departamento demarcado geográficamente.
El área mínima para el otorgamiento de una concesión es la provincia.
Para la prestación del servicio de telefonía fija local en lugares apartados de los centros urbanos, en lugares de preferente interés social, referido a telecomunicaciones rurales, el área de concesión será de ámbito rural, definido como el establecido entre usuarios de un área no urbana determinada en la concesión respectiva.
2. De Larga Distancia Nacional.- Permite la comunicación de los usuarios dentro del territorio nacional.
3. De Larga Distancia Internacional.- Es aquel que permite la comunicación de los usuarios del territorio peruano con los usuarios de otros países».

«Artículo 130º.-
7. Compromiso de no instalar equipos de segundo uso, salvo en los casos de traslados internos dentro de las áreas de concesión obtenidas o en aquellos casos en que el Ministerio lo autorice mediante resolución del órgano competente. Para efectos de la autorización antes mencionada, el plazo para la atención de la solicitud es de diez (10) días hábiles».

Artículo 4º.- Incorporar el Artículo 127º-C al Reglamento General de la Ley de Telecomunicaciones, aprobado por Decreto Supremo nº 06-94-TCC, con el siguiente texto:

«Artículo 127º-C.- Las estaciones radioeléctricas de redes portadoras locales, de larga distancia nacional y las estaciones radioeléctricas destinadas a enlazar las estaciones base de un servicio público final que son utilizadas en forma no exclusiva para aplicaciones punto a punto, deberán contar con permiso de instalación y operación emitido mediante resolución del órgano competente del Ministerio. En todos los casos, el Ministerio realizará la asignación de las frecuencias teniendo en cuenta mecanismos de reutilización, mientras sea técnicamente factible.

Las licencias de operación no son aplicables para la prestación de los servicios públicos de telecomunicaciones».

Artículo 5º.– Derogar todas las disposiciones que se opongan al presente Decreto Supremo.

Artículo 6º.– Disponer la publicación de la matriz de comentarios a las modificaciones propuestas en la página web del Ministerio de Transportes y Comunicaciones:  http://www.mtc.gob.pe.

Artículo 7º.- El presente Decreto Supremo será refrendado por el Presidente del Consejo de Ministros y por el Ministro de Transportes y Comunicaciones.

Dado en la Casa de Gobierno a los veinticuatro días del mes de marzo del año dos mil tres.

ALEJANDRO TOLEDO
Presidente Constitucional de la República
LUIS SOLARI DE LA FUENTE
Presidente del Consejo de Ministros
JAVIER REÁTEGUI ROSSELLÓ
Ministro de Transportes y Comunicaciones

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, el artículo 131° de la Ley nº 29571, Código de Protección y Defensa del Consumidor, establece que el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI, previo acuerdo de su Consejo Directivo, está facultado para promover procesos en defensa de intereses colectivos de los consumidores, siendo que previo acuerdo de su Consejo Directivo, puede delegar la facultad de promover procesos en defensa de intereses colectivos de los consumidores a las asociaciones de consumidores debidamente reconocidas, siempre que cuenten con la adecuada representatividad y reconocida trayectoria;

Que, la Tercera Disposición Complementaria Final de la Ley nº 29571 establece que el Poder Ejecutivo expide, entre otras, las disposiciones reglamentarias de lo dispuesto en el mencionado artículo 131°;

Que, en ese sentido, corresponde al Poder Ejecutivo aprobar el Reglamento de procesos judiciales para la defensa de intereses colectivos de los consumidores y el Fondo Especial al que hace referencia el artículo 131° de la Ley nº 29571, Código de Protección y Defensa del Consumidor;

De conformidad con el numeral 8) del artículo 118° de la Constitución Política del Perú y la Ley nº 29571, Código de Protección y Defensa del Consumidorr;

DECRETA:

Artículo 1º.-Aprobación del Reglamento

Apruébese el Reglamento de procesos judiciales para la defensa de intereses colectivos de los consumidores y del Fondo Especial a que hace referencia el artículo 131° de la Ley nº 29571, Código de Protección y Defensa del Consumidor, el cual forma parte integrante del presente Decreto Supremo.

Artículo 2º.- Publicación

El presente Decreto Supremo y el Reglamento deberán ser publicados en el Diario Oficial El Peruano, en el Portal del Estado Peruano (www.peru.gob.pe), en el Portal de la Presidencia del Consejo de Ministros (www.pcm.gob.pe) y en el Portal del Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (www.indecopi.gob.pe).

Artículo 3º.- Refrendo

El presente Decreto Supremo será refrendado por la Presidenta del Consejo de Ministros y Ministra de Justicia.

Dado en la Casa de Gobierno, en Lima, a los trece días del mes de abril del año dos mil once.

ALAN GARCÍA PÉREZ, Presidente Constitucional de la República

ROSARIO DEL PILAR FERNÁNDEZ FIGUEROA, Presidenta del Consejo de Ministros y Ministra de Justicia

REGLAMENTO SOBRE PROCESOS JUDICIALES PARA LA DEFENSA DE INTERESES COLECTIVOS DE LOS CONSUMIDORES Y DEL FONDO ESPECIAL CREADO POR EL ARTICULO 131 DE LA LEY nº 29571, CÓDIGO DE PROTECCIÓN Y DEFENSA DEL CONSUMIDOR

Artículo 1º.- Objeto

El presente Reglamento tiene por objeto establecer las reglas aplicables a:

– La participación de las asociaciones de consumidores en los procesos judiciales para la defensa de los intereses colectivos de los consumidores.

– La adecuada distribución entre los consumidores de los montos obtenidos por indemnización por el INDECOPI o por una Asociación de Consumidores en el marco de procesos judiciales para la defensa de intereses colectivos de los consumidores.

– La adecuada ejecución de las obligaciones no dinerarias obtenidas en los procesos judiciales para la defensa de los intereses colectivos de los consumidores.

– El adecuado uso del fondo especial para el financiamiento y difusión de los derechos de los consumidores y del sistema de patrocinio de intereses de los consumidores.

Artículo 2º.- Participación de las asociaciones de consumidores en los procesos judiciales para la defensa de los intereses colectivos de los consumidores

2.1. Las asociaciones de consumidores podrán promover procesos judiciales en defensa de intereses colectivos de los consumidores siempre que el INDECOPI, previo acuerdo de su Consejo Directivo, les delegue tal facultad.

2.2. La delegación que efectúe el INDECOPI se realizará de oficio o a solicitud de cualquier asociación en cada caso en particular, y debe sustentarse en una evaluación que tenga en cuenta los siguientes aspectos:

a. La representatividad y trayectoria de la asociación de consumidores; y,

b. El precedente administrativo del caso materia de delegación a fin de verificar si la solicitante es la asociación de consumidores cuya denuncia en sede administrativa resulta ser materia del proceso judicial.

2.3. La trascripción del acta de la parte pertinente de la sesión del Consejo Directivo del INDECOPI en el que se acordó la delegación será puesta en conocimiento de la respectiva asociación de consumidores. Dicho documento servirá para acreditar la legitimidad para obrar de dicha asociación ante el órgano jurisdiccional correspondiente.

2.4. La demanda que presente la asociación de consumidores deberá además cumplir con los requisitos previstos en los artículos 424° y 425° del Código Procesal Civil, a efectos de su admisión.

Artículo 3º.- Cobro y distribución de los montos obtenidos en el proceso judicial para la defensa de los intereses colectivos de los consumidores

3.1. La distribución del monto obtenido en virtud del proceso judicial para la defensa de los intereses colectivos de los consumidores se realiza a prorrata entre todos los consumidores representados por el INDECOPI o por la si asociación de consumidores.

No se considerarán a los consumidores que hayan expresado por escrito su voluntad de no hacer valer su derecho o de hacerlo por separado, de conformidad con lo establecido en la parte final del numeral 131.3 del artículo 131 ° de la Ley nº 29571, Código de Protección y Defensa del Consumidor.

3.2. Dentro de un plazo de cinco (5) días hábiles contados desde la fecha en que efectúe el cobro total o parcial del monto dispuesto en la sentencia, el INDECOPI convocará, mediante publicación en el Diario Oficial El Peruano y en su portal web, a todos los consumidores titulares del derecho reconocido en la sentencia.

3.3. Para el pago a los consumidores se seguirán las siguientes reglas:

a. En caso el proceso judicial se haya iniciado en defensa de los derechos comunes de un conjunto determinado de consumidores, éstos se apersonarán ante el INDECOPI a efectos del pago que pudiera corresponderles.

b. En caso el proceso judicial se haya iniciado en defensa de los derechos comunes de un conjunto determinable de consumidores, la convocatoria tendrá por objeto que aquellos consumidores se registren dentro del plazo señalado en la convocatoria, en el padrón que se implementará para tal fin, a efectos de establecer y hacer efectivo el derecho que pudiera corresponderles.

c. En caso el INDECOPI realice cobros parciales, hará efectivo el pago en cada oportunidad, a los consumidores determinados inicialmente.

d. Para proceder con el pago, INDECOPI citará a los consumidores y aquél se realizará según los mecanismos previstos por las normas contables y financieras que lo rigen.

3.4. En caso sea una asociación de consumidores la que deba efectuar el cobro de los montos cuyo pago se ha dispuesto por mandato judicial, ésta deberá cumplir con las siguientes obligaciones:

a. Efectuar las acciones procesales que resulten necesarias para que el obligado cumpla con realizar el pago ordenado por mandato judicial.

b. Entregar al INDECOPI toda la documentación que permita identificar e individualizar a los consumidores en cuya representación se ha promovido la respectiva acción judicial.

c. Efectuar la entrega del monto total percibido o de cada uno de los montos parciales percibidos al INDECOPI, en un plazo no mayor de dos (2) días hábiles contados desde su percepción.

Una vez entregado al INDECOPI el monto cobrado por la asociación de consumidores, el INDECOPI procederá conforme a lo dispuesto en los numerales 3.2. y 3.3 del presente artículo, entendiéndose que el plazo de cinco (5) días previsto en él, se computará desde la fecha de percepción del monto por parte del INDECOPI.

3.5. En caso de incumplimiento de pago de los montos dispuestos mediante sentencia consentida o ejecutoriada en los procesos para la defensa de los intereses colectivos de consumidores, el INDECOPI o la asociación de consumidores que promovió el proceso, realizará las acciones procesales que correspondan para asegurar la ejecución de las mismas, conforme al mandato contenido en la sentencia judicial respectiva.

Para tal efecto, el INDECOPI o la asociación de consumidores respectiva podrán iniciar el proceso único de ejecución previsto en el Titulo Quinto de la Sección Quinta del Código Procesal Civil.

Artículo 4º.- Ejecución de obligaciones no dineradas establecidas a favor de los consumidores afectados en el proceso judicial para la defensa de intereses colectivos

4.1. En el caso de las obligaciones no dinerarias judicialmente establecidas a favor de los consumidores afectados en los procesos para la defensa de intereses colectivos, mediante sentencia consentida o ejecutoriada, el INDECOPI o la asociación de consumidores que promovió el proceso realizará las acciones procesales que correspondan para asegurar la correcta y célere ejecución de las mismas. Para tal efecto, el INDECOPI o la asociación de consumidores respectiva podrá iniciar el proceso único de ejecución previsto en el Título Quinto de la Sección Quinta del Código Procesal Civil.

4.2. INDECOPI coordinará con los consumidores representados en el proceso judicial, las acciones que fueran necesarias para disponer de las obligaciones no dinerarias dispuestas judicialmente.

4.3. En caso el proceso judicial se haya iniciado en defensa de los derechos comunes de un conjunto determinable de consumidores se seguirá el procedimiento establecido en el literal b) del numeral 3.3. del artículo 3o del presente reglamento.

Artículo 5º.- Administración del fondo especial

5.1.El saldo no reclamado de las indemnizaciones a que hace referencia el numeral 131.5 del artículo 131° del Código pasará a formar parte del fondo especial para el financiamiento y la difusión de los derechos de los consumidores, de información relevante para los mismos y del sistema de patrocinio de intereses de los consumidores, sea que éste provenga de procesos judiciales promovidos por el INDECOPI o por asociaciones de consumidores.

5.2. Los recursos de dicho fondo deberán destinarse prioritariamente al resguardo, protección y defensa de los derechos de los consumidores de menores recursos o que, por condiciones especiales como las previstas en el numeral 4 del artículo VI del Título Preliminar del Código, resulten más propensos a ser víctimas de prácticas contrarias a sus derechos. Deberá además procurarse que el uso de tales recursos se efectúe a nivel nacional, con especial incidencia en la atención de las poblaciones menos favorecidas económicamente, resguardando principalmente sus derechos a la salud y seguridad.

5.3.El fondo especial constituye una actividad del Pliego INDECOPI, y su uso se sujeta a las disposiciones de la administración financiera del Sector Público y a las contenidas en la normatividad vigente aplicable. Los recursos del fondo constituyen recursos públicos. 5.4.Anualmente el Consejo Directivo del INDECOPI aprobará un Plan de Gestión de los recursos del fondo especial, el cual deberá ceñirse a los criterios establecidos en el numeral 5.2 del presente artículo y además prever el fortalecimiento del sistema de patrocinio de intereses de los consumidores.

DISPOSICIONES COMPLEMENTARIAS

Primera.- Difusión de los procesos judiciales seguidos por parte del INDECOPI

El INDECOPI difundirá a través de su portal web la relación de procesos judiciales iniciados, indicando si éstos se encuentran en trámite o concluidos, incluyendo en cada caso la síntesis de la demanda. De ser el caso, también deberá incluir en su portal web el resultado del proceso y, en caso de un conjunto determinado de consumidores, la relación de éstos.

Segunda.- Representación judicial

El patrocinio de los intereses difusos y colectivos de los consumidores que realice el Estado a través del INDECOPI se llevará a cabo a través de un Procurador Público Especializado designado conforme a las disposiciones que rigen el Sistema de Defensa Jurídica del Estado.

Délibération nº 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle.

La Commission nationale de l'informatique et des libertés,

Vu la convention nº 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25-I (4°) et II ;

Vu le document d'orientation relatif aux dispositifs d'alerte professionnelle adopté par la commission le 10 novembre 2005, annexé à la présente décision ;

Après avoir entendu M. Alex Türk, président, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Un dispositif d'alerte professionnelle est un système mis à la disposition des employés d'un organisme public ou privé pour les inciter, en complément des modes normaux d'alerte sur les dysfonctionnements de l'organisme, à signaler à leur employeur des comportements qu'ils estiment contraires aux règles applicables et pour organiser la vérification de l'alerte ainsi recueillie au sein de l'organisme concerné.

Constate que les dispositifs d'alerte professionnelle (» whistleblowing «) mis en oeuvre sur les lieux de travail peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d'exclure des personnes du bénéfice de leur contrat de travail en l'absence de toute disposition législative ou réglementaire.

Dès lors, de tels dispositifs constituent des traitements relevant de l'article 25-I (4°) de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.

En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut adopter une décision unique d'autorisation pour des traitements répondant notamment aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques.

Le responsable de traitement mettant en oeuvre un dispositif d'alerte professionnelle dans le respect des dispositions de cette décision unique adresse à la commission un engagement de conformité à la présente autorisation.

Décide que les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en oeuvre ces traitements.

Article 1. Finalités du traitement.

Seuls peuvent faire l'objet d'un engagement de conformité par référence à la présente décision unique les traitements mis en oeuvre par les organismes publics ou privés dans le cadre d'un dispositif d'alerte professionnelle répondant à une obligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption.

Conformément à l'article 7 (5°) de la loi du 6 janvier 1978 modifiée, les traitements mis en oeuvre dans les domaines comptable et d'audit par les entreprises concernées par la section 301 (4) de la loi américaine dite » Sarbanes-Oxley » de juillet 2002 entrent également dans le champ de la présente décision.

Article 2. Traitement de l'identité de l'émetteur de l'alerte.

L'émetteur de l'alerte professionnelle doit s'identifier mais son identité est traitée de façon confidentielle par l'organisation chargée de la gestion des alertes.

Cette organisation ne peut recueillir, par exception, l'alerte d'une personne qui souhaite rester anonyme qu'aux conditions suivantes :

– le traitement de cette alerte doit s'entourer de précautions particulières, telles qu'un examen préalable, par son premier destinataire, de l'opportunité de sa diffusion dans le cadre du dispositif ;

– l'organisme n'incite pas les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l'existence du dispositif en tient compte. Au contraire, la procédure est conçue de façon que les employés s'identifient auprès de l'organisation chargée de la gestion des alertes.

Article 3. Catégories de données à caractère personnel enregistrées.

