DERECHO INFORMÁTICO Y NUEVAS TECNOLOGÍAS DE LA INFORMACIÓN
Hugo Salomón Imbaquingo Narváez Daisy Elizabeth Imbaquingo Esparza Silvia Rosario Arciniega Hidrobo José Guillermo Jácome León Mario Bernabé Ron Egas Cosme MacArthur Ortega Bustamante José Antonio Ayala Bermeo
Autores IBARRA - ECUADOR
FICA
DERECHO INFORMÁTICO Y NUEVAS TECNOLOGÍAS DE LA INFORMACIÓN
Hugo Salomón Imbaquingo Narváez Daisy Elizabeth Imbaquingo Esparza Silvia Rosario Arciniega Hidrobo José Guillermo Jácome León Mario Bernabé Ron Egas Cosme MacArthur Ortega Bustamante José Antonio Ayala Bermeo
A u t o r e s
Créditos Autores
Hugo Salomón Imbaquingo Narváez Daisy Elizabeth Imbaquingo Esparza Silvia Rosario Arciniega Hidrobo José Guillermo Jácome León Mario Bernabé Ron Egas Cosme MacArthur Ortega Bustamante José Antonio Ayala Bermeo
Diseño y diagramación
Ing. Fernando Mafla
Revisores académicos externos
Ing. Walter Fuertes, PhD. Docente de la Carrera de Ingeniería en Tecnologías de la Información de la Universidad de las Fuerzas Armadas Ing. Víctor Manuel Páez Osorio Mgs. Docente de la Carrera de Ingeniería en Tecnologías de la Información de la Universidad de las Fuerzas Armadas
Imprenta Universitaria 2019 Universidad Técnica del Norte Ibarra-Ecuador © de esta edición Los Autores
Prohibida la reproducción total o parcial de esta obra sin la previa autorización escrita por parte de los autores Edición 2019
5
6
INDICE PROLOGO
8
CAPITULO I Introducción al Derecho y Nuevas Tecnologías 1 1.1 La Tecnología de la Información y Comunicación
11 17
CAPITULO II Comercio Electrónico Tipos De Comercio Electrónico Certificados Digitales Certificación digital de firmas electrónicas Análisis de la ley de comercio electrónico, firmas electrónicas y mensajes de datos 2.5 Seguridad Comercio Electrónico 2.6 Firma electrónica y entidades de certificación 2 2.1 2.2 2.3 2.4
27 34 39 41 59 80 86
CAPITULO III 3 3.1 3.2 3.3 3.4 3.5
Contratos Electrónicos Clasificación de los contratos Elementos constitutivos del contrato informático Contratos informáticos Partes que intervienen el contrato Casos prácticos de contratos informáticos
139 141 146 150 155 156
CAPÍTULO IV 4 4.1 4.2 4.3 4.4
Infracciones Informáticas Introducción Concepto de Delito Informático Principios y características Tipos de delitos informáticos
217 217 222 231 240
CAPÍTULO V 5 5.1 5.2 5.3
Riesgos en el sistema Informático Vulnerabilidades Amenazas a los sistemas informáticos. Amenazas al Hardware
255 255 258 262
CAPÍTULO VI 6 6.1 6.2 6.3 6.4 6.5 6.6
El Habeas Data como Recurso Constitucional Introducción HÁBEAS DATA como Recurso Institucional 283 Naturaleza Jurídica Finalidad Tipos de Habeas Data Situación Internacional del Habeas Data
Referencias
269 269 270 271 271 272 274
INDICE DE ILUSTRACIONES Ilustración 1: Ilustración 2: Ilustración 3: Ilustración 4: Ilustración 5: Ilustración 6: Ilustración 7: Ilustración 8: Ilustración 9: Ilustración 10: Ilustración 11: Ilustración 12: Ilustración 13: Ilustración 14: Ilustración 15: Ilustración 16: Ilustración 17: Ilustración 18: Ilustración 19: Ilustración 20: Ilustración 21: Ilustración 22 :Ilustración 23 Ilustración 24 Ilustración 25 Ilustración 26
Clasificación del Derecho 14 Comercio Electrónico 25 Adaptacion de estructuras organizacionales 26 30 Tipos de comercio electrónico 35 Componentes de un certificado digital 35 Tipos de certificados Pasos para usar certificado digital 49 (ECUADOR, web/guest/noticias1, 2015) 55 Firma Digital 73 Banco Central 73 Security data 74 ANF autoridad de registro 79 Importancia de la firma digital 80 Receptor / Transmisor digital 81 Proceso de la firma digital91 81 Creación y Verificación de la Firma Digital 82 Pasos Firma Electrónica 87 Usos Firma Electrónica 88 Proceso Firma Electrónica 88 Requisitos Firma Electrónica 89 Tarifas Causas de extinción de la firma electrónica. 93 98 Infracciones Ley y Reglamento de Comercio Electrónico 99 106 Código PIN 123 Partes del contrato 216 Tipos de habeas data
PRÓLOGO
Han pasado más de 20 años desde la primera vez que en Ecuador se accedió a la red de redes, el Internet, desde aquel entonces a la actualidad, las Tecnologías de la Información y Comunicaciones rigen el “modus vivendi” de gran parte de la sociedad ecuatoriana, tal es el impacto de la tecnología en el país que según datos de la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL) existen más dispositivos de telefonía celular (celulares) que habitantes, esto sumado a los altos índices de conexión a Internet y la declaración de este como un servicio público nos permitiría afirmar que el ecuatoriano promedio ya no es un analfabeto digital. Sin embargo, este creciente desarrollo tecnológico también ha sido aprovechado por ciertos individuos para realizar actividades delictivas que atentan al patrimonio e integridad de los ecuatorianos; la Fiscalía General del Ecuador a diario recibe denuncias de estafas, discriminación, acoso, violación a la intimidad, revelación de secretos, difusión de información restringida, calumnias, extorsión, abuso de confianza, robo y otro tipo de delitos, los cuales son consumados utilizando medios y dispositivos tecnológicos, es decir, estamos frente a una nueva modalidad de delincuencia que ahora aprovecha el exceso de confianza de los ciudadanos en el uso de tecnología.
Estas son las principales razones por las que el presente trabajo se convierte en un aporte significativo a la sociedad ecuatoriana, sus autores han realizado un gran trabajo para que el lector logre entender el contexto en el que se desarrolla el derecho informático, realizando un análisis de la evolución de las Tecnologías de la Información y Comunicaciones, explicando la formas de comercio electrónico, aportando sobre el tipo de contratos electrónicos disponibles en la actualidad, explicando los riesgos que se presentan en los sistemas informáticos y finalizando con un análisis del recurso de Hábeas Data; temas muy necesarios de conocer y entender, los cuales sin duda coadyuvan a fortalecer el ecosistema digital en el Ecuador. Jaime Gabriel Llumiquinga Veintimilla Presidente de la Asociación Ecuatoriana de Ciberseguridad (AECI)
Introducción al Derecho y Nuevas Tecnologías
Capítulo I La Tecnología de la Información y Comunicación
CAPÍTULO I Introducción al Derecho y Nuevas Tecnologías El presente documento es una antología sobre las nuevas Tecnologías de la Información y Comunicación, así como también una breve introducción al Derecho y la convergencia de éste con la tecnología. Actualmente el Derecho hace uso de múltiples dispositivos electrónicos para gestionar la información jurídica, que se encuentran almacenados en bases de datos, optimizando los procesos judiciales y garantizando mayor transparencia y facilitando el trabajo tanto a los funcionarios como a la colectividad en general. La introducción al derecho es un preámbulo para conocer y entender conceptos importantes que podrán servir en materia jurídica, además se conocerá los principales fundamentos indispensables para el análisis y aprendizaje de temas más profundos, en esta parte se analizará algunas definiciones como: la etimología del término derecho, definiciones formales, la clasificación, que permitirá de manera clara cimentar estos conocimientos que ayudarán a conseguir un análisis mucho más completo en el desarrollo de los temas a exponer en este documento. Es importante tener en cuenta las definiciones generales propuestas, las mismas que permitirán entender de mejor manera los conceptos que se presentan en este texto.
Introducción al Derecho y Nuevas Tecnologías
Capítulo 1
En primer lugar, se partirá de la definición etimológica de Derecho, término que podría provenir de dos palabras: la primera del latín “directium” que significa: “derecho o directo” y la segunda es “dirigire”, que su significado es” guiar, ordenar, enderezar”, de lo cual se puede deducir que las dos palabras tienen algo que ver con lo que actualmente se conoce como Derecho. La historia cuenta que hace muchos años las culturas antiguas ya tenían una vaga idea de lo que es el derecho hoy en día; las primeras civilizaciones se originaron con la aplicación de la histórica Ley del Talión, en la cual se aplicaba la premisa de “ojo por ojo, diente por diente”, que era una práctica mucho más violenta, donde se aplicaba el concepto de que se revertía el mismo comportamiento que un individuo tenía con otro, para equiparar o compensar los daños o perjurios. Con el paso de los años este concepto fue adquiriendo modificaciones, como por ejemplo se hacían compensaciones monetarias, así como también penitencias religiosas. En Roma nace lo que se conoce como Derecho Laico, el mismo que ha influenciado en gran medida al Derecho en la actualidad, ya que los diferentes tipos de leyes han formado sus fundamentos basados en el Derecho Romano. Una definición más cercana de lo se conoce como Derecho se podría resumir en lo siguiente: “El Derecho es el conjunto de normas jurídicas generales positivas que surgen de la sociedad como un producto cultural generada dentro de leyes y que tienen la finalidad de regular la convivencia entre los miembros de esa sociedad—las personas—y de éstos con el Estado.” (Machicado, 2012) 12
Introducción al Derecho y Nuevas Tecnologías
Capítulo 1
Para muchos autores la definición de Derecho puede extenderse o disminuirse, pero todo está orientado en general a la definición descrita anteriormente y engloba el hecho de que las sociedades deben regirse a diferentes normas y lineamientos, los cuales, si son quebrantados podría decirse que esto repercutiría en una sanción judicial. Otro concepto más complejo que incita a comprender, analizar y buscar más información al respecto es: “Se podría afirmar que Derecho es un cuerpo normativo (conjunto de normas) de carácter imperativo (obligatorio), que rige las conductas en las relaciones humana (es una realidad humana, ni animal ni de la naturaleza) externas (tiene proyección externa, no regulando el fuero interno, regido por las normas morales, y al fin y al cabo se dice que “el pensamiento no delinque”) de una persona con otra (actos de “alteridad”), orientada a la realización de la justicia (lo justo, como tendencia), y presentando dos aspectos fundamentales: positivo (creador de facultades) y negativo (sancionador).” (Zabala, 2008) También existe una clasificación del derecho o “Suma División” del Derecho que se descompone en dos grandes grupos, los públicos y privados que a su vez estos se subdividen en dos clases cada uno, una tercera subdivisión muestra los tipos de derecho que cada uno posee. A continuación, se muestra una imagen completa para una mejor ilustración.
13
Introducción al Derecho y Nuevas Tecnologías
Capítulo 1
INTERNO
Derecho Administrativo Derecho Comunitariode Nacionalidades Derecho Constitucional Derecho de Familia y del Menor Derecho del Trabajo Derecho Financiero Derecho Municipal Derecho Penal Derecho Procesal Derecho Triburtario
EXTERNO
Derecho Comunitario Estatal Derecho Público Derecho Ecológico Derecho Internacional Público
INTERNO
Derecho Agrarial Derecho Civil Derecho Comercial Derecho Empresarial (Corporativo, EU) Derecho Minero
EXTERNO
Derecho Internacional Privado Derecho de Internet
PUBLICO
DERECHO
PRIVADO
Ilustración 1: Clasificación del Derecho Fuente: Autores
Es importante además tener presente las principales acepciones de esta división del derecho, que se descomponen en dos grandes grupos: Derecho Público: conjunto de normas jurídicas que regulan la organización del Estado y las relaciones que se dan entre éste y los sujetos particulares. (Machicado, Apuntes Juridicos, 2012) Derecho Privado: conjunto de normas jurídicas que regulan las relaciones entre las personas particulares sean colectivas o individuales y de éstos con el Estado, cuando éste actúa como persona particular.” (Machicado, Apuntes Juridicos, 2012) 14
Introducción al Derecho y Nuevas Tecnologías
Capítulo 1
Diferencias 1. “El Derecho Público contiene normas de organización de la sociedad y en el Derecho Privado existen normas de conducta de los individuos. 2. El Derecho Público está dirigido al Estado mientras que el Derecho Privado está dirigido al individuo. 3. Si se persigue el interés del Estado está en el campo del Derecho Público y si se vela por el interés del individuo se encuentra en el campo del Derecho Privado.” (Machicado, Apuntes Juridicos, 2012) 4. “El Derecho Público es irrenunciable, mientras que en el Derecho Privado los individuos pueden o no ejercitar sus facultades que les otorgan las leyes. 5. El Derecho Público es imperativo, no así el Derecho Privado campea el principio de la autonomía de la voluntad. 6. En el Derecho Público se hace todo lo que dice la ley, no lo que prohíbe y en el Derecho Privado, el individuo está facultado para todo aquello que la ley no lo prohíbe expresamente. Otros autores niegan estas diferencias, ya que dicen por definición: el Derecho tiene una función colectiva, todo el Derecho es público.” (Machicado, Apuntes Juridicos, 2012) Con lo dicho anteriormente se puede reflejar la gran importancia que ha ido tomando el Derecho en la sociedad actual, con el aparecimiento de un gran número de tipos de derecho, los públicos y los privados que rigen los comportamientos en la sociedad sean estos particulares o colectivos.
15
Introducción al Derecho y Nuevas Tecnologías
1.1
Capítulo 1
La Tecnología de la Información y Comunicación
La Tecnología de la Información y la Comunicación o conocidas por sus siglas TIC, son herramientas informáticas que han tenido un auge en su desarrollo, debido a los continuos adelantos científicos en los ámbitos tanto de la informática como las telecomunicaciones. Estas herramientas permiten el acceso, producción, tratamiento y comunicación de información mostrada de diferentes maneras tales como: texto, sonido, imagen, etc. El elemento más representativo de las nuevas tecnologías es el computador, el cual permite utilizar algunas herramientas informáticas tales como: presentaciones, aplicaciones multimedia, y mucho más el Internet. En cuanto a los recursos y programas (Software) que se puede utilizar con el ordenador se pueden clasificar en dos grupos: el primero que son los recursos informáticos, los cuales permiten el procesamiento y tratamiento de la información, y el segundo grupo son los recursos telemáticos que proporcionan internet, los cuales estarían orientados a la comunicación y acceso a la información. Entre algunos de estos recursos de las tecnologías de mayor uso están: las pizarras digitales, los blogs y en gran medida la web. “En líneas generales se podría decir que las nuevas tecnologías de la información y comunicación son las que giran en torno a tres medios básicos: la informática, la microelectrónica y las telecomunicaciones; su giro se da no sólo de forma aislada, sino 16
Introducción al Derecho y Nuevas Tecnologías
Capítulo 1
de manera interactiva e interconectiva que es lo más significativo, esto permite conseguir nuevas realidades comunicativas”. (Cabero, 1998) Estos tres medios básicos mencionados, se los puede considerar como factores clave dentro de las tecnologías de información y comunicación. Además, con el desarrollo de la microelectrónica se ha dado un gran avance en cuanto a la potencia y capacidad de los computadores. Cada uno de los avances dentro de las telecomunicaciones, han promovido el acelerado uso de las redes en cuanto al alcance local y global, dando como resultado el constante desarrollo de aplicaciones y programas a través de interfaces, de fácil e interesante comunicación con el usuario. Entre las características más relevantes o representativas de las TIC, se pueden considerar las siguientes: Inmaterialidad Las TIC se encargan de crear o simular el proceso y comunicación de la información, la misma que es inmaterial. Interactividad Mediante las TIC se puede obtener intercambios de información entre un ordenador y el usuario, lo cual hace que se adapte los recursos a las necesidades del usuario. Interconexión Las TIC facilita la creación de nuevas herramientas tecnológicas mediante la mezcla o conexión de tecnologías. 17
Introducción al Derecho y Nuevas Tecnologías
Capítulo 1
Instantaneidad La creación de redes de telecomunicación permite la transmisión de información y de datos de una manera vertiginosa y hacia lugares muy alejados. Calidad de imagen y sonido Abarca la transmisión multimedia en alta calidad, es decir texto, imágenes, sonido; todo esto se logra gracias a la digitalización de dicha información. Digitalización Llevar de una manera análoga los sonidos, imágenes, textos a una forma física que permita la transmisión con mucha más fiabilidad; de esa forma se puede evitar que se deteriore la información con el paso del tiempo. Diversidad Los usos de las TIC son diversos, tanto en la comunicación entre usuarios, como en la creación de información nueva. Integración de las tecnologías de la información y comunicación en la educación: “El impacto de las Tecnologías de la Información y Comunicación (TIC) sobre la educación, propicia posiblemente uno de los mayores cambios en el ámbito de la educación. Con el uso de Internet, de la información y recursos que ofrece en el aula, se abre una nueva ventana que permite acceder a múltiples 18
Introducción al Derecho y Nuevas Tecnologías
Capítulo 1
recursos, informaciones y comunicación con otros, lo que brinda la posibilidad de acceder con facilidad a conocer personalidades de opiniones diversas. Por otro lado, las nuevas teorías de aprendizaje que centran su atención tanto en el profesor y el proceso de enseñanza, como en el alumno y el proceso de aprendizaje, tienen un buen aliado en estos medios si se utilizan atendiendo a los postulados del aprendizaje socio constructivo y bajo los principios del aprendizaje significativo”. (Belloch, 2012) La utilización de las Tecnologías de la Información y Comunicación dentro del ámbito de la educación depende de algunos factores como: infraestructuras, actitudes, formación, apoyo al equipo directivo, etc., de los cuales el más sobresaliente es el interés y la formación de parte del profesor, tanto a nivel instruccional como pedagógico. “Es tarea de los educadores utilizar las NTIC como medios para proporcionar la formación integral y la preparación para la vida futura de sus estudiantes, contribuyendo al mejoramiento en el sentido más amplio de su calidad de vida. Si se tiene en cuenta que la nueva tecnología no garantiza con su sola frecuencia el éxito pedagógico, es necesario diseñar con mucho cuidado el programa educativo donde será utilizada. Resulta por tanto un deber ineludible de los educadores definir y contextualizar las NTIC en el sector educativo”. (EcuRed, 2017) Ventajas de las TIC: Es una disciplina transversal en casi todas las áreas de estudio ya sean estas: educación, medicina, leyes, etc. 19
Introducción al Derecho y Nuevas Tecnologías
Capítulo 1
Facilita el aprendizaje gracias a la intercomunicación con todo el mundo y a la obtención de información proveniente de todas partes del planeta. Oferta nuevas formas de trabajar Al ser manejada por ordenadores, en su gran mayoría se puede considerar que cada vez es más exacta. Desventajas de las TIC: • Debido a las amplias vulnerabilidades que existen en los sistemas informáticos, se corre el riesgo de falta de privacidad. • Es mucho más fácil caer en fraudes. • En cuanto a transmisión de información se reduce el riesgo a daños por paso del tiempo o por mal estado de la información. Convergencia del Derecho y la Informática La convergencia de estas tres ciencias da como resultado lo que actualmente se conoce como TIC (tecnologías de la información y comunicación). Considerando como su principal componente a la microelectrónica. Que ha permitido elaborar varios micro dispositivos, dando mayor flexibilidad al uso de la tecnología en las diferentes áreas del conocimiento, entre ellas el área Jurídica. La convergencia de Derecho y la Informática, tiene como principal protagonista al computador que es una herramienta que usa el jurista para crear bases de datos jurídicas y facilitar la gestión de la administración jurídica. En el artículo 20
Introducción al Derecho y Nuevas Tecnologías
Capítulo 1
16 #2 de la Constitución de la República vigente se incluye el derecho al uso universal de la tecnología de información y comunicación. Como un principio fundamental del buen vivir.
21
2 Capรญtulo
Comercio Electrรณnico 2.1
Tipos de Comercio Electrรณnico 2.2
Certificados Digitales A
2.3
B
Certificaciรณn digital de firmas electrรณnicas
C
D
2.4
E F 2.5
2.6
Anรกlisis de la ley de comercio electrรณnico, firmas electrรณnicas y mensajes de datos
Seguridad Comercio Electrรณnico
Firma electrรณnica y entidades de certificaciรณn
CAPÍTULO II Comercio Electrónico
Los factores más relevantes en la economía actual han sido, la Globalización del Comercio, permitiendo el desbordamiento de las barreras comerciales y la transnacionalización de los capitales. El otro factor es las Tecnologías de la Información y Comunicación (TIC), cuyo paradigma es el Internet.
Ilustración 2: Comercio Electrónico Fuente: Los Autores
Estos dos factores han provocada que la economía industrial, basada en las estrategias empresariales, las cuales eran el factor determinante para establecer que tecnología usar, se transforme, en una economía digital, donde las nuevas tecnologías marcan las estrategias empresariales a seguir para el logro de sus objetivos corporativos.
Comercio Electrónico
Capítulo 2
Ilustración 3: Adaptación de estructuras organizacionales Fuente: Los Autores
Ecuador como país no está ajeno al desarrollo e integración de las denominadas nuevas tecnologías de la información, instituciones públicas y privadas están creando páginas de información en Internet, promoviendo por estas actividades la comercialización de productos, por lo que en los últimos tiempos el crecimiento comercial en la web ha sido importante. Con esta realidad surge la necesidad de regular la actividad denominada comercio electrónico, que en su concepto más general se refiere a toda transacción civil, comercial o financiera, contractual o no que se efectúe a través del intercambio de mensajes de datos o medios similares. Por ello, los expertos dicen que el comercio electrónico es la integración de servicios de comunicaciones, administración de datos y seguridad para permitir que aplicaciones de negocios intercambien información automáticamente. No se hace diferencia en esta definición entre el manejo electrónico de transacciones de compra venta y el simple intercambio de datos o documentos que ocurre en paralelo a alguna operación de negocios. Ambos aspectos de la actividad comercial se ven beneficiados por la aplicación de la tecnología informática, de ahí la extensión de la definición. Internet ha traído consigo diversas 26
Comercio Electrónico
Capítulo 2
maneras de hacer negocios electrónicos a través de esta red de redes que está distribuida en todo el planeta. Es por ello, que los cambios y las nuevas tecnologías se unen para revolucionar la forma en que se llevan a cabo los negocios. La competitividad, conectividad, ha hecho del Internet una vía de desarrollo, en donde no solo los ofertantes, sino también los usuarios son beneficiados, hoy en día los procesos comerciales sobrepasan los límites y es de esta manera que el comercio electrónico nace como una nueva herramienta para los negocios que provee de oportunidades a todos los involucrados. A más de ser el comercio electrónico la forma propia del Internet en la que se realiza las transacciones financieras o económicas y se mantienen relaciones comerciales de manera directa entre comprador y vendedor, dando la posibilidad de que las comunicaciones y los equipos de tecnología estén al alcance de todos. La principal característica de esta forma de comercio es la rapidez con la que se pueden realizar las transacciones de productos o servicios, sin que la distancia, el tiempo y los costos lo limiten. De esta manera, el comercio electrónico se convierte en la herramienta del mundo globalizado. El comercio electrónico permite que los inmersos en esta tecnología puedan comprar bienes y servicios variados, qué van desde un seguro de vida o software, hasta dulces o flores, por ello se habla del nuevo boom mundial, que para América Latina significa un potencial de desarrollo pues las posibilidades de Internet son infinitas. El comercio electrónico toma parte de un mercado, donde quienes se ven involucrados en la transacción (consumidores, proveedores, clientes, empresas, suministradores de tecnología, gobiernos, etc.) Pueden satisfacer sus necesidades electrónicamente, y se 27
Comercio Electrónico
Capítulo 2
desenvuelven en un medio de operaciones y de transacciones que van desde el contacto del cliente y del proveedor inicial, hasta la compraventa electrónica con el consumidor final. Esta nueva modalidad de realizar negocios se desenvuelve en un medio en el que se han desarrollado sistemas de seguridad para garantizar la transferencia de datos confidenciales (número de tarjeta de crédito, domicilio o la empresa, gasto de la compra, costo, etc.). Son dos los tipos de tecnologías las que garantizan la seguridad del comercio electrónico, SECURE SOCKETS LAYER(SSL) Y SECURE ELECTRONIC TRANSACTION (SET). Ambas tecnologías encriptan (codifican) la información de compra antes de ser enviada a través del Internet. Cualquier transacción financiera se realiza de la cuenta del proveedor o suministrador del producto o servicio, a la cuenta del consumidor o cliente que lo adquiere y viceversa. La transacción se lleva acabo automáticamente a través de entidades bancarias que intervienen para validar la información de las tarjetas de crédito y los datos que intervienen en la compraventa. Entonces los aspectos jurídicos del comercio electrónico son importantísimos, algunos países han seguido muy de cerca la Ley modelo de Comercio Electrónico elaborada por la UNCITRAL, que nació vinculada al entorno tecnológico del EDI (Electronic Data Interchange), en cambio la Unión Europea, tiende a legislar en forma individualizada cada tema, como, por ejemplo: firma electrónica, o la protección de datos, a través de Directivas. El Profesor Dávara Rodríguez ingeniero y doctor en derecho, nos dice que: “para saber que es el comercio electrónico es necesario analizar dicho concepto, de manera que debe entenderse por comercio toda aquella actividad que tenga por objeto o fin realizar una operación comercial y 28
Comercio Electrónico
Capítulo 2
es electrónico cuando ese comercio se lleva a cabo utilizando la herramienta electrónica de forma que tenga o pueda tener alguna influencia en la consecución del fin comercial, o en el resultado de la actividad que se está desarrollando”. Por tanto, el comercio electrónico supone la realización de transacciones comerciales, con un determinado fin económico, mediante la utilización de medios electrónicos, en particular de redes de telecomunicación o comunicación electrónica como Internet, permitiendo la contratación de bienes o servicios a través de dichos medios. Dentro del concepto de comercio electrónico pueden llevarse a cabo diversas clasificaciones en función de un criterio determinado, pudiendo ser este la realización completa de la transacción a través del medio electrónico utilizado para la contratación, pudiendo ser este directo o indirecto, en función de sí se suministran los bienes o servicios a través de dicho medio. Si se atiende a los sujetos que intervienen en la realización de una operación de comercio electrónico, esté criterio puede dar lugar a la aparición de múltiples combinaciones en función de las partes que intervienen en la misma. El comercio electrónico abarca como estudio la siguiente temática: mensaje de datos, documentos electrónicos, contratación electrónica, firma electrónica, gobierno electrónico, protección de datos, protección al consumidor, resolución alternativa de conflictos, pago electrónico, factura electrónica, transferencia electrónica de fondos y de datos, intercambio electrónico de información, seguridad de las transacciones electrónicas. Esta temática esta regularizada por la normativa de cada país, por su incidencia directa o indirecta en el comercio electrónico, la actividad en las redes está regularizada, inclusive el mal uso de la prestación de 29
Comercio Electrónico
Capítulo 2
servicios está compilado en la norma positiva de las infracciones electrónicas. En el caso de nuestro país, se ha impulsado por iniciativa privada, la LEY DE COMERCIO ELECTRÓNICO, FIRMA ELECTRÓNICA Y MENSAJE DE DATOS, que fue expedida por el Congreso Nacional el 10 de Abril del 2002
Ilustración 4: Tipos de comercio electrónico Fuente: Los Autores
2.1
Tipos De Comercio Electrónico
El comercio electrónico consiste en la compraventa de productos o servicios a través de sitios web, o por medio de redes sociales, mediante el pago por medio de tarjetas de crédito, depósitos o transferencias bancarias. La acogida del comercio electrónico en el mundo es cada vez mayor, no solo en el área local sino también en el ámbito internacional, pudiéndose negociar entre países cumpliendo la normativa vigente de cada país, así como el cumplimiento de la 30
Comercio Electrónico
Capítulo 2
Ley de Comercio Electrónico. La ley de Comercio electrónico entró en vigencia en el Ecuador desde el 2002 implementada por el Conatel (consejo nacional de telecomunicaciones). Los tipos de comercio electrónico son: B2B (Business to Business). B2B por sus siglas en ingles business to business (negocio a negocio), es aquel tipo de comercio en donde la transacción comercial realizan únicamente entre empresas que operan en Internet, en otras palabras, no intervienen consumidores. Existen tres modalidades: ff El mercado controlado que únicamente acepta vendedores en busca de compradores. ff El mercado en el que el comprador busca proveedores. ff El mercado en el que los intermediarios buscan que se genere un acuerdo comercial entre los vendedores y los compradores. Para poder participar en este tipo de comercio electrónico, se debe tener experiencia en el mercado. La relación entre las dos empresas tiene como principal objetivo vender el producto final al consumidor. El comercio electrónico a este nivel reduce los errores que puedan aparecer, y aumenta la eficiencia en la venta y relación comercial. 31
Comercio Electrónico
Capítulo 2
B2C (Business to Consumer). Business to Consumer (negocio a consumidor), es aquel tipo de comercio que se lleva a cabo entre el negocio o tienda virtual, y una persona interesada en comprar un producto o adquirir un servicio. Las ventajas más destacables son: ff El cliente puede acceder a la tienda virtual desde cualquier lugar a través de un dispositivo electrónico, lo que le facilita una compra cómoda y rápida. ff Se tienen actualizadas las ofertas y los precios de manera constante para la comodidad del cliente. ff El soporte al cliente se puede proporcionar de manera directa por diferentes medios, como chat en vivo, redes sociales, correo electrónico o Skype. Aquí es donde participan los intermediarios online y se incluye a todas las plataformas de comercio electrónico. Esto se trata principalmente cuando se integran compañías que facilitan las compras entre los clientes y las tiendas virtuales, a cambio de un pago. Las empresas facilitan a los usuarios que interactúan en áreas similares de interés, y que además incluyen un sistema de pago. B2E (Business to Employee). La relación comercial business to employee (negocio a empleado) se centra principalmente entre una empresa y sus empleados. Es decir, son las ofertas que la propia empresa puede ofrecer a sus empleados directamente desde su tienda online o portal de Internet, con ofertas atractivas que servirán 32
Comercio Electrónico
Capítulo 2
