LEY 59/2003, de 19 de diciembre, de firma electrónica
| Fecha del BOE | 20 de diciembre de 2003 |
| Fecha de la Disposición | 19 de diciembre de 2003 |
| RANGO | LEY 59/2003, de 19 de diciembre,
de firma electrónica |
| Órgano emisor | Jefatura del Estado |
| Documento (formato pdf) | [documento] |
LEY 59/2003,de 19 de diciembre,de firma
electrónica.
JUAN CARLOS I
REY DE ESPAÑA
A todos los que la presente vieren y entendieren.
Sabed:Que las Cortes Generales han aprobado y Yo
vengo en sancionar la siguiente ley.
EXPOSICIÓN DE MOTIVOS
I
El Real Decreto Ley 14/1999,de 17 de septiembre,
sobre firma electrónica,fue aprobado con el objetivo
de fomentar la rápida incorporación de las nuevas tec-
nologías de seguridad de las comunicaciones electró-
nicas en la actividad de las empresas,los ciudadanos
y las Administraciones públicas.De este modo,se coad-
yuvaba a potenciar el crecimiento y la competitividad
de la economía española mediante el rápido estable-
cimiento de un marco jurídico para la utilización de una
herramienta que aporta confianza en la realización de
transacciones electrónicas en redes abiertas como es
el caso de Internet.El citado real decreto ley incor-
poró al ordenamiento público español la Directi-
va 1999/93/CE del Parlamento Europeo y del Consejo,
de 13 de diciembre de 1999,por la que se establece
un marco comunitario para la firma electrónica,incluso
antes de su promulgación y publicación en el Diario Ofi-
cial de las Comunidades Europeas.
Tras su ratificación por el Congreso de los Diputados,
se acordó la tramitación del Real Decreto Ley 14/1999
como proyecto de ley,con el fin de someterlo a una
más amplia consulta pública y al posterior debate par-
lamentario para perfeccionar su texto.No obstante,esta
iniciativa decayó al expirar el mandato de las Cámaras
en marzo de 2000.Esta ley,por tanto,es el resultado
del compromiso asumido en la VI Legislatura,actuali-
zando a la vez el marco establecido en el Real Decreto
Ley 14/1999 mediante la incorporación de las modi-
ficaciones que aconseja la experiencia acumulada desde
su entrada en vigor tanto en nuestro país como en el
ámbito internacional.
II
El desarrollo de la sociedad de la información y la
difusión de los efectos positivos que de ella se derivan
exige la generalización de la confianza de la ciudadanía
en las comunicaciones telemáticas.No obstante,los
datos más recientes señalan que aún existe desconfianza
por parte de los intervinientes en las transacciones tele-
máticas y,en general,en las comunicaciones que las
nuevas tecnologías permiten a la hora de transmitir infor-
mación,constituyendo esta falta de confianza un freno
para el desarrollo de la sociedad de la información,en
particular,la Administración y el comercio electrónicos.
Como respuesta a esta necesidad de conferir segu-
ridad a las comunicaciones por internet surge,entre
otros,la firma electrónica.La firma electrónica constituye
un instrumento capaz de permitir una comprobación de
la procedencia y de la integridad de los mensajes inter-
cambiados a través de redes de telecomunicaciones,
ofreciendo las bases para evitar el repudio,si se adoptan
las medidas oportunas basándose en fechas electróni-
cas.
Los sujetos que hacen posible el empleo de la firma
electrónica son los denominados prestadores de servi-
cios de certificación.Para ello expiden certificados elec-
trónicos,que son documentos electrónicos que relacio-
nan las herramientas de firma electrónica en poder de
cada usuario con su identidad personal,dándole así a
conocer en el ámbito telemático como firmante.
La ley obliga a los prestadores de servicios de cer-
tificación a efectuar una tutela y gestión permanente
de los certificados electrónicos que expiden.Los detalles
de esta gestión deben recogerse en la llamada decla-
ración de prácticas de certificación,donde se especifican
las condiciones aplicables a la solicitud,expedición,uso,
suspensión y extinción de la vigencia de los certificados
electrónicos.Además,estos prestadores están obligados
a mantener accesible un servicio de consulta sobre el
estado de vigencia de los certificados en el que debe
indicarse de manera actualizada si éstos están vigentes
o si su vigencia ha sido suspendida o extinguida.
Asimismo,debe destacarse que la ley define una clase
particular de certificados electrónicos denominados cer-
tificados reconocidos,que son los certificados electrónicos
que se han expedido cumpliendo requisitos cualificados
en lo que se refiere a su contenido,a los procedimientos
de comprobación de la identidad del firmante y alafia-
bilidad y garantías de la actividad de certificación elec-
trónica.
Los certificados reconocidos constituyen una pieza
fundamental de la llamada firma electrónica reconocida,
que se define siguiendo las pautas impuestas en la Direc-
tiva 1999/93/CE como la firma electrónica avanzada
basada en un certificado reconocido y generada median-
te un dispositivo seguro de creación de firma.A la firma
electrónica reconocida le otorga la ley la equivalencia
funcional con la firma manuscrita respecto de los datos
consignados en forma electrónica.
Por otra parte,la ley contiene las garantías que deben
ser cumplidas por los dispositivos de creación de firma
para que puedan ser considerados como dispositivos
seguros y conformar así una firma electrónica recono-
cida.La certificación técnica de los dispositivos seguros
de creación de firma electrónica se basa en el marco
establecido por la Ley 21/1992,de 16 de julio,de Indus-
tria y en sus disposiciones de desarrollo.Para esta cer-
tificación se utilizarán las normas técnicas publicadas
a tales efectos en el «Diario Oficial de las Comunidades
Europeas »o,excepcionalmente,las aprobadas por el
Ministerio de Ciencia y Tecnología.
Adicionalmente,la ley establece un marco de obli-
gaciones aplicables a los prestadores de servicios de
certificación,en función de si éstos emiten certificados
reconocidos o no,y determina su régimen de respon-
sabilidad,teniendo en cuenta los deberes de diligencia
que incumben a los firmantes y a los terceros desti-
natarios de documentos firmados electrónicamente.
III
Esta ley se promulga para reforzar el marco jurídico
existente incorporando a su texto algunas novedades
respecto del Real Decreto Ley 14/1999 que contribuirán
a dinamizar el mercado de la prestación de servicios
de certificación.
Así,se revisa la terminología,se modifica la siste-
mática y se simplifica el texto facilitando su comprensión
y dotándolo de una estructura más acorde con nuestra
técnica legislativa.
Una de las novedades que la ley ofrece respecto del
Real Decreto Ley 14/1999,es la denominación como
firma electrónica reconocida de la firma electrónica que
se equipara funcionalmente a la firma manuscrita.Se
trata simplemente de la creación de un concepto nuevo
demandado por el sector,sin que ello implique modi-
ficación alguna de los requisitos sustantivos que tanto
la Directiva 1999/93/CE como el propio Real Decreto
Ley 14/1999 venían exigiendo.Con ello se aclara que
no basta con la firma electrónica avanzada para la equi-
paración con la firma manuscrita;es preciso que la firma
electrónica avanzada esté basada en un certificado reco-
nocido y haya sido creada por un dispositivo seguro
de creación.
Asimismo,es de destacar de manera particular,la
eliminación del registro de prestadores de servicios de
certificación,que ha dado paso al establecimiento de
un mero servicio de difusión de información sobre los
prestadores que operan en el mercado,las certificacio-
nes de calidad y las características de los productos y
servicios con que cuentan para el desarrollo de su acti-
vidad.
Por otra parte,la ley modifica el concepto de cer-
tificación de prestadores de servicios de certificación
para otorgarle mayor grado de libertad y dar un mayor
protagonismo a la participación del sector privado en
los sistemas de certificación y eliminando las presun-
ciones legales asociadas a la misma,adaptándose de
manera más precisa a lo establecido en la directiva.Así,
se favorece la autorregulación de la industria,de manera
que sea ésta quien diseñe y gestione,de acuerdo con
sus propias necesidades,sistemas voluntarios de acre-
ditación destinados a mejorar los niveles técnicos y de
calidad en la prestación de servicios de certificación.
El nuevo régimen nace desde el convencimiento de que
los sellos de calidad son un instrumento eficaz para con-
vencer a los usuarios de las ventajas de los productos
y servicios de certificación electrónica,resultando
imprescindible facilitar y agilizar la obtención de estos
símbolos externos para quienes los ofrecen al público.
Si bien se recogen fielmente en la ley los conceptos
de «acreditación »de prestadores de servicios de cer-
tificación y de «conformidad »de los dispositivos seguros
de creación de firma electrónica contenidos en la di-
rectiva,la terminología se ha adaptado a la más
comúnmente empleada y conocida recogida en la
Ley 21/1992,de 16 de julio,de Industria.
Otra modificación relevante es que la ley clarifica la
obligación de constitución de una garantía económica
por parte de los prestadores de servicios de certificación
que emitan certificados reconocidos,estableciendo una
cuantía mínima única de tres millones de euros,flexi-
bilizando además la combinación de los diferentes ins-
trumentos para constituir la garantía.
Por otra parte,dado que la prestación de servicios
de certificación no está sujeta a autorización previa,resul-
ta importante destacar que la ley refuerza las capaci-
dades de inspección y control del Ministerio de Ciencia
y Tecnología,señalando que este departamento podrá
ser asistido de entidades independientes y técnicamente
cualificadas para efectuar las labores de supervisión y
control sobre los prestadores de servicios de certifica-
ción.
También ha de destacarse la regulación que la ley
contiene respecto del documento nacional de identidad
electrónico,que se erige en un certificado electrónico
reconocido llamado a generalizar el uso de instrumentos
seguros de comunicación electrónica capaces de con-
ferir la misma integridad y autenticidad que la que actual-
mente rodea las comunicaciones a través de medios
físicos.La ley se limita a fijar el marco normativo básico
del nuevo DNI electrónico poniendo de manifiesto sus
dos notas más características —acredita la identidad de
su titular en cualquier procedimiento administrativo y
permite la firma electrónica de documentos —remitién-
dose a la normativa específica en cuanto a las parti-
cularidades de su régimen jurídico.
Asimismo,otra novedad es el establecimiento en la
ley del régimen aplicable a la actuación de personas
jurídicas como firmantes,a efectos de integrar a estas
entidades en el tráfico telemático.Se va así más allá
del Real Decreto Ley de 1999,que sólo permitía a las
personas jurídicas ser titulares de certificados electró-
nicos en el ámbito de la gestión de los tributos.Pre-
cisamente,la enorme expansión que han tenido estos
certificados en dicho ámbito en los últimos años,sin
que ello haya representado aumento alguno de la liti-
giosidad ni de inseguridad jurídica en las transacciones,
aconsejan la generalización de la titularidad de certifi-
cados por personas morales.