Seules les catégories de données suivantes peuvent être traitées :

– identité, fonctions et coordonnées de l'émetteur de l'alerte professionnelle ;

– identité, fonctions et coordonnées des personnes faisant l'objet d'une alerte ;

– identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l'alerte ;

– faits signalés ;

– éléments recueillis dans le cadre de la vérification des faits signalés ;

– compte rendu des opérations de vérification ;

– suites données à l'alerte.

Les faits recueillis sont strictement limités aux domaines concernés par le dispositif d'alerte. Des faits qui ne se rapportent pas à ces domaines peuvent toutefois être communiqués aux personnes compétentes de l'organisme concerné lorsque l'intérêt vital de cet organisme ou l'intégrité physique ou morale de ses employés est en jeu.

La prise en compte de l'alerte professionnelle ne s'appuie que sur des données formulées de manière objective, en rapport direct avec le champ du dispositif d'alerte et strictement nécessaires à la vérification des faits allégués. Les formulations utilisées pour décrire la nature des faits signalés font apparaître leur caractère présumé.

Article 4. Destinataires des données à caractère personnel.

Les personnes spécialement chargées, au sein de l'organisme concerné, du recueil ou du traitement des alertes professionnelles ne sont destinataires de tout ou partie des données visées à l'article 3 que dans la mesure où ces données sont nécessaires à l'accomplissement de leurs missions.

Ces données peuvent être communiquées aux personnes spécialement chargées de la gestion des alertes professionnelles au sein du groupe de sociétés auquel appartient l'organisme concerné si cette communication est nécessaire à la vérification de l'alerte ou résulte de l'organisation du groupe.

S'il est fait recours à un prestataire de services pour recueillir ou traiter les alertes, les personnes spécialement chargées de ces missions au sein de l'organisme prestataire de services n'accèdent à tout ou partie des données visées à l'article 3 que dans la limite de leurs attributions respectives. Le prestataire de services éventuellement désigné pour gérer tout ou partie de ce dispositif s'engage notamment, par voie contractuelle, à ne pas utiliser les données à des fins détournées, à assurer leur confidentialité, à respecter la durée de conservation limitée des données et à procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de sa prestation.

Dans tous les cas, les personnes chargées du recueil et du traitement des alertes professionnelles sont en nombre limité, spécialement formées et astreintes à une obligation renforcée de confidentialité contractuellement définie.

Article 5. Transferts de données à caractère personnel hors de l'Union européenne.

Le présent article s'applique dans les cas où les communications de données envisagées à l'article 4 concernent un transfert vers une personne morale établie dans un pays non membre de l'Union européenne n'accordant pas une protection suffisante au sens de l'article 68 de la loi du 6 janvier 1978 modifiée.

Dans ces cas, ces communications de données à caractère personnel doivent s'opérer conformément aux dispositions spécifiques de la loi du 6 janvier 1978 modifiée relatives aux transferts internationaux de données, et notamment son article 69, alinéa 8.

Il est satisfait à ces dispositions lorsque la personne morale au sein de laquelle travaille le destinataire des données a adhéré au Safe Harbor, dans la mesure où la société américaine concernée a expressément fait le choix d'inclure les données de ressources humaines dans le champ de cette adhésion.

Il est également satisfait à ces dispositions lorsque le destinataire a conclu un contrat de transfert basé sur les clauses contractuelles types émises par la Commission européenne dans ses décisions du 15 juin 2001 ou du 27 décembre 2004, ou lorsque le groupe auquel appartiennent les entités concernées ont adopté des règles internes dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes. S'il est satisfait à ces conditions, et si le traitement dont le transfert est issu est par ailleurs conforme à l'ensemble des autres dispositions de la présente délibération, la présente délibération porte également autorisation du transfert envisagé en application de l'article 69, alinéa 8, de la loi du 6 janvier 1978 modifiée.

Article 6. Durée de conservation des données à caractère personnel.

Les données relatives à une alerte considérée, dès son recueil par le responsable du traitement, comme n'entrant pas dans le champ du dispositif sont détruites ou archivées sans délai, sous réserve de l'application de l'avant-dernier alinéa de l'article 3.

Les données relatives à une alerte ayant fait l'objet d'une vérification sont détruites ou archivées par l'organisation chargée de la gestion des alertes dans un délai de deux mois à compter de la clôture des opérations de vérification lorsque l'alerte n'est pas suivie d'une procédure disciplinaire ou judiciaire.

Lorsqu'une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives à l'alerte sont conservées par l'organisation chargée de la gestion des alertes jusqu'au terme de la procédure.

Les données faisant l'objet de mesures d'archivage sont conservées, dans le cadre d'un système d'information distinct à accès restreint, pour une durée n'excédant pas les délais de procédures contentieuses.

Article 7. Mesures de sécurité.

Le responsable des traitements prend toutes précautions utiles pour préserver la sécurité des données tant à l'occasion de leur recueil que de leur communication ou de leur conservation.

En particulier, les accès aux traitements de données s'effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification. Ces accès sont enregistrés et leur régularité est contrôlée.

L'identité de l'émetteur d'une alerte est traitée de façon confidentielle afin que celui-ci ne subisse aucun préjudice du fait de sa démarche.

Article 8. Information des utilisateurs potentiels du dispositif.

Une information claire et complète des utilisateurs potentiels du dispositif d'alerte est réalisée.

Au-delà de l'information collective et individuelle prévue par le code du travail, et conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, cette information précise notamment l'identification de l'entité responsable du dispositif, les objectifs poursuivis et les domaines concernés par les alertes, le caractère facultatif du dispositif, l'absence de conséquence à l'égard des employés de la non-utilisation de ce dispositif, les destinataires des alertes, les éventuels transferts de données à caractère personnel à destination d'un Etat non membre de la Communauté européenne, ainsi que l'existence d'un droit d'accès et de rectification au bénéfice des personnes identifiées dans le cadre de ce dispositif.

Il est clairement indiqué que l'utilisation abusive du dispositif peut exposer son auteur à des sanctions disciplinaires ainsi qu'à des poursuites judiciaires mais qu'à l'inverse l'utilisation de bonne foi du dispositif, même si les faits s'avèrent par la suite inexacts ou ne donnent lieu à aucune suite, n'exposera son auteur à aucune sanction disciplinaire.

Article 9. Information de la personne faisant l'objet d'une alerte professionnelle.

La personne qui fait l'objet d'une alerte est, conformément aux articles 6 et 32 de la loi du 6 janvier 1978 modifiée, informée par le responsable du dispositif dès l'enregistrement, informatisé ou non, de données la concernant afin de lui permettre de s'opposer au traitement de ces données.

Lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l'alerte, l'information de cette personne intervient après l'adoption de ces mesures.

Cette information, qui est réalisée selon des modalités permettant de s'assurer de sa bonne délivrance à la personne concernée, précise notamment l'entité responsable du dispositif, les faits qui sont reprochés, les services éventuellement destinataires de l'alerte ainsi que les modalités d'exercice de ses droits d'accès et de rectification. Si elle n'en a pas bénéficié auparavant, la personne reçoit également une information conforme à l'article 8 de la présente décision.

Article 10. Respect des droits d'accès et de rectification.

Conformément aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, le responsable du dispositif d'alerte garantit à toute personne identifiée dans le dispositif d'alerte professionnelle le droit d'accéder aux données la concernant et d'en demander, si elles sont inexactes, incomplètes, équivoques ou périmées, la rectification ou la suppression.

La personne qui fait l'objet d'une alerte ne peut en aucun cas obtenir communication du responsable du traitement, sur le fondement de son droit d'accès, des informations concernant l'identité de l'émetteur de l'alerte.

Article 11. Tout dispositif d'alerte professionnelle prévoyant la mise en oeuvre de traitement de données à caractère personnel ne répondant pas aux dispositions précédentes doit faire l'objet d'une demande d'autorisation auprès de la commission dans les formes prescrites par les articles 25-I (4°) et 30 de la loi du 6 janvier 1978 modifiée.

Article 12. La présente délibération sera publiée au Journal officiel de la République française.

Le président, A. Türk

A N N E X E

DOCUMENT D'ORIENTATION ADOPTÉ PAR LA COMMISSION LE 10 NOVEMBRE 2005 POUR LA MISE EN OEUVRE DE DISPOSITIFS D'ALERTE PROFESSIONNELLE CONFORMES À LA LOI DU 6 JANVIER 1978, MODIFIÉE EN AOÛT 2004, RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS

La Commission nationale de l'informatique et des libertés constate le développement récent en France de dispositifs permettant à des employés de signaler le comportement de leurs collègues de travail supposé contraire à la loi ou aux règles établies par l'entreprise.

Ces dispositifs » d'alerte professionnelle » (» whistleblowing «) ne sont ni prévus ni interdits par le code du travail. Quand ils s'appuient sur le traitement de données à caractère personnel c'est-à-dire la collecte, l'enregistrement, la conservation et la diffusion d'informations relatives à une personne physique identifiée ou identifiable, ils sont soumis à la loi du 6 janvier 1978 modifiée, que le traitement soit réalisé sur support informatique ou sur support papier. Lorsqu'ils sont automatisés, ils doivent faire l'objet d'une autorisation de la CNIL, en application de l'article 25 (4°) de cette loi, du fait qu'ils sont susceptibles d'exclure des personnes du bénéfice d'un droit ou de leur contrat de travail en l'absence de toute disposition législative ou réglementaire spécifique.

La CNIL a refusé en mai 2005 d'autoriser deux systèmes spécifiques de » lignes éthiques » relevant de cette démarche d'alerte professionnelle. Pour autant, elle n'a pas d'opposition de principe à de tels dispositifs dès lors que les droits des personnes mises en cause directement ou indirectement dans une alerte sont garantis au regard des règles relatives à la protection des données personnelles. En effet, ces personnes, en plus des droits de la défense qui leur sont assurés par la législation du travail en cas d'engagement d'une procédure disciplinaire, disposent de droits particuliers qui leur sont reconnus par la loi » informatique et libertés » ou la directive européenne 95/46/CE du 24 octobre 1995 quand des informations les concernant font l'objet d'un traitement : droit à ce que ces informations soient recueillies de manière loyale, droit à être informé du traitement de ces informations, droit de s'opposer à ce traitement si un motif légitime peut être invoqué, droit de rectifier ou de faire supprimer les informations inexactes, incomplètes, équivoques ou périmées.

Afin de contribuer à la mise en oeuvre de dispositifs d'alerte respectueux des principes définis par la loi et la directive, la CNIL préconise l'adoption par les entreprises des règles suivantes, qui ne portent que sur l'application de ces textes, à l'exclusion des questions pour lesquelles la CNIL n'a pas de compétence, en particulier celles relatives à la législation du travail.

1. Portée du dispositif d'alerte : un caractère complémentaire, un champ restreint, un usage facultatif

Le fonctionnement normal d'une organisation implique que les alertes relatives à un dysfonctionnement, dans quelque domaine que ce soit, remontent jusqu'aux dirigeants par la voie hiérarchique ou par des modes ouverts d'alerte tels que l'intervention des représentants du personnel ou, en matière de contrôle des comptes, les rapports des commissaires aux comptes. Dans la législation française, la protection et l'indépendance des uns et des autres sont du reste particulièrement assurées.

La mise en place d'un dispositif d'alerte peut être justifiée par l'hypothèse que ces canaux d'information pourraient ne pas fonctionner dans certaines circonstances. Toutefois, un tel dispositif ne saurait être conçu, par les entreprises, comme un mode normal de signalement des dysfonctionnements de l'entreprise, à part égale avec les modes de signalement gérés par des personnes dont les fonctions ou les attributions consistent précisément à repérer et traiter de tels dysfonctionnements. En ce sens, les dispositifs d'alerte doivent être conçus comme uniquement complémentaires par rapport aux autres modes d'alerte dans l'entreprise.

Afin de tenir compte de ce caractère intrinsèquement complémentaire, un dispositif d'alerte doit être limité dans son champ. Les dispositifs à portée générale et indifférenciée (tels que ceux destinés à garantir à la fois le respect des règles légales, du règlement intérieur et des règles internes de conduite professionnelle) soulèvent en effet une difficulté de principe au regard de la loi » informatique et libertés » eu égard aux risques de mise en cause abusive ou disproportionnée de l'intégrité professionnelle, voire personnelle, des employés concernés.

A cet égard, il résulte de l'article 7 de la loi du 6 janvier 1978 modifiée que les dispositifs d'alerte ne peuvent être considérés comme légitimes que du fait de l'existence d'une obligation légale (législative ou réglementaire) imposant la mise en place de tels dispositifs (art. 7 [1°]), ou du fait de l'intérêt légitime du responsable de traitement, dès lors que celui-ci est établi, et » sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée » (art. 7 [5°]).

Cette légitimité est acquise en vertu de l'article 7 (1°) de la loi du 6 janvier 1978 quand des dispositifs d'alerte sont mis en oeuvre à seule fin de répondre à une obligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans des domaines précisément définis. Une telle obligation résulte clairement, par exemple, des dispositions relatives au contrôle interne des établissements de crédit et des entreprises d'investissement (arrêté du 31 mars 2005 modifiant le règlement du Comité de la réglementation bancaire et financière nº 97-02 du 21 février 1997).

En revanche, il ne semble pas que le simple fait de l'existence d'une disposition légale étrangère en vertu de laquelle un dispositif d'alerte serait mis en place permette de légitimer un traitement de données personnelles au sens de l'article 7 (1°). Tel est le cas des dispositions de la section 301 (4) de la loi Sarbanes-Oxley, qui prévoient que les employés d'une entreprise doivent pouvoir faire état au comité d'audit de leurs inquiétudes quant à une comptabilité ou un audit douteux en étant assurés de bénéficier de garanties de confidentialité et d'anonymat.

Il est cependant impossible, dans ce cas, d'ignorer l'intérêt légitime, au sens de l'article 7 (5°) de la loi du 6 janvier 1978, que les sociétés françaises cotées aux Etats-Unis ou les sociétés françaises filiales de sociétés cotées aux Etats-Unis, tenues de certifier leurs comptes auprès des autorités boursières américaines, ont à mettre en place des procédures d'alerte quant à des dysfonctionnements supposés en matière comptable et de contrôle des comptes. A l'évidence, la remontée jusqu'au conseil d'administration d'informations relatives, par exemple, à des suspicions de manipulations comptables pouvant avoir un impact sur les résultats financiers de l'entreprise est une préoccupation essentielle pour les entreprises faisant appel public à l'épargne.

Loin de se limiter aux Etats-Unis, des initiatives en la matière ont également été prises en Europe (cf. notamment la récente recommandation de la Commission européenne du 15 février 2005 concernant le rôle des administrateurs non exécutifs et des membres de conseil de surveillance des sociétés cotées et les comités du conseil d'administration et de surveillance), qui poursuivent le même objectif de renforcement de la sécurité des marchés financiers que la loi Sarbanes-Oxley. Ces différents textes caractérisent manifestement, au sens de l'article 7 (5°) de la loi du 6 janvier 1978, l'intérêt légitime de l'entreprise à mettre en place des dispositifs d'alerte dans les domaines qu'ils couvrent, et, dans ce contexte, ceux-ci doivent donc être considérés comme acceptables.

Pour les mêmes raisons, sont légitimes les dispositifs d'alerte qui visent à lutter contre la corruption, par exemple celle d'agents publics étrangers dans les transactions commerciales internationales (convention OCDE du 17 décembre 1997, ratifiée par la loi nº 99-424 du 27 mai 1999).

Les dispositifs d'alerte limités au champ ainsi défini bénéficieront d'une autorisation unique de la CNIL, sous réserve du respect des autres règles recommandées par elle. En revanche, pour les dispositifs ne se fondant pas sur des obligations législatives ou réglementaires de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption, la CNIL conduira une analyse au cas par cas, dans le cadre de ses pouvoirs d'autorisation de la légitimité des finalités poursuivies et de la proportionnalité du dispositif d'alerte envisagé.

Afin de prévenir un usage détourné du dispositif d'alerte pour dénoncer des faits sans rapport avec les domaines définis a priori, le responsable de ce dispositif doit clairement indiquer qu'il est strictement réservé à de tels domaines et doit s'interdire d'exploiter les alertes qui y sont étrangères, sauf si l'intérêt vital de l'entreprise, l'intégrité physique ou morale de ses employés est en jeu.

Plus généralement, l'utilisation par les personnels d'un dispositif d'alerte légitimement mis en oeuvre ne peut revêtir qu'un caractère non obligatoire. En ce sens, le ministère de l'emploi, du travail et de l'insertion professionnelle des jeunes a souligné, dans une lettre adressée à la CNIL, que » l'utilisation des dispositifs d'alerte ne doit pas faire l'objet d'une obligation mais d'une simple incitation. (…) Rendre obligatoire la dénonciation revient donc en réalité à transférer sur les salariés la charge de l'employeur en matière de respect du règlement intérieur. On peut également estimer que l'obligation de dénonciation serait contraire à l'article L. 120-2 du code du travail en tant que sujétion non proportionnée à l'objectif à atteindre «.

