Descargar Archivo: Ley 6822 (6.47 MB)
Descargar Archivo: Decreto 7576 (3.24 MB)
LEY N° 6822
DE LOS SERVICIOS DE CONFIANZA PARA LAS TRANSACCIONES ELECTRÓNICAS, DEL DOCUMENTO ELECTRÓNICO Y LOS DOCUMENTOS TRANSMISIBLES ELECTRÓNICOS.
EL CONGRESO DE LA NACION PARAGUAYA SANCIONA CON FUERZA DE
LEY
TÍTULO PRIMERO
DISPOSICIONES GENERALES
Artículo 1.° Objeto.
Establecer un marco jurídico para la identificación electrónica, firma electrónica, el sello electrónico, el sello de tiempo electrónico, el documento electrónico, el expediente electrónico, el servicio de entrega electrónica certificada, el servicio de certificado para la autenticación de sitios web, el documento transmisible electrónico y en particular para las transacciones electrónicas.
Artículo 2.° Ámbito de aplicación.
La presente ley aplica a toda clase de transacciones y actos jurídicos, públicos o privados, así como en los procesos privados, administrativos y judiciales tramitados electrónicamente salvo disposición legal en contrario, o que por su naturaleza o los requisitos particulares del acto o negocio concretos resulten incompatibles.
Artículo 3.° Principios.
En la aplicación de la presente ley, deben observarse los siguientes principios:
a) Equivalencia funcional.
b) Neutralidad tecnológica.
c) No discriminación contra el uso de las comunicaciones electrónicas.
d) Libre competencia.
e) Compatibilidad internacional.
f) Buena fe.
Toda interpretación de los preceptos de la presente ley deberá guardar armonía con los principios señalados.
Artículo 4.° Definiciones.
A efectos de la presente ley, se aplicarán las siguientes definiciones:
1) Autenticación electrónica: un proceso electrónico que posibilita la identificación electrónica de una persona física o jurídica, o del origen y la integridad de datos en formato electrónico.
2) Autoridad de Aplicación: órgano competente del Estado encargado de interpretar, regular, aplicar y velar por lo ordenado y establecido en la presente ley.
3) Certificado cualificado de autenticación de sitio web: un certificado de autenticación de sitio web que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 61 de la presente ley.
4) Certificado cualificado de firma electrónica: un certificado de firma electrónica que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 43 de la presente ley.
5) Certificado cualificado de sello electrónico: un certificado de sello electrónico que ha sido expedido por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 53 de la presente ley.
6) Certificado de autenticación de sitio web: una declaración electrónica que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado.
7) Certificado de firma electrónica: una declaración electrónica que vincula los datos de validación de una firma con una persona física y confirma, al menos, el nombre o el seudónimo de esa persona.
8) Certificado de sello electrónico: una declaración electrónica que vincula los datos de validación de un sello con una persona jurídica y confirma el nombre de la misma.
9) Copia auténtica electrónica: consiste en la reproducción del contenido del documento original a una copia realizada por cualquier medio electrónico.
10) Creador de un sello: una persona jurídica que crea un sello electrónico.
11) Datos de creación de la firma electrónica: los datos únicos que utiliza el firmante para crear una firma electrónica.
12) Datos de creación del sello electrónico: los datos únicos que utiliza el creador del sello electrónico para crearlo.
13) Datos de identificación de la persona: un conjunto de datos que permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a una persona jurídica.
14) Datos de validación: los datos utilizados para validar una firma electrónica o un sello electrónico.
15) Destinatario: toda persona designada por el remitente para recibir el mensaje, pero que no esté actuando a título de intermediario con respecto a él.
16) Digitalización certificada: proceso tecnológico que permite, mediante la aplicación de técnicas foto electrónicas o de escáner, convertir la imagen contenida en un documento en papel, en una imagen digital codificada conforme a las disposiciones del artículo 74 de la presente ley.
17) Dispositivo cualificado de creación de firma electrónica: un dispositivo de creación de firmas electrónicas que cumple los requisitos establecidos en el artículo 44 de la presente ley.
18) Dispositivo cualificado de creación de sello electrónico: un dispositivo de creación de sellos electrónicos que cumple con los requisitos establecidos en el artículo 54 de la presente ley.
19) Dispositivo de creación de firma electrónica: un equipo o programa informático configurado que se utiliza para crear una firma electrónica.
20) Dispositivo de creación de sello electrónico: un equipo o programa informático configurado que se utiliza para crear un sello electrónico.
21) Documento electrónico: toda información generada, comunicada, recibida o archivada por medios electrónicos o similares, incluida, cuando proceda, toda la información lógicamente asociada o vinculada de alguna otra forma a ella de modo que forme parte del documento, se haya generado simultáneamente o no.
22) Documento o título transmisible emitido en papel: todo documento o título transmisible emitido en papel que faculte a su tenedor para reclamar el cumplimiento de la obligación indicada en dicho documento o título y para transmitir el derecho a obtener el cumplimiento de la obligación indicada en el documento o título mediante la transmisión de este.
23) Documento transmisible electrónico: todo documento electrónico que cumpla con los requisitos establecidos en el Título Cuarto de la presente ley.
24) Domicilio electrónico: sistema de información destinado a recibir notificaciones electrónicas en procesos privados, judiciales o administrativos.
25) Electrónico: característica de la tecnología que tiene capacidades eléctricas, digitales, magnéticas, inalámbricas, ópticas, electromagnéticas u otras similares.
26) Expediente electrónico: conjunto de datos registrados en un soporte electrónico durante el seguimiento y hasta la finalización de una actividad institucional o personal, y que comprende un contenido, un contexto y una estructura suficiente para constituir una prueba o una evidencia de esa actividad.
27) Firma electrónica cualificada: una firma electrónica que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica, la cual deberá estar vinculada al firmante de manera única, permitir la identificación del firmante, haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo y estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
28) Firma electrónica: los datos en formato electrónico anexos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
29) Firmante: una persona física que crea una firma electrónica.
30) Identificación electrónica: proceso de utilizar los datos de identificación de una persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a una persona jurídica.
31) Índice electrónico: relación de documentos electrónicos de un expediente electrónico, firmada o sellada por el responsable, órgano o entidad actuante, según proceda y cuya finalidad es garantizar la integridad del expediente electrónico y permitir su recuperación siempre que sea preciso.
32) Medios de identificación electrónica: una unidad material y/o inmaterial que contiene los datos de identificación de una persona y que se utiliza para la autenticación en servicios en línea.
33) Metadato: información estructurada o semiestructurada que posibilita la creación, registro, clasificación, acceso, conservación y disposición de los documentos a lo largo del tiempo.
34) Organismo de evaluación de conformidad: organismo que desempeña actividades de evaluación de la conformidad a un prestador de servicios de confianza y de los servicios de confianza que este presta conforme a la presente ley.
35) Organismo de supervisión: organismo que concede y retira la cualificación a los prestadores de servicios de confianza y a los servicios de confianza que prestan además de las funciones establecidas en el artículo 17 de la presente ley.
36) Órgano de acreditación y supervisión: órgano que desempeña actividades de acreditación y supervisión conforme a las disposiciones del artículo 87 de la presente ley.
37) Parte usuaria: la persona física o jurídica que confía en el servicio de confianza.
38) Prestador cualificado de servicios de confianza: un prestador de servicios de confianza que presta uno o varios servicios de confianza cualificados y al que el organismo de supervisión ha concedido la habilitación;
39) Prestador de servicios de confianza: una persona física o jurídica que presta uno o más servicios de confianza, bien como prestador cualificado o como prestador no cualificado de servicios de confianza.
40) Producto: un equipo o programa informático, o los componentes pertinentes del mismo, destinado a ser utilizado para la prestación de servicios de confianza.
41) Remitente: toda persona que haya actuado por su cuenta o en cuyo nombre se haya actuado para enviar o generar el documento electrónico antes de ser archivado, si éste es el caso, pero que no haya actuado a título de intermediario con respecto a él.
42) Sello cualificado de tiempo electrónico: sello cualificado de tiempo electrónico que debe vincular la fecha y hora con los datos de forma que se elimine razonablemente la posibilidad de modificar los datos sin que se detecte, basarse en una fuente de información temporal vinculada al Tiempo Universal Coordinado y haber sido firmada mediante el uso de una firma electrónica o sellada con un sello electrónico del prestador cualificado de servicios de confianza o por cualquier método equivalente.
43) Sello de tiempo electrónico: datos en formato electrónico que vinculan otros datos en formato electrónico con un instante concreto, aportando la prueba de que estos últimos datos existían en ese instante.
44) Sello electrónico cualificado: un sello electrónico que se crea mediante un dispositivo cualificado de creación de sellos electrónicos y que se basa en un certificado cualificado de sello electrónico, el cual deberá estar vinculado al creador del sello de manera única, permitir la identificación del creador del sello, haber sido creado utilizando datos de creación del sello electrónico que el creador del sello puede utilizar para la creación de un sello electrónico, con un alto nivel de confianza, bajo su control exclusivo, y estar vinculado con los datos a que se refiere de modo tal que cualquier modificación ulterior de los mismos sea detectable.
45) Sello electrónico: datos en formato electrónico anexos a otros datos en formato electrónico, o asociados de manera lógica con ellos, para garantizar el origen y la integridad de estos últimos.
46) Servicio cualificado de entrega electrónica certificada: un servicio cualificado de entrega electrónica certificada prestado por uno o más prestadores cualificados de servicios de confianza, que permite asegurar con un alto nivel de fiabilidad la identificación del remitente, garantizar la identificación del destinatario antes de la entrega de los datos, estar protegidos el envío y recepción de datos por una firma electrónica o un sello electrónico de un prestador cualificado de servicios de confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte, indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos, indicar mediante un sello cualificado de tiempo electrónico la fecha y hora de envío, recepción y eventual modificación de los datos.
47) Servicio de confianza cualificado: el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en: a) la creación, verificación y validación de firmas electrónicas cualificadas, sellos electrónicos cualificados, sellos cualificados de tiempo electrónicos, servicios cualificados de entrega electrónica certificada y certificados relativos a estos servicios, y/o b) la creación, verificación y validación de certificados cualificados para la autenticación de sitios web, y/o c) la preservación de firmas, sellos o certificados cualificados electrónicos relativos a estos servicios, d) servicio de expedición de medios de identificación en virtud a sistemas de identificación electrónica con nivel de seguridad alto.
48) Servicio de confianza: el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en: a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o b) la creación, verificación y validación de certificados para la autenticación de sitios web, o c) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios, d) servicio de expedición de medios de identificación en virtud a sistemas de identificación electrónica.
49) Servicio de entrega electrónica certificada: un servicio electrónico que permite transmitir datos entre partes terceras por medios electrónicos y aporta pruebas relacionadas con la gestión de los datos transmitidos, incluida la prueba del envío y la recepción de los datos, y que protege los datos transmitidos frente a los riesgos de pérdida, robo, deterioro o alteración no autorizada.
50) Sistema de identificación electrónica: un régimen para la identificación electrónica en virtud del cual se expiden medios de identificación electrónica a las personas físicas o jurídicas o a una persona física que representa a una persona jurídica.
51) Validación: el proceso de verificar y confirmar la validez de una firma o sello electrónico.
TÍTULO SEGUNDO
SERVICIOS DE CONFIANZA
Sección I
Disposiciones Generales
Artículo 5.° Prestadores de servicios de confianza sujetos a la ley.
1. La presente ley se aplica a los prestadores de servicios de confianza establecidos en la República del Paraguay. Se entiende que un prestador de servicios de confianza está establecido en Paraguay cuando su residencia o domicilio se halle en territorio paraguayo, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios.
2. Se considera que un prestador opera mediante un establecimiento permanente situado en territorio paraguayo cuando disponga en él, de forma continuada o habitual, de instalaciones o lugares de trabajo en los que realice toda o parte de su actividad.
3. Se presume que un prestador de servicios de confianza está establecido en Paraguay cuando dicho prestador o alguna de sus sucursales se haya inscripto en el registro público en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica.
La mera utilización de medios tecnológicos situados en Paraguay para la prestación o el acceso al servicio no implica, por sí sola, el establecimiento del prestador en Paraguay.
4. Para constituirse en Prestador Cualificado de Servicios de Confianza, la prestación del servicio debe contemplarse en su carta orgánica o instrumento de creación.
Artículo 6.° Carga de la prueba.
1. Sin perjuicio de lo dispuesto en el apartado 2, los prestadores de servicios de confianza son responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en razón del incumplimiento de las obligaciones establecidas en la presente ley.
La carga de la prueba de la intencionalidad o la negligencia de un prestador no cualificado de servicios de confianza corresponde a la persona física o jurídica que alegue los perjuicios a que se refiere el primer párrafo.
Corresponde al prestador cualificado de servicios de confianza demostrar que los perjuicios a que se refiere el párrafo primero se produjeron sin intención ni negligencia por su parte.
2. Cuando un prestador de servicios informe debidamente a sus clientes con antelación sobre las limitaciones de la utilización de los servicios que presta y estas limitaciones sean reconocibles para un tercero, el prestador de servicios de confianza no será responsable de los perjuicios producidos por una utilización de los servicios que vaya más allá de las limitaciones indicadas.
Artículo 7.° Aspectos internacionales.
1. Los servicios de confianza prestados por los prestadores de servicios de confianza establecidos fuera del país serán reconocidos como legalmente equivalentes a los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la República del Paraguay si los servicios de confianza son reconocidos en virtud de acuerdos de reconocimiento mutuo celebrado entre autoridades normativas de cada país o con organizaciones internacionales de conformidad a la reglamentación correspondiente.
