lo26071011

Llei 35/2014, del 27 de novembre, de serveis de confiança electrònica
Atès que el Consell General en la seva sessió del dia 27 de novembre del 2014 ha aprovat la següent:
llei 35/2014, del 27 de novembre, de serveis de confiança electrònica
Exposició de motius
Una de les necessitats essencials en tota societat desenvolupada a fi d’afavorir el desenvolupament econòmic és la creació de confiança electrònica en l’espai digital. De fet, la manca de confiança electrònica en aquest àmbit propicia que els consumidors, les empreses i les administracions dubtin a l’hora d’executar transaccions per mitjans electrònics i adoptar nous serveis.
En aquest sentit, el marc jurídic que es proposa mitjançant aquesta Llei té per objecte establir interaccions electròniques segures entre els ciutadans, les empreses, i l’Administració pública, per tal d’augmentar l’eficiència de les activitats públiques i privades que es duen a terme en un espai digital, així com els negocis i el comerç electrònics, no només al Principat d’Andorra, sinó també considerant la perspectiva de la Unió Europea, amb la intenció d’avançar en una convergència desitjable.
La legislació fins ara vigent en la matèria, és a dir, la Llei 6/2009, del 29 de desembre, de signatura electrònica, es referia gairebé exclusivament a la signatura electrònica, sense preveure la resta de serveis de confiança electrònica. Pel que fa a la signatura electrònica, aquesta Llei substitueix la legislació fins ara vigent, per la qual cosa deroga, en particular, la referida Llei 6/2009.
A partir de l’experiència en la implantació de la certificació electrònica s’ha palesat la necessitat de disposar d’una nova Llei que permeti aquesta implantació d’una manera eficient. Aquest text, doncs, amplia el rang de serveis de confiança electrònica, entre d’altres, als serveis electrònics relatius a la creació, verificació i validació de les signatures electròniques, els segells electrònics, les marques de temps electròniques, els documents electrònics, el lliurament electrònic, l’autenticació de llocs web i la provisió de certificats electrònics i xifratge.
En tots els casos, la finalitat de la legislació és, de forma clara, contribuir a generar un elevat marc de seguretat jurídica en suport de les transaccions, públiques i privades, mitjançant les garanties dels serveis de confiança electrònica.
Els serveis de confiança electrònica, en especial quan són qualificats, permeten garantir l’autenticitat, de forma que es pot determinar que els documents i les informacions es poden vincular a la persona que els autoritza, mitjançant la signatura o el segell electrònics; la integritat, de forma que aquests documents i informacions no es poden modificar sense que la modificació sigui detectada; la irrefutabilitat o no rebuig de les declaracions contingudes en els documents i informacions signades o segellades, així com la seva remissió o recepció; i finalment, la data i l’hora en la qual existeixen els documents i les informacions.
Així mateix, el marc transfronterer per garantir la seguretat, la fiabilitat i la facilitat de les transaccions electròniques s’ha d’equiparar a les regulacions dels països que formen part de l’òrbita econòmica d’Andorra, amb la finalitat de facilitar els acords i el reconeixement en la matèria.
En conseqüència, també és objectiu d’aquesta Llei adequar la legislació existent i ampliar-la, incloent-hi altres serveis de confiança electrònica connexos essencials, perquè els ciutadans, les empreses, i les administracions, han de poder beneficiar-se d’aquest reconeixement i de l’acceptació mutus a través de les fronteres quan resulti necessari per a l’accés i la realització de procediments o transaccions electrònics.
A partir d’aquestes premisses, la Llei s’estructura en cinc capítols. El primer capítol inclou les disposicions generals. El segon capítol es refereix als serveis de confiança electrònica, amb especial incidència en la signatura electrònica i el nou segell electrònic, que substitueix la signatura electrònica de les persones jurídiques, però també les marques de temps electròniques, els certificats electrònics d’autenticació de llocs web i el servei de lliurament electrònic. El capítol tercer s’ocupa del document electrònic i la digitalització. El capítol quart versa sobre la prestació de serveis de confiança electrònica, això són els prestadors de serveis de confiança electrònica i la supervisió i el control dels serveis de confiança electrònica. Per acabar, el capítol cinquè determina el règim sancionador.
La Llei també consta d’una disposició derogatòria i una disposició final.
Capítol primer. Disposicions generals
Article 1
Objecte de la Llei
L’objecte d’aquesta Llei és:
a) Regular els efectes jurídics de les signatures electròniques, els segells electrònics, les marques de temps electròniques, els certificats electrònics d’autenticació de lloc web i els serveis de lliurament electrònics.
b) Establir un règim jurídic dels prestadors de serveis de confiança electrònica i de la seva activitat, les condicions de supervisió i el règim de sancions i infraccions.
c) Establir les condicions en què Andorra reconeix l’eficàcia, en el seu territori, dels serveis de confiança electrònica prestats pels prestadors de serveis de confiança electrònica estrangers.
Article 2
Àmbit d’aplicació
1. Aquesta Llei és d’aplicació als prestadors de serveis de confiança electrònica establerts a Andorra i als serveis prestats a través d’un establiment permanent al país.
S’entén que un prestador està establert a Andorra, quan el lloc en el qual estigui efectivament centralitzada la gestió administrativa i la direcció dels seus negocis es trobi en el territori andorrà. A tals efectes, es presumeix, llevat prova del contrari, que la gestió administrativa i la direcció dels negocis d’un prestador es troba centralitzada en el territori d’Andorra quan l’esmentat prestador té la seva residència habitual o el seu domicili registral a Andorra, o quan s’ha inscrit en el Registre de Societats o en un altre registre públic d’Andorra en què fos necessària la inscripció per a l’adquisició de la personalitat jurídica.
Es considera que un prestador actua mitjançant un establiment permanent situat a Andorra, quan disposa en el mateix, de forma continuada o habitual, d’instal·lacions o de llocs de treball en els quals realitza tota o una part de la seva activitat.
La utilització de mitjans tecnològics situats a Andorra per a la prestació o l’accés als serveis, no serveix, per si sola, com a criteri per a determinar l’establiment a Andorra de l’operador.
2. Aquesta Llei no s’aplica a la prestació de serveis de confiança electrònica oferts dins d’un sistema tancat, establert per disposició d’una llei o d’acord amb un contracte, quan s’ofereixin a un conjunt definit de participants i els utilitzin exclusivament entre ells sense que tinguin efectes en tercers.
3. Les disposicions d’aquesta Llei no modifiquen els requisits aplicables a la formalització, la validesa i l’eficàcia dels negocis i els actes jurídics, ni dels documents en què constin. Tampoc no modifiquen les normes aplicables en matèria de protecció dels consumidors i usuaris, ni de comerç.
Article 3
Definicions
A efectes d’aquesta Llei, s’apliquen les definicions següents:
1. «Autenticació»: procés electrònic que permet la validació de la identificació electrònica d’una persona física o jurídica, o l’origen i la integritat d’una dada electrònica.
2. «Certificat electrònic»: declaració electrònica que vincula les dades de validació d’una signatura o un segell electrònics d’una persona física o jurídica, respectivament, amb el certificat, i confirma les dades d’aquesta persona.
3. «Certificat electrònic qualificat d’autenticació de lloc web»: declaració que permet autenticar un lloc web i vincular-lo amb la persona a qui s’ha expedit el certificat electrònic per part d’un prestador de serveis de confiança electrònica qualificat que compleix els requisits que estableix aquesta Llei.
4. «Certificat electrònic qualificat de segell electrònic»: declaració que s’utilitza per donar suport a un segell electrònic expedit per un prestador de serveis de confiança electrònica qualificat i que compleix els requisits que estableix l’article 8.
5. «Certificat electrònic qualificat de signatura electrònica»: declaració que s’utilitza per donar suport a les signatures electròniques expedida per un prestador de serveis de confiança electrònica qualificat i que compleix els requisits que estableix l’article 6.
6. «Creador d’un segell»: persona jurídica que crea un segell electrònic.
7. «Dades de creació de la signatura electrònica»: dades úniques que utilitza el signatari per crear una signatura electrònica.
8. «Dades de creació del segell electrònic»: dades úniques que utilitza el creador del segell electrònic per crear-lo.
9. «Dades de validació»: dades utilitzades per validar una signatura electrònica o un segell electrònic.
