Ley de Firmas y Certificados Digitales

LEY Nº 27269

(*) De conformidad con el Artículo 3 de la Resolución N° 030-2020-APCI-DE, publicada el 27 mayo

2020, la presentación física con posterioridad al plazo dispuesto en el artículo 2 de la citada
Resolución no es aplicable a la documentación firmada digitalmente, de conformidad con la
presente Ley, y su Reglamento, aprobado por Decreto Supremo Nº 052-2008-PCM, y sus
modificatorias.

(*) De conformidad con la Octava Disposición Complementaria Final del Reglamento aprobado
por el Artículo Primero del Decreto Supremo N° 344-2018-EF, publicado el 31 diciembre 2018, se
dispone que el OSCE puede utilizar plataformas informáticas para la tramitación electrónica de
los procedimientos administrativos de su competencia, debiendo para tal efecto observar lo
dispuesto en la presente Ley. Todos los actos emitidos electrónicamente, en tanto sean emitidos
de acuerdo a las formalidades establecidas en la presente Ley, tienen pleno efecto jurídico para
las partes del procedimiento, Administración Pública y terceros. El referido Decreto entró
en vigencia a los treinta (30) días calendario, contados a partir de su publicación en el Diario Oficial
El Peruano.

(*) De conformidad con la Quinta Disposición Complementaria Transitoria del Reglamento

aprobado por el Artículo 1 del Decreto Supremo N° 009-2017-SA, publicado el 23 marzo 2017, se
dispone que las historias clínicas electrónicas implementadas con firma digital antes de la entrada
en vigencia del citado reglamento, dentro del marco de la presente Ley, su reglamento aprobado
mediante Decreto Supremo Nº 052-2008-PCM y sus modificatorias, continuarán con la validez
legal correspondiente, hasta que el Ministerio de Salud establezca la implementación del
RENHICE.

(*) De conformidad con la Quinta Disposición Complementaria Transitoria del Decreto Supremo
N° 039-2015-SA, publicado el 17 diciembre 2015, se dispone que las historias clínicas electrónicas
implementadas con firma digital antes de la entrada en vigencia del citado reglamento, dentro
del marco de la presente Ley, su reglamento aprobado mediante Decreto Supremo Nº 052-2008-
PCM, continuarán con la validez legal correspondiente, hasta que los colegios profesionales se
encuentren en capacidad de entregar los certificados digitales a todos sus colegiados.

CONCORDANCIAS: D.S. N° 052-2008-PCM (REGLAMENTO)

OTRAS CONCORDANCIAS

EL PRESIDENTE DE LA REPUBLICA

POR CUANTO:

El Congreso de la República

ha dado la Ley siguiente:

EL CONGRESO DE LA REPUBLICA;

Ha dado la Ley siguiente:

LEY DE FIRMAS Y CERTIFICADOS DIGITALES

Artículo 1.- Objeto de la ley

La presente ley tiene por objeto regular la utilización de la firma electrónica otorgándole la misma
validez y eficacia jurídica que el uso de una firma manuscrita u otra análoga que conlleve
manifestación de voluntad.

Entiéndase por firma electrónica a cualquier símbolo basado en medios electrónicos utilizado o
adoptado por una parte con la intención precisa de vincularse o autenticar un documento
cumpliendo todas o algunas de las funciones características de una firma manuscrita.

CONCORDANCIA: D.S. Nº 004-2007-PCM, Art. 2 R.SBS Nº 1270-2007

Artículo 2.- Ámbito de aplicación

La presente ley se aplica a aquellas firmas electrónicas que, puestas sobre un mensaje de datos
o añadidas o asociadas lógicamente a los mismos, puedan vincular e identificar al firmante, así como
garantizar la autenticación e integridad de los documentos electrónicos.

CONCORDANCIAS: D.S. Nº 004-2007-PCM, Arts. 1 y 55

D.S. N° 052-2008-PCM, Reglamento, Art. 73

DE LA FIRMA DIGITAL

Artículo 3.- Firma digital

La firma digital es aquella firma electrónica que utiliza una técnica de criptografía asimétrica,
basada en el uso de un par de claves único; asociadas una clave privada y una clave pública
relacionadas matemáticamente entre sí, de tal forma que las personas que conocen la clave pública
no puedan derivar de ella la clave privada.

DEL TITULAR DE LA FIRMA DIGITAL

Artículo 4.- Titular de la firma digital

El titular de la firma digital es la persona a la que se le atribuye de manera exclusiva un certificado

digital que contiene una firma digital, identificándolo objetivamente en relación con el mensaje de
datos.

