La signatura electrònica és el mecanisme que s’utilitza per verificar la procedència i la integritat dels missatges tramesos per mitjans electrònics. Per tal d’afavorir la generalització de les comunicacions telemàtiques i el desenvolupament de la societat de la informació, i per tal que no suposi un obstacle per a l’exercici dels drets dels ciutadans, cal que els usuaris puguin confiar en aquest mecanisme opcional, i per això se’n fa necessària la regulació. Tot i que hi ha moltes possibilitats de signatura electrònica, la pràctica ha convertit la signatura que es basa en un certificat en la fórmula que ofereix més garanties de fiabilitat. Els certificats són documents electrònics emesos per tercers -els prestadors de serveis de certificació-, que relacionen les dades de creació de signatura electrònica en poder de l’usuari amb la seva identitat, i els donen a conèixer en l’àmbit telemàtic. En l’entorn europeu, la prestació de serveis de certificació és una activitat que duen a terme tant entitats públiques com privades, en règim de lliure competència, i els prestadors de serveis de certificació poden acollir-se voluntàriament a un règim jurídic específic, anomenat acreditació, mitjançant el qual l’Estat verifica que els serveis que presten compleixen determinats estàndards de qualitat i, en contrapartida, atribueix als seus certificats el caràcter de certificats qualificats o reconeguts, la qual cosa comporta una presumpció de fiabilitat. Tot i que el Principat d’Andorra és un país de dimensions reduïdes i amb unes característiques de mercat i econòmiques específiques, és convenient que la regulació de la signatura electrònica no s’aparti de l’esquema general seguit als països del nostre entorn. En conseqüència, la Llei preveu un esquema dual o mixt mitjançant la regulació de l’activitat privada de prestació de serveis de certificació tot preveient la possibilitat que les administracions públiques també puguin prestar aquests serveis. A partir d’aquestes premisses, la Llei s’estructura en vuit capítols, que tenen per objecte la determinació dels conceptes bàsics que cal considerar pel que fa a la signatura electrònica, les modalitats i els efectes; la regulació dels certificats electrònics; la regulació de la prestació de serveis de certificació, inclosos especialment els requisits i les obligacions d’aquesta activitat; les responsabilitats de les persones que intervenen en la transmissió de missatges signats electrònicament; l’acreditació dels prestadors de serveis; el règim administratiu de supervisió i control, i, per últim, el règim sancionador. Finalment, les disposicions addicionals estableixen l’equivalència dels certificats estrangers de signatura electrònica i dels aparells de creació de signatura electrònica, mentre que les disposicions finals es refereixen a l’habilitació al Govern per al desenvolupament reglamentari de la Llei i a l’entrada en vigor. Capítol primer. Disposicions generals

1. Aquesta Llei regula la signatura electrònica i els seus efectes en l’àmbit de les relacions de negocis i també en el de les administracions públiques, d’acord, en aquest cas, amb les normes reguladores del procediment administratiu. 2. La Llei regula també la prestació dels serveis de certificació, i s’aplica als prestadors de serveis de certificació establerts al Principat d’Andorra o als serveis prestats a través d’un establiment o oficina oberts al Principat d’Andorra. La mera utilització esporàdica, no continuada o habitual, de mitjans tecnològics situats a Andorra per a la prestació o l’accés al servei no s’entén com a l’existència d’un establiment permanent i no implica, per ella mateixa, l’aplicació d’aquesta Llei. 3. Les disposicions d’aquesta Llei no modifiquen el dret substantiu aplicable a la formalització, la validesa i l’eficàcia dels contractes i els actes jurídics, ni als documents en què constin. Tampoc no modifiquen les normes aplicables en matèria de protecció dels consumidors i usuaris. 4. L’ús de la signatura electrònica en les relacions amb les administracions del Principat d’Andorra només es pot sotmetre a les condicions addicionals que es preveuen en aquesta Llei, amb la condició que aquestes condicions addicionals: - siguin objectives, transparents, proporcionades i no discriminatòries; - només facin referència a les característiques específiques de l’aplicatiu de què es tracti; - no impedeixin els serveis transfronterers als ciutadans del Principat d’Andorra.

1. La signatura electrònica és el conjunt de dades consignades en un document electrònic, vinculades a altres dades o associades a elles, que poden ser utilitzades com a mitjà d’identificació de la persona que l’emet. 2. Té la condició de signatari la persona física que, actuant per compte propi o per compte d’una altra persona física o jurídica, crea una signatura electrònica mitjançant un dispositiu de creació de signatura. 3. Les signatures electròniques regulades per aquesta Llei són: a) La signatura electrònica avançada. b) La signatura electrònica qualificada o reconeguda.

