-4-
Dec. No. 335-03 que aprueba el Reglamento de Aplicación de la Ley No. 126-02, sObre Comercio Electrónico, Documentos y Firmas Digitales.
HIPOLITO MEJIA Presidente de' la República Dominicana
NUMERO: 335-03
CONSIDERANDO: Que la promulgacIón de la Ley No.126-02 sobre Comercio ElectrÓnIco, Documentos y Firmas Digitales, constituye un hito significativo para la inserción de la República Dominicana en la sociedad de la información, como, agente de competitividad del sector productivo, de modernización de las instituciones públicas y de socialización de la información a través del acceso universal a los servicio$ de telecomunicaciones que intervienen en estos intercambios, como la telefonía e Internet;
CONSIDERANDO: Que el volumen de intercambio por medios electrónicos ha crecido en forma notable en la República Dominicana siendo un ejemplo de ello el incremento de transacciones en cajeros automáticos y operaciones de débito en las. terminales de puntos de venta;
CONSIDERANDO: Que la posibilidad de efectuar transacciones comerciales mediante los medios electrónicos, fomenta la creación e incremento de nuevos y más ágiles servicios, con mayor grado de personalización y calidad, y disminuye los costos de transacción, tanto para consumidores, como para los suplidores;
CONSIDERANDO: Que, no obstant las grandes ventajas del comercio electrónico, la incorporación de seguridad jurídica en las transacciones cursadas por este medio, resulta un punto medular para estimular su expansión en beneficio de las personas físicas o jurídicas que participan en él, en la medida que la celebración de contratos por la vía digital requiere la identificación cabal de las personas que realizan las transacciones y la verificación de la integridad de los contenidos de los documentos electrónicos, a fin de garantizar el eventual valor probatorio, judicial y extrajudicialmente de las fitmas digitales y los mensajes de datos;
CO SIDERANDO: Que la Ley No. 126-02 y el Reglamento de Aplicación que aprueba el presente Decreto, pretenden dotar a la República Dominicana de un marco legal adecuado que el desarrollo del comercio electrónico requiere, complementando las normas de derecho vigentes en materia civil, comercial y administrativa, al brindar el adecuado reconocimiento legal a las transacciones en formato digital, y adoptar medidas que permitan identificar en forma fehaciente a las personas que intervienen, con el propósito de reconocer derechos y obligaciones respectivas, asi como también garantizar su valor probatorio;
-5-
CONSIDERANDO: Que la efectiva implementación de la Ley NO.126·02 permitIrá dotar al comercio electrónico de reglas claras sobre el perleccionamiento de los compromisos asumidos a través de expresiones de la voluntad por la vía electrónica, lo cual brindará un marco de seguridad y confianza para el desarrollo de transacciones electrónicas con plena identificación de sus participantes y certeza respecto de la integridad del contenido de los documentos digitales y mensajes de datos emitidos por éstos;
CONSIDERANDO: Que, al mismo tiempo, este régimen legal y reglamentario permitirá el desarrollo del "Gobierno Electrónico" y facilitará el acceso de la comunidad a la información y servicios que brinda el Estado, aumentando la eficiencia de sus organizaciones, mediante la digitalización de sus procedimientos, el acceso remoto a bases de datos y la facilitación de la información y comunicación de servicios públicos, con la consecuente reducción de los tiempos de los trámites correspondientes, asi como de Jos costos asociados al suministro de los mismos;
CONSIDERANDO: Que, dada la naturaleza de las transacciones electrónicas en las cuales es posible realIzar operaciones comerciales generadoras de derechos y obligaciones, entre partes situadas en lugares remotos, más allá de) ámbito de aplicación de este ordenamiento legal, la RepúblIca Dominicana deberá adoptar normas jurídicas y técnicas que permitan la interoperabilidad entre los diferentes sistemas con los que se encuentra interconectada a nivel internacional;
CONSIDERANDO: Que, en ese orden de ideas, es necesario contar con mecanismos reglamentarios y administrativos de reconocimiento de validez legal de certificados digitales emitidos fuera del país, y utilizados por personas situadas en el extranjero en sus intercambios con la República Dominicana, reconociendo, a dichos fines, al Instituto Dominicano de las Telecomunicaciones (INDOTEL), en su calidad de órgano regulador, la facultad de celebrar acuerdos de reconocimiento mutuo de certificados con otros países;
CONSIDERANDO: Que un elemento fundamental para el impulso al comercio electrónico es la puesta en marcha de una Infraestructura de Clave Pública de la República Dominicana, la cual permitirá la identificación fehaciente de las personas físicas o jurídicas suscriptoras de certificados digitales;
CONSIDERANDO: Que la Ley No.126·02 establece que las entidades de certificación deben cumplir con los requerimientos establecidos en los reglamentos de aplicación;
CONSI DERANDO: Que una de las funciones esenciales de las entidades de certificación es la de validar los datos de identidad de los suscriptores de certificados digitales. actividad que desarrolla por si o por terceros, de acuerdo con los usos internacionales;
-6-
CONSIDERANDO: Que esta actividad, desarrollada por las Unídades de Registro, amerita una reglamentación específica dada la trascendencia de su rol como eje del sistema de confianza que implica una Infraestructura de Clave Pública;
CONSI DERANDO: Que otro aspecto relevante lo constituye la determinación del día y la hora oficial, en un momento dado, en los medios electrónicos, así como el diseño de los mecanismos de comUnIcaCIón y distnbución de la fecha y hora oficial en la Internet, a fin de que, tanto los organIsmos públicos como las entidades de certificación procedan a tomar de este mecanismo, la fecha y la hora exacta como insumo para su registro y distnbución posterior, y para el suminIstro de l servicio de registro y estampado cronológico;
CONSIDERANDO: Que, por otra parte, la posibilidad de contar con la fecha y la hora cierta en medios electrónicos e Internet permitirá la realización de actos y convenios para los cuares la determinación fehaciente del momento preciso de la ocurrencia de un hecho generador de derechos u obligacIones, constituye un elemento esencial en la formación y manifestaCIón de la voluntad, tales como en la presentación de evidencia en formato digital en instanCIa judICIal y admInIstrativa, como prueba documental, en la realización de compras electrónicas o en las notificaciones electrónicas;
CONSIDERANDO: Que, conforme a la Ley No. l 26-0 2. se reconoce la eficacia jurídica de los mecanismos de identificación de autoría que hayan SIdo acordados por las partes, aun en el caso que no se trate de fIrma dIgital;
CONSIDERANDO: Que, sinembargo, la Ley No. 1 26-0 2 no utiliza ninguna denominación especial para estos mecanismos de Identificación acordados entre las partes de una transacción digital no sujeta a formas solemnes, que no constituyan firma digital por ausencia de algunos de sus elementos, aunque la mIsma Ley le reconoce eficaCIa jurídica a dichos mecanismos de identificación de autoría:
CONSIDERANDO: Que el derecho comparado, tanto en la legislación vigente como en las Leyes Modelos de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional- CNUDMI, en las que se apoya la Ley No. 1 26-0 2, denomina como firma electrónica a estos mecanismos de identificaCIón en el mundo virtual que no constituyen firmas digitales o firmas electrÓnIcas aYanzadas
CONSIDERANDO: Que la InterpretacIón que debe darse a las alternatIvas contempladas por la Ley NO. 1 26-0 2 respecto de los mecanismos de autenticación acordados entre partes que no constituyan firma digital, está orientada por la misma Ley cuando precisa los principios generales que la msplran y los cnterios a los cuales para su interpretación se debe acudir;
CONSIDERANDO: Que, en su Artículo 3. la Ley NO. 1 26-02 establece como criterio de interpretación las recomendaCIOnes de orgamsmos multllatera les en la materia, la necesidad de promover la uniformidad de su aplIcaCIón y la observancia de la buena fe y señala como principios generales el faCI litar el comercIo electrónico, valIdar las
-7-
transacciones entre partes, promover y apoyar la Implantación de nuevas tecnologías y apoyar las prácticas comerciales;
CONSIDERANDO: Que, de acuerdo con lo establecido por la Ley No.126- 02, corresponde denominar como firma electrónica a los mecanismos de autenticación acordados entre partes, en consonancia con el derecho comparado tanto de la legislación vigente en los distintos países como la contemda en las Leyes Modelo de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional- CNUDMI;
CONSIDERANDO: Que, en igual sentido, los sistemas internacionales de firma electrónica o firma digital contemplan, en general, esquemas voluntarios de acreditación, de acuerdo con el principio de libertad de comercio;
CONSIDERANDO: Que, sin embargo, es necesario, a los fines de la protección de los derechos de los consumidores y usuanos de firmas digitales, regular, de manera mínima, la prestación de servicios de certificación efectuada por proveedores de firma electrónica;
CONSIDERANDO: Que la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional- CNUDMI, así como las legislaciones basadas en sus principios, expresamente prevén sistemas de acreditación voluntaria de las prestadoras de servicios de certificación ante los órganos reguladores específicos, diferenciando los efectos jurídICOS de los certificados digitales emitidos por certificadores autorizados con pleno valor legal de firma manuscrita, respecto de los certificados emitidos por certificadores no autorizados, los cuales no gozan del mismo valor jurídico que las normas asignan a la firma digital, pero que no carecen de todo valor, ya que se los considera como firma electrónica;
CONSIDERANDO: Que, en dichos casos, se asigna solamente el mismo efecto legal que se otorga a la firma manuscrita a la firma digitaL también denominada firma electrónica avanzada, firma electrónica fiable, cuando dIchas firmas son generadas a panir de certifIcados digitales emitidos por entidades de certificación autorizadas por el órgano regulador correspondiente, previsto por cada norma en particular en el derecho comparado;
CONSIDERANDO: Que, en atención a los anteriores aspectos, es necesario reconocer la existencia de prestadores de servicios de certificación que opten por no solicitar autorización y cumplir con los requisitos establecidos por l INDOTEL para prestar servicios de firma digital, con valor equivalente al otorgado en el ordenamiento jurídico vigente a la firma holográfica, dejando expresamente establecido que sus cenificados no tendrán los efectos de firma digital;
CONSIDERANDO: Que el Reglamento que aprueba el presente Decreto tiene por objeto estimular el desarrollo de iniciativas tecnológicas vinculadas con el comercio electrónico, promover la utilización de estos servicios y difundir su uso entre la población, a fin de familiarizar a un mayor número de personas con el sistema;
-8-
CONSIDERANDO: Que, asimismo, se estima conveniente la creación de un Registro de Entidades de Certificación que permita su consulta en forma permanente por la Internet para facilitar la constatación de los aspectos relevantes de la Infraestructura de Clave Pública de la República Dominicana por parte de suscriptores y usuarios de firmas digitales;
CONSIDERANDO: Que la Ley No.126-02 sobre Comercio Electrónico, Documentos y Firmas Digitales, en su Artículo 61, establece un plazo de seis (6) meses, contados partir de la publicación de la referida Ley, para que el Poder Ejecutivo dicte el Reglamento de Aplicación correspondiente;
CONSIDERANDO: Que la Ley NO.126-02 sobre Comercio Electrónico, Documentos y Firmas Digitales de la República Dominicana fue publicada en la Gaceta Oficial No. 10172 a los veintinueve (29) días del mes de septiembre del año dos mil dos (2002);
CONSIDERANDO: Que, en virtud de lo dispuesto por el Artículo 56 de la referida Ley, el cual faculta al INDOTEL a proponer al Poder Ejecutivo la implementación de políticas en relación con la regulación de actividades de las entidades de certificación, así como aprobar los reglamentos internos de la prestación de servicios, entre otras funciones, en fecha diecisiete (17) de marzo del año dos mil tres (2003), el Consejo Directivo del Instituto Dominicano de las Telecomunicaciones (INDOTEL) aprobó, mediante su Resolución No. 042-03, el proyecto del Reglamento General de Aplicación de la Ley de Comercio Electrónico, Documentos y Firmas Digitales para ser sometido a la aprobación del Poder Ejecutivo, el cual fue elaborado por dicha institución con la participación de consultores internacionales, luego de haber agotado varias rondas de consultas, ,en la que participaron representantes de sectores de telecomunicaciones, del sector financiero, de asociaciones de contadores y auditores, del sector público y de asociaciones profesionales y sin fines de lucro de la República Dominicana.
CONSIDERANDO: Que por delegación expresa efectuada por el Consejo Directivo del Instituto Dominicano de las Telecomunicaciones (INDOTEL), en fecha veinticuatro (24) de marzo del año dos mil tres (2003), el Presidente del Consejo Directivo de esa institución, Lic. Orlando Jorge Mera, remitió a la Consultoría Jurídica del Poder Ejecutivo el citado Proyecto de Reglamento para fines de aprobación, de conformidad con lo dispuesto en la Ley.
VISTA la Constitución de la República Dominicana;
VISTOS los Códigos Civil, Comercial y de Procedimiento Civil y Procedimiento Criminal de la República Dominicana;
VISTA la Ley No.126-02 sobre Comercio E1ectrónico, Documentos y Finnas Digitales de la República Dominicana, promulgada en fecha cuatro (4) de septiembre del afió dos mil dos (2002);
-9-
VISTA la Resolución No. 042-03, emitida por el Consejo DIrectIvo del Instituto Dominicano de las Telecomunicaciones (INDOTEL), de fecha diecisiete (17) de marzo de 2003;
VISTA la solicitud de aprobación del Reglamento General de Aplicación de la Ley de Comercio Electrónico, Documentos y Firmas Digitales de la República Dominicana, presentada al Poder Ejecutivo por el Presidente del InstItuto Dominicano de las Telecomumcaciones (INDOTEL), Lic. Orlando Jorge Mera, en fecha vemticuatro (24) de marzo del año dos mil tres (2003).
