Llei 35/2014, del 27 de novembre, de serveis de confiança electrònica.

Una de les necessitats essencials en tota societat desenvolupada a fi d’afavorir el desenvolupament econòmic és la creació de confiança electrònica en l’espai digital. De fet, la manca de confiança electrònica en aquest àmbit propicia que els consumidors, les empreses i les administracions dubtin a l’hora d’executar transaccions per mitjans electrònics i adoptar nous serveis.

En aquest sentit, el marc jurídic que es proposa mitjançant aquesta Llei té per objecte establir interaccions electròniques segures entre els ciutadans, les empreses, i l’Administració pública, per tal d’augmentar l’eficiència de les activitats públiques i privades que es duen a terme en un espai digital, així com els negocis i el comerç electrònics, no només al Principat d’Andorra, sinó també considerant la perspectiva de la Unió Europea, amb la intenció d’avançar en una convergència desitjable.

La legislació fins ara vigent en la matèria, és a dir, la Llei 6/2009, del 29 de desembre, de signatura electrònica, es referia gairebé exclusivament a la signatura electrònica, sense preveure la resta de serveis de confiança electrònica. Pel que fa a la signatura electrònica, aquesta Llei substitueix la legislació fins ara vigent, per la qual cosa deroga, en particular, la referida Llei 6/2009.

A partir de l’experiència en la implantació de la certificació electrònica s’ha palesat la necessitat de disposar d’una nova Llei que permeti aquesta implantació d’una manera eficient. Aquest text, doncs, amplia el rang de serveis de confiança electrònica, entre d’altres, als serveis electrònics relatius a la creació, verificació i validació de les signatures electròniques, els segells electrònics, les marques de temps electròniques, els documents electrònics, el lliurament electrònic, l’autenticació de llocs web i la provisió de certificats electrònics i xifratge.

En tots els casos, la finalitat de la legislació és, de forma clara, contribuir a generar un elevat marc de seguretat jurídica en suport de les transaccions, públiques i privades, mitjançant les garanties dels serveis de confiança electrònica.

Els serveis de confiança electrònica, en especial quan són qualificats, permeten garantir l’autenticitat, de forma que es pot determinar que els documents i les informacions es poden vincular a la persona que els autoritza, mitjançant la signatura o el segell electrònics; la integritat, de forma que aquests documents i informacions no es poden modificar sense que la modificació sigui detectada; la irrefutabilitat o no rebuig de les declaracions contingudes en els documents i informacions signades o segellades, així com la seva remissió o recepció; i finalment, la data i l’hora en la qual existeixen els documents i les informacions.

Així mateix, el marc transfronterer per garantir la seguretat, la fiabilitat i la facilitat de les transaccions electròniques s’ha d’equiparar a les regulacions dels països que formen part de l’òrbita econòmica d’Andorra, amb la finalitat de facilitar els acords i el reconeixement en la matèria.

En conseqüència, també és objectiu d’aquesta Llei adequar la legislació existent i ampliar-la, incloent-hi altres serveis de confiança electrònica connexos essencials, perquè els ciutadans, les empreses, i les administracions, han de poder beneficiar-se d’aquest reconeixement i de l’acceptació mutus a través de les fronteres quan resulti necessari per a l’accés i la realització de procediments o transaccions electrònics.

A partir d’aquestes premisses, la Llei s’estructura en cinc capítols. El primer capítol inclou les disposicions generals. El segon capítol es refereix als serveis de confiança electrònica, amb especial incidència en la signatura electrònica i el nou segell electrònic, que substitueix la signatura electrònica de les persones jurídiques, però també les marques de temps electròniques, els certificats electrònics d’autenticació de llocs web i el servei de lliurament electrònic. El capítol tercer s’ocupa del document electrònic i la digitalització. El capítol quart versa sobre la prestació de serveis de confiança electrònica, això són els prestadors de serveis de confiança electrònica i la supervisió i el control dels serveis de confiança electrònica. Per acabar, el capítol cinquè determina el règim sancionador.

La Llei també consta d’una

Capítol primer. Disposicions generals

1. […]

   • a) en els casos als quals es refereixen els articles 12 bis a 17 d’aquesta Llei; […]

1) Factors de risc en funció del client:

• a) relació de negocis desenvolupada en circumstàncies excepcionals;
• b) clients residents a les àrees geogràfiques d’alt risc en aplicació dels factors que estableix el punt 3;
• c) persones o estructures jurídiques que constitueixen vehicles de gestió del patrimoni personal;
• d) societats amb accionistes nominals o accions al portador;
• e) activitats econòmiques que fan un ús intensiu d’efectiu;
• f) estructures societàries poc habituals o excessivament complexes, considerant la naturalesa de les activitats;
• g) clients nacionals d’Estats no membres de la Unió Europea que sol·liciten la residència o la nacionalitat andorrana a canvi de transferències de capital, adquisició de béns o bons de l’Estat, o inversions en societats andorranes.

2) Factors de risc en funció del producte, el servei, l’operació o el canal de distribució:

• a) banca privada;
• b) productes o operacions que podrien afavorir l’anonimat;
• c) relacions o operacions comercials a distància, sense certes salvaguardes com mitjans d’identificació electrònica pertinents d’acord amb la Llei 35/2014, del 27 de novembre, de certificació i confiança electrònica;
• d) pagaments rebuts de persones no identificades o tercers no associats;
• e) nous productes i noves pràctiques comercials, inclosos nous mecanismes de lliurament, i utilització de noves tecnologies o tecnologies en desenvolupament per a productes nous o ja existents;
• f) operacions relacionades amb el petroli, armes, metalls preciosos, productes del tabac, objectes culturals i altres elements d’importància arqueològica, històrica, cultural i religiosa, o amb valor científic singular, així com el marfil i les espècies protegides.

2. Els subjectes obligats examinen, en la mesura que sigui raonablement possible, el context i la finalitat de totes les operacions que compleixin almenys una de les condicions següents:

   • a) que siguin operacions complexes;
   • b) que siguin d’un import inusualment elevat;
   • c) que es duguin a terme de manera no habitual;
   • d) que no tinguin una finalitat econòmica o lícita aparent.

En particular, els subjectes obligats reforcen el grau i la naturalesa de la supervisió de la relació de negocis a fi de determinar si aquestes operacions o activitats semblen sospitoses.