[Derogat]

S’anomena signatura electrònica qualificada o reconeguda la signatura electrònica que reuneix els requisits següents: a) Estar basada en un certificat qualificat o reconegut. b) Haver estat creada mitjançant un dispositiu segur de creació de signatura.

1. La signatura electrònica qualificada o reconeguda té, respecte de les dades consignades en forma electrònica, el mateix valor jurídic que la signatura manuscrita en relació amb les consignades sobre paper. 2. La signatura electrònica qualificada o reconeguda té presumpció d’autenticitat, llevat de prova en contra. 3. La signatura electrònica que no reuneixi els requisits de signatura electrònica qualificada o reconeguda, o que no es basi en un certificat expedit per un proveïdor de serveis acreditat, no resta privada d’efectes jurídics ni d’admissibilitat en judici per aquest únic motiu. La persona que se’n vulgui servir pot acreditar-ne la fiabilitat per qualsevol mitjà admès en dret. 4. Quan la signatura electrònica s’utilitzi en el marc d’unes condicions prèviament acordades per les parts per relacionar-se entre elles, s’ha de tenir en compte allò que les parts hagin estipulat, llevat que sigui contrari a dret.

1. El document electrònic és el que està consignat en suport electrònic i pot incorporar dades signades electrònicament. 2. El document electrònic pot ser suport de documents públics i de documents privats. 3. Els documents públics emesos i signats electrònicament han de correspondre a les competències atribuïdes als càrrecs públics o funcionaris que els emetin, i han de complir els requisits establerts per la norma que els preveu. 4. Els documents a què es refereix aquest article són admissibles com a prova en judici, i tenen el valor i els efectes jurídics que corresponen a la seva respectiva naturalesa, d’acord amb aquesta Llei i amb la Llei que els és d’aplicació.

El certificat electrònic és un document signat electrònicament per un prestador de serveis de certificació que vincula unes dades de verificació de signatura a un signatari i que en confirma les identitats, tant de la signatura com del signatari.

1. Es denomina prestador de serveis de certificació la persona física o jurídica que expedeix certificats electrònics o presta altres serveis en relació amb la signatura electrònica. 2. Els serveis de certificació es presten en règim de lliure competència i no estan subjectes a autorització prèvia. Tanmateix, els prestadors de serveis de certificació, en el cas de la signatura electrònica qualificada o reconeguda, han d’obtenir prèviament l’acreditació tècnica conforme a aquesta Llei prop de l’organisme competent. 3. Les administracions públiques que prestin serveis de certificació, directament o per mitjà d’organismes o entitats vinculades, han de fer-ho d’acord amb els principis d’objectivitat, transparència, no discriminació i lliure competència. Capítol segon. Règim dels certificats electrònics

1. Poden sol·licitar certificats electrònics les persones físiques. 2. Poden sol·licitar certificats electrònics de persones jurídiques els seus administradors, representants legals o persones físiques amb poders bastants a l’efecte. 3. El que estableix aquest article no és d’aplicació als certificats que s’expedeixen a favor de les administracions públiques, els quals han d’estar subjectes a la seva normativa específica.

1. Són causes d’extinció de la validesa d’un certificat electrònic les següents: a) Expiració del període de validesa que figura en el certificat. b) Revocació formulada pel signatari, la persona física o jurídica representada per aquest, un tercer autoritzat o la persona física sol·licitant d’un certificat electrònic de persona jurídica. c) Violació o perill del secret de les dades de creació de signatura o utilització indeguda de les dades per un tercer. d) Resolució judicial o administrativa que ho ordeni. e) Defunció o extinció de la personalitat jurídica del signatari; defunció o extinció de la personalitat jurídica del representat; incapacitat sobrevinguda total o parcial, del signatari o del seu representat; cessació de la representació; dissolució de la persona jurídica representada o alteració de les condicions de custòdia o ús de les dades de creació de la signatura que es trobin reflectides als certificats expedits a una persona jurídica. f) Cessament en l’activitat del prestador de serveis de certificació, excepte si amb el previ consentiment exprés del signatari, la gestió dels certificats electrònics expedits són transferits a un altre prestador de serveis de certificació. g) Alteració de les dades aportades per a l’obtenció del certificat o modificació de les circumstàncies verificades per a l’expedició del certificat, com les relatives al càrrec o a les facultats de representació. 2. El període de validesa dels certificats electrònics ha de ser adequat a les característiques i a la tecnologia emprada per generar les dades de creació de la signatura. En el cas de certificats qualificats o reconeguts aquest període no pot ser superior a quatre anys. 3. L’extinció de la validesa d’un certificat electrònic té efectes davant de tercers en els supòsits d’expiració del seu període de validesa des que es produeixi aquesta circumstància; en la resta de casos, des que la indicació de l’esmentada extinció s’inclogui en el servei de consulta sobre la vigència dels certificats del prestador de serveis de certificació.