En ejercicio de las atribuciones que me confiere el Artículo 55 de la Constitución de la República, dicto el siguiente
DECRETO:
REGLAMENTO GENERAL DE APLICACIÓN DE LA LEY N°. 126·02 SOBRE COMERCIO ELECTRÓNICO, DOCUMENTOS Y FIRMAS DIGITALES
TíTULO I DEFINICIONES Y ALCANCE
ARTícULO 1.- Definiciones.- ,
En adición a las definiciones establecidas en la Ley, las expresiones y términos que se emplean en este Reglamento tendrán el sigmfícado que se señala a continuación:
1.1. Autorización: El acto jurídico mediante el cual, en forma escrita y formal, el INDOTEL otorga a una Entidad de Certificación el derecho a emitir certificados digitales con valor legal de firma digital y proveer otros servicios de certificación previstos por la Ley No.126-02 y sus normas reglamentarias;
1.2. Certificado (Certificado Digitan( � Es el documento digital emitido y firmado digitalmente por una Entidad de Certificación, que identifica unívocamente a, un suscriptor durante el período de vigencia del certificado, y que se constituye en prueba de que dicho suscriptor es la fuente o el originador del contenido de un documento digital o mensaje de datos que incorpore su certificado asociado;
1.3. Clave Criptográfica Privada: Es el valor o valores numéricos o caracteres binarios que, utilizados conjuntamente con un procedimiento matemático conocido. sirven para generar la firma digital de un mensaje de datos o de un documento digital;
e)
-10-
1.4. Clave Criptográfica Pública: Es el valor o valores numéncos o caracteres bmarios que son utilizados para verificar que una fIrma digItal fue generada con la clave pnvada del suscriptor del certificado digital que ha emitido el mensaje de datos o el documento digItal;
1 .5 . Confiabilidad Técnica: Es la cualidad del conJumo de eqUIpos de computación, software, protocolos de comunicación, segundad y procedimientos admmistrativos relacionados que cumplan los siguientes requisItoS:
a) Protecoión contra la posibi lidad de intrusIón o uso no autonzado;
b) Garantía de la disponibi lidad, confiabIhdad, confidencialidad y correcto funcionamiento;
c) Aptitud para el desempeño de sus funcIOnes específIcas;
d) Cumplimiento de las normas de segundad apropiadas, acordes a estándares internacionales en la materia; y,
Cumplimiento con los estándares técnicos y de audItoría que establezca el INDOTEL;
1.6. Criptografía: Es la rama de las matemáticas aplicadas a la ciencia informática que se ocupa de la transformación de documentos digitales o mensajes de datos, de su representación original a una representación ininteligible e indescifrable, que protege y preserva su contenido y forma, y de la recuperación del documento o mensaje de datos original a partir de ésta;
1.7. Criptosistema Asimétrico: Es el algoritmo que utiliza un par de claves, una clave privada para firmar digitalmente y su correspondiente clave pública para verificar dicha firma digital, de esta manera, una clave no puede operar sin la otra y de tal forma que el usuario que conozca la clave pública no pueda derivar de ella la clave privada;
1.8. Datos de Creación de Firma Digital: Son aquellos datos únicos, tales como códigos o claves criptográficas privadas, que el suscriptor utiliza para crear su firma digital ;
1.9. Datos de Verificación de Firma Digital: Son aquellos datos únicos, tales como códigos o claves criptográficas públicas, que se utilizan para verificar la firma digital, la integridad del documento digital o mensaje de datos y la identidad del suscriptor;
1.10. Destinatario: La persona designada por el iniciador para recibir el mensaje, pero que no esté actuando a título de intermediario con respecto a ese mensaje;
1. 1 1. Dispositivo de Creación de Firma Digital: Es el dispositivo de hardware o software técnicamente confiable que permite firmar digitalmente;
-11-
1 .12. Dispositivo de Verificación de Firma Digital: Es el dispositivo de hardware o software técmcamente confIable que permite verifIcar la mtegndad del documento dIgital y la IdentIdad del suscnptor;
1 .13 . Documento Digital: Es la mformación CodIfIcada en forma dIgital sobre un soporte lógico o físico, en la cual se usan métodos electrónicos, fotolitográficos, ópticos o similares que se constituyen en representación de actos, hechos o datos jurídicamente relevantes;
1 . 1 4. Entidad de Certificación: Es aquella instltUClón o persona JurídIca que, autorizada conforme a la Ley, el presente Reglamento y las normas a ser dIctadas por el INDOTEL, que está facultada para emitIr certificados en relaCIón con las fIrmas dlgltales de las personas, ofrece! o faclhtar Jos serVICIOS de registro y estampado cronológIco de la transmISIón y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas dIgItales;
1 . 1 5, Estampado Cronológico o Certificación Digital de Fecha y Hora: Es la indIcaCIón de la fecha y la hora cierta, asignada a un documento o registro electrónico por una Entidad de CertificaCIón y fIrmada digitalmente por ésta;
1. 16. Firma Digital: Se entenderá como un valor numénco que se adhIere a un mensaje de datos y que, utihzando un procedImIento matemático conocido, vinculado a la clave del mlclador y al texto del mensaje, permIte determmar que este valor se ha obtenido exclusivamente con la clave del mIClado! y el texto del mensaje, y que el mensaje mlclal no ha sido modificado después de efectuada la transmiSIón;
1.17. Firma Electrónica: Se entiende por firma electrónica al conjunto de datos electrónicos mtegrados, ligados o asociados de manera lógica a otros datos electrómcos, que por acuerdo entre las partes se utlhce como medio de identificación entre el emisor y el destmatano de un mensaje de datos o un documento digital y que carece de alguno de los requisitos legales para ser conSIderado flIma dIgital;
1.18. INDOTEL: Es la SIgla que denomma al Instituto Dominicano de las Telecomunicaciones, órgano regulador de las telecomunicaciones y del comercio electrónico, documentos y fmnas digitales, de confonnidad con las leyes NO. 1 53-98 General de Telecomunicaciones y NO.126-02 de Comercio Electrónico, Documentos y Firmas Digitales de la República Dommicana, respectivamente;
1 . 1 9. Iniciador: Toda persona que, al tenor de un mensaje de datos, haya actuado por su cuenta o en cuyo nombre se haya actuado, para enviar o generar dicho mensaje' antes de ser archivado, si este es el caso, pero que no lo haya hecho 'a título de intermediario con respecto a ese mensaje;
1 .20. Ley: Se refiere a la Ley de ComercIO Electrómco, Documentos y FIrmas Digitales, número 126-02;
-12-
1 .21 . Ley de Telecomunicaciones: Se refiere a la Ley General de Telecomunicaciones, número 1 53-98;
1 .22. Mensajes de Datos: Es la información generada, enviada, reCIbIda, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI, por sus siglas en inglés), el cerreo electrónico, el telegrama, el télex o el telefax;
1 .23. Manual de Procedimientos: Es el conjunto de prácticas utilizadas por la Entidad de Certificación en la emisión y administración de los certificados. En inglés, Certification Practice Statement (CPS);
1 .24 . Plan de Cese de Actividades: Es el conjunto de actividades aprobadas por el INDOTEL, a desarrollar por la Entidad de Certificación en caso de finalizar la prestación de sus servicios;
1 .25. Plan de Contingencias: Es e1 conjunto de procedimientos a seguir por la Entidad de Certificación ante la ocurrencia de situaciones no previstas que puedan comprometer la continuidad de sus operaciones;
1 .26. Plan de Seguridad: Es el conjunto de políticas, prácticas y procedimientos destinados a la protección de los recursos de la Entidad de Certificación;
l .27 . Prácticas de Certificación: Es el conjunto de información relativa al cumplimiento de los requisitos de autorización y operación que debe publicar cada Entidad de Certificación según 10 establecido en el Artículo 38 de la Ley N°. 1 26-0 2;
1 .28. Políticas de Certificación: Son las reglas definidas por las Entidades de Certificación y aprobadas por el INDOTEL, en las que se establecen l os criterios de emisión y utilización de los certificados digitales. En inglés, Certification Policy (CP);
1 .29. Procedimiento de Verificación de Firma Digital: Es el proceso uti l izado para determinar la validez de una firma digital. Dicho proceso debe constar por lo menos de los pasos siguientes:
a) La verificación de que dicha firma digital ha sido creada durante el período de validez del certificado digital del suscriptor;
b) La comprobación de que dicha firma digital ha sido creada utilizando los datos de creación de firma digital correspondientes a los datos de verificación de firma digital indicados en el certificado del suscriptor; y,
c) La verificación de la autenticidad y la validez de los certificados involucrados;
-13-
1.30. Proveedor de Servicios de Firma Electrónica: Es toda.persona moral, nacional o extranjera, pública o privada, que preste servicios de certifIcación, y cuyos certificados digitales no tienen valor legal de firma digital, sin perjUicIo de los demás servicIos que puedan realizar;
1.31. Registro de Entidades de Certificación: Es el registro de acceso públ ico que mantiene el INDOTEL en el cual constan las informaciones relativas a las Entidades de Certificación;
1.32. Registro Nacional: Es el regIstro establecido en el Capítulo IX del Reglamento de Concesiones, Inscripciones en Registros Especiales y Licencias para Prestar Servicios de Telecomunicaciones en la República Dominicana, que mantiene un listado de todas las autorizaciones otorgadas por el INDOTEL;
1.33. Reglamento: Se refiere al presente Reglamento de la Ley No.126-02;
1.34. Repositorio: Es un sistema de información para el almacenamiento y recuperación de certificados u otro tipo de información relevante para la expedición y validación de los mismos;
1.35. Revocar un Certificado: Es finalizar definitivamente el período de valIdez de un certificado, desde una fecha específica, en adelante;
1.36. Suscriptor o Titular de Certificado Digital: Es la persona que contrata con una Entidad de Certificación la expedición de un certificado, para que sea nombrada o identificada en él. Esta persona tiene la obligación de mantener bajo su estricto y exclusIvo control el procedimiento para generar su firma digital;
1.37. Suspender un Certificado: Es Interrumpir temporalmente el período operacIonal de un certificado desde una fech a específIca, en adel ante;
1.38. Unidad de Registro: Es toda persona moral o física, u organismo público, posibilitada a validar los datos de identidad de personas físicas y jurídicas, suscriptoras de certificados y en capacidad de prestar otros servicios de validación relacionados con las finnas digitales, conforme a la autorización otorgada a tales fines por el INDOTEL. En inglés, Registration Authority (RA);
1.39. Usuario: Es la persona que, s10 ser suscriptor y sin contratar los serVIcios de emisión de certificados de una Entidad de Certificación, puede, s1Oembargo, val idar la integridad y autenticidad de un documento digital o de un mensaje de datos, con base en un certificado del suscriptor originador del mensaje;
1.40. Validar la Integridad y Autenticidad de un Documento Digital o un Mensaje de Datos: Es el procedimiento de verificaCIón de firma digital aplicado a un documento dIgital o mensaj de datos.
-14-
ARTÍCULO 2.- Alcance.-
2. 1 . Este ReglaIl)ento constItuye el marco regulatorio que se aplIcará en todo el territono nacional para la prestación de servicios de certificacIón dIgItal en el marco de la Ley No.l26-02 de Comercio ElectrónIco, Documentos y Firmas Digttales, y regula a las entidades comprendidas en la Ley y el presente Reglamento.
2 .2 . Son sUjetos regulados por la Ley, el presente Reglamento y las normas complementarias que dicte el INDOTEL, las entIdades de certificación, los proveedores de servicios de firma electrónica y las unidades de regIstro, así como los proveedores de servicios o infraestructura de soporte operacionalmente vinculados con estas en la medida de su relación contractual.
2 .3 . Este Reglamento deberá ser interpretado de conformIdad con la ley, los reglamentos y normas dictadas por el INDOTEL y se tendrán en cuenta las normas y recomendaciones internacionales en la matena.
2.4. El INDOTEL aprobará las normas complementarias al presente Reglamento, las cuales podrán ser amplIadas, modIfIcadas o derogadas de acuerdo con la evolUCIón de los estándares internacionalmeme aceptados.
ARTÍCULO 3.- Autoridad.-
3 . 1 . El INDOTEL velará por el fiel cumplimiento de este Reglamento, estipulará los estándares tecnológicos, legales, económicos y de procedImIentos aplIcables en materia de firma digital, documentos dIgitales y mensajes de datos, y emitIrá las resolucIOnes correspondientes a fin de garantIzar la aplicacIón efectiva de la Ley y este Reglamento.
3 .2 . El INDOTEL constItuye la única institución del Estado con calidad legal para autorizar la instalación y operación de servicios públicos y privados de certificación digital en el territorio nacional, no pudiendo ser sustituida esta facultad por ninguna otra autoridad centralizada, autónoma o descentralizada del Estado.
TÍTULO JI SUJETOS REGULADOS
PARTE 1 ENTIDADES DE CERTIFICACIÓN
ARTÍCULO 4.- Categorías.-
4. 1 . Las Entidades de Certificación, las Unidades de Registro y los Proveedores de Servicios de Firma Electrónica se encuentran regulados por la Ley, el presente Reglamento y sus nornlas complementarias, así como por las normas de derecho común aplicables.
-15-
4.2. Entidades de Certificación: Son aquellas que, sIendo personas jurídicas naclOnales o extranjeras, públicas o privadas, y las Cámaras de Comercio y Producción, domici liadas en la República Dommicana, que, prevIa soltcltud, sean autorizadas por el INDOTEL en conformidad con la Ley, este Reglamento y las normas que dIcte el INDOTEL, están facultadas para emitIr certIficados en relacIón con las fIrmas digItales de las· personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmISIón y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas dIgitales, sin perjuicio de los demás servicIos que puedan realizar.
4 .3 . Proveedores de Servicios de Firma Electrónica: Son aquellas personas morales, nacionales o extranjeras, públicas o .privadas, que otorguen certificados digitales que carecen de valor legal de firma digital, sin perJUICIO de los demás serviCIOS que puedan reahzar.
ARTÍCULO 5.- Prestación de Servicios de Firma Electrónica.-
5.1. La prestación de servicios de certificacIón digital por Proveedores de Servicios de Firma Electrónica no requiere de autorización previa por parte del INDOTEL.
5.2. A los fines de proteger los derechos de los consumidores, el INDOTEL determinará la información a presentar y los procedimtentos a cumplIr por los Proveedores de Servicios de Firma Electrómca.
ARTÍCULO 6.- Efectos de los Certificados Emitidos por Proveedores de Servicios de Firma Electrónica.-
6.1. L.os certificados y demás servicios de certificaCión prestados por los Proveedores de Servicios de Firma Electrónica no tienen el valor Jurídico que la Ley otorga a la firma digital, esta circunstancia deberá constar en la información que suministren sobre sus serVIcios tanto en forma impresa como en formato digital, en el sitio de Internet de que dispongan y en general, en toda comunicación vinculada a los mismos.
6.2. Los Proveedores de Servicios de Firma Electrónica deberán comunicar expresamente tal circunstancia a los soliCitantes y/o suscriptores de certificados digitales que emitan y a todo tercero que tome contacto con dicho 'Proveedor de SerVicios de Firma Electrónica.
ARTÍCULO 7.- Normas.-
El cumplimiento de las normas fIjadas para la aplicación del presente Reglamento es obligatorio para las Entidades de Certificación. El INDOTEL tiene la potestad para
i)
-16-
efectuar, de oftcio o a solicitud de parte, verificacIOnes de cumplimIento de las disposiciones legales y reglamentarias en las EntIdades de Cenificación cuando lo considere necesario en la forma dispuesta por la Ley y sus normas reglamentarias.
ARTÍCULO 8.- Actualización de las Normas.-
8.1. Los actos administrativos que Impliquen la modificación de normas para la prestación de servicios de certificación digital establecerán los plazos en los cuales las Entidades de Certificación deberán adecuarse a las mismas.
8.2. El incumplimiento de las disposiciones de las nuevas normas será calificado como falta muy grave y facultará al INDOTEL a dejar sin efecto la autorización, de conformidad con los Artículos 56 y 57 de la Ley y el presente Reglamento.
ARTícULO 9.- Prácticas de Certificación.-
9 . 1 . Las Entidades de Cenificación contarán con reglas específicas sobre sus prácticas de certificación, consistentes en una descripción detallada de las políticas, procedimientos. mecanismos y condiciones de prestación de los servicios, así como las obhgaclOnes que asumen.
9.2. Las Prácticas de Certificación deben declarar el cumplimiento de los requisitos señalados en el Artículo 68 de este Reglamento, con excepción de la póliza de seguro que se acredita por medio de la presentación de la misma.
9.3. Las Prácticas de Cenificación deben ser objetivas y no discriminatorias, deben estar publicadas de conformidad con el Artículo 38 de la Ley y el presente Reglamento y se deben comunicar a los suscriptores y usuarios de manera sencilla y en idioma español.