2. Une définition des catégories de personnes concernées par le dispositif d'alerte

Conformément au principe de proportionnalité, les catégories de personnels susceptibles de faire l'objet d'une alerte devraient être précisément définies en référence aux motifs légitimant la mise en oeuvre du dispositif d'alerte.

Cette définition relève de la compétence du chef d'entreprise, à qui il appartient, dans le respect des procédures prévues en droit du travail, de fixer les limites de la procédure.

3. Un traitement restrictif des alertes anonymes

La possibilité de réaliser une alerte de façon anonyme ne peut que renforcer le risque de dénonciation calomnieuse. A l'inverse, l'identification de l'émetteur de l'alerte ne peut que contribuer à responsabiliser les utilisateurs du dispositif et ainsi à limiter un tel risque. En effet, l'alerte identifiée présente plusieurs avantages et permet :

– d'éviter des dérapages vers la délation et la dénonciation calomnieuse ;

– d'organiser la protection de l'auteur de l'alerte contre d'éventuelles représailles ;

– d'assurer un meilleur traitement de l'alerte en ouvrant la possibilité de demander à son auteur des précisions complémentaires.

La protection de l'émetteur de l'alerte est une exigence consubstantielle à un dispositif d'alerte. La CNIL n'a pas à se prononcer sur les moyens de l'assurer sauf sur un point qui résulte clairement de la loi » informatique et libertés » : l'identité de l'émetteur doit être traitée de façon confidentielle afin que celui ne subisse aucun préjudice du fait de sa démarche. En particulier, cette identité ne peut être communiquée à la personne mise en cause sur le fondement du droit d'accès prévu par l'article 39 de cette loi.

Cependant, l'existence d'alertes anonymes, même et surtout en l'absence de systèmes organisés d'alerte confidentielle, est une réalité. Il est également difficile pour les responsables d'une organisation d'ignorer ce type d'alerte, quand bien même ils n'y seraient pas favorables par principe.

Le traitement de telles alertes doit s'entourer de précautions particulières, notamment un examen préalable, par leur premier destinataire, de l'opportunité de leur diffusion dans le cadre du dispositif. En tout état de cause, l'organisation ne doit pas inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l'existence du dispositif doit en tenir compte. Au contraire, la procédure doit être conçue de manière à ce que les employés s'identifient à chaque communication d'informations par la procédure d'alerte et soumettent des informations relatives à des faits plutôt qu'à des personnes.

4. La diffusion d'une information claire et complète sur le dispositif d'alerte

Une information claire et complète des utilisateurs potentiels du dispositif d'alerte doit être réalisée par tout moyen approprié.

Au-delà de l'information collective et individuelle prévue par le code du travail, et conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, cette information doit notamment préciser l'identification de l'entité responsable du dispositif, les objectifs poursuivis et le domaine concerné par les alertes, le caractère facultatif du dispositif, l'absence de conséquence à l'égard des employés de la non-utilisation de ce dispositif, les destinataires des alertes, ainsi que l'existence d'un droit d'accès et de rectification au bénéfice des personnes identifiées dans le cadre de ce dispositif.

Il doit enfin être clairement indiqué que l'utilisation abusive du dispositif peut exposer son auteur à des sanctions disciplinaires ainsi qu'à des poursuites judiciaires, mais qu'à l'inverse l'utilisation de bonne foi du dispositif, même si les faits s'avèrent par la suite inexacts ou ne donnent lieu à aucune suite, ne peut exposer son auteur à des sanctions.

5. Un recueil des alertes par des moyens dédiés

Le recueil des alertes peut reposer sur tous moyens, informatisés ou non, de traitement des données.

Ces moyens doivent être dédiés au dispositif d'alerte afin d'écarter tout risque de détournement de finalité et de renforcer la confidentialité des données.

6. Des données d'alerte pertinentes, adéquates et non excessives

Le support permettant la prise en compte de l'alerte professionnelle ne doit comporter que des données formulées de manière objective, en rapport direct avec le champ du dispositif d'alerte et strictement nécessaires à la vérification des faits allégués.

Les formulations utilisées pour décrire la nature des faits signalés doivent faire apparaître leur caractère présumé.

7. Une gestion interne des alertes réservée à des spécialistes, dans un cadre confidentiel

Le recueil et le traitement des alertes professionnelles doivent être confiés à une organisation spécifique mise en place au sein de l'entreprise concernée pour traiter ces questions. Les personnes chargées de traiter les alertes doivent être en nombre limité, spécialement formées et astreintes à une obligation renforcée de confidentialité contractuellement définie.

La confidentialité des données à caractère personnel doit être garantie tant à l'occasion de leur recueil que de leur communication ou de leur conservation.

Les données recueillies par le dispositif d'alerte peuvent être communiquées au sein du groupe si cette communication est nécessaire aux besoins de l'enquête et résulte de l'organisation du groupe. Une telle communication sera considérée comme nécessaire aux besoins de l'enquête par exemple si l'alerte met en cause un collaborateur d'une autre personne morale du groupe, un membre de haut niveau ou un organe de direction de l'entreprise concernée. Dans ce cas, les données ne doivent être transmises, dans un cadre confidentiel et sécurisé, qu'à l'organisation compétente de la personne morale destinataire apportant des garanties équivalentes dans la gestion des alertes professionnelles.

Si une telle communication s'avère nécessaire, et ce vers une personne morale établie dans un pays non membre de l'Union européenne n'accordant pas une protection adéquate au sens de la directive 95/46/CE du 24 octobre 1995, il doit être fait application des dispositions spécifiques de la loi du 6 janvier 1978 modifiée, relatives aux transferts internationaux de données (encadrement juridique particulier et information des personnes concernées sur le fait que les données seront transférées vers un tel pays).

Enfin, dans l'hypothèse où il serait envisagé d'avoir recours à un prestataire pour gérer le dispositif d'alerte, celui-ci doit s'engager contractuellement à ne pas utiliser les données à des fins détournées, à assurer leur confidentialité et à respecter la durée de conservation limitée des données. L'entreprise concernée restera en tout état de cause responsable des traitements que le prestataire effectuera pour son compte.

8. La possibilité de rapports d'évaluation du dispositif

Dans le cadre de l'évaluation du dispositif d'alerte professionnelle, l'entreprise responsable peut communiquer aux entités chargées de cette mission au sein de son groupe toutes les informations statistiques utiles à leur mission (telles que les données relatives aux typologies d'alertes reçues et aux mesures correctives prises).

Ces informations ne doivent en aucun cas permettre l'identification directe ou indirecte des personnes concernées par les alertes.

9. Une conservation limitée des données à caractère personnel

Les données relatives à une alerte jugée infondée par l'entité responsable des alertes doivent être détruites sans délai.

Les données relatives aux alertes ayant nécessité une vérification ne doivent pas être conservées au-delà de deux mois à compter de la clôture des opérations de vérification, sauf engagement d'une procédure disciplinaire ou de poursuites judiciaires à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive.

10. Une information précise de la personne mise en cause

Conformément aux articles 6 et 32 de la loi du 6 janvier 1978 modifiée, l'information de la personne identifiée visée par une alerte doit être par principe réalisée par le responsable du dispositif dès l'enregistrement, informatisé ou non, des données la concernant afin de lui permettre de s'opposer sans délai au traitement de ces données.

Toutefois, l'information de la personne mise en cause ne saurait intervenir avant l'adoption de mesures conservatoires lorsque celles-ci s'avèrent indispensables, notamment pour prévenir la destruction de preuves nécessaires au traitement de l'alerte.

Cette information est réalisée selon des modalités permettant de s'assurer de sa bonne délivrance à la personne concernée.

Elle doit notamment préciser au salarié mis en cause l'entité responsable du dispositif, les faits qui lui sont reprochés, les services éventuellement destinataires de l'alerte ainsi que les modalités d'exercice de ses droits d'accès et de rectification.

11. Le respect des droits d'accès et de rectification

Conformément aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, toute personne identifiée dans le dispositif d'alerte professionnelle peut accéder aux données la concernant et en demander, le cas échéant, la rectification ou la suppression.

Elle ne peut en aucun cas obtenir communication, sur le fondement de son droit d'accès, des informations concernant des tiers, telles que l'identité de l'émetteur de l'alerte.

Lov om ændring af lov om forbud mod tv-overvågning m.v. og lov om behandling af personoplysninger Nr. 519 af 6. juni 2007.

VI MARGRETHE DEN ANDEN, af Guds Nåde Danmarks Dronning, gør vitterligt:
Folketinget har vedtaget og Vi ved Vort samtykke stadfæstet følgende lov:

§ 1

I lov om forbud mod tv-overvågning m.v., jf. lovbekendtgørelse Nr. 788 af 12. august 2005, som ændret ved § 4 i lov Nr. 542 af 8. juni 2006, foretages følgende ændringer:

1. Lovens titel affattes således:

«Lov om tv-overvågning».

2. I § 2 indsættes efter Nr. 2 som nyt nummer:

«3) Tv-overvågning, der foretages af pengeinstitutvirksomheder, spillekasinoer, hotel- og restaurationsvirksomheder samt butikscentre og butikker, hvorfra der foregår detailsalg, af

a) egne indgange og facader samt

b) arealer, som ligger i direkte tilknytning til egne indgange og facader, og som naturligt anvendes eller kan anvendes som adgangs- eller flugtvej i forhold til egne indgange, når overvågningen er klart nødvendig af hensyn til kriminalitetsbekæmpelse.»

Nr. 3 bliver herefter Nr. 4.

3. I § 3, stk. 2, ændres «§ 2, Nr. 3» til: «§ 2, Nr. 4».

4. I §§ 4 a og 4 b ændres «Politimesteren (Politidirektøren)»til: «Politidirektøren».

5. Efter § 6 indsættes:

«§ 6 a. Justitsministeren afgiver i folketingsåret 2010-11 en beretning til Folketinget om erfaringerne med bestemmelsen i § 2, Nr. 3.»

§ 2

I lov Nr. 429 af 31. maj 2000 om behandling af personoplysninger, som ændret ved § 7 i lov Nr. 280 af 25. april 2001 og § 6 i lov Nr. 552 af 24.juni 2005, foretages følgende ændringer:

1. I § 1 indsættes som stk. 7:

«Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse med tv-overvågning.»

2. I § 6, stk. 2, 2. pkt., og § 12, stk. 1, Nr. 3, 2. pkt., ændres «markedsføringslovens § 6 a» til: «markedsføringslovens § 6».

3. Efter § 26 indsættes:

«Kapitel 6 a Tv-overvågning

§ 26 a. Billed- og lydoptagelser med personoplysninger, der optages i forbindelse med tv-overvågning i kriminalitetsforebyggende øjemed, må kun videregives, hvis

1) den registrerede har givet sit udtrykkelige samtykke,

2) videregivelsen følger af lov eller

3) videregivelsen sker til politiet i kriminalitetsopklarende øjemed.

Stk. 2. Optagelser som nævnt i stk. 1 skal slettes senest 30 dage efter, at optagelserne er foretaget, jf. dog stk. 3.

Stk. 3. Optagelser kan opbevares i et længere tidsrum end nævnt i stk. 2, hvis det er nødvendigt af hensyn til den dataansvarliges behandling af en konkret tvist. Den dataansvarlige skal i så fald inden for den i stk. 2 angivne frist underrette den, som tvisten vedrører, og på anmodning udlevere en kopi af optagelsen til den pågældende.

§ 26 b. Bestemmelserne i §§ 29 og 30 gælder uanset en eventuel skiltning i medfør af §§ 3 og 3 a i lov om tv-overvågning.

§ 26 c. Behandling af personoplysninger i forbindelse med tv-overvågning er undtaget fra §§ 43, 48 og 52 om anmeldelse til Datatilsynet eller Domstolsstyrelsen.

Stk. 2. Uanset at behandling af personoplysninger i forbindelse med tv-overvågning er undtaget fra § 48, skal Datatilsynets tilladelse til overførsel af sådanne oplysninger til tredjelande i medfør af § 27, stk. 1 og stk. 3, Nr. 2-4, altid indhentes, hvis oplysningerne er omfattet af § 50, stk. 1.»

4. I § 36, stk. 3, ændres «markedsføringslovens § 6 a»til: «markedsføringslovens § 6»og «markedsføringslovens § 6 a, stk. 6» til: «markedsføringslovens § 6, stk. 7».

5. I § 62, stk. 3, indsættes efter «§ 50»: «eller foretages i forbindelse med tv-overvågning».

6. I § 70, stk. 1, Nr. 1, indsættes efter «§ 26, stk. 1, stk. 2, 2. pkt., og stk. 3,»: «§ 26 a,».

§ 3

Loven træder i kraft den 1. juli 2007.

§ 4

Stk. 1. Loven gælder ikke for Færøerne og Grønland, jf. dog stk. 2 og 3.

Stk. 2. Lovens § 1 kan ved kongelig anordning sættes i kraft for Færøerne og Grønland med de afvigelser, som de særlige færøske eller grønlandske forhold tilsiger.

Stk. 3. Lovens § 2 kan ved kongelig anordning sættes i kraft for rigsmyndighedernes behandling af oplysninger på Færøerne med de afvigelser, som de særlige færøske forhold tilsiger. Lovens § 2 kan ved kongelig anordning endvidere sættes i kraft for Grønland med de afvigelser, som de særlige grønlandske forhold tilsiger.

Givet på Christiansborg Slot, den 6. juni 2007

Under Vor Kongelige Hånd og Segl

Margrethe R./Lene Espersen

Medida Provisória n.º 2.200-2 de 24 de agosto de 2001 . Institui a Infra-Estrutura de Chaves Públicas Brasileira . ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informação em autarquia, e dá outras providências. Regula a certificação eletrônica e a assinatura digital, conferindo autenticidade, integridade e validade jurídica aos documentos eletrônicos

O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o Artigo 62º da Constituição, adota a seguinte Medida Provisória, com força de lei:

Artigo 1º. Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.

Artigo 2º. A ICP-Brasil, cuja organização será definida em regulamento, será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz – AC Raiz, pelas Autoridades Certificadoras – AC e pelas Autoridades de Registro – AR.

Artigo 3º. A função de autoridade gestora de políticas será exercida pelo Comitê Gestor da ICP-Brasil, vinculado à Casa Civil da Presidência da República e composto por cinco representantes da sociedade civil, integrantes de setores interessados, designados pelo Presidente da República, e um representante de cada um dos seguintes órgãos, indicados por seus titulares:

I. Ministério da Justiça;

II. Ministério da Fazenda;

III. Ministério do Desenvolvimento, Indústria e Comércio Exterior;

IV. Ministério do Planejamento, Orçamento e Gestão;

V. Ministério da Ciência e Tecnologia;

VI. Casa Civil da Presidência da República; e

VII. Gabinete de Segurança Institucional da Presidência da República.

1º. A coordenação do Comitê Gestor da ICP-Brasil será exercida pelo representante da Casa Civil da Presidência da República.

2º. Os representantes da sociedade civil serão designados para períodos de dois anos, permitida a recondução.

3º. A participação no Comitê Gestor da ICP-Brasil é de relevante interesse público e não será remunerada.

4º. O Comitê Gestor da ICP-Brasil terá uma Secretaria-Executiva, na forma do regulamento.

Artigo 4º. Compete ao Comitê Gestor da ICP-Brasil:

I. adotar as medidas necessárias e coordenar a implantação e o funcionamento da ICP-Brasil;

II. estabelecer a política, os critérios e as normas técnicas para o credenciamento das AC, das AR e dos demais prestadores de serviço de suporte à ICP-Brasil, em todos os níveis da cadeia de certificação;

III. estabelecer a política de certificação e as regras operacionais da AC Raiz;

IV. homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço;

V. estabelecer diretrizes e normas técnicas para a formulação de políticas de certificados e regras operacionais das AC e das AR e definir níveis da cadeia de certificação;

VI. aprovar políticas de certificados, práticas de certificação e regras operacionais, credenciar e autorizar o funcionamento das AC e das AR, bem como autorizar a AC Raiz a emitir o correspondente certificado;

VII. identificar e avaliar as políticas de ICP externas, negociar e aprovar acordos de certificação bilateral, de certificação cruzada, regras de interoperabilidade e outras formas de cooperação internacional, certificar, quando for o caso, sua compatibilidade com a ICP-Brasil, observado o disposto em tratados, acordos ou atos internacionais; e

VIII. atualizar, ajustar e revisar os procedimentos e as práticas estabelecidas para a ICP-Brasil, garantir sua compatibilidade e promover a atualização tecnológica do sistema e a sua conformidade com as políticas de segurança.