2. Los acuerdos a que se refiere el apartado 1 deben garantizar, en particular, que:
a) Los prestadores de servicios de confianza establecidos fuera del país u organizaciones internacionales y los servicios de confianza que prestan, cumplen los requisitos aplicables a los prestadores cualificados de servicios de confianza establecidos en el Paraguay y a los servicios de confianza cualificados que prestan.
b) Los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en Paraguay son reconocidos como legalmente equivalentes a los servicios de confianza prestados por prestadores de servicios establecidos fuera del país u organizaciones internacionales con los que se celebran acuerdos.
Artículo 8.° Accesibilidad para las personas con discapacidad.
Siempre que sea factible, los servicios de confianza prestados y los productos para el usuario final utilizados en la prestación de estos servicios deben ser accesibles para las personas con discapacidad.
Artículo 9.° Tratamiento y protección de los datos personales.
Los prestadores de servicios de confianza sólo pueden recolectar los datos personales directamente de la persona a quien esos datos se refieran. Estas deben dar su consentimiento expreso e informado a tales efectos. La recolección y procesamiento en general de los datos personales se realizarán solo en la medida en que los mismos sean necesarios para la prestación del servicio de confianza. Los datos personales no pueden ser procesados para otro fin distinto al acordado, sin el consentimiento expreso del titular de los datos.
No se prohibirá la utilización de los seudónimos en las transacciones electrónicas, al efecto, los prestadores de servicios de confianza que consignen un seudónimo en un certificado electrónico deberán constatar la verdadera identidad del firmante o titular del certificado y conservar la documentación que la acredite. Dichos prestadores de servicios de confianza estarán obligados a revelar la citada identidad cuando lo soliciten los órganos judiciales y otras autoridades públicas para el ejercicio de las funciones.
Sección II
Obligaciones y responsabilidades de los prestadores de servicios de confianza.
Artículo 10. Obligaciones de los prestadores de servicios de confianza.
1. Los prestadores de servicios de confianza deben publicar información veraz y acorde con la presente ley y sus reglamentaciones.
2. Los prestadores de servicios de confianza que expidan certificados electrónicos, deben cumplir también las siguientes obligaciones:
a) No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma, de sello o de autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del firmante o del creador del sello.
En este caso, se debe utilizar sistemas y productos fiables, incluidos canales de comunicación electrónica seguros, aplicar procedimientos y mecanismos técnicos y organizativos adecuados, para garantizar que el entorno sea fiable y se utilice bajo el control exclusivo del titular del certificado. Además, deben custodiar y proteger los datos de creación de firma, de sello o de autenticación de sitio web frente a cualquier alteración, destrucción o acceso no autorizado, así como garantizar su continua disponibilidad.
b) Disponer de un servicio de consulta sobre el estado de validez y revocación de los certificados emitidos accesible al público.
c) Cumplir con las disposiciones reglamentadas por la Autoridad de Aplicación para asegurar que el prestador de servicios de confianza se ajusta a la presente ley.
3. Los prestadores cualificados de servicios de confianza deben cumplir las siguientes obligaciones adicionales:
a) El período de tiempo durante el que deben conservar la información relativa a los servicios prestados será de diez años. En caso de que expidan medios de identificación electrónica en virtud del sistema de identificación electrónicos de nivel alto, certificados cualificados de sello electrónico, los prestadores de servicios de confianza deben registrar también la información que permita determinar la identidad de la persona física a la que se hayan entregado los citados medios/certificados, para su identificación en procedimientos judiciales o administrativos.
b) Constituir un seguro de responsabilidad civil por importe mínimo de quinientos salarios mínimos previstos para actividades diversas no especificadas, excepto si el prestador pertenece al sector público.
Si presta más de un servicio de los previstos en la presente ley, se añadirán ciento cincuenta salarios mínimos más por cada servicio. La citada garantía puede ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución, de manera que la suma de las cantidades aseguradas sea coherente con lo dispuesto en el párrafo anterior.
c) El prestador cualificado de servicios de confianza que vaya a cesar en su actividad debe comunicarlo a los clientes a los que preste sus servicios y al organismo de supervisión con una antelación mínima de dos meses al cese efectivo de la actividad. El plan de cese del prestador cualificado de servicios de confianza puede incluir la transferencia de clientes a otro prestador cualificado, una vez acreditada la ausencia de oposición de los mismos. Igualmente, comunicará al organismo de supervisión cualquier otra circunstancia relevante que pueda impedir la continuación de su actividad. En especial, debe comunicar, en cuanto tenga conocimiento de ello, la apertura de cualquier proceso concursal que se siga contra él.
d) Antes de la expedición de un certificado cualificado, los prestadores cualificados de servicios de confianza deben asegurarse de que el titular del certificado puede controlar el acceso y uso de los datos de creación de firma o sello o de autenticación de sitio web correspondientes a los de verificación que consten en el certificado.
e) Los prestadores cualificados de servicios de confianza deben enviar el informe de evaluación de la conformidad a la Autoridad de Aplicación en los términos previstos en el artículo 24 apartado 1 de la presente ley. El incumplimiento de esta obligación conlleva la suspensión de la cualificación al prestador y al servicio que éste presta, y su eliminación de la lista de confianza prevista en el artículo 22 de la presente ley.
f) Antes de la expedición de un medio de identificación electrónica en virtud del sistema de identificación electrónica, los prestadores cualificados de servicios de confianza deben asegurarse de que el titular del medio de identificación puede controlar el acceso y uso de los datos de identificación contenido en ese medio.
Artículo 11. Responsabilidad de los prestadores de servicios de confianza.
1. Los prestadores de servicios de confianza deben responder por los daños y perjuicios que causen a cualquier persona en el ejercicio de su actividad cuando incumplan las obligaciones que les impone la presente ley.
2. Los prestadores de servicios de confianza deben asumir toda la responsabilidad frente a terceros por la actuación de las personas u otros prestadores en los que deleguen la ejecución de alguna o algunas de las funciones necesarias para la prestación de servicios de confianza, incluyendo las actuaciones de comprobación de identidad previas a la expedición de un certificado cualificado.
3. Los prestadores de servicios de confianza serán responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en caso de incumplimiento de sus obligaciones en virtud de los incisos c) y e) del artículo 30.
4. Los prestadores de servicios de confianza que expidan los medios de identificación electrónica serán responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en caso de incumplimiento de sus obligaciones en virtud del inciso d) del artículo 30.
5. Los prestadores de servicios de confianza que realicen el procedimiento de autenticación serán responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona física o jurídica en caso de incumplimiento de sus obligaciones en virtud del inciso e) del artículo 30.
Artículo 12. Limitaciones de responsabilidad de los prestadores de servicios de confianza.
1. El prestador de servicios de confianza no será responsable de los daños y perjuicios ocasionados a la persona a la que ha prestado sus servicios o a terceros de buena fe, si la citada persona incurre en alguno de los supuestos siguientes:
- No haber proporcionado al prestador de servicios de confianza información veraz, completa y exacta para la prestación del servicio de confianza, en particular, sobre los datos que deban constar en el certificado electrónico o que sean necesarios para su expedición o para la extinción o suspensión de su vigencia, cuando su inexactitud no haya podido ser detectada por el prestador de servicios.
- La falta de comunicación sin demora al prestador de servicios de cualquier modificación de las circunstancias que incidan en la prestación del servicio de confianza, en particular, aquellas reflejadas en el certificado electrónico.
- Negligencia en la conservación de sus datos de creación de firma, sello o autenticación de sitio web, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación de éstos o, en su caso, de los medios que den acceso a ellos.
- No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma, sello o autenticación de sitio web o, en su caso, de los medios que den acceso a ellos.
- Utilizar los datos de creación de firma, sello o autenticación de sitio web cuando haya expirado el período de validez del certificado electrónico o el prestador de servicios de confianza le notifique la extinción o suspensión de su vigencia.
2. El prestador de servicios de confianza tampoco será responsable por los daños y perjuicios si el destinatario de los documentos firmados o sellados electrónicamente actúa de forma negligente. Entre otros supuestos, se entiende que el destinatario actúa de forma negligente cuando no tenga en cuenta la suspensión o pérdida de vigencia del certificado electrónico publicada en el servicio de consulta sobre la vigencia de los certificados, o cuando no verifique la firma o sello electrónicos.
3. El prestador de servicios de confianza no será responsable por los daños y perjuicios en caso de inexactitud de los datos que consten en el certificado electrónico si éstos le han sido acreditados mediante documento público, inscripto en un registro público si así resulta exigible.
4. El prestador de servicios de confianza no será responsable por los daños y perjuicios relativos a la expedición de un medio de identificación electrónica en virtud del sistema de identificación electrónica siempre y cuando acredite el cumplimiento de las obligaciones que le impone la presente ley.
Artículo 13. Obligaciones de seguridad de la información.
1. Los prestadores cualificados y no cualificados de servicios de confianza deben notificar a la Autoridad de Aplicación de las violaciones de seguridad que sufran, entendiéndose como violación de seguridad a un evento que afecta de manera crítica la confidencialidad, integridad y/o disponibilidad de los activos de información, en los términos previstos en el artículo 20 apartado 2.
2. Los prestadores de servicios tienen la obligación de gestionar los incidentes de seguridad que les afecten, debiendo prever los mecanismos adecuados para su prevención, detección, análisis y resolución.
3. Los prestadores de servicios deben ampliar tras la resolución del incidente, la información suministrada en la notificación inicial con arreglo a las directrices que pueda establecer la Autoridad de Aplicación.
Artículo 14. Declaración de prácticas de los servicios electrónicos de confianza.
1. La declaración de prácticas es un documento en el que los prestadores de servicios de confianza describen la forma en que prestan el servicio y aseguran el cumplimiento de las obligaciones legalmente exigibles, e informan al público sobre el modo correcto de utilización de sus servicios. La declaración de prácticas debe estar disponible al público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita.
2. En el caso de los servicios de emisión de certificados, la declaración de prácticas describe las condiciones aplicables a la solicitud y expedición de un certificado, incluida la celebración de un contrato; detalla los términos aplicables a la suspensión y extinción de la vigencia de los certificados, e informa sobre la existencia de un servicio de consulta sobre la vigencia de los certificados. Así mismo, indica las obligaciones del titular en el uso del certificado, la forma en que han de custodiarse los datos de creación de firma, de sello o de autenticación de sitio web, y los medios que los protegen, así como cualquier recomendación útil para garantizar una buena utilización del certificado.
Artículo 15. Servicios de confianza no cualificados.
Los prestadores de servicios de confianza no cualificados no necesitan autorización administrativa para iniciar su actividad, pero deben comunicar su actividad a la Autoridad de Aplicación en el plazo de tres meses desde que la inicien. En el mismo plazo deben comunicar la modificación de los datos inicialmente transmitidos y el cese de su actividad.
Sección III
Supervisión y Control
Artículo 16. Organismo de supervisión.
1. Sin perjuicio de las funciones específicas conforme al artículo 17, la Autoridad de Aplicación, será el órgano de supervisión, debe controlar el cumplimiento de las obligaciones establecidas en la presente ley por parte de los prestadores de servicios de confianza cualificados y no cualificados que ofrezcan sus servicios al público.
2. La Autoridad de Aplicación podrá acordar las medidas apropiadas para el cumplimiento de la presente ley. En particular, puede dictar directrices para la elaboración y comunicación de informes, documentos y para el cumplimiento de las obligaciones técnicas y de seguridad exigibles a los servicios de confianza, así como sobre requisitos y normas técnicas de auditoría y certificación con arreglo a las cuales los organismos de evaluación de la conformidad realizan la evaluación de la conformidad de los prestadores cualificados de servicios de confianza. Para ello, pueden referenciar especificaciones o normas elaboradas por organismos internacionales.
Artículo 17. Funciones del organismo de supervisión.
1. Las funciones del organismo de supervisión son las siguientes:
a) Supervisar a los prestadores cualificados de servicios de confianza establecidos en el Paraguay a fin de garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados de servicios de confianza, y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en la presente ley.
b) Adoptar medidas, en caso necesario, en relación con los prestadores no cualificados de servicios de confianza establecidos, mediante actividades de supervisión posteriores, cuando reciba la información de que dichos prestadores no cualificados de servicios de confianza, o los servicios de confianza prestados por ellos, supuestamente no cumplen los requisitos establecidos en la presente ley.
2. Para los fines del apartado 1, y con sujeción a las limitaciones establecidas en el mismo, las funciones del organismo de supervisión incluyen, en particular:
a) Analizar los informes de evaluación de la conformidad a que se refieren el artículo 24, apartado 1, artículo 25, apartado 2.
b) Informar al público de la violación de seguridad, de conformidad con el artículo 20, apartado 2.
c) Realizar auditorías o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, con arreglo al artículo 24, apartado 2.
d) Conceder la cualificación a los prestadores de servicios de confianza y a los servicios de confianza que prestan, y retirar esta cualificación, con arreglo a los artículos 24 y 25.
e) Comunicar al organismo responsable de la lista de confianza a que se refiere el artículo 26, de su decisión de conceder o retirar la cualificación, salvo el caso de que dicho organismo sea igualmente el organismo de supervisión.
f) Verificar la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese en caso de que los prestadores de servicios de confianza cesen sus actividades, con inclusión de la forma en que se hace accesible la información, con arreglo al artículo 28, apartado 2, inciso h).
g) Requerir que los prestadores de servicios de confianza subsanen cualquier incumplimiento de los requisitos establecidos en la presente ley.
3. El organismo de supervisión debe establecer, mantener y actualizar una infraestructura de confianza de conformidad con las condiciones establecidas en la ley.
Artículo 18. Actuaciones inspectoras.
1. La Autoridad de Aplicación realizará las actuaciones inspectoras que sean precisas para el ejercicio de su función de control.