de impulso para una mejora en el desempeño laboral. Este tipo de comercio electrónico se ha convertido en un tema novedoso entre empresas para generar competencia entre sus empleados. Más allá de una opción, es un portal en donde los empleados pueden utilizar algunos recursos de la empresa. El empleado tendrá la posibilidad de hacer trámites internos en este micro sitio empresarial, que una vez en la red, llegará a manos del encargado. Algunas de sus ventajas son: ff Reducción de costos y tiempos en actividades internas. ff Comercio electrónico interno, con oportunidades únicas para los empleados. ff Motiva y fideliza al empleado con la empresa. ff Informa, en el momento y en línea para consultar en cualquier momento. C2C (Commerce to Commerce). Este tipo se conoce como consumer to consumer (consumidor a consumidor), se lo puede reconocer cuando una persona ya no utiliza algún producto y busca ofrecerlo en venta, puede utilizar el comercio electrónico como medio para realizar esta transacción con otro consumidor. Esto es una evolución de las tradicionales y ya conocidas ventas de garaje que está tomando fuerza en Internet. El consumidor final le adquiere al consumidor primario los productos que él ya no quiere o necesita y a los que les podrá dar una nueva utilidad a precios muy accesibles. Se sigue el mismo proceso de compra del comercio electrónico tradicional. Algunas de las ventajas son: 33
Comercio Electrónico
Capítulo 2
ff Reutilización de productos. ff Compras a menores precios y con ofertas únicas en el medio. ff Alcance más allá de un garaje o patio. G2C (Goverment to Consumer). El conocido comercio goverment to consumer (gobierno a consumidor) se lo realiza cuando un gobierno municipal, estatal o federal permite que los ciudadanos realicen sus trámites en línea a través de un portal, y se considera un tipo de comercio ya que se paga un trámite y se puede acceder a la información en línea en cualquier momento. Algunas de las ventajas son: ff ff ff ff 2.2
Ahorro en tiempo. Trámites más rápidos y seguros. Respaldo electrónico. Costos más bajos. Certificados Digitales
Es un documento digital mediante el cual la autoridad de certificación asegura la vinculación entre la identidad del usuario, su clave pública, y privada. (ECUADOR, web/guest/ noticias1, 2015)
34
Comercio Electrónico
Capítulo 2
Componentes de un certificado digital
Ilustración 5:Componentes de un certificado digital Fuente :Autor
Tipos de Certificados Digitales
Ilustración 6: Tipos de certificados
Fuente : Autor
35
Comercio Electrónico
Capítulo 2
1. Certificados de usuario final: son emitidos por una persona física y contienen datos personales que pueden ser encubiertos por una tarjeta criptográfica, por un fichero protegido o en un computador del usuario. 2. Certificado de firma de software: son emitidos a determinadas organizaciones y se usa principalmente para la verificación de productos y herramientas de software que han sido desarrolladas por estas mismas organizaciones. 3. Certificados de servidor SSL: estos garantizan la autenticación de un servidor que pertenece a una organización. 2.3 Certificación digital de firmas electrónicas La firma electrónica es el equivalente a la firma manuscrita; garantiza la autenticidad, la integridad y evita la falsificación de los documentos. Apoya el desarrollo del comercio electrónico en el país y la optimización de procesos empresariales. En el marco de la implementación de la política pública de simplificación de trámites y con el objetivo de brindar sus servicios a escala nacional, el Banco Central del Ecuador mediante convenio firmado con la Dirección General de Registro Civil, Identificación y Cedulación se encuentra expandiendo el servicio de firma electrónica (certificados digitales) ahora también se brindará en las oficinas de las capitales provinciales del Registro Civil de manera progresiva. (ECUADOR, web/guest/ noticias1, 2015)
36
Comercio Electrónico
Capítulo 2
(ECUADOR, web/guest/noticias1, 2015)En lo que corresponde a las localidades de Quito, Guayaquil y Cuenca, el Banco Central mantendrá la emisión de dichos certificados. (ECUADOR, web/guest/noticias1, 2015)El servicio que se brindará en las agencias provinciales del Registro Civil corresponde a la emisión, renovación y revocación de certificados digitales para personas naturales, jurídicas y funcionarios públicos, así como soporte informativo a usuarios. Al momento, y como parte de la primera etapa, ya se encuentra habilitada esta prestación en las agencias de Manta, Ambato y Loja. (ECUADOR, web/guest/noticias1, 2015)Este convenio permitirá ampliar el servicio de firma electrónica, pues el Banco Central del Ecuador en el 2013 registró la emisión de más de 39 mil certificados digitales, que corresponden a 845 entidades públicas, 8.642 empresas privadas (importadoras, exportadoras, instituciones financieras, cooperativas y supermercados, entre otras), y 12371 personas naturales. (ECUADOR, web/guest/noticias1, 2015)La firma electrónica permite manipular sin la presencia física de las personas pues proporciona garantía legal, ofrece velocidad transaccional y ahorro de recursos económicos y materiales; situación que apoya al desarrollo del comercio electrónico en el país y la optimización de procesos empresariales. Tal es el caso de instituciones como el Servicio Nacional de Aduana del Ecuador (SENAE), el Servicio de Rentas Internas, el Servicio Nacional de Contratación Pública, la Dirección Nacional de Registro de Datos Públicos, entre otras, que ya usan este servicio. El Banco Central del Ecuador continúa 37
Comercio Electrónico
Capítulo 2
desarrollando e implementando infraestructura tecnológica que facilite a la ciudadanía el acceso a servicios. Con el apoyo de instituciones como el Registro Civil estos esfuerzos se amplifican. (ECUADOR, web/guest/noticias1, 2015) Tarifas vigentes (ECUADOR, web/guest/noticias1, 2015)Las tarifas de los certificados digitales de acuerdo a la Resolución Administrativa No.BCE-0115-2015 de 13 de octubre de 2015, son las siguientes: Tabla1: Tarifa de certificados digitales Fuente: Autor
VIGENCIA
PRODUCTO / SERVICIO
Certificado Digital (Token, Archivo, Roamming 2 años
TARIFA $ 27,00
HSM) Renovación
Certificado
Digital
(Token, 2 años
$ 18,00
Archivo, Roamming HSM) Sellado de Tiempo - Plan Anual Ilimitado
1 año
$ 250,00
Aplicativo ESP para Roamming (Windows y
$ 25,00
Mac) Dispositivo TOKEN
$ 22,00
API Intisign para firma y sellado de tiempo
$ 00,00
Recuperación del certificado
$ 00,00
CERTIFICADO SSL APLICACIONES BANCO VIGENCIA
TARIFA
CENTRAL Certificado SSL
2 años
$ 27,00
Renovación Certificado SSL
2 años
$ 18,00
38
Comercio Electrónico
Capítulo 2
A LAS TARIFAS SE DEBERÁ INCLUIR EL VALOR DEL I.V.A (ECUADOR, web/guest/noticias1, 2015)
Solicitud de Certificado de Firma Electrónica Requisitos (ECUADOR, web/guest/noticias1, 2015)Previo a solicitar un certificado digital de firma electrónica, revisar las normativas correspondientes a cada tipo de certificado DPC(Declaración de Prácticas de Certificación), PC(Políticas de Certificados), modelo de contrato Antes de iniciar su solicitud, verifique tener sus documentos escaneados en formato PDF, (tamaño menor o igual a 1Mb y legibles), que requerirá subir para el registro. Persona Natural • Digitalizado de Cédula o pasaporte a Color • Digitalizado
de Papeleta de votación actualizada, (exceptuando a personas mayores a sesenta y cinco años, las ecuatorianas y ecuatorianos que habitan en el exterior, los integrantes de las Fuerzas Armadas y Policía Nacional, y las personas con discapacidad)
• Digitalizado
de la última factura de pago de luz, agua o
teléfono
39
Comercio Electrónico
Capítulo 2
Persona Jurídica • La empresa debe estar previamente registrada en el sistema << Registro de Empresa >> • Conocer el número de RUC de la empresa • Digitalizado de Cédula o pasaporte a Color • Digitalizado de Papeleta de votación actualizada, (exceptuando a personas mayores a sesenta y cinco años, las ecuatorianas y ecuatorianos que habitan en el exterior, los integrantes de las Fuerzas Armadas y Policía Nacional, y las personas con discapacidad) • Digitalizado del nombramiento o certificado laboral firmado por el Representante Legal • Autorización firmada por el Representante Legal. (En caso de subrogación o delegación, adjuntar el oficio de encargo o delegación) Importante: Para el día en que realice el pago, traer esta autorización en formato impreso << Ver Modelo de Oficio >> Funcionario Público DIRIGIDO A: SERVIDORES PÚBLICOS
El Banco Central de Ecuador (BCE), en cumplimiento del Acuerdo Ministerial No. 012-2016 de 23 de mayo del 2016 emitido por el Ministerio de Telecomunicaciones y de la Sociedad de la Información publicado mediante Registro Oficial No. 783 de 24 de junio de 2016. (Acuerdo Ministerial) 40
Comercio Electrónico
Capítulo 2
Informa a los Servidores Públicos, usuarios de Certificación Electrónica, que: 1. A partir del 24 de junio del 2016, los servidores públicos deberán obtener su certificado digital como persona natural, es decir no podrán solicitar emisión o renovación de certificados como funcionarios públicos. 2. Se les recuerda que los procesos de aprobación, pago y emisión de certificados en contenedores (token, archivo y romming) se los realizará exclusivamente en las oficinas del Registro Civil, autorizadas por la Entidad de Certificación Banco Central del Ecuador; y se tramitarán a través del portal web (www.eci.bce.ec). 3. Mediante oficio No. SNAP-SNGP-2016-000430-O del 09 de agosto del año 2016, la Secretaria Nacional de la Administración Pública dispone que “…mientras se defina la solución óptima para el uso de la firma electrónica en los procesos Tributarios y Comercio Exterior (importaciones, exportaciones), las Instituciones Públicas podrán adquirir para el personal designado, el certificado de Persona Jurídica o Representante Legal para realizar estas actividades.» DIRECCIÓN NACIONAL DE SERVICIOS GESTIÓN DE CERTIFICACIÓN ELECTRÓNICA
FINANCIEROS
Nota: Para más información contactarse al 1700-153-153 o a info_firmadigital@registrocivil.gob.ec. (ECUADOR, web/guest/ noticias1, 2015) 41
Comercio Electrónico
Capítulo 2
Solicitud de Revocatoria por Suscriptor (ECUADOR, web/guest/noticias1, 2015)Este es el tipo de revocatoria más habitual y permite al usuario titular del certificado, subir una solicitud de revocatoria por los siguientes motivos: • Traslado de Funciones • Cambio de nivel de firma • Cesación de funciones • Uso no permitido del certificado • Pérdida
del dispositivo almacenamiento
criptográfico
o
medio
de
• Terminación
de la representación o extinción de la persona jurídica representada
• Inexactitudes
graves en los datos aportados por el suscriptor para la obtención del certificado
• Que
se detecte que las claves privadas del Suscriptor o de la AC han sido comprometidas
• Cambio de datos en el certificado
Recuperación de Certificado: • Olvido de clave. • Inutilización
de datos del soporte del certificado (problemas con el medio donde se encuentra almacenado el certificado).
42
Comercio Electrónico
Capítulo 2
Nota: Tome en cuenta que este tipo de revocatoria es la única que permite RECUPERAR su certificado por el tiempo restante, por los motivos indicados en la sección de recuperación de certificado. Solicitud de Revocatoria por Representante Legal Permite solicitar una revocatoria toda vez que el usuario final por algún motivo no puede realizar la solicitud de revocatoria por si mismo. (Ej: cesación de funciones) • Traslado de Funciones • Cambio de nivel de firma • Cesación de funciones • Uso no permitido del certificado • Pérdida
del dispositivo almacenamiento
criptográfico
o
medio
de
• Fallecimiento
del suscriptor, incapacidad sobrevenida, total o parcial, de cualquiera de ellos
• Terminación
de la representación o extinción de la persona jurídica representada
• Inexactitudes
graves en los datos aportados por el suscriptor para la obtención del certificado
• Que
se detecte que las claves privadas del Suscriptor o de la AC han sido comprometidas 43
Comercio Electrónico
Capítulo 2
• Cambio de datos en el certificado
Nota: Tome en cuenta que este tipo de revocatoria no le permite recuperar certificados: ni por olvido de clave, ni por Inutilización de datos del soporte del certificado. (ECUADOR, web/guest/ noticias1, 2015) Solicitud de renovación de Certificado de Firma Electrónica Requisitos Previo a solicitar un certificado digital de firma electrónica, revisar las normativas correspondientes a cada tipo de certificado DPC(Declaración de Prácticas de Certificación), PC(Políticas de Certificados), modelo de contrato Antes de iniciar su solicitud, verifique tener sus documentos escaneados en formato PDF, (tamaño menor o igual a 1Mb y legibles), que requerirá subir para el registro. Persona Natural • Digitalizado de Cédula o pasaporte a Color • Digitalizadode Papeleta de votación actualizada, (exceptuando a personas mayores a sesenta y cinco años, las ecuatorianas y ecuatorianos que habitan en el exterior, los integrantes de las Fuerzas Armadas y Policía Nacional, y las personas con discapacidad) • Digitalizado de la última factura de pago de luz, agua o teléfono
44
Comercio Electrónico
Capítulo 2
Persona Jurídica • La
empresa debe estar previamente registrada en el sistema << Registro de Empresa >>
• Conocer el número de RUC de la empresa • Digitalizado de Cédula o pasaporte a Color • Digitalizado de Papeleta de votación actualizada, (exceptuando
a personas mayores a sesenta y cinco años, las ecuatorianas y ecuatorianos que habitan en el exterior, los integrantes de las Fuerzas Armadas y Policía Nacional, y las personas con discapacidad) • Digitalizado del nombramiento o certificado laboral firmado
por el Representante Legal • Autorización
firmada por el Representante Legal. (En caso de subrogación o delegación, adjuntar el oficio de encargo o delegación) Importante: Para el día en que realice el pago, traer esta autorización en formato impreso.
Funcionario Público DIRIGIDO A: SERVIDORES PÚBLICOS El Banco Central de Ecuador (BCE), informa a los Servidores Públicos, usuarios de Certificación Electrónica, que en cumplimiento del Acuerdo Ministerial No. 012-2016 de 23 de mayo del 2016 emitido por el Ministerio de Telecomunicaciones y de la Sociedad de la Información publicado mediante Registro Oficial No. 783 de 24 de junio de 2016. (Acuerdo Ministerial) 45
Comercio Electrónico
Capítulo 2
Informa que: 1. A partir del 24 de junio del 2016, los servidores públicos deberán obtener su certificado digital como persona natural, es decir no podrán solicitar emisión o renovación de certificados como funcionarios públicos. 2. Se les recuerda que los procesos de aprobación, pago y emisión de certificados en contenedores (token, archivo y romming) se los realizará exclusivamente en las oficinas del Registro Civil, autorizadas por la Entidad de Certificación Banco Central del Ecuador; y se tramitarán a través del portal web (www.eci.bce.ec). Atentamente, DIRECCIÓN NACIONAL DE SERVICIOS GESTIÓN DE CERTIFICACIÓN ELECTRÓNICA
FINANCIEROS
Nota: Dudas contactarse al 1700-153-153 o a info_firmadigital@ registrocivil.gob.ec (ECUADOR, web/guest/noticias1, 2015) REQUISITOS PARA OBTENER EL CERTIFICADO DIGITAL DE FIRMAS ELECTRÓNICA Y TOKEN REGISTRO CIVIL Registro de personas naturales y de personas en función de dependencia de empresas o compañías:
46
Comercio Electrónico
Capítulo 2
(ECUADOR, web/guest/noticias1, 2015)PASO PREVIO SOLO PARA EMPRESAS O COMPAÑÍAS: Ingresar al portal de Certicación Electrónica www.eci.bce.ec, opción “Firma Electrónica”, dar clic en “Registro Empresa u Organización”. Completar los campos solicitados y adjuntar los archivos requeridos en formato PDF. Posteriormente recibirá dos correos electrónicos, uno de recepción de registro y otro de aprobación del mismo. PASO 1: Ingresar al portal de Certicación Electrónica www.eci.bce.ec, seleccionar el menú “Certicación Electrónica”, opción “Firma Electrónica”, y dar clic en la opción “Solicitud de Certicado”. PASO 2: Vericar el listado de los documentos en formato PDF que se deberán adjuntar posteriormente. Escoger la opción “Ingresar la Solicitud”, completar los datos, enviar la solicitud de certicado e imprimirla. PERSONA JURÍDICA: • Conocer el número de RUC de la empresa. • Copia de cédula o pasaporte a color. • Copia de papeleta de votación actualizada. • Copia del Nombramiento, Acción de Personal o Certificado Laboral que indique el cargo firmado por el representante. • Autorización firmada por el representante legal. (Descargar y completar modelo de oficio). 47
Comercio Electrónico
Capítulo 2
PERSONA NATURAL: • Copia de cédula o pasaporte a color • Copia de papeleta de votación actualizada, • Copia planilla de servicios básicos (último mes) para validar la dirección. PASO 3: Usted recibirá un correo electrónico de aprobación de la solicitud del Certificado y deberá acercarse a las oficinas del Registro Civil para confirmar la aprobación y a efectuar el pago de $ 49 + IVA ($ 27 emisión del certificado + 22 dispositivo portable o Token). El pago también puede ser realizado vía transferencia bancaria. (ECUADOR, web/guest/noticias1, 2015) PASO 4: El solicitante deberá acercarse a las ocinas del Registro Civil portando la solicitud de aprobación, comprobante de pago, cédula o pasaporte y carta de autorización del representante legal (solo para personas jurídicas) para la emisión del certificado y entrega del Token. (ECUADOR, web/guest/noticias1, 2015) Pasos para usar su certificado digital de firma electrónica
48
Comercio Electrónico
Capítulo 2
Ilustración 7: pasos para usar certificado digital(ECUADOR, web/guest/ noticias1, 2015) Fuente: Los Autores
2.4 Análisis de la ley de comercio electrónico, firmas electrónicas y mensajes de datos La ley de comercio electrónico se ha desarrollado gracias al crecimiento de la información y de las redes electrónicas, a través de éste se han realizado grandes transacciones de dinero, comercio, negociaciones de mucha importancia; por esta razón, fue necesario una ley que regule, garantice la seguridad de las negociaciones, transacciones y comercio que se realicen a través del uso de la tecnología o comercio electrónico y así poder realizarlas con mayor facilidad y seguridad. 49
Comercio Electrónico
Capítulo 2
El objeto de la ley es regular los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas. (nacional, 2002). En esta ley se consideran ciertos principios, los cuales permitirán a que se lleven a cabo de mejor manera las negociaciones y que se aplique de una forma, que ninguna de las partes tenga duda de lo que se están tratando en estas negociaciones. Los principios de la ley son los siguientes: • Reconocimiento jurídico de los mensajes de datos.- los mensajes de datos tendrán igual valor jurídico que los documentos escritos, (nacional, 2002). Esto significa que los mensajes de texto y los correos electrónicos tienen el mismo valor jurídico, es decir que, la legislación le da el mismo valor a un documento escrito como a un electrónico. Al hablar de mensajes de datos se está haciendo referencia a todo lo que contiene éste, todo lo que se envía o lo que se recibe de forma electrónica. • Incorporación por remisión. - se reconoce validez jurídica a la información no contenida directamente en un mensaje de datos, siempre que figure en el mismo en forma de remisión o de anexo accesible mediante un enlace electrónico directo y su contenido, sea conocido y aceptado expresamente por las partes, (nacional, 2002). • 50
Comercio Electrónico
Capítulo 2
• Cualquier información que se reciba adjunta al correo o mensaje principal será válida o será respaldada por la legislación, siempre y cuando se acceda a ésta mediante un enlace activo y la información sea conocida por las partes que estén involucradas en la negociación o trámite legal. • Propiedad intelectual. - Los mensajes de datos estarán sometidos a las leyes, reglamentos y acuerdos internacionales relativos a la propiedad intelectual, (nacional, 2002). La legislación establece que los términos con que serán tratados los mensajes de datos que violen a la propiedad intelectual, serán dados por el órgano regulador que en este caso es el Instituto Ecuatoriano de Propiedad Intelectual (IEPI), el cual trabaja con los mismos términos que la organización mundial de propiedad intelectual. • Confidencialidad y reserva. - Se establece los principios de la confidencialidad y reserva para los mensajes de datos, cualquiera que sea su forma, medio o intención. (nacional, 2002). Este principio puede ser el más importante, ya que éste es el que se encarga de que los mensajes de datos puedan ser protegidos; por lo tanto, los sistemas informáticos deben garantizar la seguridad del mismo mediante la autenticidad, la integridad y el no repudio de la información que debe contener un mensaje de datos.
51
Comercio Electrónico
Capítulo 2
• Información escrita. – Siempre y cuando la ley requiera u obligue que la información conste por escrito, este requisito quedará cumplido con un mensaje de datos siempre que la información que éste contenga sea accesible para su posterior consulta. (nacional, 2002). Esto no es más que el cumplimiento de la ley, si ésta requiere que el mensaje se encuentre de forma escrita se realizará la impresión o escritura, para así divisarlo de forma física y en digital, éste será válido siempre y cuando conserve su forma original o su contenido no sea alterado al momento de transcribirlo. • Información original. - Cuando la ley requiera u obligue que la información sea presentada o conservada de forma original. (nacional, 2002) Significa que si en un proceso jurídico u otros, los sistemas de información por el cual se transmite el mensaje de datos, estos deberán garantizar la integridad, la autenticidad y la originalidad del contenido. • Conservación de los mensajes de datos. - Toda la información sometida a esta ley, podrá ser conservada, este requisito quedará cumplido mediante el archivo del mensaje de datos. (nacional, 2002). La ley estipula un tiempo determinado para que los mensajes de datos puedan ser conservados, de manera que
52
Comercio Electrónico
Capítulo 2
no se afecte la integridad ni la originalidad y de esta forma los mensajes de datos podrán ser revisados y analizados en próximas reuniones o en un proceso jurídico. • Protección de datos. - Para la elaboración, transferencia o utilización de bases de datos, obtenidas directa o indirectamente del uso o transmisión de mensajes de datos, se requerirá el consentimiento expreso del titular de éstos, quien podrá seleccionar la información a compartirse con terceros. (nacional, 2002). Este principio se refiere a la protección de datos personales, es decir la información personal que va dentro del mensaje de datos en la constitución garantiza la confidencialidad de estos datos y su debida protección, estos datos no se podrán publicar sin una autorización de un juez o del propietario de los mismos. • Procedencia e identidad de un mensaje de datos. Salvo pruebe lo contrario, se entenderá que un mensaje de datos proviene de quien lo envía y autoriza a quien lo recibe, para actuar conforme el contenido del mismo, cuando de su verificación exista concordancia ente la identificación del emisor y su firma electrónica. (nacional, 2002). La ley garantizará que el mensaje de datos enviado pertenezca a la persona que lo envió, denominado emisor, ya que se necesitará de la comprobación de su firma electrónica, salvo que en el mismo mensaje estipule que ese mensaje le pertenece a una tercera persona. 53
Comercio Electrónico
Capítulo 2
• Duplicación del mensaje de datos. - cada mensaje de datos será considerado diferente. En caso de duda, las partes pedirán la confirmación del nuevo mensaje y tendrán la obligación de verificar técnicamente la autenticidad del mismo. (nacional, 2002). Los mensajes de datos son únicos y por lo tanto no pueden ser duplicados, los sistemas de información deberán garantizar esto, ya que si se duplica un mensaje puede ser utilizado para perjudicar a una de las partes que estén en la negociación o procedimiento jurídico. La firma electrónica son las referencias o complementos a otros datos, es decir que a través de estos se permite que un mensaje o cualquier otro documento electrónico mantengan un nivel de seguridad, integridad, autentificación, de manera que se pueda evitar la falsificación. La huella digital se la obtiene de la siguiente manera: el emisor es quien debe cifrar la huella digital del mensaje respectivamente con su clave privada, luego enviarle al receptor con el mensaje cifrado. El cifrado que se utiliza es el asimétrico, que consiste en un algoritmo RSA, éste debe ser aplicado sobre la huella digital del mensaje y no en el propio mensaje, ya que, si se lo realizara sobre el mensaje, los costos computacionales serían costosos. A continuación, se representa en el siguiente gráfico una explicación más clara:
54
Comercio Electrónico
Capítulo 2
Ilustración 8: Firma Digital Fuente: Los Autores
Para saber si un mensaje tiene la integridad y autenticidad el receptor debe realizar los siguientes pasos: 1. Decodificar el mensaje con su clave personal o privada. Al ser el único quien posee esta clave se puede garantizar que tiene confidencialidad en la red informática. 2. Generar la huella digital del mensaje recibido por un algoritmo hash. 3. Para descifrar la huella digital del mensaje original debe utilizar la clave pública del usuario A (emisor). 4. Por último, se debe comparar las huellas digitales tanto la del mensaje descifrado como la que termina de generar, si las dos concuerdan, significa que el mensaje es auténtico e íntegro. 55
Comercio Electrónico
Capítulo 2
Con un sistema criptográfico y firma electrónica se puede conseguir una alta confidencialidad, integridad y autenticación de mensajes enviados de un usuario A hacia un usuario B. Protocolos de transacciones seguras en internet Un protocolo para que se ejecute una transacción de forma segura en internet generalmente se basa en la utilización de un sistema de cifrado empleando un algoritmo (clave pública / clave privada) que utilizan una clave privada de 18 bits de longitud, y solo lo conocerán las máquinas de los usuarios conectados y el servicio que presta la conexión. Estas claves permiten la encriptación de los datos para que nadie pueda leer su información de tal manera que se cumpla los 4 principios para una transacción segura en internet. Privacidad: en esta área se utilizan los sistemas de autenticación para controlar el acceso al sistema y la encriptación simétrica para guardar las palabras clave de los distintos usuarios de la red. (Luis, Francisco, & Rosa, 2009) Validación de la identificación: pueden utilizarse tanto sistemas de encriptación simétricos como asimétricos para constatar la identidad de un interlocutor, aunque siempre son más seguros los sistemas asimétricos. Forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Irrefutabilidad (No Repudio): para garantizar la autenticidad de las firmas electrónicas se utiliza la encriptación asimétrica de forma que el emisor firma un mensaje utilizando su clave 56
Comercio Electrónico
Capítulo 2
privada. El receptor del mensaje debe conocer la clave pública del emisor. Si la firma es correcta el receptor descifrará la firma con la clave pública del emisor. Integridad de la información: para asegurar la integridad de los mensajes no es suficiente con la encriptación asimétrica, ya que un intermediario podría interceptar el mensaje, conseguir la clave pública del receptor y crear un nuevo mensaje con el mismo nombre que el mensaje original.” Con estos cuatro principios se puede sostener que cualquier dato o fragmento de información que se transmita desde un servidor seguro necesariamente utilizará el protocolo SSL, set, 3d segurity y https que son utilizados con un navegador con soporte de tecnología SSL en donde los datos viajarán a través de internet a salvo de que pueda ser rastreado, copiando o descifrando en donde el nivel de confianza se detalla en el cuadro siguiente: Tabla 2: Comparativa de protocolos Fuente : Los Autores COMPARACION DE PROTOCOLOS
SSL
SET
3D SECURE
Confidencialidad
x
x
x
Integridad
x
x
x
Autentifica los titulares de las tarjetas de x crédito
x
x
Autentifica los comerciantes
x
x
x
x
Autentifica los bancos Verifica que el comprador está autorizado a utilizar la tarjeta de crédito que proporciona el vendedor
x
x
57
Comercio Electrónico
Capítulo 2
Protocolo SSL (Secure Sockets Layer - Capa de Puertos Seguros): Es un protocolo diseñado para permitir que las aplicaciones trasmitan información de ida y de manera segura hacia atrás y sabe cómo dar y recibir claves de cifrado con otras aplicaciones, así como la manera de cifrar y descifrar los datos enviados entre los dos. Para utilizar el protocolo SSL dentro de un website es necesario que el mismo se encuentre en posesión de un certificado digital de seguridad conocido como certificado SSL y que el mismo interactúe con un navegador web que tenga soporte para SSL. Protocolo SSL (Secure Electronic Transaction - «Transacción Electrónica Segura): Es un sistema de comunicaciones que permite gestionar de una forma segura las transacciones comerciales en la Red. Y cuando decimos de una forma segura nos referimos a que aporta un mayor nivel de seguridad que su antecesor el SSL. (SET, 2012) 3D Secure: Es un XML protocolo basado diseñado para ser una capa de seguridad adicional para la línea de crédito y tarjetas de débito transacciones. (SECURE, 2007). Los servicios basados en el protocolo también han sido adoptados por el análisis del protocolo por el mundo académico ha demostrado que tiene muchos problemas de seguridad que afectan al consumidor, incluyendo una mayor área de superficie para phishing y un desplazamiento de la responsabilidad en el caso de los pagos fraudulentos.
58
Comercio Electrónico
Capítulo 2
Protocolo Https (Hypertext Transfer Protocol Secure - Protocolo Seguro de Transferencia de Hipertexto): Es un protocolo de aplicación que basó en el protocolo HTTP, que es destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP. Documentos electrónicos y mensaje de datos Se denominará un documento como electrónico si se encuentra físicamente almacenado en un dispositivo electrónico o unidad de almacenamiento externa de un dispositivo de este tipo, comprensible sin ningún procesamiento adicional, excepto la presentación del monitor o de la página impresa. Cualquier archivo de computadora que tenga un contenido válido para el trabajo de un universo de usuarios, por reducido que sea, se considera un documento electrónico (Pérez1, 2001). En efecto, la Ley Modelo UNCITRAL establece que Mensaje de Datos es: “La información generada, enviada, recibida, archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos, (EDI), el correo electrónico, el telegrama, el télex o el telefax.” (UNCITRAL, 2008) Dada a conocer las conclusiones señaladas en la congregación el 7 de septiembre de 2006 en el análisis de proyecto de la Ley de Comunicación Electrónica y Comercio Electrónica; donde señalo que “Se entenderá como Mensaje de Datos la definición de la Ley Modelo de Comercio Electrónico y como Documento Electrónico el relacionado con la firma electrónica”. 59
Comercio Electrónico
Capítulo 2
Se habla de autenticidad y de integridad del documento electrónico cuando se utiliza la firma digital. Un documento electrónico sin firma digital es solo un documento, previo así en la investigación se ha podido constatar en el artículo 28 de la ley 527 de 1999 se lee: “Atributos jurídicos de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contenido del mismo” (H Zubieta & ML Volpe, 2002). Se pudo observar que mientras mensaje de datos es “toda aquella información generada, enviada, recibida o comunicada por medios electrónicos, ópticos, digitales que puedes ser almacenadas o intercambiadas por cualquier medio”. En cambio, los documentos electrónicos son “documento en formato electrónico con información electrónica o digital que se genera o almacena por cualquier medio”. Según (Rivadeneira)Un mensaje de Datos, es un medio de prueba, mientras que un Documento Electrónico goza de presunción legal por constar de una firma electrónica debidamente certificada por un proveedor de servicios de certificación. En general, los términos Documentos Electrónicos y Mensajes de Datos viene a ser una especie de sinónimos ene lo que se refiere al derecho informático en efecto un documento electrónico no es otra cosa que un mensaje de datos.