9.4. Las Políticas de Certificación estarán sujetas a la aprobación del INDOTEL y deberán ser remitidas junto a la solicitud de autorización.
9.5. Las Políticas de Certificación deberán ser publicadas y actualizadas en forma permanente y deben estar accesibles al público por medios electrónicos, en la dirección correspondiente al sitio de que disponga la Entidad de Certificación, en el boletín del INDOTEL y en el sitio de Internet del INDOTEL.
9.6. Las disposiciones de las Prácticas de Certificación deberán contener de manera enunciativa, por 10 menos la siguiente información:
a. Datos Generales:
El nombre, la dirección física y el número telefónico de la Entidad de Certificación;
-17-
ií) El número del Registro Nacional de Contribuyente (RNC);
iii) La dirección electrónica, en la cual serán válidas las comunicaciones y notificaciones;
iv) El certificado digital que contiene la clave pública actual de la Entidad de Certificación;
v) El resultado de la evaluación obtenida por la Ent·idad de Certificación en la última áuditoría reahzada por el INDOTEL;
vi) Si la autorización para operar como Entidad de Certificación ha sido revocada o suspendida, este registro deberá incluir la fecha de la revocación o suspensión para operar para todos los casos en los cuales se haya producido;
vii) Los límites impuestos a la Entidad de Certificación en la autorización para operar; y,
viii) Cualquier evento que sustancialmente afecte la capacidad de la Entidad de Certificación para operar.
b. Políticas de Certificación que contemplen al menos los siguientes contenidos:
i) Introducción, la cual contendrá un resumen de las prácticas de certificación de que se trate, mencionando tanto la entidad que suscribe el documento, como el tipo de suscriptores y productos a los que son aplicables;
ii) Consideraciones Generales, las cuales contendrán información sobre obligaciones, responsabilidades, cumplimiento de auditorías, confidencialidad, y derechos de propiedad intelectual, con relación a todas las partes involucradas;
íii) Identificación y Autenticación, en la cual se describan los procesos de autenticación aplicados a los solicitantes de certificados, así como los procesos para autenticar a los mismos cuando pidan la suspensión o la revocación de un certificado. En caso de operar con una Unidad de Registro, la entidad suministrará los datos de esta Unidad;
iv) Requerimientos Operacionales, los cuales contendrán información operacional y procedimientos a seguir para los procesos de solicitud de certificados, emisión de certificados, suspensión y revocación de certificados, procesos de auditoría, de seguridad, almacenamiento de información relevante, cambio de datos de creación de firma digital, superación de situaciones críticas, casos de fuerza mayor, caso fortuito, y procedimiento de término del servicio de certificación;
-18-
v) Controles de Procedimiento, Personal y Físicos, describirán los controles de seguridad no técnicos utilizados por la entidad de certificación para asegurar las funciones de generación de datos de creación de firma digital , autet:J,ticación de usuarios, emisión de certificados, suspensión y revocación de certificados, auditoría y almacenamiento de información relevante;
vi) Controles de Seguridad Técnica, señalarán las medidas de seguridad adoptadas por la Entidad de Certificación para proteger los datos de creación de su propia firma digital;
vii) Perfiles de Certificados y del Registro de Acceso Público, especificarán los formatos del certificado y del registro de acceso público;
viii) Especificaciones de Administración de la Política de Certificación, señalarán la forma en que la misma está contenida en la práctica, y los procedimientos para cambiar, publicar y notificar dicha política.
c. Plan de Cese de Actividades
d. Plan de Contingencia
e. Política de Protección de Datos Personales, acorde con la normativa complementaria a ser dictada por el INDOTEL.
f. El Reconocimiento de Certificados Extranjeros por Parte de la Entidad de Certificación, en caso de que corresponda.
ARTícULO 10.- Registro de Certificados Digitales.-
10.1 . Cada Entidad de Certificación y cada Proveedot de Servicios de Firma Electrónica mantendrá un Registro de certificados accesible al público, en el que se garantice la disponibilidad de la información actualizada contenida en él, de manera regular y continua.
10.2. Dicho Registro contendrá los certificados emitidos por las Entidades de Certificación y por los Proveedores de Servicios de Firma Electrónica, indicando el estatus de los certificados de modo tal que señale, al menos, lo siguiente:
a) Si los mismos se encuentran vigentes, revocados, suspendidos o reactivados;
b) Si son reconocidos por la Entidad de Certificación en caso de que hayan sido emitidos por una Entidad de Certificación extranjera;
c) La Política de Certificación bajo la cual fue emitido;
d) Las fechas de emisión y vencimiento; y
-19-
e) Todas las menciones relevantes para la utilización de los mismos.
10.3. Las Entidades de Certificación y los Proveedores de Servicios de Firma Electrónica garantizarán el acceso al público de manera permanente a dicho Registro por medios electrónicos.
ARTICULO 11.- Comunicación de cesación de actividades.- .
11.1. Entidades de Certificación. En caso de que una Entidad de Certificación cese en la prestación del servicio, notificará tal situación a los suscriptores de los certificados emitidos por ella en la siguiente forma:
11.1.1. Cesación Voluntaria. Con una antelación no menor a NOVENTA (90) días hábiles y señalando a los suscriptores que de no existir objeción a la transferencia de los certificados a otra Entidad de Certificación, la cual ser indicada en dicha notificación, dentro del plazo de QUINCE (15) días hábiles luego de la recepción de la comunicación, se entenderá que el suscriptor ha consentido la transferencia de los mismos.
11.1.2. Cesación no Voluntaria. La cancelación de la autorización será notificada inmediatamente a los suscriptores. En caso de que la Entidad de Certificación se encuentre en situación de traspasar los certificados a otra Entidad de Certificación, informará tal situación en la forma y plazo señalado en el Apartado 11.1.1.
11.2. Si el suscriptor del certificado comunica que se opone a la transferencia en el plazo establecido, el certificado será revocado sin ningún trámite adicional.
ARTícULO 12.- Cesación Voluntaria de Actividades.-
12.1. Entidades de Certificación. En caso de que la cesación en la prestación del servicio ocurra por voluntad de la Entidad de Certificación, ésta solicitará al INDOTEL mediante documento firmado por su representante, con NOVENTA (90) días hábi les de anticipación, la cancelación de su inscripción en el Registro de Entidades de Certificación, comunicándole el destino que dará a los certificados, especificando, en su caso, los que va a transferir y a quién, cuando proceda.
12.1.1. El INDOTEL dispondrá la cancelación de la inscripción en el Registro de Entidades de Certificación una vez constatado el cumplimiento de los procedimientos establecidos en el Plan de Cese de Actividades aprobado por éste.
12.2. Proveedores de Servicios de Firma Electrónica. En caso de cesación de actividades, los Proveedores de Servicios de Firma Electrónica deberán informar al INDOTEL tal circunstancia, con NOVENTA (90) días hábiles de anticipación, mediante documento firmado por su representante.
El INDOTEL reglamentará los procedimientos aplicables a la cesación de
-20-
ARTíCULO 13.- Subsistencia de las Obligaclones.-
13.1-. actividades de las Entidades de Certificación y de los Proveedores de Servicios de Finna Electrónica en base a la necesidad de preservar la protección de los derechos de los consumidores.
13.2. Las Entidades de Certificación contemplarán en sus Planes de Cese de Actividades, aprobados por el INDOTEL, la subsistencia de las obligaciones relativas a la protección, confidencialidad y debido uso de la infonnación suministrada por los suscriptores de certificados.
ARTÍCULO 14.- Conservación de los Documentos y Datos de Apoyo para la Emisión de Certificados.-
14.1.' Los datos proporcionados por los suscriptores de certificados digitales. y los documentos de apoyo, serán conservados por las Entidades de Certificación por lo menos durante VEINTE (20) años desde la revocación o expiración de los certificados.
14.2. En caso de que las Entidades de Certificación cesen en su actividad, transferirán dichos datos a otra Entidad de Certificación o bien a una empresa especializada en la custodia de datos electrónicos debidamente autorizada por el INDOTEL, por el tiempo faltante para completar los VEINTE (20) años desde la revocación o expiración de cada certificado. Esta situación deberá verse reflejada tanto en el Registro de Entidades de Certificación como en la Política de Certificación aprobada por el INDOTEL.
ARTícULO 15.- Conservación del Registro de Certificados.-
15.1. Las Entidades de Certificación conservarán los datos contenidos en los registros mencionados en el Artículo 51 de la Ley por un plazo de CUARENTA (40) años, contados a partir de la fecha de la revocación o expiración de cada certificado.
15.2. En caso de que las Entidades de Certificación cesen en su actividad, transferirán dichos datos a otra Entidad de Certificación, o bien a una empresa especializada en la custodia de datos electrónicos debidamente autorizada por el INDOTEL, por el tiempo faltante para completar los CUARENTA (40) años desde la revocación o expiración de cada certificado. Esta situación deberá verse reflejada tanto en el Registro de Entidades de Certificación como en la Política de Certificación aprobada por el INDOTEL.
ARTícULO 16.- Seguros.-
La Entidad de Certificación contará con seguros vigentes acordes con las responsabilidades asumidas, que cumplan con los requisitos que establezca la nonna complementaria sobre
h)
-21-
las políticas de acreditación o autorización que dicte el INDOTEL.
ARTíCULO 17.- Obligaciones de las Entidades de Certificación.-
En adición a lo dispuesto en el Artículo 40 de la Ley, las Entidades de Certificación tienen las siguientes obligaciones:
a) Comprobar por sí o por medio de una Unidad de Registro, en la cual haya delegado tal función, la identidad u otro dato de los solicitantes considerado relevante para los procedimientos de verificación de identidad previos a la emisión del certificado digital, según la Política de Certificación bajo la: cual se solicita el certificado;
b) Mantener a disposición permanente del público las Políticas de Certificación y el Manual de Procedimientos, en aquellos aspectos que no contengan información confidencial, en los formatos que apruebe el INDOTEL a tales fines;
e) Cumplir cabalmente con las Políticas de Certificación acordadas con el suscriptor y con su Manual de Procedimientos, considerándose su rncumplimiento como falta grave;
d) Garantizar la prestación establecida según los niveles definidos en el acuerdo de servicios pactado con el suscriptor, relativo a los servicios para los cuales solicitó autorización;
e) Informar al solicitante de un certificado digital, en ún lenguaje claro y accesible, en idioma español. respecto de las características del certificado solicitado. las limitaciones a la responsabilidad, si las hubiere, los precios de los servicios de certificación, uso, administración y otros asociados, incluyendo cargos adicionales y formas de pago, los niveles de servicio a proveer, las obligaciones que el suscriptor asume como usuario del servicio de certificación, su domicilio en la República Dominicana y los medios a los que el suscriptor puede acudir para solicitar aclaraciones, dar cuenta del mal funcionamiento del sistema o presentar sus reclamos;
f) Disponer de un servicio de atención a suscriptores de certificados y usuarios, mediante acceso personal,. telefónico y por Internet, que permita enviar las
deconsultas y la pronta respuesta a la solicitud suspensión o revocación de certificados;
g) Garantizar el acceso público, eficiente y gratuito de los suscriptores y usuarios al registro de certificados emitidos, suspendidos, revocados. reactivados o reconocidos;
Mantener actualizados los registros de certificados emitidos, suspendidos, revocados o reactivados por el término de CUARENTA (40) años, contado a partir de la fecha de la revocación o expiración de cada certificado;
i)
1)
o)
-22-
j)
Adoptar los procedimientos y resguardos de seguridad confiables, conforme Jo establezca el INDOTEL para garantizar que las claves privadas de los suscnptores no permanecerán en su poder ni podrán ser utilizadas por terceros en caso de que preste el servicio de generación de claves;
Informar al INDOTEL de modo inmediato la ocurrencia de cualquier evento que comprometa la correcta prestación del servicio;
k) Garantizar la integridad de la información que mantienen bajo su control;
Respetar el derecho del suscriptor del certificado digital a no recibir publicidad de ningún tipo por su intermedio, galvo consentimiento expreso de éste;
m) Publicar por medios electrónicos y en un periódico de circulación nacional el certificado de clave pública correspondiente a la política de certificación para la cual obtuvo autorización;
n) Cumplir las normas y recaudos establecidos para la protección de datos personales, así como las demás normas aprobadas por el INDOTEL;
p)
Cumplir con los requisitos establecidos en la Ley, e] presente Reglamento y las normas que dicte INDOTEL que motivaron la autorización obtenida para la prestación de servicios de certificación;
En los casos de revocación de certificados contemplados en el numera] 6 de] Artículo 49 de la Ley, deberá sustituir en forma gratuita aquel certificado digital que ha dejado de ser seguro por otro que sí cumpla con estos requisitos. El INDOTEL establecerá el proceso de reemplazo de certificados en estos casos. En los casos en los que un certificado digital haya dejado de ser seguro por razones atribuibles a su suscriptor. la Entidad de Certificación no estará obligada a sustituir el certificado digital;
q) Enviar los informes de estado de operaciones con carácter de declaración jurada que solicite el INDOTEL en las fechas y formatos determinados por ]a reglamentación que dicte el INDOTEL a tales fines;
r) Contar con personal idóneo y confiable, con antecedentes profesionales acordes a la función desempeñada, sin peIjuicio de las responsabilidades legales que asume por los servicios suministrados ;
s) Cumplir con los requerimientos realizados en virtud de sentencia con valor de la cosa irrevocablemente juzgada o autorización de un juez para entregar los datos;
t) Responder a los pédidos de informes por parte de los usuarios de certificados respecto de la validez y alcance de un certificado digital emitido por ella; y,
23-
u) Informar al INDOTEL ]a terminación del contrato o las modificaciones respecto de los alcances o montos de la cobertura de los seguros.
ARTíCULO 18.- Responsabilidad de las Entidades de Certificación.-
En ningún caso, ]a responsabilidad que pueda emanar de una certificación efectuada por una Entidad de Certificación comprometerá la responsabilidad civil del Estado en su calidad de órgano de control y vigilancia, ni en particular, la responsabilidad civil del INDOTEL, como entidad pública con personerfa jurfdica.
ARTíCULO 19.- Recursos de las Entidades de Certificación.-
19.1. Para el desarrollo adecuado de las actividades para las cuales solicita autorización, la Entidad de CertIficación evidenciará que cuenta con un equipo de profesionales, infraestructura física y tecnológica y recursos financieros, así como procedimientos y sistemas de seguridad que permitan:
a) Generar, en un ambiente seguro, las firmas digitales propias y todos los servicios para los cuales solicita autorización:
b) Cumplir con ]0 previsto en sus políticas y procedimientos de cenificación;
e) Garantizar la confiabiJidad de los sistemas de acuerdo con los estándares aprobados por el INDOTEL;
d) Expedir certificados que cumplan con:
i. Lo previsto en el Artículo 44 de la Ley;
ii. Los estándares tecnológicos aprobados por el INDOTEL; y,
iii. La Política de Certificación correspondiente;
e) Garantizar la existencia de sistemas de seguridad física y lógica en sus instalaciones que aseguren el acceso restringido a los equipos que manejan los sistemas de operación de la Entidad de Certificación;
f) Proteger el manejo de la clave privada de la Entidad de Certificación mediante un procedimiento de seguridad que impida el acceso a la misma a personal no autorizado;
g) Proteger el acceso y el uso de la clave privada mediante procedimientos que exijan 1,\ participación de más de una persona;
-24-
h} Registrar las transacciones realizadas a fin de identificar al autor y el momento de cada una de las operaciones;
i} Utilizar con exclusividad los sistemas que cumplan las funciones de certificación con ese propósito, sin que se les asigne ninguna otra función;
j} Proteger a todos los sistemas utilizados directa o indirectamente en la función de certificación con procedimientos de autenticación y seguridad de alto nivel de protección, que deben ser actualizados de acuerdo a los avances tecnológicos para garantizar la correcta prestación de los servicios de certificación;
k) Garantizar la continuidad de las operaciones mediante actualizado y probado; y,
un Plan de ContingenclU
l} Disponer de los recursos financieros adecuados al tipo de actividad de certifIcacIón que desarrolla, acorde con los niveles de responsabilidad denvados de la misma.
