Decreto Supremo que dispone medidas temporales para promover el uso de la firma digital en el sector público y modifica el Reglamento de la Ley Nº 27269, Ley de Firmas y Certificados Digitales
decreto supremo
nº 082-2024-pcm
LA PRESIDENTA DE LA REPÚBLICA
CONSIDERANDO:
Que, el artículo 1 de la Ley N° 27269, Ley de Firmas y Certificados Digitales, establece que esta tiene por objeto regular la utilización de la firma electrónica otorgándole la misma validez y eficacia jurídica que el uso de una firma manuscrita u otra análoga que conlleve manifestación de voluntad; asimismo, dispone que debe entenderse por firma electrónica a cualquier símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención precisa de vincularse o autenticar un documento cumpliendo todas o algunas de las funciones características de una firma manuscrita;
Que, el artículo 3 del Reglamento de la Ley N° 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo N° 052-2008-PCM, señala que la firma digital generada dentro de la Infraestructura Oficial de Firma Electrónica tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita;
Que, el artículo 27 del Reglamento de la Ley N° 27269, dispone que para operar en el marco de la Infraestructura Oficial de Firma Electrónica y afrontar los riesgos que puedan surgir como resultado de sus actividades de certificación, las Entidades de Certificación acreditadas o reconocidas, de acuerdo con los niveles de seguridad establecidos, deben cumplir con mantener vigente la contratación de seguros o garantías bancarias que respalden sus certificados, así como con informar a los usuarios los montos contratados a tal efecto;
Que, según lo dispuesto en el literal a) del artículo 46 del Reglamento de la Ley N° 27269, la Entidad de Certificación Nacional para el Estado Peruano, es la encargada de emitir los certificados subordinados para las Entidades de Certificación para el Estado Peruano que lo soliciten, además de proponer a la Autoridad Administrativa Competente, las políticas y estándares de las Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestadores de Servicios de Valor Añadido para el Estado Peruano;
Que, asimismo, mediante el artículo 47 del Reglamento de la Ley N° 27269, se designa a la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno y Transformación Digital, como Entidad de Certificación Nacional para el Estado Peruano (ECERNEP);
Que, el artículo 58 del Reglamento de la Ley N° 27269, establece que las entidades que soliciten su acreditación y registro ante la Autoridad Administrativa Competente, como Entidades de Certificación, incluyendo las Entidades de Certificación para el Estado Peruano, deben contar con los elementos de la Infraestructura Oficial de Firmas Electrónicas señalados en los incisos b), c) y d) del artículo 20 y someterse al procedimiento de evaluación comprendido en el artículo 70 del mismo Reglamento;
Que, además, el artículo 60 del Reglamento de la Ley N° 27269, prescribe que las entidades que soliciten su acreditación y registro ante la Autoridad Administrativa Competente, como Entidades de Registro o Verificación, incluyendo las Entidades de Registro o Verificación para el Estado Peruano, deben contar con los requerimientos establecidos por la Autoridad Administrativa Competente para la prestación de sus servicios, los que tendrán que asegurar la verificación de la identidad del solicitante de un nuevo certificado digital conforme a lo establecido en el literal a) del artículo 29 del citado Reglamento;
Que, asimismo, el artículo 62 del Reglamento de la Ley N° 27269, dispone que las entidades públicas y privadas que soliciten su acreditación y registro ante la Autoridad Administrativa Competente como Prestadores de Servicios de Valor Añadido, deben contar con procedimientos idóneos para la prestación de sus servicios, los cuales se encontrarán recogidos en su correspondiente Declaración de Prácticas de Valor Añadido;
Que, según la información del Registro Oficial de Prestadores de Servicios de Certificación Digital, al que se refiere el artículo 3 del Decreto Supremo Nº 026-2016-PCM, que aprueba medidas para el fortalecimiento de la infraestructura oficial de firma electrónica y la implementación progresiva de la firma digital en el Sector Público y Privado, a la fecha, se encuentran acreditadas tres entidades públicas como Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestadores de Servicios de Valor Añadido para el Estado Peruano, en el marco de la Infraestructura Oficial de Firma Electrónica;
