Páginas vistas en total

jueves, 10 de noviembre de 2011

Ley Nº 43 de "Firma Digital" de Panamá

LEY 43 DE FIRMA DIGITAL DE PANAMÁ – 31.07.2001
Regula los documentos y firmas electrónicas y las entidades de certificación en el comercio electrónico, y el intercambio de documentos electrónicos
 
LA ASAMBLEA LEGISLATIVA
DECRETA:
 
Título 1
Comercio Electrónico y Documentos Electrónicos en General
Capítulo 1
Ámbito de Aplicación

Artículo 1. Regulación. 
La presente Ley regula los documentos y firmas electrónicas y la prestación de servicios de certificación de estas firmas, y el proceso voluntario de acreditación de prestadores de servicios de certificación, para su uso en actos o contratos celebrados por medio de documentos y firmas electrónicas, a través de medios electrónicos de comunicación.

Artículo 2. Definiciones. 
Para los efectos de la presente Ley, los siguientes términos se definen así:
1. Certifìcado. Manifestación que hace la entidad de certificación, como resultado de la verificación que efectúa sobre la autenticidad, veracidad y legitimidad de las firmas electrónicas o la integridad de un mensaje.
2. Destinatario. Persona designada por el iniciador para recibir el mensaje, pero que no esté actuando a título de intermediario con respecto a ese mensaje.
3. Documento electrónico. Toda representación electrónica que da testimonio de un hecho, una imagen o una idea.
4. Entidad de certificación. Persona que emite certificados electrónicos en relación, con, las firmas electrónicas de las personas, ofrece o facilita los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos y realiza otras funciones relativas a las firmas electrónicas.
5. Firma electrónica. Todo sonido, símbolo o proceso electrónico vinculado a o lógicamente asociado con un mensaje, y otorgado o adoptado por una persona con la intención de firmar el mensaje que permite al receptor identificar a su autor.
6. Iniciador. Toda persona que, a tenor del mensaje, haya actuado por su cuenta o en cuyo nombre se haya actuado, para enviar o generar ese mensaje antes de ser archivado, si éste es el caso, pero que no haya actuado a título de intermediario con respecto a ese mensaje.
7. Intermediario. Toda persona que, actuando por cuenta de otra, envíe, reciba o archive un mensaje o preste algún otro servicio con respecto a él.
8. Mensaje de datos. Información generada, enviada, recibida o archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), Internet, el correo el,ectrónico, el telegrama, el télex o el telefax.
9. Repositorio. Sistema de información utilizado para guardar y recuperar certificados u otro tipo de información relevante para la expedición de éstos.
10. Revocar un certificado. Finalizar definitivamente el periodo de validez de un certificado, desde una fecha específica en adelante.
11. Sistema de información. Todo sistema utilizado para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos.
12. Suscriptor. Persona que contrata con una entidad de certificación la expedición de un certificado, para que sea nombrada o identificada en él. Esta persona mantiene bajo su estricto y exclusivo control el procedimiento para generar su firma electrónica.
13. Suspender un certificado. Interrumpir temporalmente el periodo operacional de un certificado, desde una fecha en adelante .
Artículo 3. Interpretación. Las actividades reguladas por esta Ley se someterán a los principios de libertad de prestación de servicios, libre competencia, neutralidad tecnológica, compatibilidad internacional, equivalencia del soporte electrónico al soporte de papel y equivalencia funcional del comercio tradicional con el comercio electrónico. Toda interpretación de los preceptos de esta Ley deberá guardar armonía con los principios señalados.
Artículo 4. Modificación mediante acuerdo. Salvo que se disponga otra cosa, en las relaciones entre las partes que generan, envían, reciben, archivan o procesan de alguna u otra forma mensajes de datos, las disposiciones del Capítulo III, Título 1, podrán ser modificadas mediante acuerdo. Lo dispuesto en este artículo no se aplicará a las disposiciones contenidas en el Capítulo Il del Título 1 de la presente Ley.
Artículo 5. Reconocimiento jurídico de los mensajes de datos. Se reconocen efectos jurídicos, validez y fuerza obligatoria a todo tipo de información, que esté en forma de mensaje de datos o que figure simplemente en el mensaje de datos en forma de remisión.
 
Capítulo II
Aplicación de los Requisitos Jurídicos a los Mensajes de Datos

Artículo 6. Escrito. Cuando la ley requiera que la información conste por escrito, los actos y
contratos, otorgados o celebrados, por medio de documento electrónico, serán válidos de la
misma manera y producirán los mismos efectos que los celebrados por escrito en soporte de
papel, Dichos actos y contratos se reputarán como escritos, en los casos en que la ley exija
que éstos consten por escrito, siempre que se cumplan las condiciones siguientes:
1. Que la información que éste contiene sea accesible para su posterior consulta.
2. Que el mensaje de datos sea conservado con el formato original en que se haya generado,
enviado o recibido o con algún formato que sea demostrable que reproduce con exactitud la
información generada, enviada o recibida.
3. Que se conserve, de haber alguno, todo dato que permita determinar el origen y el
destino del mensaje, la fecha y la hora en que fue enviado o recibido.

Lo dispuesto en este artículo se aplicará tanto si el requisito en él previsto constituye una
obligación, como si, la ley simplemente ,prevé consecuencias en el caso de que la
información no conste por escrito.

Lo dispuesto en el presente artículo no será aplicable a:
a. Los actos para los cuales la ley exige una solemnidad que no sea verificable mediante
documento electró nico.
b. Los actos jurídicos para los que la ley requiera la concurrencia personal de alguna de las
partes.
c. Los actos jurídicos relativos al Derecho de Familia.