10. «Dades de verificació de signatura i segell electrònics»: dades que s’utilitzen per verificar la signatura electrònica i el segell electrònic.
11. «Digitalització»: procés tecnològic que permet l’obtenció d’un o diversos fitxers electrònics que contenen la imatge codificada, fidel i íntegra d’un document en suport paper a través de tècniques fotoelèctriques d’escaneig o qualsevol altre que pugui existir. Aquest fitxer està format per la imatge electrònica obtinguda, les seves metadades i, si escau, la signatura o el segell electrònics associats al procés de digitalització.
12. «Dispositiu de creació de signatures i segells electrònics»: equip o programa informàtic configurat per crear una signatura o un segell electrònics.
13. «Dispositiu de creació de signatures i segells electrònics qualificats»: dispositiu de creació de signatures i segells electrònics que compleix els requisits enumerats en l’article 10.
14. «Document electrònic»: tot contingut emmagatzemat en format electrònic, en particular, text o registre sonor, visual o audiovisual.
15. «Estàndards»: normes o especificacions tècniques d’aplicació voluntària que resulten aplicables a una matèria determinada.
16. «Expedient electrònic»: conjunt de documents electrònics corresponent a un procediment administratiu, sigui quin sigui el tipus d’informació que continguin.
17. «Identificació electrònica»: procés d’ús de les dades d’identificació d’una persona en forma electrònica que representen inequívocament una persona física o jurídica.
18. «Interoperabilitat»: capacitat dels sistemes d’informació, i per tant dels procediments als quals aquests sistemes donen suport, de compartir dades i possibilitar l’intercanvi d’informació i coneixement entre ells.
19. «Marca de temps electrònica»: dades en forma electrònica que vinculen altres dades electròniques amb un instant concret i aporten la prova que aquestes dades existien en aquest instant.
20. «Marca de temps electrònica qualificada»: marca de temps electrònica que compleix els requisits que estableix l’article 18.
21. «Metadada»: qualsevol tipus d’informació en forma electrònica associada als documents electrònics, de caràcter instrumental i independent del seu contingut, destinada al coneixement immediat i automatitzable d’alguna de les seves característiques, amb la finalitat de garantir la disponibilitat, l’accés, la conservació i la interoperabilitat del mateix document.
22. «Mitjà electrònic»: mecanisme, instal·lació, equip o sistema que permet produir, emmagatzemar o transmetre documents, dades i informacions; inclou qualssevol xarxes de comunicació obertes o restringides com Internet, telefonia fixa i mòbil o d’altres.
23. «Números de referència de normes»: referències numèriques mitjançant les quals s’identifica una norma tècnica de possible aplicació.
24. «Producte»: equip o programa informàtic, o components que hi pertanyen, destinats a ser utilitzats per a la prestació de serveis de confiança electrònica.
25. «Prestador de serveis de confiança electrònica»: persona física o jurídica que presta un o més serveis de confiança electrònica.
26. «Prestador de serveis de confiança electrònica qualificat»: prestador de serveis de confiança electrònica que compleix els requisits establerts en aquesta Llei.
27. «Segell electrònic»: dades en forma electrònica annexades a altres dades electròniques, o que s’hi associen de manera lògica, per garantir l’origen i la integritat de les dades associades.
28. «Segell electrònic avançat»: segell electrònic que compleix els requisits següents:
a) Estar vinculat al creador del segell de manera única.
b) Permetre la identificació del creador del segell.
c) Haver estat creat utilitzant dades de creació del segell electrònic, les quals el creador del segell pot utilitzar per crear un segell electrònic, amb un alt nivell de confiança electrònica, sota el seu control exclusiu.
d) Estar vinculat amb les dades a què es refereix de manera que qualsevol modificació ulterior sigui detectable.
29. «Segell electrònic qualificat»: segell electrònic avançat que es crea mitjançant un dispositiu de creació de segells electrònics qualificats i que es basa en un certificat electrònic qualificat de segell electrònic.
30. «Serveis de confiança electrònica»: serveis electrònics relatius a la creació, verificació i validació de les signatures electròniques, els segells electrònics, les marques de temps electròniques, els documents electrònics, el lliurament electrònic, l’autenticació de llocs web i la provisió de certificats electrònics i xifratge, inclosos els certificats electrònics de signatura electrònica i de segell electrònic.
31. «Servei de confiança electrònica qualificat»: servei de confiança electrònica que compleix els requisits aplicables que preveu aquesta Llei.
32. «Servei de lliurament electrònic certificat»: servei que permet transmetre dades entre parts terceres per mitjans electrònics i aporta proves relacionades amb la gestió de les dades transmeses, inclosa la prova de l’enviament i la recepció de les dades, i que protegeix les dades transmeses enfront dels riscos de pèrdua, robatori, deterioració o alteració no autoritzada.
33. «Seu electrònica»: adreça electrònica disponible per als ciutadans a través de xarxes de telecomunicacions la titularitat, la gestió i l’administració de la qual correspon a una administració pública, un òrgan o una entitat administrativa en l’exercici de les seves competències.
34. «Signatari»: persona física que crea una signatura electrònica.
35. «Signatura electrònica»: dades en forma electrònica annexades a altres dades electròniques o associades de manera lògica amb les que utilitza el signatari per signar.
36. «Signatura electrònica avançada»: signatura electrònica que reuneix els requisits següents:
a) Estar vinculada al signatari de manera única.
b) Permetre la identificació del signatari.
c) Haver estat creada utilitzant dades de creació de la signatura electrònica que el signatari pot utilitzar, amb un alt nivell de confiança electrònica, sota el seu control exclusiu.
d) Estar vinculada amb les dades a què es refereix de manera que qualsevol modificació ulterior sigui detectable.
37. «Signatura electrònica qualificada»: signatura electrònica avançada que reuneix els requisits següents:
a) Haver estat creada mitjançant un dispositiu de creació de signatures electròniques qualificat.
b) Estar basada en un certificat electrònic qualificat de signatura electrònica.
38. «Usuari de serveis de confiança electrònica»: persona que fa ús d’un servei de confiança electrònica.
Article 4
Accessibilitat per a les persones amb discapacitat
Sempre que sigui possible, els serveis de confiança electrònica prestats i els productes pels usuaris finals utilitzats en les prestacions d’aquests serveis han de ser accessibles per a les persones amb discapacitat.
Capítol segon. Els serveis de confiança electrònica
Secció primera. Règim de la signatura i el segell electrònics
Article 5
Efectes jurídics de la signatura electrònica
1. Quan una llei exigeix la signatura d’una persona física, aquest requisit s’entén complert amb l’ús de la signatura electrònica que resulti apropiada.
2. No es denegaran els efectes jurídics i l’admissibilitat com a prova en procediments judicials i administratius de qualsevol tipus a una signatura electrònica pel sol fet de complir aquesta condició.
3. Una signatura electrònica qualificada té, respecte de les dades consignades en suport digital, el mateix efecte jurídic que la signatura manuscrita en relació amb les dades consignades sobre paper.
S’entén que la signatura electrònica qualificada reuneix les condicions necessàries per produir els efectes indicats en aquest article, quan el certificat qualificat en què es basa hagi estat proporcionat per un prestador de serveis de confiança electrònica qualificat segons l’establert en aquesta Llei i el dispositiu qualificat de creació de la signatura amb el qual aquesta es produeixi es trobi certificat.
4. Quan la signatura electrònica s’utilitzi en el marc d’unes condicions acordades prèviament per les parts per relacionar-se exclusivament entre elles privadament, s’ha de tenir en compte allò que les parts hagin estipulat, llevat que sigui contrari a dret.
5. El Govern pot dictar disposicions reglamentàries per definir els diversos nivells de seguretat de la signatura electrònica, així com establir números de referència de normes relatives als mateixos nivells, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels nivells de seguretat quan la signatura electrònica s’ajusti a aquestes normes.
Article 6
Requisits dels certificats electrònics qualificats de signatura electrònica
1. Els certificats electrònics qualificats de signatura electrònica han d’indicar expressament que es lliuren amb aquest caràcter i han de tenir, com a mínim, el contingut següent:
a) Una indicació, almenys en un format adequat per al processament automàtic, que el certificat electrònic ha estat expedit com a certificat electrònic qualificat de signatura electrònica.
b) Un conjunt de dades que representi inequívocament el prestador de serveis de confiança electrònica qualificat que expedeix els certificats electrònics qualificats, inclòs com a mínim l’Estat en el qual el prestador està establert, i
- per a persones físiques: el nom de la persona.