Que, los literales a), q) y r) del artículo 80 del Texto Integrado del Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado por Resolución Ministerial N° 224-2023-PCM, establecen que la Secretaría de Gobierno y Transformación Digital tiene entre sus funciones, formular y proponer normas reglamentarias, políticas nacionales, estrategias y planes nacionales en materia de gobierno digital, confianza digital y transformación digital en el país; ejercer el rol de la Entidad de Certificación Nacional para el Estado Peruano (ECERNEP) y gestionar sus servicios, políticas e instrumentos; y, promover, dirigir, evaluar, supervisar e impulsar el uso de la firma electrónica, así como de las firmas y certificados digitales, respectivamente;
Que, el Registro Nacional de Identificación y Estado Civil, mediante el Oficio N° 1220-2023-SGEN-RENIEC, y la Superintendencia Nacional de Migraciones, mediante los Oficios N° 107-2023-GG-MIGRACIONES y N° 25-2024-GG-MIGRACIONES, solicitan a la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros ser autorizados para operar temporalmente como Prestador de Servicios de Valor Añadido para el Estado Peruano, en la modalidad de Sistema de Creación de Firma Remota, y Entidad de Certificación para el Estado Peruano, respectivamente; sin estar acreditados ante la Autoridad Administrativa Competente;
Que, en este contexto, la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros propone medidas temporales para promover la acreditación y registro de más entidades del sector público como Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano, y Prestadores de Servicios de Valor Añadido para el Estado Peruano; así como, la modificación de los artículos 27 y 46 del Reglamento de la Ley N° 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo N° 052-2008-PCM, para eximir a la ECERNEP de la obligación de mantener vigente la contratación de seguros o garantías bancarias que respalden sus certificados, debido a que sus usuarios son Entidades de Certificación para el Estado Peruano; y, establecer de manera expresa que es la única que gestiona los certificados digitales raíz de la Estructura Jerárquica de Certificación del Estado Peruano;
De conformidad con lo dispuesto en el numeral 8) del artículo 118 de la Constitución Política del Perú; la Ley N° 29158, Ley Orgánica del Poder Ejecutivo; la Ley N° 27269, Ley de Firmas y Certificados Digitales; y, el Reglamento de la Ley N° 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo N° 052-2008-PCM;
DECRETA:
Artículo 1.- Objeto y finalidad
El presente Decreto Supremo tiene por objeto establecer medidas temporales para fomentar la acreditación y registro de más entidades del sector público como Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano, y Prestadores de Servicios de Valor Añadido para el Estado Peruano, con la finalidad de promover el uso de la firma digital en el sector público; así como, modificar los artículos 27 y 46 del Reglamento de la Ley N° 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo N° 052-2008-PCM, para fortalecer a la Entidad de Certificación Nacional para el Estado Peruano.
Artículo 2.- Autorización Temporal de Entidad de Certificación para el Estado Peruano
2.1 Se autoriza a la Superintendencia Nacional de Migraciones a prestar servicios como Entidad de Certificación para el Estado Peruano sin encontrarse acreditada como tal ante la Autoridad Administrativa Competente (AAC) de la Infraestructura Oficial de Firma Electrónica (IOFE), hasta el 31 de diciembre de 2026.
2.2 En el plazo citado en el numeral anterior, la Superintendencia Nacional de Migraciones opera cumpliendo las disposiciones establecidas en la Guía de Acreditación de Entidad de Certificación, en la Política General de Certificación y en las Políticas Específicas de la Entidad de Certificación Nacional para el Estado Peruano.
2.3 Luego de dicho plazo, la Superintendencia Nacional de Migraciones debe acreditarse ante la AAC para continuar prestando los servicios señalados en el numeral 2.1 del presente artículo.
Artículo 3.- Autorización Temporal de Prestador de Servicios de Valor Añadido para el Estado Peruano en la modalidad de Sistema de Creación de Firma Remota
3.1. Se autoriza al Registro Nacional de Identificación y Estado Civil (RENIEC) a prestar servicios como Prestador de Servicios de Valor Añadido para el Estado Peruano, en la modalidad de Sistema de Creación de Firma Remota, sin encontrarse acreditado como tal ante la Autoridad Administrativa Competente (AAC) de la Infraestructura Oficial de Firma Electrónica (IOFE), siempre que cumpla con los estándares técnicos sobre servicios de firma digital remota, aprobados por la AAC y, en tanto ésta última apruebe la Guía de Acreditación para Prestadores de Servicios de Valor Añadido en la modalidad de Sistema de Creación de Firma Remota.