Artículo 5.- Obligaciones del titular de la firma digital

El titular de la firma digital tiene la obligación de brindar a las entidades de certificación y a los
terceros con quienes se relacione a través de la utilización de la firma digital, declaraciones o
manifestaciones materiales exactas y completas.

DE LOS CERTIFICADOS DIGITALES

Artículo 6.- Certificado digital

El certificado digital es el documento electrónico generado y firmado digitalmente por una entidad
de certificación, la cual vincula un par de claves con una persona determinada confirmando su
identidad.

Artículo 7.- Contenido del certificado digital

Los certificados digitales emitidos por las entidades de certificación deben contener al menos:

1. Datos que identifiquen indubitablemente al suscriptor.

2. Datos que identifiquen a la Entidad de Certificación.

3. La clave pública.

4. La metodología para verificar la firma digital del suscriptor impuesta a un mensaje de datos.

5. Número de serie del certificado.

6. Vigencia del certificado.

7. Firma digital de la Entidad de Certificación.

Artículo 8.- Confidencialidad de la información

La entidad de registro recabará los datos personales del solicitante de la firma digital
directamente de éste y para los fines señalados en la presente ley.

Asimismo la información relativa a las claves privadas y datos que no sean materia de certificación
se mantiene bajo la reserva correspondiente. Sólo puede ser levantada por orden judicial o pedido
expreso del suscriptor de la firma digital.

Artículo 9.- Cancelación del certificado digital

La cancelación del certificado digital puede darse:

1. A solicitud del titular de la firma digital.

2. Por revocatoria de la entidad certificante.

3. Por expiración del plazo de vigencia.

4. Por cese de operaciones de la Entidad de Certificación.

Artículo 10.- Revocación del certificado digital

La Entidad de Certificación revocará el certificado digital en los siguientes casos:

1. Se determine que la información contenida en el certificado digital es inexacta o ha sido

modificada.

2. Por muerte del titular de la firma digital.

3. Por incumplimiento derivado de la relación contractual con la Entidad de Certificación.

CONCORDANCIA: D.S. Nº 004-2007-PCM, Art. 32

Artículo 11.- Reconocimiento de certificados emitidos por entidades extranjeras
Los Certificados de Firmas Digitales emitidos por entidades extranjeras tendrán la misma validez
y eficacia jurídica reconocida en la presente ley, siempre y cuando tales certificados sean reconocidos
por una entidad de certificación nacional que garantice, en la misma forma que lo hace con sus
propios certificados, el cumplimiento de los requisitos, del procedimiento, así como la validez y la
vigencia del certificado. (*)

(*) Artículo modificado por el Artículo Unico de la Ley Nº 27310, publicada el 17-07-2000, cuyo
texto es el siguiente:

“Artículo 11.- Los Certificados de Firmas Digitales emitidos por Entidades Extranjeras tendrán la
misma validez y eficacia jurídica reconocidas en la presente Ley, siempre y cuando tales certificados
sean reconocidos por la autoridad administrativa competente.”

DE LAS ENTIDADES DE CERTIFICACION Y DE REGISTRO

Artículo 12.- Entidad de Certificación

La Entidad de Certificación cumple con la función de emitir o cancelar certificados digitales, así
como brindar otros servicios inherentes al propio certificado o aquellos que brinden seguridad al
sistema de certificados en particular o del comercio electrónico en general.

Las Entidades de Certificación podrán igualmente asumir las funciones de Entidades de Registro
o Verificación.

CONCORDANCIA: D.S. Nº 004-2007-PCM, Art. 27

Artículo 13.- Entidad de Registro o Verificación

La Entidad de Registro o Verificación cumple con la función de levantamiento de datos y

comprobación de la información de un solicitante de certificado digital; identificación y
autenticación del suscriptor de firma digital; aceptación y autorización de solicitudes de emisión de
certificados digitales; aceptación y autorización de las solicitudes de cancelación de certificados
digitales.

CONCORDANCIAS: LEY N° 28403

Artículo 14.- Depósito de los Certificados Digitales

Cada Entidad de Certificación debe contar con un Registro disponible en forma permanente, que
servirá para constatar la clave pública de determinado certificado y no podrá ser usado para fines
distintos a los estipulados en la presente ley.