Artículo 7. Firma. Cuando la ley exija la presencia de una firma o establezca ciertas
consecuencias en ausencia de ella, en relación con un documento electrónico o mensaje de
datos, se entenderá satisfecho dicho requerimiento si éste ha sido tirmado electrónicamente.
La firma electrónica, cualquiera que sea su naturaleza, será equivalente a la firma
manuscrita para todos los efectos legales. En cuanto a su admisibilidad en juicio y al defecto
probatorio de los documentos y firmas electrónicas se aplicará lo dispuesto en la presente
Ley.
Lo dispuesto en este artículo se aplicará tanto si el requisito en él previsto constituye una
obligación, como si la ley simplemente prevé consecuencias en el caso de que no exista una
firma.
Si una disposición legal requiere que una firma relacionada aun documento electrónico o
mensaje de datos o una transacción sea notarizada, reconocida, refrendada o hecha bajo la
gravedad del juramento, dicho requisito será satisfecho si la firma electrónica de la persona
autorizada para efectuar dichos actos, junto con toda la información requerida bajo la norma
legal aplicable, sea vinculada con la firma o mensaje.

Lo dispuesto en el presente artículo no será aplicable a:
1. Los contratos sobre bienes inmuebles y demás actos susceptibles de registro ubicados en,
Panamá.
2. Los actos en materia de sucesiones que se otorguen bajo ley panameña o que sufran sus
efectos en Panamá .
3. Los avisos y documentos dirigidos o emitidos por autoridades de Panamá, que no hayan,
sido autorizados por la entidad respectiva .

Articulo 8. Original. Cuando la ley requiera que la información sea presentada y
conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos,
si:
1. Existe alguna garantía confiable de que se ha conservado la integridad de la información,
a partir del momento en que se generó por primera vez en su forma definitiva, como
mensaje de datos o en alguna otra forma.
2. De requerirse que la información sea presentada, si dicha información puede ser mostrada
a la persona a la que se deba presentar.

Lo dispuesto en este artículo se aplicará tanto si el requisito en él previsto constituye una
obligación, como si la ley simplemente prevé consecuencias en el caso de que la información
no conste en su forma original.

Articulo 9. Integridad de un mensaje de datos. Para efectos del artículo anterior, se
considerará que la información consignada en un mensaje de datos es íntegra, si ésta ha
permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que
sea inherente al proceso de comunicación, archivo o presentación. El grado de confiabilidad
requerido será determinado a la luz de los fines para los que se generó la información y de
todas las circunstancias relevantes del caso.

Artículo 10. Admisibilidad v fuerza probatoria de los documentos, firmas
electrónicas v
mensajes de datos. Los documentos y firmas electrónicas y mensajes de datos serán
admisibles como medios de prueba y tendrán la misma fuerza probatoria otorgada a los
documentos en el Capítulo III, del Título VII del Libro Segundo de Procedimiento Civil del
Código Judicial, de conformidad con lo que dispone la ley.

Artículo 11. Criterio para valorar probatoriamente los documentos electrónicos,
firmas electrónicas Y mensajes de datos. Para la valoración de la fuerza probatoria de
los documentos electrónicos, las firmas electrónicas y de los mensajes de datos a que se
refiere esta Ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios
reconocidos legalmente para la apreciación de las pruebas.
Por consiguiente, al valorar la fuerza probatoria de un documento electrónico, firma
electrónica o mensaje de datos se habrá de tener presente la confiabilidad de la forma en la
que se haya generado, archivado o comunicado el mensaje, la confiabilidad de la forma en la
se haya conservado la integridad de la información y la forma en la que se identifiquen a su
iniciador y a cualquier otro factor pertinente .

Artículo 12. Conservación de los mensajes de datos. Cuando la ley requiera que ciertos
documentos, registros o información sean conservados, ese requisito quedará satisfecho
mediante la conservación de los mensajes de datos, siempre que se cumplan las siguientes
condiciones:
1. Que la información que contenga sea accesible para su posterior consulta ;
2. Que el mensaje de datos sea conservado en el formato en que se haya generado, enviado
o recibido o con algún formato que permita demostrar que reproduce con exactitud la
información generada, enviada o recibida; y
3. Que se conserve, de haber alguno, todo dato que permita determinar el origen, el destino
del mensaje, la fecha y la hora en que fue enviado o recibido.

Si un cambio en la configuración en el sistema de información requerido para consultar un
mensaje de datos crea un riesgo material de que el consumidor no pueda acceder a él, el
proveedor suministrará al consumidor una declaración de las nuevas configuraciones
requeridas, así como la oportunidad de dar por terminado el contrato.
No estará sujeta a la obligación de conservación, la información que tenga por única finalidad
facilitar el envío o recepción de los mensajes de datos y demás documentos electrónicos.
Los libros y documentos del comerciante podrán ser conservados en cualquier medio técnico
que garantice su reproducción exacta. Esta obligación estará sujeta a la prescripción de toda
acción que pudiera derivarse de ella, según lo establecido en el artículo 93 del Código de
Comercio.

Artículo 13. Conservación de mensajes de datos v archivo de documentos a través
de terceros. El cumplimiento de la obligación de conservar documentos, registros o
informaciones en mensajes de datos, se podrá realizar a través de terceros, siempre que se
cumplan las condiciones enunciadas en el artículo anterior, además de que estos datos no
contengan informació n sensible a los intereses del usuario.