1. Els prestadors de serveis de certificació han de suspendre la vigència dels certificats electrònics en els casos següents: a) Sol·licitud del signatari, la persona física o jurídica representada per aquest, un tercer autoritzat o la persona física sol·licitant d’un certificat electrònic de persona jurídica. b) Resolució judicial o administrativa que ho acordi. c) Existència de dubtes fundats sobre la concurrència d’una causa d’extinció. 2. La suspensió de la vigència d’un certificat electrònic produeix efectes davant de tercers des que s’inclou en el servei de consulta sobre la vigència dels certificats del prestador de serveis de certificació.

1. El prestador de serveis de certificació ha de fer constar l’extinció o la suspensió dels certificats, de forma expressa i clara, al servei de consulta sobre la vigència de certificats, quan tingui coneixement fonamentat de qualsevol dels fets determinants de l’extinció o la suspensió. 2. El prestador de serveis de certificació ha d’informar el signatari de la revocació o suspensió del certificat de signatura electrònica de forma simultània a l’extinció o suspensió, tot indicant-li els motius i la data i l’hora en què el certificat queda sense efecte i, en el cas de suspensió, la durada, indicant-ne a més a més en aquest cas la seva durada màxima, extingint-se la vigència del certificat si transcorregut l’esmentat termini no s’hagués aixecat la suspensió. 3. L’extinció o la suspensió d’un certificat de signatura electrònica no té efectes retroactius. 4. L’extinció o la suspensió d’un certificat de signatura electrònica s’ha de mantenir accessible al servei de consulta sobre la vigència dels certificats, almenys fins a la data en què hauria acabat el seu període inicial de validesa.

Són certificats qualificats o reconeguts els certificats electrònics emesos per un prestador de serveis de certificació que compleix els requisits establerts per aquesta Llei en relació amb la comprovació de la identitat i les altres circumstàncies dels sol·licitants i amb la fiabilitat i les garanties dels serveis de certificació que prestin.

1. Els certificats qualificats o reconeguts de signatura electrònica han d’indicar expressament que es lliuren amb aquest caràcter i han de tenir, com a mínim, el contingut següent: a) La identificació del prestador de serveis de certificació que l’expedeix i el seu domicili. b) La identificació del signatari pel seu nom i cognoms o un pseudònim que consti com a tal de forma inequívoca en el cas d’una persona física, i en el cas d’una persona jurídica el seu nom, número de registre, nom i cognoms de la persona física que la representa i en quin concepte. c) Les dades de verificació de signatura que corresponguin a les dades de creació de signatura que es troben sota control del signatari. d) La data i l’hora en què s’expedeix el certificat i l’inici i la fi del seu període de validesa. e) El codi únic que identifica el certificat. f) La signatura electrònica qualificada o reconeguda del prestador de serveis que l’expedeix. g) Els límits d’ús del certificat, quan sigui el cas. h) Els límits de valor de les transaccions per a les quals pot utilitzar-se el certificat, quan sigui el cas. 2. El certificat pot contenir qualsevol altra circumstància o atribut personal significatiu del titular, en funció de la finalitat pròpia del certificat i sempre que ell hi doni el seu consentiment, en les condicions que es fan públiques en la declaració de pràctiques de certificació.

Abans de l’emissió d’un certificat qualificat o reconegut, el prestador de serveis de certificació ha de realitzar les comprovacions següents: a) Comprovar la identitat del sol·licitant del certificat, d’acord amb allò que estableix l’article 16. b) Comprovar la veracitat i l’exactitud de qualsevol altra circumstància personal o atribut que es faci constar en el certificat, especialment la condició de titular d’un càrrec o la pertinença a un col·legi professional. c) Comprovar la complementarietat de les dades de creació i de verificació de signatura, quan les lliura totes dues, o bé comprovar que el sol·licitant del certificat és titular i està en possessió de les dades de creació de signatura corresponents a les de verificació que consten al certificat.