2. La Autoridad de Aplicación puede recurrir a entidades independientes y técnicamente cualificadas para que le asistan en las labores de supervisión y control sobre los prestadores de servicios de confianza que le asigna la presente ley.
3. Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados requisitos. En este caso, los prestadores de servicios correrán con los gastos que ocasione esta evaluación.
Artículo 19. Información y colaboración.
1. Los prestadores de servicios de confianza, los organismos de evaluación de la conformidad y cualquier otra persona o entidad relacionada con el prestador de servicios de confianza, tienen la obligación de facilitar a la Autoridad de Aplicación toda la información y colaboración precisas para el ejercicio de sus funciones.
En particular, deben permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate conforme al servicio que se preste. En sus inspecciones podrán ir acompañados de expertos o peritos en las materias sobre las que versen aquéllas.
2. La información referente a los prestadores cualificados de servicios de confianza puede ser objeto de publicación en la dirección de internet de la Autoridad de Aplicación para su difusión y conocimiento.
Artículo 20. Requisitos de seguridad aplicables a los prestadores de servicios de confianza.
1. Los prestadores cualificados y no cualificados de servicios de confianza adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan. Habida cuenta de los últimos avances tecnológicos, dichas medidas garantizan un nivel de seguridad proporcional al grado de riesgo. En particular, se adoptarán medidas para evitar y reducir al mínimo el impacto de los incidentes de seguridad e informar a los interesados de los efectos negativos de cualquiera de tales incidentes.
2. Los prestadores cualificados y no cualificados de servicios de confianza, sin demoras indebidas, pero en cualquier caso en un plazo de veinticuatro horas tras tener conocimiento de ellas, notificarán al organismo de supervisión y al Centro de Respuestas a Incidentes Cibernéticos del Ministerio de Tecnologías de la Información y Comunicación (MITIC), sobre cualquier violación de la seguridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.
Cuando la violación de seguridad pueda atentar contra una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza notificará también a la persona física o jurídica, sin demora indebida, la violación de seguridad.
El organismo de supervisión notificado informará al público o exigirá al prestador de servicios de confianza que lo haga, en caso de considerar que la divulgación de la violación de seguridad reviste interés público.
Sección IV
Infracciones y sanciones
Artículo 21. Infracciones.
1. Las infracciones de los preceptos de la presente ley se clasifican en leves, graves, y muy graves.
2. Constituyen infracciones leves:
a) No publicar información veraz y acorde con la presente ley.
b) No comunicar el inicio de actividad, su modificación o cese por los prestadores de servicios no cualificados en el plazo establecido en el artículo 15.
c) El incumplimiento por parte de los prestadores cualificados de servicios de confianza de alguna de las obligaciones establecidas en el artículo 28 numeral 2, incisos a) e i).
d) No colaborar con otros prestadores cualificados para determinar la fecha de la última presencia de la persona física firmante o solicitante del sello o de empleo de un medio equivalente de identificación aceptado, cuando su colaboración sea necesaria.
e) En caso de prestadores que expidan certificados cualificados de sello electrónico, no registrar la información a la que se refiere el artículo 10 numeral 3 inciso a).
f) No disponer de un servicio de consulta, sobre el estado de validez y revocación de los certificados emitidos, accesible al público de conformidad con lo dispuesto en el artículo 10 numeral 2 inciso b).
g) El incumplimiento de las reglamentaciones dictadas por la Autoridad de Aplicación para asegurar que el prestador de servicios de confianza se ajusta a la presente ley conforme al artículo 10 numeral 2 inciso c).
h) El incumplimiento de las disposiciones establecidas en el artículo 9.
i) El incumplimiento de todas las demás disposiciones contenidas en la presente ley que no han sido tipificadas como infracciones graves o muy graves.
3. Una infracción grave se convierte en muy grave cuando, como consecuencia de ella, se hayan causado daños graves constatables a usuarios concretos o la seguridad de los servicios de confianza se haya visto gravemente afectada.
4. Son infracciones graves:
a) La resistencia, obstrucción, excusa o negativa injustificada a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a la presente ley.
b) El incumplimiento de un requerimiento de subsanación de una deficiencia constitutiva de infracción cuando éste haya tenido que dictarse por segunda vez.
c) Actuar en el mercado como prestador cualificado de servicios de confianza, ofrecer servicios de confianza como cualificados o utilizar la etiqueta de confianza «PY» como prestador de servicios de confianza cualificados sin haber obtenido la cualificación de los citados servicios.
d) En caso de que el prestador expida certificados electrónicos, almacenar o copiar, por sí o a través de un tercero, los datos de creación de firma o sello de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del firmante o del creador del sello.
e) No proteger adecuadamente los datos de creación de firma o de sello cuya gestión se le haya encomendado en la forma establecida en el artículo 10 numeral 2 inciso a).
f) No notificar, sin demoras indebidas, pero en cualquier caso en un plazo de veinticuatro horas tras tener conocimiento de ellas, a la Autoridad de Aplicación, cualquier violación de la seguridad que tenga un impacto significativo en el servicio de confianza prestado, salvo que sólo afecte a los datos personales tratados por el prestador, o no ampliar la información notificada, según lo dispuesto en el artículo 13 numeral 3.
g) Cuando la violación de seguridad pueda atentar contra una persona física o jurídica a la que se ha prestado el servicio de confianza, no notificar también a la persona física o jurídica, sin demora indebida, la violación de seguridad.
h) En caso de prestadores cualificados de servicios de confianza, el incumplimiento de alguna de las obligaciones establecidas en el artículo 28 numeral 2, incisos b), c), d), e), f), g), h), y k), numeral 3 y numeral 4 de la presente ley, con las precisiones establecidas cuando no constituya infracción muy grave y no haya dado lugar a la retirada de la cualificación del prestador.
i) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado, o al poder de representación de quien lo solicita en su nombre señaladas en la presente ley, u omitir la comprobación indicada en el artículo 10 numeral 3 inciso d). Para la aplicación de lo dispuesto en el presente artículo, la Autoridad de Aplicación debe definir las condiciones relativas a cantidad y período de expedición de certificados cualificados.
j) La expedición de medios de identificación electrónica en virtud del sistema de identificación electrónicos de nivel alto sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del medio de identificación, o al poder de representación de quien lo solicita en su nombre señaladas en la presente ley, u omitir la comprobación indicada en el artículo 10 numeral 3 inciso f).
k) No resolver los incidentes de seguridad en las redes y sistemas de información.
l) No disponer de un servicio de consulta sobre el estado de validez y revocación de los certificados emitidos accesible al público.
Artículo 22. Sanciones.
1. Por la comisión de infracciones recogidas en el artículo anterior, se impondrán al infractor las siguientes sanciones:
a) Por la comisión de infracciones leves, una multa por importe de 100 hasta 1.000 jornales mínimos.
b) Por la comisión de infracciones graves, una multa por importe de 1.001 hasta 5.000 jornales mínimos.
c) Por la comisión de infracciones muy graves, una multa por importe de 5.001 hasta 10.000 jornales mínimos.
2. La cuantía de las sanciones que se impongan se determinará aplicando una graduación de importe mínimo, medio y máximo a cada nivel de infracción, teniendo en cuenta lo siguiente:
a) El grado de culpabilidad o la existencia de intencionalidad.
b) La continuidad o persistencia en la conducta infractora.
c) La naturaleza y cuantía de los perjuicios causados.
d) La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarada por resolución firme en vía administrativa.
e) Número de personas afectadas por la infracción.
f) Gravedad del riesgo generado por la conducta o persistencia del mismo.
g) Las acciones realizadas por el prestador encaminadas a paliar los efectos o consecuencias de la infracción.
3. Las resoluciones sancionadoras por la comisión de infracciones graves o muy graves serán publicadas en el sitio de internet de la Autoridad de Aplicación.
4. Las sanciones previstas en el presente artículo se aplicarán a los Prestadores de Servicios de confianza cualificados y no cualificados.
Artículo 23. Competencia y procedimiento sancionador. Prescripción.
1. Las infracciones a los preceptos de la presente ley deben ser objeto de sumario administrativo, cuyas sanciones son impuestas por la Autoridad de Aplicación.
2. Las infracciones a la presente ley prescribirán a los dos años, computados a partir del último día en que las infracciones fueron cometidas.
Sección V
Servicios de confianza cualificados
Artículo 24. Supervisión de los prestadores cualificados de servicios de confianza.
1. Los prestadores cualificados de servicios de confianza son auditados, al menos cada veinticuatro meses, corriendo con los gastos que ello genere, por un organismo de evaluación de la conformidad. La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios de confianza como los servicios de confianza cualificados que prestan cumplen los requisitos establecidos en la presente ley. Los prestadores cualificados de servicios de confianza envían el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.
2. Sin perjuicio de lo dispuesto en el apartado 1, el organismo de supervisión puede en cualquier momento auditar o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de conformidad de los prestadores cualificados de servicios de confianza, corriendo con los gastos dichos prestadores de servicios de confianza, para confirmar que tanto ellos como los servicios de confianza cualificados que prestan cumplen los requisitos de la presente ley.
3. Cuando el organismo de supervisión requiera a un prestador cualificado de servicios de confianza que corrija el incumplimiento de requisitos de la presente ley y este prestador no actúe en consecuencia, en su caso, en el plazo fijado por el organismo de supervisión, el organismo de supervisión, teniendo en cuenta en particular el alcance, la duración y las consecuencias de este incumplimiento, puede retirar la cualificación al prestador o al servicio que este presta e informar al organismo a que se refiere el artículo 26 a efectos de que se actualice la lista de confianza mencionada en el mismo artículo. El organismo de supervisión comunicará al prestador cualificado de servicios de confianza la retirada de su cualificación o de la cualificación del servicio de que se trate.
4. La Autoridad de Aplicación, reglamentará las siguientes normas:
a) La acreditación de los organismos de evaluación de la conformidad y para el informe de evaluación de la conformidad a que se refiere el apartado 1.
b) Sobre las disposiciones en materia de auditoría con arreglo a las cuales, los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1.
Artículo 25. Inicio de un servicio de confianza cualificado.
1. Cuando los prestadores de servicios de confianza, sin cualificación, tengan intención de iniciar la prestación de servicios de confianza cualificados, presentarán al organismo de supervisión una notificación de su intención junto con un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad.
2. El organismo de supervisión verificará si el prestador de servicios de confianza y los servicios de confianza que presta cumplen los requisitos establecidos en la presente ley, y en particular, los requisitos establecidos para los prestadores cualificados de servicios de confianza y para los servicios de confianza cualificados que estos prestan.
Si el organismo de supervisión concluye que el prestador de servicios de confianza y los servicios de confianza que este presta cumplen los requisitos a que se refiere el párrafo primero, el organismo de supervisión concede la cualificación al prestador de servicios de confianza y a los servicios de confianza que este presta y lo comunica al organismo a que se refiere el artículo 26, a efectos de actualizar las listas de confianza a que se refiere el mismo artículo.
Si la verificación no ha concluido en el plazo de tres meses, el organismo de supervisión informa al prestador de servicios de confianza especificando los motivos de la demora y el plazo previsto para concluir la verificación.
3. Los prestadores cualificados de servicios de confianza pueden comenzar a prestar el servicio de confianza cualificado una vez que la cualificación haya sido indicada en las listas de confianza a que se refiere el artículo 26, apartado 1.
4. La Autoridad de Aplicación reglamentará los formatos y procedimientos a efectos de los apartados 1 y 2.
Artículo 26. Listas de confianza.
1. La Autoridad de Aplicación establece, mantiene y publica la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a la presente ley junto con la información relacionada con los servicios de confianza cualificados prestados por ellos.
2. La Autoridad de Aplicación establece, mantiene y publica, de manera segura, la lista de confianza firmada o sellada electrónicamente a que se refiere el apartado 1 en una forma apropiada para el tratamiento automático.
3. La revocación de la cualificación a un prestador o a un servicio mediante su retirada de la lista de confianza es independiente de la aplicación del régimen sancionador.
4. La Autoridad de Aplicación especificará la información a que se refiere el apartado 1 y definirá las especificaciones técnicas y formatos de las listas de confianza aplicables a efectos de los apartados 1 y 2.
Artículo 27. Etiqueta de confianza «PY» para servicios de confianza cualificados.
1. Una vez que la cualificación a que se refiere el artículo 25, apartado 2, párrafo segundo, se haya incluido en la lista de confianza a que se refiere el artículo 26, los prestadores cualificados de los servicios de confianza pueden usar la etiqueta de confianza «PY» para indicar de manera simple, reconocible y clara los servicios de confianza cualificados que prestan.
2. Al utilizar la etiqueta de confianza «PY» para los servicios de confianza cualificados a que se refiere el apartado 1, los prestadores de los servicios de confianza garantizan que en su sitio web exista un enlace a la lista de confianza pertinente.
3. La Autoridad de Aplicación elaborará especificaciones relativas a la forma y en particular la presentación, composición, tamaño y diseño de la etiqueta de confianza «PY» para servicios de confianza cualificados.
Artículo 28. Requisitos para los prestadores cualificados de servicios de confianza.
1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verifica, por los medios apropiados la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.
La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero:
a) En presencia de la persona física o de un representante autorizado de la persona jurídica; o,
b) A distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 31 con respecto al nivel de seguridad «alto»; o,
c) Por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b); o,
d) Utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.