19.2. Los criterios de evaluación de 10 dispuesto en el apartado anterior serán establecIdos por el INDOTEL de acuerdo a estándares internacionales y la reglamentacIón dictada a tales fines.
ARTíCULo'20.- Servicios de Terceros.-
20.1. En los casos en que la Entidad de Certificación requiera o utilice IQs servicios o infraestructura tecnológicos prestados por un tercero, deberá prever dentro de su PIan de Contingencia los procedimientos a seguir en caso de interrupción de estos servicios, de modo tal que pennita continuar prestando sus servicios de certificación sin ningún perjuicIO. para los suscriptores.
20.2. Los contratos entre la Entidad de Certificación y los Proveedores de ServicIos o Infraestructura, deberán garantizar la ejecución de los procedimientos contemplados en el Plan de Cese de Actividades aprobado por el INDOTEL. La Entidad de CertificacIón autorizada o que haya iniciado el procedimiento para obtener la autorización, facilitará al INDOTEL toda aquella ¡nfonnación, contemda en los contratos, vinculada a la prestación de los servicios de certificación y a la implementación del Plan de Cese de Actividades y del Plan de Contingencia.
ARTícULO 21.- Efectos de la Autorización.-
Sin perjuicio de cualesquiera otras obligaciones impuestas bajo la Ley, disposiciones legales o reglamentarias, u otras obligaciones contraídas de manera particular, las Entidades de Certificación están obligadas a:
a) Prestar los servicios autorizados por el INDOTEL, de manera continua, de acuerdo a los ténninos, condíciones y plazos establecidos en la Ley, este Reglamento, las Resoluciones que al efecto dicte el INDOTEL y la respectiva autorización
d)
-25-
b) Cumpllr con los requisitos económicos, técnicos y jurídicos mínimos que hayan sido requeridos por el INDOTEL y en virtud de los cuales se le haya otorgado la autorización, así como cumplir con cualquier otro requisito establecido por el INDOTEL;
e) Cumplir con las Políticas de Certificación para las cuales obtuvo autorización, que respaldan la emisión de sus certificados, con el Manual de Procedimientos, con el Plan de Seguridad, con el Plan de Cese de Activ1dades y con el Plan de Contingencia aprobados por el INDOTEL, así como con las normas complementarias dictadas por el INDOTEL en materia de estándares tecnológicos, procedimientos de certificaci6n, resguardo de la seguridad y confidencialidad de la mformación, protección de datos personales de los suscriptores de certificados, y toda otra norma emitida por el INDOTEL.
Adoptar las medidas necesarias para garantizar la confidenciaJidad de la mformación y la protección de los datos personales de los suscnptores pe certificados digitales;
e) Pagar oportunamente los costos y derechos establecidos en este Reglamento, así como cualesquiera tasas, contribuciones u otras obhgaciones que origine la autorización;
f) Cooperar con el INDOTEL en sus labores de defensa de los intereses de los suscnptores y usuarios de servicios de certificación digita l ;
g) Admitir corno cliente o usuario de los servicios que suministra, de manera no discriminatoria, a todas las personas que lo deseen y cumplan c,on las condiciones técnicas y económicas que se establezcan, sin más limItaciones que las que se deriven de la capacidad del servicio;
h) Suministrar al INDOTEL, en el plazo requerido, las informaciones y datos fIdedignos que éste les solicite, concernientes a la acti Vidad regulada; y,
i ) Cooperar con el INDOTEL en sus labores de deteCCIón de actividades fraudulentas relativas a los servicios de certificación digital objeto de este Reglamento.
ARTÍCULO 22.- Uso Exclusivo de la Expresión "Entidad de Certificación"
El uso de la expresión "Entidad de Certificación" y frases similares es de uso exclusivo de los prestadores de servicios de certificación digital que hayan sido autorizados para operar como Entidades de Certificación a tal efecto por el INDOTEL mediante resolución e incorporados al Registro de EntIdades de Certificación.
-26-
PARTE 11 UNIDADES DE REGISTRO
ARTíCULO 23.- Funciones y Obligaciones de las Unidades de Registro.-
Sin perjuicio de lo que pueda disponer la reglamentación dIctada por el INDOTEL, l as Unidades de Registro tendrán las funciones y obligaciones de:
a) Recepción de las solicitudes de emisión de certIficados digitales;
b) Validación de la identIdad y autenticación de los datos de los solicitantes de certificados digitales;
c) Validación de otros datos de los solicitantes de certI ficados digi tales que se preSenten ante ella, cuya verificacIón delegue la Entidad de CertI fIcaC ión, para e l otorgamiento de cenificados digitales con atributos determinados, como por ejemplo, calidad de representante de una persona jurídIca, calidad de funcionaflo de una organización, calidad de miembro de un colegio profesional, entre otros;
d) Remisión de las solicitudes aprobadas a la Entidad de Certificación con la que se encuentre operativamente vinculada;
e) Recepción y validación de las solicitudes de suspenslon o revocación de certificados dIgitales, y su direccionamiento a la Entidad de Certificación con la que se vinculen, una vez que se realicen las verificaciones de identidad correspondientes;
f) Identificación y autenticación de los solicitantes de suspensión o revocación de · certificados digitales emitidos por la Entidad de Certificación;
g) Conservación y archivo de toda la documentación de respaldo del proceso de validación de identidad, de acuerdo con los procedimientos establecidos por la Entidad de Certificación;
h) Cumplimiento de las normas legales aplicables así como las que pudiera dictar e l INDOTEL en relación con la protección de datos personales, la confidencialidad de la información y otros temas vinculados con la actividad;
i) Cumplimiento de las disposiciones que establezca la Política de Certificación y el Manual de Procedimientos de la Entidad de Certificación con la que se encuentre vinculada, en la parte que resulte aplicable; y,
j) Colaboración para la realización de inspecciones o auditorías por parte de la Entidad de Certificación, el INDOTEL o sus auditores.
-27-
ARTÍCULO 24.- Delegación.-
24. 1 Las Entidades de CertIficación podrán delegar en Umdades de Registro la función de validación de identIdad y de otros datos de los suscriptores de certifIcados, así como la función de registro de las presentaciones y de los trámites que les sean formul ados.
24.2 Para efectuar esta delegación, tanto las Entidades de CertIfIcacIón como las Unidades de Registro, deben cumplir con las normas y procedimientos estableCIdos en la Ley, el presente Reglamento y las disposiciones dictadas por el INDOTEL.
24.3 Las Entidades de CertificaCIón serán autorizadas por el INDOTEL para efectuar esta delegación.
ARTÍCULO 25.- Responsabilidad de la Entidad de Certificación Respecto de la Unidad de Registro.-
25. 1 . Una Unidad de Registro puede constituirse como una única unidad o como varias umdades dependIentes jerárquicamente entre sí, pudiendo delegar su operacIón en otras Unidades de Registro, siempre que medIe la aprobaCIón de la Entidad de CertIficaCIón y la respectiva autorización del INDOTEL.
25.2. La Entidad de CertificaCIón es responsabl e de acuerdo con lo establecido en la Ley. aún en el caso que delegue parte de su operación en Unidades de RegIstro, SIn perjuicio del derecho de la EntIdad de CertIficación de reclamar a la Unidad de Registro las indemnizaciones por los daños y perjuicl Os que sufnera como consecuencia de los actos u omisiones de ésta.
ARTÍCULO 26.- Titulares de Unidades de Registro.-
Podrán cumplir la función de Unidad de Registro los notarios públicos, las oficinas del Registro Civil , las asociaciones profesionales para sus miembros, las Cámaras de ComerclO para sus mIembros, l as entidades bancarias para sus clientes y en relación con las Entidades de CertificaCIón pertenecientes a organismos púbhcos, las áreas de personal de las jurisdicciones u otras dependencias, que cumplan con l os requisitos establecidos por el INDOTEL a tales fines. Esta enumeración no es limitativa pudIendo ser modificada por el INDOTEL en uso de su facultad regulatoria.
ARTÍCULO 27.- Supervisión ,por el INDOTEL.-
27. 1 . Las Unidades de Registro están sujetas a las facultades regulatorias y de inspección del INDOTEL como órgano de vigilancia y de control en materia de firma digItal.
-28-
27.2. El INDOTEL autorizará el funcionamiento de las Unidades de Registro sobre l a base del cumplimiento de los recaudos establecidos en los procedimIentos que dicte a tal fin.
27.3. Las Unidades de Registro están sujetas a las mismas obligaciones que las Entidades de Certificación en las siguientes materias:
a) Conservación de datos de suscriptores de certificados;
b) Protección de derechos del consumidor;
c) Confidencialidad de la información;
d) Protección de datos personajes; y,
e) En todo otro aspecto que establezca el INDOTEL mediante normas que complementan este Reglamento.
PARTE 111 COSTOS Y DERECHOS
ARTícULO 28.- Costos y Derechos.-
28.1. Toda entidad regulada está sujeta al pago de los siguientes costos y derechos, los cuales serán aplicados por el INDOTEL:
a) Costos de Procesamiento, que se refieren a los costos directamente involucrados en la tramitación administrativa, de la autorización, de la inscripción en e l Registro de Entidades de Certificación y de otros trámites que determine el INDOTEL; y,
b) Derecho de supervisión, correspondiente a la reaJización de inspecciones y auditorías ordinarias y extraordinarias.
28.2. Los costos de procesamiento serán aplicados por serVICIO, y serán recaudados concomitantemente a la presentación de las siguientes solicitudes:
a) Solicitud de autorización para constituirse en Entidad de Certificación;
b) Solicitud de autorización para constituirse en Unidad de Registro;
c) Solicitud de autorización para una transferencia, cesión, arrendamiento, otorgamiento del derecho de uso, constitución de gravámenes o transferencia de control de una Entidad de Certificación, de un Proveedor de Servicios de Firma Electrónica o de una Unidad de Registro vigente; y.
c)
h)
-29-
d) Toda otra presentación que el INDOTEL incluya en el listado precedente.
28.3. Los costos de procesamiento serán pagados, según corresponda. Estos costos no serán restituidos en el evento que la autorización o la inscripción no se concedan por incumplimiento de los requisitos y obligaciones legales y reglamentarias exigidas.
28.4. El derecho de supervisión comprenderá < los costos correspondientes a las inspecciones y auditorías ordinarias y extraordinarias. El monto deberá ser pagado dentro de los NOVENTA (90) días-calendario SIguientes a la fecha de la Resolución que los fija, en función de los costos que las inspecciones y auditorías demanden al INDOTEL.
28.5 . Los montos de los costos de procesamiento, de los derechos de supervisión y de las multas serán establecidos por el INDOTEL, mediante Resolución.
TÍTULO III CERTIFICADOS DIGITALES
ARTíCULO 29.- Contenidos de los Certificados Digitales.-
29. 1 . Sin perjuicio de lo que pudiera establecer e l INDOTEL, los certificados digltales provistos por las Entidades de Certificación contendrán, por lo menos, los siguientes datos:
a) Firma digital de la Entidad de Certificación; b) Nombre y dirección electrónica del suscriptor;
Identificación del suscriptor nombrado en el certificado; d) Nombre, dirección electrónica y lugar donde reaJiza actividades la Entidad de
Certificación, y los antecedentes de la autorización obtenida; e) Clave pública del suscriptor; f) Metodología utilizada para verificar la firma digital del suscriptor; g) Número de serie del certificado;
Fecha y hora de emisión y expiración del certificado; e, i) Identificación de la Política de Certificación bajo la cual el certificado fue emitido.
29.2. El INDOTEL podrá modificar los contenidos mínimos de los certificados, de acuerdo al avance de los estándares tecnológicos internacionales.
ARTíCULO 30.- Incorporación de Contenidos Adicionales.-
30 . 1 . Las Entidades de Certificación deberán introducir en los certificados que emitan, los datos mencionados en el artículo anterior, y eventualmente los que disponga el INDOTEL en los plazos previstos en el presente Reglamento.
-30-
30.2. Los atributos adicionales que las Entidades de Certificación introduzcan con la finalidad de incorporar límites al uso del certificado, no deberán dificultar o impedir la lectura de los datos señalados en el artículo anterior ni su reconocimiento por terceros.
ARTícULO 31.- Firma Digital Segura.-
3 1 . 1 . Para l a emisión de certificados de firma digital segura contemplada en el Artículo 32 de la Ley, la Entidad de Certificación deberá comprobar fehaCIentemente la identIdad del solicitante antes de su emisión, y cumplir con las normas técnicas y de procedimientos que dicte el INDOTEL.
3 1 .2. La Entidad de Certificación podrá efectuar dicha comprobación por sí o por medio de Unidades de Registro, requiriendo la comparecencia personal y directa del solicitante o de su representante legal si se tratare de una persona jurídica.
3 1 .3 La comprobación de los datos de identidad de las personas que soliciten la emisión de un certificado digital enmarcado en una Política de Certificación para firma digital segura, se efectuará en base al número de la Cédula de Identidad y Electoral , al de la Cédula de Identidad, al del Pasaporte o al de cualquier otro documento oficial de identidad personal que el Estado Dominicano adopte en el futuro.
3 1 .4. En el caso de que la persona física no sea de nacionalidad dominicana, la comprobación de los datos de identidad del solicitante de un certificado digital enmarcado en una Política de Certificación para firma digital segura ' se efectuará en base al número de Pasaporte.
3 1 .5 . El INDOTEL establecerá los procedimientos y documentos que serán considerados para la comprobación de la identidad de las personas menores de edad que sol icIten la emisión de un certificado digital.
ARTíCULO 32.- Resguardo de la Clave Privada.-
32. 1 . Los datos de creación de una firma, cuando sean generados por la Entidad de Certificación, deben ser entregados al suscriptor del certificado a fin de garantIzar la recepción de los mismos en forma personal y confidencial . A partir de este momento la clave privada queda bajo el control y responsabilidad del suscriptor para los efectos previstos en la 'Ley y su reglamentación.
32.2. Queda prohibido a la Entidad de Certificación mantener copia de los datos de creación de firma digital una vez que éstos hayan sido entregados a su suscriptor, momento desde el cual éste comenzará a ser responsable de mantenerlos bajo su exclusivo control .
32.3. El incumplimiento de las disposiciones sobre resguardo de la clave privada dispuestas en los artículos anteriores constituye una falta muy grave que dará lugar a la
-31-
inmediata suspensión de la autorización, sin perjuicio de la responsabil idad civil y penal que pudiera corresponder.
f\RTÍCULO 33.- Alcance del Uso de Certificados Digitales.-
33. 1 . El certificado digital podrá ser usado por su suscriptor de conformidad con las disposiciones establecidas en la Política de Certificación de la Entidad de Certificación con quien se ha contratado la emisión y administración del mismo.