1. La identificació de les persones físiques que demanen un certificat qualificat o reconegut exigeix la compareixença personal davant els encarregats de verificar-la i ha d’acreditar-se per mitjà de l’exhibició d’un document oficial que acrediti de forma fefaent la seva identitat. 2. Quan es tracti de certificats emesos a persones físiques però que tenen una vinculació amb una organització, entitat, institució, societat o altra persona jurídica, els prestadors de serveis de certificació han de comprovar, a més a més de la identitat del sol·licitant, les dades relatives a la constitució i la personalitat jurídica de l’entitat, i a l’extensió i la vigència de les facultats o poders de representació del sol·licitant, mitjançant els documents públics que els acreditin de forma fefaent i la consulta al pertinent registre públic, quan es tracti de dades que han de figurar-hi. 3. Quan el certificat qualificat o reconegut contingui altres circumstàncies personals o atributs del sol·licitant, els prestadors de serveis de certificació han de comprovar-los sempre, de conformitat amb la normativa específica que sigui d’aplicació. 4. No cal aplicar el que preveu l’apartat 1 quan es tracti d’un sol·licitant la identitat i les circumstàncies del qual siguin conegudes pel prestador de serveis de certificació a causa d’una relació preexistent en la qual hagi emprat els mitjans d’identificació que hi són establerts, si no han passat tres anys des de la identificació i si es té constància que totes les dades són vigents. 5. Els prestadors de serveis de certificació són personalment responsables de les actuacions de comprovació previstes en aquest article, fins i tot en el cas que en deleguin la realització a altres persones.

Tenen valor a Andorra com a certificats qualificats o reconeguts, els certificats que reuneixin una de les condicions següents: a) Haver estat emesos amb caràcter de certificats qualificats o reconeguts per un prestador de serveis de certificació establert en un Estat membre de la Unió Europea i que hagi estat acreditat d’acord amb un sistema voluntari d’acreditació de serveis de certificació en un Estat membre de la Unió Europea, sempre i que amb aquells Estats s’hagi establert i sigui vigent un conveni bilateral sobre equivalència de certificats qualificats o reconeguts, o hi hagi criteris de reciprocitat en relació a l’esmentada equivalència entre ambdós Estats. b) Haver estat expedits per Estats amb legislació sobre signatura digital per obtenir-los equivalent a l’andorrana, o amb els quals hi hagi reciprocitat en els criteris d’homologació. c) Haver estat expedits per Estats amb els quals s’hagi establert un conveni bilateral d’equivalència de certificats de signatura electrònica que ho prevegi així. Capítol tercer. Prestadors de serveis de certificació

Els prestadors de serveis de certificació que emetin certificats electrònics han de complir les obligacions següents: a) No guardar ni copiar les dades de creació de la signatura de la persona a la qual hagin prestat els seus serveis. b) Proporcionar al sol·licitant, abans de començar la relació de servei, informació sobre les obligacions del sol·licitant un cop esdevé signatari, informació sobre l’obligació de custodia dels dispositius, el secret de les claus, els mecanismes de comunicació en cas d’incidències, els mecanismes per garantir la fiabilitat de la signatura electrònica, el mètode que s’utilitzarà per comprovar la identitat del signatari i sobre els aspectes relatius a la declaració de pràctiques de certificació que regula l’article 19. c) Mantenir un registre actualitzat de certificats en el qual hi han de constar els certificats lliurats i si estan vigents o si la vigència ha estat suspesa o extingida. La integritat d’aquest directori ha de ser protegida mitjançant mecanismes de seguretat adequats. d) Garantir la disponibilitat d’un servei de consulta sobre la vigència dels certificats ràpid i segur.

1. Els prestadors de serveis de certificació han d’elaborar una declaració prèvia de pràctiques de certificació en la qual s’han d’incloure les obligacions i les garanties a les quals es comprometen en relació amb la gestió dels certificats i de les dades de creació i de verificació de la signatura, les condicions aplicables a les sol·licituds, l’ús, la suspensió de la vigència i l’extinció dels certificats, les mesures de seguretat aplicables, com també totes les altres dades i informacions que s’estableixin per reglament. 2. El prestador de serveis ha de fer pública, almenys per via electrònica, la declaració de pràctiques de certificació, de forma gratuïta i amb lliure accés.