- per a persones jurídiques: el nom i el número de registre segons consten en els registres oficials.
c) Un conjunt de dades que representi inequívocament el signatari al qual s’ha expedit el certificat electrònic, inclosos almenys el seu nom o un pseudònim, que s’identifiqui com a tal.
d) Dades de validació de la signatura electrònica que corresponguin a les dades de creació de la signatura electrònica.
e) Les dades relatives a l’inici i al final del període de validesa del certificat electrònic.
f) El codi d’identitat del certificat electrònic, que ha de ser únic per al prestador de serveis de confiança electrònica qualificat.
g) La signatura electrònica avançada o el segell electrònic avançat del prestador de serveis de confiança electrònica emissor.
h) El lloc on es troba gratuïtament el certificat electrònic que dóna suport a la signatura electrònica avançada o el segell electrònic avançat a què es fa referència en la lletra g).
i) La localització dels serveis d’estat de validesa del certificat electrònic que poden utilitzar-se per esbrinar l’estat de validesa del certificat electrònic qualificat.
j) Quan les dades de creació de la signatura electrònica relacionades amb les dades de validació de la signatura electrònica es trobin en un dispositiu de creació de signatures electròniques qualificat, una indicació adequada d’aquesta circumstància, almenys en una forma apta per al processament automàtic.
2. El certificat electrònic pot contenir qualsevol altra circumstància o atribut personal significatiu del titular, en funció de la finalitat mateixa del certificat electrònic i sempre que el titular hi doni el seu consentiment, en les condicions que es fan públiques en la declaració de pràctiques de confiança electrònica.
3. Si un certificat electrònic qualificat de signatura electrònica es revoca després de l’activació inicial, perd la validesa i no pot, en cap circumstància, recuperar el seu estat renovant-ne la validesa.
4. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments dels certificats electrònics qualificats de signatura electrònica, així com establir números de referència de normes relatives als mateixos certificats, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan el certificat electrònic qualificat de signatura electrònica s’ajusti a aquestes normes.
Article 7
Efectes jurídics del segell electrònic
1. Quan una llei exigeix la signatura d’una persona jurídica, aquest requisit s’entén complert amb l’ús del segell electrònic que resulti apropiat.
2. No es denegaran els efectes jurídics i l’admissibilitat com a prova en procediments judicials i administratius de qualsevol tipus a un segell electrònic pel sol fet que es presenti en forma electrònica.
3. Un segell electrònic qualificat disposa de la presumpció legal de garantir l’origen i la integritat de les dades a què està vinculat.
S’entén que el segell electrònic qualificat reuneix les condicions necessàries per produir els efectes indicats en aquest article, quan el certificat qualificat en què es basa hagi estat proporcionat per un prestador de serveis de confiança electrònica qualificat segons l’establert en aquesta Llei i el dispositiu qualificat de creació del segell amb el qual aquest es produeixi es trobi certificat.
4. El Govern pot dictar disposicions reglamentàries per definir els diversos nivells de seguretat del segell electrònic, així com establir números de referència de normes relatives als mateixos nivells, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels nivells de seguretat quan el segell electrònic s’ajusti a aquestes normes.
Article 8
Requisits dels certificats electrònics qualificats de segell electrònic
1. Els certificats electrònics qualificats de segell electrònic han de contenir:
a) Una indicació, almenys en un format adequat per al processament automàtic, que el certificat electrònic ha estat expedit com a certificat electrònic qualificat de segell electrònic.
b) Un conjunt de dades que representi inequívocament el prestador de serveis de confiança electrònica qualificat que expedeix els certificats electrònics qualificats, inclòs com a mínim l’Estat en el qual el prestador està establert, i
- per a persones físiques: el nom de la persona.
- per a persones jurídiques: el nom i el número de registre segons consten en els registres oficials.
c) Un conjunt de dades que representi inequívocament la persona jurídica a la qual s’hagi expedit el certificat electrònic, incloent-hi almenys el nom i el número de registre, tal com figuren en els registres oficials.
d) Les dades de validació del segell electrònic que corresponguin a les dades de creació del segell electrònic.
e) Les dades relatives a l’inici i al final del període de validesa del certificat electrònic.
f) El codi d’identitat del certificat electrònic, que ha de ser únic per al prestador de serveis de confiança electrònica qualificat.
g) La signatura electrònica avançada o el segell electrònic avançat del prestador de serveis de confiança electrònica emissor.
h) El lloc en què es troba gratuïtament el certificat electrònic que dóna suport a la signatura electrònica avançada, o el segell electrònic avançat a què es fa referència en la lletra g).
i) La localització dels serveis d’estat de validesa del certificat electrònic que poden utilitzar-se per esbrinar l’estat de validesa del certificat electrònic qualificat.
j) Quan les dades de creació del segell electrònic relacionades amb les dades de validació del segell electrònic es trobin en un dispositiu de creació de segells electrònics qualificat, una indicació adequada d’això, almenys en una forma apta per al processament automàtic.
2. Els certificats electrònics qualificats de segell electrònic no han d’estar sotmesos a cap requisit obligatori que excedeixi els requisits que estableix l’apartat anterior.
3. Si un certificat electrònic qualificat de segell electrònic es revoca després de l’activació inicial, perd la seva validesa i no pot, en cap circumstància, recuperar el seu estat renovant la seva validesa.
4. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments dels certificats electrònics qualificats de segell electrònic, així com establir números de referència de normes relatives als mateixos certificats, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan el certificat electrònic de segell s’ajusti a aquestes normes.
Article 9
Dispositius de creació de signatura electrònica i de segell electrònic
1. Un dispositiu de creació de signatura electrònica i de segell electrònic és un equip o programa informàtic que serveix per aplicar les dades de creació de signatura i de segell electrònics.
2. Un dispositiu segur de creació de signatura i de segell electrònics és el que garanteix, com a mínim, pels mitjans tècnics i de procediment adequats els requisits de l’article 10.
3. El Govern pot establir números de referència de normes relatives a dispositius de signatura electrònica i de segells electrònics, i altres sistemes, mitjans i productes relacionats a què es refereix aquesta Llei, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts en aquesta Llei quan el dispositiu s’ajusti a aquestes normes.
Article 10
Requisits dels dispositius de creació de signatures electròniques qualificades i de segells electrònics qualificats
1. Els dispositius de creació de signatures electròniques qualificades i de segells electrònics qualificats han de garantir com a mínim, per mitjans tècnics i de procediment adequats, que:
a) Estigui garantit el secret de les dades de creació de la signatura electrònica i de segell electrònic utilitzades per a la generació de signatures electròniques i de segells electrònics.
b) Les dades de creació de la signatura electrònica i del segell electrònic utilitzades per a la generació d’una signatura electrònica i d’un segell electrònic només apareguin un cop.
c) Hi hagi la seguretat raonable que les dades de creació de la signatura electrònica i del segell electrònic utilitzades per a la generació d’una signatura electrònica i un segell electrònic no es puguin trobar per deducció, i que la signatura i el segell electrònics estiguin protegits contra la falsificació mitjançant la tecnologia disponible en el moment.
d) Les dades de creació de la signatura electrònica i del segell electrònic utilitzades per a la generació d’una signatura electrònica i un segell electrònic puguin ser protegides pel signatari legítim de manera fiable enfront de la seva utilització per altres.
2. Els dispositius de creació de signatures electròniques qualificades i de segells electrònics qualificats no han d’alterar les dades que han de signar ni impedir que aquestes dades es mostrin al signatari abans de signar.
3. La generació o la gestió de les dades de creació de la signatura electrònica i del segell electrònic en nom del signatari són a càrrec d’un prestador de serveis de confiança electrònica qualificat.
4. Els prestadors de serveis de confiança electrònica qualificats que gestionin les dades de creació de la signatura electrònica i del segell electrònic en nom del signatari, poden fer còpies de seguretat de les dades de creació de la signatura electrònica i del segell electrònic, sempre que es compleixin els requisits següents:
a) Que la seguretat dels conjunts de dades copiades sigui del mateix nivell que per als conjunts de dades originals.
b) Que el nombre de conjunts de dades copiades no superi el mínim necessari per garantir la continuïtat del servei.