En todo caso,los certificados electrónicos de per-
sonas jurídicas no alteran la legislación civil y mercantil
en cuanto a la figura del representante orgánico o volun-
tario y no sustituyen a los certificados electrónicos que
se expidan a personas físicas en los que se reflejen dichas
relaciones de representación.
Como resortes de seguridad jurídica,la ley exige,por
un lado,una especial legitimación para que las personas
físicas soliciten la expedición de certificados;por otro
lado,obliga a los solicitantes a responsabilizarse de la
custodia de los datos de creación de firma electrónica
asociados a dichos certificados,todo ello sin perjuicio
de que puedan ser utilizados por otras personas físicas
vinculadas a la entidad.Por último,de cara a terceros,
limita el uso de estos certificados a los actos que integren
la relación entre la persona jurídica y las Administra-
ciones públicas y a las cosas o servicios que constituyen
el giro o tráfico ordinario de la entidad,sin perjuicio
de los posibles límites cuantitativos o cualitativos que
puedan añadirse.Se trata de conjugar el dinamismo que
debe presidir el uso de estos certificados en el tráfico
con las necesarias dosis de prudencia y seguridad para
evitar que puedan nacer obligaciones incontrolables fren-
te a terceros debido a un uso inadecuado de los datos
de creación de firma.El equilibrio entre uno y otro prin-
cipio se ha establecido sobre las cosas y servicios que
constituyen el giro o tráfico ordinario de la empresa de
modo paralelo a cómo nuestro más que centenario Códi-
go de Comercio regula la vinculación frente a terceros
de los actos de comercio realizados por el factor del
establecimiento.
Con la expresión «giro o tráfico ordinario »de una
entidad se actualiza a un vocabulario más acorde con
nuestros días lo que en la legislación mercantil española
se denomina «establecimiento fabril o mercantil ».Con
ello se comprenden las transacciones efectuadas media-
ta o inmediatamente para la realización del núcleo de
actividad de la entidad y las actividades de gestión o
administrativas necesarias para el desarrollo de la misma,
como la contratación de suministros tangibles e intan-
gibles o de servicios auxiliares.Por último,debe recal-
carse que,aunque el «giro o tráfico ordinario »sea un
término acuñado por el derecho mercantil,la regulación
sobre los certificados de personas jurídicas no sólo se
aplica a las sociedades mercantiles,sino a cualquier tipo
de persona jurídica que quiera hacer uso de la firma
electrónica en su actividad.
Adicionalmente,se añade un régimen especial para
la expedición de certificados electrónicos a entidades
sin personalidad jurídica a las que se refiere el artícu-
lo 33 de la Ley General Tributaria,a los solos efectos
de su utilización en el ámbito tributario,en los términos
que establezca el Ministerio de Hacienda.
Por otra parte,siguiendo la pauta marcada por la
Ley 34/2002,de 11 de julio,de servicios de la sociedad
de la información y de comercio electrónico,se incluye
dentro de la modalidad de prueba documental el soporte
en el que figuran los datos firmados electrónicamente,
dando mayor seguridad jurídica al empleo de la firma
electrónica al someterla a las reglas de eficacia en juicio
de la prueba documental.
Además,debe resaltarse que otro aspecto novedoso
de la ley es el acogimiento explícito que se efectúa de
las relaciones de representación que pueden subyacer
en el empleo de la firma electrónica.No cabe duda que
el instituto de la representación está ampliamente gene-
ralizado en el tráfico económico,de ahí la conveniencia
de dotar de seguridad jurídica la imputación a la esfera
jurídica del representado las declaraciones que se cursan
por el representante a través de la firma electrónica.
Para ello,se establece como novedad que en la expe-
dición de certificados reconocidos que admitan entre
sus atributos relaciones de representación,ésta debe
estar amparada en un documento público que acredite
fehacientemente dicha relación de representación así
como la suficiencia e idoneidad de los poderes confe-
ridos al representante.Asimismo,se prevén mecanismos
para asegurar el mantenimiento de las facultades de
representación durante toda la vigencia del certificado
reconocido.
Por último,debe destacarse que la ley permite que
los prestadores de servicios de certificación podrán,con
el objetivo de mejorar la confianza en sus servicios,esta-
blecer mecanismos de coordinación con los datos que
preceptivamente deban obrar en los Registros públicos,
en particular,mediante conexiones telemáticas,a los
efectos de verificar los datos que figuran en los cer-
tificados en el momento de la expedición de éstos.
Dichos mecanismos de coordinación también podrán
contemplar la notificación telemática por parte de los
registros a los prestadores de servicios de certificación
de las variaciones registrales posteriores.
IV
La ley consta de 36 artículos agrupados en seis títu-
los,10 disposiciones adicionales,dos disposiciones tran-
sitorias,una disposición derogatoria y tres disposiciones
finales.
El título I contiene los principios generales que deli-
mitan los ámbitos subjetivo y objetivo de aplicación de
la ley,los efectos de la firma electrónica y el régimen
de empleo ante las Administraciones públicas y de acce-
so a la actividad de prestación de servicios de certi-
ficación.
El régimen aplicable a los certificados electrónicos
se contiene en el título II,que dedica su primer capítulo
a determinar quiénes pueden ser sus titulares y a regular
las vicisitudes que afectan a su vigencia.El capítu-
lo II regula los certificados reconocidos y el tercero el
documento nacional de identidad electrónico.
El título III regula la actividad de prestación de
servicios de certificación estableciendo las obligaciones
a que están sujetos los prestadores —distinguiendo con
nitidez las que solamente afectan a los que expiden cer-
tificados reconocidos —,y el régimen de responsabilidad
aplicable.
El título IV establece los requisitos que deben reunir
los dispositivos de verificación y creación de firma elec-
trónica y el procedimiento que ha de seguirse para obte-
ner sellos de calidad en la actividad de prestación de
servicios de certificación.
Los títulos V y VI dedican su contenido,respectiva-
mente,a fijar los regímenes de supervisión y sanción
de los prestadores de servicios de certificación.
Por último,cierran el texto las disposiciones adicio-
nales —que aluden a los regímenes especiales que resul-
tan de aplicación preferente —,las disposiciones transi-
torias —que incorporan seguridad jurídica a la actividad
desplegada al amparo de la normativa anterior —,la dis-
posición derogatoria y las disposiciones finales relativas
al fundamento constitucional,la habilitación para el
desarrollo reglamentario y la entrada en vigor.
Esta disposición ha sido sometida al procedimiento
de información en materia de normas y reglamentacio-
nes técnicas previsto en la Directiva 98/34/CE,del Par-
lamento Europeo y del Consejo,de 22 de junio de 1998,
por la que se establece un procedimiento de información
en materia de normas y reglamentaciones técnicas,
modificada por la Directiva 98/48/CE,del Parlamento
Europeo y del Consejo,de 20 de julio de 1998,y en
el Real Decreto 1337/1999,de 31 de julio,por el que
se regula la remisión de información en materia de nor-
mas y reglamentaciones técnicas y reglamentos relativos
a los servicios de la sociedad de la información.
TÍTULO I
Disposiciones generales
Artículo 1.Objeto.
1.Esta ley regula la firma electrónica,su eficacia
jurídica y la prestación de servicios de certificación.
2.Las disposiciones contenidas en esta ley no alte-
ran las normas relativas a la celebración,formalización,
validez y eficacia de los contratos y cualesquiera otros
actos jurídicos ni las relativas a los documentos en que
unos y otros consten.
Artículo 2.Prestadores de servicios de certificación
sujetos a la ley.
1.Esta ley se aplicará a los prestadores de servicios
de certificación establecidos en España y a los servicios
de certificación que los prestadores residentes o domi-
ciliados en otro Estado ofrezcan a través de un esta-
blecimiento permanente situado en España.
2.Se denomina prestador de servicios de certifi-
cación la persona física o jurídica que expide certificados
electrónicos o presta otros servicios en relación con la
firma electrónica.
3.Se entenderá que un prestador de servicios de
certificación está establecido en España cuando su resi-
dencia o domicilio social se halle en territorio español,
siempre que éstos coincidan con el lugar en que esté
efectivamente centralizada la gestión administrativa y
la dirección de sus negocios.En otro caso,se atenderá
al lugar en que se realice dicha gestión o dirección.
4.Se considerará que un prestador opera mediante
un establecimiento permanente situado en territorio
español cuando disponga en él,de forma continuada
o habitual,de instalaciones o lugares de trabajo en los
que realice toda o parte de su actividad.
5.Se presumirá que un prestador de servicios de
certificación está establecido en España cuando dicho
prestador o alguna de sus sucursales se haya inscrito
en el Registro Mercantil o en otro registro público espa-
ñol en el que fuera necesaria la inscripción para la adqui-
sición de personalidad jurídica.
La mera utilización de medios tecnológicos situados
en España para la prestación o el acceso al servicio no
implicará,por sí sola,el establecimiento del prestador
en España.
Artículo 3.Firma electrónica,y documentos firmados
electrónicamente.
1.La firma electrónica es el conjunto de datos en
forma electrónica,consignados junto a otros o asociados
con ellos,que pueden ser utilizados como medio de iden-
tificación del firmante.
2.La firma electrónica avanzada es la firma elec-
trónica que permite identificar al firmante y detectar cual-
quier cambio ulterior de los datos firmados,que está
vinculada al firmante de manera única y a los datos
a que se refiere y que ha sido creada por medios que
el firmante puede mantener bajo su exclusivo control.
3.Se considera firma electrónica reconocida la fir-
ma electrónica avanzada basada en un certificado reco-
nocido y generada mediante un dispositivo seguro de
creación de firma.
4.La firma electrónica reconocida tendrá respecto
de los datos consignados en forma electrónica el mismo
valor que la firma manuscrita en relación con los con-
signados en papel.
5.Se considera documento electrónico el redactado
en soporte electrónico que incorpore datos que estén
firmados electrónicamente.
6.El documento electrónico será soporte de:
a)Documentos públicos,por estar firmados elec-
trónicamente por funcionarios que tengan legalmente
atribuida la facultad de dar fe pública,judicial,notarial
o administrativa,siempre que actúen en el ámbito de
sus competencias con los requisitos exigidos por la ley
en cada caso.
b)Documentos expedidos y firmados electrónica-
mente por funcionarios o empleados públicos en el ejer-
cicio de sus funciones públicas,conforme a su legislación
específica.
c)Documentos privados.
7.Los documentos a que se refiere el apartado ante-
rior tendrán el valor y la eficacia jurídica que corresponda
a su respectiva naturaleza,de conformidad con la legis-
lación que les resulte aplicable.