60
Comercio Electrónico
Capítulo 2
No obstante, los documentos electrónicos cuentan con los mismos elementos que tiene un documento en soporte papel: Tienen un soporte material, como por ejemplo un CD, memorias, discos duros, etc. Contienen un mensaje que está escrito usando el lenguaje convencional de los dígitos binarios o bits, los que son traducidos a un lenguaje comprensible por el hombre. Están escritos en un idioma o código determinado. Pueden ser atribuidos a una persona determinada en calidad de autor medianteuna firma electrónica, clave o llave electrónica. Art. 1.- “Esta ley regula los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos servicios” (Ley de Comercio Electrónico, 2002). Para cumplir los propósitos de intercambio se debe contar con un sistema informático de hardware y software apto, instalado previamente y en funcionamiento; donde se deben cumplir tres requisitos: El intercambio se ha de realizar por medios informáticos o telemáticos. El formato tiene que estar normalizado, según el ordenamiento jurídico de los estados involucrados en la transacción. 61
Comercio Electrónico
Capítulo 2
La conexión ha de ser entre computadoras. Las ventajas sobre estas temáticas son la precisión, pues los datos entre sistemas informáticos son más exactos que los introducidos manualmente. Es de suma importancia la rapidez; otra de sus ventajas es su velocidad; pues es más rápido procesarlas por la computadora donde circulan más rápido los datos a través de las redes que cuando hay intercambio manual. Se logra un ahorro en lo que respecta a la mano de obra, copia de archivos y toma de datos. Beneficios tangibles a satisfacción del cliente al plazo que cumple la entrega y se mejora el despacho de transacciones de cualquier índole. VALIDEZ JURÍDICA DE LOS DOCUMENTOS ELECTRÓNICOS Conforme aumenta el uso del internet para celebrar contratos van surgiendo controversias y conflictos, mismos que en muchas ocasiones requieren de una intervención judicial para llegar a un acuerdo entre las partes, generalmente se trata de los mismos problemas que se presentan en el comercio tradicional pero ahora aplicado a situaciones relacionadas con el ciberespacio, donde la comunicación se realiza por medio de mensajes electrónicos. Este es probablemente uno de los temas que pudieran tener la mayor trascendencia en las transacciones electrónicas. Hoy en día muchos dudan sobre la validez de utilizar los documentos electrónicos como medio de prueba y lo que es más grave, en ocasiones son los mismos jueces quienes cuestionan la validez probatoria de los acuerdos y demás documentos que no constan en el papel, los documentos digitales. Probablemente la mayoría de las legislaciones establecen restricciones estrictas 62
Comercio Electrónico
Capítulo 2
o taxativas a los medios de prueba y, considerando el carácter novedoso y reciente de la tecnología de la informática y del comercio electrónico, obviamente no contemplan entre sus medios de prueba a los documentos electrónicos. El problema se acrecienta al recordar el retraso tecnológico en el poder judicial de muchos países. Así se dificulta enormemente la utilización de los documentos electrónicos como medio de prueba, debido a que los funcionarios no tienen en la mayoría de los casos, la más mínima preparación técnica para operar computadores y consiguientemente, trabajar con este tipo de documentos. De aquí una de las prioridades en la reglamentación del comercio electrónico es precisamente, reconocer el valor probatorio de este tipo de documentos a manera de garantizar la posibilidad de exigir el cumplimiento, por lo menos en el caso de los acuerdos electrónicos por la vía judicial. Debemos considerar que en la valorización de las pruebas que realizan los jueces, ellos recurren necesariamente a apreciaciones y opiniones que hasta cierto punto pudieran calificarse como subjetivas, siempre y cuando lo hagan basándose en la razón y su experiencia. Así entrarán a analizar ciertos elementos de la prueba, como su integridad, inalterabilidad, veracidad y exactitud. Y como observamos gracias a los avances tecnológicos es innegable que los documentos electrónicos pueden llegar a cumplir de hecho con los requisitos de las pruebas que analizarán los jueces, e incluso más la superan en integridad e inalterabilidad. Es por eso que en esa valoración subjetiva el juez deberá considerar estas características de los documentos electrónicos. El impacto que está teniendo el comercio electrónico en el funcionamiento de la sociedad, hace indispensable el adecuado 63
Comercio Electrónico
Capítulo 2
reconocimiento legal de los acuerdos y demás contratos celebrados electrónicamente de manera que sea posible utilizar los documentos digitales o aquellos que no constan en el papel tradicional como medio probatorio, perfectamente válido en cualquier procedimiento judicial. En muchas ocasiones con meras inserciones en la legislación probatoria bastará para incluir y reconocer legalmente a los documentos electrónicos como medio de prueba. Estas modificaciones deberán ser flexibles para adaptarse a la evolución de los mercados electrónicos, de manera qué estos en todo momento puedan considerarse como vías seguras de contratación y proteger la obligatoriedad jurídica de los acuerdos alcanzados en el ciberespacio. Sin embargo, en la realidad muchas veces esta regulación no será suficiente ya que las personas que van aplicar la ley necesariamente deben conocer los límites y capacidades de las tecnologías de la informática, para lograr una adecuada valorización de los documentos electrónicos. Asimismo, será indispensable contar con la infraestructura física de herramientas, como computadores actualizados, que permitan recibir las pruebas que consten en documentos electrónicos. Felizmemte tanto en el Código general de procesos como en el código integral penal ya se reconocen como medios probatorios a los documentos electrónicos 2.5 Seguridad Comercio Electrónico La seguridad para los usuarios es un punto clave que las empresas deben generar para así brindar la confianza de sus servicios y que se practique un comercio electrónico seguro; esto 64
Comercio Electrónico
Capítulo 2
es fundamental para las empresas debido a que internet es un circulo abierto al cual toda la gente puede tener acceso y es por lo tanto que se vuelve inseguro para todo tipo de transacciones. El problema de inseguridad es uno de los limitantes en el comercio electrónico en el mundo donde también tenemos otros como son la resistencia de los usuarios de enviar sus datos por Internet debido a la desconfianza que se genera en que si el producto que llega, es el no desado y si este puede ser o no devuelto a su lugar de origen; es decir, los usuarios se rehusan a confiar debido a que estas empresas no han realizado una sociabilización del tipo de seguridad que tienen al momento de efectuar transacciones, para que los usuarios tengan un comercio electrónico eficaz y válido. Existen problemas en los pagos tradicionales en tanto a su seguridad como son la falsificación de billetes, que los cheques no tengan fondos entre otros; vemos que los pagos electrónicos a pesar de sufrir también estos problemas mencionados anteriormente pues también sufren otros más como son la copia de varias veces de documentos de pago, falsificación de firmas electrónicas, en donde la persona puede ser asociada por ejemplo en varios créditos en donde esta persona no tendría ningún conocimiento. Es por lo tanto la prioridad fundamental de entidades que tiene por servicios pagos electrónicos como son entidades financieras, entidades privadas deben procurar ofrecer la mayor seguridad y confianza a los usuarios para que estos puedan utilizar las diferentes transacciones de una manera íntegra y eficaz. 65
Comercio Electrónico
Capítulo 2
Tipo de amenzas en los diferentes sistemas de comunicación Eaversdropping: Es escuchar en interceptación de llamadas privadas sin autorización de las personas involucradas en la comunicación Masquerading: Enviar mensajes desde una tienda virtual a otras personas sin conocer la identidad del emisario. Replaying: utilización de mensajes enviados con el objetivo de engañar a las personas Infiltration: Utilización de una tienda virtual o de comercio electrónico para ejecutar un virus en el computador de la persona que realiza la compra Trafic analysis: Es la observación de las transacciones que van hacia una tienda virtual o que van desde la tienda virtual hacia un comprador sin que este esté enterado Denial of service: Es impedir a una tienda virtual acceder a algunos de sus servicios que tengan. Servicios de seguridad en el Comercio Electrónico Debido a que cada día se da en mayor número el aumento de comercio por el internet, las empresas buscan la mayor seguridad para los usuarios donde se generan mecanismos y técnicas para la seguridad, por lo que se exponen cuatro aspectos que son: AUTENTIFICACION. - Es la verificación de las partes que realizan una transacción en la misma que existe tres formas de realizarlas: a través de claves; a través de direcciones y mediante 66
Comercio Electrónico
Capítulo 2
criptografía, donde de las mencionadas la más eficaz es la criptografía debido a que las anteriores por alguna u otra razón pueden ser observadas u escuchadas por otras personas Del mismo modo existen otras maneras de autentificación que se están empleando en recientes años como son la lectura de huella digital, mediante la retina de los ojos e incluso mediante la voz. CONFIDENCIALIDAD. - Mediante este método se mantiene en secreto la información de los usuarios y solo estos están autorizados de tener acceso a esta información y nadie más; para permitir que exista este tipo de seguridad se está utilizando técnicas de encriptación o la codificación de los datos INTEGRIDAD. - Este método permite que la información enviada entre dos partes no se observada y menos aún modificada por personas ajenas en donde se logra mediante la utilización de firmas digitales, ya que estas permiten codificar la información que se va a transmitir. NO REPUDIO. - Mediante esta técnica se consigue que una persona que ha enviado una información, esta no niegue haber realizado dicho envío, se aplica también a la persona que recibió el mensaje, es decir que esta no puede negar haber recibido la información. Mecanismos de Seguridad Estos mecanismos se implementan para que se cumplan los servicios de seguridad. 67
Comercio Electrónico
Capítulo 2
Mecanismo de Encriptación .- Protege la información utilizando una clave que es solo para una determinada persona o un determinado grupo. Mecanismo de Firma Digital. - La firma digital no es lo mismo que una firma electrónica, en donde la firma digital que consiste en un sistema de encriptación la cual consta de una calve privada y una clave pública. Es decir, el emisor redactara el mensaje y podrá encriptarlo con la clave privada y enviarlo por el internet y el receptor de dicho mensaje para descifrar el mensaje y poder leerlo lo hará con la calve pública del emisor del mensaje. - En cambio la firma electrónica es un símbolo que utilizamos para identificar el documento de una determinad persona y esta se asimila a la firma de papel. Mecanismo de Control de Acceso. - Se relaciona con autenticación de las tiendas virtuales o servicios de comercio electrónico debido a que estos constan con una serie de accesos a sus servicios los cuales están protegidos por una computadora llamada monitor de referencia. Mecanismo de Integridad de la Información. - No permite que la información sea modificada por personas que no están autorizadas a tener acceso a dicha información. Mecanismos de Intercambio de Autenticación . - Se liga a los mecanismos de encriptación de los mensajes que serán enviados mediante el internet. Mecanismos de Confrontación de Tráfico . - Protegen la información que se envía mediante el internet de que esta sea analizada por otras personas. 68
Comercio Electrónico
Capítulo 2
Mecanismos de Confrontación de Ruteo. - Se basa en tener la confianza por parte de las empresas que brindan una vía lo más posible segura para el comercio electrónica Mecanismos de Motorización. - Estos mecanismos son puestos por terceras personas que son avaladas por la ley como los notarios lo cuales tiene la función de establecer la integridad, origen, fecha, hora y destino del mensaje. 2.6 Firma electrónica y entidades de certificación Entidades certificadoras de información ¿Quién emite la firma electrónica? Esta es emitida por una Entidad Certificadora de información, que es la encargada de garantizar la identidad de los portadores de la firma digital. En nuestro país mediante la resolución N° 481-20-2008, el CONATEL acredito al Banco Central del Ecuador como una entidad certificadora el 8 de octubre del 2008, Así también mediante la resolución N° 640-21-2010, el CONATEL acredito a la compañía SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL S.A. La función principal de estas entidades de certificación es la emisión de Certificados de Firma Electrónica para las personas que son naturales, así como también a las jurídicas. Cabe recalcar que no importa qué tipo de institución sea pública o privada debe siempre obtener este tipo de certificados por las entidades certificadoras acreditadas. 69
Comercio Electrónico
Capítulo 2
Certificado Digital Es un archivo digital que contiene información de una persona o entidad. Este tipo de certificado tendrá validez por un periodo total de 2 años a partir de su fecha de emisión y estos podrán ser renovados de acuerdo a circunstancias que lo ameriten. Token USB Es un dispositivo USB en el cual se encuentra almacenada toda la información digital, los certificados de firma electrónica, así como también la clave del titular de esta, es muy útil fácil de transportar y tiene una vida útil de 10 años. Requisitos y obligaciones de las entidades de certificación La empresa en forma previa debe estar legalmente constituida y representada en el Ecuador y debe reunir los requisitos que requieren para ser una entidad certificadora acreditada y que son: Requisitos Legales: identificación y generales de ley del solicitante, socios y representantes, contratos de prestación de servicios, certificados de antecedentes penales, certificados profesionales, y certificados generales de todos los servicios que va a prestar. Requisitos técnicos: Diagrama esquemático y descripción técnica detallada del sistema.
70
Comercio Electrónico
Capítulo 2
Descripción detallada de cada servicio propuesto y de los recursos e infraestructura que estén disponibles y que cumplan con los requisitos de sitio seguro. Documentos que certifiquen que hay medidas para que se evite que toda la información sea falsificada y si la entidad ofrece claves criptográficas privadas, documentos que garanticen la seguridad y confidencialidad el tiempo que estas se generan. Además de cumplir con estos requisitos legales y técnicos las entidades también deben cumplir requisitos que muestren solvencia técnica, logística y financiera ya que si llegara a ocurrir una eventual responsabilidad civil, contractual o extracontractual se puedan cubrir con el patrimonio. Es importante saber que las entidades que buscan ser certificadas deben contar con tecnología de punta con los más altos índices de seguridad. Obligaciones de las entidades de certificación Las obligaciones que debe prestar estas instituciones están tomadas como referencia en la Ley Modelo de la UNCITRAL, entre las que constan: Actuar de conformidad con las declaraciones que haga respecto de sus normas y prácticas. Actuar con diligencia razonable para cerciorarse de que todas las declaraciones importantes que haya hecho en relación con el ciclo vital del certificado o que estén consignadas en el sean exactas y cabales. 71
Comercio Electrónico
Capítulo 2
Proporcionar a la parte que confía en el certificado medios razonablemente accesibles que le permitan a esta: La identificación del prestador de servicios de certificación. Que el firmante nombrado en el certificado tenía bajo control los datos de creación de la firma cuando esta se generó. Que los datos de la firma sean válidos en la fecha en que se expidió el certificado. Prestación permanente, inmediata, oportuna, ágil y segura del servicio. Tener respaldo de la información relativa a los certificados. Proteger las claves privadas. Mantener actualizado todos los medios que ellos manejan. Mantener la información guardada de todos los certificados por un plazo de no menos de 4 años contando desde la fecha de caducidad del documento. Certificación Electrónica Banco Central del Ecuador
Ilustración 9: Banco Central Fuente: Los Autores
72
Comercio Electrónico
Capítulo 2
Su misión es emitir certificados digitales de firma electrónica y otros servicios relacionados con la certificación electrónica para personas Jurídicas y para personas naturales; garantizando la seguridad jurídica y tecnológica en entornos electrónico cumpliendo el marco legal, las normas y estándares nacionales e internacionales de certificación electrónica. SecurityDATA La firma electrónica del Ecuador
Ilustración 10: Security data Fuente: Los Autores
Sus servicios están orientados a corporaciones públicas y privadas, tiene como objetivo principal acreditar la identidad digital de las corporaciones y personas naturales que actúan a través de la red.
73
Comercio Electrónico
Capítulo 2
Ilustración 11:ANF autoridad de registro Fuente: Los Autores
Autoridad Digital Esta es una institución que no está acreditada por el CONATEL, ni es la encargada de emitir los certificados digitales o firmas digitales, sino que es una empresa que se dedica a tramitar y cumplir con los requisistos para obtener una firma electrónica. En el Ecuador las únicas empresas certificadas por el CONATEL para emitir un certificado electrónico, así como también una firma digital son el Banco Central del Ecuador y Segurity data. 74
Comercio Electrónico
Capítulo 2
Certificamarca (Colombia) Es una entidad de certificación digital abierta autorizada por la superintendencia de industria y comercio, también certificada por la ONAC que es el Organismo Nacional de Acreditación de Colombia. Tiene como fin proveer seguridad jurídica tecnológica en los entornos electrónicos cumpliendo siempre el marco legal, las normas y los estándares internacionales, esta organización está conformada por las cámaras de comercio del país, en otros países funcionan de otra forma, así: Bit4id (Perú) Es una empresa que tiene como misión desarrollar productos y sistemas para la identificación digital segura, tiene una gran factilidad de instalación ya que sus productos están diseñados como plug&play que garantizan la máxima seguridad y que permiten simplemente conectarlos y poder usarlos. Es una empresa que se encuentra en diferentes países como Peru, Honduras, Italia, España, etc. Podemos citar una lista de instituciones que brindan el servicio de generadores de certificados digitales esto incluye también firmas digitales, y estas son: ff ff ff ff ff ff ff
CAMEFIRMA ESPAÑA CERTISING BRASIL COMODO EE.UU DIGI-SING EE.UU EDICOM ESPAÑA ENTRUST INC EE.UU FIRMAPROFESIONAL ESPAÑA 75
Comercio Electrónico
ff ff ff ff
Capítulo 2
GESTION DE SEGURIDAD ELECTRONICA COLOMBIA GLOBALSING EE.UU SWISS SING AG SUIZA WISEKEY SUIZA
Estas son algunas de las empresas que a nivel internacional brindan servicios de certificación digital cumpliendo con las respectivas normativas y que han sido certificadas por su equivalente al CONATEL en su respectivo país tal es el caso de Indecopi (Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual) en Perú y la ONAC en Colombia. Concepto de Firmas El término firma tiene dos acepciones mayores y más comunes, bastante diferenciadas una de la otra. La primera es aquella que hace referencia a la firma como rúbrica que se utiliza para dejar en claro la aceptación o autoría de un documento. La segunda acepción es la que hace referencia a la firma como empresa o multinacional en la que se desempeña una actividad económica específica. Las firmas son aquellos trazos escritos con los que una persona se identifica para prestar conformidad en algún documento, y que la obligan con respecto a su contenido, del que queda notificado y presta conformidad. En caso de que se exija firmar y no se esté de acuerdo con el contenido de la notificación se debe aclarar que se firma en disconformidad. Quienes no saben escribir, prestan su consentimiento a través de su huella dactilar, la que se unta con tinta y se estampa en el documento. 76
Comercio Electrónico
Capítulo 2
No es necesario que la firma conste en el nombre del firmante, valiendo cualquier signo que use con regularidad. En ciertos lugares para conocer si la firma corresponde a una persona y no es otra la que lo hace en su nombre, se exige un registro de firma, para tomar como modelo, y cotejar con ella las firmas posteriores para verificar su autenticidad. Esto suelen hacerlo los colegios con la firma de los padres, para impedir que los alumnos las falsifiquen o en los Bancos para evitar los hurtos en las cuentas corrientes o depósitos de los clientes. Evolución de los documentos y la firma electrónicos La validez jurídica de los documentos electrónicos con el paso del tiempo ha ido cimentándose y es que, con el gran auge del internet y el desmesurado desarrollo de aplicaciones móviles, está también la gran cantidad de avances tecnológicos que hemos sufrido en las últimas décadas. Años atrás los documentos o archivos electrónicos eran considerados como documentos internos de las entidades puesto que cuando se enviaban a los destinatarios finales se lo hacía mediante papel ya que en ese entonces la tecnología no había desarrollado dispositivos que permitan recibir a los destinatarios sus documentos ya solo en papel sino que gracias al desarrollo del correo electrónico y al gran avance en la intercomunicación de dispositivos con el internet también se pudo cambiar el hecho de que los destinatarios sean solo receptores a que puedan interactuar de forma rápida e inmediata. Claro está que para llegar hasta este punto se tuvo que seguir lineamientos y establecer autenticación de los datos de los documentos 77
Comercio Electrónico
Capítulo 2
electrónicos que se enviaban. A continuación analizaremos algunos de los parámetros que se han ido perfeccionando para que los documentos puedan obtener validez jurídica. Compatibilidad. - El simple hecho de enviar o recibir un documento electrónico no garantiza que sea posible que nuestro dispositivo receptor sea capaz de descifrarlo y esa fue uno de los primeros inconvenientes que se presentaron cuando se empezaba a utilizar esta práctica, para solucionar este problema se optó por establecer software gratuito que permita leer documentos electrónicos como ejemplo esta Adobe Reader. Valor Probatorio De Los Documentos Electrónicos. - Los documentos electrónicos eran recibidos por sus destinatarios en sus dispositivos, pero ahora el gran problema radicaba en verificar si validez, que este documento sea verdadero y original. Datos como Fecha de publicación y Nombre del autor eran suficiente para demostrar la autenticidad de algunos documentos electrónicos, sin embargo, verificar la autenticidad para los documentos que son muy importantes y personales apareció la firma electrónica y la referencia a una base de datos de documentos asegurada. Firma Digital y Firma Electrónica La Firma Digital: Es un método criptográfico que asocia una identidad ya sea de una persona en particular o de un equipo a un mensaje enviado a través de transmisión por la red, por ejemplo, cuando los documentos legales físicos y en general, cualquier tipo de documento se determina mediante el uso de 78
Comercio Electrónico
Capítulo 2
la firma manuscrita para dar testimonio de legalidad veracidad y compromiso ya que ni siquiera sirve una fotocopia de la misma, de igual forma para que los documentos enviados de forma digital tengan la misma validez que un documento firmado a mano se crea la firma digital. Concluyendo podemos decir que la firma digital es el resultado de aplicar a un documento, en línea, un procedimiento matemático que requiere datos que exclusivamente conoce la persona que firma, encontrándose ésta bajo su absoluto control.
Ilustración 12: Importancia de la firma digital Fuente: Los Autores
La firma digital debe ser susceptible a verificación por terceras partes, de manera tal que dicha verificación permita, simultáneamente, identificar al firmante y detectar cualquier cambio al documento digital posterior a su firma. Podemos mencionar también que la firma digital tendrá idéntica validez 79
Comercio Electrónico
Capítulo 2
y eficacia a la firma manuscrita, siempre que esté debidamente autenticada por claves u otros procedimientos seguros de acuerdo a la tecnología informática. Es necesario una autoridad certificadora que regule y valide la firma digital, en los sitios de comercio electrónico es fundamental contar con un certificado SSL para poder brindar seguridad a sus clientes.
Ilustración 13: Receptor / Transmisor digital Fuente: Los Autores
La firma digital permite la transacción segura de documentos y operaciones en aplicaciones computacionales garantizando los siguientes aspectos:
80
Comercio Electrónico
Capítulo 2
Ilustración 14:Proceso de la firma digital Fuente: Los Autores
Ilustración 15: Creación y Verificación de la Firma Digital Fuente: Los Autores
81
Comercio Electrónico
Capítulo 2
Concepto de Firma Electrónica Es la equivalencia digital de la firma manuscrita, tiene la misma validez legal y se encuentra amparada por la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. Desde el punto de vista técnico, la firma es un conjunto de datos digitales que se añaden a un archivo digital y que se obtienen del cifrado del mismo mediante programas computacionales. Pasos para obtener la firma electrónica
Ilustración 16:Pasos Firma Electrónica Fuente: Los Autores
82
Comercio Electrónico
Capítulo 2
Los formatos principales para firma electrónica son los siguientes: Formatos de la Firma Electrónica 1.- PKCS#7/CMS PKCS > (Public-Key Cryptography Standards) • Es uno de los formatos tradicionales más extendidos • CMS es la evolución de PKCS#7, si bien, prácticamente idénticos • CMS a partir de los estándares de IETF, sobre todo, del RFC 3852 IETF > Internet Engineering Task Force RFC > Request for Comments • Se trata de un formato de encapsulamiento codificado en ASN-1 / VER, aunque también puede ser codificado en Base64. • Habitualmente, una firma en CMS puede representarse en su modalidad Attached (habitual) o Dettached, en función de que incluya o no el propio documento. CMS permite incluir diferentes firmantes en la firma bajo dos modalidades: encadenada y mancomunada. • La firma propiamente dicha es un compendio de datos formales referidos al tipo de firma, así como de atributos firmados y no firmados bajo una estructura dada. 83
Comercio Electrónico
Capítulo 2
Contenido del Formato: Versión: Versión del formato Tipo de Algoritmo hash: SHA1, MD5, etc. Información del contenido Tipo de contenido: (normalmente Data) Contenido: Documento a firmar Certificados: Certificado del firmante y de toda la cadena CRLs: CRL donde verificar la revocación Información del firmante: Versión Identificación: Issuer del Certificado: Emisor del certificado No de serie: No de serie del certificado Tipo de algoritmo hash: SHA1 (Secure Hash Algorithm) Atributos autenticados (firmados): Tipo de contenido: Valor fijo = DATA Certificado del firmante Fecha y hora de la firma: momento de la firma en formato (YYMMDDHHMMSSZ) 84
Comercio Electrónico
Capítulo 2
Hash del mensaje: Obtenida del documento al aplicarle el algoritmo hash Política de firma Atributos no firmados: (contador de firmas, cargo del emisor, no de firmas, localización, razón, etc.) Tipo de algoritmo de firma: Generalmente RSA (también DSA) Firma Digital: Firma propiamente dicha (PKCS#1) 2.- XML DSIG Es el formato de mayor expansión Usado frecuentemente en aplicaciones on-line El formato es XML DSig Funcionalmente y estructuralmente, es bastante similar al CMS, pero la codificación original de firmas y certificados se realiza en B64 En toda firma XML, según el estándar XML DSig, existirían 3 modos de firma: Enveloped: en el que la firma se añade al final del documento XML como un elemento más. Se firma todo lo inmediatamente anterior al documento. Envoloping: En el que, él documento se incluye dentro de la firma en la que se referencia lo firmado como objeto insertado 85
Comercio Electrónico
Capítulo 2
en la firma. Ya que se referencian los objetos, este modelo permitiría distinguir lo que se firma, pudiendo firmar el objeto entero o partes de él (asignando un id diferenciador). Detached: En el que, la firma y el documento se separan en dos archivos, la URL donde se encuentra el documento puede aparecer en la propia firma. Contenido del Formato: Signature, SignedInfo, SignatureMethod, Canonicalization Method, Reference, Transforms, Digest Method, Digest Value, Reference, Signature Value, Key Info, Object. 3.- PDF Una de las principales ventajas del formato PDF es la capacidad de gestionar firmas. En realidad, se trata de una implementación de PKCS#7, La creación y validación de firmas electrónicas se ha ido mejorando a lo largo de las versiones hasta convertirse en la herramienta genérica que realiza un mejor tratamiento, Con PDF es posible realizar las denominadas firmas longevas, de gran importancia. Principales características: ff Firma y validación con Acrobat Reader ff Personalización de la razón de la firma y de una imagen personalizada ff Incorporación de CRL / OCSP, sello de tiempo y cadena de certificados ff Firmas visibles /invisibles 86
Comercio Electrónico
ff ff ff ff
Capítulo 2
Limitación de certificados a emplear Creación de políticas de firma Integración con el repositorio de confianza de Windows Firma sólo de campos seleccionados (sólo válido con versión 8)
Uso de la Firma Electrónica Con la firma electrónica pueden realizarse diferentes tipos de transacciones a través de la Internet sin necesidad de desplazarse, ni hacer filas de forma que los trámites públicos se agilitan aumentando la transparencia, lo que se traduce en ahorros significativos de tiempo y dinero. Las aplicaciones de la firma digital son diversas. Se cita algunas de ejemplo a continuación:
Ilustración 17:Usos Firma Electrónica Fuente: Los Autores
87
Comercio Electrónico
Proceso Firma Electrónica
Ilustración 18:Proceso Firma Electrónica Fuente: Los Autores
Requisitos Firma Electrónica
Ilustración 19:Requisitos Firma Electrónica Fuente: Los Autores
88
Capítulo 2
Comercio Electrónico
Capítulo 2
Tarifas
Ilustración 20:Tarifas Fuente: Los Autores
Validez de Firmas Electrónicas En el momento de la validación de una firma electrónica se busca comprobar básicamente: La identidad del titular de la firma electrónica La integridad del documento presentado con la respectiva firma electrónica La validez temporal que tiene el certificado
89
Comercio Electrónico
Capítulo 2
En el proceso de obtención de la firma electrónica por una persona esta utiliza un certificado electrónico es decir utiliza su clave privada en este proceso de validación de la firma electrónica también va ligado mutuamente al proceso de validación del certificado ya que para la firma debe tener el certificado o por su defecto su clave totalmente valida. En donde este certificado solo se puede validar si se encuentra activo, una vez caducado este será borrado de las listas de la Autoridad de Certificación y así no será posible comprobar su estado en el momento de la firma. Existe la validación de firmas a largo plazo, la cual puede comprobarse si la firma electrónica estampada en el documento se halla en los certificados activos o no han sido renovados después de mucho tiempo de haber sido firmado dicho documento. Para la realización de este proceso se debe incrustar varios elementos después de haber sido firmado el documento o después de la creación de la firma electrónica; al no ingresar estos elementos o la determinada información en el documento la firma electrónica será validada durante el tiempo limitado en donde esta limitación de las firmas va consecuente si los certificados se encuentran activos o si no han sido renovados. Entre los elementos necesarios para establecer la validez de la firma electrónica sestan los siguientes: ff La firma de la cadena de los certificados ff El estado de los certificados, y ff Una marca de hora 90
Comercio Electrónico
Capítulo 2
Para la validación de este certificado existen plataformas que son sistemas online, que ayudan a los cuidadanos para que los certificados estén completamente válidos y así adquirir su firma electrónica. Para la validación de estos certificados debemos acceder al mismo Registro vía online del cual ha sido emitido. Por ejemplo, tenemos la plataforma VALIDE la cual la Administración General del Estado pone a disposición tanto de empresas como de los ciudadanos para la validación de estos certificados y también la misma ofrece servicios como la validación de las firmas electrónicas y otros que son generación de firmas electrónicas con múltiples formatos. La firma electrónica tendrá igual validez y se le reconocerá los mismos efectos jurídicos que una firma a papel en relación con los datos realizados en documentos escritos y estas también son admitidas como pruebas en juicios. Existe aplicaciones para verificar la validez de la firma electrónica al momento de abrir el documento lo cual llevara mayor tiempo para abrirse dicho documento debido al proceso automático o se puede realizar esta verificación siguiendo una serie de pasos al momento de ya estar abierto el documento lo cual nos llevara menos tiempo en visualizar dicho documento obviamente sin saber si la firma es auténtica o no por el momento. La validación de la firma electrónica debe cumplir los requisitos que establece el art. 115 de la Ley de Comercio Electrónico y que son: 91
Comercio Electrónico
Capítulo 2
• La firma electrónica debe ser individual y estar ligada únicamente a su titular. •
La firma electrónica debe permitir verificar la autoridad e identidad del titular mediante dispositivos técnicos de comprobación establecidos.
