1. General Rules on Information Society

Is there in your country any law, act or regulation dealing with electronic commerce and internet services?

Is there a legal definition of "internet service" or "information society service"? If so, please include it in your answer.

Is there in your country any law, act or regulation dealing with electronic signature?

What kinds of electronic signatures have been regulated in your country (e.g. simple, advanced, recognized)? In that case, please include their definitions.

Is the provision of certification services specifically regulated?

2. Specific rules on liability

Is there any specific rules dealing with the liability of the Internet Service Providers (hereinunder, ISP)?

And on liability of the Certification Service Providers (hereinunder, CSP)?

3. Rules on insurance

Is there any legal provision dealing with ISP or CSP’s liability insurance?

In such case: firstly, is the insurance compulsory or voluntary? If compulsory, which are the consequences of the breach of such an obligation?; secondly, which should be the insurance conditions and the total amount?; thirdly, is the insurance obligation imposed on every CSP and regarding any kind of service?

 II. LIABILITY: REQUIREMENTS

4. Basis of Liability

Is there any legal provision, case law or doctrine concerning the basis of the liability of ISP and, in particular, CSP?

- If the liability is strict-based one: is there any limitation of liability?

- If it is a negligence or fault-based liability: is there any rule providing a specific professional diligence for CSP? Who bears the burden of proving due diligence or negligence? Are there any relevant differences concerning these or other elements between contractual or tort liability rules applicable to the CSP?

5. Personal / Vicarious liability

Is there any legal provision dealing with CSP’s vicarious liability?

If so, are there any statutory exemptions provided for by any applicable rules? Please, specify them.

To what extent the law or regulations, or the existing case law, make CSP jointly (or jointly and severally) liable together with other persons?

To what extent comparative (or contributory) negligence, or any other method for allocating damages, is applied in CSP liability cases?

6. Causation.

Is there any specific provision concerning the causation element in CSP liability cases?

How courts and scholars construct or assess the causal link in CSP liability cases?

7. Recoverable damages.

Which kinds of damages are recoverable in CSP liability cases? Is purely economic loss included?

8. Exemption or limitation clauses and disclaimers

Are there any specific provisions regulating any limitation of liability or exonerating events or circumstances for CSP?

Are modification of liability clauses allowed? Are they subject to any limits?

9. The market of certification services

How spread is in your country the estimated use of electronic signature in private and public transactions (null, little, medium, much, very much)?

How may CSP are providing certification services in your country and how big are they?

Is the government in your country providing certification services with effects in private transactions?

10. Risk and insurance in the market of certification services

How severe is perceived the risk assumed by CSP in their activity (low, moderate, high)?

Are insurance companies providing specific coverage services for the activities of ISP and, in particular, CSP?

Should you have insurance policies or model policies for CSP, it would be very useful to attach them to this questionnaire.

11. Personal scope of application

How are insured party, CSP and third party defined?

Does the insurance coverage apply to managers, directors and other employees? Under which conditions?

12. Coverage

Which risks are usually included in the coverage of the insurance policy?

Which risks are excluded?

Which kinds of damages are compensable (personal, material primary, purely economic loss and so on)?

Do you think it can be said in this regard that the vocabulary is properly used and the cases reasonably specified (for instance, special exclusions) in the policy as a result of a sufficient (technical, managerial and legal) knowledge of CSP activity?

13. Time scope

Which is the average duration of the insurance policies?

Is an automatic renewal usually provided for in the insurance policies or is an express agreement required?

Is a retroactive clause usually included in the insurance policies? And an extended reporting period?

14. Territorial scope

Which the usual territorial scope of the insurance (worldwide, european, domestic and so on)?

Which are the connecting factors for the policy to be applied (place of business, place of reporting, jurisdiction)?

15. Insured amount

Are there any applicable limits to the insured amount (per risk or event, per year, per victim)?

And sublimits per each kind of covered risk?

Are any franchises or deductibles usually foreseen, either generally or per event, kind of damage or category of risks?

Are legal assistance expenses included?

16.Contingency plans, prevention and mitigating measures included in the policy

In the policies regularly used in your country: are there any specific contingency plans, precautionary or mitigating measures included? In such a case, are they agreed upon by the parties or anyhow unilaterally imposed by the insurance companies?

a) Provided the previous question has been answered in the affirmative:

Could you specify the substance of each of the said duties?

Could you please clarify whether they become applicable or to any extent relevant or enforceable in the pre-contractual period (risk assessment) or after the commencement of the coverage (and prior or after the damage has arisen)?

Please specify the legal consequences of the non-compliance of such duties.

b) Please indicate the applicable diligence pattern in order to assess compliance, and whether the fact that the damages can be deemed to have been (totally or partially) caused by the breach of the referred duties is to any extent relevant.

1. Normativa general sobre la Sociedad de la Información.

¿Existe normativa reguladora de comercio electrónico y prestación de servicios de la sociedad de la información en su país?

¿Existe una definición normativa de servicio de la sociedad de la información? En caso afirmativo transcríbala

¿Existe normativa reguladora de firma electrónica en su país?

¿Qué tipo de firma se ha regulado en la normativa de su país? ¿firma electrónica simple, avanzada, reconocida? En su caso, anote la definición de las mismas

¿Se regula de forma específica la prestación de servicios de certificación de firma electrónica?

2. Normativa específica sobre responsabilidad.

¿Existe regulación expresa de la responsabilidad de los prestadores de servicios de la sociedad de la información (en adelante, PSSI)?

¿Y de responsabilidad de los prestadores de servicios de certificación de firma electrónica (en adelante, PSC)?

3. Normativa sobre seguro.

¿Está prevista en la normativa la constitución de un seguro de responsabilidad civil por parte de los PSSI y, en particular, de los PSC?