Article 11
Certificació dels dispositius de creació de signatures electròniques qualificades i dels segells electrònics qualificats
1. Els dispositius de creació de signatures electròniques qualificades i de segells electrònics qualificats han de ser certificats pels organismes públics o privats adequats designats pel Govern, sempre que hagin estat sotmesos a un procés d’avaluació de la seguretat dut a terme de conformitat amb les normes per a l’avaluació de la seguretat dels productes de tecnologia de la informació.
2. El Govern publica els noms i les adreces dels organismes públics o privats a què es refereix l’apartat 1.
Article 12
Publicació d’una llista de dispositius de creació de signatures electròniques qualificats certificats i de segells electrònics qualificats certificats
El Govern publica al Butlletí Oficial del Principat d’Andorra una llista de dispositius de creació de signatures electròniques qualificades i segells electrònics qualificats, certificats pels organismes a què es refereix l’article anterior, així com la informació sobre els dispositius de creació de signatures electròniques i segells electrònics que han deixat d’estar certificats.
Article 13
Dispositius de verificació de signatura electrònica i de segell electrònic
1. Un dispositiu de verificació de signatura i de segell electrònics és un equip o programa informàtic que serveix per aplicar les dades de verificació de signatura i de segell electrònics.
2. Els dispositius segurs de verificació de signatura electrònica i de segell electrònic han de garantir, sempre que sigui tècnicament possible, que el procés de verificació d’una signatura electrònica i d’un segell electrònic satisfà les condicions següents:
a) Que les dades utilitzades per verificar la signatura i el segell electrònics corresponen a les dades que es mostren a la persona que verifica la signatura i el segell electrònics.
b) Que la signatura i el segell electrònics es verifiquen de forma fiable i el resultat de la verificació es presenta correctament.
c) Que la persona que verifica la signatura electrònica i el segell electrònic pot establir de forma fiable el contingut del missatge de dades signat.
d) Que verifica de forma fiable l’autenticitat i la validesa del certificat electrònic que s’ha exigit per verificar la signatura i el segell electrònics.
e) Que mostra clarament el resultat de la verificació i la identitat de l’usuari de serveis de confiança electrònica o, quan sigui el cas, constata clarament l’ús d’un pseudònim.
f) Que s’hi pot detectar qualsevol canvi pertinent relatiu a la seguretat.
3. Les dades referents a la verificació de signatura i de segell electrònics, com ara el moment en què es produeix una constatació de la validesa del certificat electrònic, han de poder ser emmagatzemades per la persona que verifica la signatura i el segell electrònics o, sota la seva responsabilitat, per tercers de confiança electrònica.
Article 14
Requisits de la validació de les signatures electròniques qualificades i dels segells electrònics qualificats
1. El procés de validació d’una signatura electrònica qualificada i un segell electrònic qualificat confirma la validesa de la signatura i del segell electrònics sempre que:
a) El certificat electrònic que dóna suport a la signatura o al segell electrònics és un certificat electrònic qualificat de signatura electrònica o de segell electrònic que s’ajusta al que disposen l’article 6 o l’article 8, respectivament.
b) El certificat electrònic qualificat requerit és autèntic i vàlid.
c) Les dades de validació de la signatura i del segell electrònics corresponen a les dades proporcionades a l’usuari.
d) El conjunt de dades que representa inequívocament el signatari es facilita correctament a l’usuari.
e) En el cas que s’utilitzi un pseudònim, la utilització del mateix pseudònim s’indica clarament a l’usuari.
f) La signatura electrònica i el segell electrònic es van crear mitjançant un dispositiu de creació de signatures electròniques qualificat.
g) La integritat de les dades signades no s’ha vist compromesa.
h) S’han complert els requisits que preveu l’article 3, apartats 36 i 28, respectivament.
i) El sistema utilitzat per validar la signatura i el segell electrònics ofereix a la part usuària el resultat correcte del procés de validació i li permet detectar qualsevol problema que afecti la seguretat.
2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments de la validació de les signatures electròniques qualificades i dels segells electrònics qualificats, així com establir números de referència de normes relatives a la mateixa validació, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan la validació s’ajusti a aquestes normes.
Article 15
Servei de validació qualificat per a les signatures electròniques qualificades i els segells electrònics qualificats
1. Presta un servei de validació qualificat per a les signatures electròniques qualificades i els segells electrònics qualificats, el prestador de serveis de confiança electrònica qualificat que:
a) realitzi la validació de conformitat amb l’article 14, i
b) permeti que les parts usuàries rebin el resultat del procés de validació d’una manera automatitzada fiable, eficient, i amb la signatura electrònica avançada o el segell electrònic avançat del prestador de serveis de validació qualificat.
2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments del servei qualificat de validació de les signatures electròniques qualificades i dels segells electrònics qualificats, així com establir números de referència de normes relatives al mateix servei qualificat de validació, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan el servei de validació s’ajusti a aquestes normes.
Article 16
Servei de conservació de les signatures electròniques qualificades i dels segells electrònics qualificats
1. Presta un servei de conservació de signatures electròniques i de segells electrònics qualificat el prestador de serveis de confiança electrònica qualificat que utilitzi procediments i tecnologies capaços d’ampliar la fiabilitat de les dades de validació de la signatura electrònica qualificada i del segell electrònic qualificat més enllà del període de validesa tecnològic.
2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments per a la conservació de signatures electròniques qualificades i segells electrònics qualificats, així com establir números de referència de normes relatives a la mateixa conservació, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan el servei de conservació s’ajusti a aquestes normes.
Secció segona. Marques de temps electròniques
Article 17
Efecte jurídic de les marques de temps electròniques
1. No es denegaran els efectes jurídics i l’admissibilitat com a prova en procediments judicials i administratius de qualsevol tipus a una marca de temps electrònica pel sol fet de complir aquesta condició.
2. La marca de temps electrònica qualificada disposa de la presumpció legal de garantir la data i l’hora que indica, i la integritat de les dades a què estan vinculades aquestes data i hora.
Article 18
Requisits de les marques de temps electròniques qualificades
1. Una marca de temps electrònica qualificada ha de complir els requisits següents:
a) Estar vinculada amb exactitud al Temps Universal Coordinat (UTC) de manera que s’elimini qualsevol possibilitat de modificar les dades sense que es detecti.
b) Estar basada en una font d’informació temporal exacta.
c) Haver estat expedida per un prestador de serveis de confiança electrònica qualificat.
d) Haver estat signada mitjançant l’ús d’una signatura electrònica avançada, o d’un segell electrònic avançat del prestador de serveis de confiança electrònica qualificat, o per qualsevol mètode equivalent.
2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments per a la vinculació exacta de la data i l’hora amb les dades, i una font d’informació temporal exacta, així com establir números de referència de normes relatives a les mateixes dades, que han de ser publicades al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels nivells de seguretat quan la marca de temps electrònica s’ajusti a aquestes normes.
Secció tercera. Certificats electrònics d’autenticació de llocs web
Article 19
Requisits per als certificats electrònics qualificats d’autenticació de llocs web
1. Els certificats electrònics qualificats d’autenticació de llocs web han de contenir:
a) Una indicació, almenys en un format adequat per al processament automàtic, que el certificat electrònic ha estat expedit com a certificat electrònic qualificat d’autenticació de llocs web.
b) Un conjunt de dades que representi inequívocament el prestador de serveis de confiança electrònica qualificat que expedeix els certificats electrònics qualificats, inclòs com a mínim l’Estat en el qual el prestador està establert, i
- per a persones físiques: el nom de la persona.
- per a persones jurídiques: el nom i el número de registre segons consten en els registres oficials.
c) Un conjunt de dades que representi inequívocament la persona jurídica a la qual s’hagi expedit el certificat electrònic, incloent-hi almenys el nom i el número de registre, tal com figuren en els registres oficials.
d) Elements de l’adreça, inclosa almenys la ciutat i l’Estat, de la persona jurídica a qui s’expedeix el certificat electrònic, segons figuri en els registres oficials.
e) El nom o els noms de domini explotats per la persona a la qual s’expedeix el certificat electrònic.
f) Les dades relatives a l’inici i el final del període de validesa del certificat electrònic.
g) El codi d’identitat del certificat electrònic, que ha de ser únic per al prestador de serveis de confiança electrònica qualificat.
h) La signatura electrònica avançada o el segell electrònic avançat del prestador de serveis de confiança electrònica emissor.
i) El lloc en què es troba gratuïtament el certificat electrònic que dóna suport a la signatura electrònica avançada o el segell electrònic avançat a què es fa referència en la lletra h).
j) La localització dels serveis d’estat de validesa del certificat electrònic que poden utilitzar-se per esbrinar l’estat de validesa del certificat electrònic qualificat.