33.2. El certificado digital deberá permitir, a quien 10 reciba, verificar, en forma directa o mediante consulta electrónica o por cualquier otro medio razonablemente disponible, que ha sido emitido por una Entidad de Certificación con la finalidad de comprobar l a vahdez del mismo.
ARTÍCULO 34.- Suspensión de Certificados Digitales.-
Las Entidades de Certificación procederán a suspender la vigencia del certificado cuando se verifique alguna de las siguientes circunstancias:
a) Sol icitud del suscriptor del certificado;
b) Iniciación del trámite de ausencia con presunción de fallecimiento del suscriptor del certificado, o por iniciación de un procedimiento de declaratoria de incapacidad, en ambos casos, mediante decisión provisional del juez competente ;
c) Decisión de la Entidad de Certificación en virtud de razones técnicas, circunstancia que será comunicada en forma inmediata en un plazo máximo de VEINTICUATRO (24) horas al suscriptor del certificado y al INDOTEL, por los medios establecidos en el Artículo 5 1 del presente Reglamento;
d) Mediante sentencia de un tribunal con autoridad de la cosa irrevocablemente juzgada; y,
e) En virtud de las demás causas dispuestas en la Política de Certificación de cada Entidad de Certificación debidamente aprobada por eI INDOTEL;
ARTÍCULO 35.- Efectos de la Suspensión del Certificado.-
35. 1 . El efecto de la suspensión del Certificado es la cesación temporal de sus efectos jurídicos conforme a los usos que le son propios e impide el uso legítimo del mismo por parte del suscriptor, a partir de la notificación y durante el lapso que ésta perdure.
35.2. La suspensión del Certificado terminará por cualquiera de las siguientes causas:
d)
e)
a)
c)
g)
-32-
a) Por la decisión de la Entidad de Certificación de revocar el Certificado en los casos previstos en la Ley, este Reglamento y las normas técnicas complementanas
b) Por la decisión de la Entidad de Certificación de levantar la suspensión del Certificado, una vez que cesen las causas que la originaron;
c) Por la decisión del suscriptor del certificado, cuando la suspenslon haya sido solicitada por éste, y este hecho sea comunicado a la Entidad de Certificación;
Por sentencía del tribunal con autoridad de la cosa irrevocablemente Juzgada que declara la incapacidad, o la ausencia temporal con presunción de fal lecimiento o e l fallecimiento por ausencia definitiva del suscriptor del certificado, que implica su revocación; y,
En virtud de las demás causas dispuestas en la Política de Certificación debidamente aprobada por el INDOTEL;
ARTíCULO 36.- Revocación de Certificados Digitales.-
36. 1 . Los certificados digitales quedarán sin efecto por la revocación practicada por la Entidad de Certificación.
36.2. La revocación tendrá lugar cuando la Entidad de Certificación constate y comunique de manera formal por los medios establecidos en el Artículo 5 1 del presente Reglamento alguna de las siguientes circunstancias :
La solicitud del suscriptor del certificado digital;
b) La solicitud de un representante legal del suscriptor del certificado, acreditando la representación invocada;
Si se determina que un certificado digital fue emitido en base a una información falsa que en el momento de la emisión hubiera sido objeto de verificación;
d) S i se determina, en virtud de la auditoría realizada, que los procedimientos de emisión y/o verificación han dejado de ser seguros
e) Por condiciones especiales definidas en las Políticas de Certificación;
f) Por decisión motivada;
judicial o de entidad administrativa competente, debidamente
Por fallecimiento del titular o disolución de la persona jurídica suscriptor;
h) Por declaración judicial de ausencia con presunción de fallecimiento del suscriptor;
---------------------�-----_
-33-
..__.._--
i ) Por declaracIón mediante sentencia con autoridad de la cosa in'cvocablcl1 lcnte juzgada dejncapacidad jurídica del suscriptor;
j) Por la determinacIón de que l a información contenida en el certi fIcado hd depdí l de ser válida;
k) Por la cesación de l a relación de representacIón, laboral o conl ract l la l n'spl d " tic' una persona jurídica o de un orgamsmo públ ico;
1 ) En caso de revocación, ordenada por el INDOTEL, de la autonzn ' lón para funcionar otorgada a l a EntIdad de CertIficación, sIempre que no se haya (kCldldo la transferenci a del certifIcado a otra Entidad de CertIfIcaCIón; y,
m) Por la cesación de acti vi dades de la Entidad de CertIficacIón y sIempre ql le no se haya deci dido l a transferencia del certIficado a otra Enttdad de CertifIcaCIón
36.3. El efecto de la revocación del certificado digital es la cesación permanente y defimtiva de los efectos jurídicos de éste conforme a los usos que l e son propiO<.; e i mpIde su uso legítimo a partir del momento de la revocación.
ARTÍCULO 37.- Procedimiento de Suspensión o Revocación.-
37. 1 . La revocación de un certificado di gi tal podrá producirse de OfICIO o a so l tc l tud de ,;u suscriptor por la concurrencia de algunas de las causas prevlstas en la Ley, este Reglamento, normas complementarias o en las políticas de certificaCIón debldamt'nte aprobadas por el INDOTEL.
37.2. La solicitud de suspensión o revocaCIOn, según corresponda, será dlri gHJa a la Entidad de Certificación o a la Unidad de Registro dependiente de l a m¡<.;ma, en cUn lqmera de l as formas que prevean sus PolítIcas de CertifIcación.
37.3. La suspensi ón o revocación del certificado deberá ser notificada inmedIatamente en un plazo máximo de VEINTICUATRO (24) horas a su suscnptor, por los medIOS establecidos en el Artículo 5 1 del presente Reglamento, sin perjuicIO que deba puhhcarse en el RegIstro de acceso púbhco que señala el Artículo 5 1 de la Ley.
37.4. Tratándose de l a suspensión por razones técmcas o revocación del certIfICado dIgital por las circunstancias previstas en los incisos b), i) o j) del artículo anterior, dicha deci sIón deberá ser comumcada al suscriptor con una anteriondad de, por lo menos, VEINTICUATRO (24) horas a su puesta en práctica, indicando l a causa que l a provoca y el momento en que se hará efectiva, por los medios estableCIdos en el Artículo 5 J del presente Reglamento.
-34-
37.5 . El término de l a vigencia del certificado será oponible a terceros desde el momento de la publicación de la suspensIón o revocacIón en el registro de acceso público que señala el Artículo 51 de la Ley.
ARTÍCULO 38.- Reconocimiento de Certificados Extranjeros.-
38. 1 . Las Entidades de Certificación podrán reconocer los certificados digitales emitIdos por EntIdades de Certificación extranjeras, bajo su responsabilidad.
38 .2. Para ello la Entidad de CertIficación demostrará al INDOTEL que los certificados a ser reconocidos por ella, han sido emitidos por un prestador de servicios de certificación no establecido en República Dominicana que cumple con normas técnicas y de procedimientos equivalentes a las establecidas en la Ley, este Reglamento. sus normas complementarias y modificaciones, para el desarrollo de la actividad. En partIcular, deberá acreditar que los certificados a ser reconocidos por ella, cumplen las disposiciones referentes a contenidos mímmos de los certificados, establecidas en la Ley, este Reglamento y las normas emitidas por el INDOTEL.
38.3. El INDOTEL verificará el cumphmiento de las disposiciones legales y reglamentarias, y publIcará la información sobre el reconocimiento en el Registro de Entidades de Certificación. En caso de que la Entidad de Certificación no acredite e l cumplimiento de los recaudos legales y reglamentarios para el reconocimiento de certifIcados extranjeros, el INDOTEL mediante resolución motivada, rechazará la solicitud de reconocimiento.
38.4. Una vez practicado el reconocimiento la Entidad de Certificación, en un plazo de TRES (3) días hábiles, comunicará tal situación al INDOTEL y la publicará, inmediatamente en un plazo máximo de VEINTICUATRO (24) horas, en el Registro de acceso público contemplado en el Artículo 5 1 de la Ley.
38.5. El reconocimiento de certificados deberá estar declarado en las Prácticas de Certificación.
TíTULO IV ORGANO REGULADOR
ARTÍCULO 39.- Facultad Regulatoria.-
El INDOTEL está facultado para establecer:
a) Los estándares tecnológicos aplicables en consonancia con estándares internacionales vigentes:
b) Los procedimientos de firma y verificación en consonancia con los estándares
-35-
tecnológicos definidos en el inciso precedente;
c) Las condiciones mínimas de emisión de certificados digitales;
d) Los casos en los cuales deben suspenderse o revocarse los certIficados digitales;
e) Los datos considerados públicos contenidos en los certIfIcados digItales;
t) Los mecanismos que garanticen la validez y autoría de las lIstas de certIficados revocados;
g) La información que los sujetos regulados deberán publ icar por la Internet;
h) La información que las Entidades de Certificación deberán publicar en los medios establecidos por el presente Reglamento;
i) Los procedimientos mínimos de revocación de los certificados digitales cualquiera que sea la fuente de emisión, y los procedimientos mínimos de conservacIón de la documentación de respaldo de la operación de las Entidades de Certificación, en el caso que éstas cesen en su actividad;
j) El sistema de inspección y auditoría sobre los sujetos regulados, incluyendo las modalidades de difusión de los informes de auditoría y los requisitos de habilitación de entidades para efectuar auditorías y los criterios y estándares de auditoría mínimos que deberán cubrir;
k) Las condiciones y procedimientos para el otorgamIento y revocacIón de las autorizaciones;
1 ) El procedimiento de instrucción y la gradación de sanciones preVIstas en la Ley, en virtud de reincidencia y/u oportunidad;
m) Los procedimientos aplicables para el reconocimIento de certificados extranjeros;
n) Los acuerdos de reconocimiento mutuo de certificados digitales con otros países;
o) Las condiciones de aplicación de la Ley y el presente Reglamento en el sector público dominicano, incluyendo la autoriz ción para prestar servicios de certificación digital para sus entidades y jurisdicciones;
p) Los contenidos mínimos de las políticas de certificación de acuerdo con estándares nacionales e internacionales;
q) Las condiciones mínimas que deb rán cumplirse en el caso de cesación de actividades de una Entidad de Certificación;
a)
-36-
r) Los tipos de riesgos que c4brirán los seguros que deberán ser contratados por las Entidades de Certificación, y los montos correspondientes de contratación y cobertura;
s) Las condiciones de prestación de otros servicios en relación con la firma digItal y otros aspectos contemplados en la Ley; y,
t) La modificación y actualización de los temas considerados en los apartados precedentes.
ARTÍCULO 40.- Procedimiento para Formulación y Modificación de Normas Técnicas.-
40. 1 . A solicitud de parte o de oficio, y con el objeto de formular o modificar las normas establecidas por este Reglamento, el INDOTEL podrá iniciar el procedimiento para la elaboración y fijación de normas.
40.2. A tal fin, se Informará al público la apertura del procedimiento de reformulación de normas, y se someterá a consulta pública según lo dispuesto mediante Resolución dictada por el INDOTEL.
40.3. De ser necesario, se podrán fijar conjuntos alternativos de normas técnicas para la prestación del servicio con el objeto de permitir el uso de diversas tecnologías y medios electrónicos, en conformidad a la Ley y el presente Reglamento.
ARTÍCULO 41.- Acuerdos de Reconocimiento Mutuo.-
De acuerdo con lo dispuesto por los Artículos 37 y 55 de la Constitución de la Repúbl ica Dominicana, se delega . en el titular del INDOTEL la facultad de celebrar acuerdos de reciprocidad con gobiernos de países extranjeros, cuyo objeto sea otorgar validez, en sus respectivos territorios . a los certificados digitales emitidos por entJdades de certificación autorizadas de ambos países, en tanto se verifique el cumplimiento de las condiciones establecidas por la Ley, este Reglamento, las normas complementarias y sus modificaciones para los certifIcados digitales emitidos por entidades de certIfIcación autorizadas por el INDOTEL
ARTÍCULO 42.- Políticas de Certificación.-
El INDOTEL defInirá el contenido mínimo de las Políticas de Certificación, de acuerdo con los estándares internacionales vigentes y la legislación nacional, las que deberán contener al menos la siguiente Información:
Identificación de la Entidad de CertIficación;
b) Política de administración de los certificados y detalle de los servicios;
e)
-37-
c) Procedimientos de verificación de la identidad de los suscriptores de los certificados;
d) Obligaciones de la Entidad de Certificación, de la Unidad de Registro en su caso y de los suscriptores de los certificados;
e) Tratamiento de la información suministrada por los suscriptores, y resguardo de la confidencialidad en su caso;
f) Alcances y límites de la responsabilidad admitidos.
ARTÍCULO 43.- Funciones del INDOTEL.-
Sin perjuicio y en adición a las funciones asignadas por la Ley, el INDOTEL ejercerá la función de entidad de vigilancia y control de las actividades desarrolladas por los sujetos regulados. Tendrá, en especial, las siguientes funciones:
a) Autorizar, conforme a la Ley, el presente Reglamento y las normas complementarias, la operación de Entidades de Certificación en el temtono nacional;
b) Velar por el adecuado funcionamiento y la eficiente prestación del servIcio por parte de los sujetos regulados y el cabal cumplimiento de las disposiciones legales y reglamentarias de la actividad;
c) Efectuar las inspecciones y auditorías previstas en la Ley, el presente Reglamento y las normas complementarias;
d) Definir reglamentariamente los requerimientos técnicos que cal ifIquen la IdoneIdad de las actividades desarrolladas por los 'sujetos regulados;
Aprobar las políticas de certificación, el manual de procedimientos, el plan de seguridad, el plan de cese de actividades y el plan de contingencia. presentados por las Entidades de Certificación que requieren autorización;
f) Evaluar las actividades desarrolladas por los sujetos regulados conforme a los requerimientos definidos en los reglamentos técnicos;
g) Denegar, revocar o suspender la autorización para operar a las Entidades de Certificación que no cumplan con los requisitos establecidos por la Ley, el presente Reglamento y las normas complementarias;
h) Requerir en cualquier momento a los sujetos regulados para que sumInistren información relacionada con los certificados, las firmas digitales emi tidas y los documentos en soporte informático que custodien o administren;
-38-
i) Disponer el proceso de instrucción y la posterior apJicación de sanCIOnes por el incumplimiento de las obligaciones derivadas de la prestación de servicio;
j) Ordenar la revocación o suspensión de certificados cuando la Entidad de CertIficación los emita sin el cumplimiento de las formalidades legales;
k) Emitir certificados en relación con las firmas digitales de l as Entidades de Certificación, en caso de considerarlo necesario;
1) Publicar en la Internet o en la red de acceso público de transmisión o difusión de datos que la sustituya en el futuro, en forma permanente e ininterrumpida, los domicilios, números telefónicos, direcciones de la Internet y certificados digitales de:
1. las Entidades de Certificación
1 1 . las Entidades de Certificación cuyas autorizaciones hayan sido revocadas;
m) Administrar los recursos generados de acuerdo con lo dispuesto por el Artículo 44 de la presente reglamentación, provenientes de las distintas fuentes de financiamiento;
n) Fijar en casos concretos, el concepto y los importes de todo tipo de costos, derechos y multas previstos en la Ley y en los Artículos 28 y 44 de la presente reglamentación;
o) Solicitar ampliación o aclaración sobre la documentación presentada por los sujetos regulados;
p) Velar por 1;1 correcto manejo y mantenimiento de la confidencialidad, por parte de los sujetos regulados, de las informaciones de los suscriptores y sus respectivos certificados digitales.
q) Velar por la observanci a de las disposiciones legales sobre la promoción de la competencia y la protección de los derechos de los consumidores y usu ri os, en los mercados atendidos por las entidades de certificacIón.
r) Permitir el acceso público permanente a la información actualizada del Registro de Entidades de Certificación y a los certificados de clave pública de las mismas, por medio de conexiones de telecomunicaciones púbJicamente accesibles. Esto también se aplica a la informaCIón sobre nombres, domicilio constituido, dirección electrónica y números telefónicos propios, de las Entidades de Certificación y las Umdades de Registro;
s) Supervisar la ejecución del plan de cese de actividades de las Entidades de Certificación que cesan sus funciones;
-39-
t) Registrar las presentaciones que le sean formuladas así como el trámite confendo a cada una de ellas;
u) Supervisar la ejecución de planes de contingencia de l as Enttdades de Certificación ;
v ) Efectuar las tareas de control del cumplimiento de las recomendaciones formuladas en los dictámenes de auditoría a los sujetos regulados, para determinar, en su caso, si el auditado ha tomado las acciones correctivas correspondientes;
w) Recibir los reclamos de los suscriptores y usuarios de certificados dIgI tales rel ati vos a ]a prestación del servicio por parte de los sujetos regulados; y,
x) En su calidad de suscriptor de un certificado digi tal , debe cumphr i dénticas obligaciones que los suscriptores de certificados y que l as Entidades de Cenificación, en relación con el resguardo de las medidas de seguridad sobre su clave privada y su certificado digita1 .