3.2. Aprobada la Guía de Acreditación a la que se refiere el numeral precedente, el RENIEC dispone de un plazo de dos (02) años para concluir su acreditación ante la AAC. Durante dicho periodo, el RENIEC puede continuar prestando sus servicios en la referida modalidad. De no obtener su acreditación dentro del plazo señalado, el RENIEC no podrá continuar prestando sus servicios como entidad autorizada.
Artículo 4.- Autorización Temporal de Entidades de Registro o Verificación para el Estado Peruano
Las entidades del Poder Ejecutivo, Poder Legislativo, Poder Judicial, gobiernos regionales, y gobiernos locales tipo A, B y C según la clasificación del Programa de Incentivos a la Mejora de la Gestión Municipal, prestan sus servicios como Entidades de Registro o Verificación para el Estado Peruano, sin encontrarse acreditadas como tales ante la Autoridad Administrativa Competente, hasta el 31 de diciembre de 2026.
Artículo 5.- Incorporación en el Registro Oficial de Prestadores de Servicios de Certificación Digital
La Autoridad Administrativa Competente (AAC) de la Infraestructura Oficial de Firma Electrónica (IOFE) incorpora en el Registro Oficial de Prestadores de Servicios de Certificación Digital a las entidades de la Administración Pública señaladas en los artículos 2, 3 y 4 del presente Decreto Supremo, como entidades autorizadas, a solicitud de las mismas. En el caso que las entidades autorizadas no obtengan las acreditaciones en los plazos establecidos, son retiradas del referido Registro.
Artículo 6.- Modificación de los artículos 27 y 46 del Reglamento de la Ley Nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo Nº 052-2008-PCM
Modificar los artículos 27 y 46 del Reglamento de la Ley Nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo Nº 052-2008-PCM, en los siguientes términos:
“Artículo 27.- Responsabilidad por riesgos
Para operar en el marco de la Infraestructura Oficial de Firma Electrónica y afrontar los riesgos que puedan surgir como resultado de sus actividades de certificación, las Entidades de Certificación acreditadas o reconocidas, de acuerdo con los niveles de seguridad establecidos, deben cumplir con mantener vigente la contratación de seguros o garantías bancarias que respalden sus certificados, así como con informar a los usuarios los montos contratados a tal efecto. Queda exenta de esta obligación la Entidad de Certificación Nacional para el Estado Peruano.
La Autoridad Administrativa Competente establece la cuantía mínima de las pólizas de seguros o garantías bancarias, así como las medidas tecnológicas correspondientes al nivel de seguridad respectivo.
Asimismo, la Autoridad Administrativa Competente determina los criterios para evaluar el cumplimiento de este requisito.”
“Artículo 46.- Estructura Jerárquica de Certificación del Estado Peruano
Las entidades que presten servicios de certificación digital en el marco de la Infraestructura Oficial de Firma Electrónica son las entidades de la administración pública o personas jurídicas de derecho público siguientes:
a) Entidad de Certificación Nacional para el Estado Peruano, la cual es responsable de gestionar los certificados digitales raíz de la Estructura Jerárquica de Certificación del Estado Peruano, y con ellos emitir los certificados digitales subordinados para todas las Entidades de Certificación para el Estado Peruano. Además, es responsable de proponer a la Autoridad Administrativa Competente, las políticas y estándares de las Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestadores de Servicios de Valor Añadido para el Estado Peruano, según los requerimientos de la Autoridad Administrativa Competente y lo establecido por el presente Reglamento.
b) Entidades de Certificación para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, las cuales son las encargadas de proporcionar, emitir o cancelar los certificados digitales:
i. A los administrados, personas naturales y jurídicas, los cuales son utilizados prioritariamente en los trámites, procedimientos administrativos y similares;
ii. A los funcionarios, empleados y servidores públicos para el ejercicio de sus funciones y la realización de actos de administración interna e interinstitucional, y a las personas expresamente autorizadas por la entidad pública correspondiente.