En caso afirmativo: primero ¿es su constitución obligatoria o facultativa? ¿qué efectos tendría su incumplimiento?; segundo, ¿en qué condiciones y por qué cuantía?; tercero, ¿se ha previsto para todo tipo de PSC y en relación con todo tipo de servicio prestado?

 II. RESPONSABILIDAD: REQUISITOS

4. Criterio de imputación.

¿Existe previsión legal, práctica jurisprudencial u opinión doctrinal con respecto a la calificación (en función del criterio de imputación) de la responsabilidad de los PSSI y, en concreto, de los PSC?

- Si se califica como responsabilidad objetiva: ¿se prevé limitación de la cuantía?

- Si se califica como responsabilidad subjetiva o por culpa: ¿se ha previsto una especial diligencia profesional del PSC? ¿Sobre quién recae la prueba de la diligencia debida o de la negligencia? ¿Existe respecto de estos u otros aspectos alguna diferencia específica entre el régimen de responsabilidad contractual y extracontractual de los PSC?

5. Hecho propio / hecho ajeno.

¿Existe una previsión legal específica sobre la responsabilidad de los PSC por actos ajenos?

¿Regula la normativa los casos en que los PSC de firma electrónica quedan exonerados de responsabilidad? Cítelos

¿En qué medida en la ley o con qué frecuencia en la jurisprudencia se hace responsables a los PSC conjuntamente con otras personas (solidaria o mancomunadamente)?

¿En qué medida se aplica la compensación de culpas (comparative o contributory negligence), u otros métodos para la asignación o distribución de daños, en los supuestos de responsabilidad de los PSC?

6. Relación de causalidad.

¿Existe alguna previsión específica sobre la relación de causalidad entre conducta y daño en los supuestos de responsabilidad de los PSC?

¿Cómo interpreta la jurisprudencia o entiende la doctrina el nexo causal en los casos relativos a la actividad de los PSC?

7. Tipos de daños.

¿Qué tipo de daños se condena a indemnizar en la jurisprudencia? ¿Se admite la indemnización de daños puramente económicos?

8. Exoneración, limitaciones y cláusulas modificativas.

¿Se han previsto en la normativa supuestos específicos de limitación o exclusión de la responsabilidad de los PSC?

¿Cabe, en todo caso, la modificación convencional de la responsabilidad?, ¿con qué limitaciones?

9. Panorama empresarial de los servicios de certificación.

¿Cuál es el nivel de uso estimado en su país de la firma electrónica en transacciones económicas públicas o privadas (nulo, bajo, medio, alto, muy alto)?

¿Cuántos PSC prestan servicios en su país y de qué magnitud?

¿Opera en su país el Estado como prestador de certificación de firma electrónica que tenga efectos en el comercio privado?

10. Riesgo y seguro en el mercado de los servicios de certificación.

¿Cómo se percibe el riesgo asumido por los PSC en el desarrollo de su actividad (bajo, moderado, alto)?

¿Ofrecen las compañías de seguros un servicio de cobertura por actividades propias de los PSSI y, en particular, de los PSC?

Si disponen de pólizas específicas o modelos de pólizas, puede resultar de mucha utilidad que las adjunten al cuestionario.

11. Ámbito de aplicación subjetivo.

¿Cómo se definen: Asegurado, PSC y terceros?

¿Se extiende la cobertura a administradores, directivos y otros empleados?,

¿bajo qué condiciones?

12. Ámbito de aplicación objetivo.

¿Qué riesgos están cubiertos habitualmente por la póliza?

¿Qué riesgos están excluidos?

¿Qué tipo de daños son indemnizables (personales, materiales, patrimoniales primarios, etc)?

¿Se observa en este punto un correcto empleo de los términos y una adecuada especificación de los supuestos (p.e. exclusiones especiales) que demuestre un suficiente conocimiento (técnico, empresarial y jurídico) de la actividad de los PSC?

13. Ámbito de aplicación temporal.

¿Qué duración media se pacta habitualmente en las pólizas?

¿Se prevé normalmente la renovación automática de la póliza o ésta requiere el acuerdo expreso de las partes?

¿Es habitual la inclusión de un pacto de retroactividad? ¿y de un pacto de extensión del período de notificación (extended reporting period)?

14. Ámbito de aplicación territorial.

¿Cómo se delimita el ámbito de aplicación territorial (mundial, comunitaria, nacional, plurinacional)?

¿Qué requisitos se exigen para la aplicación de la póliza (lugar de establecimiento del asegurado/tomador, lugar de presentación de la reclamación, jurisdicción)?

15. Suma asegurada.

¿Se aplican límites a la suma asegurada (por siniestro, por año, por víctima)?

¿Y sublímites para cada tipo de riesgo cubierto?

¿Se aplican franquicias con carácter general o por siniestro, tipo de daño o categoría de riesgo?

¿Se incluyen los gastos de defensa?

16. Medidas de seguridad, prevención y aminoración en el texto de la póliza

¿En el texto de las pólizas de su país se recogen determinadas medidas de seguridad/preventivas/reductoras tendentes a evitar o aminorar el siniestro, pactadas por ambas partes o impuestas por el asegurador?

a) En caso afirmativo indique el supuesto objetivo de cada una de ellas y si las mismas actúan en la fase precontractual (análisis de riesgo) o durante la vigencia de la póliza, distinguiendo el momento antes de la producción del siniestro y después del mismo y las consecuencias jurídicas para el caso de infracción/no observancia de las mismas.

b) Indique también el grado de culpa de la infracción y si tiene que haber relación de causa a efecto entre la infracción o ausencia de la medida y la producción del siniestro.