Parágrafo único. O Comitê Gestor poderá delegar atribuições à AC Raiz.

Artigo 5º. À AC Raiz, primeira autoridade da cadeia de certificação, executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil, compete emitir, expedir, distribuir, revogar e gerenciar os certificados das AC de nível imediatamente subseqüente ao seu, gerenciar a lista de certificados emitidos, revogados e vencidos, e executar atividades de fiscalização e auditoria das AC e das AR e dos prestadores de serviço habilitados na ICP, em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil, e exercer outras atribuições que lhe forem cometidas pela autoridade gestora de políticas.

Parágrafo único. É vedado à AC Raiz emitir certificados para o usuário final.

Artigo 6º. Às AC, entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptográficas ao respectivo titular, compete emitir, expedir, distribuir, revogar e gerenciar os certificados, bem como colocar à disposição dos usuários listas de certificados revogados e outras informações pertinentes e manter registro de suas operações.

Parágrafo único. O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de assinatura será de seu exclusivo controle, uso e conhecimento.

Artigo 7º. Às AR, entidades operacionalmente vinculadas a determinada AC, compete identificar e cadastrar usuários na presença destes, encaminhar solicitações de certificados às AC e manter registros de suas operações.

Artigo 8º. Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado.

Artigo 9º. É vedado a qualquer AC certificar nível diverso do imediatamente subseqüente ao seu, exceto nos casos de acordos de certificação lateral ou cruzada, previamente aprovados pelo Comitê Gestor da ICP-Brasil.

Artigo 10º. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.

1º. As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do Artigo 131 da Lei nº 3.071, de 1o de janeiro de 1916 – Código Civil.

2º. O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.

Artigo 11º. A utilização de documento eletrônico para fins tributários atenderá, ainda, ao disposto no Artigo 100º da Lei nº 5.172, de 25 de outubro de 1966 . Código Tributário Nacional.

Artigo 12º. Fica transformado em autarquia federal, vinculada ao Ministério da Ciência e Tecnologia, o Instituto Nacional de Tecnologia da Informação – ITI, com sede e foro no Distrito Federal.

Artigo 13º. O ITI é a Autoridade Certificadora Raiz da Infra-Estrutura de Chaves Públicas Brasileira.

Artigo 14º. No exercício de suas atribuições, o ITI desempenhará atividade de fiscalização, podendo ainda aplicar sanções e penalidades, na forma da lei.

Artigo 15º. Integrarão a estrutura básica do ITI uma Presidência, uma Diretoria de Tecnologia da Informação, uma Diretoria de Infra-Estrutura de Chaves Públicas e uma Procuradoria-Geral.

Parágrafo único. A Diretoria de Tecnologia da Informação poderá ser estabelecida na cidade de Campinas, no Estado de São Paulo.

Artigo 16. Para a consecução dos seus objetivos, o ITI poderá, na forma da lei, contratar serviços de terceiros.

1º. O Diretor-Presidente do ITI poderá requisitar, para ter exercício exclusivo na Diretoria de Infra-Estrutura de Chaves Públicas, por período não superior a um ano, servidores, civis ou militares, e empregados de órgãos e entidades integrantes da Administração Pública Federal direta ou indireta, quaisquer que sejam as funções a serem exercidas.

2º. Aos requisitados nos termos deste artigo serão assegurados todos os direitos e vantagens a que façam jus no órgão ou na entidade de origem, considerando-se o período de requisição para todos os efeitos da vida funcional, como efetivo exercício no cargo, posto, graduação ou emprego que ocupe no órgão ou na entidade de origem.

Artigo 17º. Fica o Poder Executivo autorizado a transferir para o ITI:

I. os acervos técnico e patrimonial, as obrigações e os direitos do Instituto Nacional de Tecnologia da Informação do Ministério da Ciência e Tecnologia;

II. remanejar, transpor, transferir, ou utilizar, as dotações orçamentárias aprovadas na Lei Orçamentária de 2001, consignadas ao Ministério da Ciência e Tecnologia, referentes às atribuições do órgão ora transformado, mantida a mesma classificação orçamentária, expressa por categoria de programação em seu menor nível, observado o disposto no inciso 2º do Artigo 3º da Lei nº 9.995, de 25 de julho de 2000, assim como o respectivo detalhamento por esfera orçamentária, grupos de despesa, fontes de recursos, modalidades de aplicação e identificadores de uso.

Artigo 18º. Enquanto não for implantada a sua Procuradoria Geral, o ITI será representado em juízo pela Advocacia Geral da União.

Artigo 19º. Ficam convalidados os atos praticados com base na Medida Provisória nº 2.200-1, de 27 de julho de 2001.

Artigo 20º. Esta Medida Provisória entra em vigor na data de sua publicação.

Brasília, 24 de agosto de 2001; 180º da Independência e 113º da República.

Fernando Henrique Cardoso
José Gregori
Martus Tavares
Ronaldo Mota Sardenberg
Pedro Parente

La Orden TAS/770/2003, de 14 de marzo de 2003, desarrolla el Real Decreto 1424/2002, de 27 de diciembre, por el que se regula la comunicación del contenido de los contratos de trabajo y de sus copias básicas a los Servicios Públicos de Empleo, y el uso de medios telemáticos en relación con aquélla.

El objeto de dicha orden fue definir los datos que obligatoriamente deben comunicarse a los Servicios Públicos de Empleo respecto de las comunicaciones a las que se refiere el artículo tercero del citado Real Decreto 1424/2002, de 27 de diciembre, regular el procedimiento que permitiera el uso de medios telemáticos en relación con aquélla y aprobar la aplicación informática por parte del Servicio Público de Empleo Estatal, denominada Aplicación de Comunicación de la Contratación a Través de Internet (Contrata), para llevar a cabo tales comunicaciones.

En concreto, con arreglo a su contenido, para la utilización de esa aplicación, los sujetos obligados a comunicar el contenido de la contratación laboral a los Servicios Públicos de Empleo o quienes ostenten su representación, precisan de una autorización cuya concesión es competencia de los Servicios Públicos de Empleo de las Comunidades Autónomas.

Desde su entrada en vigor se han producido importantes cambios en relación con posibles nuevos solicitantes de la autorización para la comunicación de la contratación laboral, en particular han surgido los Puntos de Asesoramiento e Inicio de Tramitación (PAIT) de las sociedades nueva empresa. Estos PAIT se regulan en la disposición adicional tercera del Texto Refundido de la Ley de Sociedades de Capital, aprobado por el　Real Decreto Legislativo 1/2010, de 2 de julio, como oficinas dependientes de las Administraciones Públicas y entidades públicas y privadas, así como colegios profesionales, organizaciones empresariales y cámaras de comercio, desde las que se puede asesorar y prestar servicios a los emprendedores.

También pueden realizar funciones de PAIT los centros de Ventanilla Única Empresarial (VUE).

Los servicios que presta un PAIT, además de los de información y asesoramiento, son la realización, con carácter gratuito y obligatorio, de los trámites necesarios para la constitución de la sociedad nueva empresa mediante el Documento único Electrónico (DUE).

Con este sistema de tramitación telemática el futuro empresario se evita multitud de trámites presenciales permitiendo la creación de una empresa en aproximadamente 48 horas, frente a los más de 40 días que se tarda si los trámites se realizan de manera presencial.

Sin embargo los PAIT no pueden realizar la comunicación de la contratación laboral ya que la actual normativa no contempla esta figura entre las posibles autorizadas para actuar en nombre de terceros.

Con el fin de que los PAIT, a través del Ministerio de Industria, Energía y Turismo como usuario principal, puedan ser autorizados para realizar por medios telemáticos la comunicación de la contratación laboral, evitando esta gestión al empresario, se hace necesario modificar la Orden TAS/770/2003, de 14 de marzo de 2003, por la que se desarrolla el Real Decreto 1424/2002, de 27 de diciembre, por el que se regula la comunicación del contenido de los contratos de trabajo y de sus copias básicas a los Servicios Públicos de Empleo, y el uso de medios telemáticos en relación con aquélla.

Aprovechando esta modificación se ha procedido, asimismo, a actualizar la información relativa a los datos a comunicar, recogidos en el anexo I de la Orden TAS/770/2003, de 14 de marzo, para adaptarla a las modalidades de contratación en vigor.

En el proceso de elaboración de esta norma se ha consultado a los interlocutores sociales y a las Comunidades Autónomas.

En su virtud, y en uso de las atribuciones concedidas en las disposiciones finales primera y tercera del mencionado Real Decreto 1424/2002, de 27 de diciembre, y con la aprobación previa del Ministro de Hacienda y Administraciones Públicas, dispongo:

Artículo único.– Modificación de la Orden TAS/770/2003, de 14 de marzo, por la que se desarrolla el Real Decreto 1424/2002, de 27 de diciembre, por el que se regula la comunicación del contenido de los contratos de trabajo y de sus copias básicas a los Servicios Públicos de Empleo, y el uso de medios telemáticos en relación con aquélla.

La Orden TAS/770/2003, de 14 de marzo, por la que se desarrolla el Real Decreto 1424/2002, de 27 de diciembre, por el que se regula la comunicación del contenido de los contratos de trabajo y de sus copias básicas a los Servicios Públicos de Empleo, y el uso de medios telemáticos en relación con aquélla, queda modificada como sigue:

Uno. Se añade un nuevo apartado 3 en el artículo 3, con la siguiente redacción:

«3. La citada autorización también podrá ser concedida al Ministerio de Industria, Energía y Turismo, así como a los organismos que hayan firmado un convenio con el citado Ministerio de establecimiento de Puntos de Asesoramiento e Inicio de Tramitación (PAIT), para que puedan realizar comunicaciones de la contratación en nombre de terceros a los que se les esté tramitando el Documento Único Electrónico (DUE) regulado en la disposición adicional tercera del texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio, y en su normativa de desarrollo.

También podrá ser concedida esa autorización a los Centros de Ventanilla Única Empresarial (VUE), que por Ley puedan ejercer funciones como PAIT.

La autorización concedida a la que se hace referencia en este apartado sólo podrá ser utilizada dentro de la tramitación del DUE.»

Dos. Se modifica el apartado 2 del artículo 5 y se añade un nuevo apartado 4 con la siguiente redacción:

«2. Datos de la empresa o del profesional colegiado para el que se solicita la autorización:

NIF/NIE.

Código cuenta de cotización.

Dirección postal: vía, municipio y código postal.

Dirección de correo electrónico.

Si se trata de un profesional colegiado que carezca de código de cuenta de cotización, se aportará en su lugar el dato de número de afiliación a la Seguridad Social.»

«4. En el caso del Ministerio de Industria, Energía y Turismo, el responsable será la Dirección General de Industria y de la PYME. Los datos de contacto se notificarán al Servicio Público de Empleo Estatal en caso de variación.»

Tres. Los apartados 1 y 3 del artículo 6 quedan redactados en los siguientes términos:

«1. Los solicitantes de la autorización a los que se hace referencia en el artículo 3, para poder ser autorizados, deberán tener asignado a su NIF o NIE una cuenta de cotización por la Tesorería General de la Seguridad Social que deberá existir previamente a la autorización en la Base de Datos del Servicio Público de Empleo Estatal.»

«3. Las empresas cuyas comunicaciones sean efectuadas por los autorizados a los que se hace referencia en los apartados 2 y 3 del artículo 3, deberán tener asignada a su NIF/NIE, una cuenta de cotización por la Tesorería General de la Seguridad Social que deberá existir en la Base de Datos del Servicio Público de Empleo Estatal.»

Cuatro. Los apartados 2 y 3 del artículo 9 quedan redactados como sigue:

«2. A través de la aplicación Web creada a tales efectos, denominada «Comunicación de la Contratación Laboral a través de Internet», los usuarios podrán solicitar las autorizaciones de uso a las que se refiere esta norma, así como realizar las comunicaciones antes mencionadas mediante conexión con la dirección www.sepe.es o con cualquiera de las direcciones conectadas con ésta que se habiliten al efecto por los Servicios Públicos de Empleo de las Comunidades Autónomas.

3. La aplicación mencionada en los puntos anteriores cumplirá con los requisitos necesarios para asegurar la autenticidad, confidencialidad, integridad, disponibilidad, conservación y demás condiciones establecidas en el Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.»

Cinco. Se añade un nuevo apartado 5 al artículo 11 con la redacción siguiente:

«5. El Ministerio de Industria, Energía y Turismo, a través del Director General de Industria y de la PYME, realizará la solicitud de la autorización al Servicio Público de Empleo Estatal que procederá a resolver dicha solicitud y notificarla en el plazo de los quince días siguientes a la recepción de aquella.»

Seis. El ANEXO I relativo a la «Relación de datos obligatorios a comunicar a los Servicios Públicos de Empleo» se sustituye por el que se recoge en el ANEXO de esta orden.

DISPOSICIONES FINALES

Disposición final primera.- Título competencial.

Esta orden se dicta al amparo de lo dispuesto en el artículo 149.1.7.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de legislación laboral, sin perjuicio de su ejecución por los órganos de las Comunidades Autónomas.

Disposición final segunda.- Entrada en vigor.

La presente orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

ANEXO.- Modificación del Anexo I de la Orden TAS/770/2003, de 14 de marzo, por la que se desarrolla el Real Decreto 1424/2002, de 27 de diciembre, por el que se regula la comunicación del contenido de los contratos de trabajo y de sus copias básicas a los Servicios Públicos de Empleo, y el uso de medios telemáticos en relación con aquélla

«ANEXO I.-Relación de datos obligatorios a comunicar a los servicios públicos de empleo

1. Datos comunes a todas las comunicaciones excepto las certificaciones del apartado ocho de este anexo

Datos de la Empresa:

NIF/NIE.
Nombre o Razón Social.
Dirección.
Nombre de vía.
Municipio.
Código postal.
Datos de la Cuenta de Cotización a la Seguridad Social:
Cuenta de cotización:
Régimen de cotización.
Provincia.
Número.
Dígito de control.
Actividad económica.

Datos del Centro de Trabajo:

País.
Municipio (sólo y obligatorio si País es España).
Datos del Trabajador:
NIF/NIE/ (no se consignará en las comunicaciones de copias básicas).
Nombre.
Primer apellido.
Segundo apellido (si posee NIE y carece de segundo apellido, no se consignará).
Fecha de nacimiento (mayor de dieciséis años).
Sexo.
Nacionalidad.
País de domicilio.
Municipio de domicilio (sólo y obligatorio si País de residencia es España).

2. Datos de la comunicación del contrato

Datos comunes a todos los contratos:

Código del contrato según la siguiente tabla:

Indefinidos:

Tiempo completo:

100: Indefinido ordinario a tiempo completo.
130: Indefinido de discapacitado a tiempo completo.
150: Indefinido bonificado a tiempo completo.

Tiempo parcial:

200: Indefinido ordinario a tiempo parcial.
230: Indefinido de discapacitado a tiempo parcial.
250: Indefinido bonificado a tiempo parcial.

Fijos discontinuos:

300: Fijo discontinuo.
330: Fijo discontinuo de discapacitado.
350: Fijo discontinuo bonificado.

Temporales:

Tiempo completo:

401: Obra o servicio determinado a tiempo completo.
402: Eventual por circunstancias de la producción a tiempo completo.
410: Interinidad a tiempo completo.
420: Prácticas a tiempo completo.
421: Formación a tiempo completo.
430: Temporal de discapacitado a tiempo completo.
441: Relevo a tiempo completo.
450: Temporal bonificado a tiempo completo.
452: Temporal T. Completo Empresas de Inserción.

Tiempo parcial:

501: Obra o servicio determinado a tiempo parcial.
502: Eventual por circunstancias de la producción a tiempo parcial.
510: Interinidad a tiempo parcial.
520: Prácticas a tiempo parcial.
530: Temporal de discapacitado a tiempo parcial.
540: Jubilación parcial.
541: Relevo a tiempo parcial.
550: Temporal bonificado a tiempo parcial.
552: Temporal T. Parcial Empresas de Inserción.

Otros no contenidos en los anteriores a tiempo completo o a tiempo parcial:

970: Adscripción a Colaboración Social.
980: Jubilación especial a los 64 años.
990: Otros contratos.

Fecha de inicio de la relación laboral.
Ocupación o profesión.
Nivel formativo.
Identificador de la oferta de empleo (obligatoria para contratos de Programas de Empleo).