1. Els prestadors de serveis de confiança electrònica indicats a l’article 33.1 tenen el deure de facilitar a l’organisme de supervisió tota la informació i col·laboració que els requereixi per a l’exercici de les seves funcions.
2. De manera especial, els prestadors de serveis de confiança electrònica indicats a l’article 33.1 han de comunicar a l’inici de la seva activitat, i anar actualitzant amb la periodicitat que s’estableixi per reglament, les seves dades d’identificació, les característiques dels serveis que prestin, les acreditacions i les certificacions obtingudes per als seus serveis i altres dades necessàries d’interès per al públic que es fixin reglamentàriament.

Aquesta informació pot ser objecte de publicació en la pàgina web de l’organisme de supervisió dels prestadors de serveis de confiança electrònica amb la finalitat d’atorgar-li la màxima difusió i coneixement.

3. Els prestadors de serveis de confiança electrònica indicats a l’article 33.1 han de permetre als inspectors l’accés a les seves instal·lacions i la consulta de tota la documentació que considerin rellevant per poder dur a terme amb eficàcia la seva tasca de control. En les inspeccions els inspectors poden anar acompanyats de les persones que considerin necessàries.

1. Els prestadors de serveis de confiança electrònica indicats a l’article 33.1 han de ser auditats anualment per un organisme independent reconegut per confirmar que tant ells com els serveis de confiança electrònica que presten compleixen els requisits establerts en aquesta Llei. Aquest informe d’auditoria de seguretat s’ha de presentar sense demora injustificada a l’organisme de supervisió.
2. Sense perjudici del que disposa l’apartat 1, l’organisme de supervisió pot, en qualsevol moment, per iniciativa pròpia o en resposta a una petició del Govern, auditar els prestadors de serveis de confiança electrònica indicats a l’article 33.1, per confirmar que tant ells com els serveis de confiança electrònica segueixen complint les condicions establertes per aquesta Llei.

L’organisme de supervisió ha d’informar l’Agència Andorrana de Protecció de Dades dels resultats de les seves auditories en cas que s’hagi infringit la legislació vigent sobre protecció de dades personals.

3. L’organisme de supervisió està facultat per impartir instruccions vinculants als prestadors de serveis de confiança electrònica indicats a l’article 33.1 per tal de corregir qualsevol incompliment dels requisits que figuri en l’informe de l’auditoria de seguretat.

En cas que el prestador de serveis de confiança electrònica qualificats requerit no esmeni aquest incompliment en el termini fixat per l’organisme de supervisió, perdrà la seva qualificació, sense perjudici de les sancions que correspongui imposar eventualment en cas d’infracció d’aquesta legislació.

1. Els prestadors de serveis de confiança electrònica indicats a l’article 33.1 han de notificar a l’organisme de supervisió la seva intenció d’iniciar la prestació d’un servei de confiança electrònica, i han de presentar-li un informe d’auditoria de la seguretat elaborat per un organisme independent reconegut, segons el que preveu l’article 35.
2. Un cop els prestadors de serveis de confiança electrònica indicats a l’article 33.1 puguin començar a prestar el servei de confiança electrònica, s’han d’incloure a les llistes de confiança electrònica a què es refereix l’article 37, i indicar-hi aquesta circumstància.
3. L’organisme de supervisió verifica la conformitat del prestador de serveis de confiança electrònica i dels serveis de confiança electrònica qualificats que presta amb els requisits de la Llei.

L’organisme de supervisió indica l’estat de qualificació dels prestadors de serveis qualificats i dels serveis de confiança electrònica qualificats que presta a les llistes de confiança electrònica després que la verificació hagi conclòs positivament, al més tard un mes després d’efectuar la notificació de conformitat amb l’apartat 1.

Si la verificació no ha conclòs en el termini d’un mes, l’organisme de supervisió n’informa el prestador de serveis de confiança electrònica especificant els motius de la demora i el termini previst per concloure la verificació.

1. El Govern estableix, manté i publica llistes de confiança electrònica amb informació relativa als prestadors de serveis de confiança electrònica, juntament amb la informació relacionada amb els serveis de confiança electrònica qualificats prestats pels prestadors.
2. El Govern estableix, manté i publica, de manera segura, les llistes de confiança electrònica signades o segellades electrònicament que preveu l’apartat 1 en una forma apropiada per al tractament automàtic.
3. La posada a disposició del públic de la informació anterior es fa a través d’un canal segur, en una forma signada o segellada electrònicament apropiada per al tractament automàtic.

És possible obtenir una certificació del compliment dels requisits aplicables als serveis de confiança electrònica qualificats, mitjançant un procediment pel qual l’entitat pública o privada acreditada pel Govern que fa les funcions d’entitat d’acreditació emeti una proposta no vinculant, independent i objectiva al Govern després de les verificacions oportunes.

La certificació l’emet el Govern, i pressuposa que el servei de confiança electrònica certificat és qualificat.

Capítol cinquè. Règim sancionador

Aquesta Llei entrarà en vigor al cap de tres mesos de ser publicada al Butlletí Oficial del Principat d’Andorra.

Casa de la Vall, 27 de novembre del 2014

Vicenç Mateu Zamora

Síndic General

Nosaltres els coprínceps la sancionem i promulguem i n’ordenem la publicació en el Butlletí Oficial del Principat d’Andorra.

Joan Enric Vives Sicília François Hollande

Bisbe d’Urgell President de la

República Francesa

Copríncep d’Andorra Copríncep d’Andorra

L’objecte d’aquesta Llei és:

• a) Regular els efectes jurídics de les signatures electròniques, els segells electrònics, les marques de temps electròniques, els certificats electrònics d’autenticació de lloc web i els serveis de lliurament electrònics.
• b) Establir un règim jurídic dels prestadors de serveis de confiança electrònica i de la seva activitat, les condicions de supervisió i el règim de sancions i infraccions.
• c) Establir les condicions en què Andorra reconeix l’eficàcia, en el seu territori, dels serveis de confiança electrònica prestats pels prestadors de serveis de confiança electrònica estrangers.

1. Aquesta Llei és d’aplicació als prestadors de serveis de confiança electrònica establerts a Andorra i als serveis prestats a través d’un establiment permanent al país.

S’entén que un prestador està establert a Andorra, quan el lloc en el qual estigui efectivament centralitzada la gestió administrativa i la direcció dels seus negocis es trobi en el territori andorrà. A tals efectes, es presumeix, llevat prova del contrari, que la gestió administrativa i la direcció dels negocis d’un prestador es troba centralitzada en el territori d’Andorra quan l’esmentat prestador té la seva residència habitual o el seu domicili registral a Andorra, o quan s’ha inscrit en el Registre de Societats o en un altre registre públic d’Andorra en què fos necessària la inscripció per a l’adquisició de la personalitat jurídica.