El Registro contará con una sección referida a los certificados digitales que hayan sido emitidos y
figurarán las circunstancias que afecten la cancelación o vigencia de los mismos, debiendo constar
la fecha y hora de inicio y fecha y hora de finalización.

A dicho Registro podrá accederse por medios telemáticos y su contenido estará a disposición de
las personas que lo soliciten.

Artículo 15.- Inscripción de Entidades de Certificación y de Registro o Verificación

 El Poder Ejecutivo, por Decreto Supremo, determinará la autoridad administrativa competente y
señalará sus funciones y facultades.

La autoridad competente se encargará del Registro de Entidades de Certificación y Entidades de

Registro o Verificación, las mismas que deberán cumplir con los estándares técnicos internacionales.

Los datos que contendrá el referido Registro deben cumplir principalmente con la función de
identificar a las Entidades de Certificación y Entidades de Registro o Verificación.

(*) De conformidad con la Sexta Disposición Complementaria Final del Decreto Supremo N° 026-
2016-PCM, publicado el 29 abril 2016, señala que cualquier referencia al Registro Oficial de
Prestadores de Servicios de Certificación Digital se entiende en el marco de lo establecido por el
Artículo 15 de la Ley Nº 27269, Ley de Firmas y Certificados Digitales. En un plazo no mayor a
sesenta (60) días calendario, contados desde el día siguiente de la publicación del presente
Decreto Supremo, la AAC, con la asistencia técnica de la ONGEI-PCM, implementa el referido
Registro y habilita el acceso a éste a través de su portal web institucional.

"Artículo 15-A.- Régimen de Infracciones y Sanciones

La autoridad administrativa competente tiene la facultad de tipificar las infracciones por

incumplimiento de lo establecido en la Ley 27269, Ley de Firmas y Certificados Digitales, su
Reglamento y las Guías de Acreditación de la Autoridad Administrativa Competente.

La autoridad competente podrá imponer las siguientes sanciones:

1. Multa, hasta un monto máximo de cincuenta (50) UIT.

2. Suspensión temporal de la acreditación.

3. Cancelación de la acreditación.

Las infracciones serán establecidas como leves, graves y muy graves; y la determinación de la
sanción se establecerá teniendo en cuenta criterios de proporcionalidad. Cuando se trate de
infracciones muy graves, la autoridad competente adicionalmente podrá disponer la inhabilitación
hasta por diez (10) años para solicitar nuevamente la acreditación como entidad de certificación, de
registro o verificación de datos, prestadora de servicios de valor añadido o como entidad de
software de firma digital.

La autoridad competente aprobará el correspondiente reglamento de infracciones y sanciones

que comprenda la tipificación de las infracciones administrativas, el procedimiento administrativo
sancionador y la escala de sanciones correspondiente." (*)

(*) Artículo incorporado por la Segunda Disposición Complementaria Modificatoria de la Ley N°

30224, publicada el 11 julio 2014.

CONCORDANCIAS: D.S. Nº 004-2007-PCM, Art. 40 literal d)

D.S. N° 052-2008-PCM, Reglamento, Novena Disp. Comp. y Final

Artículo 16.- Reglamentación

El Poder Ejecutivo reglamentará la presente ley en un plazo de 60 (sesenta) días calendario,

contados a partir de la vigencia de la presente ley.
CONCORDANCIA: R.S. Nº 098-2000-JUS

DISPOSICIONES COMPLEMENTARIAS, TRANSITORIAS Y FINALES

Primera.- Mientras se cree el Registro señalado en el Artículo 15, la validez de los actos
celebrados por Entidades de Certificación y Entidades de Registro o Verificación, en el ámbito de la
presente ley, está condicionada a la inscripción respectiva dentro de los 45 (cuarenta y cinco) días
siguientes a la creación el(*) NOTA SPIJ referido Registro.

Segunda.- El Reglamento de la presente ley incluirá un glosario de términos referidos a esta ley
y a las firmas electrónicas en general, observando las definiciones establecidas por los organismos
internacionales de los que el Perú es parte.

CONCORDANCIA: D.S. Nº 004-2007-PCM, Octava Disposición Complementaria

Tercera.- La autoridad competente podrá aprobar la utilización de otras tecnologías de firmas

electrónicas siempre que cumplan con los requisitos establecidos en la presente ley, debiendo
establecer el Reglamento las disposiciones que sean necesarias para su adecuación.