2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments dels certificats electrònics qualificats d’autenticació de lloc web, així com establir números de referència de normes relatives als mateixos requeriments, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits de l’apartat 1 quan el certificat electrònic d’autenticació de lloc web s’ajusti a aquestes normes.
Secció quarta. Servei de lliurament electrònic
Article 20
Efecte jurídic d’un servei de lliurament electrònic
1. Les dades enviades, rebudes, o posades a disposició mitjançant un servei de lliurament electrònic, són admissibles com a prova en procediments judicials i administratius de qualsevol tipus pel que fa a la integritat de les dades, i la certesa de la data i l’hora en què les dades van ser enviades a un determinat destinatari, rebudes per ell, o posades a la seva disposició.
2. Les dades enviades, rebudes o posades a disposició mitjançant un servei de lliurament electrònic qualificat, disposen de la presumpció legal de la integritat de les dades, i l’exactitud de la data i l’hora d’enviament, recepció o posada a disposició de les dades que indica el sistema de lliurament electrònic qualificat.
Article 21
Requisits dels serveis de lliurament electrònic qualificats
1. Els serveis de lliurament electrònic qualificats han de complir els requisits següents:
a) Ser prestats per un o més prestadors de serveis de confiança electrònica qualificats.
b) Assegurar inequívocament la identificació de l’emissor i garantir la identificació del destinatari abans de l’entrega de les dades.
c) Protegir el procés d’enviament o recepció de dades mitjançat una signatura electrònica avançada o un segell electrònic avançat d’un prestador de serveis de confiança electrònica qualificat, de manera que s’impedeixi la possibilitat que es modifiquin les dades sense que es detecti.
d) Indicar clarament a l’emissor i el destinatari de les dades qualsevol modificació de les dades necessàries per a l’enviament o la recepció de les dades.
e) Indicar, mitjançant una marca de temps electrònica qualificada, la data i l’hora d’enviament, recepció i modificació eventual de les dades.
f) En cas que les dades es transfereixin entre dos o més prestadors de serveis de confiança electrònica qualificats, s’han d’aplicar els requisits establerts en totes les lletres anteriors a tots els prestadors de serveis de confiança electrònica qualificats.
2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments dels serveis de lliurament electrònic qualificat, així com establir números de referència de normes relatives als mateixos serveis, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits de l’apartat 1 quan el servei s’ajusti a aquestes normes.
Capítol tercer. El document electrònic i la digitalització
Article 22
Document electrònic
1. Sempre que la llei exigeixi que la informació consti per escrit, aquest requisit s’entendrà satisfet si consta en un suport digital i accessible per a la seva ulterior consulta.
2. Un document electrònic podrà tenir la consideració de document públic sempre que reuneixi els requisits que exigeixi la legislació específica aplicable.
3. Els documents electrònics es consideren equivalents als documents en paper, són admissibles com a prova documental en procediments judicials i administratius de qualsevol tipus, i tenen el valor i els efectes jurídics que corresponen a la seva naturalesa.
4. Qualsevol document que contingui una signatura electrònica qualificada o un segell electrònic qualificat de la persona competent per expedir el document en qüestió, disposa de la presumpció legal d’autenticitat i integritat, sempre que el document no contingui cap característica dinàmica capaç de modificar-lo automàticament.
Article 23
Digitalització documental
1. Sempre que la reproducció no vulneri drets de propietat intel·lectual, s’autoritzen les còpies electròniques dels documents en suport paper o en un altre suport susceptible de digitalització, ja es tracti de documents públics o privats.
2. Es podrà conservar en suport digital un document públic o privat en paper amb els efectes que preveu l’apartat següent d’aquest article si la digitalització es realitza mitjançant un procés de digitalització qualificada.
3. El procés de digitalització qualificada permet considerar els documents electrònics obtinguts com a equivalents als documents en paper digitalitzats, i admissibles com a prova en procediments judicials i administratius de tot tipus, amb el mateix valor que els originals en suport paper originals, i sense necessitat de comptar amb aquests originals.
4. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments dels processos de digitalització qualificada, així com establir números de referència de normes relatives als mateixos processos, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits de l’apartat 1 quan el procés s’ajusti a aquestes normes.
Capítol quart. La prestació de serveis de confiança electrònica
Secció primera. Prestadors de serveis de confiança electrònica
Article 24
Prestadors de serveis de confiança electrònica
1. Els serveis de confiança electrònica es presten en règim de lliure competència, d’acord amb les normes generals que regulen l’exercici de les activitats econòmiques.
2. Les administracions públiques que prestin serveis de confiança electrònica, directament o per mitjà d’organismes o entitats vinculades, han de fer-ho d’acord amb els principis d’objectivitat, transparència, no-discriminació i lliure competència.
Article 25
Prestadors de serveis de confiança electrònica de països tercers
1. Els serveis de confiança electrònica qualificats de països tercers són considerats equivalents als serveis de confiança electrònica qualificats subministrats pels prestadors de serveis de confiança electrònica qualificats establerts a Andorra, en els casos següents:
a) En el cas de prestadors de serveis de confiança electrònica establerts al territori de la Unió Europea, si el prestador del servei qualificat està satisfactòriament supervisat per l’autoritat competent del país de la Unió Europea de què es tracti i aquesta condició consta a la llista de confiança electrònica publicada per la Unió Europea.
b) Si el règim de prestació de serveis del prestador de serveis de confiança electrònica qualificat d’un país tercer s’ajusta als estàndards seleccionats pel Govern, que són els de la Unió Europea, i el prestador ha estat certificat d’acord amb aquests estàndards.
c) Si els serveis de confiança electrònica qualificats originaris del país tercer són reconeguts en virtut d’un acord entre Andorra i països tercers o organitzacions internacionals.
2. En el cas de la lletra c) de l’apartat anterior, aquests acords han de garantir que els prestadors de serveis de confiança electrònica de països tercers o organitzacions internacionals compleixen els requisits aplicables als serveis de confiança electrònica qualificats, i als certificats electrònics qualificats subministrats pels prestadors de serveis de confiança electrònica qualificats establerts al territori del Principat d’Andorra, especialment pel que fa a la protecció de les dades de caràcter personal, la seguretat i la supervisió.
Article 26
Requisits per als prestadors de serveis de confiança electrònica qualificats
1. Els prestadors de serveis de confiança electrònica qualificats que vulguin prestar serveis de confiança electrònica qualificats:
a) Han d’informar qualsevol persona que vulgui utilitzar un servei de confiança electrònica qualificat sobre les condicions necessàries relatives a la utilització d’aquest servei.
b) Han d’utilitzar sistemes i productes segurs que estiguin protegits contra tota alteració i que garanteixin la seguretat i la fiabilitat tècniques dels processos que sustenten.
c) Han d’utilitzar sistemes segurs per emmagatzemar les dades que se’ls facilitin de forma verificable, de manera que:
- Estiguin a disposició del públic per a la consulta només quan s’hagi obtingut el consentiment de la persona a la qual s’han expedit les dades.
- Només persones autoritzades hi puguin fer anotacions i modificacions.
- Es pugui comprovar l’autenticitat de la informació.
d) Han de prendre mesures contra la falsificació i el robatori de dades.
e) Han de registrar, durant un període mínim de quinze anys comptadors des de l’acabament de la vigència del servei prestat, tota la informació pertinent referent a les dades que hagin generat i rebut, en particular les que serveixin de prova en els procediments legals. Aquesta activitat de registre es pot fer per mitjans electrònics.
f) Han de comptar amb un pla de cessació actualitzat per garantir la continuïtat del servei, de conformitat amb les disposicions de l’organisme de supervisió, d’acord amb l’article 33.2.b).
g) Han de garantir un processament lícit de les dades personals de conformitat amb l’article 28.