Es considera que un prestador actua mitjançant un establiment permanent situat a Andorra, quan disposa en el mateix, de forma continuada o habitual, d’instal·lacions o de llocs de treball en els quals realitza tota o una part de la seva activitat.

La utilització de mitjans tecnològics situats a Andorra per a la prestació o l’accés als serveis, no serveix, per si sola, com a criteri per a determinar l’establiment a Andorra de l’operador.

2. Aquesta Llei no s’aplica a la prestació de serveis de confiança electrònica oferts dins d’un sistema tancat, establert per disposició d’una llei o d’acord amb un contracte, quan s’ofereixin a un conjunt definit de participants i els utilitzin exclusivament entre ells sense que tinguin efectes en tercers.
3. Les disposicions d’aquesta Llei no modifiquen els requisits aplicables a la formalització, la validesa i l’eficàcia dels negocis i els actes jurídics, ni dels documents en què constin. Tampoc no modifiquen les normes aplicables en matèria de protecció dels consumidors i usuaris, ni de comerç.

Sempre que sigui possible, els serveis de confiança electrònica prestats i els productes pels usuaris finals utilitzats en les prestacions d’aquests serveis han de ser accessibles per a les persones amb discapacitat.

Capítol segon. Els serveis de confiança electrònica

Secció primera. Règim de la signatura i el segell electrònics

1. Quan una llei exigeix la signatura d’una persona física, aquest requisit s’entén complert amb l’ús de la signatura electrònica que resulti apropiada.
2. No es denegaran els efectes jurídics i l’admissibilitat com a prova en procediments judicials i administratius de qualsevol tipus a una signatura electrònica pel sol fet de complir aquesta condició.
3. Una signatura electrònica qualificada té, respecte de les dades consignades en suport digital, el mateix efecte jurídic que la signatura manuscrita en relació amb les dades consignades sobre paper.

S’entén que la signatura electrònica qualificada reuneix les condicions necessàries per produir els efectes indicats en aquest article, quan el certificat qualificat en què es basa hagi estat proporcionat per un prestador de serveis de confiança electrònica qualificat segons l’establert en aquesta Llei i el dispositiu qualificat de creació de la signatura amb el qual aquesta es produeixi es trobi certificat.

4. Quan la signatura electrònica s’utilitzi en el marc d’unes condicions acordades prèviament per les parts per relacionar-se exclusivament entre elles privadament, s’ha de tenir en compte allò que les parts hagin estipulat, llevat que sigui contrari a dret.

5. El Govern pot dictar disposicions reglamentàries per definir els diversos nivells de seguretat de la signatura electrònica, així com establir números de referència de normes relatives als mateixos nivells, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels nivells de seguretat quan la signatura electrònica s’ajusti a aquestes normes.

1. Els certificats electrònics qualificats de signatura electrònica han d’indicar expressament que es lliuren amb aquest caràcter i han de tenir, com a mínim, el contingut següent:

   • a) Una indicació, almenys en un format adequat per al processament automàtic, que el certificat electrònic ha estat expedit com a certificat electrònic qualificat de signatura electrònica.
   • b) Un conjunt de dades que representi inequívocament el prestador de serveis de confiança electrònica qualificat que expedeix els certificats electrònics qualificats, inclòs com a mínim l’Estat en el qual el prestador està establert, i

• per a persones físiques: el nom de la persona.

• per a persones jurídiques: el nom i el número de registre segons consten en els registres oficials.

  • c) Un conjunt de dades que representi inequívocament el signatari al qual s’ha expedit el certificat electrònic, inclosos almenys el seu nom o un pseudònim, que s’identifiqui com a tal.

  • d) Dades de validació de la signatura electrònica que corresponguin a les dades de creació de la signatura electrònica.

  • e) Les dades relatives a l’inici i al final del període de validesa del certificat electrònic.

  • f) El codi d’identitat del certificat electrònic, que ha de ser únic per al prestador de serveis de confiança electrònica qualificat.

  • g) La signatura electrònica avançada o el segell electrònic avançat del prestador de serveis de confiança electrònica emissor.

  • h) El lloc on es troba gratuïtament el certificat electrònic que dóna suport a la signatura electrònica avançada o el segell electrònic avançat a què es fa referència en la lletra g).

    • i) La localització dels serveis d’estat de validesa del certificat electrònic que poden utilitzar-se per esbrinar l’estat de validesa del certificat electrònic qualificat.

  • j) Quan les dades de creació de la signatura electrònica relacionades amb les dades de validació de la signatura electrònica es trobin en un dispositiu de creació de signatures electròniques qualificat, una indicació adequada d’aquesta circumstància, almenys en una forma apta per al processament automàtic.

2. El certificat electrònic pot contenir qualsevol altra circumstància o atribut personal significatiu del titular, en funció de la finalitat mateixa del certificat electrònic i sempre que el titular hi doni el seu consentiment, en les condicions que es fan públiques en la declaració de pràctiques de confiança electrònica.

3. Si un certificat electrònic qualificat de signatura electrònica es revoca després de l’activació inicial, perd la validesa i no pot, en cap circumstància, recuperar el seu estat renovant-ne la validesa.

4. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments dels certificats electrònics qualificats de signatura electrònica, així com establir números de referència de normes relatives als mateixos certificats, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan el certificat electrònic qualificat de signatura electrònica s’ajusti a aquestes normes.

1. Quan una llei exigeix la signatura d’una persona jurídica, aquest requisit s’entén complert amb l’ús del segell electrònic que resulti apropiat.
2. No es denegaran els efectes jurídics i l’admissibilitat com a prova en procediments judicials i administratius de qualsevol tipus a un segell electrònic pel sol fet que es presenti en forma electrònica.
3. Un segell electrònic qualificat disposa de la presumpció legal de garantir l’origen i la integritat de les dades a què està vinculat.

S’entén que el segell electrònic qualificat reuneix les condicions necessàries per produir els efectes indicats en aquest article, quan el certificat qualificat en què es basa hagi estat proporcionat per un prestador de serveis de confiança electrònica qualificat segons l’establert en aquesta Llei i el dispositiu qualificat de creació del segell amb el qual aquest es produeixi es trobi certificat.

4. El Govern pot dictar disposicions reglamentàries per definir els diversos nivells de seguretat del segell electrònic, així com establir números de referència de normes relatives als mateixos nivells, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels nivells de seguretat quan el segell electrònic s’ajusti a aquestes normes.