• Que la creación y verificación de la firma sean confiables seguro e inalterable para el propósito por el cual fue generada la firma. • Que al momento de creación de la firma los datos todos los datos que se encuentran expuestos están bajo el control únicamente del titular • Que la firma sea únicamente controlada por la persona a la cual pertenece. Obligaciones del Titular de la Firma Electrónica De conformidad con el Art.17 de la Ley de Comercio Electrónico el titular de la firma electrónica deberá: • Cumplir con las obligaciones derivadas del uso de la firma electrónica; • Actuar con la debida diligencia y tomar las medidas de seguridad necesarias, para mantener la firma electrónica bajo su estricto control y evitar toda utilización no autorizada; • Notificar por cualquier medio a las personas vinculadas, cuando exista el riesgo de que su firma sea controlada por terceros no autorizados y utilizada indebidamente; 92
Comercio Electrónico
Capítulo 2
• Verificar la exactitud de sus declaraciones; • Responder por las obligaciones derivadas del uso no autorizado de su firma, cuando no hubiere obrado con la debida diligencia para impedir su utilización, salvo que el destinatario conociere de la inseguridad de la firma electrónica o no hubiere actuado con la debida diligencia; • Notificar a la entidad de certificación de información los riesgos sobre su firma y solicitar oportunamente la cancelación de los certificados; y, • Las demás señaladas en la Ley y sus reglamentos. Duración y Extensión de la Firma Electrónica En cuanto a la duración de la firma electrónica, el art 18 de la ley de comercio electrónico menciona que la firma electrónica tiene un lapso de duración indefinido Mientras en el art 19 “FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS” la Extinción y desaparición de la firma electrónica sucederá por: (Diaz, 2010)
a) Voluntad de su titular
b) Fallecimiento o incaoacidad de su titular
c) Disolución o liquidación de la persona juridica, titular de la firma; y ,
d) Por causa judicialmente declarada
Ilustración 21:Causas de extinción de la firma electrónica. (Rocha, 2015) Fuente: Los Autores
93
Comercio Electrónico
Capítulo 2
La extinción del certificado de Firma Electrónica se produce desde el instante de su comunicación a la entidad de certificación de información, excepto en el caso de defunción del titular de la firma electrónica, en estos casos se elimina a partir del fallecimiento. (Rocha, 2015) La Firma Electrónica es un equivalente a una firma manual del titular por la cual la persona que realice tramites con dicho dispositivo debe tomar muy en cuenta la manera de extinguir su firma electrónica debido a que esta puede ser usada con fines ilícitos por otras personas y de esta forma se puede ocacionar problemas tanto en la Aduana como con la Justicia teniendo muy en cuenta el último párrafo del artículo que es muy importante “La extinción de la firma electrónica no exime a su titular de las obligaciones previamente contraidas deribadas de su uso.” (Art. 19 Insiso final Ley de Comercio Electrónico) Al tratarse de personas desaparecidas o de personas secuestradas, esta desaparece al momento de efectuar la denuncia ante las autoridades competentes del tal secuestro o desaparición. (Diaz, 2010) ENTIDAD DE CERTIFICACIÓN “Se conoce como entidad de certificación a las empresas unipersonales o personas jurídicas que emiten certificados de firma electrónica y pueden prestar otros servicios relacionados con la firma electrónica, autorizadas por el Consejo Nacional de Telecomunicaciones, según lo dispuesto en esta ley y el reglamento que deberá expedir el Presidente de la República. 94
Comercio Electrónico
Capítulo 2
Dentro de las entidades certificadoras aprobadas en el país tenemos a una entidad pública, como es el Banco Central del Ecuador; y una privada como es Security Data.” (Hinojosa Avila, 2013) Banco Central Mediante Resolución N° 481-20-2008, el 8 de octubre de 2008, el Consejo Nacional de Telecomunicaciones (CONATEL) acreditó al Banco Central del Ecuador como Entidad Certificadora. (Administración Pública, s.f.) “Es una entidad Publica Certifica a personas naturales y jurídicas (representante legal). El portal web de esta entidad es: http://www.eci.bce.ec/web/ guest Token (Es un dispositivo criptográfico USB, donde se almacena su certificado digital de forma segura) - vigencia 2 años Emisión del Certificado de Firma Electrónica (token) - $ 30,00 + IVA Dispositivo Portable Seguro – Token - $ 35,00 + IVA Renovación del Certificado (válido por 2 años) - $ 20,00 + IVA” (Hinojosa Avila, 2013)
95
Comercio Electrónico
Capítulo 2
SECURITY DATA Mediante Resolución N° 640-21-2010, el 22 de octubre del 2010, el Consejo Nacional de Telecomunicaciones (CONATEL) acreditó a la compañía SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL S.A. como Entidad de Certificación de información y Servicios Relacionados. (Administración Pública, s.f.) “Es una entidad Privada Certifica a personas naturales y jurídicas. El portal web de esta entidad es: https://www.securitydata.net. ec/ Costo $ 69,00 + IVA” (Hinojosa Avila, 2013) Certificado Electrónico “Es un documento virtual que certifica la vinculación de la firma electrónica con una persona determinada; es decir es la equivalencia de la firma manuscrita y tiene la misma validez legal y está amparada en la Ley de Comercio Electrónico Usos del Certificado Electrónico Facturación electrónica, ECUAPASS (Aduana del Ecuador), Gestión Documental Quipux (Proyecto Cero Papeles), Compras Públicas, etc. Pasos para obtener el Certificado Electrónico • Ingrese la solicitud en www.eci.bce.ec. 96
Comercio Electrónico
Capítulo 2
• De clic en la pestaña Firma Electrónica. • Ingresar a. ”Solicitud de Certificado”. Llene el formulario y adjunte los requisitos solicitados. • Aprobada la solicitud realice el pago del certificado en las ventanillas de Registro Civil de la ciudad donde solicitó el servicio. • Retire su certificado en la oficina que eligió portando su cédula o pasaporte.” (registro civil, 2015) ORGANISMOS DE PROMOCIÓN Y DIFUSIÓN DE LOS SERVICIOS ELECTRÓNICOS. Las entidades de certificación de información deben estar reguladas y cumplir con la ley. De esta manera la ley de comercio electrónico en su capítulo IV se refiere a los organismos de promoción y difusión de los servicios electrónicos, y de regulación y control de las entidades de certificación acreditadas menciona al COMEXI, como organismo de promoción y difusión de los servicios electrónicos, al CONATEL como organismo de regulación, Superintendencia de Telecomunicaciones como organismo de control. Para regular a las entidades de certificación de información la ley de comercio electrónico delega a tres entidades, cada uno cumple una función concreta: El Consejo de Comercio Exterior e Inversiones, “COMEXI”, será el organismo de promoción y difusión de los servicios electrónicos, incluido el comercio electrónico, y el uso de las firmas electrónicas en la promoción de inversiones y comercio 97
Comercio Electrónico
Capítulo 2
exterior. o la entidad que haga sus veces, será el organismo de autorización, registro y regulación de las entidades de certificación de información acreditadas. La Superintendencia de Telecomunicaciones, será el organismo encargado del control de las entidades de certificación de información acreditadas. INFRACCIONES ADMINISTRATIVAS Las infracciones administrativas según el Art. 40 de la ley de Comercio Electrónico se clasifican en infracciones leves y graves sancionando deacuerdo a la gravedad de la falta.
Ilustración 22:Infracciones Fuente: Los Autores
98
Comercio Electrónico
Capítulo 2
Infracciones graves Estas infracciones serán sancionadas, de acuerdo a los literales a) y b) del artículo siguiente. Infracciones graves: 1. Uso indebido del certificado de firma electrónica por omisiones imputables a la entidad de certificación de información acreditada; 2. Omitir comunicar al organismo de control, de la existencia de actividades presuntamente ilícitas realizada por el destinatario del servicio; 3. Desacatar la petición del organismo de control de suspender la prestación de servicios de certificación para impedir el cometimiento de una infracción; 4. El incumplimiento de las resoluciones dictadas por los Organismos de Autorización Registro y Regulación, y de Control; y, 5. No permitir u obstruir la realización de auditorías técnicas por parte del organismo de control.
99
Comercio Electrónico
Ilustración 23:Ley y Reglamento de Comercio Electrónico Fuente: Los Autores
100
Capítulo 2
Comercio Electrónico
Capítulo 2
En conclusión, se puede determinar que el comercio electrónico supone la realización de transacciones comerciales, con un determinado fin económico, mediante la utilización de medios electrónicos, en particular de redes de telecomunicación o comunicación electrónica como Internet, permitiendo la contratación de bienes o servicios a través de dichos medios. El comercio electrónico es una tendencia en ascendencia porque ofrece comodidad a los consumidores y porque es un método seguro para la comercialización mediante el conocimiento de la ley de comercio electrónico y su reglamento La firma digital es muy necesaria en la actualidad, diariamente se hacen muchos negocios y trámites vía Internet, lo que conlleva a tener certificación dentro de la misma Web. La firma digital permite certificar la autoría e integridad de los documentos que viajan en la red. La firma al estar certificada se comporta igual que una manuscrita esto es gracias a que esta se toma como una firma holográfica plasmada en los documentos físicos. La privacidad de la firma electrónica se da cuándo un documento o mensaje se envía y sólo podrá ser visto por quien recibe y que posea la llave adecuada, es decir que este descifre los códigos para hacer visible la información. El titular de la firma electrónica deberá hacerse responsable del trámite que realiza utilizando su firma electrónica, y este se someterá a ley y sus reglamentos, cada persona que maneje la firma electrónica deberá tener conocimiento de lo que está firmando. 101
Comercio Electrónico
Capítulo 2
Las normas por infracción de la ley de comercio electrónico va dirigido tanto a las personas como a las entidades certificadoras si estas en algún caso llegaran a ser cómplices por así decirlo con las personas que hacen uso ilícito de la firma electrónica. Para las entidades de certificación electrónica es importante ser claras y no tratar de ocultar información que las pueda afectar, es decir siempre ser transparentes en su proceso. Recomendaciones Consejos para realizar transacciones seguras por internet Con los avances tecnológico de la información existe muchos cambios de paradigmas en la sociedad uno de ellos es la forma en la que hacen negocios. Son diversas las opciones que tiene el usuario: hacer compras por internet, pagar cuentas de servicios públicos, hacer transacciones bancarias, pagar servicios en línea entre otras. A medida que crece la cantidad de usuarios que utilizan esta forma de comercio electrónico, también crecen los riesgos a los cuales están expuestos aunque estas transacciones son cada vez más seguras, se utilizan técnicas como el cifrado de los datos para garantizar la integridad y confidencialidad de la información durante la transacción y protocolos para la transmisión segura (HTTPS), además de alternativas cada vez más robustas para la identificación de usuarios entre las que destacan el uso de teclados virtuales, certificados de seguridad y técnicas biométricas como el reconocimiento de huellas dactilares. 102
Comercio Electrónico
Capítulo 2
(España, 2017)Comprobar que la dirección del sitio corresponda con la del sitio que se quiere utilizar, una letra de más, un número extraño, pueden indicar que es un sitio peligroso. Lo más indicado es escribir directamente la dirección y no seguir enlaces que lleguen por correo electrónico o que se encuentren en páginas poco confiables. (España, 2017)Internet es una gran base de información, si el usuario tiene alguna duda sobre la página que va a utilizar para hacer sus compras o pagos es recomendable buscar en foros sobre la reputación de los sitios donde estén las experiencias de otros usuarios. (España, 2017)Aunque pueda resultar engorroso es mejor asegurarse en qué condiciones el sitio web presta el servicio, para esto es conveniente leer las políticas y normativas del sitio. (España, 2017)Muchas transacciones en línea son respaldadas con tarjetas de crédito o débito, es recomendable revisar el movimiento de las mismas una vez finalice la transacción para comprobar que todo ha ocurrido según lo esperado. (España, 2017)Cuando se acceda a sitios para hacer transacciones utilizar dispositivos de total confianza, nunca hacerlo desde dispositivos de uso público, porque pueden tener software malicioso que capture la información personal. (España, 2017)Utilizar herramientas para detectar y bloquear amenazas; además todas las aplicaciones del dispositivo deben estar actualizadas, en este caso particular sistema operativo y navegadores web, para evitar que las vulnerabilidades de diseño no sean aprovechadas por algún código malicioso. 103
Comercio Electrónico
Capítulo 2
(España, 2017) No escribir información personal indiscriminadamente, es necesario asegurarse en que sitios está dejando la información y si se cumple con las características de seguridad mencionadas. Leer tres veces como mínimo lo que se está enviando y firmando puesto que el desconocimiento de la ley no exime de responsabilidad. Características de la firma electrónica Las características principales que se debe tomar en cuenta de la firma electrónica son las siguientes: Personal: Solo un dueño legítimo puede generarla. Infalsificable: En la actualidad con la tecnología computacional disponible es imposible falsificar una firma electrónica. Integridad: El contenido, el mensaje, el documento firmado tiene una validez. La generación y la autentificación son fáciles. No repudiable. La persona que ha firmado no puede decir que no lo ha hecho Uso de una Firma Electrónica Para su correcto uso hay que tener un certificado de firmas electrónicas debidamente emitidas por alguna autoridad certificadora además de la llave pública. La 104
firma
electrónica
está
compuesta
por
números
Comercio Electrónico
Capítulo 2
respectivamente, estos identifican a las claves privada y la pública. La privada puede ser almacenada en una tarjeta o cualquier dispositivo criptográfico, mientras que la clave pública es enviada o anexada con el documento firmado. Utilización de la firma electrónica certificada Las personas o usuarios que obtengan una firma electrónica pueden realizar diferentes actividades como: consultar información personal, acceder a servicios o realizar trámites siempre y cuando implique una certificación de identidad del solicitante. En conclusión, las firmas electrónicas permiten generar documentos digitales que muestran una validez jurídica. Autoridades Certificadoras Las personas que firman los documentos electrónicos deben saber, que estos tienen validez tanto como una firma de un documento físico; es por ello, que lo deben realizar con mayor responsabilidad y de manera formal cuidar su clave privada debidamente; caso contrario, cualquier persona puede firmar utilizando su nombre. Los problemas de seguridad como la vulneración de identidad pueden provocarse, es por ello que existen las autoridades certificadoras, que son aquellas que emiten certificados digitales, a través de los cuales se garantiza la identidad de los usuarios registrados, brindando un método seguro de distribución de las claves públicas, es decir, estas autoridades son quienes conceden, revocan o suspenden los certificados. 105
Comercio Electrónico
Capítulo 2
Los certificados electrónicos son aquellos que contienen información primordial del usuario como: código único de identificación, identificación de la AC que emite y firma el certificado, validez y datos del titular. Las funciones de las autoridades certificadoras son las siguientes: • “Generación y actualización de las claves de los usuarios y emisión de los certificados digitales. • Gestión del directorio y distribución de las claves. • Revocación de las claves y certificados digitales. • Renovación de certificados una vez excedido su fecha de expiración. • Declaración de la Política de Certificados.” (Gómez Vieites, 2011, p.411) Las autoridades certificadoras deben garantizar una seguridad lógica y física, caso contrario toda ya la información de los usuarios estaría totalmente comprometida, por tal razón se deberá cumplir con una norma de certificación, comola ETSI TS 11456. Los usuarios deberán cumplir con ciertas responsabilidades, tales como brindar la información correcta para que sea incluida en los certificados digitales, proteger su clave privada e informar si se le ha extraviado.
106
Comercio Electrónico
Capítulo 2
Redes o Anillos de Confianza “En aquellas situaciones en las que no se dispone de Autoridades de Certificación ni de Registro, se puede constituir una red de usuarios basada en la confianza entre todos los que la integran.” (Gómez Vieites, 2011, p.414) Dispositivos Personales de Firma Electrónica La manera más práctica de guardar tanto claves privadas, como públicas y los dispositivos que soportan este tipo de tecnología, son las tarjetas inteligentes o un pendrive, ya que su portabilidad es muy fácil. Estas tarjetas inteligentes tienen una seguridad que impiden la lectura y duplicación de información, de igual forma exigen la introducción de un código PIN y por seguridad, al tercer intento fallido ésta se bloquea.
Ilustración 24:Código PIN Fuente: Gómez Vieites, 2011
107
Comercio Electrónico
Capítulo 2
Algunos usuarios tienen sus claves y los certificados en los discos duros de sus computadoras, esto puede ocasionar problemas, por lo que las tarjetas inteligentes protegidas por sistemas biométricos son un gran avance. Cabe destacar que pueden existir problemas con las tarjetas o vulnerabilidades, ya que por medio del chip se puede dar a conocer información sobre el sistema criptográfico y sobre las claves, a través de un monitoreo externo de consumo eléctrico. A esto se suma si el usuario pierde algún dispositivo de firma electrónica, pueden suplantar su identidad y redactar documentos en su nombre, si esto sucede debe dirigirse a las autoridades de certificación para la revocación. Para realizar transferencias seguras en internet es necesario realizar algunos procesos que podrán ayudar en gran medida a que las transferencias sean seguras • Verificar que la dirección del sitio sea la correcta. • Buscar más información sobre el sitio en cual se va a realizar un negocio, esto se puede hacer mediante la reputación del sitio. • Es importante leer las políticas y las normativas del sitio. • Al momento que se realiza una transacción es conveniente verificar que la transacción se la hizo con éxito. • Al momento de realizar transacciones se recomienda el uso de dispositivos personales y no públicos ya que estos pueden tener códigos maliciosos. 108
Comercio Electrónico
Capítulo 2
• También se debe manejar herramientas para detectar y bloquear amenazas que suelen presentarse en algunos sitios visitados. • Debemos ser cautelosos al momento de dar nuestros datos personales en caso de que nos pidan registrarnos porque al brindar nuestra información podemos ser víctimas de ataques a futuro. Dentro de lo que se ha dicho anteriormente podemos decir que el comercio electrónico está ligado directamente con transferencias online, por lo que es muy importante tener el debido cuidado al momento de acceder o realizar cualquier tipo de acción dentro del internet hay que saber protegernos al momento de ingresar a la web, ya que muchas veces corremos el riesgo todos los usuarios y lo más importante es aprender a cuidarnos y saber los beneficios del correo electrónico y la web.
109
CONTRATOS ELECTRÃ&#x201C;NICOS
3.1
ClasificacIOn de los contratos
3.2 CAPITULO 3
Elementos constitutivos del contrato inforMAtico
3.3 3.4 3.5
Contratos inforMAticos
Partes que intervien en el contrato
Casos pRActicos de contratos inforMAticos
CAPÍTULO III Contratos Electrónicos Los contratos en un principio se utilizaban en el ámbito científico y militar, luego se los incluyó en el campo de negocios, lo cual originó una rápida comercialización y por lo tanto, se expandió los contratos en materia informática. La contratación generalmente ha sido un aspecto fundamental a la hora de adquirir o vender un bien; con el fenómeno informático que se está experimentando en nuestro entorno, ha originado la comercialización de los bienes y servicios informáticos, que se derivan del avance de la tecnología, y deben ser regulados a través de representaciones jurídicas, llamados contratos informáticos. Por la serie de caracteres específicos muy marcados, es difícil la adecuada negociación de esta práctica, por lo que se necesita un tratamiento pormenorizado, sobre todo en las implicaciones conocidas de forma parcialmente tradicional. Al principio este tipo de contratos se englobaba en uno solo, provocando ambigüedad en ellos, como medida de solución resultó una diversificación contractual conocida como unbundling, donde se hace una contratación por separado, en referencia a los bienes y servicios tecnológicos; como consecuencia de esto, se han creado mercados diversos, surgiendo empresas especializadas en aspectos informáticos como la construcción y
Contratos Electrónicos
Capítulo 3
venta de equipos y la prestación de servicios, por ejemplo de programación, mantenimiento, asistencia técnica entre otros; es decir, los contratos informáticos han avanzado a la par con la tecnología. Estos contratos informáticos tienen como objetivo un bien o servicio informático, y se diferencia del resto de contratos en virtud del objeto de contratación informática, esto suele confundirse constantemente con la utilización de los medios informáticos o electrónicos. Los bienes informáticos hacen referencia a todos aquellos elementos que forman el sistema, ordenadores en cuanto al hardware, CPU, sus periféricos y todos los equipos que tienen relación inmediata de uso respecto a ello, así también, los bienes inmateriales tales como datos, procedimientos e instrucciones, que constituyen el soporte lógico del componente informático. Los acuerdos legales que se manifiestan entre dos o más personas con respecto a los bienes tecnológicos se les denomina contratos informáticos, a través de los cuales se llega a un acuerdo mutuo entre las partes, de lo que se debe cumplir, estos contratos deben ser redactados en términos jurídicos y técnicos para que se pueda evitar malos entendidos. 1.1
Clasificación de los contratos
La clasificación de los contratos informáticos depende del acto que se quiera celebrar, a continuación, se detallan algunos de estos contratos:
114
Contratos Electrónicos
Capítulo 3
Por el Objeto La forma de clasificación por el objeto se refiere a la causa por la cual se persigue el contrato, excepto los casos mixtos, en los cuales se tiene una importancia igualitaria respecto a los objetos perseguidos. Contrato de Hardware Las características principales que existen en la informática para denominar hardware es, cuando se presenta físicamente y se le puede ver y tocar a la vez, éste por su naturaleza es un bien mueble. Estos contratos contienen cláusulas especiales acerca de las características del equipo. (Téllez Valdéz, 2009) Contrato de Software Software está compuesto de programas de computador, capaz de procesar y ejecutar una determinada función, tarea o resultado, éste se lo puede observar a través de una pantalla, el mismo que no se lo puede tocar. Hay que diferenciar al momento de realizar una contratación, ya que existen dos tipos de software, el sistema operativo que viene instalado al momento de adquirir un ordenador y los programas o aplicativos que el usuario requiere, este último debe responder a necesidades del propio usuario. (Gotzone Múgica, 2003). Entre otros contratos tenemos:
115
Contratos Electrónicos
Capítulo 3
a. Contrato de Instalación Llave en Mano Este contrato también se lo conoce como “turnkey contract”, aquí se incluyen tanto el hardware como el software, así como también servicios de mantenimiento y de formación de usuario; éste requiere de la especialización del contratista y la obligación de que entregue un producto terminado, asumiendo una obligación global de realizar todo lo necesario. (Villalobos Battig, 2015) b. Contratos de servicios auxiliares Los servicios auxiliares son claves en una empresa, para conservar las operaciones óptimas y continuas, donde se encuentra el mantenimiento de equipos y programas o la preparación de las personas que van a manipular la aplicación respecto a ordenadores, aplicaciones o sistemas. (Villalobos Battig, 2015) Por el negocio Jurídico De acuerdo al negocio jurídico del contrato que obedece a la exposición de una oferta y a la aceptación de esta, su clasificación es la siguiente: Contrato de Ventas Al realizar una venta de un bien informático se realiza un acuerdo entre el proveedor y el cliente, el proveedor (vendedor) se obliga a entregar el equipo informático determinado y el cliente le paga su respectivo valor. (Bob, 2011)
116
Contratos Electrónicos
Capítulo 3
Contrato de Alquiler Se identifica porque el suministrador se obliga a dar al interesado el goce del bien informático durante un periodo de tiempo determinado y por un cierto precio, este tipo de arrendamiento se encuentra regulado por el Código Civil. (Bob, 2011) Contrato de Mantenimiento Este contrato es muy popular en vista de que las empresas requieren de servicios especializados y permanentes, el mantenimiento puede hacerse tanto a equipos como programas, además de mantenimiento completo en el que se puede incluir asesoramiento, consulta y formación. (Bob, 2011) Contrato de Prestación de Servicios Este contrato hace referencia a todos los trabajos que se ofrece al cliente en cuanto a equipos de cómputo, éste tiene una gran similitud con la prestación de servicios profesionales, ya que en éste se requiere de los servicios que presta un profesional al interesado, quien se obliga a pagarle determinada retribución u honorarios. (Villalobos Battig, 2015) Contrato de Ejecución de obra Consiste en el compromiso del suministrador de servicio o bien informático, a elaborar una obra, la otra parte a realizar el pago por la obra llevada a cabo. (Villalobos Battig, 2015)
117
Contratos Electrónicos
Capítulo 3
Contrato de Licencia de Uso Hace alusión al titular de los derechos de un software, quien autoriza a otra persona la utilización del mismo, conservando el cedente la propiedad del programa. (Villalobos Battig, 2015) Contrato de Suministro Al realizar un contrato de esta índole el usuario puede acceder a la base de datos del distribuidor, siempre que lo precise. (Villalobos Battig, 2015) Contrato de Información Este tipo de contrato permite al titular vender una copia de una base de datos, y el usuario puede hacer uso de ella y a la vez mezclarla con otras propias para comercializar con ellas. (Villalobos Battig, 2015) 3.2 Elementos constitutivos del contrato informático Las nuevas tecnologías de la información se están desarrollando de manera vertiginosa en la vida diaria. La irrupción de estas tecnologías en el mundo empresarial ha propiciado la aparición de nuevos modelos de contratos y nuevas formas de contratación. El ordenamiento jurídico no debe quedar al margen de esta situación, aunque como se comprobara en el presente trabajo, la velocidad a la que avanza el mundo de la informática no ha sido correspondida con el avance de la regulación jurídica de esta materia. Todo contrato para que se legal necesita la concurrencia de tres elementos: 118
Contratos Electrónicos
Capítulo 3
ff Consentimiento ff Objeto ff Causa lícita Además, obviamente de la necesaria capacidad de las partes para obligarse y de la ausencia de vicios en el consentimiento. Por ser un tema relacionado con la tecnología, aparecen principios y elementos nuevos, como por ejemplo cláusulas especiales, que no recoge la normativa tipificada en el COIP, por lo que amerita actualizar la legislación con estos contenidos. Se entiende por servicio informático a todos aquellos productos que sirven de apoyo y complemento a la actividad informática en una relación de afinidad directa con ella. A continuación, se define cada uno de los elementos constitutivos de los contratos informáticos. Consentimiento Tras haber determinado el objeto del contrato, las partes deberán manifestar su voluntad y coincidir en esta, para que se lleve a cabo dicho contrato. Este consentimiento debe ser exteriorizado por las dos partes; sin embargo, para su validez no tiene que constar por escrito, convirtiéndose los actos o hechos que realicen las partes en medios de prueba de la existencia del contrato verbal. Con respecto a la manifestación de las voluntades, Larrounet expresa: “para que haya coincidencia de las voluntades de los contratantes es necesario que cada uno haya conocido la voluntad del otro, lo cual supone que dichas voluntades hayan sido manifestadas, esto es, que hayan sido 119
Contratos Electrónicos
Capítulo 3
exteriorizadas y no hayan permanecido en el fuero interno de cada uno de las partes que la acepta”. Tres son las condiciones para determinar que el consentimiento no sea válido; por lo tanto, el contrato tampoco lo es, estas son: error, fuerza y dolo. El Objeto El objeto en este tipo de contratos son los bienes y servicios informáticos. La determinación del objeto contractual será el criterio para calificar la propia naturaleza del contrato. El objeto de todo contrato debe ser “posible, lícito, determinado o determinable”. Todo producto o conducta que sea factible de realización puede ser objeto de un contrato, siempre y cuando no sea prohibido su comercio o conducta por alguna norma jurídica. Causa Lícita La causa del contrato reside en el acto individual que ha incitado a la parte a celebrarlo y que no es integrante del acto. También se puede decir que en los contratos informáticos debe ser concretada la causa antes de dar su consentimiento, las partes deben tener muy clara la finalidad que pretenden obtener una vez celebrado el contrato. Las partes intervinientes en un contrato informático son, por un lado, el proveedor o suministrador que será quien se obligue a realizar la prestación de los bienes o servicios pactados, y por otro lado, el usuario, que es la persona física o jurídica, es quien recibe esa prestación. 120
Contratos Electrónicos
Capítulo 3
Es conveniente, no obstante, que los contratos informáticos se formalicen por escrito, debido a la diferencia de conocimientos técnicos de las partes, la complicación técnica de la materia y la rápida evolución del ámbito informático. En materia informática se ve necesario establecer amplias coberturas, adecuando su alcance a la posición de quien presta el servicio y a su preparación técnica, entre otros aspectos. Las modalidades de seguros que más se conciertan en materia informática son: de incendio, de robo, de transporte terrestre, de responsabilidad civil, entre otras. 3.3 Contratos informáticos Un contrato es un acuerdo de voluntades, verbal o escrito, manifestado en común entre dos o más personas con capacidad, que se obligan en virtud del mismo, regulando sus relaciones relativas a una determinada finalidad o cosa, y a cuyo cumplimiento pueden comprometerse de manera recíproca. El contrato puede ser bilateral, o acordado una parte a la otra, o puede ser el contrato unilateral. Es el contrato, en suma, un acuerdo de voluntades que genera «derechos y obligaciones relativos», es decir, sólo para las partes contratantes y sus causahabientes. (GARCIA, 2015). En sentido amplio u objetivo, abarcan todos aquellos convenios, cuyo objeto, son bienes o servicios informáticos, independientemente de la vía por la que se celebren. El objeto del contrato, por tanto, sería la prestación de un servicio informático. 121
Contratos Electrónicos
Capítulo 3
En sentido restringido o formal, son aquellos contratos cuyo perfeccionamiento se da por vía informática, independientemente de cuál sea su objeto, conocidos también como contratos electrónicos. Desde la primera óptica, los contratos informáticos pueden referirse tanto a bienes (hardware o software) como a servicios informáticos (tales como mantenimiento preventivo, correctivo o evolutivo, desarrollo y hospedaje de sitios web, prestación de servicios de certificación digital, etc.). Pueden ser objeto de contratación electrónica cualquier cosa, acto o negocio jurídico que sean lícitos y siempre que para su contratación no se requiera de alguna forma específica que sea incompatible con los medios electrónicos, por ejemplo, presencia de un fedatario público. (Villalobos Battig, 2015) La forma actual de acreditar los contratos electrónicos para un particular o incluso un profesional, pasa por la firma electrónica, si bien es paradójico que la prueba de esta firma deba llevarse a cabo mediante un soporte de papel, puesto que la inadaptación de los juzgados a las nuevas tecnologías hace necesario que para demostrar un consentimiento en un contrato se haga preciso comprobar ante un juez la autenticidad de la firma, a cuyo fin solo cabe documentar suficientemente esta autenticidad. Para hablar de los contratos informáticos, primero es necesario que se redacte un concepto de los mismos, esto resulta algo difícil, sobre todo cuando no se ha llegado a conseguir una unidad de criterios por los diversos autores. Así como también, 122
Contratos Electrónicos
Capítulo 3
con el avance tecnológico, que genera su inadecuación al derecho, dado el carácter estático de este último. La contratación informática se presenta en una doble acepción: en un sentido amplio incluiría tanto la contratación sobre bienes o servicios informáticos, como la realizada a través de estos medios; y en un sentido estricto se limitará al primero de estos grupos de contratos. (Vergel, 2012) Se puede decir que los contratos informáticos son aquellos que establecen las relaciones jurídicas respecto de prestaciones consistentes en transferir la propiedad, el uso y/o goce de bienes informáticos, y prestar servicios informáticos. Estos constituyen la unión de contratos, es decir una gama de contratos, como compraventa, alquiler, leasing, llave en mano, licencia de uso, entre otros, en el cual para transferir los bienes informáticos se unen más de un contrato”. (Villalobos Battig, 2015) Comodato El comodato es un contrato por el cual una parte entrega a la otra gratuitamente una especie, mueble o bien raíz, para que haga uso de ella, con cargo de restituir la misma especie después de terminado el uso. (GARCIA, 2015) Cluf Una licencia de software es un contrato entre el licenciante y el licenciatario del programa informático para utilizar el software, cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas. (GARCIA, 2015) 123
Contratos Electrónicos
Capítulo 3
Diferencia entre Contrato Informático y Contrato Electrónico El contrato informático tiene por objeto un bien o servicio informático, se celebra un contrato de ese tipo mediante un medio electrónico que se denomina contrato telemático, electrónico o virtual. El contrato electrónico es aquel que se celebra y se perfecciona a través de medios electrónicos. Si se toma en cuenta que “INFORMÁTICA” significa “información automatizada”, cuando se habla de contratos informáticos, se trata de contratos que tienen por objeto un bien o servicio que automatice información, independientemente del medio que se celebre, sea internet o de la manera tradicional”. (Villalobos Battig, 2015) Los contratos informáticos tienen que ver con el contenido del contrato, ya que este debe ser un bien o servicio informático, independientemente de la vía con la que se celebre, por lo que los contratos electrónicos son celebrados únicamente por medios electrónicos sin importar el objeto del mismo. Incluso un contrato puede ser un Contrato Informático y Electrónico a la vez. Esto sucede cuando se celebra un contrato informático (es decir que tenga por objeto un bien o servicio informático) a través de medios electrónicos”. (Villalobos Battig, 2015)
124
Contratos Electrónicos
Capítulo 3
3.4 Partes que intervienen el contrato
Ilustración 25:Partes del contrato Fuente: Los Autores
USUARIOS: “Que es quien usa y utiliza el bien o servicio suministrado por los proveedores • Los proveedores: Que se dividen en • Creadores O Productores Es quien genera, crea y produce el bien o servicio • *Los Distribuidores Son aquellos quienes ponen a disposición del usuario los bienes y servicios suministrados por los proveedores. 125
Contratos Electrónicos
Capítulo 3
Básicamente los contratos informáticos tienen dos tipos de personas o sujetos que la integran, unos son los proveedores, los cuales por lo general son personas jurídicas, y los usuarios, que por lo general son personas naturales. (Villalobos Battig, 2015) 3.5 Casos prácticos de contratos informáticos Contrato de Hardware CONTRATO DE COMPRAVENTA ENTRE EXPORTADORA xx Y EMPRESA XXS.A. Conste por el presente documento que se extiende en tres ejemplares de igual valor y contenido, el Contrato de Compra-Venta que celebran de una parte el Organismo Público Descentralizado SIERRA EXPORTADORA, con RUC N° 20514859559 y domiciliado en Av. Conquistadores Nº 970, Distrito de San Isidro, Provincia y Departamento de Lima, representado por su Gerente General, Sr. Jorge José López de Castillo Bado, identificado con DNI N° 08847526, conforme a la Resolución de Presidencia Ejecutiva Nº 050-2007-PE/SE, de fecha 10 de julio de 2007, a quien en adelante se denominará SIERRA EXPORTADORA; y de la otra parte COSAPI DATA S.A., con RUC Nº 20100083362, con domicilio legal Calle Dean Valdivia 205 distrito de San Isidro, Provincia y Departamento de Lima, debidamente inscrita en los Registros Públicos de Lima, con Partida Registral N° 11010319, representada por William Dyer Molfino, identificado con D.N.I. Nº 09302921, a quien en adelante se denominará EL CONTRATISTA, en los términos y condiciones siguientes:
126
Contratos Electrónicos
Capítulo 3
CLÁUSULA PRIMERA: ANTECEDENTES Mediante Resolución de Gerencia General N° 019-2007-GG/SE, de fecha 17 de octubre de 2007, se designó a los miembros del Comité Especial encargado de llevar a cabo el procedimiento de Adjudicación Directa Pública Nº 003-2007-SE para la adquisición de hardware y software para SIERRA EXPORTADORA. Mediante Resolución Directoral N° 084-2007-OGA-PE/SE de fecha 31 de octubre de 2007 se aprobaron las Bases Administrativas de la Adjudicación Directa Pública N° 003-2007-SE, con el objeto de adquirir: 01. Computadores personales; y, 02. licencias informáticas. Bajo ese contexto, se adjudicó la buena pro del ítem 01, a la empresa COSAPI DATA S.A. CLÁUSULA SEGUNDA: OBJETO Por el presente contrato EL CONTRATISTA se obliga la entrega de treinta y seis (36) computadoras personales marca Lenovo, modelo M55e 9632, de acuerdo a las especificaciones técnicas señaladas en las Bases y a los documentos que forman parte de su propuesta técnica y económica:
127
Contratos Electrónicos
Capítulo 3
Tabla 3: Especificaciones técnicas del contrato Fuente: Los Autores
ESPECIFICACIONES TECNICAS Desktop certificado para trabajar en FORMATO forma horizontal y/o vertical. PROCESADOR Core 2 Duo E6400 2.13Ghz CHIPSET 946GZ ARQUITECTURA DE PCI / PCI EXPRESS BUS BUS DEL PROCESADOR Y 1066 Mhz SISTEMA MEMORIA CACHE 2MB L2 cache L2 VIDEO Integrado expandible hasta 256 MB MEMORIA RAM 2GB ( 2 X 1GB) DDR2 de 667MHZ UNIDAD DE DISCO
160-GB SATA
UNIDAD OPTICA
48x32x48x16x COMBO
SLOTS PCI LIBRES PUERTOS DE COMUNICACIÓN AUDIO MOUSE TECLADO
1 PCI Express x1, 1 PCI Express x16, 2 PCI 1 Serial, 1 Paralelo, 6 USB 2.0 integrados en placa Integrado con speaker interno. USB 2 botones con scroll óptico 102 teclas tipo USB en español Ethernet 10/100/1000, autosense. (integrada en placa) 220 Voltios de fábrica, 60 Hertz
TARJETA DE RED VOLTAJE 128
Contratos Electrónicos
Capítulo 3
ESPECIFICACIONES TECNICAS De 220 Watts, con soporte a todos los FUENTE DE PODER dispositivos instalados S I S T E M A Microsoft Windows XP Professional SP2 OPERATIVO Y OEM, utilitarios y software de backup y SOFTWARE cds de recuperación Color SuperVGA de mínimo 17 Pulgadas MONITOR tipo TFT LCD, antireflejante, antiestático, auto voltaje. De la misma marca del CPU Software propietario del fabricante que permita: -Herramientas de autoayuda.