Datos de los contratos según modalidad y otras características del contrato:

Parcial:

Horas de jornada:

Período de tiempo en que se realizan las horas de jornada.
Horas de convenio (sólo si el contrato es subvencionado).
Porcentaje de jubilación parcial (sólo en el contrato de jubilación parcial).

Duración determinada:

Fecha de término de la relación laboral (en el contrato de obra o servicio determinado y en el de interinidad no se consignará la fecha de término si no se conoce).
Convenio que autorice duración superior a la máxima permitida (cuando lo permita la norma).

Prácticas:

Titulación académica.

Formación:

Horas de jornada.
Período de tiempo en que se realizan las horas de jornada.
Horas de formación.
Colectivo de edad permitida para el contrato.
Indicación de discapacidad (cuando proceda).
Convenio que autorice duración distinta a la permitida.

Anexo de Formación.

Interinidad:

Causa objeto de la interinidad para sustituir a trabajadores.

Relevo:

Tipo de trabajador de relevo contratado.

Investigación:

Tipo de empleador que contrata.
Tipo de trabajador contratado.

Acogidos a Medidas de la contratación:

Normativa a la que se acoge.
Colectivo al que pertenece, si procede.
Cualquier otro dato que se solicite en el modelo oficial establecido.

Subsidiado mayor de 52 años:

Indicación de si el trabajador es perceptor de cualquiera de los subsidios recogidos en el artículo 215 del Texto Refundido de la Ley General de la Seguridad Social, o bien es perceptor del subsidio en favor de los trabajadores eventuales agrarios incluidos en el Sistema Especial para Trabajadores por Cuenta Ajena Agrarios incluidos en el Régimen General de la Seguridad Social.

Discapacitados:

Indicador de Bonificación.
Colectivo de Bonificación.
Indicación de si la empresa es un Centro Especial de Empleo.

Contrato de puesta a disposición de una Empresa de Trabajo Temporal:

NIF/NIE de empresa usuaria.

Cuenta de cotización:

Régimen de cotización.
Provincia.
Número.
Dígito de control.

Contrato para Escuelas Taller, Casas de Oficios o Talleres de Empleo:

Tipo de trabajador contratado.
Tipo de programa.

Programa de Empleo:

Programa para el que se contrata.

Interés Social sin ánimo de lucro:

Grupo de Cotización.

Contrato a distancia:

Indicar que el contrato es de esta modalidad.

Contrato de grupo:

Indicar que el contrato es de esta modalidad.
Identificador (NIF/NIE) de los trabajadores del grupo.

3. Datos de la comunicación de copia básica

Resto de datos contenidos en el contrato y que no estén recogidos en este anexo en el apartado uno y en el apartado dos o siete según se trate de una comunicación de copia básica de un contrato o de una transformación a indefinido de un contrato temporal, respectivamente.
Domicilio del centro de trabajo (dirección completa).
Tipo de firma de la copia básica.

4. Datos de la comunicación de prórroga

Fecha de inicio de la prórroga.
Fecha de término de la prórroga.

5. Datos de la comunicación de horas complementarias

Número total de horas complementarias.
Porcentaje de aumento que supone sobre las horas pactadas en el contrato.
Identificador del contrato si se conoce.

6. Datos de la comunicación de llamamiento de fijo discontinuo

Fecha de inicio del llamamiento.
Fecha de término del llamamiento (si se conoce).
Identificador del contrato (si se conoce).
Nivel Formativo del trabajador.

7. Datos de la comunicación de transformación a indefinido de contrato temporal

Datos comunes a todas las transformaciones de contratos:

Código del contrato según la siguiente tabla:

Tiempo completo:

109: Conversión a indefinido bonificado a tiempo completo.
139: Conversión a indefinido de discapacitado a tiempo completo.
189: Conversión a indefinido no bonificado a tiempo completo.

Tiempo parcial:

209: Conversión a indefinido bonificado a tiempo parcial.
239: Conversión a indefinido de discapacitado a tiempo parcial.
289: Conversión a indefinido no bonificado a tiempo parcial.

Fijo discontinuo:

309: Conversión a fijo discontinuo bonificado.
389: Conversión a fijo discontinuo no bonificado.
339: Conversión a fijo discontinuo de minusválido.

Fecha de inicio de la transformación.
Ocupación o profesión.

Datos del contrato transformado según modalidad y otras características del contrato:

Parcial:

Horas de jornada.
Período de tiempo en que se realizan las horas de jornada (días, semana, mes o año).
Horas de convenio (sí el contrato es subvencionado).

Acogidos a Medidas de la contratación:

Normativa a la que se acoge.
Colectivo al que pertenece, si procede.

8. Datos de la comunicación telemática de la certificación expedida por la administración pública o entidad encargada de gestionar la formación de trabajadores sustituidos durante dichos períodos por trabajadores desempleados beneficiarios de prestaciones por desempleo
Datos del Representante de la Administración Pública o Entidad encargada de gestionar la formación:
NIF/NIE.
Nombre.
Primer apellido.
Segundo apellido (si posee NIE y carece de segundo apellido, no se consignará).

Datos de la Administración Pública o Entidad encargada de gestionar la formación:

Administración Pública o Entidad encargada de gestionar la formación (Ministerio de Educación, Cultura y Deporte, Ministerio de Empleo y Seguridad Social, Organismo Autónomo, Organismo Perteneciente a Comunidad Autónoma u Otras Entidades como la Fundación Tripartita para la Formación en el Empleo, etc.).
Nombre de la entidad que subvenciona la acción.
Código identificativo de la subvención.
Datos de la Empresa que tiene contratado al trabajador en formación a sustituir:
NIF/NIE.
Número de inscripción en la Seguridad Social.
Nombre o Razón Social.

Dirección:

Nombre de vía.
Municipio.
Código postal.
Número de trabajadores en plantilla.

Datos del trabajador en formación a sustituir:

NIF/NIE (no se consignará en las comunicaciones de copias básicas).
Número de afiliación a la Seguridad Social.
Nombre.
Primer apellido.
Segundo apellido (si posee NIE y carece de segundo apellido, no se consignará).
Ocupación o profesión.
Categoría profesional.

Datos de las acciones formativas programadas:

Denominación de la acción formativa.
Fecha de inicio de la acción formativa.
Fecha fin de la acción formativa.
Total de horas de la acción formativa.
Horario en que se imparte la acción formativa.

Datos del centro de formación encargado de las acciones formativas:

Nombre o razón social del centro de formación.
Dirección del centro de formación.
Nombre de vía.
Municipio.
Código postal.

Datos del lugar y fecha de expedición de la certificación:

Lugar.
Fecha.»

La Orden de 21 de julio de 1994, por la que se regulan los ficheros con datos de carácter personal gestionados por el Ministerio de Sanidad y Consumo reguló los ficheros automatizados con datos de carácter personal gestionados por dicho Ministerio.

El artículo 20.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, dispone que la creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrá hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente.

Mediante esta orden se procede a modificar la Orden de 21 de julio de 1994, anteriormente citada, creándose un nuevo fichero denominado Protectorado de la Organización Nacional de Ciegos Españoles (ONCE) con datos de carácter personal gestionados por el Ministerio de Sanidad, Servicios Sociales e Igualdad.

En la tramitación de esta orden ha emitido informe preceptivo la Agencia Española de Protección de Datos, en su virtud, dispongo:

Artículo 1º.- Creación de fichero.

Se amplía el contenido del anexo II «Ficheros de carácter administrativo» de la Orden de 21 de julio de 1994, con la creación de un nuevo fichero parcialmente automatizado denominado «Protectorado de la Organización Nacional de Ciegos Españoles (ONCE)», cuyos datos figuran en el anexo de esta orden.

Artículo 2º.- Gestión y organización del fichero.

El titular del órgano responsable de estos ficheros adoptará las medidas de gestión y organización que sean necesarias, asegurando, en todo caso, la confidencialidad, seguridad e integridad de los datos, así como las conducentes a hacer efectivas las garantías, obligaciones y derechos reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal,, y en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal,.

Artículo 3º.- Cesión de datos.

Los datos contenidos en estos ficheros sólo podrán ser cedidos en los supuestos expresamente previstos por la ley.

Disposición final única. – Entrada en vigor.

La presente orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Madrid, 9 de octubre de 2013.

La Ministra de Sanidad, Servicios Sociales e Igualdad, Ana Mato Adrover.

ANEXO.- Denominación del fichero: Protectorado de la Organización Nacional de Ciegos Españoles (ONCE)

Finalidad del fichero: Resolución de recursos de afiliación a la ONCE, de derechos de los afiliados a la ONCE, de modalidades de juego comercializados por la ONCE y atención de recursos, consultas y quejas en relación a la ONCE y a las actuaciones del propio Consejo de Protectorado.

Personas o colectivos sobre los que se pretende obtener datos de carácter personal o que resulten obligados a suministrarlos: Personas que hayan interpuesto recurso de alzada o que hayan planteado recurso, consulta o queja al Consejo de Protectorado de la ONCE.

Procedimiento de recogida de datos de carácter personal: Personas que interponen recursos, consultas y quejas a través de escritos, formularios y transmisión electrónica de datos/Internet.

Estructura básica del fichero y descripción de los tipos de datos: En papel y base de datos informática. Nombre y apellidos del interesado, número de documento de identificación (NIF), fecha de nacimiento, sexo, domicilio postal, teléfono, datos sanitarios personales, pruebas periciales y testificales, valor económico del premio reclamado y datos variables respecto a la naturaleza de la consulta, queja y solicitud.

Sistema de tratamiento: Parcialmente automatizado.

Cesiones de datos de carácter personal y/o transferencias de datos: Se prevén cesiones de datos a la ONCE, tanto en su calidad de parte interesada del procedimiento como en la solicitud de informes y pruebas periciales, sin perjuicio de que los datos cedidos puedan obrar ya en poder de la organización de acuerdo con el ejercicio de sus funciones.

Órgano de las Administraciones responsables del fichero: Dirección General de Políticas de Apoyo a la Discapacidad. Secretaría del Consejo de Protectorado de la ONCE.

Servicios ante los cuales se podrá ejercitar el derecho de acceso, rectificación, cancelación y oposición: Secretaría del Consejo de Protectorado de la ONCE. Paseo de la Castellana, 67, 6.ª planta, 28071 Madrid.

Medidas de seguridad con indicación de nivel: Alto.

Chapter I.- General Provisions

Article 1.- This Regulation is formulated in accordance with the «Copyright Law of the People’s Republic of China» (hereinafter referred to as the Copyright Law) so as to regulate the collective administration of copyright, and facilitate both the copyright owners and other right holders relating to copyright (hereinafter referred to as obligees) to exercise their rights as well as for the users to use works.

Article 2.- Collective administration of copyright, which is mentioned in this Regulation, shall mean the following activities carried out by the organizations for collective administration of copyright in their respective own names upon authorization of the obligees, so as to exercise the obligees’ relevant rights in a centralized way:

(1) Concluding with the user a license contract of copyright or of a copyright-related right (hereinafter referred to as license contract);

(2) Charging royalties from the user;

(3) Transferring royalties to the obligee;

(4) Participating in litigation or arbitration, etc. involving copyright or a copyright-related right.

Article 3.- The organization for collective administration of copyright as mentioned in this Regulation shall mean a private organization that is lawfully established for the benefit of the obligees, and conducts collective administration of the obligee’s copyright or other copyright-related rights upon the authorization of the obligees.

An organization for collective administration of copyright shall be registered and carry out activities in accordance with this Regulation and other administrative regulations on registration and administration of social organizations.

Article 4.- Such rights as prescribed in the Copyright Law which are difficult to be effectively exercised by the obligees themselves as the right of performance, projection, broadcasting, lease, dissemination through information network, reproduction, etc., may be subject to collective administration by organizations for collective administration of copyright.

Article 5.- The copyright administration department under the State Council shall take charge of the collective administration of copyright nationwide.

Article 6.- No organization or individual except the organizations for collective administration of copyright which were established under this Regulation may engage in the activities of collective administration of copyright.

Chapter II.- Establishment of Organizations for Collective Administration of Copyright

Article 7.- Chinese citizens, legal persons or other organizations that lawfully enjoy copyright or a copyright-related right, may promote the establishment of an organization for collective administration of copyright.

For the establishment of an organization for collective administration of copyright, the following conditions shall be fulfilled:

(1) There shall be no less than 50 obligees who promote the establishment of the organization for collective administration of copyright;

(2) The scope of business of the organization for collective administration of copyright shall not be overlapped with that of another lawfully registered organization for collective administration of copyright;

(3) The organization for collective administration of copyright may represent the benefits of relevant obligees throughout the country;

(4) The organization for collective administration of copyright has formulated a draft of its articles of association, a draft of royalty rates to be charged, and a draft of the measures for transferring royalties to the obligees (hereinafter referred to as royalty transfer measures).

Article 8.- The articles of association of an organization for collective administration of copyright shall state the following details:

(1) name and domicile;

(2) tenet of establishment;

(3) scope of business;

(4) organizational structure and the powers;

(5) quorum of the general meeting;

(6) duties of the council, conditions for the position of person-in-charge of the council, and the procedures for appointment or removal of the person-in-charge;

(7) measures for drawing and using administrative fees;

(8) conditions and procedures membership or withdrawal;

(9) procedures for amendment of the articles of association;

(10) conditions and procedures for terminating the organization for collective administration of copyright, and disposition of the assets after the termination.

Article 9.- Whoever applies for establishing an organization for collective administration of copyright shall submit to the copyright administration department under the State Council the materials testifying the fulfillment of the conditions as prescribed in Article 7 of this Regulation. The copyright administration department under the State Council shall, within 60 days as of receipt of the materials, make a decision on whether approving the application or not. If it approves the application, it shall issue a permit for collective administration of copyright; if it does not grant the approval, it shall state the reason there for.

Article 10.- The applicant shall, within 30 days after the copyright administration department under the State Council issues a permit for collective administration of copyright, make registration in the civil affairs department under the State Council in accordance with the relevant administrative regulations on registration and administration of social organizations.

Article 11.- A lawfully registered organization for collective administration of copyright shall, within 30 days after the civil affairs department under the State Council issues a registration certificate, submit a counterpart of its registration certificate to the copyright administration department under the State Council for archival purposes; the copyright administration department under the State Council shall then announce the archived counterpart of the registration certificate, the articles of association of the organization for collective administration of copyright, the royalty charging rates, and the royalty transfer measures.

Article 12.- An organization for collective administration of copyright shall, if establishing a branch, be approved by the copyright administration department under the State Council, and make registration in the civil affairs department under the State Council in accordance with the relevant administrative regulations on registration and administration of social organizations. If the branch is lawfully registered, the said organization shall submit a counterpart of the branch’s registration certificate to the copyright administration department under the State Council for archival purposes, and the copyright administration department under the State Council shall announce the establishment of the branch.

Article 13.- An organization for collective administration of copyright shall formulate its royalty charging rates on the basis of the following factors:

(1) time, method and area for the works, audio or video products, etc. to be used;

(2) varieties of the rights;

(3) extent of complexity for concluding the license contract and charging royalties.

Article 14.- An organization for collective administration of copyright shall formulate its royalty transfer measures on the basis of the obligees’ use of the works or audio or video products, etc.

Article 15.- An organization for collective administration of copyright shall, if amending its articles of association, submit the draft of amendment of the articles of association to the copyright administration department under the State Council for approval. Such draft shall, after lawfully ratified by the civil affairs department under the State Council, be announced by the copyright administration department under the State Council.

Article 16.- Where the registration of an organization for collective administration of copyright is lawfully cancelled, this organization shall no longer carry out any activity of collective administration of copyright as of the date when its registration is cancelled.

Chapter III.- Organizational Structure of the Organization for Collective Administration of Copyright

Article 17.- The general assembly of an organization for collective administration of copyright (hereinafter referred to as the general assembly) shall be the office of power of this organization.

The responsibility to convene the general assembly under this Regulation shall remain with the council. The council shall, 60 days before the general meeting is convened, announce the time and place of the meeting and the matters to be deliberated. The members who are to be present at the general meeting shall enter their names 30 days before the general meeting is convened. If the members who enter their names to be present at the general assembly are less than the quorum prescribed in the articles of association, the council shall announce the registry of names for attending the general assembly, and the members may supplement their names 5 days before the meeting is convened, while the general assembly shall be held by all the members who have registered their names to be present at the general assembly.

The general assembly may exercise the following powers:

(1) Formulating and amending the articles of association;

(2) Formulating and amending the royalty charging rates;

(3) Formulating and amending the royalty transfer measures;

(4) Electing and removing council members;

(5) Deliberating and approving the council’s work reports and financial reports;

(6) Formulating internal management systems;

(7) Deciding on royalty transfer plans and the proportion for the organization for collective administration of copyright to charge the administrative fee;

(8) Deciding on other major issues.