ARTIcULO 44.- Fijación de Costos y Dere.::hos...
44. 1 . El INDOTEL podrá fijar y cobrar, a los sujetos regulados por la Ley y el presente Reglamento, derechos por los costos de procesamiento y derechos de supervisión, para cubrir total o parcialmente su costo operativo y de las inspecciones y auditorías realizadas por sí o por terceros contratados a tal efecto.
44.2. Los recursos propios del 1NDOTEL se integrarán con:
a) Los i mportes provenientes de los costos y derechos, previ stos en el apartado anterior, correspondientes a los siguientes servicios:
1 . servicios de certificación digital :
2. servicios de certificación digital de fecha y hora ciertas;
3. servicios de almacenamiento seguro de documentos digitales;
4. servicios prestados por Unidades de Registro;
5. servicios prestados por terceras partes confiables;
6. servicios de certificación de documentos digitales firmados digitalmente; y,
7. otros servicios o actividades relacionados a la firma digital.
b) Los importes provenientes de los derechos de supervisión aplicados a los sujetos regulados;
----------�-----------------
-40- --- . -
e) Los subsidIos. herencias, legados, donaciones o transferencias baJo cualquier título quC" reciha,
d) Los ingresos percibidos por el pago de l as multas aplicadas a los sujetos regulados;
e) La8 asignaclOnes presupuestarias que en su caso le asigne el GobIerno Central, en el Presupuesto de Ingresos y Ley de Gastos PúblIcos; y,
f) Los demás fondos, bienes o recursos que puedan serIe asignados en virtud de la Ley de Telecomunicaciones; y,
g) Las contrihuciones provenientes de aplicaciones que utilicen firmas digitales, a ser determmados por las normas respectivas.
ARTíCULO 45.- :Facultad de Inspección.-
45. 1 . A Jos fmes de efectuar l as auditorías, el INDOTEL ejercerá la facultad de inspección conferida por l a Ley No. 1 26-02 y la Ley de Telecomunicaciones .
45.2 . El INDOTEL ejercerá la facultad de mspección sobre las Entidades de Ceruficación, l as Unidades de Registro y los Proveedores de Servicios de FIrma Electrónica y velará por el cumplimiento de las dIsposiciones legales y reglamentartas por parte de los mismos. En relación con las EntIdades de Certificación, el INDOTEL velará por la observanCIa de los requisitos que se aprobaron al momento de otorgarse la autonzación y las obligaciones que imponen l a Ley, este Reglamento y las normas complementarias.
453. El lNDOTEL ejercerá la facultad de audnona e mspección sobre los sistemas y procedimIentos de los proveedores de servicios o infraestructura contratados por la Entidad de Certificación, de acuerdo con lo previsto en el artículo anterior.
45.4. La facultad de inspección comprende tanto la inspección ordmaria como la xtraordmana. La inspección ordinaria consIste en la facultad de practicar auditorías
penódicas a las instalaciones de l as entidades sujetas al control y vigilancia del INDOTEL, como aSImIsmo realizar un monitoreo permanente sobre el desarrollo de la actIVIdad. La II\SpCCCIón extraordmaria será practicada de oficIO o por denuncia motivada sobre la plcstaclOn del servicio, ordenada por el INDOTEL medIante resolUCión fundada.
-+5.5. LaS mspecciones podrán ser practicadas por medIO de funCIOnanos de planta o por peritos espeCIalmente contratados y habilitados para estos fmes por el INDOTEL, los que eP l'i ejerciCIO de sus funciones. podrán requenr a las entIdades sujetas a vigilancia y control mformación adiCIOnal a l a proporcIOnada origmanamente.
45.6. La informaCIón solicitada por el INDOTEL deberá ser proporcIOnada dentro del plazo de CINCO (5) días hábIles, contados desde la fecha de la soiicltud.
-41-
45.7 El INDOTEL fijará los criterios que deben cumplir los terceros contratados para efectuar las inspecciones y auditorías.
ARTíCULO 46.- Registro de Entidades de Certificación.-
46. 1 . El INDOTEL mantendrá un Registro de Entidades de Certificación, el cual formará parte del Registro Nacional . Sin perjuicio de lo que pudiera disponer el INDOTEL, el Registro de Entidades de Certificación contendrá los siguientes datos:
a) Número de resolución que concede la autorización;
b) Nombre o razón social de la Entidad de Certificación, su domicilio, el nombre de su representante legal, el número de su teléfono, la dirección electrónica de su sitio de dominio y de la cuenta de correo electrónico en la- cual serán válidas las notificaciones, así como los datos de la compañía de seguros con que ha cOnlratado la póliza de seguros, en su caso;
c) El Certificado Digital que contiene la clave pública de la Entidad de Certificación;
d) La fecha en que expira la autorización para operar;
e) El resultado de la evaluación obtenida por la Entidad de Certificación en la última, auditoría e inspección realizada por el INDOTEL; y,
f) Estatus de la autorización para operar señalando si ésta en algún momento ha sido revocada, suspendida o ha caducado.
46.2. El acceso a los datos públicos del Registro de Entidades de Certificación, deberá poder efectuarse tanto en soporte papel como por medios electrónicos. Deberá garantizarse el acceso regular y continuo, así como la permanente actualización de la información.
ARTícULO 47.- Protección de los Derechos de los Suscriptores y Usuarios...
47. 1 . A los efectos de atender los reclamos presentados por suscriptores y usuarios de servicios de certificación, el INDOTEL dictará una noona complementaria sobre protección de los derechos de los suscriptores y los usuarios.
47.2. Los sujetos regulados deben disponer de un operador para responder llamadas telefónicas de los usuarios VEINTICUATRO (24) horas al día, SIETE (7) días de la semana o debe grabar electrónicamente las quejas y llamadas de los usuarios. Se podrá utilizar una combinación de operadores y grabadoras. En caso de que se utilicen grabadoras la compañía deberá contactar al usuario a más tardar el próximo d{a laborable luego de la recepción del mensaje grabado. Deberán asimismo prestar el servicio de atención de consultas mediante el acceso por la Internet.
-42-
47.3. Los sujetos regulados deberán sumInIstrar a los usuarios, a través de una línea telefónica de acceso gratuito o dirección electrónica, dedicada al servicIo al chente, las siguientes informaciones:
a) Número de inscripción en el Registro de Entidades de Certificación
b) Recibir y aceptar reportes, solicitudes sobre revocación o suspensión de certificados;
c) Tarifas e impuestos aplicables;
d) Fecha de expiracIón de la autorización, si existe ; y,
e) Consultas u otra información relevante para la utilización del servicio;
ARTÍCULO 48.- Normas de Conducta.-
48. 1 . Ningún funcionario o empleado del INDOTEL podrá revelar información confidencial obtenida en el ejercicio de sus funciones. La revelación de tales informaciones será sancionada con el cese de las funciones de dicho empleado, sin perjuicio de otras acciones CIviles o penales en su contra.
48.2. Esta obligación de confidencialidad se hará extensiva a las entidades auditoras contratadas por el INDOTEL.
48.3. Ningún funcionario o empleado del INDOTEL, mientras esté en ejercicio de su cargo, podrá recibir pago alguno por ningún concepto de empresas sujetas a la facultad reglamentaria del INDOTEL. Tampoco podrán tener ninguna relación laboral, participación accionaría u otro vínculo con alguna entidad regulada. Dicha prohibición se extenderá por el período de UN ( 1 ) año posterior al abandono del cargo o función.
.
48.4. Se encuentran prohibidos los contactos informales o individuales entre las partes interesadas y el personal del INDOTEL, sobre temas pendientes de resolución. Esas comunicaciones deberán ser formales y accesibles a los interesados o sus representantes en casos de actos de alcance general, ya sea participando en las reuniones o conociendo las presentaciones o actas respectivas, en la forma en que lo reglamente el INDOTEL.
48.5. Los funcionaríos del INDOTEL estarán sujetos a los principios del Código de Ética del lNDOTEL.
ARTÍCULO 49.- Conflicto de Intereses para Entidades Auditoras.-
49. 1 . Para el cumplimiento de las funciones de entidad de vigilancia y control previstas en la Ley y en este Reglamento, el INDOTEL podrá contratar expertos, a cuyos contratos se incorporarán las normas de conducta previstas en el artículo anterior.
·43·
49.2. No podrán efectuar auditorlas las entidades auditoras o las personas que se encuentren directa o indirectamente vinculadas con los sujetos regulados.
ARTíc o 50.· Facultades de la Junta Monetaria y de la Superintendencia de Bancos.-
50. 1 . La Junta Monetaria, en uso de la facultad regulatoria que le confiere la Ley N° 126- 02 Y la Ley N° 1 83-02 Monetaria y Financiera en materia de operaciones y servicios financieros asociados a los medios de pagos electrónicos que realice el sistema financiero nacional , establecerá los requisitos relativos a las condiciones de uso de los servicios de certificación en dicho sistema.
50.2 La Superintendencia de Bancos, en su condición de supervisor del sistema financiero nacional , dictará los instructivos y circulares que considere necesarios con la finalidad de que las entidades de intermediación financiera den fIel cumpl imiento a las condiciones establecidas por la Junta Monetaria.
TíTULO V PROCEDIMIENTOS
PARTE 1 ASPECTOS GENERALES
ARTícULO 51.- Notificaciones.-
5 1 . 1 . Todas las notificaciones a las que se refiere la Ley y el presente Reglamento serán formuladas por escrito, utilizando por lo menos uno de los siguientes métodos:
a) Documentos digitales o mensajes de datos firmados digitalmente, transmitidos por protocolos de comunicación electrónica, tajes como correo electrónico, transferencia de archivos, entre otros.
b) Facsímil , con la condición de que el remitente pueda dejar constancia de la recepción;
c) Correspondencia con acuse de recibo;
d) Aquellas efectuadas por funcionarios acreditados del INDOTEL mediante actas de notificación;
e) Acto de alguacil ; o,
f) Cualquier otro medio físico o eledr / r ¡ ::o mediante el cual el INDOTEL pueda dejar constancia de la certitud de su recep;:; , -, -
-44-
' 5 1 .2. Para los efectos de este Reglamento, toda notificación que se haga de confonnidad con las letras e), d) y e) deberá ser entregada, para el caso de una persona física o natural, a su persona o en el domicilio constituido, y para el caso de una persona jurídica, entregadas a la persona de su representante legal o un(a) funcionario(a) acreditado(a) del notificado, o en su domicilio constituido, en ambos casos, dejando constancia del día, hora y lugar en que se practicó la notificación, así como el nombre de la persona que la recibió y su relación con el requerido. Cuando sea aplicable, se deberá entregar una copia íntegra de la Resolución o documento de que se trate.
5 1 .3 . En el caso en que la persona a ser notificada se niegue a recibir o finnar la notificación, el funcionario del .INDOTEL o alguacil actuante" levantará un acta dando constancia de dicha circunstancia y procederá de confonnidad con las disposiciones del Código de Procedimiento Civil Dominicano.
5 1 .4. Toda notificación a una persona natural o jurídica cuyo domicilio se desconozca, será efectuada de conformidad con las disposiciones del Código de Procedimiento CIvil Domínicano.
5 1 .5. Las notificaciones realizadas por los funcionarios acreditados del INDOTEL harán fe de su contenido, hasta prueba en contrario.
5 1 .6. El INDOTEL tiene la facultad de modificar los mecanismos para efectuar las notificaciones previstas en este Reglamento.
5 1 .7 . Las Entidades de Certificación, las Unidades de Registro y los Proveedores de Servicios de Finna Electrónica deberán constituir una dirección de correo electrónico ante el INDOTEL en la cual se considerarán válidas las comunicaciones y notificaciones.
5 1 .8. Las disposiciones del presente artículo se aplican igualmente a las comunicaciones entre los sujetos regulados y los usuarios y suscriptores de certificados digitales.
ARTícULO 52.- Constitución de Domicilio.-
52. 1 . Las Entidades de Certificación, las Unidades de Registro y los Proveedores de Servicios de Finna Electrónica deben constituir domicilio ante el INDOTEL al momento de depositar su solicitud de autorización o al momento de efectuar su,primera presentación.
52.2. Los cambios del domicilio constituido deberán ser infonnados al INDOTEL.
52.3. En el caso de personas jurídicas deberán infonnar al INDOTEL los nombres y cambios que ocurran entre los miembros de su Consejo de Administración o Junta Directiva.
-45-
ARTícULO 53.- Presentación de Observaciones u Objeciones.-
Toda persona que acredite un interés legftimo y directo sobre una solicitud de autorización que se esté llevando a cabo por ante el INDOTEL tendrá la oportunidad de presentar observaciones u objeciones relacionadas directamente con dicha solicitud, siguiendo los procedimientos aplicables. Las observaciones recibidas no serán vinculantes para el lNDOTEL.
ARTícULO 54.- ConndenciaHdad.-
54. 1 . Todo solicitante de una autorización podrá requerir por escrito, que cierta información no sea objeto de inspección pública. Dicha solicitud de confidencialidad deberá:
a) Identificar el documento que contiene la información, describir las razones que la motivan y el plazo durante el cual se requiere la confidencialidad de la información; y,
b) Explicar la forma y medida en que la revelación de la información podría resultar en un peljuicío competitivo sustancial para el solicitante.
54.2. El INDOTEL revisará la solicitud, y emitirá su decisión dentro de un plazo de QUINCE ( 1 5) días calendario, contados a partir del recibo de la misma, haciendo constar, en el caso de que acceda a la solicitud, el plazo durante el cual la información mantendrá el carácter confidencial.