1. Els certificats electrònics qualificats de segell electrònic han de contenir:

   • a) Una indicació, almenys en un format adequat per al processament automàtic, que el certificat electrònic ha estat expedit com a certificat electrònic qualificat de segell electrònic.
   • b) Un conjunt de dades que representi inequívocament el prestador de serveis de confiança electrònica qualificat que expedeix els certificats electrònics qualificats, inclòs com a mínim l’Estat en el qual el prestador està establert, i

• per a persones físiques: el nom de la persona.

• per a persones jurídiques: el nom i el número de registre segons consten en els registres oficials.

  • c) Un conjunt de dades que representi inequívocament la persona jurídica a la qual s’hagi expedit el certificat electrònic, incloent-hi almenys el nom i el número de registre, tal com figuren en els registres oficials.

  • d) Les dades de validació del segell electrònic que corresponguin a les dades de creació del segell electrònic.

  • e) Les dades relatives a l’inici i al final del període de validesa del certificat electrònic.

  • f) El codi d’identitat del certificat electrònic, que ha de ser únic per al prestador de serveis de confiança electrònica qualificat.

  • g) La signatura electrònica avançada o el segell electrònic avançat del prestador de serveis de confiança electrònica emissor.

  • h) El lloc en què es troba gratuïtament el certificat electrònic que dóna suport a la signatura electrònica avançada, o el segell electrònic avançat a què es fa referència en la lletra g).

    • i) La localització dels serveis d’estat de validesa del certificat electrònic que poden utilitzar-se per esbrinar l’estat de validesa del certificat electrònic qualificat.

  • j) Quan les dades de creació del segell electrònic relacionades amb les dades de validació del segell electrònic es trobin en un dispositiu de creació de segells electrònics qualificat, una indicació adequada d’això, almenys en una forma apta per al processament automàtic.

2. Els certificats electrònics qualificats de segell electrònic no han d’estar sotmesos a cap requisit obligatori que excedeixi els requisits que estableix l’apartat anterior.

3. Si un certificat electrònic qualificat de segell electrònic es revoca després de l’activació inicial, perd la seva validesa i no pot, en cap circumstància, recuperar el seu estat renovant la seva validesa.

4. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments dels certificats electrònics qualificats de segell electrònic, així com establir números de referència de normes relatives als mateixos certificats, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan el certificat electrònic de segell s’ajusti a aquestes normes.

1. Un dispositiu de creació de signatura electrònica i de segell electrònic és un equip o programa informàtic que serveix per aplicar les dades de creació de signatura i de segell electrònics.

2. Un dispositiu segur de creació de signatura i de segell electrònics és el que garanteix, com a mínim, pels mitjans tècnics i de procediment adequats els requisits de l’article 10.

3. El Govern pot establir números de referència de normes relatives a dispositius de signatura electrònica i de segells electrònics, i altres sistemes, mitjans i productes relacionats a què es refereix aquesta Llei, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts en aquesta Llei quan el dispositiu s’ajusti a aquestes normes.

1. Els dispositius de creació de signatures electròniques qualificades i de segells electrònics qualificats han de garantir com a mínim, per mitjans tècnics i de procediment adequats, que:

   • a) Estigui garantit el secret de les dades de creació de la signatura electrònica i de segell electrònic utilitzades per a la generació de signatures electròniques i de segells electrònics.
   • b) Les dades de creació de la signatura electrònica i del segell electrònic utilitzades per a la generació d’una signatura electrònica i d’un segell electrònic només apareguin un cop.
   • c) Hi hagi la seguretat raonable que les dades de creació de la signatura electrònica i del segell electrònic utilitzades per a la generació d’una signatura electrònica i un segell electrònic no es puguin trobar per deducció, i que la signatura i el segell electrònics estiguin protegits contra la falsificació mitjançant la tecnologia disponible en el moment.
   • d) Les dades de creació de la signatura electrònica i del segell electrònic utilitzades per a la generació d’una signatura electrònica i un segell electrònic puguin ser protegides pel signatari legítim de manera fiable enfront de la seva utilització per altres.

2. Els dispositius de creació de signatures electròniques qualificades i de segells electrònics qualificats no han d’alterar les dades que han de signar ni impedir que aquestes dades es mostrin al signatari abans de signar.

3. La generació o la gestió de les dades de creació de la signatura electrònica i del segell electrònic en nom del signatari són a càrrec d’un prestador de serveis de confiança electrònica qualificat.

4. Els prestadors de serveis de confiança electrònica qualificats que gestionin les dades de creació de la signatura electrònica i del segell electrònic en nom del signatari, poden fer còpies de seguretat de les dades de creació de la signatura electrònica i del segell electrònic, sempre que es compleixin els requisits següents:

   • a) Que la seguretat dels conjunts de dades copiades sigui del mateix nivell que per als conjunts de dades originals.
   • b) Que el nombre de conjunts de dades copiades no superi el mínim necessari per garantir la continuïtat del servei.

1. Els dispositius de creació de signatures electròniques qualificades i de segells electrònics qualificats han de ser certificats pels organismes públics o privats adequats designats pel Govern, sempre que hagin estat sotmesos a un procés d’avaluació de la seguretat dut a terme de conformitat amb les normes per a l’avaluació de la seguretat dels productes de tecnologia de la informació.
2. El Govern publica els noms i les adreces dels organismes públics o privats a què es refereix l’apartat 1.

El Govern publica al Butlletí Oficial del Principat d’Andorra una llista de dispositius de creació de signatures electròniques qualificades i segells electrònics qualificats, certificats pels organismes a què es refereix l’article anterior, així com la informació sobre els dispositius de creació de signatures electròniques i segells electrònics que han deixat d’estar certificats.

1. Un dispositiu de verificació de signatura i de segell electrònics és un equip o programa informàtic que serveix per aplicar les dades de verificació de signatura i de segell electrònics.

2. Els dispositius segurs de verificació de signatura electrònica i de segell electrònic han de garantir, sempre que sigui tècnicament possible, que el procés de verificació d’una signatura electrònica i d’un segell electrònic satisfà les condicions següents:

   • a) Que les dades utilitzades per verificar la signatura i el segell electrònics corresponen a les dades que es mostren a la persona que verifica la signatura i el segell electrònics.
   • b) Que la signatura i el segell electrònics es verifiquen de forma fiable i el resultat de la verificació es presenta correctament.
   • c) Que la persona que verifica la signatura electrònica i el segell electrònic pot establir de forma fiable el contingut del missatge de dades signat.
   • d) Que verifica de forma fiable l’autenticitat i la validesa del certificat electrònic que s’ha exigit per verificar la signatura i el segell electrònics.
   • e) Que mostra clarament el resultat de la verificació i la identitat de l’usuari de serveis de confiança electrònica o, quan sigui el cas, constata clarament l’ús d’un pseudònim.
   • f) Que s’hi pot detectar qualsevol canvi pertinent relatiu a la seguretat.