CERTIFICACIONES
GARANTIA
ACCESORIOS
-Administrar las conexiones del equipo (LAN / Wireless). ISO 9001:2000 Treinta y seis (36) meses de garantía sin costos adicionales, respaldado por el FABRICANTE (Repuestos y mano de Obra on site) a nivel Nacional. Todos los componentes internos tienen un numero de parte Certificado por el fabricante Mouse pad – fundas para los equipos – Parlantes externos de 4 watts
129
Contratos Electrónicos
Capítulo 3
CLÁUSULA TERCERA: EL CONTRATISTA EL CONTRATISTA desarrolla actividades referidas al ámbito de la prestación solicitada, conforme al ordenamiento vigente y declara con carácter de Declaración Jurada, no estar incurso en ninguna causal de incompatibilidad constitucional, legal y técnica de las Bases de la Adjudicación Directa Pública Nº 0032007-SE, que forma parte integrante del presente contrato. CLÁUSULA CUARTA: MONTO DE LA CONTRAPRESTACIÓN Y FORMA DE PAGO El monto de la contraprestación asciende a la suma de S/ 146,502.50 (Ciento Cuarenta y Seis Mil Quinientos Dos y 00/100 nuevos soles) incluidos impuestos y con sujeción a la propuesta económica y técnica de las Bases de la Adjudicación Directa Pública Nº 003-2007-SE, que forma parte integrante del presente contrato. El monto indicado cubre absolutamente todos los gastos o costos en los que deba incurrir EL CONTRATISTA para ejecutar sus obligaciones completamente y a satisfacción de SIERRA EXPORTADORA. El pago se efectuará después de la aprobación/conformidad de entrega de los bienes otorgada por el Responsable de la Unidad de Tecnología de la Información en coordinación con el Almacén de la Oficina General de Administración y de la entrega de la factura correspondiente. La recepción de la conformidad de las prestaciones no enerva el derecho de la Entidad a reclamo posterior por defectos o vicios ocultos, hasta un año calendario después de la recepción de las mismas. 130
Contratos Electrónicos
Capítulo 3
CLÁUSULA QUINTA: PLAZO DE ENTREGA DE BIENES El contratista se obliga a entregar los bienes señalados en la Cláusula Segunda en el plazo máximo de quince (15) días naturales, contados a partir del día siguiente de suscrito el presente documento. CLÁUSULA SÉXTA: SUBCONTRATACIÓN EL CONTRATISTA no podrá subcontratar parcial o totalmente la ejecución de las prestaciones sin la autorización escrita de SIERRA EXPORTADORA. CLÁUSULA SÉPTIMA: SUPERVISIÓN DE LA PRESTACIÓN SIERRA EXPORTADORA a través del Responsable de la Unidad de Tecnología de la Información en coordinación con el Almacén de la Oficina General de Administración, verificará la calidad, cantidad y el cumplimiento de las condiciones contractuales y las especificaciones técnicas y propuesta técnica de la Adjudicación Directa Pública Nº 003-2007-SE. CLÁUSULA OCTAVA: PRESTACIONES ADICIONALES SIERRA EXPORTADORA para alcanzar la finalidad del objeto del presente contrato, podrá disponer la ejecución de prestaciones adicionales. En el caso de que SIERRA EXPORTADORA ordene la ejecución de prestaciones adicionales, el monto de las mismas alcanzará hasta el quince por ciento (15%) del monto contractual.
131
Contratos Electrónicos
Capítulo 3
El costo de las prestaciones adicionales se determina con base en las especificaciones técnicas de la prestación y de las condiciones y precios pactados en el presente contrato; en defecto de éstos, se determinará por acuerdo entre las partes. CLÁUSULA NOVENA: CONTRATACIONES COMPLEMENTARIAS Dentro de los tres meses posteriores a la culminación del contrato, SIERRA EXPORTADORA podrá contratar complementariamente, por única vez y hasta por un máximo de treinta por ciento (30%) del monto del contrato original, siempre que se traten de los mismos bienes y que EL CONTRATISTA preserve las condiciones que dieron origen a la contratación. CLÁUSULA DÉCIMA: RESPONSABILIDAD DEL CONTRATISTA EL CONTRATISTA asume absoluta responsabilidad en el cumplimiento del contrato, así como de la calidad del servicio y por los vicios ocultos que dicho servicio presentara, por el plazo de un año, contados a partir de la conformidad otorgada por SIERRA EXPORTADORA. Asimismo, a EL CONTRATISTA, como responsable de la prestación del servicio, le corresponde todo cuanto sea necesario hasta su total terminación y completa satisfacción de SIERRA EXPORTADORA.
132
Contratos Electrónicos
Capítulo 3
CLÁUSULA UNDÉCIMA: SOLUCIÓN DE CONTROVERSIAS Las controversias que surjan entre las partes, desde la suscripción del contrato, sobre su ejecución, interpretación, resolución, inexistencia, ineficacia o invalidez, se resolverán mediante conciliación, según el acuerdo de las partes, debiendo solicitarse el inicio de estos procedimientos en cualquier momento anterior a la culminación del contrato. Este plazo es de caducidad. Si la conciliación concluye con un acuerdo parcial o sin acuerdo, las partes deberán someter a arbitraje las diferencias no resueltas. El laudo es definitivo e inapelable, tiene el valor de cosa juzgada y se ejecuta como una sentencia. CLÁUSULA DÉCIMO SEGUNDA: GARANTÍAS EL CONTRATISTA hace entrega a SIERRA EXPORTADORA la Carta Fianza Nº E1510-00-2007 de Seguros de Crédito y Garantías SECREX, como garantía de fiel cumplimiento del contrato por un monto de S/. 14,650.00 (Catorce Mil Seiscientos Cincuenta y 00/100 nuevos soles) y con vigencia por un plazo que no deberá exceder del previsto por el artículo 1898º del Código Civil. CLÁUSULA DÉCIMO TERCERA: PARTES INTEGRANTES DEL CONTRATO Forman parte integrante del presente contrato: - Constancia de No Estar Inhabilitado para Contratar con el Estado. 133
Contratos Electrónicos
Capítulo 3
- Bases Integradas. - Propuesta Técnica y Económica. CLÁUSULA DÉCIMO CUARTA: PENALIDADES POR MORA O INCUMPLIMIENTO En caso de retraso injustificado en la ejecución del contrato, por causas imputables a EL CONTRATISTA, éste se obliga a pagar a SIERRA EXPORTADORA una penalidad por cada día de atraso, hasta alcanzar un monto máximo equivalente al diez por cien (10%) del monto total del contrato. La penalidad se aplicará y se calculará de acuerdo a la siguiente fórmula: Penalidad diaria =
(0,10 x Monto del Contrato)
(0,40 x Plazo en días)
Esta penalidad será deducida de los pagos a cuenta, del pago final o en la liquidación final. CLÁUSULA DÉCIMO QUINTA: RESOLUCIÓN DEL CONTRATO Las partes podrán resolver el presente contrato de mutuo acuerdo o por caso fortuito o fuerza mayor estableciendo los términos de la resolución. En los supuestos de caso fortuito o fuerza mayor, se liquidará en forma exclusiva la parte efectivamente ejecutada. CLÁUSULA DÉCIMO SEXTA: CAUSALES DE RESOLUCIÓN SIERRA EXPORTADORA podrá resolver el contrato en los casos 134
Contratos Electrónicos
Capítulo 3
en que EL CONTRATISTA: a)
Incumpla injustificadamente obligaciones contractuales, legales o reglamentarias a su cargo, pese a haber sido requerido para ello.
b) Haya llegado a acumular el monto máximo de la penalidad por mora en la ejecución de la prestación a su cargo; o c) Paralice o reduzca injustificadamente la ejecución de la prestación, pese a haber sido requerido para corregir tal situación EL CONTRATISTA podrá solicitar la resolución del contrato, en los casos que SIERRA EXPORTADORA incumpla injustificadamente sus obligaciones. CLÁUSULA DÉCIMO SEPTIMA: PROCEDIMIENTO DE RESOLUCIÓN DE CONTRATO Si alguna de las partes falta al cumplimiento de sus obligaciones, la parte perjudicada deberá requerirla mediante carta notarial para que la satisfaga en un plazo no mayor de cinco (5) días, bajo apercibimiento de resolver el contrato. La resolución parcial sólo involucrará aquella parte del contrato afectada por el incumplimiento y siempre que dicha parte sea separable e independiente del resto de las obligaciones contractuales, y que la resolución total del contrato pudiera afectar los intereses de SIERRA EXPORTADORA.
135
Contratos Electrónicos
Capítulo 3
CLÁUSULA DÉCIMO OCTAVA: CONCLUSIÓN DEL CONTRATO El presente contrato de servicio concluirá: a) Cuando todas las prestaciones establecidas en él se cumplan en su totalidad en el plazo pactado; o b) Cuando el monto de la contraprestación se agote en su totalidad. CLAUSULA DÉCIMO NOVENA: BASE LEGAL El presente contrato se suscribe al amparo del Texto Único Ordenado de la Ley de Contrataciones y Adquisiciones del Estado, aprobado por Decreto Supremo N° 083-2004-PCM; el Reglamento de la Ley de Contrataciones y Adquisiciones del Estado, aprobado por Decreto Supremo N° 084-2004-PCM y sus modificatorias; de la Ley de Presupuesto del Sector Público para el presente año y supletoriamente por las disposiciones del Código Civil. Asimismo, en los extremos no estipulados en el presente contrato y sus anexos, deberá estarse a lo señalado por la normativa administrativa señalada en el párrafo anterior. Las partes contratantes declaran que en la celebración del presente contrato no media vicio alguno que pueda hacerlo nulo o anulable en fe de lo cual lo suscriben por triplicado, en la ciudad de Lima el día 28 de diciembre de 2007
136
Contratos Electrónicos
Capítulo 3
Contrato de Software MODELO DE CONTRATO DE DISEÑO Y DESARROLLO DE PROGRAMA INFORMÁTICO En (…), a (…) de (…) de (…) REUNIDOS DE UNA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y representación de (…), en adelante el “CLIENTE”, domiciliada en (…), calle (…) nº (…), C.P. (…) y C.I.F. (…). DE OTRA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y representación de la mercantil (…), en adelante el “PROVEEDOR”, domiciliada en (…), calle (…) nº (…), C.P. (…) y C.I.F. (…). El CLIENTE y el PROVEEDOR, en adelante podrán ser denominadas individualmente la “Parte” y conjuntamente las “Partes”, reconociéndose mutuamente capacidad jurídica y de obrar suficiente para la celebración del presente Contrato EXPONEN PRIMERO: Que el CLIENTE está interesado en la contratación del servicio de: Diseño y desarrollo de un programa informático para sus necesidades específicas y hacer más eficiente su sistema informático.
137
Contratos Electrónicos
Capítulo 3
SEGUNDO: Que el PROVEEDOR es una empresa especializada en la prestación de servicios informáticos integrales. TERCERO: Que las Partes están interesadas en celebrar un contrato de diseño y desarrollo de programa informático en virtud del cual el PROVEEDOR preste al CLIENTE el servicio de diseño y desarrollo de un programa de software conforme a las necesidades específicas del negocio del CLIENTE. Que las Partes reunidas en la sede social del CLIENTE, acuerdan celebrar el presente contrato de DISEÑO Y DESARROLLO DE PROGRAMA INFORMÁTICO, en adelante el “Contrato”, de acuerdo con las siguientes CLÁUSULAS PRIMERA. - OBJETO En virtud de este Contrato el PROVEEDOR se obliga a prestar al CLIENTE el servicio de diseño y desarrollo de un programa de software conforme a las necesidades específicas del negocio del CLIENTE, en adelante el “Servicio”, en los términos y condiciones previstos en el Contrato y en todos sus Anexos. SEGUNDA. - TÉRMINOS Y CONDICIONES GENERALES Y ESPECÍFICOS DE PRESTACIÓN DE EL SERVICIO El servicio se prestará en los siguientes términos y condiciones generales: El PROVEEDOR responderá de la calidad del trabajo desarrollado con la diligencia exigible a una empresa experta en la realización de los trabajos objeto del Contrato. 138
Contratos Electrónicos
Capítulo 3
El PROVEEDOR se obliga a gestionar y obtener, a su cargo, todas las licencias, permisos y autorizaciones administrativas que pudieren ser necesarias para la realización del servicio. El PROVEEDOR se hará cargo de la totalidad de los tributos, cualquiera que sea su naturaleza y carácter, que se devenguen como consecuencia del Contrato, así como cualesquiera operaciones físicas y jurídicas que conlleve, salvo el Impuesto sobre el Valor Añadido (IVA) o su equivalente, que el PROVEEDOR repercutirá al CLIENTE. El PROVEEDOR guardará confidencialidad sobre la información que le facilite el CLIENTE en o para la ejecución del Contrato o que por su propia naturaleza deba ser tratada como tal. Se excluye de la categoría de información confidencial toda aquella información que sea divulgada por el CLIENTE, aquella que haya de ser revelada de acuerdo con las leyes o con una resolución judicial o acto de autoridad competente. Este deber se mantendrá durante un plazo de tres años a contar desde la finalización del servicio. En el caso de que la prestación del servicio suponga la necesidad de acceder a datos de carácter personal, el PROVEEDOR, como encargado del tratamiento, queda obligado al cumplimiento de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 y demás normativa aplicable.
139
Contratos Electrónicos
Capítulo 3
El PROVEEDOR responderá, por tanto, de las infracciones en que pudiera incurrir en el caso de que destine los datos personales a otra finalidad, los comunique a un tercero, o en general, los utilice de forma irregular, así como cuando no adopte las medidas correspondientes para el almacenamiento y custodia de los mismos. A tal efecto, se obliga a indemnizar al CLIENTE, por cualesquiera daños y perjuicios que sufra directamente, o por toda reclamación, acción o procedimiento, que traiga su causa de un incumplimiento o cumplimiento defectuoso por parte del PROVEEDOR de lo dispuesto tanto en el Contrato como lo dispuesto en la normativa reguladora de la protección de datos de carácter personal. A los efectos del artículo 12 de la Ley 15/1999, el PROVEEDOR únicamente tratará los datos de carácter personal a los que tenga acceso conforme a las instrucciones del CLIENTE y no los aplicará o utilizará con un fin distinto al objeto del Contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el caso de que el PROVEEDOR destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del Contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. El PROVEEDOR deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos 140
Contratos Electrónicos
Capítulo 3
a que están expuestos, ya provengan de la acción humana o del medio físico o natural. A estos efectos el PROVEEDOR deberá aplicar los niveles de seguridad que se establecen en el Real Decreto 1720/2007 de acuerdo a la naturaleza de los datos que trate. El PROVEEDOR responderá de la corrección y precisión de los documentos que aporte al CLIENTE en ejecución del Contrato y avisará sin dilación al CLIENTE cuando detecte un error para que pueda adoptar las medidas y acciones correctoras que estime oportunas. El PROVEEDOR responderá de los daños y perjuicios que se deriven para el CLIENTE y de las reclamaciones que pueda realizar un tercero, y que tengan su causa directa en errores del PROVEEDOR, o de su personal, en la ejecución del Contrato o que deriven de la falta de diligencia referida anteriormente. Las obligaciones establecidas para el PROVEEDOR por la presente cláusula serán también de obligado cumplimiento para sus posibles empleados, colaboradores, tanto externos como internos, y subcontratistas, por lo que el PROVEEDOR responderá frente al CLIENTE si dichas obligaciones son incumplidas por tales empleados. El PROVEEDOR prestará el servicio en los siguientes términos y condiciones específicos:
141
Contratos Electrónicos
Capítulo 3
El CLIENTE, que es quien mejor conoce sus necesidades, se obliga a prestar su colaboración activa al PROVEEDOR para el diseño y elaboración del programa contratado en todas sus fases, para llevar a buen término este contrato. Los empleados del CLIENTE y los técnicos del PROVEEDOR se deberán prestar colaboración en todo momento y hasta la finalización del presente contrato. El CLIENTE presentará al PROVEEDOR un informe con las necesidades y previsiones que tenga a medio plazo, que sean necesarias para utilidad del programa de software. Las características del programa, sus funciones y especificaciones técnicas se establecerán detalladamente [detallar las especificaciones técnicas o indicar anexo donde se encuentren]. Los contenidos deberán presentarse en formato (…) [indicar el tipo de formato]. El CLIENTE y el PROVVEDOR acordarán un plan de entregas donde se detallarán las fechas de entrega y el contenido de las diferentes versiones del programa. El PROVEEDOR responderá de la autoría y originalidad del proyecto y del ejercicio pacífico de los derechos que cede al CLIENTE mediante el presente contrato. El PROVEEDOR será el único responsable de la contratación de colaboraciones y de la relación con éstas, si las necesita para la elaboración y desarrollo de alguna parte del programa.
142
Contratos Electrónicos
Capítulo 3
Si durante la realización del programa, cualquiera de las partes considerara introducir modificaciones en el programa, deberá notificarlo por escrito a la otra parte. El acuerdo de modificación se realizará por escrito, con todas las especificaciones técnicas y los nuevos plazos. El documento quedará unido al presente contrato. Realizada la entrega del programa (…) [indicar nombre del programa], el programa se instalará en el sistema informático del CLIENTE. Y el PROVEEDOR realizará las comprobaciones necesarias para verificar el buen funcionamiento del programa. Dichas pruebas deberán determinar la calidad, operatividad y desarrollo del conforme el presente contrato. El CLIENTE no podrá negarse u obstaculizar la realización de las comprobaciones. Entregada la versión definitiva, tras la comprobación, el CLIENTE tiene un plazo de (…) [indicar los días, semanas o meses] para efectuar las reclamaciones y observaciones que considere para el buen funcionamiento del programa. El CLIENTE colaborará con el PROVEEDOR en el proceso de corrección o de reparación. Notificado por el CLIENTE un fallo al PROVEEDOR o el programa no supere el nivel mínimo de calidad exigido, el PROVEEDOR procederá a realizar las correcciones necesarias para llegar a la calidad exigida y el buen funcionamiento del programa, en el plazo señalado en la cláusula 6.3 de este contrato. Junto con la entrega definitiva el PROVEEDOR entregará al CLIENTE los códigos y programas fuente de las aplicaciones desarrolladas para el CLIENTE, y toda la documentación técnica 143
Contratos Electrónicos
Capítulo 3
utilizada. El PROVEEDOR destruirá la información confidencial aportada por el cliente para facilitar o posibilitar la realización del proyecto. Transcurrido el plazo sin objeciones, el PROVEEDOR y el CLIENTE firmarán un documento de aceptación definitiva del programa. Dicho documento quedará unido al presente contrato. El PROVEEDOR garantiza el programa desarrollado por un período de (…) [indicar período]. Durante ese tiempo el PROVEEDOR subsanará cualquier incidencia que se produzca en el programa desarrollado, conforme a la cláusula 6.3 de este contrato. El PROVEEDOR cede todos los derechos, sin reserva alguna, de propiedad sobre el programa (…) [indicar nombre del programa] al CLIENTE El PROVEEDOR ejecutará el Contrato realizando de manera competente y profesional los Servicios, cumpliendo los niveles de calidad exigidos y realizará el proyecto completo. TERCERA. - POLÍTICA DE USO El CLIENTE es el único responsable de determinar si el servicio que constituye el objeto de este Contrato se ajusta a sus necesidades. CUARTA. - PRECIO Y FACTURACIÓN. El precio del Contrato es de (…) [indicar el precio del servicio] IVA excluido.
144
Contratos Electrónicos
Capítulo 3
El pago de la factura se realizará, tras la aceptación por el CLIENTE del programa desarrollado, mediante transferencia bancaria a los 5 días de la fecha de recepción de la factura, en la siguiente cuenta corriente titularidad del PROVEEDOR: (…) [indicar nº de cuenta]. QUINTA. - DURACIÓN DEL CONTRATO El plazo máximo de terminación del programa es de (…) […] a partir de la fecha referida en el encabezamiento del Contrato. El retraso superior a 15 días será considerado como una incidencia crítica. SEXTA. - ACUERDO DE NIVEL DE SERVICIO El servicio prestado por el PROVEEDOR se realizará por personal especializado en cada materia. El personal del PROVEEDOR acudirá previsto de todo el material necesario, adecuado y actualizado, para prestar el servicio. Una vez establecido el plan de entregas, no se admitirá una desviación superior al [ indicar porcentaje máximo o periodo en términos absolutos] respecto a los plazos fijados en dicho plan. Las averías o el mal funcionamiento del servicio se comunicarán al PROVEEDOR en su domicilio a través de llamada telefónica o envío de fax.
145
Contratos Electrónicos
Capítulo 3
Los problemas del puesto de trabajo se resolverán en un período máximo que dependerá de su gravedad. [se establecen distintos plazos atendiendo a la gravedad de la incidencia, leve, grave, crítica. las penalizaciones se deben definir también en función de la gravedad de la incidencia] Se entiende por incidencia crítica: las incidencias que, en el marco de la prestación del servicio, afectan significativamente al CLIENTE. [si se pueden establecer parámetros objetivos mejor] Se entiende por incidencia grave: las incidencias que, en el marco de la prestación del servicio, afectan moderadamente al CLIENTE. [si se pueden establecer parámetros objetivos mejor] Se entiende por incidencia leve: las incidencias que se limitan a entorpecer la prestación del servicio. [si se pueden establecer parámetros objetivos mejor] La reparación se realizará en los siguientes períodos máximos desde el aviso: Incidencia crítica: [indicar el plazo] Incidencia grave: [indicar el plazo] Incidencia leve: [indicar el plazo] SÉPTIMA. - MODIFICACIÓN Las Partes podrán modificar el contrato de mutuo acuerdo y por escrito.
146
Contratos Electrónicos
Capítulo 3
OCTAVA. - RESOLUCIÓN Las Partes podrán resolver el Contrato, con derecho a la indemnización de daños y perjuicios causados, en caso de incumplimiento de las obligaciones establecidas en el mismo. NOVENA. - NOTIFICACIONES Las notificaciones que se realicen las Partes deberán realizarse por correo con acuse de recibo [o cualquier otro medio fehaciente que acuerden las Partes] a las siguientes direcciones: ◊ CLIENTE (…) ◊ PROVEEDOR: (…) DÉCIMA. - REGIMEN JURÍDICO El presente contrato tiene carácter mercantil, no existiendo en ningún caso vínculo laboral alguno entre el CLIENTE y el personal del PROVEEDOR que preste concretamente el servicio. Toda controversia derivada de este contrato o que guarde relación con él –incluida cualquier cuestión relativa a su existencia, validez o terminación- será resuelta mediante arbitraje DE DERECHO, administrado por la Asociación Europea de Arbitraje de Madrid (Aeade), de conformidad con su Reglamento de Arbitraje vigente a la fecha de presentación de la solicitud de arbitraje. El Tribunal Arbitral que se designe a tal efecto estará compuesto por un único árbitro experto y el idioma del arbitraje será el (elegir entre: castellano/catalán/euskera/gallego). La sede del arbitraje será (elegir entre: Madrid/Barcelona). 147
Contratos Electrónicos
Capítulo 3
Y en prueba de cuanto antecede, las Partes suscriben el Contrato, en dos ejemplares y a un solo efecto, en el lugar y fecha señalados en el encabezamiento. Contrato de Mantenimiento de Software CONTRATO DE SOPORTE TÉCNICO, MANTENIMIENTO Entre: Domicilio: CIF: A continuación denominado el USUARIO Y EMPRESA, con C.I.F XXXXXXX y domicilio social en: La calle de la empresa. Se convienen las CLAUSULAS que a continuación se mencionan: PRIMERA. OBJETO DEL CONTRATO. El USUARIO contrata a EMPRESA para que realice la labor de soporte técnico aplicado a análisis/programación de nuevas aplicaciones, o bien, modificación de las actuales. SEGUNDA. UBICACIÓN. Las actividades descritas podrán desarrollarse en EMPRESA, o bien en el local que el USUARIO utiliza para su actividad profesional mediante la utilización del sistema informático propiedad del USUARIO. En este último caso, EMPRESA desplazara a un técnico de su organización al domicilio del USUARIO, para realizar dicha tarea.
148
Contratos Electrónicos
Capítulo 3
TERCERA. RELACION. La relación entre las partes tiene exclusivamente carácter mercantil, no existiendo vínculo laboral alguno entre el USUARIO y el personal de EMPRESA que eventualmente está prestando sus servicios en el domicilio social de aquel. A tal efecto, EMPRESA, declara que dicho personal esta contratados de conformidad con la Ley. CUARTA. DETERMINACION DE HORAS Y RITMO DE EJECUCION. El USUARIO contrata XX horas a desempeñar en el domicilio del USUARIO o/y EMPRESA, desde el mes de XXXXX de 199X a XXXXX de 199X realizadas en pedidos. Las horas que excedan de lo contratado para cada periodo se facturaran por EMPRESA, al precio general de tarifa. Los tiempos de teléfono se consideran como trabajo y a cada llamada telefónica se le fijara un tiempo mínimo de quince minutos. Los tiempos de desplazamiento al USUARIO o por cuenta del mismo serán considerados como de trabajo a todos los efectos computándose como mínimo XX hora. Las horas de trabajo en el domicilio social del USUARIO se justificarán por la firma del justificante correspondiente. Las de trabajo en EMPRESA por cuentea del USUARIO se justificarán por su inclusión en la liquidación.
149
Contratos Electrónicos
Capítulo 3
El uso que pudiera hacer el cliente por debajo del crédito horario estipulado no será causa de reducción del precio convenido ni se acumulara al de otro periodo posterior. QUINTA. PRECIO Y FORMA DE PAGO El pago de los servicios realizados por EMPRESA será efectuado por anticipado expidiendo una factura que será cancelada por recibo bancario con fecha de vencimiento del primer mes contratado. El pago de las horas adicionales del periodo, una vez que se produzca la circunstancia de exceso serán igualmente facturadas por recibo bancario con fecha de vencimiento quince del mes siguiente a los ya facturados. Se establece un precio de XX ptas./hora para las que se contratan por anticipado y de XX ptas./hora para el resto. El precio de facturas revisiones de tarifa o forma de pago será comunicado por EMPRESA, al USUARIO con al menos 15 días de antelación de su entrada en vigor por carta certificada al efecto y se entenderá aceptado si el USUARIO paga la primera factura que contenga la revisión. Correrán por cuenta del USUARIO los gatos de viaje que se ocasionen con motivo del servicio encargado. Fijándose un precio de XX ptas. Km. y de suplidos para el resto. Todas las facturas de EMPRESA, serán domiciliadas en:
150
Contratos Electrónicos
Capítulo 3
BANCO. SUCURSAL: DIRECCION: NÚM. CTA.: SEXTA. PROPIEDAD INTELECTUAL El USUARIO reconoce los derechos de Propiedad Intelectual de EMPRESA sobre el resultado de su labro de análisis y programación. Dichos derechos protegen tanto el programa de ordenador que pueda resultar, como los datos, listados, diagramas y esquemas elaborados en la fase de análisis, el manual de aplicación, los restantes datos y materiales de apoyo, los símbolos de identificación. SEPTIMA. TRANSMISION DE OBLIGACIONES, NULIDAD DE CLAUSULAS. Las obligaciones del USUARIO y de EMPRESA, contraidas por el presente contrato, se transmitirán a los respectivos sucesores o apoderados y a cualquier otra entidad en la que cualquiera de las partes pueda incorporarse o fusionarse de manera permanente o accidental. Los contratantes declaran que consideran las cláusulas del presente contrato independientes, por lo que la nulidad de una de ellas no origina la nulidad ni de la totalidad del presente contrato, no de la demás acordadas.