Capítulo III
Comunicación de los Mensajes de Datos y Documentos Electrónicos

Articulo 14. Formación v validez de los contratos. En la formación del contrato, salvo
acuerdo expreso entre las partes, la oferta y su aceptación podrán ser expresadas por medio
de un mensaje de datos, Se reconoce validez y fuerza obligatoria a un contrato que para su
formación utilice uno o más mensajes de datos.

Artículo 15. Reconocimiento de los mensajes de datos por las partes. En las
relaciones entre el iniciador y el destinatario de un mensaje de datos, se reconocen efectos
jurídicos, validez o fuerza obligatoria a una manifestación de voluntad u otra declaración que
conste en forma de mensaje de datos o documento electrónico.

Artículo 16. Atribución de los mensajes de datos. Se entenderá que un mensaje de
datos proviene del iniciador, cuando éste ha sido enviado por:
1. El propio iniciador;
2. Alguna persona facultada para actuar en nombre del iniciador respecto de ese mensaje ;
o
3. Un sistema de información programado por el iniciador o en su nombre para que opere
automáticamente.

Artículo 17. Presunción del origen de un mensaie de datos. Se presume que un
mensaje de datos ha sido enviado por el iniciador, y por lo tanto puede actuar en
consecuencia, cuando:
1. Haya aplicado en forma adecuada el procedimiento acordado previamente con el iniciador,
con el fin de establecer que el mensaje de datos provenía efectivamente de éste; o
2. El mensaje de datos que reciba el destinatario resulte de los actos de una persona cuya
relación con el iniciador, o con algún mandatario suyo, le haya dado acceso a algún método
utilizado por el iniciador para identificar un mensaje de datos como propio .

Parágrafo. Lo dispuesto en el presente artículo no se aplicará :
a. A partir del momento en que el destinatario haya sido informado por el iniciador de que el
mensaje de datos no provenía de éste, y haya dispuesto de un plazo razonable para actuar
en consecuencia; o
b. A partir del momento en que el destinatario sepa, o debiera saber, de haber actuado con
la debida diligencia o haber aplicado algún método convenido, que el mensaje de datos no
provenía de é ste.

Artículo 18. Concordancia del mensaje de datos enviado con el mensaje de datos
recibido.
Siempre que un mensaje de datos provenga del iniciador o que se entienda que proviene de
él, o siempre que el destinatario tenga derecho a actuar con arreglo a este supuesto, en las
relaciones entre el iniciador y el, destinatario, éste último tendrá derecho a considerar que el
mensaje de datos recibido corresponde al que quería enviar el iniciador, y podrá proceder en
consecuencia.
El destinatario no gozará de este derecho si sabía o hubiera sabido, de haber actuado con la
debida diligencia o de haber aplicado algún método convenido, que la transmisión había dado
lugar aun error en el mensaje de datos recibido.

Artículo 19. Mensajes de datos duplicados. Se presume que cada mensaje de datos
recibido es un mensaje de datos diferente, salvo en la medida en que duplique otro mensaje
de datos, y que el destinatario sepa, o debiera saber, de haber actuado con la debida
diligencia o de haber aplicado algún método convenido, que el nuevo mensaje de datos era
un duplicado.

Artículo 20. Acuse de recibo. Si al enviar o antes de enviar un mensaje de datos, el
iniciador solicita o acuerda con el destinatario que se acuse recibo del mensaje de datos,
pero no se ha acordado entre éstos una forma o método determinado para efectuarlo, se
podrá acusar recibo mediante :
1. Toda comunicación del destinatario, automatizada o no; o
2. Todo acto del, destinatario, que baste para indicar al iniciador que se ha recibido el
mensaje de datos.

Si el iniciador ha solicitado o acordado con el destinatario que se acuse recibo del mensaje
de datos, y expresamente aquél ha indicado que los efectos del mensaje de datos estarán

condicionados a la recepción de un acuse de recibo, se considerará que el mensaje de datos
no ha sido enviado en tanto que no se haya recibido el acuse de recibo.
Si el iniciador ha solicitado o acordado con el destinatario que se acuse recibo del mensaje
de datos, pero aquél no indicó expresamente que los efectos del mensaje de datos están
condicionados a la recepción del acuse de recibo y, si no se ha recibido acuse en el plazo
fijado o convenido, o no se ha fijado o convenido ningún plazo, en un plazo no mayor de
cuarenta y ocho hora s a partir del momento del envío o del vencimiento del plazo fijado o
convenido, el iniciador:

a. Podrá dar aviso al destinatario de que no ha recibido acuse de recibo y fijar un nuevo
plazo para su recepción, el cual será de cuarenta y ocho horas, contado a partir del momento
del envío del nuevo mensaje de datos; y

b. De no recibirse acuse de recibo dentro del término señalado conforme al literal anterior,
podrá, dando aviso de ello al destinatario, considerar que el mensaje de datos no ha sido
enviado o ejercer cualquier otro derecho que pueda tener.
Artículo 21. Presunción de recepción de un mensaje de datos. Cuando el iniciador
reciba acuse de recibo del destinatario, se presumirá que éste ha recibido el mensaje de
datos.
Esa presunción no implicará que el mensaje de datos corresponda al mensaje recibido.
Cuando en el acuse de recibo se indique que el mensaje de datos recibido cumple con los
requisitos técnicos convenidos o enunciados en alguna norma técnica aplicable, se presumirá
que ello es así.
Salvo en lo que se refiere al envío o recepción del mensaje de datos, el presente artículo no
obedece al propósito de regir las consecuencias jurídicas que puedan derivarse de ese
mensaje de datos o de su acuse de recibo.