3. Les dades referents a la verificació de signatura i de segell electrònics, com ara el moment en què es produeix una constatació de la validesa del certificat electrònic, han de poder ser emmagatzemades per la persona que verifica la signatura i el segell electrònics o, sota la seva responsabilitat, per tercers de confiança electrònica.

1. El procés de validació d’una signatura electrònica qualificada i un segell electrònic qualificat confirma la validesa de la signatura i del segell electrònics sempre que:

   • a) El certificat electrònic que dóna suport a la signatura o al segell electrònics és un certificat electrònic qualificat de signatura electrònica o de segell electrònic que s’ajusta al que disposen l’article 6 o l’article 8, respectivament.

   • b) El certificat electrònic qualificat requerit és autèntic i vàlid.

   • c) Les dades de validació de la signatura i del segell electrònics corresponen a les dades proporcionades a l’usuari.

   • d) El conjunt de dades que representa inequívocament el signatari es facilita correctament a l’usuari.

   • e) En el cas que s’utilitzi un pseudònim, la utilització del mateix pseudònim s’indica clarament a l’usuari.

   • f) La signatura electrònica i el segell electrònic es van crear mitjançant un dispositiu de creació de signatures electròniques qualificat.

   • g) La integritat de les dades signades no s’ha vist compromesa.

   • h) S’han complert els requisits que preveu l’article 3, apartats 36 i 28, respectivament.

     • i) El sistema utilitzat per validar la signatura i el segell electrònics ofereix a la part usuària el resultat correcte del procés de validació i li permet detectar qualsevol problema que afecti la seguretat.

2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments de la validació de les signatures electròniques qualificades i dels segells electrònics qualificats, així com establir números de referència de normes relatives a la mateixa validació, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan la validació s’ajusti a aquestes normes.

1. Presta un servei de validació qualificat per a les signatures electròniques qualificades i els segells electrònics qualificats, el prestador de serveis de confiança electrònica qualificat que:

   • a) realitzi la validació de conformitat amb l’article 14, i
   • b) permeti que les parts usuàries rebin el resultat del procés de validació d’una manera automatitzada fiable, eficient, i amb la signatura electrònica avançada o el segell electrònic avançat del prestador de serveis de validació qualificat.

2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments del servei qualificat de validació de les signatures electròniques qualificades i dels segells electrònics qualificats, així com establir números de referència de normes relatives al mateix servei qualificat de validació, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan el servei de validació s’ajusti a aquestes normes.

1. Presta un servei de conservació de signatures electròniques i de segells electrònics qualificat el prestador de serveis de confiança electrònica qualificat que utilitzi procediments i tecnologies capaços d’ampliar la fiabilitat de les dades de validació de la signatura electrònica qualificada i del segell electrònic qualificat més enllà del període de validesa tecnològic.
2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments per a la conservació de signatures electròniques qualificades i segells electrònics qualificats, així com establir números de referència de normes relatives a la mateixa conservació, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits establerts a l’apartat 1 quan el servei de conservació s’ajusti a aquestes normes.

Secció segona. Marques de temps electròniques

1. No es denegaran els efectes jurídics i l’admissibilitat com a prova en procediments judicials i administratius de qualsevol tipus a una marca de temps electrònica pel sol fet de complir aquesta condició.
2. La marca de temps electrònica qualificada disposa de la presumpció legal de garantir la data i l’hora que indica, i la integritat de les dades a què estan vinculades aquestes data i hora.

1. Una marca de temps electrònica qualificada ha de complir els requisits següents:

   • a) Estar vinculada amb exactitud al Temps Universal Coordinat (UTC) de manera que s’elimini qualsevol possibilitat de modificar les dades sense que es detecti.
   • b) Estar basada en una font d’informació temporal exacta.
   • c) Haver estat expedida per un prestador de serveis de confiança electrònica qualificat.
   • d) Haver estat signada mitjançant l’ús d’una signatura electrònica avançada, o d’un segell electrònic avançat del prestador de serveis de confiança electrònica qualificat, o per qualsevol mètode equivalent.

2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments per a la vinculació exacta de la data i l’hora amb les dades, i una font d’informació temporal exacta, així com establir números de referència de normes relatives a les mateixes dades, que han de ser publicades al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels nivells de seguretat quan la marca de temps electrònica s’ajusti a aquestes normes.

Secció tercera. Certificats electrònics d’autenticació de llocs web

1. Els certificats electrònics qualificats d’autenticació de llocs web han de contenir:

   • a) Una indicació, almenys en un format adequat per al processament automàtic, que el certificat electrònic ha estat expedit com a certificat electrònic qualificat d’autenticació de llocs web.
   • b) Un conjunt de dades que representi inequívocament el prestador de serveis de confiança electrònica qualificat que expedeix els certificats electrònics qualificats, inclòs com a mínim l’Estat en el qual el prestador està establert, i

• per a persones físiques: el nom de la persona.

• per a persones jurídiques: el nom i el número de registre segons consten en els registres oficials.

  • c) Un conjunt de dades que representi inequívocament la persona jurídica a la qual s’hagi expedit el certificat electrònic, incloent-hi almenys el nom i el número de registre, tal com figuren en els registres oficials.

  • d) Elements de l’adreça, inclosa almenys la ciutat i l’Estat, de la persona jurídica a qui s’expedeix el certificat electrònic, segons figuri en els registres oficials.

  • e) El nom o els noms de domini explotats per la persona a la qual s’expedeix el certificat electrònic.

  • f) Les dades relatives a l’inici i el final del període de validesa del certificat electrònic.

  • g) El codi d’identitat del certificat electrònic, que ha de ser únic per al prestador de serveis de confiança electrònica qualificat.

  • h) La signatura electrònica avançada o el segell electrònic avançat del prestador de serveis de confiança electrònica emissor.

    • i) El lloc en què es troba gratuïtament el certificat electrònic que dóna suport a la signatura electrònica avançada o el segell electrònic avançat a què es fa referència en la lletra h).

  • j) La localització dels serveis d’estat de validesa del certificat electrònic que poden utilitzar-se per esbrinar l’estat de validesa del certificat electrònic qualificat.

2. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments dels certificats electrònics qualificats d’autenticació de lloc web, així com establir números de referència de normes relatives als mateixos requeriments, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits de l’apartat 1 quan el certificat electrònic d’autenticació de lloc web s’ajusti a aquestes normes.

Secció quarta. Servei de lliurament electrònic

1. Les dades enviades, rebudes, o posades a disposició mitjançant un servei de lliurament electrònic, són admissibles com a prova en procediments judicials i administratius de qualsevol tipus pel que fa a la integritat de les dades, i la certesa de la data i l’hora en què les dades van ser enviades a un determinat destinatari, rebudes per ell, o posades a la seva disposició.
2. Les dades enviades, rebudes o posades a disposició mitjançant un servei de lliurament electrònic qualificat, disposen de la presumpció legal de la integritat de les dades, i l’exactitud de la data i l’hora d’enviament, recepció o posada a disposició de les dades que indica el sistema de lliurament electrònic qualificat.

1. Sempre que la llei exigeixi que la informació consti per escrit, aquest requisit s’entendrà satisfet si consta en un suport digital i accessible per a la seva ulterior consulta.
2. Un document electrònic podrà tenir la consideració de document públic sempre que reuneixi els requisits que exigeixi la legislació específica aplicable.
3. Els documents electrònics es consideren equivalents als documents en paper, són admissibles com a prova documental en procediments judicials i administratius de qualsevol tipus, i tenen el valor i els efectes jurídics que corresponen a la seva naturalesa.
4. Qualsevol document que contingui una signatura electrònica qualificada o un segell electrònic qualificat de la persona competent per expedir el document en qüestió, disposa de la presumpció legal d’autenticitat i integritat, sempre que el document no contingui cap característica dinàmica capaç de modificar-lo automàticament.

1. Sempre que la reproducció no vulneri drets de propietat intel·lectual, s’autoritzen les còpies electròniques dels documents en suport paper o en un altre suport susceptible de digitalització, ja es tracti de documents públics o privats.
2. Es podrà conservar en suport digital un document públic o privat en paper amb els efectes que preveu l’apartat següent d’aquest article si la digitalització es realitza mitjançant un procés de digitalització qualificada.
3. El procés de digitalització qualificada permet considerar els documents electrònics obtinguts com a equivalents als documents en paper digitalitzats, i admissibles com a prova en procediments judicials i administratius de tot tipus, amb el mateix valor que els originals en suport paper originals, i sense necessitat de comptar amb aquests originals.
4. El Govern pot dictar disposicions reglamentàries per definir de forma més precisa els requeriments dels processos de digitalització qualificada, així com establir números de referència de normes relatives als mateixos processos, que han de ser publicats al Butlletí Oficial del Principat d’Andorra. Es presumeix el compliment dels requisits de l’apartat 1 quan el procés s’ajusti a aquestes normes.

Capítol quart. La prestació de serveis de confiança electrònica

Secció primera. Prestadors de serveis de confiança electrònica

1. Els serveis de confiança electrònica es presten en règim de lliure competència, d’acord amb les normes generals que regulen l’exercici de les activitats econòmiques.
2. Les administracions públiques que prestin serveis de confiança electrònica, directament o per mitjà d’organismes o entitats vinculades, han de fer-ho d’acord amb els principis d’objectivitat, transparència, no-discriminació i lliure competència.

1. Els serveis de confiança electrònica qualificats de països tercers són considerats equivalents als serveis de confiança electrònica qualificats subministrats pels prestadors de serveis de confiança electrònica qualificats establerts a Andorra, en els casos següents:

   • a) En el cas de prestadors de serveis de confiança electrònica establerts al territori de la Unió Europea, si el prestador del servei qualificat està satisfactòriament supervisat per l’autoritat competent del país de la Unió Europea de què es tracti i aquesta condició consta a la llista de confiança electrònica publicada per la Unió Europea.
   • b) Si el règim de prestació de serveis del prestador de serveis de confiança electrònica qualificat d’un país tercer s’ajusta als estàndards seleccionats pel Govern, que són els de la Unió Europea, i el prestador ha estat certificat d’acord amb aquests estàndards.
   • c) Si els serveis de confiança electrònica qualificats originaris del país tercer són reconeguts en virtut d’un acord entre Andorra i països tercers o organitzacions internacionals.

2. En el cas de la lletra c) de l’apartat anterior, aquests acords han de garantir que els prestadors de serveis de confiança electrònica de països tercers o organitzacions internacionals compleixen els requisits aplicables als serveis de confiança electrònica qualificats, i als certificats electrònics qualificats subministrats pels prestadors de serveis de confiança electrònica qualificats establerts al territori del Principat d’Andorra, especialment pel que fa a la protecció de les dades de caràcter personal, la seguretat i la supervisió.

Capítol primer. Disposicions generals

Capítol primer. Disposicions generals

1. El tractament de les dades personals que els prestadors de serveis de confiança electrònica necessitin per al desenvolupament de la seva activitat està subjecte a la legislació vigent en matèria de protecció de dades personals.
2. Les dades personals requerides pel prestador de serveis de confiança electrònica han de ser les estrictament necessàries per a la prestació d’un servei de confiança electrònica.
3. Els prestadors de serveis de confiança electrònica han de garantir la confidencialitat i la integritat de les dades relacionades amb la persona física afectada per la prestació d’un servei de confiança electrònica.
4. Els prestadors de serveis de confiança electrònica poden fer una cessió legal de dades a un altre prestador de serveis de confiança electrònica, en cas de cessament de l’activitat, o al Govern, de conformitat amb la legislació sobre protecció de dades personals.
5. Els prestadors de serveis de confiança electrònica poden consignar en els certificats electrònics un pseudònim en lloc del nom d’una persona física. En aquest cas, han d’identificar la persona física relacionada amb el pseudònim.

1. Els prestadors de serveis de confiança electrònica han d’elaborar una declaració prèvia de pràctiques de confiança electrònica en la qual s’han d’incloure les obligacions i les garanties a les quals es comprometen en relació amb la gestió dels serveis de confiança electrònica i les dades implicades en els mateixos serveis, les condicions aplicables a les sol·licituds, l’ús, la suspensió de la vigència, i l’extinció, les mesures de seguretat aplicables, així com la resta de dades i informacions que s’estableixin en relació amb cada servei de confiança electrònica.
2. El prestador de serveis de confiança electrònica ha de fer pública, almenys per via electrònica, la declaració de pràctiques de confiança electrònica, de forma gratuïta i amb accés lliure.