151
Contratos Electrónicos
Capítulo 3
OCTAVA. RESPONSABILIDADES EMPRESA no se hace responsable de las perdidas o daños sufridos por el USUARIO, sus empleados o clientes, directamente o indirectamente originados por errores en los programas, su documentación o la operación de los programas. El USUARIO se compromete a no contratar directamente o a través de terceros a ningún empleado de EMPRESA debiendo indemnizar a EMPRESA, si no cumpliese con esta cláusula con la cantidad de xxxxxxxx de pesetas mas impuestos legalmente repercutibles por empleado de EMPRESA. NOVENA. DURACIÓN Vencido el contrato sin que ninguna de las dos partes haya comunicado por escrito su resolución con una antelación de un mes, quedara prorrogado automáticamente por otro año. DÉCIMA. RESOLUCIÓN Como causa de resolución del presente contrato se establecen las siguientes: El incumplimiento de las obligaciones que cada una de las pates contratantes corresponde por el presente contrato. Cualquiera otra de las derivadas de la legislación aplicable al presente documento. UNDÉCIMA. ARBITRAJE Para cualquier divergencia del presente contrato, ambas partes 152
Contratos Electrónicos
Capítulo 3
se someten expresamente, y con renuncia a su fuero propio, a la decisión del asunto o litigio planteado, mediante el arbitraje institucional de ARBITEC, Asociación Española de Arbitraje Tecnológico, a la cual encomiendan la administraron del arbitraje y la designación de los árbitros. El arbitraje se realizara conforme al procedimiento establecido en el Reglamento Arbitral de ARBITEC y en la Ley de Arbitraje, de 5 de diciembre de 1988. El laudo arbitral deberá dictarse durante los noventa días siguientes a la aceptación del cargo por parte de los árbitros designados, obligándose ambas partes a aceptar y cumplir la decisión contenida en él. Para el caso en que arbitraje no legara a realizarse por mutuo acuerdo o fuese declarado nulo, ambas partes se someten a los Juzgados y Tribunales de Zaragoza con renuncia a u propio fuero si este fuese otro. DUODÉCIMA. ACTUALIZACIÓN. En el caso de que alguna o algunas de las cláusulas del contrato pasen a ser invalidas, ilegales o inejecutables en virtud de alguna norma jurídica, se consideraran ineficaces en la medida que corresponda, pero en lo demás, este contrato conservara su validez. Las partes contratantes acuerdan sustituir la cláusula o cláusulas afectadas por otra u otras que tengan los efectos económicos más semejantes a los de las sustituidas. 153
Contratos Electrónicos
Capítulo 3
Este contrato y sus correspondientes anexos reemplazan a cualquier otro compromiso o anexo establecido anteriormente sea verbalmente o por escrito, que se refiera al mismo producto que en ellos se mencionan. Y para que así conste, y en prueba de conformidad y aceptación al contenido de este escrito, ambas partes lo firman por duplicado y a un solo efecto en la fecha y lugar indicados en el encabezamiento.
154
Contratos Electrónicos
Capítulo 3
Contrato de Licencia de Uso de software CLASE DE CONTRATO: Contrato de Licencia de Usos de Software PROVEEDOR: Pontificia Universidad Javeriana LICENCIATARIO: Universidad Externado de Colombia OBJETO: Licencia de uso del Software GESIM
.
APROBACIÓN: Contaduría Pública Entre los suscritos a saber, por una parte LA PONTIFICIA UNIVERSIDAD JAVERIANA, institución de educación superior, no oficial, sin ánimo de lucro, reconocida como persona jurídica mediante Resolución número 73 del 12 de diciembre de 1933 expedida por el Ministerio de Gobierno, reconocida como Universidad mediante Decreto 1297 del 30 de mayo de 1964, representada en este acto por su Vicerrector Académico y Apoderado Especial Padre VICENTE DURÁN CASAS, S.J., mayor de edad, vecino de Bogotá D.C., identificado con la cédula de ciudadanía número 3.227.972 expedida en Usaquén, todo lo cual consta en el certificado de existencia y representación legal expedido por el Ministerio de Educación Nacional y en la escritura pública número 590 del 3 de marzo de 2008, otorgada en la Notaría 26 del círculo de Bogotá D.C., entidad que en adelante, y para todos los efectos del presente contrato, se denominará LA UNIVERSIDAD, y por la otra, UNIVERSIDAD EXTERNADO DE COLOMBIA, sociedad legalmente constituida mediante escritura pública número ____ de la notaria __ de ___, del ___ de ___ de ____, inscrita el ____ de ____ de ____, bajo el número _____ del libro ____, con Nit Número _____________, representada 155
Contratos Electrónicos
Capítulo 3
en este acto por ____________________, mayor de edad, identificado con la cédula de _______ número___________, quien en adelante y para todos los efectos del presente contrato se denominará EL LICENCIATARIO, hemos convenido en celebrar el presente contrato de licencia de uso de software, que se regirá por las normas que gobiernan este tipo de negocios jurídicos y en particular por las siguientes clausulas previas las siguientes: CONSIDERACIONES: Que LA UNIVERSIDAD es una entidad sin ánimo de lucro de reconocida trayectoria en el campo de la formación profesional, dedicada a la enseñanza y educación formal, así como a la investigación y, en general, a la gestión del conocimiento como instrumento de desarrollo personal para el crecimiento y servicio de la comunidad, particularmente de nuestro país. Que mediante documento escrito debidamente reconocido ante notario, _________ , LA UNIVERSIDAD celebró con el profesor JORGE SANTIAGO ROSILLO CORCHUELO un contrato de cesión integral, a título gratuito, de la totalidad de los derechos patrimoniales que a éste último le correspondía como autor exclusivo de su programa de software GESIM, el cual fue desarrollado por el profesor como un simulador para la toma de decisiones estratégicas, el cual se ha venido utilizando consecutivamente por los estudiantes de LA UNIVERSIDAD dentro de la asignatura de Simulación de la Gestión Empresarial del programa de Administración de Empresas de la Facultad de Ciencias Económicas y Administrativas.
156
Contratos Electrónicos
Capítulo 3
Que EL LICENCIATARIO ha manifestado interés en que sus estudiantes hagan uso del programa de software GESIM. En ese orden de ideas, las partes acuerdan celebrar el presente CONTRATO, con la finalidad de permitir que los estudiantes del LICENCIATARIO hagan uso del mismo, en los términos y condiciones establecidos en el presente contrato, el cual se regirá por las siguientes cláusulas y en lo no previsto en ellas por las normas civiles y comerciales aplicables a la materia. CLÁUSULAS: PRIMERA: OBJETO. LA UNIVERSIDAD se compromete con EL LICENCIATARIO, a conceder una licencia de uso, no exclusivo, del programa de software GESIM. LA UNIVERSIDAD no otorga ningún otro derecho o licencia, de forma expresa o tacita, respecto al programa de software GESIM. SEGUNDA. PRECIO Y FORMA DE PAGO. El precio convenido por la licencia de uso del programa objeto de este contrato es de QUINIENTOS MIL ($500.000) por empresa participante en los ciclos que componen la simulación PARAGRAFO PRIMERO. El pago de la suma indicada en la presente cláusula no constituye la compra del programa, ni de los derechos de autor correspondientes. LA UNIVERSIDAD facturará el equivalente al número de empresas participantes en la simulación previo al inicio de esta 157
Contratos Electrónicos
Capítulo 3
y el LICENCIATARIO se obliga a pagar dentro de los treinta (30) días siguientes a la fecha de presentación de la factura. TERCERA. VIGENCIA. El presente contrato tendrá una vigencia equivalente al desarrollo de los ciclos que componen la simulación. CUARTA. PROPIEDAD DE LOS PROGRAMAS Y DERECHOS DE AUTOR. El programa objeto de licencia, las reproducciones originales del mismo, cualquier copia parcial o total, realizada por LA UNIVERSIDAD, los derechos legales de copia y cualquier otro derecho de propiedad intelectual, pertenecen a la UNIVERSIDAD. En consecuencia, LA UNIVERSIDAD cuenta con la facultad suficiente para otorgar nuevas licencias de uso sobre dicho programa a otras personas, naturales o jurídicas. EL LICENCIATARIO acepta y reconoce que el programa objeto de licencia y todos sus componentes son de propiedad exclusiva de LA UNIVERSIDAD, y que el uso del programa solo se hará en los términos establecidos en el presente contrato. EL LICENCIATARIO no tendrá derecho de comercializar o conceder licencias en ninguna forma del programa objeto del presente contrato. Cualquier uso diferente al establecido en el presente contrato requerirá la autorización expresa y por escrito de LA UNIVERSIDAD. EL LICENCIATARIO no podrá transferir parcial ni totalmente el uso de la licencia sin autorización expresa de LA UNIVERSIDAD.
158
Contratos Electrónicos
Capítulo 3
QUINTA. OBLIGACIONES DE LAS PARTES. LA UNIVERSIDAD se compromete a: Dar acceso electrónico a los diversos componentes del simulador exceptuando el administrador del mismo, informar al LICENCIATARIO del website de referencia del simulador, lugar donde estarán ubicados los diferentes elementos que posibilitan la participación de las empresas en el juego gerencial, a capacitar a un miembro de la comunidad del LICENCIATARIO que difunda el uso del simulador, A actualizar el website de la simulación y a mantener la dinámica de la misma. EL LICENCIATARIO se compromete a garantizar que cada empresa de la simulación estará conformada como máximo por cuatro miembros de la comunidad del licenciatario, a realizar seguimiento de la actividad de las empresas participantes de la simulación. SEXTA. LA UNIVERSIDAD garantiza al LICENCIATARIO el buen estado operacional del programa objeto de licencia, siempre y cuando el LICENCIATARIO utilice el programa conforme a las especificaciones técnicas contenidas en el manual de operación. SÉPTIMA. TERMINACIÓN DEL CONTRATO. Cualquiera de las partes podrá poner término al presente contrato mediante aviso escrito a la otra parte con treinta (30) días hábiles de anticipación. En caso de incumplimiento, por causa injustificada de alguna cláusula del presente contrato, éste podrá ser resuelto por cualquiera de las partes, previo aviso por escrito con treinta (30) días de anticipación. 159
Contratos Electrónicos
Capítulo 3
OCTAVA. ACUERDO INTEGRAL Y REFORMAS. El presente contrato y sus anexos constituyen el acuerdo integral que vincula a las partes en relación con el objeto del mismo, en consecuencia, el contrato deroga expresamente todos los acuerdos anteriores verbales o escritos que tengan relación con el mismo objeto. Cualquier modificación a los términos aquí contenidos deberá constar en documento escrito suscrito por cada una de las partes. NOVENA. CLÁUSULA COMPROMISORIA. Las partes contratantes solucionarán las diferencias que se presenten entre ellas por razón del contenido y alcance de las disposiciones contenidas en el presente contrato. No obstante, lo anterior, si transcurrieren cuarenta y cinco (45) días comunes sin que las mismas llegaren a algún acuerdo, la diferencia será sometida a la decisión de un Tribunal de Arbitramento compuesto por un (1) árbitro elegido por los contratantes directamente y de común acuerdo, cuyo fallo será en derecho. Si dentro de un término de quince (15) días hábiles las partes no llegaren a un acuerdo en la elección del árbitro, éste será designado por el Centro de Conciliación y Arbitraje de la Cámara de Comercio de xxxxx. El término de duración del arbitramento no podrá exceder de seis (6) meses contados a partir de la primera audiencia de trámite, prorrogables hasta por otros seis (6) meses más a solicitud de cualquiera de las partes. El procedimiento se sujetará a las normas que al respecto establece el Código de Procedimiento Civil, lo mismo que a lo dispuesto por la Ley 446 de 1998, el Decreto 1818 de 1998 y demás disposiciones legales que los modifiquen o adicionen. La organización interna del Tribunal de Arbitramento deberá ser adoptada de conformidad con el reglamento que para el efecto utiliza el Centro de Conciliación 160
Contratos Electrónicos
Capítulo 3
y Arbitraje de la Cámara de Comercio de xxxxx. Los costos y honorarios del Tribunal de Arbitramento correrán a cargo de las partes en iguales proporciones, salvo que el Tribunal disponga lo contrario. Para constancia se firma en xxxxx , a los _______ (__) días del mes de _______ del año _________ (_____) en dos ejemplares de igual valor y contenido.
161
Contratos Electrónicos
Capítulo 3
Contrato de Información CONTRATO DE CONFIDENCIALIDAD DE INFORMACION Al objeto de garantizar la confidencialidad del presente [Proyecto, colaboración entre las partes implicadas], se hace necesario la firma de un acuerdo que garantice unos niveles de confianza entre las partes. El documento se firmará una vez aceptado y firmado el (tipo: contrato, acuerdo,] por ambas partes. El contenido del acuerdo es el que figura a continuación. Contenido
DE UNA PARTE: [nombre de la organización]y en su nombre y representación (con poder suficiente para ello) D/Dña. [nombre completo], en calidad de [cargo, administrador, apoderado,] DE OTRA PARTE: [nombre de la organización]. y en su nombre y representación (con poder suficiente para ello) D/Dña. [nombre completo], en calidad de [cargo, administrador, apoderado,] Reunidos en [lugar de la firma del contrato], a [día] de [Mes] de [Año] EXPONEN I – Que las partes, anteriormente citadas, están interesadas en el desarrollo del presente contrato, para lo cual, aceptaron celebrar el presente Acuerdo de Confidencialidad con el fin de establecer el procedimiento que regirá la custodia y no transmisión a terceros de la información distribuida entre las partes, así como los derechos, responsabilidades y obligaciones inherentes en calidad de remitente, Propietario y «Destinatario» 162
Contratos Electrónicos
Capítulo 3
de la referida información. II – Que las partes, en virtud de lo anteriormente expuesto, convinieron que el presente Acuerdo de Confidencialidad se rija por la normativa aplicable al efecto y, en especial por las siguientes. CLÁUSULAS PRIMERA - Definiciones A los efectos del presente Acuerdo, los siguientes términos serán interpretados de acuerdo con las definiciones anexas a los mismos. Entendiéndose por: - «Información propia»: tendrá tal consideración y a título meramente enunciativo y no limitativo, lo siguiente: descubrimientos, conceptos, ideas, conocimientos, técnicas, diseños, dibujos, borradores, diagramas, textos, modelos, muestras, bases de datos de cualquier tipo, aplicaciones, programas, marcas, logotipos, así como cualquier información de tipo técnico, industrial, financiero, publicitario, de carácter personal o comercial de cualquiera de las partes, esté o no incluida en la solicitud de oferta presentada, independientemente de su formato de presentación o distribución, y aceptada por los «Destinatarios». - «Fuente»: tendrá la consideración de tal, cualquiera de las partes cuando, dentro de los términos del presente Acuerdo, sea ella la que suministre la Información Propia y/o cualquiera de los implicados (accionistas, directores, empleados, …) de la 163
Contratos Electrónicos
Capítulo 3
empresa o la organización. - «Destinatarios»: tendrán la consideración de tales cualquiera de las partes cuando, dentro de los términos del presente Acuerdo, sea ellos quienes reciban la Información Propia de la otra parte. SEGUNDA. - Información Propia. Las partes acuerdan que cualquier información relativa a sus aspectos financieros, comerciales, técnicos, y/o industriales suministrada a la otra parte como consecuencia de la solicitud de Oferta para el desarrollo del presente proyecto objeto del contrato, o en su caso, de los acuerdos a los que se lleguen (con independencia de que tal transmisión sea oral, escrita, en soporte magnético o en cualquier otro mecanismo informático, gráfico, o de la naturaleza que sea) tendrá consideración de información confidencial y será tratada de acuerdo con lo establecido en el presente documento. Esa información, y sus copias y/o reproducciones tendrán la consideración de «Información propia» los efectos del presente acuerdo. TERCERA. - Exclusión del Presente Acuerdo. No se entenderá por «Información propia», ni recibirá tal tratamiento aquella información que: I – Sea de conocimiento público en el momento de su notificación al «Destinatario» o después de producida la notificación alcance tal condición de pública, sin que para ello el «Destinatario» violentara lo establecido en el presente acuerdo, es decir, 164
Contratos Electrónicos
Capítulo 3
no fuera el «Destinatario» la causa o «Fuente» última de la divulgación de dicha información. II – Pueda ser probado por el «Destinatario», de acuerdo con sus archivos, debidamente comprobados por la «Fuente», que estaba en posesión de la misma por medios legítimos sin que estuviese vigente en ese momento algún y anterior acuerdo de confidencialidad al suministro de dicha información por su legítimo creador. III – Fuese divulgada masivamente sin limitación alguna por su legítimo creador. IV – Fuese creada completa e independientemente por el «Destinatario», pudiendo este demostrar este extremo, de acuerdo con sus archivos, debidamente comprobados por la «Fuente». CUARTA. - Custodia y no divulgación. Las partes consideran confidencial la «Información propia» de la otra parte que le pudiera suministrar y acuerdan su guarda y custodia estricta, así como a su no divulgación o suministro, ni en todo ni en parte, a cualquier tercero sin el previo, expreso y escrito consentimiento de «Fuente». Tal consentimiento no será necesario cuando la obligación de suministrar o divulgar la «Información propia» de la «Fuente» por parte del «Destinatario» venga impuesta por Ley en vigor o Sentencia Judicial Firme. Este Acuerdo no autoriza a ninguna de las partes a solicitar o exigir de la otra parte el suministro de información, y cualquier 165
Contratos Electrónicos
Capítulo 3
obtención de información de/o sobre la «Fuente» por parte del «Destinatario» será recibida por éste con el previo consentimiento de la misma. QUINTA. - Soporte de la «Información propia». Toda o parte de la «Información propia», papeles, libros, cuentas, grabaciones, listas de clientes y/o socios, programas de ordenador, procedimientos, documentos de todo tipo o tecnología en el que el suministro fuese hecho bajo la condición de «Información propia», con independencia del soporte que la contuviera, tendrá la clasificación de secreta, confidencial o restringida SEXTA. - Responsabilidad en la Custodia de la «Información propia». La «Información propia» podrá ser dada a conocer por el «Destinatario» o sus directivos y/o sus empleados, sin perjuicio de que el «Destinatario» tome cuentas medidas sean necesarias para el exacto y fiel cumplimento del presente Acuerdo, debiendo necesariamente informar a unos y otros del carácter secreto, confidencial, o restringido de la información que da a conocer, así como da existencia del presente Acuerdo. Así mismo, el «Destinatario» deberá dar a sus directivos y/o sus empleados, las directrices e instrucciones que considere oportunas y convenientes a los efectos de mantener el secreto, confidencial, o restringido de la información propia de la «Fuente». El «Destinatario» deberá advertir a todos sus directivos, empleados, etc., que de acuerdo con lo dispuesto en 166
Contratos Electrónicos
Capítulo 3
este acuerdo tengan acceso a la «Información propia», de las consecuencias y responsabilidades en las que el «Destinatario» puede incurrir por la infracción por parte de dichas personas, de lo dispuesto en este Acuerdo. Sin perjuicio de lo anterior, la «Fuente» podrá pedir y recabar del «Destinatario», como condición previa al suministro de la «Información propia», una lista de los directivos y empleados que tendrán acceso a dicha información, lista que podrá ser restringida o reducida por la «Fuente». Esta lista será firmada por cada uno de los directivos y empleados que figuren en ella, manifestando expresamente que conocen la existencia del presente Acuerdo y que actuarán de conformidad con lo previsto en él. Cualquier modificación de la lista de directivos y/o empleados a la que se hizo referencia anteriormente será comunicada de forma inmediata a la «Fuente», por escrito conteniendo los extremos indicados con anterioridad en este párrafo. Sin perjuicio de lo previsto en los párrafos anteriores, cada parte será responsable tanto de la conducta dos sus directivos y/o empleados como de las consecuencias que de ella se pudieran derivarse de conformidad con lo previsto en el presente Acuerdo. SÉPTIMA.- Responsabilidad en la custodia de la «Información propia». El «Destinatario» será responsable de la custodia de la «Información propia» y cuantas copias pudiera tener de la misma suministrada por la «Fuente», en orden a su tratamiento, como 167
Contratos Electrónicos
Capítulo 3
secreta, confidencial o restringida, en el momento presente y futuro, salvo indicación explicita de la «Fuente». Al objeto de garantizar esta custodia, se deberá devolver la «Información propia» y cuantas copias pudiera tener de la misma suministrada por la «Fuente», a la terminación de las relaciones comerciales, o antes, si fuera requerido por la «Fuente» y respondiendo a los daños y perjuicios correspondientes, en el caso de incumplimiento de lo aquí dispuesto. (En aquellos casos en los que no fuera necesaria la devolución de la «Información propia» deberá eliminarse este párrafo) OCTAVA.- Incumplimiento. El incumplimiento de las obligaciones de confidencialidad plasmadas en este documento, por cualquiera de las partes, sus empleados o directivos, facultará a la otra a reclamar por la vía legal que estime más procedente, a la indemnización de los daños y perjuicios ocasionados, incluido el lucro cesante. NOVENA.- Duración del Acuerdo de Confidencialidad. Ambas partes acuerdan mantener el presente Acuerdo de Confidencialidad, aún después de terminar sus relaciones comerciales. DECIMA.- Legislación Aplicable El presente Acuerdo de Confidencialidad se regirá por la Legislación Española, y cualquier disputa, controversia o conflicto en cuanto a la interpretación o ejecución del presente Acuerdo 168
Contratos Electrónicos
Capítulo 3
será sometido a la jurisdicción de los Tribunales de (Valladolid), con exclusión de cualquier otro que pudiera corresponder a las partes, al que en este momento renuncian. Y en prueba de esta conformidad, las partes firman o presente acuerdo, por duplicado y a un solo efecto, en el lugar y fecha ut supra.
169
Infracciones Informรกticas 4.1
Introducciรณn
4.2
Concepto de delito Informรกtico
4.3
Principios y caracterรญsticas
4.4
Tipos de delitos informรกticos
CAPÍTULO IV Infracciones Informáticas 4.1 Introducción Investigar acciones delictivas es una tarea compleja. Las dificultades surgen al aplicar la normativa legal a la delicuencia transnacional y al crimen organizado en esta clase de infracciones informáticas, por lo que es una ardua tarea para la fiscalía y para los jueces enfrentar este nuevo tipo de hechos delictivos que transgreden el ordenamiento jurídico. Este fenómeno delitivo a tenido un avance significativo, tomando en cuenta la glovalización, la cual no ha tenido solo efectos positivos sino que ha tecnificado e incrementado esta clase de ilícitos. Las infracciones informáticas nos permiten divisar las sanciones que se tienen que cumplir cuando se ha hecho un uso inapropiado de los medios electrónicos, que pueden desencadenar en un delito informático. También es importante conocer el significado y de qué trata un delito informático. Se conoce como delito informático a toda actividad que no vaya de acuerdo a lo estipulado en la ley y que se encuentre implicado en caos ya comunes y conocidas como la estafa, sabotaje, hurto, robo, falsificación, perjuicio y fraude; pero que involucre y tenga relación la informática como medio para cometer un acto ilegal.
Infracciones Informáticas
Capítulo 4
A la ciberdelincuencia se la entiende como a todo acto típico, que vaya en contra de la ley y que sea culpable a través de un delito informático con el objetivo de robar información, subir a la red o compartir datos prohibidos por la ley; así como el objeto de dañar o destruir información o sistemas informáticos. Hay conductas criminales que se las realiza por medios informáticos que actúan mucho más rápido que la legislación en la materia informática que no son considerados como delito, sino más bien como abusos informáticos y esto parte de la ciberdelincuencia. El chantaje, fraude, falsificación hurto, robo de información de computadores y redes informáticas hayan sido utilizadas para cometer crímenes informáticos. Con el avance de la tecnología y la programación, los delitos informáticos han evolucionado al ser más frecuentes y cada vez más sofisticados. A través de diversos medios y herramientas informáticas, se usan para cometer actividades delictivas, en búsqueda de diversos tipos de delito o infracción a la ley como ingreso no autorizado a sistemas, violación o robo de información confidencial, pornografía infantil, hurto en cuentas de bancos, fraudes electrónicos, mal uso de la tecnología, interferencias en datos personales, interceptado de llamadas o redes, destrucción de información, chantajes, ataques informáticos, crackers, piratería o violación de derechos de autor, pedofilia, etc. En la actualidad hay normativas legales que tienen como objetivo a la protección de los datos que se utilicen en redes de información, así como también la prevención de todo tipo de delitos que sean cometidos a través de la tecnología utilizando 174
Infracciones Informáticas
Capítulo 4
sistemas para cometerlos. El código integral penal también contempla las sanciones a imponerse a toda aquella persona que cometa algún ilícito en materia de infracciones informáticas. Las Infracciones informáticas tiene una gran variedad de tipos de delitos. Por lo general se divide en dos categorías: • Delitos que tienen como meta las redes de comunicación para acceder a un computador o sistemas como los códigos, software malicioso o sospechoso, gusanos, virus, ataques masivos de Internet y uso inapropiado de las redes. • Delitos realizados por medio de computadores y a través de Internet como el fraude, espionaje, pornografía infantil trata de personas, pedofilia, espionaje, etc. Como ejemplo general podemos decir que alguien usando de manera ilegal la información y el conocimiento de la tecnología acede a sitios web con el objetivo de robar información o de dañar sus redes o servidores. Es importante conocer que a pesar de que los ataques se los hace de una manera virtual, los delitos son sobre los datos como una materia real que debe ser responsable ante el cometimiento de un ilícito. Muchos países tienes un departamento de policía especializada en el ámbito tecnológico para evitar e investigar delitos informáticos; pero, aunque también por lo general los ataques no solo se lo hace internamente en un país, sino que también es muy común que los ataques se los realice desde el exterior.
175
Infracciones Informáticas
Capítulo 4
La Organización de las Naciones Unidas (ONU) reconoce a los siguientes tipos de infracciones informáticas: • Fraudes realizados a través del uso indebido de sistemas informáticos. o Modificación o robo de datos. o Manipulación de un software o instalación no autorizada en un sistema informático. o Modificación de los datos visibles. o Aprovecharse de procesos automáticos. • Manipulación de datos. o Cambio de parte o totalidad en documentos digitales. o Uso de la tecnología para falsificación de documentos. • Modificación no autorizada de software para beneficio propio o para causar daño. o Sabotaje informático. o Accesos no autorizados a sistemas y servicios. o Uso inapropiado o no autorizado de software. 4.2 Concepto de Delito Informático Los procesos tecnológicos que está experimentando la sociedad, en la actualidad ha desarrollado nuevas formas de infringir las leyes en los diferentes tipos de delitos como los tradicionales como el inicio de nuevos actos ilícitos a través de un computador. Dando así al nacimiento de una nueva forma de llevar a cabo actos ilícitos los cuales deben ser definidos por las leyes los tratamientos respectivos dentro de los marcos legales de las instituciones de cada país. 176
Infracciones Informáticas
Capítulo 4
Las innovaciones tecnológicas de igual manera que apoyan al desarrollo de actividades, con el fin de mejorar los procesos y disminuir recursos tanto económicos como talento humano y por otro lado también conlleva a nuevos problemas para la población, dando origen a acciones que deben ser prohibidas y castigadas con precisión. Naciendo así la gran necesidad de buscar formas para fortalecer la conciencia jurídica en la creación de nuevas leyes, ya que este tipo de delitos informáticos pueden llevar a ocasionar grandes desastres tanto para una sola persona como para toda una nación, por tanto, es beneficioso que se tomen medidas necesarias en infracciones penales a nivel mundial, de forma tal que exista una sanción eficaz al momento de cometer este tipo de delitos telemáticos en los diferentes estados. El delito informático es un tema que debe ser tratado de una forma muy delimitada jurídicamente en relación a las acciones las cuales dan origen a un delito las cuales has sido llevadas a cabo mediante elementos o dispositivos informáticos o quebrantando los derechos de un ciudadano ya sea software o hardware. En el Ecuador y en la mayoría de los países existen un gran número de conductas que implican una nueva serie de crímenes o comportamientos delictivos. “Con la expresión criminalidad mediante computadoras se alude a todos los actos antijurídicos según la ley vigente, realizados con el empleo de un equipo automático de procesamiento de datos”.
177
Infracciones Informáticas
Capítulo 4
Los derechos informáticos tienen una tienen grandes medidas jurídicas una cuestión de la criminalidad informática en las cuales se presentas distintas características. Ya que a los grandes avances de las tecnologías de la información los profesionales del derecho deben actualizar las normativas sobre delitos informáticos en las normas tradicionales o en las nuevas infracciones, creando otros tipos penales ya existentes. Llevar a cabo las investigaciones pertinentes de delito desde cualquier perspectiva son las tareas más complejas, ya que tienen grandes dificultades al tratar de aplicar un método científico a una delincuencia tradicional o dar paso a un crimen organizado los cuales ya han sido establecidos en castigos penales anteriormente. Enfrentar es tipo de delincuencia informática conlleva a una gran tarea al ministerio público por mandato constitucional y por una disposición legal. Estos nuevos fenómenos de los delitos informáticos son descritos en los últimos tiempos, los cuales han tenido un gran avance tomando en cuenta la manifestación de la globalización, la cual no solo ha tenido beneficios, sino también ha contribuido a la masificación de esta clase de delitos y tecnificado a otra clase de cómo son los llamados Delitos Informáticos. Como escribe Albánese, citado por Carlos Resa2, “el crimen organizado no existe como tipo ideal, sino como un “grado” de actividad criminal o como un punto del ‘espectro de legitimidad”. 1 - Klaus Tiedemann, Profesor de la Universidad de Friburgo de Brisgovia - Alemania 178
Infracciones Informáticas
Capítulo 4
2 - 1 RESA NESTARES CARLOS: Crimen Organizado Transnacional: Definición, Causas Y Consecuencias, Editorial Astrea, 2005. Dentro de esta definición de crimen organizado, es una gran gama de actividades que puede ejecutar un determinado grupo de crímenes organizados puede ser extensa, variando en cada caso según diversas variables internas y externas a la organización, y combinar uno o más mercados, expandiéndose asimismo por un número más o menos limitado de países, aunque en tiempos recientes existe una fuerte tendencia a la concentración empresarial en cada vez menos grupos de un mayor número de campos de la ilegalidad. Su repertorio de actividades incluye el delito de cuello blanco y el económico (en donde se encontrarían los Delitos Informáticos), pero supera a este último en organización y control, aunque los nexos de unión entre ambos modelos de delincuencia tienden a fusionarse y el terrorismo y el ciberterrorismo pueden llegar a formar parte de sus acciones violentas en ciertas etapas o momentos. En un inventario amplio, las actividades principales de las organizaciones criminales, en suma, abarcan la provisión de bienes y servicios ilegales, ya sea la producción y el tráfico de drogas, armas, niños, órganos, inmigrantes ilegales, materiales nucleares, el juego, la usura, la falsificación, el asesinato a sueldo o la prostitución; la comercialización de bienes lícitos obtenidos por medio del hurto, el robo o el fraude, en especial vehículos de lujo, animales u obras de arte, el robo de identidad, clonación de tarjetas de crédito; la ayuda a las empresas legítimas en materias ilegales, como la vulneración de las normativas medioambientales 179
Infracciones Informáticas
Capítulo 4
o laborales; o la utilización de redes legales para actividades ilícitas, como la gestión de empresas de transporte para el tráfico de drogas o las inversiones inmobiliarias para el blanqueo de dinero. Entre aquellas organizaciones que pueden considerarse como típicamente propias del crimen organizado, practicando algunas de estas actividades, se encuentran, dentro de un listado más o menos extenso, las organizaciones dedicadas casi exclusivamente al tráfico de drogas a gran escala, ya sean propias de los países europeas o se generen en países latinoamericanos, del sudeste y el sudoeste asiático, la Mafia italiana en su proceso de expansión mundial que ya se inició hace décadas, las YAKUZA japonesas, las TRIADAS chinas y, en última instancia, ese magma que constituye el crimen organizado en Rusia y en otros países del Este europeo, y ahora existo otro grupo que ha entrado a la escena del crimen organizado transnacional son los llamados CRAKERS, los verdaderos piratas informáticos, que a través del cometimiento de infracciones informáticas, han causado la perdida de varios millones de dólares, a empresas, personas y también a algunos estados. El aspecto más importante de la informática radica en que la información ha pasado a convertirse en un valor económico de primera magnitud. Desde siempre el hombre ha buscado guardar información relevante para usarla después. Como señala Camacho Losa, “En todas las facetas de la actividad humana existen el engaño, las manipulaciones, la codicia, el ansia de venganza, el fraude, en definitiva, el delito.