The general assembly shall be convened once every year. A temporary general assembly may be convened if so proposed either by no less than 10% of the members or by the council. The decision made by the general assembly shall be adopted by vote by more than a half of the members present at the meeting.

Article 18.- An organization for collective administration of copyright shall set up a council to be responsible for the general assembly, and to execute the decisions of the general assembly. There shall be no less than 9 members in the council.

The term of each session of the council shall be 4 years, and election shall be held for the next session if the present session expires. In case of a particular circumstance, the election for the next session may be held in advance or be postponed, provided that the time delayed shall not exceed 1 year.

Chapter IV.- Activities of Collective Administration of Copyright

Article 19.- An obligee may conclude in written form with an organization for collective administration of copyright a contract for collective administration of copyright, authorizing this organization to administer the copyright or copyright-related rights which he lawfully enjoys. If the obligee meets the conditions prescribed in articles of association for joining the organization for collective administration of copyright, the said organization shall conclude with him a contract for collective administration of copyright and may not refuse to do so.

After the obligee has concluded with the organization for collective administration of copyright a contract for collective administration of copyright and has performed the corresponding formalities pursuant to the articles of association, he shall become a member of this organization for collective administration of copyright.

Article 20.- An obligee shall not, after concluding a contract for collective administration of copyright with the organization for collective administration of copyright, and within the time limit stipulated in the contract, exercise by himself or permits others to exercise the rights that are stipulated in the contract to be exercised by the organization for collective administration of copyright.

Article 21.- An obligee may, pursuant to the procedures prescribed in the articles of association, withdraw from the organization for collective administration of copyright, and terminate the contract for collective administration of copyright. However, if the organization for collective administration of copyright has concluded with any other person a license contract, the said contract shall continue to be effective prior to the expiry of its duration; within the duration of validity of this contract, the obligee shall have the right to receive corresponding royalties and may consult relevant business materials.

Article 22.- A foreigner or stateless person may, through an overseas organization of the same kind, which has concluded with a Chinese organization for collective administration of copyright a reciprocal representing agreement, and may authorize a Chinese organization for collective administration of copyright to administer his copyright or the rights related to copyright that he may lawfully enjoys inside China.

The reciprocal representing agreement as mentioned in the preceding paragraph shall mean an agreement under which a Chinese organization for collective administration of copyright and an overseas organization of the same kind reciprocally authorize each other to carry out collective administration activities within its country or region.

The reciprocal representing agreement concluded between an organization for collective administration of copyright and an overseas organization of the same kind shall be reported to the copyright administration department under the State Council for archival purposes, and the copyright administration department under the State Council shall announce such an agreement.

Article 23.- An organization for collective administration of copyright shall, if permitting others to use the works, audio or video products, etc. under its administration, conclude with the user in written form a license contract.

An organization for collective administration of copyright shall not conclude with any user a contract of license for exclusive use.

Where any user requests with reasonable conditions to conclude with the organization for collective administration of copyright a license contract, the organization for collective administration of copyright shall not refuse such request.

The duration of a license contract shall not exceed 2 years; and the contract may be renewed at expiry of its duration.

Article 24.- An organization for collective administration of copyright shall set up a system for inquiry of information on rights, for the obligees’ and the users’ inquiry. The system for inquiry of information on rights shall include the categories of rights under administration of the organization for collective administration of copyright, the names of the works, audio and video products, etc. and of the obligees, as well as the duration of authorized administration.

When an obligee or user is inquiring the information on rights under administration of the organization for collective administration of copyright, this organization shall give a reply.

Article 25.- Except for the royalties payable as prescribed in Article 23, Paragraph 2 of Article 32, Paragraph 3 of Article 39, Paragraph 2 of Article 42, and Article 43 of the Copyright Law, an organization for collective administration of copyright shall negotiate with the user according to the royalty charging rates announced by the copyright administration department under the State Council, so as to stipulate the specific amount of chargeable royalties with the user.

Article 26.- Where two or more organizations for collective administration of copyright charge royalties from the same user regarding the same method of use, they may negotiate in advance to determine which one of them shall charge the royalties in a unified way. The royalties charged in a unified way shall be distributed through negotiations between the involved organizations for collective administration of copyright.

Article 27.- A user shall, when paying royalties to an organization for collective administration of copyright, provide the title of the works, audio or video product, etc. in his use, the names of the obligees, the method of use, quantity, time and other relevant details on use; unless it is otherwise stipulated in the license contract.

Where the details provided by the user on use involve the user’s commercial secret, the organization for collective administration of copyright shall bear confidentiality obligations.

Article 28.- An organization for collective administration of copyright may draw a certain proportion from the charged royalties as its administrative fee, which shall be used for maintaining its normal business activities.

The proportion for an organization for collective administration of copyright to draw the administrative fee shall gradually decrease with the increase of the income of royalties.

Article 29.- The royalties charged by an organization for collective administration of copyright shall, after the administrative fees have been drawn, be totally transferred to the obligees, instead of being used for any other purpose.

An organization for collective administration of copyright shall, if transferring royalties, compile royalty transfer records. The royalty transfer records shall state the total amount of royalties, the amount of administrative fees, the names of the obligees, the titles of the works or audio or video product, etc., the relevant details on use, the specific amount of the royalties transferred to each obligee, etc., and shall be preserved for ten years or longer.

Chapter V.- Supervision over Organizations for Collective Administration of Copyright

Article 30.- An organization for collective administration of copyright shall lawfully set up financial and accounting systems, as well as asset management systems, and shall also set up accounting books according to relevant provisions of the State.

Article 31.- The use and financial management of the assets of an organization for collective administration of copyright shall be under the supervision of the copyright administration department and the department of civil affairs under the State Council.

An organization for collective administration of copyright shall, in the end of each accounting year, make a financial and accounting report, and entrust an accounting firm to lawfully conduct auditing and publicize the auditing result.

Article 32.- An organization for collective administration of copyright shall record the following information for the obligees’ and users’ inquiry:

(1) information on license for use of works;

(2) information on charging and transfer of royalties;

(3) information on drawing and use of administrative fee.

An obligee shall have the right to consult and copy the financial reports, work reports and other business materials of the organization for collective administration of copyright; while the organization for collective administration of copyright shall offer convenience.

Article 33.- Where an obligee considers that the organization for collective administration of copyright is in any of the following circumstances, he may make exposure to the copyright administration department under the State Council:

(1) The obligee meets the conditions as prescribed in the articles of association for joining the organization for collective administration of copyright and requests for joining it, or a member requests pursuant to the procedures as prescribed in the articles of association withdrawing from the organization for collective administration of copyright, but the organization for collective administration of copyright refuses such request;

(2) The organization for collective administration of copyright does not comply with the provisions to charge or transfer royalties, or to draw or use the administrative fees;

(3) When an obligee requests for consulting the records or business materials as prescribed in Article 32 of this Regulation, the organization for collective administration of copyright refuses to provide them.

Article 34.- Where a user considers that the organization for collective administration of copyright is in any of the following circumstances, he may make exposure to the copyright administration department under the State Council:

(1) The organization for collective administration of copyright violates Article 23 of this Regulation by refusing to conclude with the user a license contract;

(2) The organization for collective administration of copyright fails to stipulate the specific amount of the chargeable royalties according to the announced royalty charging rates;

(3) When a user requests for consulting the records prescribed in Article 32 of this Regulation, the organization for collective administration of copyright refuses to provide them.

Article 35.- Where any citizen, legal person or other organization besides the obligees and the users considers that an organization for collective administration of copyright has any act in violation of this Regulation, he/it may make exposure to the copyright administration department under the State Council.

Article 36.- The copyright administration department under the State Council shall, within 60 days as of receipt of the exposure, investigate into the exposed matter and deal with it in accordance with the law.

Article 37.- The copyright administration department under the State Council may supervise the organizations for collective administration of copyright in the following ways, and shall make records on the supervision activities:

(1) Inspecting whether the business activities of the organizations for collective administration of copyright conform to this Regulation and their respective articles of association;

(2) Checking the accounting books, annual budget reports, final accounting reports and other relevant business materials of the organizations for collective administration of copyright;

(3) Sending its staff members to attend the important meetings of the general assemblies and councils, etc. of the organizations for collective administration of copyright.

Article 38.- The organizations for collective administration of copyright shall lawfully accept the supervision of the civil affairs department under the State Council and other relevant departments.

Chapter VI.- Legal Liabilities

Article 39.- Where an organization for collective administration of copyright is under any of the following circumstances, it shall be ordered by the copyright administration department under the State Council to make a correction within a time limit:

(1) It violates Article 22 of this Regulation by failing to report the reciprocal representing agreement concluded with an overseas organization of the same kind to the copyright administration department under the State Council for archival purposes;

(2) It violates Article 24 of this Regulation by failing to set up the system for inquiry of information on rights;

(3) It fails to stipulate the specific amount of the chargeable royalties according to the announced royalty charging rates.

Where an organization for collective administration of copyright administers the obligees’ rights in excess of the scope of its business, it shall be ordered by the copyright administration department under the State Council to make corrections within a time limit, and the license contract which it concludes with the user shall be ineffective; if it causes any loss to the obligees or the users, it shall bear civil liabilities in accordance with the law.

Article 40.- Where an organization for collective administration of copyright is in any of the following circumstances, it shall be ordered by the copyright administration department under the State Council to make corrections within a time limit; if it refuses to make corrections within the time limit, the general assembly or the council shall be ordered to remove or dismiss the directly responsible person in charge upon the scope of power prescribed in this Regulation:

(1) It violates Article 19 of this Regulation by refusing to conclude with the obligee a contract for collective administration of copyright, or violates Article 21 of this Regulation by refusing a member’s request for withdrawing from this organization;

(2) It violates Article 23 of this Regulation by refusing to conclude with the user a license contract;

(3) It violates Article 28 of this Regulation when drawing the administrative fee;

(4) It violates Article 29 of this Regulation when transferring the royalties;

(5) It refuses to provide the accounting books, annual budget reports, final accounting reports or other relevant business materials, or provides false ones.

Article 41.- Where an organization for collective administration of copyright fails to carry out the activities of collective administration of copyright without any justifiable reason within 6 months as of the day when the civil affairs department under the State Council issues the registration certificate, or suspends its activities of collective administration of copyright for no less than 6 consecutive months, the copyright administration department under the State Council shall revoke its permit for collective administration of copyright, and the civil affairs department under the State Council shall cancel its registration.

Article 42.- Where an organization for collective administration of copyright engages in profitable business activities, it shall be banned by the administration for industry and commerce in accordance with the law, who shall concurrently confiscate its illegal proceeds; if a crime is constituted, it shall be subject to criminal liabilities in accordance with the law.

Article 43.- Where a user violates Article 27 of this Regulation by refusing to provide the information on its use when it is possible for him to do so, or by practicing frauds when providing relevant information on use, he shall be ordered by the copyright administration department under the State Council to make corrections; while the organization for collective administration of copyright may suspend the license contract.

Article 44.- Whoever unlawfully establishes an organization for collective administration of copyright or a branch, or discretionarily engages in the activities of collective administration of copyright, shall be banned by the copyright administration department under the State Council or the department of civil affairs pursuant to their division of duties, and his/its illegal proceeds shall be confiscated; if any crime is constituted, he/it shall be subject to criminal liabilities in accordance with the law.

Article 45.- Where any functionary of a State administrative organ who engages in the examination, approval and supervision of organizations for collective administration of copyright under this Regulation neglects his duties, abuses his powers, or practices frauds for personal gains, and a crime is constituted, he shall be subject to criminal liabilities in accordance with the law; if no crime is constituted, he shall be imposed an administrative sanction in accordance with the law.

Chapter VII.- Supplementary Provisions

Article 46.- The organizations for collective administration of copyright which has been established before this Regulation comes into force shall, within 3 months as of effectiveness of this Regulation, report their respective articles of association, royalty charging rates, royalty transfer measures and other relevant materials to the copyright administration department under the State Council for check, and shall also report the reciprocal representing agreements concluded with their respective overseas organizations of the same kind to the copyright administration department under the State Council for archival purposes.

Article 47.- Whoever uses the works of any other person in accordance with Article 23, Paragraph 2 of Article 32 or Paragraph 3 of Article 39 of the Copyright Law, but fails to pay royalties to the obligees in accordance with Article 32 of the «Regulation for the Implementation of the People’s Republic of China the Copyright Law», shall submit the royalties along with the postage and the relevant information on use of the works to the organization for collective administration of copyright which administers the related rights, and this organization for collective administration of copyright shall transfer the royalties to the obligees.

The organization for collective administration of copyright which is responsible for transferring royalties shall set up a system for inquiry of information on the use of works for the obligees’ and users’ inquiry.

The organization for collective administration of copyright which is responsible for transferring royalties may draw administrative fees from the royalties it has charged. The administrative fees shall be drawn at the reduced half rate of the collective administration organization’s administrative fees as determined by the general assembly. Except for the administrative fees, this organization for collective administration of copyright shall not draw any other fees from the royalties it has charged.

Article 48.- This Regulation shall come into force on March 1, 2005.

Premier Wen Jiabao,  December 28, 2004

Privacy Act 1993. Public Act 1993 nº 28. Date of assent 17 May 1993

Privacy Amendment Act: 1993, nº 59; 1996, n1 142; 1997, nº 71; 1998 nº 57;  2000 nº 76; 2002 nº 73; 2003 nº 94; 2005 nº 80; 2006 nº 11; 2007 nº 73; 2009 nº 39; 2010 nº 113; 2011 nº 44; 2013 nº 1

An Act to promote and protect individual privacy in general accordance with the Recommendation of the Council of the Organisation for Economic Co-operation and Development Concerning Guidelines Governing the Protection of Privacy and

Transborder Flows of Personal Data, and, in particular :

(a) to establish certain principles with respect to:

(i) the collection, use, and disclosure, by public and private sector agencies, of information relating to individuals; and

(ii) access by each individual to information relating to that individual and held by public and private sector agencies; and

(b) to provide for the appointment of a Privacy Commissioner to investigate complaints about interferences with individual privacy; and

(c) to provide for matters incidental thereto

1.- Short Title and commencement

(1) This Act may be cited as the Privacy Act 1993.

(2) Except as provided by section 31(2), this Act shall come into force on 1 July 1993.