1. A més de les obligacions establertes a l’article 18, els prestadors de serveis de certificació que emeten certificats qualificats o reconeguts han de complir les obligacions següents: a) Acreditar la fiabilitat necessària per prestar aquest tipus de servei. b) Garantir que es pugui precisar la data i l’hora en la qual es va expedir el certificat o se’n va extingir o suspendre la vigència. c) Emprar personal qualificat, amb coneixements i experiència, per garantir la seguretat i la gestió en l’àmbit de la signatura electrònica. d) Conservar registrada i amb garanties de seguretat i integritat la informació i la documentació relatives a cada certificat qualificat o reconegut, almenys durant un període de 15 anys des de l’emissió. e) Prendre mesures contra la falsificació dels certificats i, en el cas que el proveïdor de serveis de certificació generi dades de creació de la signatura, garantir la confidencialitat durant el procés de generació d’aquestes dades. f) Utilitzar sistemes i productes fiables que estiguin protegits contra tota alteració i que garanteixin la seguretat tècnica i criptogràfica dels procediments amb els quals treballen. g) Utilitzar sistemes fiables per emmagatzemar certificats de forma verificable de manera que: - només les persones autoritzades hi puguin fer anotacions i modificacions; - pugui comprovar-se l’autenticitat de la informació; - els certificats estiguin a disposició del públic per ser consultats; - l’agent pugui detectar tots els canvis tècnics que puguin afectar els requisits de seguretat mencionats. h) Disposar de recursos econòmics suficients. Les condicions en què s’han de complir aquestes obligacions s’han de fixar reglamentàriament. 2. Els prestadors de serveis de certificació que emeten certificats qualificats o reconeguts han de tenir subscrita una assegurança de responsabilitat civil per un import mínim de sis-cents mil euros per tal de garantir la cobertura dels danys i perjudicis que puguin ocasionar per raó de la seva activitat. El Govern, per decret, pot modificar l’import d’aquesta garantia i també establir altres fórmules alternatives de garantia per suplir, del tot o en part, l’assegurança.

[Derogat]

1. Els prestadors de serveis de certificació només poden demanar dades personals directament al signatari o a un tercer que actuï per compte del signatari, amb el seu consentiment previ. Les dades requerides són les estrictament necessàries per a l’emissió i el manteniment del certificat electrònic i per a la prestació dels altres serveis relacionats amb la signatura electrònica. 2. El tractament de les dades personals que els prestadors de serveis de certificació necessitin per al desenvolupament de la seva activitat està subjecta a les disposicions vigents en matèria de protecció de dades personals. 3. Els prestadors de serveis de certificació poden fer una cessió legal de dades a un altre prestador de serveis de certificació en cas de cessació d’activitat, o a l’òrgan competent de Govern, de conformitat amb la legislació sobre protecció de dades personals. Capítol quart. Responsabilitat

1. El prestador de serveis de certificació de signatura electrònica és responsable dels danys i perjudicis que ocasioni al signatari, a qui aquest representi, així com a qualsevol tercer de bona fe que confiï en un certificat expedit per ell, en les condicions previstes per aquesta Llei. 2. El prestador de serveis de certificació pot consignar al certificat eventuals límits quant als seus possibles usos, o un valor límit de les transaccions que s’hi puguin efectuar. En aquest cas, no és responsable dels danys i perjudicis causats per l’ús indegut del certificat quan s’hagin transgredit els límits establerts, o per la part que excedeixi el límit consignat. 3. Per al cas que el prestador de serveis de certificació hagi estat sancionat amb alguna de les sancions accessòries previstes a l’article 33.1.b), o hagi estat objecte de la mesura cautelar establerta en l’article 35.a), ha de: a) Notificar la suspensió a tots els usuaris dels seus certificats, indicant-ne la data d’inici i la de finalització. b) Consignar la suspensió en el certificat, indicant-ne la data d’inici i la de finalització.

El prestador de serveis de signatura electrònica no és responsable dels danys i perjudicis ocasionats al signatari o a tercers de bona fe, quan aquests danys i perjudicis resultin de l’incompliment dels deures que incumbeixen al signatari o al tercer que confia en el document signat electrònicament, d’acord amb el que preveuen els articles 25 i 26. Per invocar aquesta exempció de responsabilitat, el prestador de serveis de certificació ha de provar que ha actuat amb la diligència deguda.

1. El signatari que utilitza un dispositiu de signatura electrònica certificat té els deures següents: a) Proporcionar al prestador de serveis de certificació informació veraç, completa i exacta sobre les dades que han de constar en el certificat o que siguin necessàries per expedir-lo, revocar-lo o suspendre’l. b) Comunicar amb diligència al prestador de serveis de certificació qualsevol modificació de les circumstàncies o els atributs consignats al certificat que hagués estat objecte de variació. c) Actuar amb la màxima diligència per assegurar la confidencialitat del seu dispositiu de creació de signatura i protegir-lo de tot accés, revelació o ús no autoritzats. d) Sol·licitar diligentment la suspensió o la revocació del certificat quan tingui coneixement de circumstàncies que comporten el risc que el dispositiu de creació de signatura hagi deixat de ser segur o que pugui fer-se’n un ús no autoritzat. e) Abstenir-se d’usar el dispositiu de creació de signatura des que el certificat caduqui o des que el prestador de serveis li notifica la suspensió o la revocació. 2. El signatari que incompleix els deures esmentats a l’apartat anterior assumeix les responsabilitats que es deriven d’aquest incompliment.