Artículo 22. Tiempo del envío de un mensaje de datos. De no convenir otra cosa el
iniciador y el destinatario, el mensaje de datos se tendrá por expedido cuando ingrese en un
sistema de información que no esté bajo el control del iniciador o de la persona que envió el
mensaje de datos en nombre de éste .

Artículo 23. Tiempo de la recepción de un mensaje de datos. De no convenir otra cosa
el iniciador y el destinatario, el momento de recepción de un mensaje de datos se
determinará como sigue:
1. Si el destinatario ha designado un sistema de información para la recepción de mensajes
de datos, la recepción tendrá lugar en el momento en que ingrese el mensaje de datos en el
sistema de información designado; o
2. De enviarse el mensaje de datos aun sistema de información del destinatario que no sea
el sistema de’ información designado, en el momento en que el destinatario recupere el
mensaje de datos;
3. Si el destinatario no ha designado un sistema de información, la recepción tendrá lugar
cuando el mensaje de datos ingrese aun sistema de información del destinatario.

Lo dispuesto en este artículo será aplicable aun cuando el sistema de información esté
ubicado en un lugar distinto de donde se tenga por recibido el mensaje conforme al artículo
siguiente.

Artículo 24. Lugar del envío y recepción del mensaje de datos. De no convenir otra
cosa el iniciador y el destinatario, el mensaje de datos se tendrá por expedido en el lugar
donde el iniciador tenga su establecimiento y por recibido en el lugar donde el destinatario
tenga el suyo. Para los fines del presente artículo :

1. Si el iniciador o el destinatario tienen más de un establecimiento, su establecimiento será
el que guarde una relación más estrecha con la operación subyacente o, de no haber una
operación subyacente, su establecimiento principal;
2. Si el iniciador o el destinatario no tiene establecimiento, se tendrá en cuenta su lugar de
residencia habitual.

Título II
Firmas y Certificados Electrónicos
Capítulo 1
Firmas Electrónicas

Artículo 25. Atributos de la firma electrónica. El uso de una firma electrónica tendrá la
misma fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora los
siguientes atributos:
1. Es única a la persona que la usa.
2. Es susceptible de ser verificada.
3. Está bajo el control exclusivo de la persona que la usa.
4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la
firma electrónica es inválida.

Artículo 26. Firma electrónica segura. Es una firma electrónica que puede ser verificada
de conformidad con un sistema o procedimiento de seguridad, de acuerdo con estándares
reconocidos internacionalmente .

Artículo 27. Mensaje de datos firmado electrónicamente. Se entenderá que un
mensaje de datos ha sido firmado, si ;el símbolo o la metodología adoptada por la parte,
cumple con un procedimiento de autenticación o seguridad.

Capítulo II
Certificados

Articulo 28. Contenido de los certificados. Un certificado emitido por una entidad de
certificación, además de estar firmado electrónicamente por ésta, debe contener, por lo
menos, lo siguiente :
1. Nombre, dirección y domicilio del suscriptor.
2. Identificación del suscriptor nombrado en el certificado.
3. Nombre, dirección y lugar donde realiza actividades la entidad de certificación.
4. Metodología para verificar la firma electrónica del suscriptor impuesta en el mensaje de
datos.
5. Número de serie del certificado.
6. Fecha de emisión y expiración del certificado.

Artículo 29. Expiración de un certificado. Un certificado emitido por una entidad de
certificación expira en la fecha indicada en él.

Artículo 30. Aceptación de un certificado. Salvo acuerdo entre las partes, se entiende
que un suscriptor ha aceptado un certificado cuando la entidad de certificación, a solicitud de
éste o de una persona en nombre de éste, lo ha publicado en un repositorio o lo ha enviado
a una o más personas.

Articulo 31. Garantía derivada de la aceptación de un certificado. El suscriptor, al
momento de aceptar un certificado, garantiza a todas las personas de buena fe exentas de
culpa, que se soportan en la misma información en él contenida, que:

1. La firma electrónica autenticada mediante éste, está bajo su, control exclusivo ;
2. Ninguna persona ha tenido acceso al procedimiento de generación de la firma electrónica;
3. La información contenida en el certificado es verdadera y corresponde a la suministrada
por éste ala entidad de certificación.

Artículo 32. Suspensión y revocación de certificados. El suscriptor de una firma
certificada podrá solicitar a la entidad de certificación que expidió un certificado, la
suspensión o renovación de éste. La revocación o suspensión del certificado se hace efectiva
a partir del momento en que se registra por parte de la entidad de certificación. Este registro
debe hacerse en forma inmediata, una vez recibida la solicitud de suspensión o revocación.

Artículo 33. Causales para la revocación de certificados. El suscriptor de una firma
electrónica certificada está obligado a solicitar la revocación del certificado en los siguientes
casos:
1. Por pérdida de la información que da validez al certificado.
2. Si la privacidad del certificado ha sido expuesta o corre peligro de que se le dé un uso
indebido.

Si el suscriptor no solicita la revocación del certificado en el evento de presentarse las
anteriores situaciones, será responsable por la pérdida o perjuicio en los cuales incurran
terceros de buena fe exentos de culpa, que confiaron en el contenido del certificado.

Una entidad de certificación revocará un certificado emitido por las siguientes razones:
a. Petición del suscriptor o un tercero en su nombre y representación.
b. Muerte del suscriptor.
c. Disolución del suscriptor, en el caso de las personas jurídicas.
d. Confirmación de que alguna información o hecho, contenido en el certificado, es falso.
e. La privacidad de su sistema de seguridad ha sido co mprometida de manera material, que
afecte la confiabilidad del certificado.
f. Cese de actividades de la entidad de certificación.
g. Orden judicial o de autoridad administrativa competente.