Part 1.- Preliminary provisions

2.- Interpretation

(1) In this Act, unless the context otherwise requires,:

action includes failure to act; and also includes any policy or practice

agency:

(a) means any person or body of persons, whether corporate or unincorporate, and whether in the public sector or the private sector; and, for the avoidance of doubt, includes a department; but

(b) does not include:

(i) the Sovereign; or

(ii) the Governor-General or the Administrator of the Government; or

(iii) the House of Representatives; or

(iv) a member of Parliament in his or her official capacity; or

(v) the Parliamentary Service Commission; or

(vi) the Parliamentary Service, except in relation to personal information about any employee or former employee of that agency in his or her capacity as such an employee; or

(vii) in relation to its judicial functions, a court; or

(viii) in relation to its judicial functions, a tribunal; or

(ix) an Ombudsman; or

(x) a Royal Commission; or

(xi) a commission of inquiry appointed by an Order in Council made under the Commissions of Inquiry Act 1908; or

(xii) a commission of inquiry or board of inquiry or court of inquiry or committee of inquiry appointed, pursuant to, and not by, any provision of an Act, to inquire into a specified matter; or

(xiii) in relation to its news activities, any news medium

collect does not include receipt of unsolicited information

Commissioner means the Privacy Commissioner referred to in section 12 of this Act and appointed in accordance with section 28(1)(b) of the Crown Entities Act 2004

correct, in relation to personal information, means to alter that information by way of correction, deletion, or addition; and

correction has a corresponding meaning

department means a government department named in Part 1 of Schedule 1 of the Ombudsmen Act 1975

Deputy Commissioner means the Deputy Privacy Commissioner appointed under section 15

Director of Human Rights Proceedings means the Director of Human Rights Proceedings or alternate Director of Human Rights Proceedings appointed under section 20A of the Human Rights Act 1993

document means a document in any form; and includes:

(a) any writing on any material:

(b) any information recorded or stored by means of any tape recorder, computer, or other device; and any material subsequently derived from information so recorded or stored:

(c) any label, marking, or other writing that identifies or describes any thing of which it forms part, or to which it is attached by any means:

(d) any book, map, plan, graph, or drawing:

(e) any photograph, film, negative, tape, or other device in which 1 or more visual images are embodied so as to be capable (with or without the aid of some other equipment) of being reproduced

enactment means any provision of:

(a) any Act of Parliament; or

(b) any regulations within the meaning of the Regulations (Disallowance) Act 1989 made by Order in Council

Human Rights Review Tribunal or Tribunal means the Human Rights Review Tribunal continued by section 93 of the Human Rights Act 1993

individual means a natural person, other than a deceased natural person

individual concerned, in relation to personal information, means the individual to whom the information relates

information matching programme has the meaning given to it by section 97

information privacy principle or principle means any of the information privacy principles set out in section 6

information privacy request has the meaning given to it by section 33

intelligence organisation means:

(a) the New Zealand Security Intelligence Service; and

(b) the Government Communications Security Bureau

international organisation means any organisation of states or governments of states or any organ or agency of any such organisation; and includes the Commonwealth Secretariat

local authority:

(a) means a local authority or public body named or specified in Schedule 1 of the Local Government Official Information and Meetings Act 1987; and

(b) includes:

(i) any committee or subcommittee or standing committee or special committee or joint standing committee or joint special committee which the local authority is empowered to appoint under its standing orders or rules of procedure or under any enactment or Order in Council constituting the local authority or regulating its proceedings; and

(ii) a committee of the whole local authority

Minister means a Minister of the Crown in his or her official capacity

news activity means:

(a) the gathering of news, or the preparation or compiling of articles or programmes of or concerning news, observations on news, or current affairs, for the purposes of dissemination to the public or any section of the public:

(b) the dissemination, to the public or any section of the public, of any article or programme of or concerning:

(i) news:

(ii) observations on news:

(iii) current affairs

news medium means any agency whose business, or part of whose business, consists of a news activity; but, in relation to principles 6 and 7, does not include Radio New Zealand Limited or Television New Zealand Limited

Ombudsman means an Ombudsman appointed under the Ombudsmen Act 1975

organisation:

(a) means:

(i) an organisation named in Part 2 of Schedule 1 of the Ombudsmen Act 1975; and

(ii) an organisation named in Schedule 1 of the Official Information Act 1982; and

(b) includes:

(i) the Office of the Clerk of the House of Representatives:

(ii) an intelligence organisation

permanent resident of New Zealand means a person who:

(a) resides in New Zealand; and

(b) is not:

(i) a person to whom section 15 or 16 of the Immigration Act 2009 applies (except if the person has been granted a visa or entry permission in accordance with section 17 of that Act); or

(ii) a person obliged by or under that Act to leave New Zealand immediately or within a specified time; or

(iii) treated for the purposes of that Act as being unlawfully in New Zealand

personal information means information about an identifiable individual; and includes information relating to a death that is maintained by the Registrar-General pursuant to the Births, Deaths, Marriages, and Relationships Registration Act 1995, or any former Act (as defined by the Births, Deaths, Marriages, and Relationships Registration Act 1995)

public register has the meaning given to it in section 58

public register privacy principle has the meaning given to it in section 58

public sector agency:

(a) means an agency that is a Minister, a department, an organisation, or a local authority; and

(b) includes any agency that is an unincorporated body (being a board, council, committee, or other body):

(i) which is established for the purpose of assisting or advising, or performing functions connected with, any public sector agency within the meaning of paragraph (a); and

(ii) which is so established in accordance with the provisions of any enactment or by any such public sector agency

publicly available information means personal information that is contained in a publicly available publication

publicly available publication means a magazine, book, newspaper, or other publication that is or will be generally available to members of the public; and includes a public register

responsible Minister means the Minister of Justice

serious threat, for the purposes of principle 10(d) or 11(f), means a threat that an agency reasonably believes to be a serious threat having regard to all of the following:

(a) the likelihood of the threat being realised; and

(b) the severity of the consequences if the threat is realised; and

(c) the time at which the threat may be realised

statutory officer means a person:

(a) holding or performing the duties of an office established by an enactment; or

(b) performing duties expressly conferred on that person by virtue of that person´s office by an enactment

unique identifier means an identifier:

(a) that is assigned to an individual by an agency for the purposes of the operations of the agency; and

(b) that uniquely identifies that individual in relation to that agency;:

but, for the avoidance of doubt, does not include an individual´s name used to identify that individual

working day means any day of the week other than:

(a) Saturday, Sunday, Good Friday, Easter Monday, Anzac Day, Labour Day, the Sovereign´s birthday, and Waitangi Day; and

(b) a day in the period commencing with 25 December in any year and ending with 15 January in the following year.

(2) For the avoidance of doubt, it is hereby declared that the fact that any body (being a commission of inquiry or board of inquiry or court of inquiry or committee of inquiry appointed, by any provision of an Act, to inquire into a specified matter) is not excluded from the definition of the term agency in subsection (1) by virtue of subparagraph (xii) of paragraph (b) of that definition does not mean that such a body is not excluded from that definition by virtue of subparagraph (vii) or subparagraph (viii) of that paragraph.

3.- Information held by agency

(1) Subject to subsection (2), information that is held by an officer or employee or member of an agency in that person´s capacity as such an officer or employee or member or in that person´s capacity as a statutory officer shall be deemed, for the purposes of this Act, to be held by the agency of which that person is an officer or employee or member.

(2) Nothing in subsection (1) applies in respect of any information that any officer or employee or member of a public sector agency would not hold but for that person´s membership of, or connection with, a body other than a public sector agency, except where that membership or connection is in that person´s capacity as an officer or an employee or a member of that public sector agency or as a statutory officer.

(3) Nothing in subsection (1) applies in respect of any information that any officer or employee or member of any agency (not being a public sector agency) would not hold but for that person´s membership of, or connection with, any other agency, except where that membership or connection is in that person´s capacity as an officer or an employee or a member of that first-mentioned agency.

(4) For the purposes of this Act, where an agency holds information:

(a) solely as agent; or

(b) for the sole purpose of safe custody; or

(c) for the sole purpose of processing the information on behalf of another agency;

and does not use or disclose the information for its own purposes, the information shall be deemed to be held by the agency on whose behalf that information is so held or, as the case may be, is so processed.

4.- Actions of, and disclosure of information to, staff of agency, etc

For the purposes of this Act, an action done by, or information disclosed to, a person employed by, or in the service of, an agency in the performance of the duties of the person´s employment shall be treated as having been done by, or disclosed to, the agency.

5.- Act to bind the Crown

This Act binds the Crown.

Part 2.- Information privacy principles

6.- Information privacy principles

The information privacy principles are as follows:

Information privacy principles

Principle 1.- Purpose of collection of personal information

Personal information shall not be collected by any agency unless:

(a) the information is collected for a lawful purpose connected with a function or activity of the agency; and

(b) the collection of the information is necessary for that purpose.

Principle 2.- Source of personal information

(1) Where an agency collects personal information, the agency shall collect the information directly from the individual concerned.

(2) It is not necessary for an agency to comply with subclause (1) if the agency believes, on reasonable grounds,:

(a) that the information is publicly available information; or

(b) that the individual concerned authorises collection of the information from someone else; or

(c) that non-compliance would not prejudice the interests of the individual concerned; or

(d) that non-compliance is necessary:

(i) to avoid prejudice to the maintenance of the law by any public sector agency, including the prevention, detection, investigation, prosecution, and punishment of offences; or

(ii) for the enforcement of a law imposing a pecuniary penalty; or

(iii) for the protection of the public revenue; or

(iv) for the conduct of proceedings before any court or tribunal (being proceedings that have been commenced or are reasonably in contemplation); or

(e) that compliance would prejudice the purposes of the collection; or

(f) that compliance is not reasonably practicable in the circumstances of the particular case; or

(g) that the information:

(i) will not be used in a form in which the individual concerned is identified; or

(ii) will be used for statistical or research purposes and will not be published in a form that could reasonably be expected to identify the individual concerned; or

(h) that the collection of the information is in accordance with an authority granted under section 54.

Principle 3.- Collection of information from subject

(1) Where an agency collects personal information directly from the individual concerned, the agency shall take such steps (if any) as are, in the circumstances, reasonable to ensure that the individual concerned is aware of:

(a) the fact that the information is being collected; and

(b) the purpose for which the information is being collected; and

(c) the intended recipients of the information; and

(d) the name and address of:

(i) the agency that is collecting the information; and

(ii) the agency that will hold the information; and

(e) if the collection of the information is authorised or required by or under law,:

(i) the particular law by or under which the collection of the information is so authorised or required; and

(ii) whether or not the supply of the information by that individual is voluntary or mandatory; and

(f) the consequences (if any) for that individual if all or any part of the requested information is not provided; and

(g) the rights of access to, and correction of, personal information provided by these principles.

(2) The steps referred to in subclause (1) shall be taken before the information is collected or, if that is not practicable, as soon as practicable after the information is collected.

(3) An agency is not required to take the steps referred to in subclause (1) in relation to the collection of information from an individual if that agency has taken those steps in relation to the collection, from that individual, of the same information or information of the same kind, on a recent previous occasion.

(4) It is not necessary for an agency to comply with subclause (1) if the agency believes, on reasonable grounds,:

(a) that non-compliance is authorised by the individual concerned; or

(b) that non-compliance would not prejudice the interests of the individual concerned; or

(c) that non-compliance is necessary:

(i) to avoid prejudice to the maintenance of the law by any public sector agency, including the prevention, detection, investigation, prosecution, and punishment of offences; or

(ii) for the enforcement of a law imposing a pecuniary penalty; or

(iii) for the protection of the public revenue; or

(iv) for the conduct of proceedings before any court or tribunal (being proceedings that have been commenced or are reasonably in contemplation); or

(d) that compliance would prejudice the purposes of the collection; or

(e) that compliance is not reasonably practicable in the circumstances of the particular case; or

(f) that the information:

(i) will not be used in a form in which the individual concerned is identified; or

(ii) will be used for statistical or research purposes and will not be published in a form that could reasonably be expected to identify the individual concerned.

Principle 4.- Manner of collection of personal information

Personal information shall not be collected by an agency:

(a) by unlawful means; or

(b) by means that, in the circumstances of the case:

(i) are unfair; or

(ii) intrude to an unreasonable extent upon the personal affairs of the individual concerned.

Principle 5.- Storage and security of personal information

An agency that holds personal information shall ensure:

(a) that the information is protected, by such security safeguards as it is reasonable in the circumstances to take, against:

(i) loss; and

(ii) access, use, modification, or disclosure, except with the authority of the agency that holds the information; and

(iii) other misuse; and

(b) that if it is necessary for the information to be given to a person in connection with the provision of a service to the agency, everything reasonably within the power of the agency is done to prevent unauthorised use or unauthorised disclosure of the information.

Principle 6.- Access to personal information

(1) Where an agency holds personal information in such a way that it can readily be retrieved, the individual concerned shall be entitled:

(a) to obtain from the agency confirmation of whether or not the agency holds such personal information; and

(b) to have access to that information.

(2) Where, in accordance with subclause (1)(b), an individual is given access to personal information, the individual shall be advised that, under principle 7, the individual may request the correction of that information.

(3) The application of this principle is subject to the provisions of Parts 4 and 5.

Principle 7.- Correction of personal information

(1) Where an agency holds personal information, the individual concerned shall be entitled:

(a) to request correction of the information; and

(b) to request that there be attached to the information a statement of the correction sought but not made.

(2) An agency that holds personal information shall, if so requested by the individual concerned or on its own initiative, take such steps (if any) to correct that information as are, in the circumstances, reasonable to ensure that, having regard to the purposes for which the information may lawfully be used, the information is accurate, up to date, complete, and not misleading.

(3) Where an agency that holds personal information is not willing to correct that information in accordance with a request by the individual concerned, the agency shall, if so requested by the individual concerned, take such steps (if any) as are reasonable in the circumstances to attach to the information, in such a manner that it will always be read with the information, any statement provided by that individual of the correction sought.

(4) Where the agency has taken steps under subclause (2) or subclause (3), the agency shall, if reasonably practicable, inform each person or body or agency to whom the personal information has been disclosed of those steps.

(5) Where an agency receives a request made pursuant to subclause (1), the agency shall inform the individual concerned of the action taken as a result of the request.

Principle 8.- Accuracy, etc, of personal information to be checked before use

An agency that holds personal information shall not use that information without taking such steps (if any) as are, in the circumstances, reasonable to ensure that, having regard to the purpose for which the information is proposed to be used, the information is accurate, up to date, complete, relevant, and not misleading.

Principle 9.- Agency not to keep personal information for longer than necessary

An agency that holds personal information shall not keep that information for longer than is required for the purposes for which the information may lawfully be used.

Principle 10.- Limits on use of personal information

An agency that holds personal information that was obtained in connection with one purpose shall not use the information for any other purpose unless the agency believes, on reasonable grounds,:

(a) that the source of the information is a publicly available publication; or

(b) that the use of the information for that other purpose is authorised by the individual concerned; or

(c) that non-compliance is necessary:

(i) to avoid prejudice to the maintenance of the law by any public sector agency, including the prevention, detection, investigation, prosecution, and punishment of offences; or

(ii) for the enforcement of a law imposing a pecuniary penalty; or

(iii) for the protection of the public revenue; or

(iv) for the conduct of proceedings before any court or tribunal (being proceedings that have been commenced or are reasonably in contemplation); or

(d) that the use of the information for that other purpose is necessary to prevent or lessen a serious threat (as defined in section 2(1)) to:

(i) public health or public safety; or

(ii) the life or health of the individual concerned or another individual; or

(e) that the purpose for which the information is used is directly related to the purpose in connection with which the information was obtained; or

(f) that the information:

(i) is used in a form in which the individual concerned is not identified; or

(ii) is used for statistical or research purposes and will not be published in a form that could reasonably be expected to identify the individual concerned; or

(g) that the use of the information is in accordance with an authority granted under section 54.

Principle 11.- Limits on disclosure of personal information

An agency that holds personal information shall not disclose the information to a person or body or agency unless the agency believes, on reasonable grounds,:

(a) that the disclosure of the information is one of the purposes in connection with which the information was obtained or is directly related to the purposes in connection with which the information was obtained; or

(b) that the source of the information is a publicly available publication; or

(c) that the disclosure is to the individual concerned; or

(d) that the disclosure is authorised by the individual concerned; or

(e) that non-compliance is necessary:

(i) to avoid prejudice to the maintenance of the law by any public sector agency, including the prevention, detection, investigation, prosecution, and punishment of offences; or

(ii) for the enforcement of a law imposing a pecuniary penalty; or

(iii) for the protection of the public revenue; or

(iv) for the conduct of proceedings before any court or tribunal (being proceedings that have been commenced or are reasonably in contemplation); or

(f) that the disclosure of the information is necessary to prevent or lessen a serious threat (as defined in section 2(1)) to:

(i) public health or public safety; or

(ii) the life or health of the individual concerned or another individual; or

(g) that the disclosure of the information is necessary to facilitate the sale or other disposition of a business as a going concern; or

(h) that the information:

(i) is to be used in a form in which the individual concerned is not identified; or

(ii) is to be used for statistical or research purposes and will not be published in a form that could reasonably be expected to identify the individual concerned; or

(i) that the disclosure of the information is in accordance with an authority granted under section 54.

Principle 12.- Unique identifiers

(1) An agency shall not assign a unique identifier to an individual unless the assignment of that identifier is necessary to enable the agency to carry out any 1 or more of its functions efficiently.

(2) An agency shall not assign to an individual a unique identifier that, to that agency´s knowledge, has been assigned to that individual by another agency, unless those 2 agencies are associated persons within the meaning of subpart YB of the Income Tax Act 2007.

(3) An agency that assigns unique identifiers to individuals shall take all reasonable steps to ensure that unique identifiers are assigned only to individuals whose identity is clearly established.

(4) An agency shall not require an individual to disclose any unique identifier assigned to that individual unless the disclosure is for one of the purposes in connection with which that unique identifier was assigned or for a purpose that is directly related to one of those purposes.

7.- Savings

(1) Nothing in principle 6 or principle 11 derogates from any provision that is contained in any enactment and that authorises or requires personal information to be made available.

(2) Nothing in principle 6 or principle 11 derogates from any provision that is contained in any other Act of Parliament and that:

(a) imposes a prohibition or restriction in relation to the availability of personal information; or

(b) regulates the manner in which personal information may be obtained or made available.

(3) Nothing in principle 6 or principle 11 derogates from any provision:

(a) that is contained in any regulations within the meaning of the Regulations (Disallowance) Act 1989 made by Order in Council and in force:

(i) in so far as those principles apply to a department, a Minister, an organisation, or a public sector agency (as defined in paragraph (b) of the definition of that term in section 2(1)) that is established for the purposes of assisting or advising, or performing functions connected with, a department, a Minister, or an organisation, immediately before 1 July 1983; and

(ii) in so far as those principles apply to a local authority or a public sector agency (as so defined) that is established for the purposes of assisting or advising, or performing functions connected with, a local authority, immediately before 1 March 1988; and

(iii) in so far as those principles apply to any other agency, immediately before 1 July 1993; and

(b) that:

(i) imposes a prohibition or restriction in relation to the availability of personal information; or

(ii) regulates the manner in which personal information may be obtained or made available.