8.El soporte en que se hallen los datos firmados
electrónicamente será admisible como prueba documen-
tal en juicio.Si se impugnare la autenticidad de la firma
electrónica reconocida,con la que se hayan firmado los
datos incorporados al documento electrónico,se pro-
cederá a comprobar que por el prestador de servicios
de certificación,que expide los certificados electrónicos,
se cumplen todos los requisitos establecidos en la ley
en cuanto a la garantía de los servicios que presta en
la comprobación de la eficacia de la firma electrónica,
y en especial,las obligaciones de garantizar la confi-
dencialidad del proceso así como la autenticidad,con-
servación e integridad de la información generada y la
identidad de los firmantes.Si se impugna la autenticidad
de la firma electrónica avanzada,con la que se hayan
firmado los datos incorporados al documento electró-
nico,se estará a lo establecido en el apartado 2 del
artículo 326 de la Ley de Enjuiciamiento Civil.
9.No se negarán efectos jurídicos a una firma elec-
trónica que no reúna los requisitos de firma electrónica
reconocida en relación a los datos a los que esté asociada
por el mero hecho de presentarse en forma electrónica.
10.A los efectos de lo dispuesto en este artículo,
cuando una firma electrónica se utilice conforme a las
condiciones acordadas por las partes para relacionarse
entre sí,se tendrá en cuenta lo estipulado entre ellas.
Artículo 4.Empleo de la firma electrónica en el ámbito
de las Administraciones públicas.
1.Esta ley se aplicará al uso de la firma electrónica
en el seno de las Administraciones públicas,sus orga-
nismos públicos y las entidades dependientes o vincu-
ladas a las mismas y en las relaciones que mantengan
aquéllas y éstos entre sí o con los particulares.
Las Administraciones públicas,con el objeto de sal-
vaguardar las garantías de cada procedimiento,podrán
establecer condiciones adicionales a la utilización de la
firma electrónica en los procedimientos.Dichas condi-
ciones podrán incluir,entre otras,la imposición de fechas
electrónicas sobre los documentos electrónicos integra-
dos en un expediente administrativo.Se entiende por
fecha electrónica el conjunto de datos en forma elec-
trónica utilizados como medio para constatar el momen-
to en que se ha efectuado una actuación sobre otros
datos electrónicos a los que están asociados.
2.Las condiciones adicionales a las que se refiere
el apartado anterior sólo podrán hacer referencia a las
características específicas de la aplicación de que se
trate y deberán garantizar el cumplimiento de lo previsto
en el artículo 45 de la Ley 30/1992,de 26 de noviembre,
de Régimen Jurídico de las Administraciones Públicas
y del Procedimiento Administrativo Común.Estas con-
diciones serán objetivas,proporcionadas,transparentes
y no discriminatorias y no deberán obstaculizar la pres-
tación de servicios de certificación al ciudadano cuando
intervengan distintas Administraciones públicas nacio-
nales o del Espacio Económico Europeo.
3.Las normas que establezcan condiciones generales
adicionales para el uso de la firma electrónica ante la
Administración General del Estado,sus organismos públi-
cos y las entidades dependientes o vinculadas a las mis-
mas se dictarán a propuesta conjunta de los Ministerios
de Administraciones Públicas y de Ciencia y Tecnología
y previo informe del Consejo Superior de Informática y
para el impulso de la Administración Electrónica.
4.La utilización de la firma electrónica en las comu-
nicaciones que afecten a la información clasificada,a
la seguridad pública o aladefensa nacional se regirá
por su normativa específica.
Artículo 5.Régimen de prestación de los servicios de
certificación.
1.La prestación de servicios de certificación no está
sujeta a autorización previa y se realizará en régimen
de libre competencia.No podrán establecerse restric-
ciones para los servicios de certificación que procedan
de otro Estado miembro del Espacio Económico Europeo.
2.Los órganos de defensa de la competencia vela-
rán por el mantenimiento de condiciones de competen-
cia efectiva en la prestación de servicios de certificación
al público mediante el ejercicio de las funciones que
tengan legalmente atribuidas.
3.La prestación al público de servicios de certifi-
cación por las Administraciones públicas,sus organis-
mos públicos o las entidades dependientes o vinculadas
a las mismas se realizará con arreglo a los principios
de objetividad,transparencia y no discriminación.
TÍTULO II
Certificados electrónicos
CAPÍTULO I
Disposiciones generales
Artículo 6.Concepto de certificado electrónico y de
firmante.
1.Un certificado electrónico es un documento fir-
mado electrónicamente por un prestador de servicios
de certificación que vincula unos datos de verificación
de firma a un firmante y confirma su identidad.
2.El firmante es la persona que posee un dispositivo
de creación de firma y que actúa en nombre propio o
en nombre de una persona física o jurídica a la que
representa.
Artículo 7.Certificados electrónicos de personas jurí-
dicas.
1.Podrán solicitar certificados electrónicos de per-
sonas jurídicas sus administradores,representantes lega-
les y voluntarios con poder bastante a estos efectos.
Los certificados electrónicos de personas jurídicas no
podrán afectar al régimen de representación orgánica
o voluntaria regulado por la legislación civil o mercantil
aplicable a cada persona jurídica.
2.La custodia de los datos de creación de firma
asociados a cada certificado electrónico de persona jurí-
dica será responsabilidad de la persona física solicitante,
cuya identificación se incluirá en el certificado electró-
nico.
3.Los datos de creación de firma sólo podrán ser
utilizados cuando se admita en las relaciones que man-
tenga la persona jurídica con las Administraciones públi-
cas o en la contratación de bienes o servicios que sean
propios o concernientes a su giro o tráfico ordinario.
Asimismo,la persona jurídica podrá imponer límites adi-
cionales,por razón de la cuantía o de la materia,para
el uso de dichos datos que,en todo caso,deberán figurar
en el certificado electrónico.
4.Se entenderán hechos por la persona jurídica los
actos o contratos en los que su firma se hubiera emplea-
do dentro de los límites previstos en el apartado anterior.
Si la firma se utiliza transgrediendo los límites men-
cionados,la persona jurídica quedará vinculada frente
a terceros sólo si los asume como propios o se hubiesen
celebrado en su interés.En caso contrario,los efectos
de dichos actos recaerán sobre la persona física res-
ponsable de la custodia de los datos de creación de
firma,quien podrá repetir,en su caso,contra quien los
hubiera utilizado.
5.Lo dispuesto en este artículo no será de apli-
cación a los certificados que sirvan para verificar la firma
electrónica del prestador de servicios de certificación
con la que firme los certificados electrónicos que expida.
6.Lo dispuesto en este artículo no será de apli-
cación a los certificados que se expidan a favor de las
Administraciones públicas,que estarán sujetos a su nor-
mativa específica.
Artículo 8.Extinción de la vigencia de los certificados
electrónicos.
1.Son causas de extinción de la vigencia de un
certificado electrónico:
a)Expiración del período de validez que figura en
el certificado.
b)Revocación formulada por el firmante,la persona
física o jurídica representada por éste,un tercero auto-
rizado o la persona física solicitante de un certificado
electrónico de persona jurídica.
c)Violación o puesta en peligro del secreto de los
datos de creación de firma del firmante o del prestador
de servicios de certificación o utilización indebida de
dichos datos por un tercero.
d)Resolución judicial o administrativa que lo ordene.
e)Fallecimiento o extinción de la personalidad jurí-
dica del firmante;fallecimiento,o extinción de la per-
sonalidad jurídica del representado;incapacidad sobre-
venida,total o parcial,del firmante o de su representado;
terminación de la representación;disolución de la per-
sona jurídica representada o alteración de las condicio-
nes de custodia o uso de los datos de creación de firma
que estén reflejadas en los certificados expedidos a una
persona jurídica.
f)Cese en la actividad del prestador de servicios
de certificación salvo que,previo consentimiento expreso
del firmante,la gestión de los certificados electrónicos
expedidos por aquél sean transferidos a otro prestador
de servicios de certificación.
g)Alteración de los datos aportados para la obten-
ción del certificado o modificación de las circunstancias
verificadas para la expedición del certificado,como las
relativas al cargo o a las facultades de representación,
de manera que éste ya no fuera conforme a la realidad.
h)Cualquier otra causa lícita prevista en la decla-
ración de prácticas de certificación.
2.El período de validez de los certificados electró-
nicos será adecuado a las características y tecnología
empleada para generar los datos de creación de firma.
En el caso de los certificados reconocidos este período
no podrá ser superior a cuatro años.
3.La extinción de la vigencia de un certificado elec-
trónico surtirá efectos frente a terceros,en los supuestos
de expiración de su período de validez,desde que se
produzca esta circunstancia y,en los demás casos,desde
que la indicación de dicha extinción se incluya en el
servicio de consulta sobre la vigencia de los certificados
del prestador de servicios de certificación.
Artículo 9.Suspensión de la vigencia de los certificados
electrónicos.
1.Los prestadores de servicios de certificación sus-
penderán la vigencia de los certificados electrónicos
expedidos si concurre alguna de las siguientes causas:
a)Solicitud del firmante,la persona física o jurídica
representada por éste,un tercero autorizado o la persona
física solicitante de un certificado electrónico de persona
jurídica.
b)Resolución judicial o administrativa que lo ordene.
c)La existencia de dudas fundadas acerca de la
concurrencia de las causas de extinción de la vigencia
de los certificados contempladas en los párrafos c)
y g)del artículo 8.1.
d)Cualquier otra causa lícita prevista en la decla-
ración de prácticas de certificación.
2.La suspensión de la vigencia de un certificado
electrónico surtirá efectos desde que se incluya en el
servicio de consulta sobre la vigencia de los certificados
del prestador de servicios de certificación.
Artículo 10.Disposiciones comunes a la extinción y
suspensión de la vigencia de certificados electrónicos.
1.El prestador de servicios de certificación hará
constar inmediatamente,de manera clara e indubitada,
la extinción o suspensión de la vigencia de los certi-
ficados electrónicos en el servicio de consulta sobre la
vigencia de los certificados en cuanto tenga conocimien-
to fundado de cualquiera de los hechos determinantes
de la extinción o suspensión de su vigencia.
2.El prestador de servicios de certificación infor-
mará al firmante acerca de esta circunstancia de manera
previa o simultánea a la extinción o suspensión de la
vigencia del certificado electrónico,especificando los
motivos y la fecha y la hora en que el certificado quedará
sin efecto.En los casos de suspensión,indicará,además,
su duración máxima,extinguiéndose la vigencia del cer-
tificado si transcurrido dicho plazo no se hubiera levan-
tado la suspensión.
3.La extinción o suspensión de la vigencia de un
certificado electrónico no tendrá efectos retroactivos.
4.La extinción o suspensión de la vigencia de un
certificado electrónico se mantendrá accesible en el
servicio de consulta sobre la vigencia de los certificados
al menos hasta la fecha en que hubiera finalizado su
período inicial de validez.
CAPÍTULO II
Certificados reconocidos
Artículo 11.Concepto y contenido de los certificados
reconocidos.