54.3. Si las condiciones que motivan la solicitud se mantienen y se acerca la fecha de vencimiento del plazo fijado por el INDOTEL, el solicitante podrá requerir una extensión del indicado plazo, siempre y cuando presente la solicitud con por lo menos DIEZ ( 1 0) días calendario de antelación al vencimiento del mismo.
54.4. El INDOTEL revisará la solícitud y actuará conforme prescribe el Artículo 54 numf!raJ 2 de este Reglamento.
54.5. El INDOTEL no divulgará, por ninguna razón, información declarada confidencial, salvo en los siguientes casos:
a) Se convierta del dominio público por causas no atribuibles a un acto ilícito u omisión del INDOTEL o por el vencimiento del plazo durante el cual se otorgó carácter confidencial a la información; 0,
b) Se encuentre disponible por medio de otra fuente, de buena fe y sin limitación alguna de su uso.
d)
-46-
ARTíCULO 55.- Cambio de Información.-
55. 1 . Las Entidades de Certificación, las Unidades de Registro y los Proveedores de Servicios de Firma Electrónica, tienen la obligación de informar ante el INDOTEL cualquier cambio de la información que hayan presentado, que no requiera de la aprobación previa del INDOTEL, pero que pueda afectar la autorización otorgada. dentro de los TREINTA (30) días calendario siguientes a la fecha efectiva del cambio.
55.2. La falta de cumplimiento de esta obligación constituirá una falta muy grave, y será sancionada de conformidad con la Ley.
55.3. Si la información fuere necesaria para la solución de un proceso o controversia, e l INDOTEL podrá requerir la abreviación del plazo.
ARTíCULO 56.- Resoluciones y su Contenido.-
56. 1 . El INDOTEL tomará sus decisiones por medio de Resoluciones, las cuales serán fechadas, numeradas consecutivamente y registrada en un medio de acceso público. Las resoluciones de carácter general, y otras de interés público que el INDOTEL determine, deberán ser además publicadas en un periódico de circulación nacional.
56.2. Las resoluciones del INDOTEL deberán estar debidamente motivadas y como mínimo incluir:
a) Descripción de las posiciones de las partes y de los motivos para aceptar o rechazar cada una de ellas;
b) Los hechos relevantes en que se fundamenta su adopción;
e) Las normas que aplican;
El interés público protegido; y,
e) El dispositivo de la Resolución.
ARTícULO 57.- Criterios de Acción.
57. 1 . En sus actuaciones el INDOTEL deberá respetar el derecho de defensa de los interesados y la protección de los derechos de los consumidores de los servicios de certificación digital.
57.2. Los aspectos relativos a la graduación de las faltas y aplicación de las sanciones estarán contenidos en la norma complementaria que a tal efecto dictará el INDOTEL.
-47-
ARTícULO 58.- Normas de Alcance General.-
58. 1 . Antes de dictar Resoluciones de carácter general , el INDOTEL deberá consultar a los interesados, debiendo quedar constancia escrita de la consulta y sus respuestas.
58.2. Cuando los interesados sean de carácter indetenninado, el INDOTEL convocará a una audiencia pública cm la que, previa acreditación y por los procedimientos que se prevean en el reglamento que se dicte, los posibles interesados podrán emitir su opinión, que no será vinculante para el INDOTEL. Como método de consulta alternativo, el INDOTEL podrá publicar, en un periódico de circulación nacional, la nonna prevista, estableciendo un plazo razonable para recibir comentarios del público.
ARTÍCULO 59.- Propuestas Regulatorias.-
En los casos en que sea necesario ejecutar acciones detenninadas en beneficio del interés público, ello se hará sin perjuicio de la obligación de consulta y del derecho de participación, dictando el INDOTEL una resolución provisional ejecutoria. Dicha resolucion se publicará y estará sujeta a observaciones por NOVENTA (90) días calendario, plazo en el que deberá tomarse una resolución definitiva. En ese plazo, y antes de la resolución definitiva, el INDOTEL puede modificar su propuesta regulatona provisional.
ARTíCULO 60.- Publicidad.-
Todas las actuaciones ante el INDOTEL y sus actos podrán ser consultados por el público en general, salvo que, por solicitud motivada de parte interesada, en un caso concreto y por el tiempo que se fije, el INDOTEL, basándose en razones de secreto o reserva comercial o
' de otro tipo que se justifique, detennine no hacerlo público.
ARTíCULO 61.- Recursos.-
6 1 . 1 . Las decisiones de] Director Ejecutivo y del Consejo Directivo podrán ser objeto de un recurso de reconsideración, el cual deberá ser sometido dentro del plazo de DIEZ ( 1 0) días calendario, contados a partir de la notificación o publicación del acto. Tanto el Director Ejecutivo cuanto el Consejo Directivo deberán pronunciarse en un plazo máximo de TREINTA (30) días calendario desde la interposición.
6 1 .2. Asimismo, las decisiones de] Director Ejecutivo podrán ser objeto de un recurso jerárquico por ante el Consejo Directivo. El Consejo Directivo deberá pronunciarse en un plazo máximo de QUINCE (15) días calendario desde dicha interposición.
61 .3. Las decisiones del Consejo Directivo serán objeto de recurso jerárquico ante la Jurisdicción de lo Contencioso Administrativo, en la fonna y plazos previstos por las nonnas que rigen la materia.
-48-
en
ARTíCULO 62.- Motivos de Impugnación.-
Los recursos contra las decisiones del Consejo Directivo sólo podrán basarse las siguientes causas:
a) Extralimitación de facultades;
b) Falta de fundamento sustancial en los hechos de la causa;
c) Evidente error de derecho; o,
d) Incumplimiento de las normas procesales aplicables.
ARTíCULO 63.-0bligatoriedad de Recurso Administrativo.-
La vía administrativa previa es obligatoria para los sujetos regulados que quieran recurrir a la vía judicial.
ARtíCULO 64.- Ejecución del Acto Administrativo.-
Los actos administrativos del INDOTEL serán de ejecución inmediata y de cumplimiento obligatorio, salvo la decisión de una autoridad competente que suspenda su ejecución .
ARTíCULO 65.- Entrega de Información.-
65.1. El INDOTEL podrá solicitar a los sujetos regulados informes, datos contables y estadísticos en los casos siguientes:
a) Cuando existiera una controversia en la que el INDOTEL deba de intervenir;
b) Cuando existiere una imputación de infracción y la misma estuviere estrictamente vinculada al hecho imputado;
c) Cuando la información sea necesaria y tenga una vinculación directa con la formulación de políticas o normas; y,
d) En los procesos de auditoría establecidos por la Ley, este Reglamento y las normas complementarias.
65.2. Los informes deberán ser proporcionados en los plazos razonables que se fijen en cada oportunidad, los que no podrán ser inferiores a CINCO (5) días hábiles. En los casos previstos, los sujetos regulados deberán permitir el libre acceso del INDOTEL a los libros, documentación contable e información registrada bajo cualquier forma.
65.3. El INDOTEL podrá requerir directamente el auxilio de la fuerza pública para el ejercicio de las facultades que le confiere la Ley.
-49-
g)
operaciones.
65.4. El INDOTEL podrá establecer los requisitos mínimos razonables que reunirá la contabtlidad de los sujetos regulados. Asimismo, establecerá los requisitos mínimos razonables para el suministro y conservación de la información contable, de costos y de
PARTE II PROCEDI IIENTO DE AUTORIZACION
ARTíCULO 66.- Autorización para Operar como Entidad de Certificación.-
66. 1 . Se requiere autorización por parte del INDOTEL para l a provisión de los siguientes servicios vinculados a la firma digital, de acuerdo con lo establecido por los Artículos 35 inciso a), 36 y 56 numeral 1) de la Ley, sin perjuicio de la facultad reglamentaria del INDOTEL para modificar e l presenJe listado:
a) Servicios de emisión, administración, registro y conservación de certificados digitales;
b) Servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datOs;
c) Servicios de registro y estampado cronológico de documentos digitales;
d) Servicios de almacenamiento seguro de documentos digitales;
e) Servicios prestados por Unidades de Registro;
f) Servicios de certificación de documentos digitales firmados digitalmente;
Otros servicios o actividades rel acionados a la firma digital a ser determinados por el INDOTEL
66.2. La autorización, es el procedimiento en virtud del cual el INDOTEL confirma que la Entidad de Certificación cuenta con los procedimientos. sistemas y los recursos humanos necesarios para brindar servicios de certificación digital . Además, las Entidades de Certificación deben solicitar autorización para efectuar transferencias, cesiones, arrendamientos, otorgamientos del derecho de uso, constitución de gravámenes o transferencia de control accionarlo en los términos que se establecen en la Ley, este Reglamento y las normas complementarias a ser dictadas por el INDOTEL.
ARTíCULO 67.- Requisitos para Solicitar Autorización.-
67. 1 . La solicitud de autorización para la prestación de servicios de certificación digital es voluntaria.
b)
-50-
67.2. Para obtenerla l a solicitante, deberá cumplir, al menos, con las sigUIentes condiciones:
a) Demostrar la confiabilidad necesana de sus servicios de acuerdo con las normas técnicas y de procedimientos aprobadas por el INDOTEL;
b) Garantizar l a existencia de un servicio seguro de consulta del registro de certificados emitidos;
c) Emplear personal calificado para la prestación de los servIcios ofrecidos, en el ámbito de la firma digital y los procedimientos de seguridad y gestIón adecuados .
d) Utilizar s istemas y productos confiables que garanticen la seguridad sus procesos de cenificación;
e) Haber contratado un seguro apropiado en los términos que señala el Artículo 16 de este Reglamento;
f) Contar con l a capacidad tecnológica informática y de comunicaciones necesaria para el desarrollo de l a actividad de certificación; y,
g) Cumplir los demás recaudos que establezca el INDOTEL.
67.3 . El cumplimiento de dichas condiciones será evaluado por el INDOTEL de conformidad con las normas técnicas y de procedimientos aplicables a la prestación del servicio, durante el procedimiento de autorización.
ARTíCULO 68.- Contenidos de la Solicitud de Autorización.-
68. 1 . En l a solicitud de autorización, las Entidades de Certificación especificarán las actividades o servicios para las cuales requieren autorización, y acreditatán ante el INDOTEL por los medios que éste determine, lo sigUIente:
a) Documentación demostrando su personería J urídica;
Autorización del organismo de dirección correspondiente para IniCIar el procedimiento de. obtención de autorización para operar como Entidad de Certificación, cuando se trate de instttuciones;
c) Políticas de certificación para la cual solicita autorización, que respaldan la emisión de sus certificados, Manual de Procedimientos, Plan de Seguridad, Plan de Cese de Actividades y Plan de Contingencia de acuerdo con los requisitos establecidos por las normas emitidas por el INDOTEL; y
d) Toda otra documentación requenda por el INDOTEL
de
-51-
ARTÍCULO 69.- Procedimiento de Solidtud.
69. 1 . Recibida la solicitud de autorizacIón, el INDOTEL procederá a anal izar la admisibi l idad de la misma mediante la verificación de Jos antecedentes requeridos, en un plazo de DIEZ ( 10) días hábiles.
69.2. De ser i nadmisible la solicitud, dentro de l os TRES (3) días hábi l es se procederá a comunicar al sol i c i tante tal si tuación. En dIcha comunicación, se otorgará plazo no mfenor a QUlNCE ( 1 5) días hábiles, para que complete los antecedentes, información o documentación, bajo l a advertencia de ser rechazada la solicitud.
69.3. Una vez admitida la sol Icitud, el INDOTEL procederá a un examen sobre el cumpli miento de los requisitos y obligaciones exi gidas por l a Ley y este Reglamento para obtener l a autorización. Este examen se real Izará mediante la elaboraCión de una auditoría de inicIO, ya sea por el INDOTEL o por terceros, certificando dentro del plazo de NOVENTA (90) días hábil es contados desde la fecha de l a admisIbi l idad de la solIcitud, prorrogables por una vez e i gual período y por motivos fundados, que el interesado cumple los reqUisitos y obl i gaciones para ser autorizado y que dispone de un plazo de VEINTE (20) días hábiles para presentar l a póliza de seguros que e xige el presente Reglamento, so pena de ser rech azada l a solicitud.
ARTÍCUI..O 70.· Incumplimiento de los Requerimientos Técnicos o de Procedimientos.-
70. 1 . En caso de que el INDOTEL determine que la Entidad de CertifI caCIón no cumple con los requerimientos fijados en las normas para el desarroll o de la actividad, señalará si estos incumplimIentos son subsanables, y si no afectan el correcto funcionamiento del sistema ni los fines previstos en la Ley, este Reglamento y l as normas complementarias.
70.2. En caso de que los incumplimIentos no sean suhsanables, e l INDOTEL procederá a dictar una resolución en la que rechaza la solici tud de autorizaCión.
70.3 . S i los incumpli mientos son subsanables y no afectan el correcto funcionamiento del sistema ni los fines previstos en la Ley, e te Reglamel1to y l as normas compl ementarias, e l INDOTEL otorgará un plazo para l a ubsanaclón de l os Incump l imientos. VenCido dicho plazo, el INDOTEL verificará si se han aplicado l as medidas correctivas. y procederá a dar contmuidad al trámite en caso afirmati vo o a di ctar tina resolución rechazando la solicitud de autorizaCión.
ARTÍCU1.0 7l.-Estado de Resolución del Trámite.-
Una \l ez completados los reqUl jtos ('.' ¡gidú;';, el (NDOTbL Plllcederá t ontac!c.s det:de
'<.1 <::c ennW !'. W 1 en .
a ( Uíor , l.r al interesado en el plazo de VEINTE (20) día:,: i dbl k::-: a petlcH:' del interesado o de ofIcio, se certifique que la :' í : ! . resoludólí .
-52-
ARTÍCULO 72.- Información Adicional.-
Durante todo el proceso de autorización, el INDOTEL podrá solicitar documentación adicional, realizar visitas y efectuar inspecciones a las instalaciones del interesado.
ARTÍCULO 73.- Alcance del Otorgamiento de la Autorización y de la Inscripción en el Registro de Entidades de Certificación.-
73. 1 . El otorgamiento de la autonzaclón no imphca que el INDOTEL, las entidades de auditoría o cualquier organismo del Estado, garantice la provisión de los servicios de certificación o los productos ofrecidos por la Entidad de Certificación. La responsabi l idad por la prestaCIón de los servicios de certlftcacIón digItal corresponde exclusivamente a cada entidad de certificación.
73.2. La inscripción en el Registro no exime a la Entidad de CertifIcaCión de la obligación de obtener otras autorizaciones necesarias para ofrecer otros servicios y para la efectiva implementación de los sistemas autorizados.
ARTÍCULO 74.- Duración de la Autorización.-
74. 1 . La autorización para funcIOnar como entidad de certificación tendrá un plazo de duración de CINCO (5) años, pudiendo ser renovada, previo dictamen favorable de auditoría. Su vigencia se encontrará condicionada al resultado de las auditorías periódicas y a las inspecciones dispuestas por el INDOTEL.
74.2. Las Entidades de Certificación deberán efectuar anualmente un informe de estado de operaci ones con carácter de declaración jurada en el cual conste el cumphmiento de las normas establecidas en la Ley, en el presente Reglamento y en las normas complementarias. Las Entidades de Certificación serán sometidas a audItorías periódicas. El formato y procedimientos para la audItoría serán determinados por el INDOTEL.