2. Los prestadores cualificados de servicios de confianza que prestan servicios de confianza cualificados:
a) Informan al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados, y de su intención de cesar tales actividades.
b) Cuentan con personal y, si procede, con subcontratistas, que posean los conocimientos especializados, la fiabilidad, la experiencia y las cualificaciones necesarios y hayan recibido la formación adecuada en materia de seguridad y normas de protección de datos personales y que apliquen procedimientos administrativos y de gestión que correspondan a normas internacionales.
c) Con respecto al riesgo de la responsabilidad por daños y perjuicios de conformidad con el artículo 11, mantienen recursos financieros suficientes u obtienen pólizas de seguros de responsabilidad adecuadas.
d) Antes de entrar en una relación contractual, informan, de manera clara y comprensible, a cualquier persona que desee utilizar un servicio de confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización.
e) Utilizan sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustentan.
f) Utilizan sistemas fiables para almacenar los datos que se les faciliten de forma verificable, de modo que:
i) Estén a disposición del público para su recuperación sólo cuando se haya obtenido el consentimiento de la persona a la que corresponden los datos.
ii) Solo personas autorizadas puedan hacer anotaciones y modificaciones en los datos almacenados.
iii) Pueda comprobarse la autenticidad de los datos.
g) Toman medidas adecuadas contra la falsificación y el robo de datos.
h) Registran y mantienen accesible durante un período de tiempo definido por la Autoridad de Aplicación, incluso cuando hayan cesado las actividades del prestador cualificado de servicios de confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador cualificado de servicios de confianza, en particular al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos.
i) Cuentan con un plan de cese actualizado para garantizar la continuidad del servicio, de conformidad con las disposiciones verificadas por el organismo de supervisión con arreglo al artículo 17, apartado 2, inciso f).
j) Garantizan un tratamiento lícito de los datos personales.
k) En caso de los prestadores cualificados de servicios de confianza que expidan certificados cualificados, establecen y mantienen actualizada una base de datos de certificados.
3. Cuando los prestadores cualificados de servicios de confianza que expidan certificados cualificados decidan revocar un certificado, registran su revocación en su base de datos de certificados y publican el estado de revocación del certificado oportunamente y, en todo caso, en un plazo de veinticuatro horas después de la recepción de la solicitud. La revocación será efectiva inmediatamente después de su publicación.
4. Con respecto a lo dispuesto en el apartado 3, los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionan a cualquier parte usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información debe estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente.
5. La Autoridad de Aplicación reglamentará normas para sistemas y productos fiables que cumplan con los requisitos establecidos en los incisos e) y f) del apartado 2 del presente artículo. Se tendrá por acreditado el cumplimiento de los requisitos establecidos en el presente artículo cuando los sistemas y productos fiables se ajusten a lo dispuesto en dichas normas.
Sección VI
Identificación Electrónica
Artículo 29. Efecto jurídico.
1. No se negarán efectos jurídicos ni admisibilidad en procedimientos privados, judiciales y administrativos a la identificación electrónica de una persona física o jurídica o a una persona física que representa a una persona jurídica por la sola razón de que la comprobación de identidad y la identificación electrónica se hayan hecho en forma electrónica expedidos en virtud de un sistema de identificación electrónica que cumplan con las condiciones de seguridad previstas en la presente ley.
2. Cuando la ley requiera o permita que se identifique a una persona, ese requisito se dará por cumplido respecto al sistema de identificación electrónica si se utiliza un método fiable para la identificación electrónica de la persona física o jurídica o a una persona física que representa a una persona jurídica.
Se tendrá por acreditada la fiabilidad del método a los efectos del apartado 2, si se utiliza sistema de identificación electrónica conforme a los requisitos establecidos en el artículo 30 y el artículo 31 numeral 2 inciso c).
Artículo 30. Requisitos de un sistema de identificación electrónica.
Un sistema de identificación electrónica cumple los siguientes requisitos:
a) Que los medios de identificación electrónica en virtud del sistema de identificación electrónica hayan sido expedidos por un prestador de servicios de confianza.
b) Que tanto el sistema de identificación electrónica como los medios de identificación electrónicos en su virtud expedidos cumplan los requisitos de al menos uno de los niveles de seguridad previstos en la reglamentación a que hace referencia el artículo 31, apartado 3.
c) Que el prestador de servicios de confianza garantiza que los datos de identificación de la persona que representan en exclusiva a la persona en cuestión se atribuyen de conformidad con las especificaciones técnicas, las normas y los procedimientos del nivel de seguridad pertinente establecido en la reglamentación a que se refiere el artículo 31, apartado 3, a la persona física o jurídica a la que se refiere el artículo 4 respecto a la definición de identificación electrónica, en el momento de expedición de los medios de identificación electrónica previstos en este sistema.
d) Que la parte que expide los medios de identificación electrónica previstos en este sistema garantice que los medios de identificación electrónica se atribuyan a la persona a que se refiere el inciso c) del presente artículo de conformidad con las especificaciones técnicas, las normas y los procedimientos del nivel de seguridad pertinente establecidos en la reglamentación a que se refiere el artículo 31, apartado 3.
e) Que el prestador de servicios de confianza garantiza la disponibilidad de la autenticación en línea de manera que cualquier parte usuaria pueda confirmar los datos de identificación de la persona recibidos en formato electrónico.
Artículo 31. Niveles de seguridad de los sistemas de identificación electrónica.
1. Los sistemas de identificación electrónica pueden contar con diversos niveles de seguridad y deberán ser provistos por un prestador de servicios de confianza.
Un sistema de identificación electrónica debe especificar los niveles de seguridad bajo, sustancial y alto para los medios de identificación electrónica expedidos en virtud del mismo.
2. Los niveles de seguridad bajo, sustancial y alto cumplirán los siguientes criterios, respectivamente:
a) El nivel de seguridad bajo se refiere a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado limitado de confianza en la identidad pretendida o declarada de una persona y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, y cuyo objetivo es reducir el riesgo de uso indebido o alteración de la identidad.
b) El nivel de seguridad sustancial se refiere a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado sustancial de confianza en la identidad pretendida o declarada de una persona y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, y cuyo objetivo es reducir sustancialmente el riesgo de uso indebido o alteración de la identidad.
c) El nivel de seguridad alto se refiere a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado de confianza en la identidad pretendida o declarada de una persona superior al medio de identificación electrónica con un nivel de seguridad sustancial, y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, cuyo objetivo es evitar el uso indebido o alteración de la identidad.
Los medios de identificación electrónica en virtud del sistema de identificación electrónica con nivel de seguridad alto, deben ser expedidos por un prestador cualificado de servicios de confianza.
3. La Autoridad de Aplicación reglamentará, las especificaciones técnicas mínimas, las normas y los procedimientos con referencia a los cuales se especificarán los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica a efectos del apartado 1.
Estas especificaciones técnicas mínimas, normas y procedimientos se establecerán en referencia a la fiabilidad y la calidad de los siguientes elementos:
a) El procedimiento para demostrar y comprobar la identidad de las personas físicas o jurídicas que solicitan la expedición de los medios de identificación electrónica.
b) El procedimiento para expedir los medios de identificación electrónica solicitados.
c) El mecanismo de autenticación mediante el cual la persona física o jurídica utiliza los medios de identificación electrónica para confirmar su identidad a una parte usuaria.
d) La entidad que expide los medios de identificación electrónica.
e) Cualquier otro organismo que intervenga en la solicitud de expedición de los medios de identificación electrónica.
f) Las especificaciones técnicas y de seguridad de los medios de identificación electrónica.
Las especificaciones técnicas mínimas, normas y procedimientos indicados en el párrafo anterior deberán ser cumplidos por el prestador de servicios de confianza para la provisión de un sistema de identificación electrónica.
4. La Autoridad de Aplicación mantendrá en su sitio de internet la lista de sistemas de identificación electrónica la cual debe ser aprobada por resolución ministerial y contener mínimamente:
a) El nombre del sistema.
b) Medio de identificación electrónica.
c) Nivel de seguridad.
d) Responsable del sistema.
e) Fecha de vigencia.
Artículo 32. Violación de la seguridad.
1. En caso de que el sistema de identificación electrónica aprobado por resolución ministerial, o la autenticación a que se refiere el artículo 30, inciso e), hayan sido violados o puestos parcialmente en peligro de una forma que afecte a la fiabilidad de la autenticación de dicho sistema, la Autoridad de Aplicación suspenderá o revocará sin dilaciones indebidas dicha autenticación e informará.
2. Cuando se haya subsanado la violación o la puesta en peligro a que se refiere el apartado 1, la Autoridad de Aplicación restablecerá la autenticación e informará.
3. Si la violación o la puesta en peligro a que se refiere el apartado 1 no se corrige en un plazo de tres meses a partir de la suspensión o revocación, la Autoridad de Aplicación informará la inhabilitación del sistema de identificación electrónica y la exclusión de la lista de sistemas de identificación electrónica a la que refiere el artículo 31 apartado 4.
4. La Autoridad de Aplicación publicará en su sitio de internet las informaciones mencionadas en los apartados 1, 2 y 3 de este artículo, así como las modificaciones correspondientes a la lista a que refiere el artículo 31, apartado 4, sin dilaciones indebidas.
Sección VII
Certificados electrónicos
Artículo 33. Vigencia y caducidad de los certificados electrónicos.
1. Los certificados electrónicos se extinguen por caducidad a la expiración de su período de vigencia.
2. El período de vigencia de los certificados cualificados no será superior a cuatro años. Dicho período se fijará en atención a las características y tecnologías empleadas para generar los datos de creación de firma o sello, o de autenticación de sitio web.
Artículo 34. Revocación y suspensión de los certificados electrónicos.
1. Los prestadores de servicios de confianza extinguirán la vigencia de los certificados electrónicos mediante revocación en los siguientes supuestos:
a) Solicitud formulada por el firmante, la persona física o jurídica representada por éste, un tercero autorizado, el creador del sello o el titular del certificado de autenticación de sitio web.
b) Violación o puesta en peligro del secreto de los datos de creación de firma o de sello, o del prestador de servicios de confianza, o de autenticación de sitio web, o utilización indebida de dichos datos por un tercero.
c) Resolución judicial o administrativa competente que lo ordene.
d) Fallecimiento del firmante; incapacidad sobrevenida, total o parcial, del firmante; extinción de la personalidad jurídica o disolución del creador del sello, y cambio de nombre de dominio en el supuesto de un certificado de autenticación de sitio web.
e) Cese en la actividad del prestador de servicios de confianza salvo que la gestión de los certificados electrónicos expedidos por aquél sea transferida a otro prestador de servicios de confianza.
f) Descubrimiento de la falsedad o inexactitud de los datos aportados para la expedición del certificado y que consten en él, o alteración posterior de las circunstancias verificadas para la expedición del certificado.
g) Cualquier otra causa lícita prevista en la declaración de prácticas del servicio de confianza.
2. Los prestadores de servicios pueden suspender la vigencia de los certificados electrónicos en los supuestos previstos en los incisos a), c) y g) del apartado anterior, así como en los casos de duda sobre la concurrencia de las circunstancias previstas en sus incisos b) y f), siempre que sus declaraciones de prácticas de certificación prevean la posibilidad de suspender los certificados.
3. En su caso, y de manera previa o simultánea a la indicación de la revocación o suspensión de un certificado electrónico cualificado en el servicio de consulta sobre el estado de validez o revocación de los certificados por él expedidos, el prestador de servicios de confianza informará al firmante acerca de esta circunstancia, especificando los motivos, la fecha y la hora en que el certificado quedará sin efecto.
En los casos de suspensión, la vigencia del certificado se extinguirá si transcurrido el plazo de duración de la suspensión, el prestador no la hubiera levantado.
Artículo 35. Identidad y atributos de los titulares de certificados cualificados.
1. La identidad del titular en los certificados cualificados se consigna de la siguiente forma:
a) En el supuesto de certificados de firma electrónica y de autenticación de sitio web expedidos a personas físicas, por sus nombres, apellidos, número de documento de identidad, o a través de un seudónimo que conste como tal de manera inequívoca. El número de documento de identidad podrá sustituirse por otro código o número identificativo cuando el firmante carezca de él, siempre que le identifique unívocamente.
b) En el supuesto de certificados de sello electrónico y de autenticación de sitio web expedidos a personas jurídicas, por su denominación o razón social y su número de registro único de contribuyente. En defecto de éste, deberá indicarse otro código identificativo que le identifique unívocamente, si el creador del sello lo tuviera.
Artículo 36. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.
1. La identificación de la persona física que solicite un certificado cualificado exige su presencia física ante los encargados de verificarla y se acredita mediante un documento de identidad vigente.
Puede prescindirse de la presencia física de la persona que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial.
2. La Autoridad de Aplicación puede determinar las condiciones y requisitos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado mediante otros medios de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.
3. En el caso de certificados cualificados de sello electrónico los prestadores de servicios de confianza comprobarán, además de los datos señalados en los apartados anteriores, los datos relativos a la constitución y personería jurídica y a la persona o entidad representada, respectivamente, así como la extensión y vigencia de las facultades de representación del solicitante mediante los documentos que sirvan para acreditar los extremos citados de manera fehaciente y su inscripción en el correspondiente registro público.
Esta comprobación puede realizarse, asimismo, mediante consulta en el registro público en el que estén inscriptos los documentos de constitución y de apoderamiento, pudiendo emplear los medios telemáticos facilitados por los citados registros públicos.
4. Cuando el certificado cualificado contenga otras circunstancias personales o atributos del solicitante, éstas deben comprobarse mediante los documentos que las acrediten, de conformidad con su normativa específica.
5. Lo dispuesto en los apartados anteriores puede no ser exigible en los siguientes casos:
a) Cuando la identidad u otras circunstancias permanentes de los solicitantes de los certificados constaran ya al prestador de servicios de confianza en virtud de una relación preexistente, en la que, para la identificación del interesado, se hubieran empleado los medios señalados en este artículo y el período de tiempo transcurrido desde la identificación es menor de cuatro años.
b) Cuando para solicitar un certificado se utilice otro vigente para cuya expedición se hubiera identificado a la persona física solicitante en la forma prescripta en este artículo y le conste al prestador de servicios que el período de tiempo transcurrido desde la identificación es menor de cuatro años.