1.Son certificados reconocidos los certificados elec-
trónicos expedidos por un prestador de servicios de cer-
tificación que cumpla los requisitos establecidos en esta
ley en cuanto a la comprobación de la identidad y demás
circunstancias de los solicitantes y alafiabilidad y las
garantías de los servicios de certificación que presten.
2.Los certificados reconocidos incluirán,al menos,
los siguientes datos:
a)La indicación de que se expiden como tales.
b)El código identificativo único del certificado.
c)La identificación del prestador de servicios de cer-
tificación que expide el certificado y su domicilio.
d)La firma electrónica avanzada del prestador de
servicios de certificación que expide el certificado.
e)La identificación del firmante,en el supuesto de
personas físicas,por su nombre y apellidos y su número
de documento nacional de identidad o a través de un
seudónimo que conste como tal de manera inequívoca
y,en el supuesto de personas jurídicas,por su deno-
minación o razón social y su código de identificación
fiscal.
f)Los datos de verificación de firma que correspon-
dan a los datos de creación de firma que se encuentren
bajo el control del firmante.
g)El comienzo y el fin del período de validez del
certificado.
h)Los límites de uso del certificado,si se establecen.
i)Los límites del valor de las transacciones para
las que puede utilizarse el certificado,si se establecen.
3.Los certificados reconocidos podrán asimismo
contener cualquier otra circunstancia o atributo espe-
cífico del firmante en caso de que sea significativo en
función del fin propio del certificado y siempre que aquél
lo solicite.
4.Si los certificados reconocidos admiten una rela-
ción de representación incluirán una indicación del docu-
mento público que acredite de forma fehaciente las facul-
tades del firmante para actuar en nombre de la persona
o entidad a la que represente y,en caso de ser obligatoria
la inscripción,de los datos registrales,de conformidad
con el apartado 2 del artículo 13.
Artículo 12.Obligaciones previas a la expedición de
certificados reconocidos.
Antes de la expedición de un certificado reconocido,
los prestadores de servicios de certificación deberán
cumplir las siguientes obligaciones:
a)Comprobar la identidad y circunstancias perso-
nales de los solicitantes de certificados con arreglo a
lo dispuesto en el artículo siguiente.
b)Verificar que la información contenida en el cer-
tificado es exacta y que incluye toda la información pres-
crita para un certificado reconocido.
c)Asegurarse de que el firmante está en posesión
de los datos de creación de firma correspondientes a
los de verificación que constan en el certificado.
d)Garantizar la complementariedad de los datos de
creación y verificación de firma,siempre que ambos sean
generados por el prestador de servicios de certificación.
Artículo 13.Comprobación de la identidad y otras cir-
cunstancias personales de los solicitantes de un cer-
tificado reconocido.
1.La identificación de la persona física que solicite
un certificado reconocido exigirá su personación ante
los encargados de verificarla y se acreditará mediante
el documento nacional de identidad,pasaporte u otros
medios admitidos en derecho.Podrá prescindirse de la
personación si su firma en la solicitud de expedición
de un certificado reconocido ha sido legitimada en pre-
sencia notarial.
El régimen de personación en la solicitud de certi-
ficados que se expidan previa identificación del solici-
tante ante las Administraciones públicas se regirá por
lo establecido en la normativa administrativa.
2.En el caso de certificados reconocidos de per-
sonas jurídicas,los prestadores de servicios de certifi-
cación comprobarán,además,los datos relativos a la
constitución y personalidad jurídica y alaextensión y
vigencia de las facultades de representación del soli-
citante,bien mediante consulta en el registro público
en el que estén inscritos los documentos de constitución
y de apoderamiento,bien mediante los documentos
públicos que sirvan para acreditar los extremos citados
de manera fehaciente,cuando aquéllos no sean de ins-
cripción obligatoria.
3.Si los certificados reconocidos reflejan una rela-
ción de representación voluntaria,los prestadores de
servicios de certificación comprobarán,los datos rela-
tivos a la personalidad jurídica del representado y ala
extensión y vigencia de las facultades del representante,
bien mediante consulta en el registro público en el que
estén inscritas,bien mediante los documentos públicos
que sirvan para acreditar los extremos citados de manera
fehaciente,cuando aquéllos no sean de inscripción obli-
gatoria.Si los certificados reconocidos admiten otros
supuestos de representación,los prestadores de servi-
cios de certificación deberán exigir la acreditación de
las circunstancias en las que se fundamenten,en la mis-
ma forma prevista anteriormente.
Cuando el certificado reconocido contenga otras cir-
cunstancias personales o atributos del solicitante,como
su condición de titular de un cargo público,su perte-
nencia a un colegio profesional o su titulación,éstas
deberán comprobarse mediante los documentos oficia-
les que las acrediten,de conformidad con su normativa
específica.
4.Lo dispuesto en los apartados anteriores podrá
no ser exigible en los siguientes casos:
a)Cuando la identidad u otras circunstancias per-
manentes de los solicitantes de los certificados cons-
taran ya al prestador de servicios de certificación en
virtud de una relación preexistente,en la que,para la
identificación del interesado,se hubieran empleado los
medios señalados en este artículo y el período de tiempo
transcurrido desde la identificación es menor de cinco
años.
b)Cuando para solicitar un certificado se utilice otro
vigente para cuya expedición se hubiera identificado al
firmante en la forma prescrita en este artículo y le conste
al prestador de servicios de certificación que el período
de tiempo transcurrido desde la identificación es menor
de cinco años.
5.Los prestadores de servicios de certificación
podrán realizar las actuaciones de comprobación pre-
vistas en este artículo por sí o por medio de otras per-
sonas físicas o jurídicas,públicas o privadas,siendo res-
ponsable,en todo caso,el prestador de servicios de
certificación.
Artículo 14.Equivalencia internacional de certificados
reconocidos.
Los certificados electrónicos que los prestadores de
servicios de certificación establecidos en un Estado que
no sea miembro del Espacio Económico Europeo expidan
al público como certificados reconocidos de acuerdo con
la legislación aplicable en dicho Estado se considerarán
equivalentes a los expedidos por los establecidos en
España,siempre que se cumpla alguna de las siguientes
condiciones:
a)Que el prestador de servicios de certificación reú-
na los requisitos establecidos en la normativa comuni-
taria sobre firma electrónica para la expedición de cer-
tificados reconocidos y haya sido certificado conforme
a un sistema voluntario de certificación establecido en
un Estado miembro del Espacio Económico Europeo.
b)Que el certificado esté garantizado por un pres-
tador de servicios de certificación establecido en el Espacio
Económico Europeo que cumpla los requisitos estableci-
dos en la normativa comunitaria sobre firma electrónica
para la expedición de certificados reconocidos.
c)Que el certificado o el prestador de servicios de
certificación estén reconocidos en virtud de un acuerdo
bilateral o multilateral entre la Comunidad Europea y
terceros países u organizaciones internacionales.
CAPÍTULO III
El documento nacional de identidad electrónico
Artículo 15.Documento nacional de identidad electró-
nico.
1.El documento nacional de identidad electrónico
es el documento nacional de identidad que acredita elec-
trónicamente la identidad personal de su titular y permite
la firma electrónica de documentos.
2.Todas la personas físicas o jurídicas,públicas o
privadas,reconocerán la eficacia del documento nacional
de identidad electrónico para acreditar la identidad y
los demás datos personales del titular que consten en
el mismo,y para acreditar la identidad del firmante y
la integridad de los documentos firmados con los dis-
positivos de firma electrónica en él incluidos.
Artículo 16.Requisitos y características del documento
nacional de identidad electrónico.
1.Los órganos competentes del Ministerio del Interior
para la expedición del documento nacional de identidad
electrónico cumplirán las obligaciones que la presente Ley
impone a los prestadores de servicios de certificación que
expidan certificados reconocidos con excepción de la rela-
tiva a la constitución de la garantía a la que se refiere
el apartado 2 del artículo 20.
2.La Administración General del Estado empleará,
en la medida de lo posible,sistemas que garanticen la
compatibilidad de los instrumentos de firma electrónica
incluidos en el documento nacional de identidad elec-
trónico con los distintos dispositivos y productos de firma
electrónica generalmente aceptados.
TÍTULO III
Prestación de servicios de certificación
CAPÍTULO I
Obligaciones
Artículo 17.Protección de los datos personales.
1.El tratamiento de los datos personales que pre-
cisen los prestadores de servicios de certificación para
el desarrollo de su actividad y los órganos administrativos
para el ejercicio de las funciones atribuidas por esta ley
se sujetará a lo dispuesto en la Ley Orgánica 15/1999,
de 13 de diciembre,de Protección de Datos de Carácter
Personal y en sus normas de desarrollo.
2.Para la expedición de certificados electrónicos
al público,los prestadores de servicios de certificación
únicamente podrán recabar datos personales directa-
mente de los firmantes o previo consentimiento expreso
de éstos.
Los datos requeridos serán exclusivamente los nece-
sarios para la expedición y el mantenimiento del cer-
tificado electrónico y la prestación de otros servicios en
relación con la firma electrónica,no pudiendo tratarse
con fines distintos sin el consentimiento expreso del
firmante.
3.Los prestadores de servicios de certificación que
consignen un seudónimo en el certificado electrónico
a solicitud del firmante deberán constatar su verdadera
identidad y conservar la documentación que la acredite.
Dichos prestadores de servicios de certificación esta-
rán obligados a revelar la identidad de los firmantes cuan-
do lo soliciten los órganos judiciales en el ejercicio de
las funciones que tienen atribuidas y en los demás
supuestos previstos en el artículo 11.2 de la Ley Orgánica
de Protección de Datos de Carácter Personal en que
así se requiera.
4.En cualquier caso,los prestadores de servicios
de certificación no incluirán en los certificados electró-
nicos que expidan,los datos a los que se hace referencia
en el artículo 7 de la Ley Orgánica 15/1999,de 13
de diciembre,de Protección de Datos de Carácter Per-
sonal.
Artículo 18.Obligaciones de los prestadores de
servicios de certificación que expidan certificados
electrónicos.
Los prestadores de servicios de certificación que expi-
dan certificados electrónicos deberán cumplir las siguien-
tes obligaciones:
a)No almacenar ni copiar los datos de creación de
firma de la persona a la que hayan prestado sus servicios.
b)Proporcionar al solicitante antes de la expedición
del certificado la siguiente información mínima,que
deberá transmitirse de forma gratuita,por escrito o por
vía electrónica:
1.o Las obligaciones del firmante,la forma en que
han de custodiarse los datos de creación de firma,el
procedimiento que haya de seguirse para comunicar la
pérdida o posible utilización indebida de dichos datos
y determinados dispositivos de creación y de verificación
de firma electrónica que sean compatibles con los datos
de firma y con el certificado expedido.
2.o Los mecanismos para garantizar la fiabilidad de
la firma electrónica de un documento a lo largo del
tiempo.