“Cuarta.- Se autoriza a la SUNAT, hasta el 30 de junio de 2020, para ejercer funciones de Entidad
de Registro o Verificación para el Estado Peruano a que se refiere el artículo 13 de esta ley en tanto
culmina su procedimiento de acreditación respectivo ante el INDECOPI, a fin de facilitar a los sujetos,
personas naturales o jurídicas que generen ingresos netos anuales de hasta trescientas (300) UIT, la
obtención de certificados digitales, emitidos al amparo de esta Ley, para el cumplimiento de sus
obligaciones tributarias con dicha entidad, otorgándose la misma validez y eficacia jurídica señalada
en el artículo 1 de esta Ley.

Durante dicho plazo, la SUNAT podrá celebrar acuerdos con Entidades de Certificación para el
Estado Peruano o con Entidades de Certificación Privadas para la emisión o cancelación de los
respectivos certificados digitales, quienes podrán brindar sus servicios a dicha Entidad, sin
encontrarse acreditada.

Asimismo, dentro de la Infraestructura Oficial de Firma Electrónica, la Entidad de Certificación

Nacional para el Estado Peruano y las Entidades de Certificación quedan exceptuadas de proponer
políticas y estándares a la Autoridad Administrativa Competente respecto de las funciones que
realice la SUNAT en el rol señalado en el párrafo anterior.

La SUNAT emitirá las normas que resulten pertinentes a fin de establecer, entre otros, el
procedimiento que seguirá en su calidad de Entidad de Registro o Verificación para el Estado
Peruano autorizada.

A partir del 1 de julio de 2020, la SUNAT podrá continuar con sus funciones de Entidad de Registro
o Verificación siempre que haya cumplido con los procedimientos de acreditación respectivo ante
el INDECOPI. Este último contará con un plazo máximo de 120 días hábiles para culminarlo, sin
perjuicio de lo dispuesto en el artículo 67 del Reglamento de la Ley Nº 27269, aprobado mediante
el Decreto Supremo Nº 052-2008-PCM y sus modificatorias. Una vez acreditada, como Entidad de
Registro para el Estado Peruano - EREP, podrá continuar celebrando los acuerdos a los que se refiere
el párrafo anterior, al igual que toda EREP acreditada.
 Los costos que demande la obtención de los certificados digitales a que se refiere esta disposición
serán asumidos por la SUNAT.” (*)(**)

(*) Disposición incorporada por el Artículo 1 del Decreto Legislativo N° 1370, publicado el 02
agosto 2018, el mismo que entró en vigencia a los sesenta (60) días de su publicación.

(**) De conformidad con el Numeral 2.1 del Artículo 2 del Decreto Legislativo N° 1462, publicado
el 17 abril 2020, se prorroga hasta el 31 de diciembre de 2021 lo dispuesto en la presente
disposición.

(**) De conformidad con el Numeral 2.2 del Artículo 2 del Decreto Legislativo N° 1462, publicado
el 17 abril 2020, a partir del 1 de enero de 2022, la SUNAT podrá continuar con sus funciones de
Entidad de Registro o Verificación siempre que haya cumplido con los procedimientos de
acreditación respectivos ante el INDECOPI. Este último contará con un plazo máximo de 120 días
hábiles para culminarlo, sin perjuicio de lo dispuesto en el artículo 67 del Reglamento de la Ley Nº
27269, aprobado mediante el Decreto Supremo Nº 052-2008-PCM y sus modificatorias. Una vez
acreditada como Entidad de Registro para el Estado Peruano-EREP, podrá continuar celebrando
los acuerdos a los que se refiere el segundo párrafo de la presente disposición, al igual que toda
EREP acreditada.

CONCORDANCIAS: R.N° 038-2020-SUNAT (Señalan el Procedimiento para solicitar la

Autorización de Emisión de Certificados Digitales y otros aspectos vinculados y modifican la
Resolución de Superintendencia Nº 109-2000-SUNAT)

Comuníquese al señor Presidente de la República para su promulgación.

En Lima, a los ocho días del mes de mayo del dos mil.

MARTHA HILDEBRANDT PÉREZ TREVIÑO

Presidenta del Congreso de la República

RICARDO MARCENARO FRERS

Primer Vicepresidente del Congreso de la República

AL SEÑOR PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA

POR TANTO:

Mando se publique y cumpla.

Dado en la Casa de Gobierno, en Lima, a los veintiséis días del mes de mayo del año dos mil.

ALBERTO FUJIMORI FUJIMORI

Presidente Constitucional de la República

ALBERTO BUSTAMANTE BELAUNDE

Presidente del Consejo de Ministros y

Ministro de Justicia