ARTÍCULO 75.- Causas de Suspensión de la Autorización.-
75. 1 . El INDOTEL dispondrá de oficio la suspensión de la autorización en los siguientes casos:
a) Falta de presentación del informe de estado de operaciones con carácter de declaración jurada anual;
b) Falsedad de los datos contenidos en el informe de estado de operaciones con carácter de declaración jurada anual;
e) Dictamen desfavorable de auditoría basado en causas graves;
d) Informe de la inspección dispuesta por el INDOTEL desfavorable basado en causas graves
d)
e)
e) Cuando la Entidad de Certificación no permita la rea1ización de auditorías o inspecciones dispuestas por el INDOTEL; y,
f) Cuando el titular de la Entidad de Certificación haya sido condenado en causa penal con sentencia de carácter de cosa juzgada.
ARTícULO 76.- Revocación de la Autorización.-
76. 1 . El INDOTEL podrá dejar sin efecto la autorización mediante Resolución debidamente motivada, por las causas previstas en el artículo siguiente.
76.2. Dicha Resolución deberá ordenar la cancelación de la inscripción en el Registro de Entidades de Certificación.
ARTíCULO 77.- Causas de Revocación de la Autorización.-
77. 1 . La autorización a las Entidades de Certificación se dejará sin efecto por las siguientes causas:
a) Por solIcitud de la Entidad de CertifIcación, ante el INDOTEL con una antelación no menor a NOVENTA (90) días hábiles previa a la cesación de acti vidades previstas, indicando el destino que dará a los certificados, a los datos y documentación de apoyo de ellos, para lo cual deberá cumplir con 10 dispuesto en el Artículo 1 1 de este Reglamento, y garantizar el pago del aviso que deberá ser publicado de conformidad con lo dispuesto en el artículo siguiente:
b) Por pérdida de las condiciones que sirvieron de fundamento a su autorización, la que será calificada por el INDOTEL en cumplimiento de la facultad de inspección:
c) Por reincidencia en las causas de suspensión de la autorización indicadas en el presente Reglamento;
Por incumplimiento grave o reiterado de las obligaciones que establece la Ley y este Reglamento;
Por el estado de cesación de pagos de la Entidad de Certificación, declarado por sentencia Irrevocable del tribunal competente;
f) Por reincidencia en la comisión de infracciones graves o muy graves;
g) Por imposibilidad de cumplimiento del objeto social del autorizado según su mandato estatutario en la medida en que esté relacionado c.on la autorización otorgada;
h) Por la suspensión injustificada del servicio;
-54-
i) Por haber efectuado una transferencia, ceSIOn, arrendamiento, otorgamIento del derecho de uso, constitución de gravámenes o transferencia de control accIOnario sin autorización del INDOTEL; y,
j) Por cualquier otra acción de las Entidades de Certificación que decIda el INDOTEL, mediante resolución debidamente motI vada y que atente en forma deliberada en contra de los principIos de la Ley.
77.2. En los casos de las letras b), c), d), e), f), g) h) e i), la Resolución deberá ser adoptada previo traslado de cargos y audiencIa del afectado, para Jo cual el INDOTEL dará un plazo de CINCO (5) días hábiles para que éste presente por escnto la respuesta a los cargos formulados. Recibida ésta, el INDOTEL deberá resolver dentro del plazo de QUINCE (15) días hábiles, prorrogables por el mismo penado por moti vos fundamentados.
77.3. En los casos que los incumplimientos o condIciones objetivas impliquen un grave riesgo para la Infraestructura de Clave Pública de la Repúbl ica Dommicana, el INDOTEL podrá suspender preventivamente de inmedIato todas o algunas de l as actividades de la entidad infractora, mediante Resolución moti vada.
ARTíCULO 78.- Comunicación de la Revocación.-
78. 1 . Las Entidades de Certificación cuya inscripción en el Registro haya sido revocada, deberán comunicar inmediatamente este hecho a los suscnptores de cemflcados emitidos por ell as, en un plazo máximo de VEINTICUATRO (24) horas y por los medIOS establecidos en el Artículo 5 1 del presente Reglamento. Sm perjuicio de ello, el INDOTEL publicará, cuyo costo estará a cargo de la Entidad de CertificaCión, un aviso dando cuenta de la revocación de la autorización .
78.2. Dicho aviso deberá ser publicado en un dian a de circulaci ón nacional , s in perjui C i O de la publicación de la resolución e n e l Regi stro de Entidades de CertificaCi ón . El aVISO deberá señalar que desde esta publicación los certificados quedarán S1l1 efecto y serán revocados en forma inmediata, a menos que hayan Sido transferidos a otr a Entidad de Certificación.
78.3. Adicionalmente, la revocaCIOIl se publIcará en la página de la Internet del INDOTEL y en su Boletín Oficial .
TíTULO VI CONDICIONES PARA EL USO DE FIRMA DIGITAL EN INTERACCIONES DOCUMENTALES ENTRE ENTIDADES DEL ESTADO O ENTRE PERSONAS PRIVADAS Y ENTIDADES DEL ESTADO
-55-
ARTíCULO 79.- Validez de los Documentos Digitales.-
79. 1 . En las relaciones entre organismos públicos entre sí o entre personas privadas y entes estatales no se negarán efectos jurídicos, validez o fuerza obligatoria a una declaración de voluntad u otra declaración por ]a sola razón de haberse hecho en forma de documento digital o mensaje de datos.
79.2. Los órganos de la administración del Estado Dominicano podrán ejecutar o rea lizar actos, celebrar contratos y expedir cualquier documento, dentro de su ámbito de competencia, suscribiéndolos por medio de firma electrónica o digital, según la naturaleza del acto.
79.3. Para tal efecto, los actos administrativos, formalizados por medio de documentos digitales y que consten en decretos o resoluciones, en acuerdos de órganos colegiados, así como la celebración de contratos, la emisión de cualquier otro documento que exprese la voluntad de un órgano del Estado en ejercicio de sus potestades legales y, en genera] , todo documento que revista la naturaleza de instrumento púbJico o aquellos que deban producir los efectos jurídicos de éstos, deberán suscribirse mediante firma digital .
ARTícULO 80.- Provisión de Certificados para uso del Estado.-
80. 1 . Los organismos del Estado podrán contratar, de acuerdo con las normas que ngen la contratación administrativa, los servicios de certificación de finna digital con una Entidad de Certificación, cuando mediante resolución fundada constaten su conveniencia técnica y económica. La estimación de dicha conveniencia estará basada en criterios de cal idad de servicio y precio.
80.2. En caso contrario, podrán constituirse como prestador de servicios de certificación, solicitando al INDOTEL la respectiva autorización para funcionar como Entidad de Certificación.
80.3. En aquellas aplicaciones en las que el Estado interactúe con la comunidad, se deberá admitir el uso de Certificados Digitales emitidos por Entidades de Certificación pertenecientes al sector público o al sector privado, indi&tintamente. No podrán establecerse critenos discriminatorios, en la medida que se satisfagan todos los requisitos funcionales, legales y reglamentarios.
ARTíCULO 81.- Unidades de Registro Pertenecientes al Estado.-
"8 1 . 1 . En las entidades y jurisdicciones pertenecientes a órganos del Estado, las áreas de recursos humanos cumplirán las funciones de Unidad de Registro para Jos agentes y funcionarios de su jurisdicción. En su caso, y si las aplicaciones de que se trate lo requieren, la máxima autoridad del organismo podrá asignar. adicionalmente, a otra unidad las funciones de Unidad de Registro.
8 1 .2. El INDOTEL autorizará el funcionamiento de dichas Unidades de Registro y
-56-
supervisará su actividad.
ARTícULO 82.- Presentación de Documentos Digitales.-
82. 1 . Los organismos del Estado deberán establecer mecanismos que garanticen l a opción de remisión, recepción, mantenimiento y publicación de información en formato digital, siempre que esto sea aplicable, tanto para la gestión de documentos entre organismos como en su interacción con los ciudadanos, tales como ventanilla úmca electrónica, disponibilidad de una dirección de correo electrónico o un formulario en la página de Internet para la atención de consultas, medios de entradas electrónica, contrataciones públicas electrónicas, seguimiento de expedientes por la Internet, y otras aplicaciones que permitan la consulta de información, la remisión de documentación y el seguimiento de los trámites por la Internet .
AR íCULO 83.- Archivo de Documentos Digitales (Repositorios).-
83. 1 . Los órganos de la Administración del Estado que uti licen documentos dlgitales deberán contar con un Repositorio o Archivo electrónico a los efectos de su guarda y conservación una vez que haya finalizado su tramitación, de conformidad con las normas que regulan su competencia.
83.2. El Repositorio será responsabilidad del respectivo funcionario a cargo del archivo, sin perjuicio de la celebración de convenios de cooperación entre diferentes organismos para la guarda y conservación de documentos digitales.
83.3. El Repositorio deberá contar con una autorización para operar dispuesta por el INDOTEL.
ARTícULO 84- Requisitos Mínimos para Archivo de Documentos Digitales.-
84. 1 . El Repositorio deberá garantizar la seguridad, integridad y disponibilidad de la información contenida en él.
84.2. El INDOTEL fijará las normas técnicas referidas a copias de resguardo, medidas de seguridad física y lógicas que garanticen la confidencialidad, integridad y disponibilidad de la información, y las medidas de protección de la privacidad de los datos personales.
ARTícULO 85... Comunicaciones Electrónicas.-
Los órganos de l a Administración del Estado podrán relacionarse por medios electrónicos con los particulares, utilizando mensajes de datos o documentos dIgitales, cuando éstos hayan consentido expresamente en esta forma de comunicación.
·57·
ARTfcULO 86.· Fijación de la Hora Oficial Electrónica.·
86. 1 . El INDOTEL analizará las alternativas y regulaciones necesarias para la fijación de día y hora oficial en los medios electrónicos, así como el diseño de los mecanismos de distribución de la hora oficial en Internet, a fin de que tanto los organismos públicos como las Entidades de Cértificación procedan a tomar de allí la hora como insumo para su registro y distribución posterior, y para el suministro del servicio de registro y estampado cronológico. Esta hora oficial en medios electrónicos e Internet será utilizada para la determinación de fecha y hora cierta en la realización de actos para los cuajes la determinación fehaciente de la hora constituye un elemento esencial , taJes como la ' presentación de escritos en formato digital en instancia judicial y administrati va como medio de prueba documental, la realización de compras electrónicas o las notificaciones electrónicas.
86.2. El INDOTEL coordinará las acciones con los órganos del Estado responsables de la fijación de la hora oficial a fin de elaborár las normas para la fijación de la hora oficial en medios electrónicos y su distribución por la Internet. a la cual deberán ajustarse los servidores de los organismos públicos y de los sujetos regulados.
86.3. Una vez aprobadas dichas normas, los sujetos regulados por la Ley, los proveedores de servicios de la Internet, los organismos públicos, deberán ajustar sus servidores a la hora oficial electrónica fijada, y la distribuirán de acuerdo con la reglamentación que se dicte.
86.4. Las comunicaciones y notificaciones electrónicas deberán contar con estampado cronológico, basado en fecha y hora electrónica ciertas.
TÍTULO VII DISPOSICIONES GENERALES
ARTfcULO 87... Acuerdo de Partes.·
87. 1 En las relaciones entre el iniciador y el destinatario de un mensaje de datos, o entre las partes firmantes de un documento digital, cuando las hubiere, no se negarán efectos jurídicos, validez o fuerza obligatoria a una manifestación de voluntad u otra declaración por la sola razón de haberse hecho en forma de documento digital o mensaje de datos.
87.2. Las partes podrán acordar el uso de mecanismos de comprobación de autoría e. integridad tales como:
a) Firma electrónica;
b) Firma electrónica basada en certificados digitales emitidos por proveedores de servicios de firma electrónica en el marco de la presente reghurterttación;
c) Firma digital basada en certificados digitales emitidos por Entidades de
-58-
CertifIcación en e l marco de la presente reglamentacIón; y,
d) Firma digital basada en certificados digitales emitidos por certIfIcadores extranjeros que hayan sido reconocidos en los siguientes casos:
1 . En virtud de la existencia de acuerdos de reciprocidad entre la Repllblica Dominicana y el país de origen del certificador extranjero; y,
2. Por una Entidad de Certificación en la Repúbhca Domtnicana.
ARTÍCULO 88.- Conservación.-
88. 1 . Respecto de la conservación de documentos digitales en cuanto a tiempo de almacenamiento, se aplican las disposiciones contemdas en las normas de fondo aplicables a la transacción de que se trate.
88.2. E l cumpl imiento de la eXigencia legal de conservar documentos, regIstros o datos. conforme la legislación vigente en la materia, podrá quedar satisfecha con la conservaélón de los correspondientes documentos dIgItales.
88.3. Los documentos, registros o mensajes de datos digitales deberán ser almacenados por las partes intervinientes en cada transacción electrónica, o por una tercera parte confiable aceptada por las partes intervinientes, durante los plazos establecidos en [as normas específicas.
88.4. Se podrán obtener copias autenticadas en soporte papel o en formato digital a partir de los documentos digitales originales, en formato digital. La certificación de autenticidad se hará de conformidad con los procedimientos legales vigentes para el acto de que se trate, identificando el soporte del que procede la copia.
ARTÍCULO 89.- Entrada en Vigencia.-
El presente Reglamento entrará en vigencia desde la fecha de su publicación en la Gaceta Oficial o en un periódico de circulación nacional .
89. 1 DISPONER que la Ley No. 1 26-02. su Reglamemo de Aplicación y las normas complementarias que el INDOTEL dicte al efecto, regirán la utilización de los documentos digitales, mensajes de datos y firmas digitales, la expedición de certificados digitales para las personas naturales y jurídicas de derecho privado y la administración del Estado, la prestación de los servicios de certificación, la autorización de las entidades de certificación y la generación de derechos y obligaciones de los suscriptores y usuarios de documentos digitales, mensajes de datos y firmas digitales y electrónicas;
89.2 DELEGAR en el INDOTEL. acorde con lo dispuesto por los Artículos 37 y 55 de la Constitución de la República Dominicana, la facultad de celebrar acuerdos de
-59-
reciprocidad con gobiernos de países extranjeros, cuyo objeto sea otorgar validez, en sus respectivos territorios, a los certificados digitales emitidos por entIdades de certificacIón autorizadas de ambos países, en tanto se verifique el cumplimiento de las condiciones establecidas por la Ley No. 126-02, su Reglamento de Aplicación y l as normas complementarias o modificatorias para los certificados digitales emi tidos por entidades de certificación;
89.3 ORDENAR al Consultor Jurídico del Poder Ejecuti vo la remisión de una COpia íntegra de este Decreto al InstItuto Dominicano de la TelecomumcaclOnes (INDOTEL) para su conocimiento y para que proceda a su pubJicación en la Gaceta OfiCIal o en un periódico de circulación nacional .
DADO en Santo Domingo de Guzmán, Distrito Nacional , Capi tal de l a República Dominicana, a los ocho (8) días de] mes de abri l del año dos mi l tres (2003); años 160 de la Independencia y 140 de la Restauración.
HIPÓLITO MEJíA