Artículo 34. Notificación de la suspensión o revocación de un certificado. Una vez
registrada la suspensión o revocación de un certificado, la entidad de certificación debe
publicar, en forma inmediata, un aviso de suspensión o renovación en todos los repositorios
en los cuales la entidad de certificación publicó el certificado. También deberá notificar de
este hecho a las personas que soliciten información acerca de una firma electrónica
verificable, por remisión al certificado suspendido o revocado.
Si los repositorios en los cuales se publicó el certificado no existen al momento de la
publicación del aviso o son desconocidos, la entidad de certificación deberá publicar dicho
aviso en un repositorio que designe la Dirección de Comercio Electrónico del Ministerio de
Comercio e Industrias.

Artículo 35. Registro de certificados. Toda entidad de certificación deberá llevar un
registro de los certificados emitidos, que se encuentre a disposición del público, el cual debe
indicar las fechas de emisión, expiración y los registros de suspensión, revocación o
reactivación de ellos.

Artículo 36. Término de conservación de los registros. Los registros de certificados
expedidos por una entidad de certificación deben ser conservados por el término de quince
años, contado a partir de la fecha de revocación o expiración del correspondiente .

Capítulo III

Suscriptores de Firmas Electrónicas

Artículo 37. Deberes de los suscriptores. Son deberes de los suscriptores:
1. Recibir los certificados por parte de la entidad de certificación, utilizando un sistema de
seguridad exigido por la entidad de certificación con la que haya contratado sus servicios, o
en un esquema de interoperabilidad para aceptar certificados reconocidos por diferentes
entidades de certificación.
2. Suministrar información completa, precisa y verídica a la entidad de certificación con la
que haya contratado sus servicios.
3. Aceptar los certificados emitidos por la entidad de certificación, demostrando aprobación
de sus contenidos mediante el envío de éstos a una o más personas o solicitando la
publicación de éstos en repositorios.
4. Mantener el control, de la información que da privacidad al certificado y reservarla del
conocimiento de terceras personas.
5. Efectuar oportunamente las correspondientes solicitudes de suspensión o revocación.

Un suscriptor cesa en la obligación de cumplir con los anteriores deberes, a partir de la
certificación de un aviso de revocación del correspondiente certificado por parte de la entidad
de certificación.

Artículo 38. Solicitud de información. Los suscriptores podrán solicitar a la entidad de
certificación información sobre todo asunto relacionado con los certificados y las firmas
electrónicas.

Artículo 39. Responsabilidad de los suscriptores. Los suscriptores serán responsables
por la falsedad o error en la información suministrada a la entidad de certificación y que es
objeto material del contenido del certificado. También serán responsables en los casos en los
cuales no den oportunamente el aviso de revocación o suspensión de certificados, en los
casos indicados anteriormente .

Título III
Autoridad de Registro y Entidades de Certificación
Capítulo 1
Autoridad de Registro Voluntario

Artículo 40. La Autoridad. Se crea dentro del Ministerio de Comercio e Industrias, la
Dirección de Comercio Electrónico, adscrita a la Dirección Nacional de Comercio, como
Autoridad de Registro Voluntario de Prestadores de Servicios de Certificación. La Dirección de
Comercio Electrónico establecerá un sistema de acreditación mediante registro voluntario.
Por medio de la presente Ley, la Autoridad queda facultada para acreditar y supervisar a las
entidades de certificación, de acuerdo con criterios establecidos en normas internacionales, a
fin de garantizar un nivel básico de seguridad y calidad de sus servicios, que son de vital
importancia para la confiabilidad de las firmas electrónicas. La expedición de certificados u
otros servicios relacionados no estará sujeta a autorización previa .
Para realizar el registro voluntario, se deberá pagar ‘una tasa por este servicio a la
Autoridad, cuyo monto y procedimiento de pago será determinado por reglamento.
Hasta que no haya sido dictado el reglamento, se establece que la tasa de registro será de
mil balboas (B/.l,OOO.OO).
Entre las funciones de la Autoridad se encuentran las siguientes:
1. Registrar a las entidades de certificación que así lo soliciten, conforme a la reglamentación
expedida por el Ministerio de Comercio e Industrias.

2. Velar por el adecuado funcionamiento y la eficiente prestación del servicio por parte de
toda entidad de certificación, y por el cabal cumplimiento de las disposiciones legales y
reglamentarias de la actividad.
3. Dictar los reglamentos sobre la materia .
4. Revocar o suspender el registro de la entidad de certificación.
5. Requerir a las entidades de certificación que suministren información relacionada con los
certificados, las firmas electrónicas emitidas y los documentos en soporte informático que
custodie n o administren, pero únicamente cuando se refieran a los procesos que afecten la
seguridad e integridad de datos. Esta función no permite el acceso al contenido de los
mensajes, a las firmas o a los procesos utilizados, excepto mediante orden judicial.
6. Imponer sanciones a las entidades de certificación por el incumplimiento o cumplimiento
parcial de las obligaciones derivadas de la prestación del servicio.
7. Ordenar la revocación o suspensión de certificados, cuando la entidad de certificación los
emita sin el cumplimiento de las formalidades legales.
8. Designar los repositorios en los eventos previstos en la ley.

Las entidades de certificación que no lleven a cabo la acreditación voluntaria, quedaran
sujetas a las facultades de inspección de la Autoridad de Registro, para los efectos de velar
por el cumplimiento de las obligaciones correspondientes qu,e establece esta Ley o sus
reglamentos, así como al cumplimiento de las disposiciones legales sobre la materia.