180
Infracciones Informáticas
Capítulo 4
Desgraciadamente es algo consustancial al ser humano y así se puede constatar a lo largo de la historia4.” Entonces el autor se pregunta ¿y por qué la informática habría de ser diferente? Existe un consenso general entre los diversos estudiosos de la materia, en considerar que el nacimiento de esta clase de criminalidad se encuentra íntimamente asociada al desarrollo tecnológico informático. Las computadoras han sido utilizadas para muchas clases de crímenes, incluyendo fraude, robo, espionaje, sabotaje y hasta asesinato. 3 - MAGLIONA MARKOVICTH Claudio Paúl, LÓPEZ MEDEL Macarena, Delincuencia y Fraude Informático, Editorial Jurídica de Chile. 1999 4 - CAMACHO LOSA Luis, El Delito Informático, Madrid, España, 1987. Los primeros casos fueron reportados en 1958. Para el profesor Manfred Mohrenschlager5 este fenómeno ha obligado al surgimiento de medidas legislativo-penales en los Estados Industriales donde hay conciencia de que, en los últimos años, ha estado presente el fenómeno delictivo informático. En nuestro país, el fenómeno de la criminalidad informática o de los llamados delitos informáticos, no han alcanzado todavía una importancia mayor, esto por cuanto no se conoce en nuestro entorno mucho sobre esta clase de infracciones a pesar del efecto de aldea global que estamos viviendo, y la razón de que esta nueva forma de lesión a bienes jurídicos tutelados no sea tomada en cuenta, es porque se ha perdido por parte de la 181
Infracciones Informáticas
Capítulo 4
legislación penal nacional la conexión entre ésta y la realidad social actual. (Problema que no solo es en el área Penal si no en todo el ordenamiento jurídico nacional). A continuación, se intentará dar una delimitación de este fenómeno de la criminalidad informática. 5 - MOHRENSCHLAGER, Manfred. El Nuevo Derecho Penal informático en Alemania” (Págs. 99 a 143). LIMA DE LA LUZ, MARÍA: (“Delitos Electrónicos” en Criminalia, México. Academia Mexicana de Ciencias Penales. Ed. Porrúa. Nº 1-6. Año L. Ene-jun 1984) Lato sensu: “Cualquier conducta criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea como método, medio o fin”. Stricto sensu: “Cualquier acto ilícito penal en el que las computadoras, sus técnicas y funciones desempeñan un papel como método, medio o fin” M. VÁSQUEZ / B. DI TOTTO“Actos manifestados mediante el uso indebido de las tecnologías de información cuando tales conductas constituyen el único medio de comisión posible para lograr el efecto dañoso que vulnera los bienes jurídicos cuya protección penal es necesaria” TÉLLEZ VALDEZ, JULIO: (Derecho informático, Mc Graw Gill, México, 1996) Vertiente típica: “Conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin” 182
Infracciones Informáticas
Capítulo 4
Vertiente atípica: “Conductas ilícitas en que se tienen en el uso de las computadoras...” 4.3 Principios y Características 1. “El funcionario de la Fiscalía o de la Policía Judicial nunca debe acudir solo al lugar de los hechos, este tipo de actividad debe ser realizada como mínimo por dos funcionarios. Un segundo funcionario, por un lado, aporta seguridad personal y, por otro, ayuda a captar más detalles del lugar de los hechos. Los funcionarios deberían planear y coordinar sus acciones. Si surgen problemas inesperados, es más fácil resolverlos porque “dos cabezas piensan más que una. “ Según el autor Santiago Acurio Del Pino Director Nacional de Tecnología de la Información nos indica que cuando hay delito informático la información digital debe ser tratada con mucho cuidado y para las personas que no tienen experiencia podrían echar a perder un caso de delito informático De ahí la sugerencia de estar presente dos funcionarios que concuerden con las investigaciones y den las ordenes necesarias para que la investigación sea llevada con eficiencia ya que cuando son casos de delitos la evidencia en estos casos es la información y para ello es un poco más delicado que tratar con objetos físicos recuperables. 2. “Ninguna acción debe tomarse por parte de la Policía Judicial, la Fiscalía o por sus agentes y funcionarios que cambie o altere la información almacenada dentro de un sistema informático o medios magnéticos, a fin de que esta sea presentada fehacientemente ante un tribunal. “ 183
Infracciones Informáticas
Capítulo 4
En este caso nos indica que los funcionarios no deberán alterar información en cualquier delito informático ya esto puede causar daños graves a una persona o institución porque además de ser un acto deshonesto el trabajo de ellos es hacer que se cumpla la ley. Para ello también existen las personas de los departamentos de informática que deberían saber tratar la información y son estudiadas y especializadas en el campo de seguridad forense en el cual revisa diagnostica delitos informáticos y puede ser saber si la información fue alterada y a qué momento que es lo q alteraron de ahí también la importancia de los valores personales para que los casos de delito informático sean investigados con honestidad. 3. “En circunstancias excepcionales una persona competente puede tener acceso a la información original almacenada en el sistema informático objeto de la investigación, siempre que después se explique detalladamente y de manera razonada cual fue la forma en la que se produjo dicho acceso, su justificación y las implicaciones de dichos actos. “ Cuando se trata de información muy importante y existe un delito informático las personas tienden a borrar o alterar información para que las personas que conocen de esta clase de delitos no sean acusadas. Pero para ello la tecnología está muy avanzada y expertos saben de esta área y suelen llegar al fondo de la verdad y saber si se ha cometido un delito y en qué momento y como lo hizo por eso para dar parte al juez de y que él tome las medidas correspondientes. 184
Infracciones Informáticas
Capítulo 4
Para ello la importancia de detallar los resultados obtenidos de una investigación informática en la cual debe ser precisa, clara y fácil de entender para otras personas explicando cual es la infracción y en qué momento para que así no haya duda de la información obtenida. 4. “Se debe llevar una bitácora de todos los procesos adelantados en relación a la evidencia digital. Cuando se hace una revisión de un caso por parte de una tercera parte ajena al mismo, todos los archivos y registros de dicho caso y el proceso aplicado a la evidencia que fue recolectada y preservada, deben permitir a esa parte recrear el resultado obtenido en el primer análisis. “ En el cuarto principio nos indica que además de dar reporte de los casos ya analizados es muy importante que la información que se nos asigna para la información debe estar bien protegida y guardada ordenadamente, así como también la información ya analizada. Para que después se pueda probar al juez de ser necesario que la información analizada es veraz y autentica que no hubo algún intento de alterar la información para evitar que la verdad se sepa en cualquier delito informático Y así el trabajo que se hace por parte de los departamentos informáticos sea honesto y responsable en todas las infracciones informáticas procesadas y no perjudique o beneficie a nadie y los casos no tengan inconsistencia ya que nuestro trabajo puede estar en riesgo, así como nuestra reputación como profesionales informáticos. 185
Infracciones Informáticas
Capítulo 4
5. “El Fiscal del Caso y/o el oficial a cargo de la investigación son responsables de garantizar el cumplimiento de la ley y del apego a estos principios, los cuales se aplican a la posesión y el acceso a la información almacenada en el sistema informático. De igual forma debe asegurar que cualquier persona que acceda a o copie dicha información cumpla con la ley y estos principios.” Para ello la información a analizar debe estar restringida a un fiscal y al oficial a cargo de la investigación ya que otras personas pueden alterar pruebas del delito para beneficio propio o alterar por error e inocencia por personas que no conocen del oficio informático la información y sus resultados de estos delitos son cruciales para llegar a descubrir la verdad del mismo. Y de ser necesario para las personas que no permitan que la investigación se haga con honestidad se debería atenerse a las consecuencias ya que es muy fácil descubrir cómo y quién es el responsable de oponerse a que los resultados salgan con veracidad y transparencia. Características Las acciones delictivas informáticas presentan las siguientes características 1. “Sólo una determinada cantidad de personas (con conocimientos técnicos por encima de lo normal) pueden llegar a cometerlos.”
186
Infracciones Informáticas
Capítulo 4
Esta característica nos enseña que el delito informático lo puede realizar personas que se dedican a hachear y sus conocimientos están un poco más avanzados al igual que sus habilidades informativas, pero la utilizan para delinquir y sacar provecho para sí mismo. 2. “Son conductas criminales del tipo “cuello blanco”: no de acuerdo al interés protegido (como en los delitos convencionales) sino de acuerdo al sujeto que los comete. Generalmente este sujeto tiene cierto status socioeconómico y la comisión del delito no puede explicarse por pobreza, carencia de recursos, baja educación, poca inteligencia, ni por inestabilidad emocional.” Estos delincuentes se los denomina así ya que el sujeto de la infracción es una persona con cierto estatus económico. Y a veces solo hacen daño tratando de probar sus habilidades o por la necesidad de conocer más sobre cómo hacerlo, les motiva el desafío y la curiosidad por lo prohibido les atrae el mundo tecnológico y sus avatares. 3. “Son acciones ocupacionales, ya que generalmente se realizan cuando el sujeto atacado se encuentra trabajando.” Esta característica nos indica que el sujeto atacado sufre de la delincuencia informática cuando está en sus labores cotidianas ya que el atacante puede ver muchas oportunidades de delinquir y hacer mucho daño cuando de información se trata como puede ser memorias a la intemperie de todos o ver correos, nombre de usuarios y claves de acceso. 187
Infracciones Informáticas
Capítulo 4
4. “Son acciones de oportunidad, ya que se aprovecha una ocasión creada por el atacante. “ Como ya se mencionó el atacante puede observar muchas oportunidades para delinquir y robar información muy importante que para otras personas es crucial que la información no se revele a personas no autorizadas. 5. “Provocan pérdidas económicas.” Sus efectos son muy devastadores ya que al robar o substraer información no autorizada los delincuentes cibernéticos pueden provocar pérdidas económicas a personas o instituciones. 6. “Son muchos los casos y pocas las denuncias, y todo ello por la falta de regulación y por miedo al descrédito de la organización atacada.” Se aprovechan de estados de vulnerabilidad de las plataformas informáticas y así delinquir a espaldas de personas honestas que muchas veces no es su intención revelar información si no que el atacante aprovecha esas debilidades y muchas veces las personas por miedo a ser culpables o no tener las pruebas necesarias suelen callar y no denunciar ante las autoridades. 7. “Presentan grandes dificultades para su comprobación, por su carácter técnico.” Delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas ya que las personas que se dedica a hackear tiene una gran experiencia y sus habilidades son mucho mayores tratan de no dejar huellas informáticas. 188
Infracciones Informáticas
Capítulo 4
Además, tienen la Capacidad de memorizar cifras o sistemas numéricos que tengan que descifrar para penetrar en las computadoras. Pero existe software que ayuda a investigar estos delitos informáticos y son muy fáciles de utilizar e interpretar por peritos informáticos que buscan la verdad de la información. 8. “Tienden a proliferar, por lo se requiere su urgente regulación legal.” Para todas las personas que dedican a delinquir prefieren el anonimato y provocan perdidas a las personas o instituciones esto se debe a que las personas que causan delito informático tienen un conocimiento muy alto en cuanto a seguridades e infiltraciones en sistemas, robando información relevante y no autorizados para todas personas y se aprovechan de estados de vulnerabilidad de las plataformas informáticas. Por esta razón existen muchos delitos informáticos que a veces no se los denuncia por miedo a no tener la razón o al no tener pruebas del delito por estas razones se debería incrementar y regular las leyes en contra de las infracciones informáticas que se producen en el país 4.4 Tipos de delitos informáticos Sabotaje Informático El sabotaje informático se puede clasificar en: a) Conductas dirigidas a causar daños físicos 189
Infracciones Informáticas
Capítulo 4
Sucede esto cuando la persona que comete el delito causo daños físicos al hardware del equipo objeto del delito que se puede ocasionar de muchas formas por la persona que tiene la intención de causar daño. Por ejemplo: Uso de instrumentos para golpear, romper o quebrar un equipo de cómputo, ya sea el daño completo o parcial. Uso de líquidos como café, agua o cualquier líquido que se vierta sobre el equipo y dañe las piezas y componentes electrónicos. Provocar apagones o cortos en la energía eléctrica con intención de causar daños en el equipo. Utilizar bombas explosivas o agentes químicos que dañen el equipo de cómputo. Arrancar, o quitar componentes importantes de algún dispositivo del equipo, como CDROM, CD-RW, Discos Duros, Impresoras, Bocinas, Monitores, MODEM, Tarjetas de audio y video, etc. Y cualquier otra forma que dañe la integridad del equipo de cómputo. b) Conductas dirigidas a causar daños lógicos. - Se refiere a los daños causados a la información y a todos los medios lógicos para lo cual para el buen funcionamiento se requiere de un sistema de cómputo. Por ejemplo, dañar la información contenida en unidades de almacenamiento permanente, ya sea alterando, cambiando o eliminando archivos; mover configuraciones del equipo de 190
Infracciones Informáticas
Capítulo 4
manera que dañe la integridad del mismo; atentar contra la integridad de los datos pertenecientes al dueño del equipo de cómputo y todas aquellas formas de ocasionar daños en la parte lógica de un sistema de cómputo. Medios Utilizados para Realizar Daños Lógicos Virus. -Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. Gusanos. - Se fábrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. Bomba Lógica o cronológica.- Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son 191
Infracciones Informáticas
Capítulo 4
difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba. (Garcia de la Cruz, 2009) Fraude a través de Computadoras Se considera un delito cuando a través de una computadora se opera para maquinar fraudes por una persona. a) Manipulación de los datos de entrada Este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. b) Manipulación de Programas Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen 192
Infracciones Informáticas
Capítulo 4
conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. c) Manipulación de los datos de salida Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. d) Otro ejemplo común. Por ejemplo, cuando una persona tiene acceso a una base de datos de nóminas de una empresa, y tiene la capacidad y autorización para manipular los sueldos de los empleados, esta persona tiene la oportunidad de cometer un delito al tomar la fracción pequeña de los centavos y manipularlas de tal manera que las manda a su cuenta y así obtener ganancias deshonestas lo que sería un fraude. Una posible manera de tener más control sobre este tipo de actos, sería designar a un grupo encargado de la administración de las nóminas de los empleados de la empresa y que ese grupo se encargue de mantener todo bajo control, revisando muy bien cada movimiento que se realice y a donde se está enviando el 193
Infracciones Informáticas
Capítulo 4
dinero, porque de esta manera ya son más personas y no es una sola que podría hacerlo sin que nadie se de cuenta, así habría menos probabilidades de que se cometa el incidente. (Garcia de la Cruz, 2009) Estafas Electrónicas El hacer compras en línea mediante el uso de Internet o alguna red de servicio, y no cumplir con lo establecido en el acuerdo de compra en entregar el producto de forma completa o parcial se considera fraude, lo que es muy común al hacer compras por Internet donde se requiere pagar a la cuenta de alguna persona antes de recibir el pedido. Las personas que se dedican a este tipo de estafas consiguen clientes, gente que se interese en comprarles el producto que venden y cuando esas personas se deciden por hacer la compra y pagan a la cuenta que se les dio, ya no se entrega nada pues lograron engañar a todas esas personas. También aquellos lugares o sitios donde se hacen citas, ofrecen cosas que luego no son verdad, son estafas electrónicas. Lo que hace que no se pueda tener la suficiente confianza para hacer las compras en línea. Por lo que lo mejor sería limitarse a hacer las compras solo en aquellos lugares que están garantizados y son conocidos. Hay que evitar aquellos que son sospechosos o que no son conocidos y no dan confianza, porque ahí se podría generar una estafa. (Garcia de la Cruz, 2009) 194
Infracciones Informáticas
Capítulo 4
Pesca u Olfateo de Contraseñas Hacer uso de programas o métodos que puedan descifrar claves o que puedan averiguar o buscarlas. Ya sean claves personales de una cuenta de correo electrónico, contraseña para entrar al sistema, claves de acceso a algún sitio, claves de productos, etc. Para poder evitar un poco esto, se recomienda que las claves no sean muy obvias, teniendo como respuesta el nombre de una persona familiar, o el de la mascota de esa persona, fecha de nacimiento, o frases que use comúnmente. También es importante cambiar periódicamente las contraseñas para que así no sea siempre una posibilidad de descifrar la contraseña. (Garcia de la Cruz, 2009) Juegos de Azar Los juegos de azar son aquellos juegos de casino o que hacen uso del factor “suerte” Para obtener ganancias a través de la red, donde se hacen apuestas o inversiones de dinero. Esto está prohibido en ciertos lugares, países o regiones, así que solo aplica para ellos. Pues dependiendo de la Ley que tengan en esos lugares, puede o no ser un delito. Y si se sorprende a una persona obteniendo ganancias producto de los juegos de azar, se hallará como cometiendo un delito. Esto puede ser debido a que se prestan mucho a estafas o ganancias no justificadas y por lo cual no están permitidas en esos lugares. (Garcia de la Cruz, 2009) 195
Infracciones Informáticas
Capítulo 4
Lavado de Dinero Poner a funcionar el dinero producto del narcotráfico, o producto de estafas, robos, fraudes o cualquier actividad ilegal. Pues este dinero lo invierten en alguna actividad que aparenta no tener nada de malo, y lo que se obtiene es producto de la inversión de dinero mal obtenido, por lo que no está permitido el Lavado de Dinero. Puede haber casinos electrónicos en los cuales se esté lavando el dinero, o sorteos, o comercio como medio para el lavado de dinero. (Garcia de la Cruz, 2009) Copia Ilegal de Software Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual. (Garcia de la Cruz, 2009) Espionaje Informático El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas 196
Infracciones Informáticas
Capítulo 4
vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. (Garcia de la Cruz, 2009) Infracción del copyright en bases de datos Es la infracción de los derechos reservados del autor, ya que todo producto de marca tiene sus derechos y el infringir y violar la información de las bases de datos, ya sea ver, copiar, borrar, alterar es también un delito. (Garcia de la Cruz, 2009) Uso ilegítimo de Sistemas Informáticos Ajenos El usar un Sistema Informático de manera prohibida o incorrecta fuera del propósito para el que fueron creados, o para obtener ganancias a su autor o solo por cometer actos ilegítimos en contra de alguien o algún Sistema. (Garcia de la Cruz, 2009) Accesos no autorizados El acceder a información, sitios o secciones que no están autorizadas a usuarios comunes sino solo a aquellos que tienen autorización. Acceso indebido. El que sin la debida autorización o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologías de información, será penado con prisión de uno a cinco años de cárcel. (Garcia de la Cruz, 2009)
197
Infracciones Informáticas
Capítulo 4
Interceptación de e-mail Al enviar mensajes y correo electrónico a través de la Red, e interceptar esos mensajes y desviarlos o eliminarlos, es un delito. También esto podría entrar con los delitos de espionaje y podrían acumularse por lo que la sentencia sería mayor. Aún más podría aumentarse cuando hay una demanda por parte del afectado si logra comprobarse. (Garcia de la Cruz, 2009) Pornografía infantil Exhibición pornográfica de niños o adolescentes. El que por cualquier medio que involucre el uso de tecnologías de información, utilice a la persona o imagen de un niño, niña o adolescente con fines exhibicionistas o pornográficos, será penado con prisión de cuatro a ocho años. Esto es por lo que los niños y adolescentes no tienen la conciencia suficiente de la consecuencia que puede traer estos actos a ellos directamente y a otras personas, porque aun cuando se diga que ellos están de acuerdo, no puede tomarse en cuenta ya que se toma como manipulación de menores, ya que los pueden convencer a cometer esos actos, o algunos en contra de su voluntad y por verse obligado a hacerlo por que hay una amenaza en pie o el maltrato físico de por medio. (Garcia de la Cruz, 2009) Falsificación informática Como objeto. – Cuando se alteran datos de los documentos almacenados en forma computarizada. 198
Infracciones Informáticas
Capítulo 4
Como instrumento. – Las computadoras también se las puede utilizar para falsificación de documentos de uso comercial, desde aquellos tiempos donde se empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos laser surgió una nueva generación de falsificaciones o alteraciones fraudulentas, estas fotocopiadoras pueden hacer fotocopias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original y solo un experto puede diferenciarlos. (Garcia de la Cruz, 2009) En el Ecuador se encuentran tipificados los delitos inforáticos en el Código Integral Penal de acuerdo al siguiente detalle:
199
Riesgos en el sistema Informรกtico
5.1
CAPร TULO
Vulnerabilidades
5.2
5
5.3
Amenazas a los sistemas informรกticos
Amenazas al Hardware
CAPÍTULO V Riesgos en el sistema Informático 5.1 Vulnerabilidades Tipos de vulnerabilidades en un sistema informático En un sistema informático el principal objetivo es proteger todos los recursos que forman parte del sistema.: Las vulnerabilidades las podemos agrupar de la siguiente manera: Implementación ff ff ff ff
Errores de programación. Existencia de pruebas traseras en los sistemas. Descuido de los programadores. Falta de uso de estándares de seguridad.
Diseño ff Debilidad en el diseño de los protocolos para la realización e implantación de redes. ff Políticas de seguridad deficientes y en algunos casos inexistentes, para el manejo del sistema. Uso ff Mala configuración de los sistemas informáticos.
Riesgos en el sistema Informático
Capítulo 5
ff Disponibilidad de herramientas que facilitan ataques. ff Limitación gubernamental de tecnologías de seguridad. ff Desconocimiento y a la vez falta de sensibilización de los usuarios responsables del área de manejo informático. Vulnerabilidad del día Cero ff Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solución conocida pero que se sabe de una manera de violar su seguridad. Vulnerabilidad de desbordamiento de buffer. Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria adyacentes. En esta situación se puede aprovechar para ejecutar código que nos de privilegios de administrador.(Giménez Albacete, 2014) Vulnerabilidad de condición de carrera. Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.(Giménez Albacete, 2014)
202
Riesgos en el sistema Informático
Capítulo 5
Vulnerabilidad de Cross Site Scripting. Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o JavaScript en páginas web vistas por el usuario. (Giménez Albacete, 2014) El phishing es una aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio se las está enviando al atacante. Vulnerabilidad de denegación del servicio. La denegación de servicio hace que un servicio o recurso no esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.(Giménez Albacete, 2014) Vulnerabilidad de ventanas engañosas (Window Spoofing). Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que el usuario de información. Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para luego realizar un ataque.
203
Riesgos en el sistema Informático
Capítulo 5
5.2 Amenazas a los sistemas informáticos. Las amenazas son eventos que pueden causar alteraciones a la información de organización causando pérdidas materiales, económicas, de información y de prestigio. Las amenazas pueden tener diferentes factores que los originan y estos pueden ser: Factor Humano: Son la principal fuente de amenaza que existe ya que es en la que se invierten más recursos para controlar y también para contrarrestar los efectos que esta amenaza produce. abarca actos malintencionados que son los que incumplen las medidas de seguridad por falta de controles adecuados y consecuencia de actos negligentes.(Luns, 2012) Tipos de amenazas ff Curiosos: Son aquellos que ingresan a un sistema motivados ya sea por curiosidad, por desafío personal, por el deseo de aprender o simplemente por accidente, este tipo de amenazas no tienen los conocimientos necesarios o apropiados para causar un daño grande en el sistema, pero esto n o quiere decir que no se deba tomar con seriedad a esta amenaza ya que pueden producirse daños no intencionales.(Luns, 2012)
204
Riesgos en el sistema Informático
Capítulo 5
ff Intrusos Remunerados: Este tipo de amenazadores son aquellos que reciben un pago para acceder al sistema, estos no son muy comunes, pero son muy peligrosos ya que tienen todas las herramientas y el conocimiento para realizar daños graves al sistema.(Luns, 2012) ff Personal Enterado: Son personas que no son ajenas al sistema, sino que tienen acceso autorizado por lo general son empleados o exempleados que realizan acciones maliciosas motivados más por revanchas personales y/u ofertas de remuneración de organizaciones rivales que desean que el sistema colapse.(Luns, 2012) ff Terroristas: Son aquellos que tienen como objetivo solamente causar daños con fines proselitistas o religiosos.(Luns, 2012) ff Robo: Esto es la extracción física de la información por medio de unidades de almacenamiento secundario, robo físico de los componentes de hardware del sistema e incluso se denomina robo el hecho de usar los equipos para una actividad diferente de la que se le asigno.(Luns, 2012)
205
Riesgos en el sistema Informático
Capítulo 5
ff Sabotaje: La reducción de la funcionalidad del sistema se llama sabotaje y esto se logra desarrollando actividades deliberadas dirigidas a dañar equipos, interrumpir los servicios e incluso la destrucción completa del sistema.(Luns, 2012) ff Fraude: Este tipo de actividad no tiene como objetivo principal dañar el sistema, sino más bien aprovechar los recursos que se manejan para poder sacar beneficio de ellos. aun cuando esto se pruebe se trata con suma discreción sin hacerle publicidad debido a que podría generar una mala imagen a la organización implicada. (Costas Muñoz, 2014) ff Ingeniería Social: Esta actividad se usa para poder utilizar a los usuarios del sistema para que sean ellos quienes revelen la información confiando en su palabra. ff Amenazas al Hardware Son aquellas fallas físicas que ponen en riesgo los procesos y la información del sistema(Costas Muñoz, 2014) 5.3 Tipos de amenazas del hardware. ff Mal diseño: Cuando los componentes no cumplen requerimientos necesarios para el funcionamiento óptimo del sistema. 206
Riesgos en el sistema Informático
Capítulo 5
ff Errores de fabricación: Esto sucede cuando las piezas son adquiridas con un desperfecto desde su compra inicial y fallan al momento de usarse, esto depende del fabricante, pero significa una amenaza para el sistema. ff Suministro de energía: Cuando existen diferentes tipos de voltaje esto quiere decir variaciones de este pueden ocasionar daños en los aparatos ya que si no cuentan con la suficiente corriente eléctrica estos no funcionaran al 100%. ff Desgaste Por el uso constante que tienen los diferentes equipos, en algún momento determinado empezaran a fallar por causa de que sus componentes se envejecen.(Costas Muñoz, 2014) ff Descuido y mal uso Todos los equipos deben ser usados dentro de los parámetros establecidos por el fabricante esto quiere decir tiempo de uso, tipo de almacenamiento, procesos establecidos para cada producto, el uso inapropiado de estos genera fallas mucho antes del tiempo establecido de uso y por ende causa desperfectos y riesgos para el sistema.(Costas Muñoz, 2014) ff Amenazas a la red de datos Esta amenaza ocurre cuando la red de tráfico de la información no está disponible al 100% o es intermitente su funcionamiento o simplemente no existe tal comunicación. 207
Riesgos en el sistema Informático
Capítulo 5
ff Topología seleccionada Al momento de elegir la topología es muy importante tener en cuenta los pros y los contras de cada topología ya que de esta dependerá toda la comunicación del sistema. ff Sistema operativo Algunas veces existen conflictos para compartir la información entre diferentes sistemas operativos una razón puede ser porque su nivel de protección difiere y lo hace un poco más susceptible a ataques.(Costas Muñoz, 2014) ff Incumplimiento de las normas de instalación de la red Las instalaciones de cables en las diferentes redes deben seguir ciertas normas y estándares de diseño. Esto también es llamado cableado estructurado. Amenazas al software Estas amenazas incluyen fallas dentro del software, esto puede ser mal desarrollado, mal diseñado o mal implementado. ff Software de desarrollo Es un software personalizado, este puede ser creado con la finalidad de atacar el sistema u obtener beneficio de una característica del mismo como para violar su seguridad.
208
Riesgos en el sistema Informático
Capítulo 5
ff Software de Aplicación No es un software creado para realizar ataques, pero tiene características que pueden ser usadas de manera maliciosa para atacar el sistema. ff Código Malicioso Es un software que entra al sistema sin ser invitado e intenta romper las reglas de seguridad. ff Virus Puede duplicarse a sí mismo usando recursos del sistema propagándose rápidamente. ff Troyanos Son códigos que se encuentran en programas aparentemente inofensivos y luego se activan de manera discreta. ff Gusanos Son muy parecidos a los virus, atacan diferentes programas y posteriormente se duplican para redistribuirse. ff Errores de programación y diseño: Esta amenaza ocurre cuando el software no cumple con los estándares de seguridad requeridos. Un sistema de gestión implantado en los procesos que permiten que una organización realice un servicio o un producto de manera confiable y en conformidad con unas especificaciones internacionales. 209
Riesgos en el sistema Informático
Capítulo 5
Mediante principios tales como confidencialidad, disponibilidad, integridad, autenticación, no repudio, etc. la seguridad informática ha logrado desempeñarse de una manera efectiva previniendo amenazas dentro de un sistema informático. Las amenazas son distintos ámbitos personas, amenazas físicas y lógicas, por otro lado, se identifica medidas para prevención y recuperación entre activas, y pasivas; siendo las activas: contraseñas de encriptación y filtrado en las comunicaciones; y las pasivas protección física, electricidad y ambiental, copias de seguridad y control. Debemos estar conscientes de las medidas de seguridad que conlleva un sistema que deberá establecer con un conjunto de elementos no dejando de lado ninguno de los elementos entre hardware y software.