1. Els prestadors de serveis de confiança electrònica han de tenir subscrita una assegurança de responsabilitat civil. L’import mínim de l’assegurança de responsabilitat civil dels prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats és de sis-cents mil euros per tal de garantir la cobertura dels danys i perjudicis que puguin ocasionar per raó de la seva activitat.
2. El Govern, per decret, pot modificar l’import d’aquesta garantia i també establir altres fórmules alternatives de garantia per suplir tota l’assegurança o una part.

1. El cessament de l’activitat de prestació de serveis de confiança electrònica requereix la comunicació als usuaris dels seus serveis, amb una antelació mínima de dos mesos abans de l’acabament de l’activitat.
2. El prestador que cessi l’activitat de prestació pot transferir, amb el consentiment exprés dels usuaris, els serveis i les informacions associades que encara siguin vigents a un altre prestador de serveis que els assumeixi o, en cas contrari, extingir-ne la vigència i reemborsar als usuaris la part proporcional al període de validesa restant del servei.
3. El prestador també ha de comunicar que ha decidit cessar l’activitat de prestació a l’entitat pública o privada acreditada pel Govern que faci les funcions d’entitat d’acreditació en el mateix termini establert a l’apartat 1. En aquesta comunicació ha de declarar si transfereix la gestió a un altre prestador de serveis o bé si extingeix la vigència dels certificats electrònics.
4. El prestador ha de garantir durant un període de temps de quatre anys, a comptar del moment en què deixa de prestar els serveis de confiança electrònica, la disponibilitat d’un servei de consulta sobre la vigència dels certificats electrònics extingits.
5. En cas que el prestador no transfereixi l’activitat de prestació de serveis a un altre prestador, el Govern s’ha de fer càrrec de la informació identificativa o de la consulta, una vegada cessa l’activitat de certificació, amb la finalitat de garantir la conservació de les dades.

1. Els prestadors de serveis de confiança electrònica són responsables dels danys i perjudicis causats a qualsevol persona, inclòs el lucre cessant, per raó de l’incompliment de les obligacions que estableix aquesta Llei, llevat que puguin provar que han actuat amb la diligència deguda.

2. Els prestadors de serveis de confiança electrònica no són responsables dels danys i perjudicis ni del lucre cessant ocasionats a l’usuari de serveis de confiança electrònica, als destinataris dels serveis o a tercers de bona fe, quan aquests danys i perjudicis resultin de l’incompliment dels deures de l’usuari de serveis de confiança electrònica, dels destinataris dels serveis, o del tercer de bona fe que confia en el document signat electrònicament, d’acord amb el que preveuen els articles 14 i 15. Per invocar aquesta exempció de responsabilitat, el prestador de serveis de confiança electrònica ha de provar que ha actuat amb la diligència deguda.

3. Quan un prestador de serveis de confiança electrònica informi degudament els seus clients amb antelació sobre les limitacions de la utilització dels serveis que presta i aquestes limitacions siguin recognoscibles per a un tercer, el prestador de serveis de confiança electrònica no serà responsable dels perjudicis produïts per una utilització dels serveis que vagi més enllà de les limitacions indicades.

4. En el cas que el prestador de serveis de confiança electrònica hagi estat sancionat amb alguna de les sancions accessòries previstes a l’article 41.1.b), o hagi estat objecte de la mesura cautelar establerta en l’article 43.a), ha de:

   • a) Notificar la suspensió a tots els usuaris dels seus certificats electrònics, indicant-ne la data d’inici i la de finalització.
   • b) Consignar la suspensió en el certificat electrònic, indicant-ne la data d’inici i la de finalització.

Secció segona. Supervisió i control dels serveis de confiança electrònica

1. El Govern ha de controlar que els prestadors de serveis de confiança electrònica que s’adrecin al públic i els que són qualificats compleixin les obligacions establertes en aquesta Llei. Amb aquesta finalitat el Govern pot portar a terme les actuacions d’inspecció que siguin necessàries.

El Govern designa l’entitat pública o privada que fa les funcions d’entitat d’acreditació com a organisme de supervisió, la qual gaudeix de totes les competències de supervisió i investigació necessàries per a l’exercici de les seves funcions.

2. L’organisme de supervisió és responsable de l’acompliment de les tasques següents:

   • a) Encarregar-se de la supervisió dels prestadors de serveis de confiança electrònica indicats a l’apartat 1 establerts a Andorra, i dels serveis de confiança electrònica que presten, mitjançant activitats de supervisió prèvies i posteriors, amb la finalitat de garantir que compleixin els requisits aplicables establerts per aquesta Llei.
   • b) Garantir que la informació i les dades pertinents a què es refereix l’article 26.1, lletra e), registrades pels prestadors de serveis de confiança electrònica indicats a l’apartat 1, es conserven i són accessibles, en cas de cessament de les activitats d’un prestador de serveis de confiança electrònica qualificat, durant el període de temps a què es refereix l’article 26.1.e).

3. L’organisme de supervisió ha de presentar anualment al Govern un informe sobre les activitats de supervisió corresponents a l’any natural precedent abans que finalitzi el primer trimestre de l’any següent. Aquest informe ha d’incloure, com a mínim:

   • a) Informació detallada sobre les seves activitats de supervisió.
   • b) Un resum de les notificacions de violacions rebudes dels prestadors de serveis de confiança electrònica, de conformitat amb l’article 27.2.
   • c) Estadístiques sobre el mercat i l’ús dels serveis de confiança electrònica, inclosa la informació sobre els prestadors de serveis de confiança electrònica indicats a l’apartat primer, els serveis de confiança electrònica que presten, els productes que utilitzen i la descripció general dels seus clients.

4. Els funcionaris designats per l’organisme de supervisió per fer les inspeccions tenen la consideració d’agents de l’autoritat en el desenvolupament de les seves funcions.

1. Les infraccions a aquesta Llei es classifiquen en lleus, greus i molt greus.

2. Són infraccions lleus l’incompliment per part dels prestadors de serveis de confiança electrònica de les obligacions legals no esmentades als apartats següents.