3.o El método utilizado por el prestador para com-
probar la identidad del firmante u otros datos que figuren
en el certificado.
4.o Las condiciones precisas de utilización del cer-
tificado,sus posibles límites de uso y la forma en que
el prestador garantiza su responsabilidad patrimonial.
5.o Las certificaciones que haya obtenido,en su
caso,el prestador de servicios de certificación y los pro-
cedimientos aplicables para la resolución extrajudicial
de los conflictos que pudieran surgir por el ejercicio de
su actividad.
6.o Las demás informaciones contenidas en la decla-
ración de prácticas de certificación.
La información citada anteriormente que sea relevan-
te para terceros afectados por los certificados deberá
estar disponible a instancia de éstos.
c)Mantener un directorio actualizado de certifica-
dos en el que se indicarán los certificados expedidos
y si están vigentes o si su vigencia ha sido suspendida
o extinguida.La integridad del directorio se protegerá
mediante la utilización de los mecanismos de seguridad
adecuados.
d)Garantizar la disponibilidad de un servicio de con-
sulta sobre la vigencia de los certificados rápido y seguro.
Artículo 19.Declaración de prácticas de certificación.
1.Todos los prestadores de servicios de certifica-
ción formularán una declaración de prácticas de cer-
tificación en la que detallarán,en el marco de esta ley
y de sus disposiciones de desarrollo,las obligaciones
que se comprometen a cumplir en relación con la gestión
de los datos de creación y verificación de firma y de
los certificados electrónicos,las condiciones aplicables
a la solicitud,expedición,uso,suspensión y extinción
de la vigencia de los certificados las medidas de segu-
ridad técnicas y organizativas,los perfiles y los meca-
nismos de información sobre la vigencia de los certi-
ficados y,en su caso la existencia de procedimientos
de coordinación con los Registros públicos correspon-
dientes que permitan el intercambio de información de
manera inmediata sobre la vigencia de los poderes indi-
cados en los certificados y que deban figurar precep-
tivamente inscritos en dichos registros.
2.La declaración de prácticas de certificación de
cada prestador estará disponible al público de manera
fácilmente accesible,al menos por vía electrónica y de
forma gratuita.
3.La declaración de prácticas de certificación ten-
drá la consideración de documento de seguridad a los
efectos previstos en la legislación en materia de pro-
tección de datos de carácter personal y deberá contener
todos los requisitos exigidos para dicho documento en
la mencionada legislación.
Artículo 20.Obligaciones de los prestadores de
servicios de certificación que expidan certificados
reconocidos.
1.Además de las obligaciones establecidas en este
capítulo,los prestadores de servicios de certificación que
expidan certificados reconocidos deberán cumplir las
siguientes obligaciones:
a)Demostrar la fiabilidad necesaria para prestar
servicios de certificación.
b)Garantizar que pueda determinarse con precisión
la fecha y la hora en las que se expidió un certificado
o se extinguió o suspendió su vigencia.
c)Emplear personal con la cualificación,conoci-
mientos y experiencia necesarios para la prestación de
los servicios de certificación ofrecidos y los procedimien-
tos de seguridad y de gestión adecuados en el ámbito
de la firma electrónica.
d)Utilizar sistemas y productos fiables que estén
protegidos contra toda alteración y que garanticen la
seguridad técnica y,en su caso,criptográfica de los pro-
cesos de certificación a los que sirven de soporte.
e)Tomar medidas contra la falsificación de certi-
ficados y,en el caso de que el prestador de servicios
de certificación genere datos de creación de firma,garan-
tizar su confidencialidad durante el proceso de gene-
ración y su entrega por un procedimiento seguro al
firmante.
f)Conservar registrada por cualquier medio seguro
toda la información y documentación relativa a un cer-
tificado reconocido y las declaraciones de prácticas de
certificación vigentes en cada momento,al menos duran-
te 15 años contados desde el momento de su expedición,
de manera que puedan verificarse las firmas efectuadas
con el mismo.
g)Utilizar sistemas fiables para almacenar certifi-
cados reconocidos que permitan comprobar su auten-
ticidad e impedir que personas no autorizadas alteren
los datos,restrinjan su accesibilidad en los supuestos
o a las personas que el firmante haya indicado y permitan
detectar cualquier cambio que afecte a estas condiciones
de seguridad.
2.Los prestadores de servicios de certificación
que expidan certificados reconocidos deberán cons-
tituir un seguro de responsabilidad civil por importe
de al menos 3.000.000 de euros para afrontar el riesgo
de la responsabilidad por los daños y perjuicios que
pueda ocasionar el uso de los certificados que expidan.
La citada garantía podrá ser sustituida total o par-
cialmente por una garantía mediante aval bancario o
seguro de caución,de manera que la suma de las can-
tidades aseguradas sea al menos de 3.000.000 de euros.
Las cuantías y los medios de aseguramiento y garan-
tía establecidos en los dos párrafos anteriores podrán
ser modificados mediante real decreto.
Artículo 21.Cese de la actividad de un prestador de
servicios de certificación.
1.El prestador de servicios de certificación que vaya
a cesar en su actividad deberá comunicarlo a los fir-
mantes que utilicen los certificados electrónicos que
haya expedido así como a los solicitantes de certificados
expedidos a favor de personas jurídicas;y podrá trans-
ferir,con su consentimiento expreso,la gestión de los
que sigan siendo válidos en la fecha en que el cese
se produzca a otro prestador de servicios de certificación
que los asuma o,en caso contrario,extinguir su vigencia.
La citada comunicación se llevará a cabo con una ante-
lación mínima de dos meses al cese efectivo de la acti-
vidad e informará,en su caso,sobre las características
del prestador al que se propone la transferencia de la
gestión de los certificados.
2.El prestador de servicios de certificación que expi-
da certificados electrónicos al público deberá comunicar
al Ministerio de Ciencia y Tecnología,con la antelación
indicada en el anterior apartado,el cese de su actividad
y el destino que vaya a dar a los certificados,especi-
ficando,en su caso,si va a transferir la gestión y a quién
o si extinguirá su vigencia.
Igualmente,comunicará cualquier otra circunstancia
relevante que pueda impedir la continuación de su acti-
vidad.En especial,deberá comunicar,en cuanto tenga
conocimiento de ello,la apertura de cualquier proceso
concursal que se siga contra él.
3.Los prestadores de servicios de certificación remi-
tirán al Ministerio de Ciencia y Tecnología con carácter
previo al cese definitivo de su actividad la información
relativa a los certificados electrónicos cuya vigencia haya
sido extinguida para que éste se haga cargo de su cus-
todia a efectos de lo previsto en el artículo 20.1.f).Este
ministerio mantendrá accesible al público un servicio de
consulta específico donde figure una indicación sobre
los citados certificados durante un período que considere
suficiente en función de las consultas efectuadas al
mismo.
CAPÍTULO II
Responsabilidad
Artículo 22.Responsabilidad de los prestadores de
servicios de certificación.
1.Los prestadores de servicios de certificación res-
ponderán por los daños y perjuicios que causen a cual-
quier persona en el ejercicio de su actividad cuando
incumplan las obligaciones que les impone esta ley.
La responsabilidad del prestador de servicios de cer-
tificación regulada en esta ley será exigible conforme
a las normas generales sobre la culpa contractual o extra-
contractual,según proceda,si bien corresponderá al
prestador de servicios de certificación demostrar que
actuó con la diligencia profesional que le es exigible.
2.Si el prestador de servicios de certificación no
cumpliera las obligaciones señaladas en los párrafos b)
al d)del artículo 12 al garantizar un certificado elec-
trónico expedido por un prestador de servicios de cer-
tificación establecido en un Estado no perteneciente al
Espacio Económico Europeo,será responsable por los
daños y perjuicios causados por el uso de dicho cer-
tificado.
3.De manera particular,el prestador de servicios
de certificación responderá de los perjuicios que se cau-
sen al firmante o a terceros de buena fe por la falta
o el retraso en la inclusión en el servicio de consulta
sobre la vigencia de los certificados de la extinción o
suspensión de la vigencia del certificado electrónico.
4.Los prestadores de servicios de certificación asu-
mirán toda la responsabilidad frente a terceros por la
actuación de las personas en las que deleguen la eje-
cución de alguna o algunas de las funciones necesarias
para la prestación de servicios de certificación.
5.La regulación contenida en esta ley sobre la res-
ponsabilidad del prestador de servicios de certificación
se entiende sin perjuicio de lo establecido en la legis-
lación sobre cláusulas abusivas en contratos celebrados
con consumidores.
Artículo 23.Limitaciones de responsabilidad de los
prestadores de servicios de certificación.
1.El prestador de servicios de certificación no será
responsable de los daños y perjuicios ocasionados al
firmante o terceros de buena fe,si el firmante incurre
en alguno de los siguientes supuestos:
a)No haber proporcionado al prestador de servicios
de certificación información veraz,completa y exacta
sobre los datos que deban constar en el certificado elec-
trónico o que sean necesarios para su expedición o para
la extinción o suspensión de su vigencia,cuando su
inexactitud no haya podido ser detectada por el pres-
tador de servicios de certificación.
b)La falta de comunicación sin demora al prestador
de servicios de certificación de cualquier modificación
de las circunstancias reflejadas en el certificado elec-
trónico.
c)Negligencia en la conservación de sus datos de
creación de firma,en el aseguramiento de su confiden-
cialidad y en la protección de todo acceso o revelación.
d)No solicitar la suspensión o revocación del cer-
tificado electrónico en caso de duda en cuanto al man-
tenimiento de la confidencialidad de sus datos de crea-
ción de firma.
e)Utilizar los datos de creación de firma cuando
haya expirado el período de validez del certificado elec-
trónico o el prestador de servicios de certificación le
notifique la extinción o suspensión de su vigencia.
f)Superar los límites que figuren en el certificado
electrónico en cuanto a sus posibles usos y al importe
individualizado de las transacciones que puedan reali-
zarse con él o no utilizarlo conforme a las condiciones
establecidas y comunicadas al firmante por el prestador
de servicios de certificación.
2.En el caso de los certificados electrónicos que
recojan un poder de representación del firmante,tanto
éste como la persona o entidad representada,cuando
ésta tenga conocimiento de la existencia del certificado,
están obligados a solicitar la revocación o suspensión
de la vigencia del certificado en los términos previstos
en esta ley.
3.Cuando el firmante sea una persona jurídica,el
solicitante del certificado electrónico asumirá las obli-
gaciones indicadas en el apartado 1.