La forma en que se ha procedido a identificar a la persona física solicitante puede constar en el certificado. En otro caso, los prestadores de servicios deben colaborar entre sí para determinar cuándo se produjo la última personación o medio equivalente de identificación al que alude el apartado 2.
Artículo 37. Cédula de identidad electrónica.
1. La cédula de identidad electrónica es el documento de identidad que acredita electrónicamente la identidad personal de su titular y permite la firma electrónica de documentos.
2. La cédula de identidad electrónica deberá expedirse en virtud a un sistema de identificación electrónica alto conforme a las disposiciones de la presente ley.
Artículo 38. Requisitos y características de la cédula de identidad electrónica.
1. El Departamento de Identificaciones de la Policía Nacional es el órgano competente para la expedición de la cédula de identidad electrónica, cumplirá las obligaciones que la presente ley impone a los prestadores de servicios de confianza que expidan certificados cualificados.
2. El Ministerio de Interior a través del Departamento de Identificaciones de la Policía Nacional debe únicamente emitir certificado cualificado de firma electrónica utilizando dispositivo cualificado de creación de firma electrónica contenido en la cédula de identidad.
Sección VIII
Firma electrónica
Artículo 39. Efecto jurídico y admisibilidad de la firma electrónica.
1. No se negarán efectos jurídicos ni admisibilidad en procedimientos privados, judiciales y administrativos a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.
2. Una firma electrónica cualificada tiene un efecto jurídico equivalente al de una firma manuscrita.
3. El párrafo 2 será aplicable tanto si el requisito en él previsto está expresado en forma de obligación como si la ley simplemente prevé consecuencias en el caso de que no exista una firma.
Artículo 40. Impugnación de una firma electrónica.
1. Si se impugnare la autenticidad de la firma electrónica, con la que se hayan firmado los datos incorporados al documento electrónico, se estará conforme con lo establecido en el artículo 404 del Código Civil Paraguayo.
2. Si se impugnare la autenticidad de la firma electrónica cualificada con la que se hayan firmado los datos incorporados al documento electrónico se procederá a comprobar que se trata de una firma electrónica basada en un certificado cualificado, que cumple todos los requisitos y condiciones establecidos en la presente ley para este tipo de certificados, así como que la firma se ha generado mediante un dispositivo cualificado de creación de firma electrónica. La carga de realizar las citadas comprobaciones corresponde a quien alegue que la firma es falsa. Si dichas comprobaciones obtienen un resultado positivo, se tendrá por acreditada la autenticidad de la firma electrónica cualificada con la que se haya firmado dicho documento electrónico. En principio, la carga de la prueba incumbe a quien alegue la falsedad de la firma salvo excepciones previstas por la ley.
Artículo 41. Empleo de la firma electrónica en el ámbito de la Administración Pública.
1. La presente ley se aplica al uso de la firma electrónica en el seno de las administraciones públicas, sus organismos públicos y las entidades dependientes o vinculadas a las mismas y en las relaciones que mantengan aquéllas y éstos entre sí o con los particulares.
Las administraciones públicas, con el objeto de salvaguardar las garantías de cada procedimiento, pueden establecer condiciones adicionales a la utilización de la firma electrónica en los procedimientos.
2. Estas condiciones serán objetivas, proporcionadas, transparentes y no discriminatorias y no deben obstaculizar la prestación de servicios al ciudadano cuando intervengan distintas dependencias de la Administración Pública.
3. Las normas que establezcan condiciones generales adicionales para el uso de la firma electrónica ante la Administración General del Estado, sus organismos públicos y las entidades dependientes o vinculadas a las mismas se dictarán a propuesta del Ministerio de Tecnologías de la Información y Comunicación (MITIC), para el impulso del Gobierno Electrónico.
4. La utilización de la firma electrónica en las comunicaciones que afecten a la información clasificada, a la seguridad pública o a la defensa nacional se regirán por su normativa específica.
Artículo 42. Certificados cualificados de firma electrónica.
1. Los certificados cualificados de firma electrónica cumplirán los requisitos establecidos en el artículo 43.
2. Los certificados cualificados de firma electrónica no estarán sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el artículo 43.
3. Los certificados cualificados de firmas electrónicas pueden incluir atributos específicos adicionales no obligatorios. Esos atributos no afectarán a la interoperabilidad y el reconocimiento de las firmas electrónicas cualificadas.
4. Si un certificado cualificado de firma electrónica ha sido revocado después de su activación inicial, pierde su validez desde el momento de su revocación y no puede en ninguna circunstancia recuperar su estado.
5. Según las condiciones que siguen, la Autoridad de Aplicación puede fijar normas sobre la suspensión temporal de certificados cualificados de firma electrónica:
a) Si un certificado cualificado de firma electrónica ha sido suspendido temporalmente, ese certificado pierde su validez durante el período de suspensión.
b) El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.
6. La Autoridad de Aplicación reglamentará las normas relativas a los certificados cualificados de firma electrónica. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en el artículo 43 cuando un certificado cualificado de firma electrónica se ajuste a lo dispuesto en dichas normas.
Artículo 43. Requisitos de los certificados cualificados de firma electrónica.
Los certificados cualificados de firma electrónica contienen:
a) Una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de firma electrónica.
b) Un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados:
- Para personas jurídicas: el nombre y el número de registro único del contribuyente según conste en el documento respectivo.
- Para personas físicas, el nombre de la persona y el número de documento de identidad o el número de registro único del contribuyente según conste en el documento respectivo.
c) Al menos el nombre del firmante o un seudónimo; si se usara un seudónimo, se indicará claramente.
d) Datos de validación de la firma electrónica que correspondan a los datos de creación de la firma electrónica.
e) Los datos relativos al inicio y final del período de validez del certificado.
f) El código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza.
g) La firma electrónica o el sello electrónico del prestador de servicios de confianza expedidor.
h) El lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica o el sello electrónico a que se hace referencia en el inciso g).
i) La localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado.
j) Cuando los datos de creación de firma electrónica relacionados con los datos de validación de firma electrónica se encuentren en un dispositivo cualificado de creación de firma electrónica, una indicación adecuada de esto, al menos en una forma apta para el procesamiento automático.
Artículo 44. Requisitos de los dispositivos cualificados de creación de firma electrónica.
1. Los dispositivos cualificados de creación de firmas electrónicas cumplirán los siguientes requisitos garantizando como mínimo, por medios técnicos y de procedimiento adecuados, que:
a) Esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas.
b) Los datos de creación de firma electrónica utilizados para la creación de firma electrónica sólo puedan aparecer una vez en la práctica.
c) Exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante las tecnologías disponibles en el momento.
d) Los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.
2. Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.
3. La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante sólo podrán correr a cargo de un prestador cualificado de servicios de confianza.
4. Sin perjuicio del inciso d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:
a) La seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales.
b) El número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.
5. La Autoridad de Aplicación reglamentará normas relativas a los dispositivos cualificados de creación de firmas electrónicas. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en este artículo cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a lo dispuesto en dichas normas.
Artículo 45. Certificación de los dispositivos cualificados de creación de firmas electrónicas.
1. La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el artículo 44 será certificada por los organismos públicos o privados adecuados designados por la Autoridad de Aplicación.
2. La Autoridad de Aplicación mantendrá en su sitio de internet los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 1.
3. La certificación contemplada en el apartado 1 se basa en los elementos siguientes:
a) Un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnologías de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo; o,
b) Un proceso distinto del proceso contemplado en el inciso a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Autoridad de Aplicación. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere al inciso a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere al inciso a).
4. La Autoridad de Aplicación reglamentará, la lista de las normas para la evaluación de la seguridad de los productos de tecnologías de la información a que se refiere el inciso a).
Artículo 46. Publicación de una lista de dispositivos cualificados de creación de firmas electrónicas certificados.
1. La Autoridad de Aplicación establece, publica y mantiene una lista de dispositivos cualificados de creación de firmas electrónicas certificados sin retrasos indebidos y no más tarde de un mes después de que haya concluido la certificación, información sobre los dispositivos cualificados de creación de firmas electrónicas que hayan sido certificados por los organismos a que se refiere el artículo 45 apartado 1. Del mismo modo establece, publica y mantiene una lista de dispositivos cualificados de creación de firmas electrónicas certificados, sin retrasos indebidos y no más tarde de un mes después de que haya expirado la certificación, información sobre los dispositivos de creación de firmas electrónicas que hayan dejado de estar certificados.
2. La Autoridad de Aplicación reglamentará los formatos y procedimientos aplicables a efectos del apartado 1.
Artículo 47. Requisitos de la validación de las firmas electrónicas cualificadas.
1. El proceso de validación de una firma electrónica cualificada confirma la validez de una firma electrónica cualificada siempre que:
a) El certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al artículo 43.
b) El certificado cualificado fuera emitido por un prestador de servicios de confianza y fuera válido en el momento de la firma.
c) Los datos de validación de la firma corresponden a los datos proporcionados a la parte usuaria.
d) El conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria.
e) En caso de que se utilice un seudónimo, la utilización del mismo se indique claramente a la parte usuaria en el momento de la firma.
f) La firma electrónica se haya creado mediante un dispositivo cualificado de creación de firmas electrónicas.
g) La integridad de los datos firmados no se haya visto comprometida.
h) Se hayan cumplido lo dispuesto en el artículo 4 respecto a la definición de firma electrónica cualificada en el momento de la firma.
2. El sistema utilizado para validar la firma electrónica cualificada ofrece a la parte usuaria el resultado correcto del proceso de validación y le permite detectar cualquier problema que afecte a la seguridad.
3. La Autoridad de Aplicación reglamentará normas relativas a la validación de las firmas electrónicas cualificadas. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste a lo dispuesto en dichas normas.
Artículo 48. Servicio de validación cualificado de firmas electrónicas cualificadas.
1. Solo puede prestar un servicio de validación cualificado de firmas electrónicas cualificadas el prestador cualificado de servicios de confianza que:
a) Realice la validación de conformidad con el artículo 47, apartado 1.
b) Permita que las partes usuarias reciban el resultado del proceso de validación de una manera automatizada que sea fiable, eficiente e incluya la firma electrónica o el sello electrónico del prestador cualificado de servicio de validación.
2. La Autoridad de Aplicación reglamentará normas relativas al servicio de validación cualificado a que se refiere el apartado 1. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste con lo dispuesto en él en dichas normas.
Artículo 49. Servicio cualificado de conservación de firmas electrónicas cualificadas.
1. Solo puede prestar un servicio cualificado de conservación de firmas electrónicas cualificadas el prestador cualificado de servicios de confianza que utilice procedimientos y tecnologías capaces de ampliar la fiabilidad de los datos de la firma electrónica cualificada más allá del período de validez tecnológico.
2. La Autoridad de Aplicación reglamentará normas relativas al servicio cualificado de conservación de firmas electrónicas cualificadas. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en el apartado 1 cuando los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas se ajusten a lo dispuesto en dichas normas.
Sección IX
Sello electrónico
Artículo 50. Efectos jurídicos del sello electrónico.
1. No se negarán efectos jurídicos ni admisibilidad en procedimientos privados, judiciales y administrativos a un sello electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos del sello electrónico cualificado.
2. Un sello electrónico cualificado garantiza y da certeza de la integridad de los datos y de la corrección del origen de los datos a los que el sello electrónico cualificado esté vinculado.
3. Cuando una transacción exija un sello electrónico cualificado de una persona jurídica, debe ser igualmente aceptable una firma electrónica cualificada del representante autorizado de la persona jurídica, sin embargo no debe ser aplicado a la inversa, donde se exija firma electrónica cualificada no podrá ser aceptado un sello electrónico cualificado.
4. Además de autenticar el documento expedido por la persona jurídica, los sellos electrónicos pueden utilizarse para autenticar cualquier activo digital de la persona jurídica, como programas informáticos o servidores, esta mención resulta meramente enunciativa más no limitativa.
Artículo 51. Sellos electrónicos en el ámbito de la Administración Pública.
1. La presente ley se aplica al uso de los sellos electrónicos en el seno de las administraciones públicas, sus organismos públicos y las entidades dependientes o vinculadas a las mismas y en las relaciones que mantengan aquéllas y éstos entre sí o con los particulares.
Las administraciones públicas, con el objeto de salvaguardar las garantías de cada procedimiento, pueden establecer condiciones adicionales a la utilización de los sellos electrónicos en los procedimientos.
2. Estas condiciones serán objetivas, proporcionadas, transparentes y no discriminatorias y no deben obstaculizar la prestación de servicios al ciudadano cuando intervengan distintas dependencias de la Administración Pública.
3. Las normas que establezcan condiciones generales adicionales para el uso del sello electrónico ante la Administración General del Estado, sus organismos públicos y las entidades dependientes o vinculadas a las mismas se dictarán a propuesta del Ministerio de Tecnologías de la Información y Comunicación (MITIC), para el impulso del Gobierno Electrónico.
4. La utilización de los sellos electrónicos en las comunicaciones que afecten a la información clasificada, a la seguridad pública o a la defensa nacional se regirán por su normativa específica.
Artículo 52. Certificados cualificados de sello electrónico.
1. Los certificados cualificados de sello electrónico cumplirán los requisitos establecidos en el artículo 53.
2. Los certificados cualificados de sello electrónico no están sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el artículo 53.
3. Los certificados cualificados de sello electrónico pueden incluir atributos específicos adicionales no obligatorios. Esos atributos no afectarán a la interoperabilidad y reconocimiento de los sellos electrónicos cualificados.