2. En expedir un certificat electrònic qualificat, el prestador de serveis de confiança electrònica qualificat ha de verificar de forma fefaent la identitat i, si escau, qualsevol altre atribut específic de la persona física o jurídica a la qual expedeix el certificat electrònic qualificat, per mitjà de l’exhibició dels documents públics o privats que els acreditin de forma suficient.
Aquesta informació ha de ser verificada pel prestador de serveis qualificat o per un tercer autoritzat que actuï sota la responsabilitat del prestador de serveis qualificat:
a) en presència de la persona física o d’un representant autoritzat de la persona jurídica, o
b) a distància, utilitzant altres certificats electrònics qualificats emesos per un prestador de serveis qualificats.
3. Quan es tracti de certificats electrònics emesos a persones físiques però que tenen una vinculació amb una organització, entitat, institució, societat o una altra persona jurídica, els prestadors de serveis de confiança electrònica han de comprovar, a més a més de la identitat del sol·licitant i de la persona identificada al certificat electrònic, les dades relatives a la constitució i la personalitat jurídica de l’entitat, i a l’extensió i la vigència de les facultats o els poders de representació del sol·licitant, mitjançant els documents públics que els acreditin de forma fefaent o la consulta al registre públic pertinent, quan es tracti de dades que han de figurar-hi.
4. No cal aplicar el que preveuen els apartats 2 i 3 quan es tracti d’un sol·licitant la identitat i les circumstàncies del qual siguin conegudes pel prestador de serveis de confiança electrònica, a causa d’una relació preexistent en la qual hagi emprat els mitjans d’identificació que hi són establerts, si no han passat tres anys des de la identificació i si es té constància que totes les dades són vigents.
5. Els prestadors de serveis de confiança electrònica són personalment responsables de les actuacions de comprovació previstes en aquest article, fins i tot en el cas que les deleguin a altres persones.
6. Els prestadors de serveis de confiança electrònica qualificats que expedeixin certificats electrònics qualificats, han de registrar a la base de dades de certificats electrònics la revocació del certificat electrònic en un termini de deu minuts després d’haver fet efecte la revocació.
7. Respecte al que disposa l’apartat 6, els prestadors de serveis de confiança electrònica qualificats que expedeixin certificats electrònics qualificats, han de proporcionar a qualsevol part usuària informació sobre l’estat de validesa o revocació dels certificats electrònics qualificats expedits per ells. Aquesta informació ha d’estar disponible en qualsevol moment almenys per cada certificat electrònic en una forma automatitzada que sigui fiable, gratuïta i eficient.
8. El Govern pot establir números de referència de normes per a sistemes i productes dignes de confiança electrònica. Es presumeix el compliment dels requisits que estableix aquest article quan els sistemes i productes molt segurs compleixin aquestes normes.
Article 27
Requisits de seguretat aplicables als prestadors de serveis de confiança electrònica
1. Els prestadors de serveis de confiança electrònica han d’adoptar les mesures tècniques i organitzatives adequades per gestionar els riscos per a la seguretat dels serveis de confiança electrònica que presten. Tenint en compte l’estat de la tècnica, aquestes mesures han de garantir un nivell de seguretat adequat al grau de risc. En particular, han d’adoptar mesures per evitar i reduir al mínim l’impacte dels incidents de seguretat i informar els interessats dels efectes negatius de qualsevol incident.
Sense perjudici del que disposa l’article 35, qualsevol prestador de serveis de confiança electrònica pot presentar a l’organisme de supervisió l’informe d’una auditoria de seguretat realitzada per un organisme independent reconegut per tal de confirmar que s’han pres les mesures de seguretat apropiades.
2. Els prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats, han de notificar a l’organisme de supervisió competent, tan aviat com sigui possible i preferentment dins d’un termini de 24 hores després de tenir-ne coneixement, qualsevol violació de la seguretat o minva de la integritat en el servei de confiança electrònica prestat i en les dades personals corresponents.
L’organisme de supervisió pot informar el públic sobre la violació de la seguretat o la minva de la integritat en el servei de confiança electrònica prestat i en les dades personals corresponents, o exigir al prestador de serveis de confiança electrònica que ho faci, en cas de considerar que la divulgació de la violació de la seguretat és d’interès públic.
3. Per a l’aplicació dels apartats 1 i 2, l’organisme de supervisió competent està facultat per impartir instruccions vinculants als prestadors de serveis de confiança electrònica.
Article 28
Protecció de dades personals
1. El tractament de les dades personals que els prestadors de serveis de confiança electrònica necessitin per al desenvolupament de la seva activitat està subjecte a la legislació vigent en matèria de protecció de dades personals.
2. Les dades personals requerides pel prestador de serveis de confiança electrònica han de ser les estrictament necessàries per a la prestació d’un servei de confiança electrònica.
3. Els prestadors de serveis de confiança electrònica han de garantir la confidencialitat i la integritat de les dades relacionades amb la persona física afectada per la prestació d’un servei de confiança electrònica.
4. Els prestadors de serveis de confiança electrònica poden fer una cessió legal de dades a un altre prestador de serveis de confiança electrònica, en cas de cessament de l’activitat, o al Govern, de conformitat amb la legislació sobre protecció de dades personals.
5. Els prestadors de serveis de confiança electrònica poden consignar en els certificats electrònics un pseudònim en lloc del nom d’una persona física. En aquest cas, han d’identificar la persona física relacionada amb el pseudònim.
Article 29
Declaració de pràctiques de confiança electrònica
1. Els prestadors de serveis de confiança electrònica han d’elaborar una declaració prèvia de pràctiques de confiança electrònica en la qual s’han d’incloure les obligacions i les garanties a les quals es comprometen en relació amb la gestió dels serveis de confiança electrònica i les dades implicades en els mateixos serveis, les condicions aplicables a les sol·licituds, l’ús, la suspensió de la vigència, i l’extinció, les mesures de seguretat aplicables, així com la resta de dades i informacions que s’estableixin en relació amb cada servei de confiança electrònica.
2. El prestador de serveis de confiança electrònica ha de fer pública, almenys per via electrònica, la declaració de pràctiques de confiança electrònica, de forma gratuïta i amb accés lliure.
Article 30
Assegurança de responsabilitat civil
1. Els prestadors de serveis de confiança electrònica han de tenir subscrita una assegurança de responsabilitat civil. L’import mínim de l’assegurança de responsabilitat civil dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats és de sis-cents mil euros per tal de garantir la cobertura dels danys i perjudicis que puguin ocasionar per raó de la seva activitat.
2. El Govern, per decret, pot modificar l’import d’aquesta garantia i també establir altres fórmules alternatives de garantia per suplir tota l’assegurança o una part.
Article 31
Cessament de l’activitat de prestació de serveis de confiança electrònica
1. El cessament de l’activitat de prestació de serveis de confiança electrònica requereix la comunicació als usuaris dels seus serveis, amb una antelació mínima de dos mesos abans de l’acabament de l’activitat.
2. El prestador que cessi l’activitat de prestació pot transferir, amb el consentiment exprés dels usuaris, els serveis i les informacions associades que encara siguin vigents a un altre prestador de serveis que els assumeixi o, en cas contrari, extingir-ne la vigència i reemborsar als usuaris la part proporcional al període de validesa restant del servei.
3. El prestador també ha de comunicar que ha decidit cessar l’activitat de prestació a l’entitat pública o privada acreditada pel Govern que faci les funcions d’entitat d’acreditació en el mateix termini establert a l’apartat 1. En aquesta comunicació ha de declarar si transfereix la gestió a un altre prestador de serveis o bé si extingeix la vigència dels certificats electrònics.
4. El prestador ha de garantir durant un període de temps de quatre anys, a comptar del moment en què deixa de prestar els serveis de confiança electrònica, la disponibilitat d’un servei de consulta sobre la vigència dels certificats electrònics extingits.
5. En cas que el prestador no transfereixi l’activitat de prestació de serveis a un altre prestador, el Govern s’ha de fer càrrec de la informació identificativa o de la consulta, una vegada cessa l’activitat de certificació, amb la finalitat de garantir la conservació de les dades.
Article 32
Responsabilitat
1. Els prestadors de serveis de confiança electrònica són responsables dels danys i perjudicis causats a qualsevol persona, inclòs el lucre cessant, per raó de l’incompliment de les obligacions que estableix aquesta Llei, llevat que puguin provar que han actuat amb la diligència deguda.