4.El prestador de servicios de certificación tampoco
será responsable por los daños y perjuicios ocasionados
al firmante o a terceros de buena fe si el destinatario
de los documentos firmados electrónicamente actúa de
forma negligente.Se entenderá,en particular,que el
destinatario actúa de forma negligente en los siguientes
casos:
a)Cuando no compruebe y tenga en cuenta las res-
tricciones que figuren en el certificado electrónico en
cuanto a sus posibles usos y al importe individualizado
de las transacciones que puedan realizarse con él.
b)Cuando no tenga en cuenta la suspensión o pér-
dida de vigencia del certificado electrónico publicada
en el servicio de consulta sobre la vigencia de los cer-
tificados o cuando no verifique la firma electrónica.
5.El prestador de servicios de certificación no será
responsable de los daños y perjuicios ocasionados al
firmante o terceros de buena fe por la inexactitud de
los datos que consten en el certificado electrónico,si
éstos le han sido acreditados mediante documento públi-
co.En caso de que dichos datos deban figurar inscritos
en un registro público,el prestador de servicios de cer-
tificación deberá comprobarlos en el citado registro en
el momento inmediato anterior a la expedición del cer-
tificado,pudiendo emplear,en su caso,medios telemá-
ticos.
6.La exención de responsabilidad frente a terceros
obliga al prestador de servicios de certificación a probar
que actuó en todo caso con la debida diligencia.
TÍTULO IV
Dispositivos de firma electrónica y sistemas de
certificación de prestadores de servicios de cer-
tificación y de dispositivos de firma electrónica
CAPÍTULO I
Dispositivos de firma electrónica
Artículo 24.Dispositivos de creación de firma electró-
nica.
1.Los datos de creación de firma son los datos
únicos,como códigos o claves criptográficas privadas,
que el firmante utiliza para crear la firma electrónica.
2.Un dispositivo de creación de firma es un pro-
grama o sistema informático que sirve para aplicar los
datos de creación de firma.
3.Un dispositivo seguro de creación de firma es
un dispositivo de creación de firma que ofrece,al menos,
las siguientes garantías:
a)Que los datos utilizados para la generación de
firma pueden producirse sólo una vez y asegura razo-
nablemente su secreto.
b)Que existe una seguridad razonable de que los
datos utilizados para la generación de firma no pueden
ser derivados de los de verificación de firma o de la
propia firma y de que la firma está protegida contra
la falsificación con la tecnología existente en cada
momento.
c)Que los datos de creación de firma pueden ser
protegidos de forma fiable por el firmante contra su uti-
lización por terceros.
d)Que el dispositivo utilizado no altera los datos
o el documento que deba firmarse ni impide que éste
se muestre al firmante antes del proceso de firma.
Artículo 25.Dispositivos de verificación de firma elec-
trónica.
1.Los datos de verificación de firma son los datos,
como códigos o claves criptográficas públicas,que se
utilizan para verificar la firma electrónica.
2.Un dispositivo de verificación de firma es un pro-
grama o sistema informático que sirve para aplicar los
datos de verificación de firma.
3.Los dispositivos de verificación de firma electró-
nica garantizarán,siempre que sea técnicamente posible,
que el proceso de verificación de una firma electrónica
satisfaga,al menos,los siguientes requisitos:
a)Que los datos utilizados para verificar la firma
correspondan a los datos mostrados a la persona que
verifica la firma.
b)Que la firma se verifique de forma fiable y el
resultado de esa verificación se presente correctamente.
c)Que la persona que verifica la firma electrónica
pueda,en caso necesario,establecer de forma fiable
el contenido de los datos firmados y detectar si han
sido modificados.
d)Que se muestren correctamente tanto la iden-
tidad del firmante o,en su caso,conste claramente la
utilización de un seudónimo,como el resultado de la
verificación.
e)Que se verifiquen de forma fiable la autenticidad
y la validez del certificado electrónico correspondiente.
f)Que pueda detectarse cualquier cambio relativo
a su seguridad.
4.Asimismo,los datos referentes a la verificación
de la firma,tales como el momento en que ésta se pro-
duce o una constatación de la validez del certificado
electrónico en ese momento,podrán ser almacenados
por la persona que verifica la firma electrónica o por
terceros de confianza.
CAPÍTULO II
Certificación de prestadores de servicios de certifica-
ción y de dispositivos de creación de firma electrónica
Artículo 26.Certificación de prestadores de servicios
de certificación.
1.La certificación de un prestador de servicios de
certificación es el procedimiento voluntario por el que
una entidad cualificada pública o privada emite una
declaración a favor de un prestador de servicios de cer-
tificación,que implica un reconocimiento del cumpli-
miento de requisitos específicos en la prestación de los
servicios que se ofrecen al público.
2.La certificación de un prestador de servicios de
certificación podrá ser solicitada por éste y podrá llevarse
a cabo,entre otras,por entidades de certificación reco-
nocidas por una entidad de acreditación designada de
acuerdo con lo dispuesto en la Ley 21/1992,de 16
de julio,de Industria,y en sus disposiciones de desarrollo.
3.En los procedimientos de certificación podrán uti-
lizarse normas técnicas u otros criterios de certificación
adecuados.En caso de utilizarse normas técnicas,se
emplearán preferentemente aquellas que gocen de
amplio reconocimiento aprobadas por organismos de
normalización europeos y,en su defecto,otras normas
internacionales o españolas.
4.La certificación de un prestador de servicios de
certificación no será necesaria para reconocer eficacia
jurídica a una firma electrónica.
Artículo 27.Certificación de dispositivos seguros de
creación de firma electrónica.
1.La certificación de dispositivos seguros de crea-
ción de firma electrónica es el procedimiento por el que
se comprueba que un dispositivo cumple los requisitos
establecidos en esta ley para su consideración como
dispositivo seguro de creación de firma.
2.La certificación podrá ser solicitada por los fabri-
cantes o importadores de dispositivos de creación de
firma y se llevará a cabo por las entidades de certificación
reconocidas por una entidad de acreditación designada
de acuerdo con lo dispuesto en la Ley 21/1992,de
16 de julio,de Industria y en sus disposiciones de
desarrollo.
3.En los procedimientos de certificación se utili-
zarán las normas técnicas cuyos números de referencia
hayan sido publicados en el «Diario Oficial de la Unión
Europea »y,excepcionalmente,las aprobadas por el
Ministerio de Ciencia y Tecnología que se publicarán
en la dirección de Internet de este Ministerio.
4.Los certificados de conformidad de los disposi-
tivos seguros de creación de firma serán modificados
o,en su caso,revocados cuando se dejen de cumplir
las condiciones establecidas para su obtención.
Los organismos de certificación asegurarán la difu-
sión de las decisiones de revocación de certificados de
dispositivos de creación de firma.
Artículo 28.Reconocimiento de la conformidad con la
normativa aplicable a los productos de firma elec-
trónica.
1.Se presumirá que los productos de firma elec-
trónica aludidos en el párrafo d)del apartado 1 del ar-
tículo 20 y en el apartado 3 del artículo 24 son conformes
con los requisitos previstos en dichos artículos si se ajus-
tan a las normas técnicas correspondientes cuyos núme-
ros de referencia hayan sido publicados en el «Diario
Oficial de la Unión Europea ».
2.Se reconocerá eficacia a los certificados de con-
formidad sobre dispositivos seguros de creación de firma
que hayan sido otorgados por los organismos designa-
dos para ello en cualquier Estado miembro del Espacio
Económico Europeo.
TÍTULO V
Supervisión y control
Artículo 29.Supervisión y control.
1.El Ministerio de Ciencia y Tecnología controlará
el cumplimiento por los prestadores de servicios de cer-
tificación que expidan al público certificados electrónicos
de las obligaciones establecidas en esta ley y en sus
disposiciones de desarrollo.Asimismo,supervisará el
funcionamiento del sistema y de los organismos de cer-
tificación de dispositivos seguros de creación de firma
electrónica.
2.El Ministerio de Ciencia y Tecnología realizará
las actuaciones inspectoras que sean precisas para el
ejercicio de su función de control.
Los funcionarios adscritos al Ministerio de Ciencia
y Tecnología que realicen la inspección a que se refiere
el apartado anterior tendrán la consideración de auto-
ridad pública en el desempeño de sus cometidos.
3.El Ministerio de Ciencia y Tecnología podrá acor-
dar las medidas apropiadas para el cumplimiento de esta
ley y sus disposiciones de desarrollo.
4.El Ministerio de Ciencia y Tecnología podrá
recurrir a entidades independientes y técnicamente cua-
lificadas para que le asistan en las labores de supervisión
y control sobre los prestadores de servicios de certi-
ficación que le asigna esta ley.
Artículo 30.Deber de información y colaboración.
1.Los prestadores de servicios de certificación,la
entidad independiente de acreditación y los organismos
de certificación tienen la obligación de facilitar al Minis-
terio de Ciencia y Tecnología toda la información y cola-
boración precisas para el ejercicio de sus funciones.
En particular,deberán permitir a sus agentes o al
personal inspector el acceso a sus instalaciones y la
consulta de cualquier documentación relevante para la
inspección de que se trate,siendo de aplicación,en su
caso,lo dispuesto en el artículo 8.5 de la Ley 29/1998,
de 13 de julio,reguladora de la Jurisdicción Conten-
cioso-administrativa.En sus inspecciones podrán ir
acompañados de expertos o peritos en las materias sobre
las que versen aquéllas.
2.Los prestadores de servicios de certificación
deberán comunicar al Ministerio de Ciencia y Tecnología
el inicio de su actividad,sus datos de identificación,inclu-
yendo la identificación fiscal y registral,en su caso,los
datos que permitan establecer comunicación con el pres-
tador,incluidos el nombre de dominio de internet,los
datos de atención al público,las características de los
servicios que vayan a prestar,las certificaciones obte-
nidas para sus servicios y las certificaciones de los dis-
positivos que utilicen.Esta información deberá ser con-
venientemente actualizada por los prestadores y será
objeto de publicación en la dirección de internet del
citado ministerio con la finalidad de otorgarle la máxima
difusión y conocimiento.
3.Cuando,como consecuencia de una actuación
inspectora,se tuviera conocimiento de hechos que pudie-
ran ser constitutivos de infracciones tipificadas en otras
leyes,se dará cuenta de los mismos a los órganos u
organismos competentes para su supervisión y sanción.
TÍTULO VI
Infracciones y sanciones
Artículo 31.Infracciones.
1.Las infracciones de los preceptos de esta ley se
clasifican en muy graves,graves y leves.
2.Son infracciones muy graves:
a)El incumplimiento de alguna de las obligaciones
establecidas en los artículos 18 y 20 en la expedición
de certificados reconocidos,siempre que se hayan cau-
sado daños graves a los usuarios o la seguridad de los
servicios de certificación se haya visto gravemente afec-
tada.
Lo dispuesto en este apartado no será de aplicación
respecto al incumplimiento de la obligación de cons-
titución de la garantía económica prevista en el apartado
2 del artículo 20.
b)La expedición de certificados reconocidos sin rea-
lizar todas las comprobaciones previas señaladas en el
artículo 12,cuando ello afecte a la mayoría de los cer-
tificados reconocidos expedidos en los tres años ante-
riores al inicio del procedimiento sancionador o desde
el inicio de la actividad del prestador si este período
es menor.