4. Si un certificado cualificado de sello electrónico ha sido revocado después de su activación inicial, pierde su validez desde el momento de su revocación y no puede en ninguna circunstancia recuperar su estado.
5. Según las condiciones expuestas a continuación, la Autoridad de Aplicación fijará normas sobre la suspensión temporal de certificados cualificados de sello electrónico:
a) Si un certificado cualificado de sello electrónico ha sido suspendido temporalmente, ese certificado pierde su validez durante el período de suspensión.
b) El período de suspensión se indicará claramente en la base de datos de certificados y el estado de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estado del certificado.
6. La Autoridad de Aplicación reglamentará normas relativas a los certificados cualificados de sello electrónico. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en el artículo 53 cuando un certificado cualificado de sello electrónico se ajuste a lo dispuesto en dichas normas.
Artículo 53. Requisitos de los certificados cualificados de sello electrónico.
Los certificados cualificados de sello electrónico contendrán:
a) Una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de sello electrónico.
b) Un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados, incluyendo como mínimo:
- Para personas jurídicas: el nombre y el número de registro único del contribuyente según conste en el documento respectivo.
- Para personas físicas: el nombre de la persona, el número de Documento de identidad o el número de registro único del contribuyente según conste en el documento respectivo.
c) Al menos, el nombre del creador del sello y el número de registro único del contribuyente según conste en el documento respectivo.
d) Los datos de validación del sello electrónico que correspondan a los datos de creación del sello electrónico.
e) Los datos relativos al inicio y final del período de validez del certificado.
f) El código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza.
g) La firma electrónica o el sello electrónico del prestador de servicios de confianza del expedidor.
h) El lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica o el sello a que se hace referencia en el inciso g).
i) La localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado.
j) Cuando los datos de creación del sello electrónico relacionados con los datos de validación del sello electrónico se encuentren en un dispositivo cualificado de creación de sellos electrónicos, una indicación adecuada de esto, al menos en una forma apta para el procesamiento automático.
Artículo 54. Dispositivos cualificados de creación de sello electrónico.
1. A los requisitos de los dispositivos cualificados de creación de sello electrónico, se aplicará lo dispuesto en el artículo 44.
2. A la certificación de los dispositivos cualificados de creación de sello electrónico, se aplicará lo dispuesto en el artículo 45.
3. A la publicación de una lista de dispositivos cualificados de creación de sello electrónico certificados, se aplicará lo dispuesto en el artículo 46.
Artículo 55. Validación y conservación de sellos electrónicos cualificados.
A la validación y conservación de los sellos electrónicos cualificados, se aplicarán las disposiciones de los artículos 47, 48 y 49.
Sección X
Sello de tiempo electrónico
Artículo 56. Efecto jurídico de los sellos de tiempo electrónicos.
1. No se negarán efectos jurídicos ni admisibilidad en procedimientos privados, judiciales y administrativos a un sello de tiempo electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos de sello cualificado de tiempo electrónico.
2. El sello cualificado de tiempo electrónico garantiza y da certeza de exactitud de la fecha y hora que indican y de la integridad de los datos a los que la fecha y hora estén vinculadas.
Artículo 57. Requisitos de los sellos cualificados de tiempo electrónicos.
1. Un sello cualificado de tiempo electrónico cumple los requisitos siguientes:
a) Vincular la fecha y hora con los datos de forma que se elimine razonablemente la posibilidad de modificar los datos sin que se detecte.
b) Basarse en una fuente de información temporal vinculada al Tiempo Universal Coordinado.
c) Haber sido firmada mediante el uso de una firma electrónica o sellada con un sello electrónico del prestador cualificado de servicios de confianza.
2. La Autoridad de Aplicación reglamentará normas relativas a la vinculación de la fecha y hora con los datos y a una fuente de información temporal exacta. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en el apartado 1 cuando la vinculación de la fecha y hora con los datos y la fuente de información temporal exacta se ajuste a dichas normas.
Sección XI
Servicio de entrega electrónica certificada
Artículo 58. Efecto jurídico de un servicio de entrega electrónica certificada.
1. A los datos enviados y recibidos mediante un servicio de entrega electrónica certificada no se les negarán efectos jurídicos, admisibilidad y fuerza probatoria en procedimientos privados, judiciales y administrativos por el mero hecho de que estén en formato electrónico o no cumplan los requisitos de servicio cualificado de entrega electrónica certificada.
2. Los datos enviados y recibidos mediante un servicio cualificado de entrega electrónica certificada garantiza y da certeza de la integridad de los datos, el envío de dichos datos por el remitente identificado, la recepción por el destinatario identificado y la exactitud de la fecha y hora de envío y recepción de los datos que indica el servicio cualificado de entrega electrónica certificada.
Artículo 59. Requisitos de los servicios cualificados de entrega electrónica certificada.
1. Los servicios cualificados de entrega electrónica certificada cumplen los requisitos siguientes:
a) Ser prestados por uno o más prestadores cualificados de servicios de confianza.
b) Asegurar con un alto nivel de fiabilidad la identificación del remitente.
c) Garantizar la identificación del destinatario antes de la entrega de los datos.
d) Estar protegidos el envío y recepción de datos por una firma electrónica o un sello electrónico de un prestador cualificado de servicios de confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte.
e) Indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos.
f) Indicar mediante un sello cualificado de tiempo electrónico la fecha y hora de envío, recepción y eventual modificación de los datos.
En caso de que los datos se transfieran entre dos o más prestadores cualificados de servicios de confianza, se aplicarán los requisitos establecidos en los incisos a) a f) a todos los prestadores cualificados de servicios de confianza.
2. La Autoridad de Aplicación reglamentará normas relativas a los procesos de envío y recepción de datos. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos se ajuste a dichas normas.
Sección XII
Autenticación de sitios web
Artículo 60. Servicios de autenticación de sitios web.
Proporcionan un medio por el que puede garantizarse a la persona que visita un sitio web que existe una entidad auténtica y legítima que respalda su existencia.
Los servicios de autenticación de sitios web de un prestador extranjero solamente se reconocerán como servicios cualificados de conformidad con la presente ley en caso de que se haya celebrado un acuerdo internacional.
Artículo 61. Requisitos de los certificados cualificados de autenticación de sitios web.
1. Los certificados cualificados de autenticación de sitios web contienen:
a) Una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de autenticación de sitio web.
b) Un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados.
- Para personas jurídicas: el nombre y, cuando proceda, el número de registro único del contribuyente según conste en el documento respectivo.
- Para personas físicas: el nombre de la persona, el número de documento de identidad o el número de registro único del contribuyente según conste en el documento respectivo.
c) Para personas físicas: al menos el nombre de la persona a la que se expida el certificado, o un seudónimo; si se usara un seudónimo, se indicará claramente.
Para personas jurídicas: al menos el nombre de la persona jurídica a la que se expida el certificado y, cuando proceda, el número de registro, tal como se recojan en los registros oficiales.
d) Elementos de la dirección, incluida al menos la ciudad y el país, de la persona física o jurídica a quien se expida el certificado, y, cuando proceda, según figure en los registros oficiales.
e) El nombre o los nombres de dominio explotados por la persona física o jurídica a la que se expida el certificado.
f) Los datos relativos al inicio y final del período de validez del certificado.
g) El código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza.
h) La firma electrónica o el sello electrónico del prestador de servicios de confianza expedidor.
i) El lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica o el sello electrónico a que se hace referencia en el inciso h).
j) La localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado.
2. La Autoridad de Aplicación reglamentará normas relativas a los certificados cualificados de autenticación de sitios web. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en el apartado 1 cuando un certificado cualificado de autenticación de sitios web se ajuste a dichas normas.
TíTULO TERCERO
DOCUMENTOS ELECTRÓNICOS
Sección I
Documentos electrónicos
Artículo 62. Efectos jurídicos y admisibilidad de los documentos electrónicos.
1. No se negarán efectos jurídicos ni admisibilidad en procedimientos privados, judiciales y administrativos a un documento electrónico por el mero hecho de estar en formato electrónico.
2. No se negarán efectos jurídicos, validez ni fuerza obligatoria a la información por la sola razón de que no esté contenida en el documento electrónico que se supone ha de dar lugar a este efecto jurídico, sino que figure simplemente en el documento electrónico en forma de remisión.
3. Cuando la ley requiera que la información conste por escrito, ese requisito quedará satisfecho con un documento electrónico si la información que este contiene es accesible para su ulterior consulta.
4. El párrafo 3 será aplicable tanto si el requisito en él previsto está expresado en forma de obligación como si la ley simplemente prevé consecuencias en el caso de que la información no conste por escrito.
5. Al valorar la fuerza probatoria de un documento electrónico se habrá de tener presente la fiabilidad de la forma en la que se haya generado, archivado o comunicado, la fiabilidad de la forma en la que se haya conservado la integridad de la información, la forma en la que se identifique a su remitente y cualquier otro factor pertinente.
Artículo 63. Soporte del documento electrónico.
1. El documento electrónico será soporte de:
a) Instrumentos públicos, por estar firmados electrónicamente conforme a las características establecidas en el Libro Segundo Capítulo III Sección II parágrafo I y II del Código Civil Paraguayo los cuales deben suscribirse mediante firma electrónica cualificada.
b) Instrumentos privados, firmados electrónicamente conforme a las características establecidas en el Libro Segundo Capítulo III Sección II parágrafo III del Código Civil Paraguayo en cuanto hayan sido suscritos con firma electrónica cualificada acreditarán la autenticidad de la firma y la identidad de su titular. Sin embargo, no harán fe respecto de su fecha, a menos que ésta conste a través de un sello electrónico de tiempo otorgado por un prestador cualificado de servicios de confianza.
2. El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en procedimientos judiciales y administrativos.
Artículo 64. Original.
1. Cuando la ley requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un documento electrónico:
a) Si existe alguna garantía fidedigna de que se ha conservado la integridad de la información a partir del momento en que se generó por primera vez en su forma definitiva, como documento electrónico o en alguna otra forma.
b) De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona a la que se deba presentar.
2. El párrafo 1 es aplicable tanto si el requisito en él previsto está expresado en forma de obligación como si la ley simplemente prevé consecuencias en el caso de que la información no sea presentada o conservada en su forma original.
3. Para los fines del inciso a) del párrafo 1:
a) La integridad de la información será evaluada conforme al criterio de que haya permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que sea inherente al proceso de su comunicación, archivo o presentación.
b) El grado de fiabilidad requerido será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias del caso.
Artículo 65. Copia electrónica.
1. Las copias realizadas por medios electrónicos de documentos electrónicos por los órganos competentes de la administración pública y judicial que las expiden, manteniéndose o no el formato original, tendrán la consideración de copias auténticas, siempre que el documento electrónico original se encuentre en poder de la administración pública o judicial donde haya sido originado o incorporado y que la información de firma electrónica y, en su caso, de sellado de tiempo permitan comprobar la coincidencia con dicho documento.
Si se alterase el formato original, deberá incluirse en los metadatos la condición de copia.
2. Las copias realizadas por órganos competentes de la administración pública y judicial, utilizando medios electrónicos, de documentos emitidos originalmente por ellas en soporte papel tendrán la consideración de copias auténticas siempre que la copia contenga una firma electrónica cualificada del responsable autorizado o en su caso el sello electrónico.
3. Los órganos competentes de la administración pública y judicial podrán obtener imágenes electrónicas de los documentos privados aportados por los ciudadanos, con su misma validez y eficacia, a través de procesos de digitalización certificada conforme a la presente ley.
4. Las copias realizadas en soporte papel de documentos judiciales o administrativos de documentos electrónicos y firmados electrónicamente por el responsable autorizado tendrán la consideración de copias auténticas, siempre que incluyan la impresión de un código seguro de verificación que permita contrastar su autenticidad mediante el acceso a los archivos electrónicos del órgano o entidad judicial o administrativo emisor.
Artículo 66. Conservación de los documentos electrónicos.
1. Cuando la ley requiera que ciertos documentos, registros o informaciones sean conservados, ese requisito quedará satisfecho mediante la conservación del documento electrónico, siempre que se cumplan las condiciones siguientes:
a) Que la información que contengan sea accesible para su ulterior consulta.
b) Que el documento electrónico sea conservado con el formato en que se haya generado, enviado o recibido o con algún formato que sea demostrable que reproduce con exactitud la información generada, enviada o recibida.
c) Que se conserve, de haber alguno, todo dato que permita determinar el origen y el destino del documento, y la fecha y la hora en que fue enviado o recibido.
2. La obligación de conservar ciertos documentos, registros o informaciones conforme con lo dispuesto en el apartado 1 no será aplicable a aquellos datos que tengan por única finalidad facilitar el envío o recepción del documento.
3. Toda persona podrá recurrir a los servicios de un tercero para observar el requisito mencionado en el párrafo 1, siempre que se cumplan las condiciones enunciadas en los incisos a), b) y c) del párrafo 1.
Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en el presente artículo cuando la conservación de los documentos electrónicos se ajuste a las normas conforme al artículo 77.
Artículo 67. Formación y validez de los contratos.
En la formación de un contrato, de no convenir las partes lo contrario, la oferta y su aceptación podrán ser expresadas por medio de un documento electrónico. No se negará validez o fuerza probatoria a un contrato por la sola razón de haberse utilizado en su formación un documento electrónico.
Sección II
Envío y recepción de los documentos electrónicos
Artículo 68. Reconocimiento por las partes de los documentos electrónicos.
En las relaciones entre el remitente y el destinatario de documentos electrónicos, no se negarán efectos jurídicos, validez o fuerza obligatoria a una manifestación de voluntad u otra declaración por la sola razón de haberse hecho en forma de documentos electrónicos.