2. Els prestadors de serveis de confiança electrònica no són responsables dels danys i perjudicis ni del lucre cessant ocasionats a l’usuari de serveis de confiança electrònica, als destinataris dels serveis o a tercers de bona fe, quan aquests danys i perjudicis resultin de l’incompliment dels deures de l’usuari de serveis de confiança electrònica, dels destinataris dels serveis, o del tercer de bona fe que confia en el document signat electrònicament, d’acord amb el que preveuen els articles 14 i 15. Per invocar aquesta exempció de responsabilitat, el prestador de serveis de confiança electrònica ha de provar que ha actuat amb la diligència deguda.
3. Quan un prestador de serveis de confiança electrònica informi degudament els seus clients amb antelació sobre les limitacions de la utilització dels serveis que presta i aquestes limitacions siguin recognoscibles per a un tercer, el prestador de serveis de confiança electrònica no serà responsable dels perjudicis produïts per una utilització dels serveis que vagi més enllà de les limitacions indicades.
4. En el cas que el prestador de serveis de confiança electrònica hagi estat sancionat amb alguna de les sancions accessòries previstes a l’article 41.1.b), o hagi estat objecte de la mesura cautelar establerta en l’article 43.a), ha de:
a) Notificar la suspensió a tots els usuaris dels seus certificats electrònics, indicant-ne la data d’inici i la de finalització.
b) Consignar la suspensió en el certificat electrònic, indicant-ne la data d’inici i la de finalització.
Secció segona. Supervisió i control dels serveis de confiança electrònica
Article 33
Supervisió i control
1. El Govern ha de controlar que els prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats compleixin les obligacions establertes en aquesta Llei. Amb aquesta finalitat el Govern pot portar a terme les actuacions d’inspecció que siguin necessàries.
El Govern designa l’entitat pública o privada que fa les funcions d’entitat d’acreditació com a organisme de supervisió, la qual gaudeix de totes les competències de supervisió i investigació necessàries per a l’exercici de les seves funcions.
2. L’organisme de supervisió és responsable de l’acompliment de les tasques següents:
a) Encarregar-se de la supervisió dels prestadors de serveis de confiança electrònica indicats a l’apartat 1 establerts a Andorra, i dels serveis de confiança electrònica que presten, mitjançant activitats de supervisió prèvies i posteriors, amb la finalitat de garantir que compleixin els requisits aplicables establerts per aquesta Llei.
b) Garantir que la informació i les dades pertinents a què es refereix l’article 26.1, lletra e), registrades pels prestadors de serveis de confiança electrònica indicats a l’apartat 1, es conserven i són accessibles, en cas de cessament de les activitats d’un prestador de serveis de confiança electrònica qualificat, durant el període de temps a què es refereix l’article 26.1.e).
3. L’organisme de supervisió ha de presentar anualment al Govern un informe sobre les activitats de supervisió corresponents a l’any natural precedent abans que finalitzi el primer trimestre de l’any següent. Aquest informe ha d’incloure, com a mínim:
a) Informació detallada sobre les seves activitats de supervisió.
b) Un resum de les notificacions de violacions rebudes dels prestadors de serveis de confiança electrònica, de conformitat amb l’article 27.2.
c) Estadístiques sobre el mercat i l’ús dels serveis de confiança electrònica, inclosa la informació sobre els prestadors de serveis de confiança electrònica indicats a l’apartat primer, els serveis de confiança electrònica que presten, els productes que utilitzen i la descripció general dels seus clients.
4. Els funcionaris designats per l’organisme de supervisió per fer les inspeccions tenen la consideració d’agents de l’autoritat en el desenvolupament de les seves funcions.
Article 34
Deure d’informació i col·laboració
1. Els prestadors de serveis de confiança electrònica indicats a l’article 33.1 tenen el deure de facilitar a l’organisme de supervisió tota la informació i col·laboració que els requereixi per a l’exercici de les seves funcions.
2. De manera especial, els prestadors de serveis de confiança electrònica indicats a l’article 33.1 han de comunicar a l’inici de la seva activitat, i anar actualitzant amb la periodicitat que s’estableixi per reglament, les seves dades d’identificació, les característiques dels serveis que prestin, les acreditacions i les certificacions obtingudes per als seus serveis i altres dades necessàries d’interès per al públic que es fixin reglamentàriament.
Aquesta informació pot ser objecte de publicació en la pàgina web de l’organisme de supervisió dels prestadors de serveis de confiança electrònica amb la finalitat d’atorgar-li la màxima difusió i coneixement.
3. Els prestadors de serveis de confiança electrònica indicats a l’article 33.1 han de permetre als inspectors l’accés a les seves instal·lacions i la consulta de tota la documentació que considerin rellevant per poder dur a terme amb eficàcia la seva tasca de control. En les inspeccions els inspectors poden anar acompanyats de les persones que considerin necessàries.
Article 35
Supervisió dels prestadors de serveis de confiança electrònica
1. Els prestadors de serveis de confiança electrònica indicats a l’article 33.1 han de ser auditats anualment per un organisme independent reconegut per confirmar que tant ells com els serveis de confiança electrònica que presten compleixen els requisits establerts en aquesta Llei. Aquest informe d’auditoria de seguretat s’ha de presentar sense demora injustificada a l’organisme de supervisió.
2. Sense perjudici del que disposa l’apartat 1, l’organisme de supervisió pot, en qualsevol moment, per iniciativa pròpia o en resposta a una petició del Govern, auditar els prestadors de serveis de confiança electrònica indicats a l’article 33.1, per confirmar que tant ells com els serveis de confiança electrònica segueixen complint les condicions establertes per aquesta Llei.
L’organisme de supervisió ha d’informar l’Agència Andorrana de Protecció de Dades dels resultats de les seves auditories en cas que s’hagi infringit la legislació vigent sobre protecció de dades personals.
3. L’organisme de supervisió està facultat per impartir instruccions vinculants als prestadors de serveis de confiança electrònica indicats a l’article 33.1 per tal de corregir qualsevol incompliment dels requisits que figuri en l’informe de l’auditoria de seguretat.
En cas que el prestador de serveis de confiança electrònica qualificats requerit no esmeni aquest incompliment en el termini fixat per l’organisme de supervisió, perdrà la seva qualificació, sense perjudici de les sancions que correspongui imposar eventualment en cas d’infracció d’aquesta legislació.
Article 36
Inici d’un servei de confiança electrònica
1. Els prestadors de serveis de confiança electrònica indicats a l’article 33.1 han de notificar a l’organisme de supervisió la seva intenció d’iniciar la prestació d’un servei de confiança electrònica, i han de presentar-li un informe d’auditoria de la seguretat elaborat per un organisme independent reconegut, segons el que preveu l’article 35.
2. Un cop els prestadors de serveis de confiança electrònica indicats a l’article 33.1 puguin començar a prestar el servei de confiança electrònica, s’han d’incloure a les llistes de confiança electrònica a què es refereix l’article 37, i indicar-hi aquesta circumstància.
3. L’organisme de supervisió verifica la conformitat del prestador de serveis de confiança electrònica i dels serveis de confiança electrònica qualificats que presta amb els requisits de la Llei.
L’organisme de supervisió indica l’estat de qualificació dels prestadors de serveis qualificats i dels serveis de confiança electrònica qualificats que presta a les llistes de confiança electrònica després que la verificació hagi conclòs positivament, al més tard un mes després d’efectuar la notificació de conformitat amb l’apartat 1.
Si la verificació no ha conclòs en el termini d’un mes, l’organisme de supervisió n’informa el prestador de serveis de confiança electrònica especificant els motius de la demora i el termini previst per concloure la verificació.
Article 37
Llistes de confiança electrònica
1. El Govern estableix, manté i publica llistes de confiança electrònica amb informació relativa als prestadors de serveis de confiança electrònica, juntament amb la informació relacionada amb els serveis de confiança electrònica qualificats prestats pels prestadors.
2. El Govern estableix, manté i publica, de manera segura, les llistes de confiança electrònica signades o segellades electrònicament que preveu l’apartat 1 en una forma apropiada per al tractament automàtic.
3. La posada a disposició del públic de la informació anterior es fa a través d’un canal segur, en una forma signada o segellada electrònicament apropiada per al tractament automàtic.