3. Són infraccions greus:

   • a) La prestació d’un servei de confiança electrònica qualificat amb infracció d’alguna de les obligacions establertes a l’article 26, quan el fet no constitueixi una infracció molt greu.
   • b) La prestació d’un servei de confiança electrònica, qualificat o no, amb infracció d’alguna de les obligacions establertes als articles 27, 29, 30 i 31.
   • c) La falsa al·legació de compliment d’estàndards tècnics aplicables a productes i serveis de confiança electrònica.
   • d) La resistència, l’obstrucció, l’excusa o la negativa injustificada a l’actuació inspectora de l’entitat pública o privada acreditada pel Govern que fa les funcions d’entitat d’acreditació.
   • e) L’incompliment de les resolucions dictades per l’òrgan competent per assegurar que el prestador de serveis s’ajusti a aquesta Llei.
   • f) La reincidència en la comissió de dos infraccions lleus, encara que siguin de naturalesa distinta, sempre que es cometin dintre d’un període de dos anys des de la primera i l’autor n’hagi estat sancionat.

4. Són infraccions molt greus:

   • a) L’expedició de certificats electrònics qualificats de qualsevol tipus, sense realitzar les comprovacions prèvies establertes a l’article 26.
   • b) La prestació d’un servei de confiança electrònica qualificat amb infracció d’alguna de les obligacions establertes a l’article 26 quan s’hagin causat danys o perjudicis als usuaris o quan la seguretat del servei de confiança electrònica s’hagi vist afectada greument.
   • c) La falsa al·legació de certificacions de serveis i productes de confiança electrònica.
   • d) La reincidència en la comissió de dos infraccions greus, encara que siguin de naturalesa distinta, sempre que es cometin dintre d’un període de dos anys des de la primera i l’autor n’hagi estat sancionat.

1. L’organisme de supervisió és competent per acordar la incoació dels expedients sancionadors i per designar un instructor, que pot ser un dels seus membres. La resolució dels expedients correspon al ministre competent en matèria de comerç quan es tracti d’infraccions lleus, i al Govern quan es tracti d’infraccions greus o molt greus.
2. La potestat sancionadora prevista en aquest capítol ha d’exercir-se d’acord amb la normativa que regula l’actuació de l’Administració general, amb les especificitats previstes per aquesta Llei.
3. En el supòsit d’infraccions greus i molt greus, la resolució sancionadora s’ha de publicar al Butlletí Oficial del Principat d’Andorra, sens perjudici que es puguin publicar també a les pàgines web del Govern o a la de l’organisme de supervisió.

1. Les sancions per les infraccions establertes a l’article 39 són les següents:

   • a) Les infraccions lleus són sancionades amb multa de fins a 50.000 euros.
   • b) Les infraccions greus són sancionades amb multa de 50.001 a 100.000 euros. A més, també es poden imposar les sancions accessòries següents:

• Suspensió de l’exercici de l’activitat de prestació de serveis de confiança electrònica a Andorra, fins a un termini màxim de dos anys.

• Suspensió de la validesa dels certificats electrònics emesos pel prestador de serveis objecte de la sanció, fins a un termini màxim de dos anys, amb el reemborsament als usuaris de la part proporcional al període de validesa dels certificats electrònics afectats per la sanció.

  • c) Les infraccions molt greus són sancionades amb multa de 100.001 a 400.000 euros. A més, també es poden imposar les sancions accessòries següents:

• Prohibició i cessament permanents de l’exercici de l’activitat de prestació de serveis de confiança electrònica a Andorra.

• Extinció de tots els certificats electrònics emesos pel prestador de serveis sancionat, amb el reemborsament als usuaris de la part proporcional al període de validesa restant dels certificats electrònics afectats.

2. Igualment, el Govern ha de publicar al Butlletí Oficial del Principat d’Andorra, a la seva pàgina web, les dades relatives a la suspensió o a l’extinció establertes a l’apartat 1, tot indicant:

   • a) El prestador de serveis objecte de la sanció.
   • b) Els certificats electrònics del prestador objecte de la sanció.
   • c) La naturalesa de la sanció imposada (suspensió o extinció).
   • d) En el cas d’extinció, la data a partir de la qual deixen de ser vàlids els certificats electrònics del prestador de serveis afectats. La data d’extinció de la validesa dels certificats electrònics objecte de sanció no pot ser mai anterior a la data de publicació de la sanció a la pàgina web de l’organisme de supervisió.
   • e) En el cas de suspensió, la data d’inici de la suspensió i la data de finalització a partir de la qual els certificats electrònics tornen a tenir els efectes jurídics reconeguts en aquesta Llei. La data d’inici de la suspensió no pot ser mai anterior a la data de publicació de la sanció a la pàgina web de l’organisme de supervisió.

3. L’accés a la informació indicada a l’apartat 2 ha de ser sempre lliure i de caràcter gratuït.

La quantia de les sancions, dins dels límits assenyalats, es gradua tenint en compte les circumstàncies següents:

• a) La repercussió social de la infracció comesa i el nombre d’usuaris afectats.
• b) La reincidència o la reiteració.
• c) L’existència o la no-existència d’intencionalitat.
• d) La quantia i la naturalesa dels perjudicis causats.
• e) El benefici que la infracció hagi reportat a l’infractor. En aquest cas, la sanció no pot ser inferior al benefici obtingut.

En els procediments per infraccions greus o molt greus, l’organisme de supervisió per instruir l’expedient pot adoptar les mesures cautelars que consideri necessàries per evitar el manteniment dels efectes de la infracció i per assegurar l’eficàcia de la resolució que es dicti. Entre d’altres, pot adoptar les mesures següents:

• a) La suspensió temporal de l’activitat del prestador de serveis de confiança electrònica i, si escau, el tancament temporal de l’establiment.
• b) El precinte, el dipòsit o la confiscació de registres, suports i arxius informàtics i de documents en general, així com d’aparells i equips informàtics.
• c) L’advertència al públic de l’existència de possibles conductes infractores, de la incoació de l’expedient sancionador i de les mesures cautelars adoptades.
• d) La suspensió de vigència dels certificats electrònics afectats.

1. Les infraccions lleus prescriuen al cap d’un any des de la data de la seva comissió, les greus ho fan al cap de dos anys i les molt greus al cap de tres.
2. Les sancions prescriuen al cap de tres anys des de la data de notificació de la resolució sancionadora esdevinguda ferma.

Disposició derogatòria

Queden derogades totes les disposicions de rang igual o inferior a aquesta Llei que hi siguin incompatibles i, en particular, la Llei 6/2009, del 29 de desembre, de signatura electrònica, el Decret del 2-06-2010 pel qual s’aprova el Reglament d’organització i de funcionament de la Comissió Nacional d’Acreditació i el Decret de 2-06-10 pel qual s’aprova el Reglament d’acreditació de prestadors de serveis de certificació en el cas de la signatura electrònica qualificada o reconeguda.