(4) An action is not a breach of any of principles 1 to 5, 7 to 10, and 12 if that action is authorised or required by or under law.

(5) Nothing in principle 7 applies in respect of any information held by the Department of Statistics, where that information was obtained pursuant to the Statistics Act 1975.

(6) Subject to the provisions of Part 7, nothing in any of the information privacy principles shall apply in respect of a public register.

8.- Application of information privacy principles

(1) Subject to subsection (4), principles 1 to 4 apply only in relation to information collected after the commencement of this section.

(2) Subject to section 9, principles 5 to 9 and principle 11 apply in relation to information held by an agency, whether the information was obtained before, or is obtained after, the commencement of this section.

(3) Principle 10 applies only in relation to information obtained after the commencement of this section.

(4) Nothing in principle 3 shall apply in relation to the collection, by means of any printed form, of any personal information, if the form was printed before the commencement of this section and is used, before 1 July 1995, for the purpose of collecting personal information.

(5) Subclauses (1) to (3) of principle 12 apply only in relation to the assignment of unique identifiers after the commencement of this section.

(6) Subclause (4) of principle 12 applies to any unique identifier, whether assigned before or after the commencement of this section.

9.- Postponement of application of principle 11 to lists used for direct marketing

(1) Nothing in principle 11 shall apply, before 1 July 1996, in relation to the disclosure, by any agency, of personal information collected before 1 July 1993 for direct marketing purposes, where that disclosure is made to another agency for the purpose of enabling that other agency to engage in direct marketing.

(2) For the purposes of subsection (1), direct marketing means:

(a) the offering of goods or services; or

(b) the advertising of the availability of goods or services; or

(c) the solicitation of donations or contributions for charitable, cultural, philanthropic, recreational, political, or other purposes, by means of:

(d) information or goods sent to any person by mail, facsimile transmission, electronic mail, or other similar means of communication, where the information or goods are addressed to a specific person or specific persons by name; or

(e) telephone calls made to specific persons by name.

10.- Application of principles to information held overseas

(1) For the purposes of principle 5 and principles 8 to 11, information held by an agency includes information that is held outside New Zealand by that agency, where that information has been transferred out of New Zealand by that agency or any other agency.

(2) For the purposes of principles 6 and 7, information held by an agency includes information held outside New Zealand by that agency.

(3) Nothing in this section shall apply to render an agency in breach of any of the information privacy principles in respect of any action that the agency is required to take by or under the law of any place outside New Zealand.

11.- Enforceability of principles

(1) The entitlements conferred on an individual by subclause (1) of principle 6, in so far as that subclause relates to personal information held by a public sector agency, are legal rights, and are enforceable accordingly in a court of law.

(2) Subject to subsection (1), the information privacy principles do not confer on any person any legal right that is enforceable in a court of law.

Part 3.- Privacy Commissioner

12.- Privacy Commissioner

(1) There shall be a Commissioner called the Privacy Commissioner.

(2) The Commissioner is:

(a) a corporation sole; and

(b) a Crown entity for the purposes of section 7 of the Crown Entities Act 2004; and

(c) the board for the purposes of the Crown Entities Act 2004.

(3) The Crown Entities Act 2004 applies to the Commissioner except to the extent that this Act expressly provides otherwise.

(4) (Repealed)

13.- Functions of Commissioner

(1) The functions of the Commissioner shall be:

(a) to promote, by education and publicity, an understanding and acceptance of the information privacy principles and of the objects of those principles:

(b) when requested to do so by an agency, to conduct an audit of personal information maintained by that agency for the purpose of ascertaining whether or not the information is maintained according to the information privacy principles:

(c) to monitor the use of unique identifiers, and to report to the Prime Minister from time to time on the results of that monitoring, including any recommendation relating to the need for, or desirability of taking, legislative, administrative, or other action to give protection, or better protection, to the privacy of the individual:

(d) to maintain, and to publish, in accordance with section 21, directories of personal information:

(e) to monitor compliance with the public register privacy principles, to review those principles from time to time with particular regard to the Council of Europe Recommendations on Communication to Third Parties of Personal Data Held by Public Bodies (Recommendation R (91) 10), and to report to the responsible Minister from time to time on the need for or desirability of amending those principles:

(f) to examine any proposed legislation that makes provision for:

(i) the collection of personal information by any public sector agency; or

(ii) the disclosure of personal information by one public sector agency to any other public sector agency, or both; to have particular regard, in the course of that examination, to the matters set out in section 98, in any case where the Commissioner considers that the information might be used for the purposes of an information matching programme; and to report to the responsible Minister the results of that examination:

(g) for the purpose of promoting the protection of individual privacy, to undertake educational programmes on the Commissioner´s own behalf or in co-operation with other persons or authorities acting on behalf of the Commissioner;

(h) to make public statements in relation to any matter affecting the privacy of the individual or of any class of individuals;

(i) to receive and invite representations from members of the public on any matter affecting the privacy of the individual;

(j) to consult and co-operate with other persons and bodies concerned with the privacy of the individual;

(k) to make suggestions to any person in relation to any matter that concerns the need for, or the desirability of, action by that person in the interests of the privacy of the individual;

(l) to provide advice (with or without a request) to a Minister or an agency on any matter relevant to the operation of this Act;

(m) to inquire generally into any matter, including any enactment or law, or any practice, or procedure, whether governmental or non-governmental, or any technical development, if it appears to the Commissioner that the privacy of the individual is being, or may be, infringed thereby;

(n) to undertake research into, and to monitor developments in, data processing and computer technology to ensure that any adverse effects of such developments on the privacy of individuals are minimised, and to report to the responsible Minister the results of such research and monitoring:

(o) to examine any proposed legislation (including subordinate legislation) or proposed policy of the Government that the Commissioner considers may affect the privacy of individuals, and to report to the responsible Minister the results of that examination;

(p) to report (with or without request) to the Prime Minister from time to time on any matter affecting the privacy of the individual, including the need for, or desirability of, taking legislative, administrative, or other action to give protection or better protection to the privacy of the individual;

(q) to report to the Prime Minister from time to time on the desirability of the acceptance, by New Zealand, of any international instrument relating to the privacy of the individual;

(r) to report to the Prime Minister on any other matter relating to privacy that, in the Commissioner´s opinion, should be drawn to the Prime Minister´s attention;

(s) to gather such information as in the Commissioner´s opinion will assist the Commissioner in carrying out the Commissioner´s functions under this Act:;(t) to do anything incidental or conducive to the performance

of any of the preceding functions;

(u) to exercise and perform such other functions, powers, and duties as are conferred or imposed on the Commissioner by or under this Act or any other enactment.

(1AA) Without limiting subsection (1), the functions of the Commissioner in relation to information sharing under Part 9A are:

(a) to make submissions on an information sharing agreement for which approval by Order in Council under section 96J is being sought;

(b) to report to a relevant Minister, under section 96P(1), on any matter relating to privacy that arises or is likely to arise in respect of an approved information sharing agreement and on any other matter specified in that section;

(c) to publish a copy of a report referred to in paragraph (b) in accordance with section 96P(3);

(d) to receive and investigate complaints about any alleged interference with privacy under an approved information sharing agreement in accordance with Part 8;

(e) if appropriate under the circumstances, to exempt an agency, under section 96R, from the requirement to give notice of adverse action under section 96Q or to reduce the period of notice required under that section;

(f) to conduct a review under section 96W on the operation of an approved information sharing agreement;

(g) to report to a relevant Minister under section 96X on the findings of a review conducted under section 96W;

(h) to require a public sector agency to report, in accordance with section 96S, on the operation of each approved information sharing agreement for which it is the lead agency.

(1AB) In subsection (1AA), adverse action, approved information sharing agreement, information sharing agreement, lead agency, and relevant Minister have the meanings given to them by section 96C.

(1A) Except as expressly provided otherwise in this or another Act, the Commissioner must act independently in performing his or her statutory functions and duties, and exercising his or her statutory powers, under:

(a) this Act; and

(b) any other Act that expressly provides for the functions, powers, or duties of the Commissioner (other than the Crown Entities Act 2004).

(2) The Commissioner may from time to time, in the public interest or in the interests of any person or body of persons, publish reports relating generally to the exercise of the Commissioner´s functions under this Act or to any case or cases investigated by the Commissioner, whether or not the matters to be dealt with in any such report have been the subject of a report to the responsible Minister or the Prime Minister.

14.- Commissioner to have regard to certain matters

In the performance of his or her functions, and the exercise of his or her powers, under this Act, the Commissioner shall:

(a) have due regard for the protection of important human rights and social interests that compete with privacy, including the general desirability of a free flow of information and the recognition of the right of government and business to achieve their objectives in an efficient way; and

(b) take account of international obligations accepted by New Zealand, including those concerning the international technology of communications; and

(c) consider any developing general international guidelines relevant to the better protection of individual privacy; and

(d) have due regard to the information privacy principles and the public register privacy principles.

15.- Deputy Commissioner

(1) The Governor-General may, on the recommendation of the Minister, appoint a deputy to the person appointed as Commissioner.

(2) Part 2 of the Crown Entities Act 2004, except section 46, applies to the appointment and removal of a Deputy Commissioner in the same manner as it applies to the appointment and removal of a Commissioner.

(3) Subject to the control of the Commissioner, the Deputy Commissioner shall have and may exercise all the powers, duties, and functions of the Commissioner under this Act or any other enactment.

(4) On the occurrence from any cause of a vacancy in the office of the Commissioner (whether by reason of death, resignation, or otherwise), and in the case of the absence from duty of the Commissioner (from whatever cause arising), and so long as any such vacancy or absence continues, the Deputy Commissioner shall have and may exercise all the powers, duties, and functions of the Commissioner.

(5) (Repealed)

(6) Subject to this Act, the Deputy Commissioner shall be entitled to all the protections, privileges, and immunities of the Commissioner.

16.- Term of office

(Repealed)

17.- Continuation in office after term expires

(Repealed)

18.- Vacation of office

(Repealed)

19.- Holding of other offices

(1) In addition to the matters in section 30(2) of the Crown Entities Act 2004, a member of a local authority is disqualified from being appointed as Commissioner.

(2) The appointment of a Judge as the Commissioner, or service by a Judge as the Commissioner, does not affect that person´s tenure of his or her judicial office or his or her rank, title, status, precedence, salary, annual or other allowances, or other rights or privileges as a Judge (including those in relation to superannuation), and, for all purposes, that person´s service as the Commissioner shall be taken to be service as a Judge.

20.- Powers relating to declaratory judgments

(1) If at any time it appears to the Commissioner that it may be desirable to obtain a declaratory judgment or order of the High Court in accordance with the Declaratory Judgments Act 1908, he or she may refer the matter to the Proceedings Commissioner for the purpose of deciding whether proceedings under that Act should be instituted.

(2) In respect of any matter referred to the Proceedings Commissioner under subsection (1), the Proceedings Commissioner shall, notwithstanding anything to the contrary in the Declaratory Judgments Act 1908 or any other enactment or rule of law, have sufficient standing to institute proceedings under that Act whether or not the matter is one within his or her own functions and powers under this Act or under the Human Rights Commission Act 1977.

21.- Directories of personal information

(1) The Commissioner may from time to time, as the Commissioner thinks fit, cause to be published 1 or more publications that include all or any of the following information:

(a) the nature of any personal information held by any agency;

(b) the purpose for which any personal information is held by any agency;

(c) the classes of individuals about whom personal information is held by any agency:

(d) the period for which any type of personal information is held by any agency;

(e) the individuals who are entitled to have access to any personal information held by any agency, and the conditions under which they are entitled to have that access;

(f) the steps that should be taken by any individual wishing to obtain access to any personal information held by any agency.

(2) The Commissioner may from time to time bring the material contained in any publication published pursuant to subsection (1) up to date, either by causing to be published a new edition of that publication or by causing to be published supplementary material.

(3) In determining whether or not any publication should be published pursuant to this section, the Commissioner shall have regard, among other things, to the need to assist members of the public to obtain personal information and to effectively exercise their rights under this Act.

(4) Nothing in this section requires the publication of any information for which good reason for withholding would exist under section 27 or section 28.

22.- Commissioner may require agency to supply information

For the purpose of:

(a) the publication of any directory or any supplementary material pursuant to section 21; or

(b) enabling the Commissioner to respond to enquiries from the public seeking information of the kind referred to in any of paragraphs (a) to (f) of section 21(1), the Commissioner may, from time to time, require any agency to supply to the Commissioner such information as the Commissioner may reasonably require in relation to the personal information held by that agency, and the agency shall comply with that requirement.

23.- Privacy officers

It shall be the responsibility of each agency to ensure that there are, within that agency, 1 or more individuals whose responsibilities include:

(a) the encouragement of compliance, by the agency, with the information privacy principles;

(b) dealing with requests made to the agency pursuant to this Act;

(c) working with the Commissioner in relation to investigations conducted pursuant to Part 8 in relation to the agency;

(d) otherwise ensuring compliance by the agency with the provisions of this Act.

24.- Annual report

(1) Without limiting the right of the Commissioner to report at any other time, but subject to section 120, the annual report of the Commissioner under section 150 of the Crown Entities Act 2004 must include a report with respect to the operation of this Act during the year to which the report relates.

(2) (Repealed)

25.- Further provisions relating to Commissioner

The provisions of Schedule 1 shall have effect in relation to the Commissioner and the Commissioner´s affairs.

26.- Review of operation of Act

(1) As soon as practicable after the expiry of the period of 3 years beginning on the commencement of this section, and then at intervals of not more than 5 years, the Commissioner shall:

(a) review the operation of this Act since:

(i) the date of the commencement of this section (in the case of the first review carried out under this paragraph); or

(ii) the date of the last review carried out under this paragraph (in the case of every subsequent review); and

(b) consider whether any amendments to this Act are necessary or desirable; and

(c) report the Commissioner´s findings to the responsible Minister.

(2) As soon as practicable after receiving a report from the Commissioner under subsection (1)(c), the responsible Minister shall lay a copy of that report before the House of Representatives.

Part 4.- Good reasons for refusing access to personal information

27.- Security, defence, international relations, etc

(1) An agency may refuse to disclose any information requested pursuant to principle 6 if the disclosure of the information would be likely:

(a) to prejudice the security or defence of New Zealand or the international relations of the Government of New Zealand; or

(b) to prejudice the entrusting of information to the Government of New Zealand on a basis of confidence by:

(i) the government of any other country or any agency of such a government; or

(ii) any international organisation; or

(c) to prejudice the maintenance of the law, including the prevention, investigation, and detection of offences, and the right to a fair trial; or

(d) to endanger the safety of any individual.

(2) An agency may refuse to disclose any information requested pursuant to principle 6 if the disclosure of the information would be likely:

(a) to prejudice the security or defence of:

(i) the self-governing state of the Cook Islands; or

(ii) the self-governing state of Niue; or

(iii) Tokelau; or

(iv) the Ross Dependency; or

(b) to prejudice relations between any of the Governments of:

(i) New Zealand;

(ii) the self-governing state of the Cook Islands;

(iii) the self-governing state of Niue; or

(c) to prejudice the international relations of the Governments of:

(i) the self-governing state of the Cook Islands; or

(ii) the self-governing state of Niue.

28.- Trade secrets

(1) Subject to subsection (2), an agency may refuse to disclose any information requested pursuant to principle 6 if the withholding of the information is necessary to protect information where the making available of the information:

(a) would disclose a trade secret; or

(b) would be likely unreasonably to prejudice the commercial position of the person who supplied or who is the subject of the information.

(2) Information may not be withheld under subsection (1) if, in the circumstances of the particular case, the withholding of that information is outweighed by other considerations which render it desirable, in the public interest, to make the information available.

29.- Other reasons for refusal of requests

(1) An agency may refuse to disclose any information requested pursuant to principle 6 if:

(a) the disclosure of the information would involve the unwarranted disclosure of the affairs of another individual or of a deceased individual; or

(b) the disclosure of the information or of information identifying the person who supplied it, being evaluative material, would breach an express or implied promise:

(i) which was made to the person who supplied the information; and

(ii) which was to the effect that the information or the identity of the person who supplied it or both would be held in confidence; or

(c) after consultation undertaken (where practicable) by or on behalf of the agency with an individual´s medical practitioner, the agency is satisfied that:

(i) the information relates to that individual; and

(ii) the disclosure of the information (being information that relates to the physical or mental health of the individual who requested it) would be likely to prejudice the physical or mental health of that individual; or