3.Son infracciones graves:
a)El incumplimiento de alguna de las obligaciones
establecidas en los artículos 18 y 20 en la expedición
de certificados reconocidos,excepto de la obligación
de constitución de la garantía prevista en el apartado
2 del artículo 20,cuando no constituya infracción muy
grave.
b)La falta de constitución por los prestadores que
expidan certificados reconocidos de la garantía económica
contemplada en el apartado 2 del artículo 20.
c)La expedición de certificados reconocidos sin rea-
lizar todas las comprobaciones previas indicadas en el
artículo 12,en los casos en que no constituya infracción
muy grave.
d)El incumplimiento por los prestadores de servi-
cios de certificación que no expidan certificados reco-
nocidos de las obligaciones señaladas en el artículo 18,
si se hubieran causado daños graves a los usuarios o
la seguridad de los servicios de certificación se hubiera
visto gravemente afectada.
e)El incumplimiento por los prestadores de servi-
cios de certificación de las obligaciones establecidas en
el artículo 21 respecto al cese de actividad de los mismos
o la producción de circunstancias que impidan la con-
tinuación de su actividad,cuando las mismas no sean
sancionables de conformidad con lo dispuesto en la Ley
Orgánica 15/1999,de 13 de diciembre,de Protección
de Datos de Carácter Personal.
f)La resistencia,obstrucción,excusa o negativa
injustificada a la actuación inspectora de los órganos
facultados para llevarla a cabo con arreglo a esta ley
y la falta o deficiente presentación de la información
solicitada por parte del Ministerio de Ciencia y Tecno-
logía en su función de inspección y control.
g)El incumplimiento de las resoluciones dictadas
por el Ministerio de Ciencia y Tecnología para asegurar
que el prestador de servicios de certificación se ajuste
a esta ley.
4.Constituyen infracciones leves:
El incumplimiento por los prestadores de servicios
de certificación que no expidan certificados reconocidos,
de las obligaciones señaladas en el artículo 18 y las
restantes de esta ley,cuando no constituya infracción
grave o muy grave,excepto las contenidas en el apar-
tado 2 del artículo 30.
Artículo 32.Sanciones.
1.Por la comisión de infracciones recogidas en el
artículo anterior,se impondrán las siguientes sanciones:
a)Por la comisión de infracciones muy graves,se
impondrá al infractor multa de 150.001 a 600.000
euros.
La comisión de dos o más infracciones muy graves
en el plazo de tres años,podrá dar lugar,en función
de los criterios de graduación del artículo siguiente,a
la sanción de prohibición de actuación en España durante
un plazo máximo de dos años.
b)Por la comisión de infracciones graves,se impon-
drá al infractor multa de 30.001 a 150.000 euros.
c)Por la comisión de infracciones leves,se impon-
drá al infractor una multa por importe de hasta 30.000
euros.
2.Las infracciones graves y muy graves podrán lle-
var aparejada,a costa del sancionado,la publicación
de la resolución sancionadora en el «Boletín Oficial del
Estado »y en dos periódicos de difusión nacional o en
la página de inicio del sitio de internet del prestador
y,en su caso,en el sitio de internet del Ministerio de
Ciencia y Tecnología,una vez que aquélla tenga carácter
firme.
Para la imposición de esta sanción,se considerará
la repercusión social de la infracción cometida,el número
de usuarios afectados y la gravedad del ilícito.
Artículo 33.Graduación de la cuantía de las sanciones.
La cuantía de las multas que se impongan,dentro
de los límites indicados,se graduará teniendo en cuenta
lo siguiente:
a)La existencia de intencionalidad o reiteración.
b)La reincidencia,por comisión de infracciones de
la misma naturaleza,sancionadas mediante resolución
firme.
c)La naturaleza y cuantía de los perjuicios causa-
dos.
d)Plazo de tiempo durante el que se haya venido
cometiendo la infracción
e)El beneficio que haya reportado al infractor la
comisión de la infracción.
f)Volumen de la facturación a que afecte la infrac-
ción cometida.
Artículo 34.Medidas provisionales.
1.En los procedimientos sancionadores por infrac-
ciones graves o muy graves el Ministerio de Ciencia y
Tecnología podrá adoptar,con arreglo a la Ley 30/1992,
de 26 de noviembre,de Régimen Jurídico de las Admi-
nistraciones Públicas y del Procedimiento Administrativo
Común,y sus normas de desarrollo,las medidas de carác-
ter provisional que se estimen necesarias para asegurar
la eficacia de la resolución que definitivamente se dicte,
el buen fin del procedimiento,evitar el mantenimiento
de los efectos de la infracción y las exigencias de los
intereses generales.
En particular,podrán acordarse las siguientes:
a)Suspensión temporal de la actividad del prestador
de servicios de certificación y,en su caso,cierre pro-
visional de sus establecimientos.
b)Precinto,depósito o incautación de registros,
soportes y archivos informáticos y de documentos en
general,así como de aparatos y equipos informáticos
de todo tipo.
c)Advertencia al público de la existencia de posibles
conductas infractoras y de la incoación del expediente
sancionador de que se trate,así como de las medidas
adoptadas para el cese de dichas conductas.
En la adopción y cumplimiento de las medidas de
restricción a que alude este apartado se respetarán,en
todo caso,las garantías,normas y procedimientos pre-
vistos en el ordenamiento jurídico para proteger los dere-
chos a la intimidad personal y a la protección de los
datos personales,cuando éstos pudieran resultar afec-
tados.
2.En los supuestos de daños de excepcional gra-
vedad en la seguridad de los sistemas empleados por
el prestador de servicios de certificación que menos-
caben seriamente la confianza de los usuarios en los
servicios ofrecidos,el Ministerio de Ciencia y Tecnología
podrá acordar la suspensión o pérdida de vigencia de
los certificados afectados,incluso con carácter definitivo.
3.En todo caso,se respetará el principio de pro-
porcionalidad de la medida a adoptar con los objetivos
que se pretendan alcanzar en cada supuesto.
4.En casos de urgencia y para la inmediata pro-
tección de los intereses implicados,las medidas pro-
visionales previstas en este artículo podrán ser acordadas
antes de la iniciación del expediente sancionador.
Las medidas deberán ser confirmadas,modificadas
o levantadas en el acuerdo de iniciación del procedi-
miento,que deberá efectuarse dentro de los 15 días
siguientes a su adopción,el cual podrá ser objeto del
recurso que proceda.
En todo caso,dichas medidas quedarán sin efecto
si no se inicia el procedimiento sancionador en dicho
plazo o cuando el acuerdo de iniciación no contenga
un pronunciamiento expreso acerca de las mismas.
Artículo 35.Multa coercitiva.
El órgano administrativo competente para resolver
el procedimiento sancionador podrá imponer multas
coercitivas por importe que no exceda de 6.000 euros
por cada día que transcurra sin cumplir las medidas pro-
visionales que hubieran sido acordadas.
Artículo 36.Competencia y procedimiento sancionador.
1.La imposición de sanciones por el incumplimiento
de lo previsto en esta ley corresponderá,en el caso de
infracciones muy graves,al Ministro de Ciencia y Tec-
nología y en el de infracciones graves y leves,al Secre-
tario de Estado de Telecomunicaciones y para la Socie-
dad de la Información.
No obstante,el incumplimiento de las obligaciones
establecidas en el artículo 17 será sancionado por la
Agencia de Protección de Datos con arreglo a lo esta-
blecido en la Ley Orgánica 15/1999,de 13 de diciembre,
de Protección de Datos de Carácter Personal.
2.La potestad sancionadora regulada en esta Ley
se ejercerá de conformidad con lo establecido al respecto
en la Ley de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común y
en sus normas de desarrollo.
Disposición adicional primera.Fe pública y uso de firma
electrónica.
1.Lo dispuesto en esta ley no sustituye ni modifica
las normas que regulan las funciones que corresponden
a los funcionarios que tengan legalmente la facultad de
dar fe en documentos en lo que se refiere al ámbito
de sus competencias siempre que actúen con los requi-
sitos exigidos en la ley.
2.En el ámbito de la documentación electrónica,
corresponderá a las entidades prestadoras de servicios
de certificación acreditar la existencia de los servicios
prestados en el ejercicio de su actividad de certificación
electrónica,a solicitud del usuario,o de una autoridad
judicial o administrativa.
Disposición adicional segunda.Ejercicio de la potestad
sancionadora sobre la entidad de acreditación y los
organismos de certificación de dispositivos de crea-
ción de firma electrónica.
1.En el ámbito de la certificación de dispositivos
de creación de firma,corresponderá al Secretario de Esta-
do de Telecomunicaciones y para la Sociedad de la Infor-
mación del Ministerio de Ciencia y Tecnología la impo-
sición de sanciones por la comisión,por los organismos
de certificación de dispositivos seguros de creación de
firma electrónica o por la entidad que los acredite,de
las infracciones graves previstas en los párrafos e),f)y g)
del apartado segundo del artículo 31 de la Ley 21/1992,
de 16 de julio,de Industria,y de las infracciones leves
indicadas en el párrafo a)del apartado 3 del artícu-
lo 31 de la citada ley que cometan en el ejercicio de
actividades relacionadas con la certificación de firma
electrónica.
2.Cuando dichas infracciones merezcan la califica-
ción de infracciones muy graves,serán sancionadas por
el Ministro de Ciencia y Tecnología.
Disposición adicional tercera.Expedición de certifica-
dos electrónicos a entidades sin personalidad jurídica
para el cumplimiento de obligaciones tributarias.
Podrán expedirse certificados electrónicos a las enti-
dades sin personalidad jurídica a que se refiere el artícu-
lo 33 de la Ley General Tributaria a los solos efectos
de su utilización en el ámbito tributario,en los términos
que establezca el Ministro de Hacienda.
Disposición adicional cuarta.Prestación de servicios
por la Fabrica Nacional de Moneda y Timbre-Real
Casa de la Moneda.
Lo dispuesto en esta ley se entiende sin perjuicio
de lo establecido en el artículo 81 de la Ley 66/1997,
de 30 de diciembre,de medidas fiscales,administrativas
y del orden social.
Disposición adicional quinta.Modificación del artícu-
lo 81 de la Ley 66/1997,de 30 de diciembre,de
medidas fiscales,administrativas y del orden social.
Se añaden apartado doce al artículo 81 de la
Ley 66/1997,de 30 de diciembre,de medidas fiscales,
administrativas y del orden social,con la siguiente redac-
ción.
«Doce.En el ejercicio de las funciones que le
atribuye el presente artículo,la Fábrica Nacional
de Moneda y Timbre-Real Casa de la Moneda estará
exenta de la constitución de la garantía a la que
se refiere el apartado 2 del artículo 20 de la
Ley 59/2003,de Firma Electrónica.»