Una vez presentada toda la documentación establecida para obtener la acreditación, la
Autoridad de Registro dispondrá del término de noventa días para emitir criterio. De no
efectuar ningún pronunciamiento al respecto, se entenderá que ha emitido criterio favorable
y deberá procederse con el registro. Otorgada la acreditación, la entidad de certificación será
inscrita en un registro que será de carácter público, que a tal efecto llevará la Autoridad y al
cual se podrá tener acceso por medios electrónicos. La entidad de certificación tendrá la
obligación de informar a la Autoridad de Registro cualquier modificación de las condiciones
que permitieron su acreditación.

Artículo 41. La Contraloría General de la República como entidad certificadora. Para
toda la documentación, firmas electrónicas, servicios de certificación, claves de descuentos y
otros actos que afecten o puedan afectar fondos o bienes públicos, la entidad certificadora es
la Contraloría General de la República.

Artículo 42. Infracciones v sanciones. Se consideran infracciones las siguientes:
1. Incumplimiento de cualquiera de las disposiciones de esta Ley.
2. Negligencia en la prestación del servicio.
3. Comisión de delito en la prestación del servicio.

La Autoridad de Registro, de acuerdo con el debido proceso y el derecho de defensa, podrá
imponer, según la naturaleza y la gravedad de la falta, las siguientes sanciones a las
entidades de certificación que incumplan o violen las normas a las cuales debe sujetarse su
actividad:
a. Amonestación.
b. Multa de cien balboas (B/.lOO.OO) hasta cien mil balboas (B/.lOO,OOO.OO).
c. Suspensión de inmediato de todas o algunas de las actividades de la entidad infractora .
d. Prohibición a la entidad de certificación infractora de prestar directa o indirectamente los
servicios de la entidad de certificación por el término de hasta cinco años.
e. Revocación definitiva de la acreditación y prohibición para operar en Panamá como
entidad de certificación, cuando la aplicación de las sanciones anteriormente enumeradas, no
haya sido efectiva y se pretenda evitar perjuicios reales o potenciales a terceros.

Artículo 43. Recursos. Las resoluciones de la Autoridad de Registro podrán ser impugnadas
por los interesados cuando consideren que han sido perjudicados en sus intereses legítimos o
en, sus derechos. Contra dichas resoluciones podrá ser interpuesto el Recurso de
Reconsideración contra la ,propia Autoridad de Registro y/o de Apelación ante el Ministro de
Comercio e Industrias. La Autoridad de Registro tendrá un plazo de dos meses para decidir el
Recurso de Reconsideración interpuesto. Si en tal plazo no ha sido resuelto el Recurso, la
decisión se considerará favorable al recurrente .
De la misma forma el Ministro de Comercio e Industrias dispondrá de dos meses para
resolver el Recurso de Apelación. Si en tal plazo no ha sido resuelto el Recurso, la decisión se
considerará favorable al recurrente .

Capítulo II
Entidades de Certificación

Artículo 44. Naturaleza. características Y requerimientos de las entidades de
certificación.
Podrá ser acreditada como entidad de certificación, toda persona nacional o extranjera, la
cual podrá acreditarse de forma voluntaria en la Autoridad de Registro, cumpliendo con los
requerimientos establecidos por la ley o sus reglamentos, con base en las siguientes
condiciones:
1. Contar con la capacidad económica y financiera suficientes para prestar los servicios
autorizados como entidad de certificación.
2. Contar con la capacidad tecnológica necesaria para e l desarrollo de la actividad.
3. Los representantes legales, administradores y personal operativo no podrán ser personas
que hayan sido condenadas a pena privativa de la libertad, o que hayan sido suspendidas en
el ejercicio de su profesión por faltas graves contra la ética o hayan sido excluidas de
aquélla.
4. Garantizar la existencia de un servicio seguro de consulta del registro de certificados
emitidos.
5. Emplear personal calificado para la presentación del servicio ofrecido.
6. Haber contratado un seguro apropiado.
7. Cumplir con el pago de las tasas que para tal efecto se establezcan mediante reglamento.

Artículo 45. Actividades de las entidades de certificación. Las entidades de
certificación podrán realizar las siguientes actividades:
1. Emitir certificados en relación con las firmas electrónicas de personas naturales o
jurídicas.
2. Emitir certificados sobre la verificación respecto de la alteración entre el envío y la
recepción del mensaje de datos.
3. Ofrecer o facilitar los servicios de creación de firmas electrónicas certificadas.
4. Ofrecer o facilitar los servicios de registro y estampado cronológico en la transmisión y
recepción de mensajes de datos.
5. Ofrecer los servicios de archivo y conservación de mensaje de datos.
6. Cualquier otra actividad complementaria, conexa o afin con las aquí mencionadas.