Article 38
Certificació dels serveis de confiança electrònica qualificats
És possible obtenir una certificació del compliment dels requisits aplicables als serveis de confiança electrònica qualificats, mitjançant un procediment pel qual l’entitat pública o privada acreditada pel Govern que fa les funcions d’entitat d’acreditació emeti una proposta no vinculant, independent i objectiva al Govern després de les verificacions oportunes.
La certificació l’emet el Govern, i pressuposa que el servei de confiança electrònica certificat és qualificat.
Capítol cinquè. Règim sancionador
Article 39
Infraccions
1. Les infraccions a aquesta Llei es classifiquen en lleus, greus i molt greus.
2. Són infraccions lleus l’incompliment per part dels prestadors de serveis de confiança electrònica de les obligacions legals no esmentades als apartats següents.
3. Són infraccions greus:
a) La prestació d’un servei de confiança electrònica qualificat amb infracció d’alguna de les obligacions establertes a l’article 26, quan el fet no constitueixi una infracció molt greu.
b) La prestació d’un servei de confiança electrònica, qualificat o no, amb infracció d’alguna de les obligacions establertes als articles 27, 29, 30 i 31.
c) La falsa al·legació de compliment d’estàndards tècnics aplicables a productes i serveis de confiança electrònica.
d) La resistència, l’obstrucció, l’excusa o la negativa injustificada a l’actuació inspectora de l’entitat pública o privada acreditada pel Govern que fa les funcions d’entitat d’acreditació.
e) L’incompliment de les resolucions dictades per l’òrgan competent per assegurar que el prestador de serveis s’ajusti a aquesta Llei.
f) La reincidència en la comissió de dos infraccions lleus, encara que siguin de naturalesa distinta, sempre que es cometin dintre d’un període de dos anys des de la primera i l’autor n’hagi estat sancionat.
4. Són infraccions molt greus:
a) L’expedició de certificats electrònics qualificats de qualsevol tipus, sense realitzar les comprovacions prèvies establertes a l’article 26.
b) La prestació d’un servei de confiança electrònica qualificat amb infracció d’alguna de les obligacions establertes a l’article 26 quan s’hagin causat danys o perjudicis als usuaris o quan la seguretat del servei de confiança electrònica s’hagi vist afectada greument.
c) La falsa al·legació de certificacions de serveis i productes de confiança electrònica.
d) La reincidència en la comissió de dos infraccions greus, encara que siguin de naturalesa distinta, sempre que es cometin dintre d’un període de dos anys des de la primera i l’autor n’hagi estat sancionat.
Article 40
Competència i procediment sancionador
1. L’organisme de supervisió és competent per acordar la incoació dels expedients sancionadors i per designar un instructor, que pot ser un dels seus membres. La resolució dels expedients correspon al ministre competent en matèria de comerç quan es tracti d’infraccions lleus, i al Govern quan es tracti d’infraccions greus o molt greus.
2. La potestat sancionadora prevista en aquest capítol ha d’exercir-se d’acord amb la normativa que regula l’actuació de l’Administració general, amb les especificitats previstes per aquesta Llei.
3. En el supòsit d’infraccions greus i molt greus, la resolució sancionadora s’ha de publicar al Butlletí Oficial del Principat d’Andorra, sens perjudici que es puguin publicar també a les pàgines web del Govern o a la de l’organisme de supervisió.
Article 41
Sancions
1. Les sancions per les infraccions establertes a l’article 39 són les següents:
a) Les infraccions lleus són sancionades amb multa de fins a 50.000 euros.
b) Les infraccions greus són sancionades amb multa de 50.001 a 100.000 euros. A més, també es poden imposar les sancions accessòries següents:
- Suspensió de l’exercici de l’activitat de prestació de serveis de confiança electrònica a Andorra, fins a un termini màxim de dos anys.
- Suspensió de la validesa dels certificats electrònics emesos pel prestador de serveis objecte de la sanció, fins a un termini màxim de dos anys, amb el reemborsament als usuaris de la part proporcional al període de validesa dels certificats electrònics afectats per la sanció.
c) Les infraccions molt greus són sancionades amb multa de 100.001 a 400.000 euros. A més, també es poden imposar les sancions accessòries següents:
- Prohibició i cessament permanents de l’exercici de l’activitat de prestació de serveis de confiança electrònica a Andorra.
- Extinció de tots els certificats electrònics emesos pel prestador de serveis sancionat, amb el reemborsament als usuaris de la part proporcional al període de validesa restant dels certificats electrònics afectats.
2. Igualment, el Govern ha de publicar al Butlletí Oficial del Principat d’Andorra, a la seva pàgina web, les dades relatives a la suspensió o a l’extinció establertes a l’apartat 1, tot indicant:
a) El prestador de serveis objecte de la sanció.
b) Els certificats electrònics del prestador objecte de la sanció.
c) La naturalesa de la sanció imposada (suspensió o extinció).
d) En el cas d’extinció, la data a partir de la qual deixen de ser vàlids els certificats electrònics del prestador de serveis afectats. La data d’extinció de la validesa dels certificats electrònics objecte de sanció no pot ser mai anterior a la data de publicació de la sanció a la pàgina web de l’organisme de supervisió.
e) En el cas de suspensió, la data d’inici de la suspensió i la data de finalització a partir de la qual els certificats electrònics tornen a tenir els efectes jurídics reconeguts en aquesta Llei. La data d’inici de la suspensió no pot ser mai anterior a la data de publicació de la sanció a la pàgina web de l’organisme de supervisió.
3. L’accés a la informació indicada a l’apartat 2 ha de ser sempre lliure i de caràcter gratuït.
Article 42
Graduació de la quantia de les sancions
La quantia de les sancions, dins dels límits assenyalats, es gradua tenint en compte les circumstàncies següents:
a) La repercussió social de la infracció comesa i el nombre d’usuaris afectats.
b) La reincidència o la reiteració.
c) L’existència o la no-existència d’intencionalitat.
d) La quantia i la naturalesa dels perjudicis causats.
e) El benefici que la infracció hagi reportat a l’infractor. En aquest cas, la sanció no pot ser inferior al benefici obtingut.
Article 43
Mesures cautelars
En els procediments per infraccions greus o molt greus, l’organisme de supervisió per instruir l’expedient pot adoptar les mesures cautelars que consideri necessàries per evitar el manteniment dels efectes de la infracció i per assegurar l’eficàcia de la resolució que es dicti. Entre d’altres, pot adoptar les mesures següents:
a) La suspensió temporal de l’activitat del prestador de serveis de confiança electrònica i, si escau, el tancament temporal de l’establiment.
b) El precinte, el dipòsit o la confiscació de registres, suports i arxius informàtics i de documents en general, així com d’aparells i equips informàtics.
c) L’advertència al públic de l’existència de possibles conductes infractores, de la incoació de l’expedient sancionador i de les mesures cautelars adoptades.
d) La suspensió de vigència dels certificats electrònics afectats.
Article 44
Prescripció
1. Les infraccions lleus prescriuen al cap d’un any des de la data de la seva comissió, les greus ho fan al cap de dos anys i les molt greus al cap de tres.
2. Les sancions prescriuen al cap de tres anys des de la data de notificació de la resolució sancionadora esdevinguda ferma.
Disposició derogatòria
Queden derogades totes les disposicions de rang igual o inferior a aquesta Llei que hi siguin incompatibles i, en particular, la Llei 6/2009, del 29 de desembre, de signatura electrònica, el Decret del 2-06-2010 pel qual s’aprova el Reglament d’organització i de funcionament de la Comissió Nacional d’Acreditació i el Decret de 2-06-10 pel qual s’aprova el Reglament d’acreditació de prestadors de serveis de certificació en el cas de la signatura electrònica qualificada o reconeguda.
Disposició final
Aquesta Llei entrarà en vigor al cap de tres mesos de ser publicada al Butlletí Oficial del Principat d’Andorra.
Casa de la Vall, 27 de novembre del 2014
Vicenç Mateu Zamora
Síndic General
Nosaltres els coprínceps la sancionem i promulguem i n’ordenem la publicació en el Butlletí Oficial del Principat d’Andorra.
Joan Enric Vives Sicília François Hollande
Bisbe d’Urgell President de la
República Francesa
Copríncep d’Andorra Copríncep d’Andorra