Disposición adicional sexta.Régimen jurídico del docu-
mento nacional de identidad electrónico.
1.Sin perjuicio de la aplicación de la normativa
vigente en materia del documento nacional de identidad
en todo aquello que se adecue a sus características par-
ticulares,el documento nacional de identidad electrónico
se regirá por su normativa específica.
2.El Ministerio de Ciencia y Tecnología podrá diri-
girse al Ministerio del Interior para que por parte de
éste se adopten las medidas necesarias para asegurar
el cumplimiento de las obligaciones que le incumban
como prestador de servicios de certificación en relación
con el documento nacional de identidad electrónico.
Disposición adicional séptima.Emisión de facturas por
vía electrónica.
Lo dispuesto en esta ley se entiende sin perjuicio
de las exigencias derivadas de las normas tributarias
en materia de emisión de facturas por vía electrónica.
Disposición adicional octava.Modificaciones de la
Ley 34/2002,de 11 de julio,de servicios de la socie-
dad de la información y de comercio electrónico.
Uno.Adición de un nuevo apartado 3 al artícu-
lo 10 de la Ley 34/2002,de 11 de julio,de servicios
de la sociedad de la información y de comercio elec-
trónico.
Se añade un apartado 3 con el siguiente texto:
«3.Cuando se haya atribuido un rango de
numeración telefónica a servicios de tarificación
adicional en el que se permita el acceso a servicios
de la sociedad de la información y se requiera su
utilización por parte del prestador de servicios,esta
utilización y la descarga de programas informáticos
que efectúen funciones de marcación,deberán rea-
lizarse con el consentimiento previo,informado y
expreso del usuario.
A tal efecto,el prestador del servicio deberá pro-
porcionar al menos la siguiente información:
a)Las características del servicio que se va a
proporcionar.
b)Las funciones que efectuarán los programas
informáticos que se descarguen,incluyendo el
número telefónico que se marcará.
c)El procedimiento para dar fin a la conexión
de tarificación adicional,incluyendo una explica-
ción del momento concreto en que se producirá
dicho fin,y
d)El procedimiento necesario para restablecer
el número de conexión previo a la conexión de
tarificación adicional.
La información anterior deberá estar disponible
de manera claramente visible e identificable.
Lo dispuesto en este apartado se entiende sin
perjuicio de lo establecido en la normativa de tele-
comunicaciones,en especial,en relación con los
requisitos aplicables para el acceso por parte de
los usuarios a los rangos de numeración telefónica,
en su caso,atribuidos a los servicios de tarificación
adicional.»
Dos.Los apartados 2,3 y 4delartículo 38 de la
Ley 34/2002,de 11 de julio,de servicios de la sociedad
de la información y de comercio electrónico se redactan
en los siguientes términos:
«2.Son infracciones muy graves:
a)El incumplimiento de las órdenes dictadas
en virtud del artículo 8 en aquellos supuestos en
que hayan sido dictadas por un órgano adminis-
trativo.
b)El incumplimiento de la obligación de sus-
pender la transmisión,el alojamiento de datos,el
acceso a la red o la prestación de cualquier otro
servicio equivalente de intermediación,cuando un
órgano administrativo competente lo ordene,en
virtud de lo dispuesto en el artículo 11.
c)El incumplimiento significativo de la obliga-
ción de retener los datos de tráfico generados por
las comunicaciones establecidas durante la pres-
tación de un servicio de la sociedad de la infor-
mación,prevista en el artículo 12.
d)La utilización de los datos retenidos,en cum-
plimiento del artículo 12,para fines distintos de
los señalados en él.
3.Son infracciones graves:
a)El incumplimiento de la obligación de retener
los datos de tráfico generados por las comunica-
ciones establecidas durante la prestación de un ser-
vicio de la sociedad de la información,prevista en
el artículo 12,salvo que deba ser considerado como
infracción muy grave.
b)El incumplimiento significativo de lo esta-
blecido en los párrafos a)y f)del artículo 10.1.
c)El envío masivo de comunicaciones comer-
ciales por correo electrónico u otro medio de comu-
nicación electrónica equivalente o el envío,en el
plazo de un año,de más de tres comunicaciones
comerciales por los medios aludidos a un mismo
destinatario,cuando en dichos envíos no se cum-
plan los requisitos establecidos en el artículo 21.
d)El incumplimiento significativo de la obliga-
ción del prestador de servicios establecida en el
apartado 1 del artículo 22,en relación con los pro-
cedimientos para revocar el consentimiento pres-
tado por los destinatarios.
e)No poner a disposición del destinatario del
servicio las condiciones generales a que,en su caso,
se sujete el contrato,en la forma prevista en el
artículo 27.
f)El incumplimiento habitual de la obligación
de confirmar la recepción de una aceptación,cuan-
do no se haya pactado su exclusión o el contrato
se haya celebrado con un consumidor.
g)La resistencia,excusa o negativa a la actua-
ción inspectora de los órganos facultados para lle-
varla a cabo con arreglo a esta ley.
h)El incumplimiento significativo de lo esta-
blecido en el apartado 3 del artículo 10.
i)El incumplimiento significativo de las obli-
gaciones de información o de establecimiento de
un procedimiento de rechazo del tratamiento de
datos,establecidas en el apartado 2 del artículo 22.
4.Son infracciones leves:
a)La falta de comunicación al registro público
en que estén inscritos,de acuerdo con lo estable-
cido en el artículo 9,del nombre o nombres de
dominio o direcciones de Internet que empleen
para la prestación de servicios de la sociedad de
la información.
b)No informar en la forma prescrita por el ar-
tículo 10.1 sobre los aspectos señalados en los
párrafos b),c),d),e)y g)del mismo,o en los párra-
fos a)y f)cuando no constituya infracción grave.
c)El incumplimiento de lo previsto en el artícu-
lo 20 para las comunicaciones comerciales,ofertas
promocionales y concursos.
d)El envío de comunicaciones comerciales por
correo electrónico u otro medio de comunicación
electrónica equivalente cuando en dichos envíos
no se cumplan los requisitos establecidos en el ar-
tículo 21 y no constituya infracción grave.
e)No facilitar la información a que se refiere
el artículo 27.1,cuando las partes no hayan pac-
tado su exclusión o el destinatario sea un consu-
midor.
f)El incumplimiento de la obligación de con-
firmar la recepción de una petición en los términos
establecidos en el artículo 28,cuando no se haya
pactado su exclusión o el contrato se haya cele-
brado con un consumidor,salvo que constituya
infracción grave.
g)El incumplimiento de las obligaciones de
información o de establecimiento de un procedi-
miento de rechazo del tratamiento de datos,esta-
blecidas en el apartado 2 del artículo 22,cuando
no constituya una infracción grave.
h)El incumplimiento de la obligación del pres-
tador de servicios establecida en el apartado 1 del
artículo 22,en relación con los procedimientos para
revocar el consentimiento prestado por los desti-
natarios cuando no constituya infracción grave.
i)El incumplimiento de lo establecido en el
apartado 3 del artículo 10,cuando no constituya
infracción grave.»
Tres.Modificación del artículo 43,apartado 1,
segundo párrafo de la Ley 34/2002,de 11 de julio,
de servicios de la sociedad de la información y de comer-
cio electrónico.
El segundo párrafo del apartado 1 del artículo 43
queda redactado como sigue:
«No obstante lo anterior,la imposición de san-
ciones por incumplimiento de las resoluciones dic-
tadas por los órganos competentes en función de
la materia o entidad de que se trate a que se refieren
los párrafos a)y b)del artículo 38.2 de esta ley
corresponderá al órgano que dictó la resolución
incumplida.Igualmente,corresponderá a la Agen-
cia de Protección de Datos la imposición de san-
ciones por la comisión de las infracciones tipifi-
cadas en los artículos 38.3 c),d)e i)y 38.4 d),
g)y h)de esta ley.»
Cuatro.Modificación del artículo 43,apartado 2 de
la Ley 34/2002,de 11 de julio,de servicios de la socie-
dad de la información y de comercio electrónico.
El apartado 2 del artículo 43 queda redactado como
sigue:
«2.La potestad sancionadora regulada en esta
ley se ejercerá de conformidad con lo establecido
al respecto en la Ley 30/1992,de 26 de noviem-
bre,de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo
Común,y en sus normas de desarrollo.No obstante,
el plazo máximo de duración del procedimiento sim-
plificado será de tres meses.»
Disposición adicional novena.Garantía de accesibilidad
para las personas con discapacidad y de la tercera
edad.
Los servicios,procesos,procedimientos y dispositivos
de firma electrónica deberán ser plenamente accesibles
a las personas con discapacidad y de la tercera edad,
las cuales no podrán ser en ningún caso discriminadas
en el ejercicio de los derechos y facultades reconocidos
en esta ley por causas basadas en razones de disca-
pacidad o edad avanzada.
Disposición adicional décima.Modificación de la Ley
de Enjuiciamiento Civil.
Se añade un apartado tres al artículo 326 de la Ley
de Enjuiciamiento Civil con el siguiente tenor:
«Cuando la parte a quien interese la eficacia de
un documento electrónico lo pida o se impugne
su autenticidad,se procederá con arreglo a lo esta-
blecido en el artículo 3 de la Ley de Firma Elec-
trónica.»
Disposición transitoria primera.Validez de los certifi-
cados electrónicos expedidos previamente a la entra-
da en vigor de esta ley.
Los certificados electrónicos que hayan sido expe-
didos por prestadores de servicios de certificación en
el marco del Real Decreto Ley 14/1999,de 17 de sep-
tiembre,sobre firma electrónica,mantendrán su validez.
Disposición transitoria segunda.Prestadores de servi-
cios de certificación establecidos en España antes
de la entrada en vigor de esta ley.
Los prestadores de servicios de certificación estable-
cidos en España antes de la entrada en vigor de esta
ley deberán comunicar al Ministerio de Ciencia y Tec-
nología su actividad y las características de los servicios
que presten en el plazo de un mes desde la referida
entrada en vigor.Esta información será objeto de publi-
cación en la dirección de internet del citado ministerio
con la finalidad de otorgarle la máxima difusión y cono-
cimiento.
Disposición derogatoria única.Derogación normativa.
Queda derogado el Real Decreto Ley 14/1999,de
17 de septiembre,sobre firma electrónica y cuantas dis-
posiciones de igual o inferior rango se opongan a lo
dispuesto en esta ley.
Disposición final primera.Fundamento constitucional.
Esta ley se dicta al amparo del artículo 149.1.8.a ,
18.a ,21.a y 29.a de la Constitución.
Disposición final segunda.Desarrollo reglamentario.
1.El Gobierno adaptará la regulación reglamentaria
del documento nacional de ident