[Derogat]

[Derogat]

1. Les dades de verificació de signatura són les dades, en forma de codis o claus criptogràfiques, que s’utilitzen per verificar la signatura electrònica. 2. Un dispositiu de verificació de signatura és un programa o un sistema informàtic que serveix per aplicar les dades de verificació de signatura. 3. Els dispositius segurs de verificació de signatura electrònica han de garantir, sempre que sigui tècnicament possible, que el procés de verificació d’una signatura electrònica satisfà les condicions següents: a) Que les dades utilitzades per verificar la signatura corresponen a les dades que es mostren a la persona que verifica la signatura. b) Que la signatura es verifica de forma fiable i el resultat de la verificació es presenta correctament. c) Que la persona que verifica la signatura electrònica pot establir de forma fiable el contingut del missatge de dades signat. d) Que verifica de forma fiable l’autenticitat i la validesa del certificat electrònic que s’ha exigit per verificar la signatura. e) Que mostra clarament el resultat de la verificació i la identitat del signatari o, quan sigui el cas, consta clarament l’ús d’un pseudònim. f) Que es pot detectar qualsevol canvi pertinent relatiu a la seguretat. 4. Les dades referents a la verificació de signatura, com ara el moment en què es produeix una constatació de la validesa del certificat electrònic, han de poder ser emmagatzemades per la persona que verifica la signatura o, sota la seva responsabilitat, per tercers de confiança. Capítol sisè. Acreditació de prestadors de serveis de certificació

1. L’acreditació d’un prestador de serveis de certificació és el procediment voluntari mitjançant el qual l’òrgan competent del Govern que es determini per via reglamentària, o una entitat privada o pública competent, emet una declaració a favor d’un prestador de serveis de certificació que acredita el compliment de determinats requisits específics en la prestació dels serveis que aquest ofereix al públic. 2. En el procediment d’acreditació s’han d’utilitzar les normes tècniques establertes per la Comissió Europea en desenvolupament de la Directiva 1999/93/CE, de 13 de desembre de 1999, per la qual s’estableix un marc comunitari per a la signatura electrònica o qualsevol norma que la desenvolupi o la substitueixi en el futur. L’òrgan competent del Govern ha de publicar aquestes normes al Butlletí Oficial del Principat d’Andorra. 3. L’òrgan competent ha de publicar al Butlletí Oficial del Principat d’Andorra, i a títol informatiu a la seva pàgina web, la relació d’entitats públiques i privades habilitades per acreditar prestadors de serveis de certificació que vulguin operar al territori del Principat d’Andorra. Per via reglamentària s’han d’establir els requisits mínims de coneixements tècnics, mitjans materials i humans, i altres requeriments que aquestes entitats han de complir per poder ser habilitades pel Govern d’Andorra amb aquests efectes. 4. L’acreditació dels prestadors de serveis de certificació establerts al Principat d’Andorra es pot dur a terme, a sol·licitud de la persona interessada, per una entitat d’acreditació que estigui habilitada per realitzar aquesta tasca en qualsevol Estat membre de la Unió Europea, sempre que aparegui publicada al Butlletí Oficial del Principat d’Andorra i al web de l’òrgan competent, en compliment d’allò que estableix l’apartat 3. Capítol setè. Supervisió i control

1. El Govern d’Andorra, per mitjà de l’òrgan que es determini per via reglamentària, ha de controlar que els prestadors de serveis de certificació que emetin al públic certificats electrònics compleixin les obligacions establertes en aquesta Llei. Amb aquesta finalitat pot portar a terme les actuacions inspectores que siguin necessàries. 2. Els funcionaris designats per l’òrgan competent per fer les inspeccions tenen la consideració d’agents de l’autoritat en el desenvolupament de les seves funcions.

1. Els prestadors de serveis de certificació tenen el deure de facilitar a l’òrgan competent tota la informació i col·laboració que els requereixi per a l’exercici de les seves funcions. 2. De manera especial, els prestadors de serveis han de comunicar a l’inici de la seva activitat i anar actualitzant amb la periodicitat que s’estableixi per reglament, les seves dades d’identificació, les característiques dels serveis que prestin, les acreditacions i les certificacions obtingudes per als seus serveis i altres dades necessàries d’interès per al públic, que es fixin reglamentàriament. Aquesta informació podrà ser objecte de publicació en la pàgina web de l’òrgan encarregat de la supervisió i el control dels prestadors de serveis amb la finalitat d’atorgar-li la màxima difusió i coneixement. 3. Els prestadors de serveis han de permetre als inspectors l’accés a les seves instal·lacions i la consulta de tota la documentació que els inspectors considerin rellevant per poder dur a terme amb eficàcia la seva tasca de control. En les seves inspeccions poden anar acompanyats de les persones que considerin necessàries. Capítol vuitè. Règim sancionador