Artículo 69. Atribución de los documentos electrónicos.
1. Un documento electrónico proviene del remitente si ha sido enviado por el propio remitente.
2. En las relaciones entre el remitente y el destinatario, se entenderá que un documento electrónico proviene del remitente si ha sido enviado:
a) Por alguna persona facultada para actuar en nombre del remitente respecto de ese documento electrónico; o,
b) Por un sistema de información programado por el remitente o en su nombre para que opere automáticamente.
3. En las relaciones entre el remitente y el destinatario, el destinatario tendrá derecho a considerar que un documento electrónico proviene del remitente y a actuar en consecuencia, cuando:
a) Para comprobar que el documento electrónico provenía del remitente, el destinatario haya aplicado adecuadamente un procedimiento aceptado previamente por el remitente con ese fin; o,
b) El documento electrónico que reciba el destinatario resulte de los actos de una persona cuya relación con el remitente, o con algún mandatario suyo, le haya dado acceso a algún método utilizado por el remitente para identificar un documento electrónico como propio.
4. El párrafo 3 no se aplica:
a) A partir del momento en que el destinatario haya sido informado por el remitente de que el documento electrónico no provenía del remitente y haya dispuesto de un plazo razonable para actuar en consecuencia; o,
b) En los casos previstos en el inciso b) del párrafo 3, desde el momento en que el destinatario sepa, o debiera saber de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que el documento electrónico no provenía del remitente.
5. Siempre que un documento electrónico provenga del remitente o que se entienda que proviene de él, o siempre que el destinatario tenga derecho a actuar con arreglo a este supuesto, en las relaciones entre el remitente y el destinatario, el destinatario tendrá derecho a considerar que el documento electrónico recibido corresponde al que quería enviar el remitente, y podrá actuar en consecuencia. El destinatario no gozará de este derecho si sabía, o hubiera sabido de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que la transmisión había dado lugar a algún error en el documento electrónico recibido.
6. El destinatario tendrá derecho a considerar que cada documento electrónico recibido es un documento electrónico separado y a actuar en consecuencia, salvo en la medida en que duplique otro documento electrónico, y que el destinatario sepa, o debiera saber de haber actuado con la debida diligencia o de haber aplicado algún método convenido, que el documento electrónico era un duplicado.
Artículo 70. Acuse de recibo.
1. Los párrafos 2 al 4, del presente artículo son aplicables cuando, al enviar o antes de enviar un documento electrónico, el remitente solicite o acuerde con el destinatario que se acuse recibo del documento electrónico.
2. Cuando el remitente no haya acordado con el destinatario que el acuse de recibo se dé en alguna forma determinada o utilizando un método determinado, se podrá acusar recibo mediante:
a) Toda comunicación del destinatario, automatizada o no; o,
b) Todo acto del destinatario, que baste para indicar al remitente que se ha recibido el documento electrónico.
3. Cuando el remitente haya indicado que los efectos del documento electrónico estarán condicionados a la recepción de un acuse de recibo, se considerará que el documento electrónico no ha sido enviado en tanto que no se haya recibido el acuse de recibo.
4. Cuando el remitente no haya indicado que los efectos del documento electrónico estarán condicionados a la recepción de un acuse de recibo, si no ha recibido acuse en el plazo fijado o convenido o no se ha fijado o convenido ningún plazo, en un plazo razonable el remitente:
a) Podrá dar aviso al destinatario de que no ha recibido acuse de recibo y fijar un plazo razonable para su recepción.
b) De no recibirse acuse dentro del plazo fijado conforme al inciso a), podrá, dando aviso de ello al destinatario, considerar que el documento electrónico no ha sido enviado o ejercer cualquier otro derecho que pueda tener.
5. Cuando el remitente reciba acuse de recibo del destinatario, se presumirá que éste ha recibido el documento electrónico correspondiente. Esa presunción no implicará que el documento electrónico corresponda al documento recibido.
6. Cuando en el acuse de recibo se indique que el documento electrónico recibido cumple con los requisitos técnicos convenidos o enunciados en alguna norma técnica aplicable, se presumirá que ello es así.
7. Salvo en lo que se refiere al envío o recepción del documento electrónico, el presente artículo no obedece al propósito de regir las consecuencias jurídicas que puedan derivarse de ese documento electrónico o de su acuse de recibo.
Artículo 71. Tiempo y lugar del envío y la recepción de un documento electrónico.
1. De no convenir lo contrario el remitente y el destinatario, el documento electrónico se tendrá por expedido cuando ingrese en un sistema de información que no esté bajo el control del remitente o de la persona que envió el documento electrónico en nombre del remitente.
2. De no convenir lo contrario el remitente y el destinatario, el momento de recepción de un documento electrónico se determinará como sigue:
a) Si el destinatario ha designado un sistema de información para la recepción del documento electrónico, la recepción tendrá lugar:
i) En el momento en que ingrese el documento electrónico en el sistema de información designado; o,
ii) De enviarse el documento electrónico a un sistema de información del destinatario que no sea el sistema de información designado, en el momento en que el destinatario recupere el documento electrónico.
b) Si el destinatario no ha designado un sistema de información, la recepción tendrá lugar al entrar el documento electrónico en un sistema de información del destinatario.
3. El párrafo 2 será aplicable aun cuando el sistema de información esté ubicado en un lugar distinto de donde se tenga por recibido el documento conforme al párrafo 4.
4. De no convenir lo contrario el remitente y el destinatario, el documento electrónico se tendrá por expedido en el lugar donde el remitente tenga su establecimiento y por recibido en el lugar donde el destinatario tenga el suyo. Para los fines del presente párrafo:
a) Si el remitente o el destinatario tienen más de un establecimiento, su establecimiento será el que guarde una relación más estrecha con la operación subyacente o, de no haber una operación subyacente, su establecimiento principal.
b) Si el remitente o el destinatario no tienen establecimiento, se tendrá en cuenta su lugar de residencia habitual.
Sección III
Digitalización certificada
Artículo 72. Disposiciones Generales.
1. El documento original en soporte papel reproducido en formato electrónico a través del procedimiento de digitalización certificada será considerado original y como consecuencia con valor probatorio como tal.
2. Cuando por mandato de una ley se establezca que un documento en formato papel deba ser conservado en el tiempo, se considerará satisfecho con un documento reproducido en formato electrónico a través del procedimiento de digitalización certificada ajustado a las disposiciones de los artículos 64 y 66 de la presente ley.
3. El documento así digitalizado permite prescindir del original en papel y habilita su destrucción siempre y cuando se cumpla con lo requerido en el numeral 2.
4. La Autoridad de Aplicación, reglamentará las condiciones para la destrucción de documentos originales en formato papel.
5. Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en la presente sección cuando la digitalización certificada se ajuste a las normas conforme al artículo 77.
Artículo 73. Exclusiones.
Los documentos científicos, históricos y culturales no pueden ser sustituidos mediante proceso de digitalización certificada.
Artículo 74. Requisitos de la digitalización certificada.
Este proceso de digitalización debe cumplir los siguientes requisitos:
a) Que el proceso de digitalización sea realizado por el propio responsable de la conservación del documento o bien por un tercero, en nombre y por cuenta de aquél, utilizando en ambos casos un software de digitalización certificada en los términos del inciso d) de este apartado.
b) Que el proceso de digitalización utilizado garantice la obtención de una imagen fiel e íntegra de cada documento digitalizado y que esta imagen digital sea firmada con firma electrónica cualificada o sello electrónico cualificado en base a un certificado electrónico instalado en el sistema de digitalización e invocado por el software de digitalización certificada. Este certificado debe corresponder al responsable de la conservación del documento cuando la digitalización certificada se realice por el mismo o al prestador de servicios de confianza en otro caso. Uno u otro, según corresponda, deberá disponer de los procedimientos y controles necesarios para garantizar la fidelidad del proceso de digitalización certificada.
c) Que el resultado de la digitalización certificada se organice en torno a una base de datos documental y que por cada documento digitalizado se conserve un campo en el que se contenga la imagen binaria del documento digitalizado o que enlace al archivo que la contenga, en ambos casos con la firma electrónica cualificada de la imagen del documento conforme a como se indica en el inciso b).
d) Que el responsable de la conservación disponga del software de digitalización certificada con las siguientes funcionalidades:
i) Firma de la base de datos que garantice la integridad de datos.
ii) Acceso completo y sin demora injustificada a la base de datos. A estos efectos, se entiende por acceso completo aquel que posibilite una consulta en línea a los datos que permita la visualización de los documentos con todo el detalle de su contenido, la búsqueda selectiva, la copia o descarga en línea en los formatos originales y la impresión a papel de aquellos documentos que sean necesarios a los efectos de la verificación o documentación de las actuaciones de control.
iii) Las entidades desarrolladoras deberán homologar su software de digitalización ante la Autoridad de Aplicación.
Sección IV
Expediente electrónico
Validez jurídica y valor probatorio
Artículo 75.
1. En todo proceso privado, judicial y administrativo podrá utilizarse el expediente electrónico con idéntica validez jurídica y valor probatorio que el expediente convencional.
2. En la tramitación del expediente electrónico podrá utilizarse documento electrónico, firma electrónica, sistemas de información electrónica, domicilio electrónico, siendo esta enumeración meramente enunciativa más no limitativa.
3. El expediente electrónico podrá ser mixto, compuesto por documentos de archivo electrónicos y tradicionales, relacionados entre sí, y conservados en parte en soporte electrónico y en parte como expediente tradicional.
Artículo 76. Condiciones mínimas del expediente electrónico.
El expediente electrónico deberá cumplir con las siguientes condiciones:
1. Asignar un número de identificación general a aquellos documentos que puedan generar un nuevo procedimiento, que será único e inalterable a lo largo de todo el proceso, permitiendo su identificación unívoca por cualquier órgano del ámbito judicial o administrativo en un entorno de intercambio de datos.
2. El foliado del expediente electrónico se lleva a cabo mediante un índice electrónico, que contenga una firma electrónica cualificada del responsable de la conservación del expediente o en su caso su sello electrónico cualificado, emitidos por un prestador de servicios de confianza. Este índice debe garantizar la integridad del expediente electrónico y permitir su recuperación siempre que sea preciso, siendo admisible que un mismo documento forme parte de distintos expedientes electrónicos.
3. La remisión de expedientes se sustituye a todos los efectos legales por la puesta a disposición del expediente electrónico, teniendo derecho a obtener copia electrónica del mismo todos aquellos que formen parte del procedimiento en los que tengan la condición de parte.
Se tendrá por acreditada la autenticidad y el cumplimiento de los requisitos establecidos en la presente sección cuando el expediente electrónico se ajuste a las normas conforme al artículo 77.
Artículo 77. Reglamentación del Título Tercero.
La Autoridad de Aplicación debe de reglamentar las normas relativas a los procesos para la implementación e impulso de las disposiciones establecidas en el presente título.
Título CUARTO
DOCUMENTO TRANSMISIBLE ELECTRÓNICO
Sección I
Disposiciones Generales
Artículo 78. Alcance.
Salvo en los casos previstos en la presente ley, nada de lo dispuesto en ella afectará a la aplicación a los documentos transmisibles electrónicos de norma de derecho alguna que rija los documentos o títulos transmisibles emitidos en papel, incluidas las normas jurídicas aplicables a la protección del consumidor.
Artículo 79. Reconocimiento jurídico de un documento transmisible electrónico.
1. No se negarán efectos jurídicos, validez ni fuerza ejecutoria a un documento transmisible electrónico por la sola razón de que esté en forma electrónica.
2. Nada de lo dispuesto en la presente ley obligará a persona alguna a utilizar un documento transmisible electrónico sin su consentimiento.
3. El consentimiento de una persona para que se utilice un documento transmisible electrónico podrá inferirse de su conducta.
Artículo 80. Exclusiones.
Las disposiciones previstas para los documentos transmisibles electrónicos no se aplican a los títulos valores de oferta pública ni a otros instrumentos de inversión.
Artículo 81. Requisitos de información.
Nada de lo dispuesto en la presente ley afectará a la aplicación de norma jurídica alguna que pudiera obligar a una persona a revelar su identidad, la ubicación de su establecimiento u otra información, ni eximirá de consecuencias jurídicas a ninguna persona que haga a ese respecto declaraciones inexactas, incompletas o falsas.
Artículo 82. Información adicional contenida en un documento transmisible electrónico.
Nada de lo dispuesto en la presente ley excluye la posibilidad de incluir en un documento transmisible electrónico otra información además de la que figure en un documento o título transmisible emitido en papel.
Sección II
Disposiciones sobre equivalencia funcional
Artículo 83. Constancia por escrito.
Cuando la ley requiera que la información conste por escrito, ese requisito se dará por cumplido respecto de un documento transmisible electrónico si la información contenida en él es accesible para su ulterior consulta.
Artículo 84. Firma.
Cuando la ley requiera o permita la firma de una persona, ese requisito se dará por cumplido en relación con un documento transmisible electrónico si está suscripto con una firma electrónica cualificada para indicar la voluntad que tiene esa persona respecto de la información contenida en el documento transmisible electrónico.
Artículo 85. Documentos o títulos transmisibles emitidos en papel.
1. Cuando la ley requiera que se utilice un documento o título transmisible emitido en papel, ese requisito se cumple con un documento electrónico si:
a) El documento electrónico contiene la información que sería obligatorio consignar en un documento o título transmisible emitido en papel.
b) Se utiliza un método fiable que permita:
i) Determinar que ese documento electrónico es el documento transmisible electrónico.
ii) Lograr que ese documento electrónico pueda ser objeto de control desde su creación hasta que pierde toda validez o eficacia.
iii) Mantener la integridad de ese documento electrónico.