Artículo 46. Evaluaciones, técnicas a las entidades de certificación. Con el fin de
comprobar el cumplimiento de las, obligaciones de las entidades de certificación, la Autoridad
de Registro ejercerá la facultad inspectora sobre éstas y podrá, a tal efecto, requerir
información y ordenar evaluaciones técnicas de seguimiento o de renovación, por lo menos,
una vez al año a sus instalaciones. Como resultado de las visitas de evaluación técnica, la
Autoridad de Registro evaluará el desempeño de cada una de las entidades de certificación,
formulando las recomendaciones y las medidas pertinentes que deben ser atendidas por las

entidades de certificación para la prestación del servicio, de conformidad con las exigencias
legales y reglamentarias.
Sin perjuicio de lo que dispone el presente artículo, la Autoridad de Registro podrá autorizar
a otras entidades privadas o públicas, de conformidad con el reglamento re spectivo, para
llevar a cabo los análisis técnicos respectivos a la evaluación técnica.
Si, como resultado de la evaluación se establece que la entidad de certificación no ha
cumplido con los requerimientos legales y reglamentarios en el desempeño de sus
operaciones, la Autoridad podrá imponer cualquiera de las sanciones previstas en la presente
Ley. El resultado de la evaluación será incluido en la manifestación de práctica de la
correspondiente entidad de certificación. Esta manifestación de práctica deberá también
publicarse en el repositorio que la Autoridad de Registro designe para tal efecto.

Artículo 47. Manifestación de práctica de la entidad de certificación. Cada entidad de
certificación acreditada publicará, en un repositorio de la Autoridad de Registro o en el que
ésta designe, una manifestación de práctica de entidad de certificación que contenga la
siguiente información:
1. Nombre, dirección y número telefónico de la entidad de certificación.
2. Sistema electrónico de la entidad de certificación.
3. Resultado de la evaluación obtenida por la entidad de certificación en la última auditoría
realizada por la Autoridad del Registro.
4. Si la acreditación para operar como entidad de certificación ha sido revocada o
suspendida, o si con motivo de la auditoría se ha impuesto alguna sanción. Este registro
deberá incluir igualmente la fecha de la revocación o suspensión y los motivos de ésta.
5. Límites para operar la entidad de certificación.
6. Cualquier evento que sustancialmente afecte la capacidad de la entidad de certificación
para operar.
7. Lista de normas y procedimientos de certificación.
8. Denominación del sistema de seguridad y protección utilizado.
9. Método para la identificación de dicho sistema.
10. Descripción del plan de contingencia que garantice los servicios.
11. Cualquier información que se requiera mediante reglamento.

Artículo 48. Remuneración por la prestación de servicios. La remuneración por los
servicios de las entidades de certificación será establecida libremente por éstas.

Artículo 49. Deberes de las entidades de certificación. Las entidades de certificación
tendrán, entre otros, los siguientes deberes:
1. Indicar la fecha y la hora en las que se expidió o se dejó sin efecto un certificado.
2. Demostra r la fiabilidad necesaria de sus servicios.
3. Garantizar la rapidez y la seguridad en la prestación del servicio. En concreto, deberán
permitir la utilización de un servicio rápido y seguro de consulta del registro de certificados
emitidos, y habrán de asegurar la extinción o suspensión de la eficacia de éstos de forma
segura e inmediata .
4. Emplear personal calificado y con la experiencia necesaria para la prestación de los
servicios ofrecidos, en el ámbito de la firma electrónica y los procedimientos de seguridad y
de gestión adecuados.
5. Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que
garanticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a
los que sirven de soporte .
6. Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador de
servicios de certificación genere datos de creación de firma, garantizar su confidencialidad
durante el proceso de generación.

7. Emitir certificados conforme a lo s olicitado o acordado por el suscriptor. Implementar los
sistemas de seguridad para garantizar la emisión y creación de firmas electrónicas, la
conservación y archivo de certificados y documentos en soporte de mensajes de datos.
8. Garantizar la protección, confidencialidad y debido uso de la información suministrada por
el suscriptor.
9. Garantizar la prestación permanente del servicio de la entidad de certificación.
10. Atender oportunamente las solicitudes y reclamaciones hechas por los suscriptores.
11. Efectuar los avisos y publicaciones, conforme a lo dispuesto en la presente Ley.
12. Suministrar la información que le requieran las entidades administrativas competentes o
judiciales en relación con las firmas electrónicas y certificados emitidos y, en general, sobre
cualquier documento electrónico que se encuentre bajo su custodia y administración.
13. Actualizar permanentemente los medios tecnológicos, conforme a las especificaciones
adoptadas mediante reglamento.
14. Permitir y facilitar la realización de las evaluaciones técnicas que ordene la Autoridad de
Registro.
15. Publicar en un repositorio un listado de los certificados suspendidos o revocados.
16. Publicar en un repositorio su manifestación de práctica de entidad de certificación.
17. Elaborar los reglamentos que definen las relaciones con el suscriptor y la forma de
prestación del servicio.
18. Llevar un registro de los certificados.

Artículo 50. Terminación unilateral. Salvo acuerdo entre las partes, la entidad de
certificación podrá dar por terminado el acuerdo de vinculación con el suscriptor, dando un
preaviso no menor de noventa días. Vencido este término, la entidad de certificación
revocará los certificados que se encuentren pendientes, de expiración.
Igualmente, el suscriptor podrá dar por terminado el acuerdo de vinculación con la entidad
de certificación, dando un preaviso no inferior a treinta días.

Artículo 51. Responsabilidad de la entidad de certificación. Los prestadores de
servicios de certificación serán responsables de los danos y perjuicios que, en el ejercicio de
su actividad, ocasionen por la certificación u homologación de certificados de firmas
electrónicas. En todo caso, corresponderá al prestador de servicios demostrar que actuó con
la debida diligencia .
Sin perjuicio de lo dispuesto en el párrafo anterior, los prestadores de servicios de
certificación no serán responsables de los danos o perjuicios que tengan en su origen el uso
indebido o fraudulento de un certificado de tirma electrónica por parte del suscriptor.
Los prestadores de servicios debe& disponer de los recursos económicos suficientes para
operar, de conformidad con lo dispuesto en esta Ley, en particular, para afrontar el riesgo de
la responsabilidad por daños y perjuicios.
Para ello, habrán de garantizar su responsabilidad frente a los usuarios de sus servicios y
terceros afectados por éstos.
Para los efectos de este artículo, los prestadores de servicios de certificación deberán
acreditar la contratación y mantenimiento de una garantía que cubra su eventual
responsabilidad civil contractual y extracontractual. El tipo, monto y procedimiento para
consignar esta garantía será fijada mediante reglamento.