c) Entidades de Registro o Verificación para el Estado Peruano acreditadas por la Autoridad Administrativa Competente, las cuales son las encargadas del: levantamiento de datos, comprobación de la información del solicitante, identificación y autenticación de los titulares y suscriptores, aceptación y autorización de solicitudes de emisión, cancelación, modificación, re - emisión y suspensión, si fuera el caso, de certificados digitales además de su gestión ante las Entidades de Certificación; para los fines previstos en el inciso b) del presente artículo.
d) Prestador de Servicios de Valor Añadido para el Estado Peruano acreditados por la Autoridad Administrativa Competente bajo cualquiera de las modalidades de servicio de valor añadido establecidas en el presente reglamento.
Las entidades señaladas en los incisos a) y b) pueden brindar servicios de valor añadido en condición de Prestador de Servicios de Valor Añadido para el Estado Peruano conforme a lo dispuesto en la Ley y el presente Reglamento, siempre y cuando cuenten con la correspondiente acreditación.
Cualquier entidad pública que cumpla con lo requerido para su acreditación ante la Autoridad Administrativa Competente puede operar bajo la modalidad de Entidad de Certificación para el Estado Peruano, Entidad de Registro o Verificación para el Estado Peruano y/o Prestador de Servicios de Valor Añadido para el Estado Peruano.
En ningún caso se admite la existencia de sistemas de certificación digital fuera de la Infraestructura Oficial de Firma Electrónica por parte de las entidades de la Administración Pública.
Los servicios brindados por los Prestadores de Servicios de Certificación Digital públicos se sustentan en los principios de acceso universal y no discriminación del uso de las tecnologías de la información y de comunicaciones, procurando que los beneficios resultantes contribuyan a la mejora de la calidad de vida de todos los ciudadanos. En consecuencia, las entidades públicas que presten servicios como Entidad de Certificación Nacional para el Estado Peruano, Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestador de Servicios de Valor Añadido para el Estado Peruano, sólo pueden considerar los costos asociados a la prestación del servicio al momento de determinar su valor a efectos de gestionar la asignación presupuestal correspondiente o determinar las tasas que garanticen su sostenibilidad en el tiempo.”
Artículo 7.- Financiamiento
La implementación de lo establecido en el presente Decreto Supremo, se financia con cargo al presupuesto institucional de las entidades públicas involucradas, sin demandar recursos adicionales al Tesoro Público.
Artículo 8.- Publicación
El presente Decreto Supremo es publicado en la Plataforma Digital Única del Estado Peruano para Orientación al Ciudadano (www.gob.pe), así como en la sede digital de la Presidencia del Consejo de Ministros (www.gob.pe/pcm), el mismo día de su publicación en el diario oficial El Peruano.
Artículo 9.- Refrendo
El presente Decreto Supremo es refrendado por el Presidente del Consejo de Ministros.
DISPOSICIONES COMPLEMENTARIAS
FINALES
Primera. Aprobación de la Guía de Acreditación para Prestadores de Servicios de Valor Añadido en la modalidad de Sistema de Creación de Firma Remota
En un plazo no mayor a dos (02) años, contado a partir de la entrada en vigencia del presente Decreto Supremo, la Autoridad Administrativa Competente de la Infraestructura Oficial de Firma Electrónica aprueba la Guía de Acreditación para Prestadores de Servicios de Valor Añadido en la modalidad de Sistema de Creación de Firma Remota, a la que se refiere el artículo 3 del presente Decreto Supremo.
Segunda. Seguimiento y evaluación
La Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros realiza el seguimiento y evalúa permanentemente el cumplimento de las disposiciones establecidas en el presente Decreto Supremo.
Dado en la Casa de Gobierno, en Lima, a los cinco días del mes de agosto del año dos mil veinticuatro.
DINA ERCILIA BOLUARTE ZEGARRA
Presidenta de la República
GUSTAVO LINO ADRIANZÉN OLAYA
Presidente del Consejo de Ministros
2312893-1