1. Les infraccions a aquesta Llei es classifiquen en molt greus, greus i lleus. 2. Són infraccions molt greus: a) L’expedició de certificats qualificats o reconeguts sense realitzar les comprovacions prèvies establertes als articles 15 i 16. b) L’expedició de certificats qualificats o reconeguts amb infracció d’alguna de les obligacions establertes als articles 18 i 20.1 quan s’hagin causat danys als usuaris o quan la seguretat dels serveis de certificació s’hagi vist afectada greument. c) Incomplir les obligacions establertes a l’article 23.3. d) La reincidència en la comissió d’infraccions greus, encara que siguin de distinta naturalesa, sempre que es cometi dintre d’un període de dos anys des de la primera i l’autor n’hagi estat sancionat. 3. Són infraccions greus: a) L’expedició de certificats qualificats o reconeguts sense realitzar les comprovacions prèvies establertes als article 15 i 16, quan el fet no constitueixi una infracció molt greu. b) L’expedició de certificats qualificats o reconeguts amb infracció d’alguna de les obligacions establertes als articles 18 i 20.1, quan el fet no constitueixi una infracció molt greu. c) L’incompliment de l’obligació prevista a l’article 20.2. d) L’incompliment pels prestadors de serveis de certificació de no emetre certificats qualificats o reconeguts de les obligacions assenyalades a l’article 18, quan s’hagin causat danys als usuaris o quan la seguretat dels serveis de certificació s’hagi vist afectada greument. e) L’incompliment de les obligacions establertes a l’article 21. f) La resistència, l’obstrucció, l’excusa o la negativa injustificada a l’actuació inspectora de l’òrgan competent. g) L’incompliment de les resolucions dictades per l’òrgan competent per assegurar que el prestador de serveis s’ajusti a aquesta Llei. h) La reincidència en la comissió d’infraccions lleus, encara que siguin de distinta naturalesa, sempre que es cometi dintre d’un període de dos anys des de la primera i l’autor n’hagi estat sancionat. 4. Són infraccions lleus: L’incompliment per part dels prestadors de serveis d’altres obligacions legals no esmentades als apartats anteriors.

1. Les sancions per a les infraccions establertes a l’article 32 són les següents: a) Les infraccions molt greus són sancionades amb multa de 100.001 a 300.000 euros. A més, també es poden imposar les següents sancions accessòries: - Prohibició i cessament de l’exercici de l’activitat de prestació de serveis de certificació al Principat d’Andorra. - Extinció de tots els certificats emesos pel prestador de serveis sancionat, amb el reemborsament als usuaris de la part proporcional al període de validesa restant dels certificats afectats. b) Les infraccions greus són sancionades amb multa de 50.001 a 100.000 euros. A més, també es poden imposar les següents sancions accessòries: - Suspensió de l’exercici de l’activitat de prestació de serveis de certificació al Principat d’Andorra, fins a un termini màxim de dos anys. - Suspensió de la validesa dels certificats emesos pel prestador de serveis objecte de la sanció, fins a un termini màxim de dos anys, amb el reemborsament als usuaris de la part proporcional al període de validesa dels certificats afectats per la sanció. c) Les infraccions lleus són sancionades amb multa fins a 50.000 euros. 2. En el supòsit d’infraccions molt greus i greus, la resolució sancionadora s’ha de publicar al Butlletí Oficial del Principat d’Andorra. 3. Igualment, i per tal de fer possible el que disposa l’article 26.1.c), l’òrgan competent ha de publicar, a la seva pàgina web, les dades completes sobre sancions relatives a suspensió o extinció establertes al primer apartat, tot indicant: a) El prestador de serveis objecte de la sanció. b) Els certificats del prestador objecte de la sanció. c) La naturalesa de la sanció imposada (suspensió o extinció). d) En el cas d’extinció, la data a partir de la qual deixen de ser vàlids els certificats del prestador de serveis afectats. La data d’extinció de la validesa dels certificats objecte de sanció no pot ser mai anterior a la data de publicació de la sanció a la pàgina web de l’òrgan competent. e) En el cas de suspensió, la data d’inici de la suspensió i la data de finalització a partir de la qual els certificats tornen a tenir els efectes jurídics reconeguts en aquesta Llei. La data d’inici de la suspensió no pot ser mai anterior a la data de publicació de la sanció a la pàgina web de l’òrgan competent. 4. L’accés a la informació indicada a l’apartat 3 ha de ser sempre lliure i de caràcter gratuït. 5. També s’ha de publicar al Butlletí Oficial del Principat d’Andorra el que es preveu a l’apartat tercer, tot i que els efectes de suspensió o extinció tinguin lloc a partir de la publicació al web de l’òrgan competent.