Artículo 52. Cesación de actividades por parte de las entidades de certificación. Las
entidades de certificación podrán cesar en el ejercicio de actividades, siempre que hayan
notificado a la Autoridad de Registro con cuatro meses de anticipación.
Una vez haya sido notificada la cesación de actividades, la entidad de certificación que cesará
de operar, deberá enviar a cada suscriptor un aviso, con no menos de noventa días de
anticipación a la fecha de la cesación efectiva de actividades, en el cual solicitará

autorización para revocar o publicar en otro repositorio de otra entidad de certificación, los
certificados que aún se encuentran pendientes de expiración.
Pasados sesenta días sin obtenerse respuesta por parte del suscriptor, la entidad de
certificación podrá revocar los certificados no expirados u ordenar su publicación, dentro de
los quince días siguientes, en un repositorio de otra entidad de certificación, en ambos casos,
dando aviso de ello al suscriptor.
Si la entidad de certificación no ha efectuado la publicación en los términos del párrafo
anterior, la Autoridad ordenará la publicación de los certificados no expirados en los
repositorios de la entidad de certificación por ella designada.
En el evento de no ser posible la publicación de estos certificados en los repositorios de
cualquier entidad de certificación, la Autoridad efectuará la publicación de los certificados no
expirados en un repositorio de su propiedad.

Capítulo III
Repositorios

Artículo 53. Reconocimiento y actividades de los repositorios. La Autoridad de
Registro autorizará únicamente la operación de los repositorios que mantengan las entidades
de certificación acreditadas.
Los repositorios autorizados para operar deberán
1. Mantener una base de datos de certificados, de conformidad con los reglamentos
respectivos.
2. Garantizar que la información que mantienen se conserve integra, exacta y
razonablemente confiable, de forma que pueda ser recuperada para su ulterior consulta .
3. Mantener un registro de las publicaciones de los certificados revocados o suspendidos.

Capítulo IV
Disposiciones Varias
Artículo 54. Certificaciones reciprocas. Los certificados emitidos por entidades de certificación extranjeras podrán ser reconocidos en los mismos términos y condiciones exigidos en ella para la emisión de certificados por parte de las entidades de certificación, cuando:
1. Tales certificados sean reconocidos por una entidad de certificación acreditada en Panamá
que garantice en la misma forma que lo hace con sus propios certificados, la regularidad de
los detalles del certificado, así como su validez y vigencia .
2. Tales certificados sean reconocidos en virtud de acuerdos con otros países, ya sean
bilaterales o multilaterales, o efectuados en el marco de organizaciones internacionales de
las que Panamá sea parte .
3. Tales certificados sean aceptados en virtud de su validez, de acuerdo con estándares
internacionalmente, reconocidos y éstos sean emitidos por entidades de certificación,
debidamente avalados en su país de origen, por autoridades homólogas a la Autoridad de
Registro panameña.

Artículo 55. Incorporación por remisión. Salvo acuerdo en contrario entre las partes,
cuando en un mensaje de datos se haga remisión total o parcial a directrices, normas,
estándares, acuerdos, cláusulas, condiciones ‘0 términos fácilmente accesibles con la
intención de incorporarlos como parte del contenido o hacerlos vinculantes jurídicamente, se
presume que estos términos están incorporados por remisión a ese mensaje de datos. Entre
las partes, y conforme a la ley, estos términos serán jurídicamente válidos como si hubieran
sido incorporados en su totalidad en el mensaje de datos,

Titulo IV
Reglamentación y Vigencia

Capítulo 1
Disposiciones Varias

Artículo 56. Las entidades de certificación que hayan iniciado la prestación de sus servicios
con anterioridad a la entrada en vigencia de la presente Ley, deberán adecuar sus
actividades a lo dispuesto en ella dentro de los seis meses contados a partir de la
promulgación del reglamento respectivo.

Artículo 57. El Órgano Ejecutivo deberá reglamentar la presente Ley dentro de los seis
meses siguientes a su entrada en vigencia, en lo que se refiere al funcionamiento de la
Autoridad de Registro y demás aspectos contenidos dentro de la presente Ley. El Órgano
Ejecutivo realizará consultas con el sector privado para la promulgación de leyes y
reglamentos sobre esta materia, así como para hacer recomendaciones y actualizaciones
periódicas, con el fin de contemplar innovaciones por avances tecnológicos.

Artículo 58. Vigencia v derogatoria. La presente Ley entrará a regir desde su promulgación y deroga las normas que le sean contrarias.

COMUNÍQUESE Y CÚMPLASE.
Aprobada en tercer debate, en el Palacio Justo Arosemena, ciudad de Panamá, a los 28 días
del mes de junio del año dos mil uno.
El Presidente Laurentino Cortizo Gómez
El Secretario General Encargado Jorge Ricardo Fábrega
ORGANO EJECUTIVO NACIONAL.- PRESIDENCIA DE LA REPUBLICA.-PANAMA, REPUBLICA
:DE PANAMA 31 DE JULIO DE 2001.

No hay comentarios:

Publicar un comentario en la entrada