2. El criterio para evaluar la integridad consistirá en determinar si la información contenida en el documento transmisible electrónico, incluido todo cambio autorizado que se realice desde su creación hasta que pierda toda validez o eficacia, se ha mantenido completa y sin alteraciones que no sean algún cambio sobrevenido en el curso normal de su comunicación, archivo o presentación.
Artículo 86. Control.
1. Cuando la ley requiera o permita la posesión de un documento o título transmisible emitido en papel, ese requisito se dará por cumplido respecto de un documento transmisible electrónico si se utiliza un método fiable:
a) Para determinar que ese documento transmisible electrónico está bajo el control exclusivo de una persona.
b) Para identificar a esa persona como la persona que tiene el control.
2. Cuando la ley requiera o permita que se transfiera la posesión de un documento o título transmisible emitido en papel, ese requisito se cumplirá con respecto a un documento transmisible electrónico mediante la transferencia del control de ese documento transmisible electrónico.
Sección III
Utilización de documentos transmisibles electrónicos
Artículo 87. Norma de fiabilidad general.
1. A los efectos de lo dispuesto en los artículos 84, 85, 86, 88, 91, 92 y 93 el método mencionado debe:
a) Ser tan fiable como sea apropiado para cumplir la función para la cual se utiliza, atendidas todas las circunstancias del caso, mencionadas a continuación:
i) Norma operacional establecida por la Autoridad de Aplicación que sea pertinente para evaluar la fiabilidad.
ii) La garantía de la integridad de los datos.
iii) La capacidad de impedir el acceso no autorizado al sistema y su uso no autorizado.
iv) La seguridad de los equipos y programas informáticos.
v) La periodicidad y el alcance de las auditorías realizadas por un órgano independiente autorizado por la Autoridad de Aplicación.
vi) Respecto de la fiabilidad del método, la existencia de una declaración de un órgano de supervisión y un órgano de acreditación establecidos por la Autoridad de Aplicación.
vii) Cualquier norma aplicable del sector; o,
b) Haber demostrado en la práctica que, por sí solo o con el respaldo de otras pruebas, ha cumplido su función.
2. La Autoridad de Aplicación debe reglamentar las normas relativas a la fiabilidad. Se tendrá por acreditado el cumplimiento de los requisitos establecidos en la presente sección cuando el proceso de fiabilidad se ajuste con lo dispuesto en dichas normas.
Artículo 88. Indicación de la fecha y hora y el lugar en los documentos transmisibles electrónicos.
Cuando la ley requiera o permita que se indique la fecha y hora o el lugar con respecto a un documento o título transmisible emitido en papel, ese requisito se dará por cumplido si se utiliza un sello electrónico de tiempo otorgado por un prestador cualificado de servicios de confianza y un método fiable para indicar el lugar con respecto a un documento transmisible electrónico.
Artículo 89. Establecimiento.
1. Un lugar no constituye un establecimiento por el mero hecho de que sea el lugar:
a) Donde estén ubicados el equipo y las tecnologías que sirvan de soporte al sistema de información utilizado por una de las partes en relación con los documentos transmisibles electrónicos; o,
b) Donde otras partes puedan acceder a ese sistema de información.
2. El mero hecho de que una parte haga uso de una dirección de correo electrónico o de otro elemento de un sistema de información vinculados a determinado país no crea la presunción de que su establecimiento se encuentra en ese país.
Artículo 90. Endoso.
Cuando la ley requiera o permita que se endose de alguna manera un documento o título transmisible emitido en papel, ese requisito se dará por cumplido respecto de un documento transmisible electrónico si la información exigida para el endoso está incluida en él y esa información cumple los requisitos establecidos en los artículos 83 y 84.
Artículo 91. Modificación.
Cuando la ley requiera o permita que se modifique un documento o título transmisible emitido en papel, ese requisito se dará por cumplido respecto de un documento transmisible electrónico si para modificar la información contenida en él se utiliza un método fiable que permita distinguir como tal la información modificada.
Artículo 92. Sustitución de un documento o título transmisible emitido en papel por un documento transmisible electrónico.
1. Un documento o título transmisible emitido en papel puede sustituirse por un documento transmisible electrónico si se utiliza un método fiable a los efectos del cambio de soporte.
2. Para que el cambio de soporte surta efecto, en el documento transmisible electrónico se insertará una nota que indique que se ha cambiado el soporte.
3. En el momento de emitirse el documento transmisible electrónico de conformidad con los numerales 1 y 2, se dejará sin efecto el documento o título transmisible emitido en papel, el cual perderá toda eficacia y validez.
4. Los cambios de soporte que se realicen con arreglo a lo dispuesto en los párrafos 1 y 2 no afectarán a los derechos y obligaciones de las partes.
Artículo 93. Sustitución de un documento transmisible electrónico por un documento o título transmisible emitido en papel.
1. Un documento transmisible electrónico puede sustituirse por un documento o título transmisible emitido en papel si se utiliza un método fiable a los efectos del cambio de soporte.
2. Para que el cambio de soporte surta efecto, en el documento o título transmisible emitido en papel se insertará una nota que indique que se ha cambiado el soporte.
3. En el momento de emitirse el documento o título transmisible en papel de conformidad con los párrafos 1 y 2, se dejará sin efecto el documento transmisible electrónico, el cual perderá toda eficacia y validez.
4. Los cambios de soporte que se realicen con arreglo a lo dispuesto en los párrafos 1 y 2 no afectarán a los derechos y obligaciones de las partes.
Artículo 94. No discriminación de los documentos transmisibles electrónicos extranjeros.
1. No se negarán efectos jurídicos, validez ni fuerza ejecutoria a un documento transmisible electrónico por la sola razón de que se haya emitido o utilizado en el extranjero.
2. Nada de lo dispuesto en la presente ley afecta a la aplicación a los documentos transmisibles electrónicos de las normas del derecho internacional privado que rigen los documentos o títulos transmisibles emitidos en papel.
Artículo 95. Órgano de supervisión y acreditación.
Créase el órgano de Supervisión y Acreditación, conforme a las disposiciones de la presente ley.
La Autoridad de Aplicación debe reglamentar los procedimientos y requerimientos técnicos para la implementación e impulso de las disposiciones establecidas en el presente título.
Título QUINTO
AUTORIDAD DE APLICACIÓN
Artículo 96. Autoridad de Aplicación.
Será Autoridad de Aplicación de la presente ley el Ministerio de Industria y Comercio (MIC), a través de la Dirección General de Firma Digital y Comercio Electrónico dependiente del Viceministerio de Comercio y Servicios, el cual está facultado a conformar un organismo de composición mixta público privado para el mejor cumplimiento de sus funciones y de las disposiciones establecidas en la presente ley.
A partir de la promulgación de la presente ley la Dirección General de Firma Digital y Comercio Electrónico pasará a denominarse Dirección General de Comercio Electrónico.
La Autoridad de Aplicación dispondrá de recursos que provendrán de los fondos que sean asignados anualmente en el Presupuesto General de la Nación para el ejercicio de sus funciones, estos fondos no podrán ser utilizados para fines distintos a los previstos en la presente ley.
Artículo 97. Infraestructura de Clave Pública del Paraguay.
Créase la Infraestructura de Clave Pública del Paraguay (ICPP), para garantizar la autenticidad, integridad y validez jurídica de los documentos en forma electrónica que utilicen certificados digitales así como la realización de transacciones electrónicas seguras. La Infraestructura de Clave Pública del Paraguay (ICPP), tiene prohibido emitir claves criptográficas y certificados electrónicos a la parte usuaria de un servicio de confianza cualificado.
Su estructura y organización será reglamentada por la Autoridad de Aplicación.
Artículo 98. Funciones de la Autoridad de Aplicación.
Serán funciones del Ministerio de Industria y Comercio (MIC), sin perjuicio de las funciones específicas del mismo, en su carácter de Autoridad de Aplicación de la presente ley:
a) Dictar las normas reglamentarias y de aplicación de la presente ley.
b) Velar por el cabal cumplimiento de las disposiciones legales y reglamentarias vigentes conforme al ámbito de su competencia.
c) Imponer sanciones por infracciones previstas en la presente ley.
d) Instrumentar acuerdos nacionales e internacionales.
e) Fomentar y llevar a cabo por sí o a través de terceros, estudios e investigaciones para el país en el ámbito de su competencia.
f) Representar al Paraguay, en conjunto con el Ministerio de Relaciones Exteriores (MRE), en convenios, acuerdos, tratados y actos en el ámbito de su competencia.
g) Desempeñar las funciones atribuidas al Organismo de Supervisión establecidas en los artículos 16, 17 y 18 de la presente ley.
h) Desempeñar las funciones asignadas al Organismo de Evaluación de la conformidad según lo dispuesto en la Sección III y Sección V del Título Segundo de la presente ley.
i) Desempeñar las funciones asignadas al Órgano de Supervisión y Acreditación según lo dispuesto en el Título Cuarto de la presente ley.
j) Administrar la Infraestructura de Clave Pública del Paraguay (ICPP).
k) Ser la fuente confiable de tiempo para la infraestructura del servicio de sello electrónico de tiempo ejerciendo las competencias resultantes del mismo.
l) Establecer y ejecutar políticas, procedimientos, estándares técnicos y operativos para la realización de sus actividades en el ámbito de su competencia.
m) Actualizar, ajustar y revisar los procedimientos y las prácticas operacionales establecidas, garantizando su compatibilidad y promoviendo la actualización tecnológica y su conformidad con las normas de seguridad.
n) Definir y administrar los diversos identificadores de objeto, en el ámbito de la Infraestructura de Clave Pública del Paraguay (ICPP).
ñ) Establecer la estructura organizacional y funcional para el cumplimiento de las disposiciones del Título Segundo y Título Cuarto de la presente ley.
Artículo 99. De las tasas.
Facúltase al Ministerio de Industria y Comercio (MIC), a percibir tasas por la prestación de servicios y la realización de actividades comprendidas en el ámbito de su competencia y en las condiciones previstas por la presente ley, las cuales serán ajustadas a las formas previstas en la reglamentación correspondiente.
Las tasas establecidas serán ajustadas a un valor máximo que no podrá exceder los sesenta jornales mínimos diarios para actividades diversas no especificadas. El Ministerio de Industria y Comercio (MIC), publicará anualmente por medios oficiales el cuadro de valores correspondientes a las tasas, las cuales podrán ser actualizadas de acuerdo con la variación de precios al consumidor (IPC) publicadas por el Banco Central del Paraguay (BCP), en el año respectivo y entrarán en vigencia a partir del uno de enero de cada año. Los ingresos provenientes del pago de tasas por la prestación de servicios, pasarán a formar parte del presupuesto destinado a la Dirección General de Firma Digital y Comercio Electrónico, en adelante Dirección General de Comercio Electrónico. Estos recursos no podrán ser utilizados para fines distintos.
TíTULO SEXTO
DISPOSICIONES FINALES
Artículo 100. De los prestadores de servicios de certificación.
El prestador de servicios de certificación habilitado por leyes anteriores será reconocido como prestador cualificado de servicios de confianza únicamente para prestar el servicio de creación, verificación y validación de firmas electrónicas cualificadas. Para la prestación de otros servicios cualificados de confianza previstos en la presente ley deberán solicitar la concesión de la cualificación respectiva.
Artículo 101. De las resoluciones administrativas o judiciales.
En las resoluciones administrativas o judiciales, la firma electrónica cualificada del funcionario pertinente en un documento electrónico es suficiente para garantizar la identidad del signatario, la autenticidad de la firma y la integridad del contenido del documento.
En consecuencia, se prescinde de la refrenda del fedatario correspondiente, cuya función es suplida por el proceso de validación cualificado de firmas electrónicas cualificadas.
Artículo 102. De las notificaciones judiciales.
En el marco de los procesos judiciales tramitados electrónicamente, aquellas notificaciones que conforme al artículo 133 del Código Procesal Civil, deban ser realizadas en el domicilio del interesado, quedarán cumplidas con el diligenciamiento de la cédula de notificación electrónica depositada en el domicilio electrónico.
El plazo empezará a correr desde el día hábil siguiente de su depósito en la bandeja correspondiente, haya o no el destinatario accedido a la misma.
Los casos en que los diligenciamientos de las cédulas de notificación deban de ser realizados en formato electrónico o papel, serán regulados por la Corte Suprema de Justicia (CSJ).
Artículo 103. Derogación.
Quedan derogadas todas las disposiciones de la Ley N° 4.017/2010 “de validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico”, la Ley N° 4610/2012 “que modifica y amplIa la ley Nº 4017/10 ‘de validez jurídica de la firma electrónica, la firma digital, los mensajes de datos y el expediente electrónico” y todas aquellas que se opongan a la presente ley.
Artículo 104. Vigencia.
La presente ley entrará en vigencia a partir de los cuatro meses de su promulgación.
Artículo 105. Comuníquese al Poder Ejecutivo.
Aprobado el Proyecto de Ley por la Honorable Cámara de Diputados, a los quince días del mes de junio del año dos mil veintiuno, y por la Honorable Cámara de Senadores, a los dieciséis días del mes de setiembre del año dos mil veintiuno, queda sancionado, de conformidad con lo dispuesto en el artículo 207 numeral 2) de la Constitución Nacional. Objetado parcialmente por el Poder Ejecutivo según Decreto N° 6176 del veintisiete de octubre del año dos mil veintiuno. Aceptada la objeción parcial y sancionada la parte no objetada por la Honorable Cámara de Diputados, a un día del mes de diciembre del año dos mil veintiuno, y por la Honorable Cámara de Senadores, a los dieciséis días del mes de diciembre del año dos mil veintiuno, de conformidad con lo establecido en el artículo 208 de la Constitución Nacional.