La quantia de les sancions, dins dels límits assenyalats, es gradua tenint en compte les circumstàncies següents: a) La repercussió social de la infracció comesa i el nombre d’usuaris afectats. b) La reincidència o la reiteració. c) L’existència o la no existència d’intencionalitat. d) La quantia i la naturalesa dels perjudicis causats. e) El benefici que la infracció hagi reportat a l’infractor. En aquest cas, la sanció no pot ser inferior al benefici obtingut.

En els procediments per infraccions greus o molt greus, l’òrgan competent per instruir l’expedient pot adoptar les mesures cautelars que consideri necessàries per evitar el manteniment dels efectes de la infracció i per assegurar l’eficàcia de la resolució que es dicti. Entre altres, pot adoptar les mesures següents: a) Suspensió temporal de l’activitat del prestador de serveis de certificació i, si escau, tancament temporal de l’establiment. b) Precintatge, dipòsit o confiscació de registres, suports i arxius informàtics i de documents en general, així com d’aparells i equips informàtics. c) Advertència al públic de l’existència de possibles conductes infractores, de la incoació de l’expedient sancionador i de les mesures cautelars adoptades. d) Suspensió de vigència dels certificats afectats.

1. La instrucció dels expedients sancionadors correspon a l’òrgan competent que es determini per via reglamentària. 2. Les infraccions molt greus són sancionades pel Govern d’Andorra, i les greus i lleus, per l’òrgan competent. 3. La potestat sancionadora prevista en aquest capítol ha d’exercir-se d’acord amb les normes generals que regulen l’actuació de l’Administració general, amb les especificitats previstes per aquesta Llei.

1. Les infraccions molt greus prescriuen al cap de tres anys que hagin estat comeses, les greus ho fan al cap de dos anys i les lleus, al cap d’un. 2. Les sancions prescriuen al cap de tres anys des de la data de notificació de la resolució sancionadora esdevinguda ferma.

Els imports que el Govern pot aplicar en les actuacions derivades de l’acreditació prevista a l’article 29 s’han d’establir per via reglamentària. L’import es fixa en funció dels criteris següents: - Preus públics aplicables a l’acreditació de prestadors de serveis de certificació que sol·licitin acreditació: naturalesa dels certificats (reconeguts o altres) sobre els quals el prestador sol·liciti acreditació, quantitat i tipus de serveis objecte d’acreditació. - Preus públics per a les entitats que vulguin ser habilitades per acreditar prestadors de serveis de certificació: naturalesa dels serveis de certificació (reconeguts o d’altra natura) per als quals vulguin prestar serveis de certificació, i manteniment o no per part de l’entitat sol·licitant d’instal·lacions, dependències, així com de mitjans tècnics i humans, al Principat d’Andorra, vinculats directament a la prestació dels serveis d’acreditació.

Els serveis, els processos, els procediments i els dispositius de signatura electrònica han de ser plenament accessibles a les persones amb discapacitat i de la tercera edat, les quals no poden ser en cap cas discriminades, en l’exercici de les facultats i els drets reconeguts en aquesta Llei, per causes relacionades amb la discapacitat o amb l’edat avançada.

Es presumeix que els productes de signatura electrònica a què es refereix aquesta Llei, i especialment els esmentats al paràgraf d) de l’apartat 1 de l’article 20, són conformes amb els requisits que s’hi estableixen si s’ajusten a les normes tècniques corresponents publicades al Diari Oficial de la Unió Europea.

Abans de l’entrada en vigor de la Llei, el Govern d’Andorra ha de dictar les disposicions que resultin convenients per a l’aplicació i el desenvolupament de la signatura electrònica. En particular, ha de publicar els números de referència de les normes tècniques aprovades en el marc de la Unió Europea per a la certificació de productes i dispositius de signatura electrònica.

Aquesta Llei entrarà en vigor al cap de tres mesos de ser publicada al Butlletí Oficial del Principat d’Andorra. Casa de la Vall, 29 de desembre del 2009 Josep Dallerès Codina Síndic General Nosaltres els coprínceps la sancionem i promulguem i n’ordenem la publicació en el Butlletí Oficial del Principat d’Andorra. Nicolas Sarkozy Joan Enric Vives Sicília President de la República Francesa Bisbe d’Urgell Copríncep d’Andorra Copríncep d’Andorra