210
Riesgos en el sistema InformĂĄtico
CapĂtulo 5
211
El Habeas Data como Recurso Constitucional
Introducción
6.1
HÁBEAS DATA como Recurso Institucional
6.2
CAPÍTULO 6
Naturaleza Jurídica
6.3
Finalidad
6.4 6.5 6.6
Tipos de Habeas Data
Situación Internacional del Habeas Data
CAPÍTULO VI El Habeas Data como Recurso Constitucional 6
6.1
Introducción
El concepto de habeas data se aplica cuando queremos solicitar información de carácter personal que pudiere ser negada por cualquier institución o entidad pública o privada, esto no se podrá entregar en caso de no ser la misma persona quien lo requiera, a menos que sea una orden remitida por un juez competente en acción penal. El hábeas data se encuentra protegido en la constitución de la república del Ecuador del 2008, en el artículo 92 - capítulo 3 - sección quinta y en la ley de garantías jurisdiccionales en el capítulo 6, artículo 49-51. Fue creado para salvaguardar y mantener el control de los datos que existan sobre una persona o sobre sus bienes, y para proteger el derecho a la honra, a la buena reputación y a la intimidad personal y familiar. 6.2
HÁBEAS DATA como Recurso Institucional
Se denomina así a un recurso de emergencia cuando las personas necesitan obtener conocimiento de los datos a ellos referidos y de su finalidad que consten en registros de instituciones públicas y privadas como los bancos; para en su caso exigir la supresión de
El Habeas Data como Recurso Constitucional
Capítulo 6
aquellos, rectificación, confidencialidad o actuación de aquellos, para cualquier información errónea obtenida. El proceso que constituye este derecho es caracterizado por ser de rápida aplicación y eficaz. Si alguien se negara a la representación de la validez de este como derecho, un juez competente deberá hacer una interpretación extensiva del mismo ya que el derecho a la información personal se deriva de la naturaleza de la persona, lo cual es necesario para la naturaleza y desenvolvimiento moral. Los campos ligados al habeas data son: derecho a la intimidad; a la discriminación; fuentes de información y la prensa; registros propiamente dichos, archivos y banco de datos; los derechos humanos; la informática y telemática. El habeas data tendrá por objeto: • Obtener del poseedor de la información que éste proporcione al interesado, en forma completa, clara y verídica. • Obtener el acceso directo a la información. • Conseguir de la persona que posee toda la información la rectifique, elimine o no la divulgue a terceros. 6.3
Naturaleza Jurídica
Su naturaleza jurídica radica en ser una acción constitucional la cual lleva a una resolución bajo ciertas condiciones bajo el amparo de la ley frente a un juzgado.
214
El Habeas Data como Recurso Constitucional
Capítulo 6
No es un recurso como muchas personas o entes lo clasifican, es una acción con la capacidad de ser rango constitucional al proteger derechos constitucionales, aunque no la generalidad de los mismos. 6.4
Finalidad
La finalidad del Hábeas Data es proteger a la persona de los abusos que pueda sufrir respecto del llamado poder informático y de las consecuencias que le traería a su honra y buen nombre en caso de que la información difundida no sea veraz o sea errónea. Tal información personal, a más de poder ser incorrecta o desactualizada, estas pueden abarcar situaciones pasadas que ya fueron superadas, o también pueden ser de carácter sensible, esto puede ser convicciones políticas o religiosas de la persona, comportamiento sexual, estado de salud, etc. Esta información al ser íntima no debe ser de conocimiento y manejo público, salvo que su mismo titular así lo acepte. El riesgo que tiene la persona ante el poder informático de las instituciones es grande, no sólo por la facilidad que tienen para almacenar u obtener información, sino por la rapidez con que ella puede ser transferida y difundida no solo dentro del país sino del mundo. 6.5
Tipos de Habeas Data
En una primera aproximación, el Hábeas Data pueden ser clasificados paralelamente en: 215
El Habeas Data como Recurso Constitucional
Capítulo 6
Ilustración 26: Tipos de habeas data Fuente: Autores
a) Propios: los que son ejercidos con conexión a los datos de carácter personal e impropio los cuales son utilizados para resolución del ámbito de acceso a la información pública o el ejercicio de derecho de réplica. b) Individuales y Colectivos: si son ejercidos a título personal o en representación de un determinado o indeterminado número de personas. c) Preventivos: son los que se persiguen para evitar daños que aún no han sido consumados y Reparadores son aquellos que tiene por objetivo corregir daños ya pronunciados o que ya se están ocasionando. d) ortodoxos: son estrictamente conferidas a los titulares de los datos para que puedan operar sobre estos. 6.6
Situación Internacional del Habeas Data
Cuando se analiza la situación del habeas data se menciona que en Portugal es el pionero en constitucionalizar la protección de datos en 1976, pero como distintos países como Alemania 216
El Habeas Data como Recurso Constitucional
Capítulo 6
y Francia para el año 1991 ya habían aprobado una Ley de Protección de Datos. El habeas data como ley va más allá de lo que establecen los textos constitucionales tomando en cuenta aspectos de trascendencia total en este ámbito, ya que muchos de los temas en el de la protección de datos pueden resultar ajenos al conocimiento de un juez; sobre todo en casos de temas técnicos informáticos, entonces las leyes recogen definiciones legales y un régimen preciso al cual deben someterse quienes usen informática Por su parte Gran Bretaña poseía ya desde el año de 1987 una ley de protección de datos y lo novedoso de esta ley es que propone la existencia de tres delitos: Trasgresión elemental: Para el acceso sin autorización a los contenidos y procesos de una computadora Trasgresión Grave: En los casos que se busca al acceso a un sistema informático con el propósito de cometer o ayudar a cometer un delito Trasgresión más grave: Cuando se alteran intencionalmente los programas informáticos Otros países como Francia amplia aún más esta protección ya que además de poseer una legislación con su ley de protección de datos existe instituciones como la Comisión Nacional para la Informática y las Libertades, encargada de toda las bases de datos existentes en instituciones públicas y privadas, quienes deben comunicar esta de su existencia a esta comisión y además dicha institución puede limitar o cambiar aspectos de la manipulación y funcionamiento de los sistemas informáticos, 217
El Habeas Data como Recurso Constitucional
Capítulo 6
incluso las instituciones del gobierno y gobierno central están sometidas a este control a excepción del consejo de estado y esto por simples motivos de seguridad nacional Por otro lado, España con un desarrollo diferente al de sus pares europeos por obvias situaciones, desde el año 1978 reguló ya el uso de la informática en contra de la protección de los datos, pero de manera insuficiente ya que la constitución simplemente decía: “Art.18 numeral 4. La Ley limitara el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, situación que deja en un simple anunciamiento un intento por garantizar tan valioso derecho, pero para el año 1992 los españoles legislan ya al respecto y se dicta la llamada Ley Orgánica de regulación del tratamiento automatizado de datos de carácter personal, esta ley implanta ya garantías necesarias para prevenir y corregir los casos de violaciones a la privacidad producto del tratamiento de información contenida en bancos de datos informáticos España para el año 2000 corrige este error del cual hasta el momento no había advertido su Ley de 1992 regulaba nada más información contenida en Bancos de Datos informáticos o automatizados, mas no la contenida en registros manuales y este aspecto lo soluciona con la Ley Orgánica de Protección de Datos de 1999 que entró en vigencia en el año 2000. Europa maneja un información mucho más amplia y diversa en la búsqueda de la protección de datos de los derechos 218
El Habeas Data como Recurso Constitucional
Capítulo 6
fundamentales a la privacidad, intimidad, honor, entre otros, tanto así que comunitariamente los países miembros de la Comunidad Europea de Naciones están sujetas a la directiva sobre protección de datos la cual se aplica a cualquier operación o conjunto de operaciones aplicadas a datos personales, denominadas tratamiento de datos El habeas data ha sido regulado como tal en las legislaciones latinoamericanas a partir de los años 90 y es el caso de países como Colombia que en su constitución de 1991 incorporo la protección de datos con su Art. 15 que dice: “Art. 15 Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre y el estado debe respetarlos y hacerlos respetar. De igual modo tiene derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de los datos se respetar la libertad y demás garantías consagradas en la Constitución” En Brasil también a partir de 1998 se incorpora y concede esta acción a todas las personas cuya información está contenida en diferentes registros o bancos de datos en entidades gubernamentales o de carácter privado En Argentina desde 1994 reconoce el habeas data como una acción de protección a los datos de carácter personal, pero a partir del 2000 promulga ya una Ley de Protección de Datos en el cual incluso se exige la creación de un organismo regulador. 219
El Habeas Data como Recurso Constitucional
Capítulo 6
Por su parte Perú también mantiene regulado el habeas data, desde 1993 reconociéndolo como una Garantía constitucional en el Art. 200, concediendo a las personas los derechos que en párrafos anteriores describía, como es el caso de los derechos de acceso, rectificación, eliminación, actualización de la información contenida en bases de datos. Las legislaciones latinas muestran todavía un retraso como se aprecia, ya que apenas se empieza a regular tan importante institución en la década pasada y copiando los principios generales establecidos en las legislaciones modelos como las europeas quienes manejan ya estos temas como las leyes independientes y mucho más específicas basadas en los simples principios constitucionales que son los que aun mantenemos nosotros como nuestra única garantía de protección al derecho a la privacidad y todo aquello que gira alrededor de este En cuanto a Latinoamérica y dentro del Derecho comparado podemos señalar que la vía procesal especializada o habeas Data introducida por Brasil y Paraguay no constituye la única garantía de este derecho, ya que hay otras vías como ocurre en Colombia en donde la Acción de Tutela o Amparo cumple dicha función. En otros ordenamientos jurídicos se contemplan diversas instituciones destinadas a garantizar este derecho. En la Legislación de la República del Ecuador como en otros países de América Latina ha surgido la discusión teórica de considerar a esta institución como una especie de Acción o de 220
El Habeas Data como Recurso Constitucional
Capítulo 6
Amparo o al contrario como una Acción independiente. Por otro lado al respecto en la Provincia Argentina de Córdova en donde al Habeas Data se le considera un “amparo especifico” o una especie de Acción de Amparo han motivado que algunos consideren que al tratar de comprender el Habeas Data dentro de la Acción de Amparo desvirtuaría su finalidad porque el proceso de Amparo requiere que existan ilegalidades o arbitrariedades manifiestas, mientras que el Habeas Data tiene una finalidad especifica consistente en otorgar a la persona un medio procesal eficaz para proteger la intimidad o evitar que las personas hagan un uso indebido Existen diferentes tendencias de como regular la protección de datos de carácter personal desde considerarlo una especie de amparo como el citado en el caso argentino o el mexicano que maneja un amparo mucho más amplio para prácticamente todas las violaciones a los derechos fundamentales y constitucionales, pero a pesar de ello el más efectivo y directo de la protección al derecho de la privacidad en la situación actual es precisamente la acción de habeas data a pesar de las limitaciones que podría todavía tener respecto de las legislaciones más desarrolladas en temas de protección a los derechos fundamentales. El proceso de hábeas data en nuestro país encuentra en un estado primitivo, dado que los ciudadanos no tienen conocimiento del ámbito de aplicación y los derechos protegidos por este, pese a las jurisprudencias manejadas por el Tribunal Constitucional en ocasión los diversos procesos aplicados con el objeto de lograr el acceso a la información tanto pública como privada. 221
El Habeas Data como Recurso Constitucional
Capítulo 6
En la constitución nacional, hábeas data es un derecho primordial independiente que cumple con la función de estabilizar el control entre un sujeto al que se le atribuye la información y aquel que tiene la facultad para recolectar, transmitir y almacenar; al obtener el poder de manipulación de dicha información se atentaría directamente a los derechos de la persona, lo cual el estado debe garantizar la protección de los mismos. El abuso del llamado “poder informático” conlleva a un atentado directo a los derechos de la persona humana, debiendo garantizar el Estado la protección de los diferentes derechos. El crecimiento acelerado de la tecnología hace que el habeas data sea un derecho primordial de toda persona, enfrentando a todas las amenazas que se presentan actualmente, con los hackers y ladrones informáticos. Cualquier constitución que acoja la ley de Habeas Data, garantiza a los ciudadanos el derecho de conocer la información que se tenga sobre ellos mismos, tanto positiva como negativa. Es un derecho necesario que intenta evitar abusos y dar una oportunidad a los titulares de la información, a proteger en caso de ver injustamente afectados por registros negativos. A continuación pondremos un ejemplo práctico de la acción constitucional de habeas data.
222
El Habeas Data como Recurso Constitucional
Capítulo 6
Administración del Sr. Ec. Rafael Correa Delgado Presidente Constitucional de la República
Año II
--
Quito, jueves 3 de julio de 2014
--
Nº 007
ING. HUGO ENRIQUE DEL POZO BARREZUETA DIRECTOR Quito: Avenida 12 de Octubre N23-99 y Wilson Edificio 12 de Octubre Dirección: Telf. 2901 - 629 -- Oficinas centrales y ventas: Telf. 2234 - 540 Distribución (Almacén): 2430 - 110 -- Mañosca Nº 201 y Av. 10 de Agosto Sucursal Guayaquil: Malecón Nº 1606 y Av. 10 de Agosto - Telf. 2527 - 107 Impreso en Editora Nacional Al servicio del país desde el 1º de julio de 1895
GACETA CONSTITUCIONAL Nº 007
SENTENCIA 001-14-PJO-CC Sentencia de jurisprudencia vinculante, presentada en el caso No. 0067-11-JD
223
El Habeas Data como Recurso Constitucional 2
--
Gaceta Constitucional Nº 007
Quito, D. M., 23 de abril de 2014
SENTENCIA N.º 001-14-PJO-CC
CASO N.º 0067-11-JD
CORTE CONSTITUCIONAL DEL ECUADOR I. RELEVANCIA CONSTITUCIONAL 1. La Sala de Selección de la Corte Constitucional, para el período de transición, el 13 de diciembre de 2011 a las 12h40, mediante auto de selección, y de conformidad con los parámetros de selección previstos en el artículo 25 de la Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional (en adelante, LOGJCC), procedió a seleccionar el caso N.º 0067-11-JD (referente a la sentencia de apelación de la acción de habeas data N.º 570-2011, emitida por la Sala de lo Laboral, Niñez y Adolescencia de la Corte Provincial de Justicia del Azuay) y fijó los parámetros de la relevancia constitucional que justificaron la selección de la presente causa. II. ANTECEDENTES Hechos relevantes relatados por el accionante 2. El 30 de junio de 2011, la señora Delia Aurora Tacuri Pillco, en su alegada calidad de gerente general de la Compañía de Transporte Mixto Doble Cabina “TACURI YANZA S. A.”, fundada en lo prescrito en el artículo 92 de la Constitución de la República, presentó una acción de hábeas data en contra de los señores César Andrés Ochoa Ochoa, Manuel Fausto Yanza Cajamarca y Jesús Rolando Encalada Gómez, según señala, miembros de la directiva saliente de la compañía. 3. La accionante indica que el 04 de abril de 2011 se realizaron las elecciones para cambiar la directiva de la compañía a la que dice representar, “[…] sin considerar que la Directiva saliente tenía que cumplir sus labores hasta el 12 de mayo de 2011”. Señala que el 05 de abril de 2011 asistió a una reunión con el gerente general saliente, quien, aduce, efectuó la entrega de una suma de dinero, atribuido a la gestión financiera de la compañía. Lo mismo fue efectuado por la secretaria de la empresa. 4. Expresa su disconformidad con el actuar de la directiva saliente, conformada por los demandados, quienes, en su criterio, debieron entregar una memoria respecto de la situación de la compañía, adjuntando el balance de inventarios y la cuenta de ganancias y pérdidas, así como los libros de la compañía. Con estas acciones, a su criterio, contravinieron el estatuto de la compañía.
224
-
Capítulo 6
Jueves 3 de julio de 2014
Vulneraciones alegadas a) El derecho a buscar, recibir, intercambiar, producir y difundir información de interés general, previsto en el artículo 18 numeral 1 de la Constitución de la República. b) El derecho a acceder a la información generada en entidades públicas o privadas que manejen fondos públicos, constante en el artículo 18 numeral 2 ibídem. c) El derecho a dirigir quejas o peticiones a las autoridades y a recibir atención o respuestas motivadas, recogido en el artículo 66 numeral 23 de la Norma Suprema. d) El derecho a conocer la existencia y acceder a documentos, datos genéticos, bancos o archivos de datos personales e informes sobre la compañía o sobre sus bienes, protegido por medio de la acción de hábeas data, conforme a lo dispuesto en el artículo 92 de la Norma Constitucional. Pretensión 5. Con fundamento en las vulneraciones que alega se han producido, la accionante solicita se ordene la entrega de: “1) Todos los libros de la compañía; 2) (…) la memoria razonada acerca de la situación de la compañía, acompañando el balance de inventario detallado y preciso de las existencias, así como de la cuenta de pérdidas y ganancias de su periodo de gestión, sobre todo con respecto [a]: a) Dineros de reingresos; b) Dineros de las mensualidades que pagamos los socios con sus respectivas multas; c) Multas de socios y chóferes dentro de las actividades diarias de la compañía; d) Intereses a las letras de cambio que deben pagar los socios por sus préstamos; e) Recargas; f) Intereses que ha generado el capital de la compañía en los respectivos bancos; g) Dineros de Fondos de Mortuoria; h) Sobrantes de las mensualidades; i) Facturas, recibos de los servicios y productos adquiridos por la compañía; y, j) Utilidades que genera (sic) la compañía a favor de los socios”. Contestación por parte del representante de los accionados 6. A la audiencia celebrada el 08 de julio de 2011, comparecieron los tres demandados, en compañía de su abogado defensor, quien contestó los argumentos de la accionante de la siguiente forma: a) Alega nulidad del proceso, por no haberse cumplido con la solemnidad sustancial de acreditar la representación sobre la persona jurídica. Señala que la accionante no ostenta el cargo de gerente general de la compañía, pues no coinciden las fechas de designación, lo que en su juicio, generó un error en los registros de la propiedad y mercantil. Asimismo, señala que las decisiones de la junta general, entre las que se encuentra su nombramiento son nulas. También indica que sobre este particular se ha elevado consulta a la Superintendencia de Compañías, para que resuelva la nulidad de los actos efectuados por la junta general.
El Habeas Data como Recurso Constitucional Gaceta Constitucional Nº 007 - Jueves 3 de julio de 2014 b) Niega que los accionados se hayan opuesto a la entrega de la información requerida, “[…] es más cada dos meses el presidente da la información como egresos e ingresos […]”. c) Señala además que si no se encuentra satisfecha con la información entregada por los directivos de la compañía, debería haber presentado su inconformidad en el plazo de 30 días. 7. En conclusión, por argumentar que no han existido vulneraciones constitucionales, solicita que se declare sin lugar la acción propuesta.
Capítulo 6 --
3
b) Señala que la accionante, a pesar de haber solicitado la entrega de documentos y valores sobre los que asegura deben responder los demandados, las alegaciones vertidas en la audiencia dan cuenta de “… una seria (sic) de inculpaciones mutuas sobre la legitimidad de quien representa a la (…) empresa y que finalmente lleva al juez de la causa a declarar sin lugar la acción deducida”. c) Señala que el asunto ventilado “… es de mera legalidad y no de orden constitucional por lo que (la accionante) puede solicitar la información que requiere por la vía ordinaria”.
Hechos relevantes en la tramitación del proceso 8. Correspondió el conocimiento de la acción de hábeas data en primera instancia al señor juez temporal vigésimo segundo de lo civil del Azuay, con sede en el cantón Gualaceo, quien, a través de sentencia dictada el 14 de julio de 2011 (fs. 27 y 28 del expediente de primera instancia), resolvió declararla sin lugar. 9. En virtud de un recurso de apelación presentado por la accionante, el proceso pasó a conocimiento de la Sala de lo Laboral, Niñez y Adolescencia de la Corte Provincial de Justicia del Azuay, la cual, en sentencia dictada el 31 de agosto de 2009 (fs. 11 y 12 del expediente de segunda instancia), resolvió desestimar el recurso de apelación interpuesto y confirmar la sentencia venida en grado. Argumentos de la sentencia de primera instancia 10. Para negar la acción propuesta, el juez argumentó lo siguiente: a) Señala que la acción de hábeas data tiene como objeto “…traer los datos personales del actor, a fin de que éste pueda conocerlos y resolver lo pertinente acerca de ellos…”. De acuerdo con su opinión, la accionante presentó la solicitud alegando ser gerente general “… sin legitimación de sus socios…”, para solicitar información, no de ella, sino de la persona jurídica a la que dice representar “… y cuya información personal atañe a cada uno de sus socios”. b) Indica que existe una confusión en la vía, entre el hábeas data y el juicio de exhibición de documentos. Argumentos de la sentencia de segunda instancia 11. La Sala de lo Laboral, de la Niñez y Adolescencia de la Corte Provincial de Justicia del Azuay fundamentó la sentencia que confirmó la decisión venida en grado, con los siguientes argumentos: a) Atribuye al hábeas data la característica de “…garantía del debido proceso, frente al poder de la información…”. Señala que los derechos tutelados por la acción son la información, rectificación, respuesta, intimidad, privacidad e identidad.
III. CONSIDERACIONES Y FUNDAMENTOS DE LA CORTE CONSTITUCIONAL Competencia de la Corte Constitucional 12. De conformidad al artículo 436 numeral 6 de la Constitución de la República; artículo 2 numeral 3 de la Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional, la Corte Constitucional, a través de la Sala de Revisión, emite sentencias que contengan jurisprudencia vinculante o precedente con carácter erga omnes, en los casos que llegan a su conocimiento a través del proceso de selección. La Corte Constitucional, en ejercicio de dichas competencias constitucionales y legales, está facultada para, de manera paralela al desarrollo de jurisprudencia vinculante, efectuar la revisión con efectos inter partes, pares o communis de aquellos casos en los que se constate en la sustanciación o decisión de la causa, una vulneración a derechos constitucionales. Fuentes jurisprudenciales 13. La Corte Constitucional, luego de un análisis de las fuentes que informarán a esta sentencia, determina la inexistencia de precedente jurisprudencial vinculante relacionado con el caso objeto de análisis. Sin embargo, usará criterios de la sentencia N.º 001-10-PJO-CC1, respecto de la naturaleza de la competencia para emitir reglas jurisprudenciales con efectos erga omnes. Asimismo, a pesar de no constituir criterios jurisprudenciales vinculantes, se utilizarán como referencia los contenidos en las acciones de habeas data, sustanciadas por la Corte Constitucional, para el período de transición, de conformidad con las normas de la Constitución de 1998, en los casos 0009-09-HD2, 0012-09-HD3, 0052-2008-HD4 y 1
2
3
4
Corte Constitucional, para el período de transición, sentencia N.º 001-10-PJO-CC, caso N.º 0999-09-JP, Registro Oficial Segundo Suplemento, N.º 351, 29 de diciembre de 2010. Corte Constitucional, para el período de transición, sentencia N.º 0009-09-HD, Registro Oficial Suplemento N.º 13, 8 de octubre de 2009. Corte Constitucional, para el período de transición, sentencia N.º 0012-09-HD, Registro Oficial Suplemento N.º 13, 8 de octubre de 2009. Corte Constitucional, para el período de transición, sentencia N.º 0052-2008-HD, Registro Oficial Suplemento N.º 16, 23 de octubre de 2009.
225
El Habeas Data como Recurso Constitucional 4
--
Gaceta Constitucional Nº 007
5
0010-2009-HD y en la sentencia de acción extraordinaria de protección N.º 068-10-SEP-CC6. Naturaleza jurídica de la selección y posterior revisión de sentencias sobre la base del caso concreto 14. Los derechos constitucionales y las garantías establecidas por la Norma Fundamental para su defensa, sin duda constituyen uno de los pilares sobre los que se asienta el modelo constitucional diseñado en el año 2008. Son ellos los que dan sentido al Estado y las instituciones democráticas, en tanto su correcto funcionamiento solamente se puede dar en un contexto de plena garantía de las condiciones mínimas para considerar la existencia como digna, por la generalidad de sujetos amparados por el marco constitucional. He ahí la importancia que cobra en tal contexto el proceso de expansión de su contenido y la exploración de los alcances de dichos principios y reglas con alto nivel axiológico.
17. De tal suerte, la acción de la Corte Constitucional se debe constreñir a las normas que regulan la garantía y al ámbito de protección de esta. En el caso de la acción de hábeas data, la disposición recogida en el artículo 92 de la Constitución cumple tal función. En concreto, la Norma Suprema enuncia lo siguiente: “Art. 92.- Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y a acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico. Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos. Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley.
“La interpretación constitucional es ‘concretización’ (Konkretisierung). Precisamente lo que no aparece de forma clara como contenido de la Constitución es lo que debe ser determinado mediante la incorporación de la ‘realidad’ de cuya ordenación se trata (…). En este sentido la interpretación constitucional tiene carácter creativo: el contenido de la norma interpretada solo queda completo con su interpretación; ahora bien, sólo en ese sentido posee carácter creativo: la actividad interpretativa queda vinculada a la norma”7.
5
6
7
226
Corte Constitucional, para el período de transición, sentencia N.º 0010-2009-HD, Registro Oficial Suplemento N.º 24, 11 de diciembre de 2009. Corte Constitucional, para el período de transición, sentencia N.º 068-10-SEP-CC, caso N.º 0734-09-EP, Registro Oficial Suplemento N.º 372, 27 de enero de 2011. Konrad Hesse, Escritos de Derecho Constitucional, Centro de Estudios Constitucionales, Madrid, 1992, pp. 40 y 41.
Jueves 3 de julio de 2014
sentencias; procedimiento que ha sido definido por esta Corte como un mecanismo que tiene por objeto el desarrollo del contenido de los derechos constitucionales y el estudio de la garantía utilizada en el caso bajo análisis8. Ambas tareas demandan un estudio pormenorizado de los elementos que constituyeron fin y medio para la solución del caso en las diferentes instancias de decisión en sede constitucional, a fin de extraer fórmulas más concretas de aplicación de las normas constitucionales, por su naturaleza tendientes a la abstracción, la generalidad, e incluso un grado de ambigüedad.
15. Por tal razón, se ha encomendado a la Corte Constitucional, máximo órgano de interpretación constitucional, la tarea de generar normas jurisprudenciales que permitan arribar a una cabal comprensión de las implicaciones de las normas referentes a los derechos constitucionales y sus garantías jurisdiccionales. El constituyente comprendió que este proceso interpretativo no puede hacerse con éxito en prescindencia de las técnicas que permitan concretizar el sentido de las normas constitucionales en razón de casos concretos. Al respecto, Konrad Hesse señala lo siguiente:
16. En efecto, los criterios establecidos por este Organismo en ejercicio de su función de intérprete auténtico de la Constitución, se hallan adheridas de manera indisoluble a las normas constitucionales que interpretan; por lo que su construcción debe regirse por medio de las técnicas de interpretación y modificación del precedente jurisprudencial. El artículo 436 numeral 6 de la Carta Magna ha establecido un mecanismo idóneo para realizar dicha tarea, por medio de la selección y revisión de
-
Capítulo 6
La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados”9. Determinación de los problemas jurídicos a resolver 18. Teniendo en cuenta las consideraciones anotadas precedentemente, que enmarcan la acción de la Corte en el caso bajo análisis, se procederá a realizar el estudio del mismo, por medio de los siguientes problemas jurídicos: a) ¿Puede considerarse a una persona jurídica como titular de los derechos protegidos por medio de la acción de habeas data? b) ¿Quién ejerce la legitimación activa para reclamar la tutela de derechos protegidos por medio de la acción de habeas data de las personas jurídicas? 8 9
Cfr. Corte Constitucional, para el período de transición, sentencia Nº 001-10-PJO-CC, párrafos 16 y 23. Constitución de la República del Ecuador, artículo 92.
El Habeas Data como Recurso Constitucional Gaceta Constitucional Nº 007 - Jueves 3 de julio de 2014 c) ¿Es la entrega física de documentos originales parte de las finalidades perseguidas por medio de la acción de habeas data?
19. La accionante señala en su demanda que presenta la acción de hábeas data en calidad de representante legal de la compañía “TACURI YANZA S. A.”. Así, solicita que se realicen distintos actos que considera adecuados para garantizar los derechos constitucionales de la persona jurídica a la que dice representar. Por su parte, los accionados, a pesar de no contradecir la posibilidad de que la persona jurídica ejerza los derechos constitucionales, sí cuestionan la legalidad de la representación de la accionante y más aún, alegan la nulidad del acto que otorgó tal representación. Sobre este particular, el juez de primera instancia aduce que la información relacionada con la compañía atañe exclusivamente a sus asociados, por lo que la señora gerente no debió haber procedido sin la “legitimación” venida de ellos. La Sala, por su parte, no emite un pronunciamiento al respecto. Dado que en el caso han sido cuestionados dos aspectos importantes respecto de la naturaleza de los derechos constitucionales en general, como son su titularidad y la legitimación activa para activar las garantías destinadas a su protección, será necesario hacer el análisis correspondiente en la presente sentencia. 20. El artículo 10 de la Constitución de la República del Ecuador consagra como uno de los principios rectores para la aplicación e interpretación de las normas que contienen derechos constitucionales, la universalidad en la titularidad de los mismos. La disposición que recoge el principio lo hace de la siguiente manera: Art. 10.- Las personas, comunidades, pueblos, nacionalidades y colectivos son titulares y gozarán de los derechos garantizados en la Constitución y en los instrumentos internacionales. La naturaleza será sujeto de aquellos derechos que le reconozca la Constitución”10. 21. Al ser considerado un principio de aplicación e interpretación, la universalidad de los derechos fundamentales en los términos del artículo 10 de la Constitución de la República, esto es, el hecho que corresponden a todas las personas en la misma medida, constituye una condición necesaria para calificar a determinada norma como uno de ellos. Por oposición, si una prescripción normativa prevista en la Constitución no cumple con tal característica, difícilmente podrá ser considerada como un derecho constitucional. Es de destacar sobre dicho particular el criterio de Luigi Ferrajoli, quien señala lo siguiente: En efecto, los derechos fundamentales constituyen la base de la moderna igualdad, que es precisamente una igualdad en droits, en cuanto hacen visibles (…) 10
Constitución de la República del Ecuador, artículo 10.
--
5
características estructurales que los diferencian de todos los demás derechos, a empezar por el de propiedad: sobre todo su universalidad, es decir, el hecho de que corresponden a todos y en la misma medida, al contrario de lo que sucede con los derechos patrimoniales, que son derechos excluendi alios, de los que un sujeto puede ser o no titular y de los que cara uno es titular con exclusión de los demás11.
Argumentación de los problemas jurídicos ¿Puede considerarse a una persona jurídica como titular de los derechos protegidos por medio de la acción de hábeas data?
Capítulo 6
22. Es claro que los términos en que tal universalidad se expresa y hasta donde esta se extiende dependerá de cada diseño constitucional en particular; sin embargo, dicha noción remite, sin lugar a dudas, a una expansión hermenéutica de los términos, y no a una reducción12, debido al concepto de igualdad que demanda que como única condición para que se considere a un sujeto como titular de derechos constitucionales, sea ajustarse al parámetro mínimo que la Constitución presente para su aplicación. En el caso del Ecuador, dicho parámetro se cumple con pertenecer a alguno de los géneros “personas”, “comunidades”, “pueblos”, “nacionalidades”, “colectivos”. Como se puede advertir de una interpretación literal del texto constitucional, entonces, el término “personas”, en tanto se refiere a la titularidad de los derechos constitucionales, no debe excluir a priori a una especie del género, como son las personas jurídicas. 23. Se podrá, sin duda, oponer a la conclusión anterior el que existen derechos constitucionales cuyo ejercicio no puede darse por parte de una persona jurídica, debido a sus características propias, distintas a las de un ente corpóreo, con características biológicas y psicológicas propias de los seres humanos. Un ejemplo, de entre muchos que se podrían presentar en apoyo a tal afirmación, es el derecho a la integridad psíquica reconocido en el artículo 66 numeral 3 literal a de la Constitución de la República. Empero, es criterio de esta Corte que el hecho de que ciertos derechos constitucionales no puedan ser ejercidos por alguno de los sujetos, no constituye una exclusión respecto de su calidad de tales. Dicho criterio ha sido expuesto por esta Corte en varias ocasiones en los casos de garantías que ha conocido. Por ejemplo, en la sentencia N.º 068-10-SEP-CC, la Corte Constitucional, para el período de transición, señaló lo siguiente: En torno a esta apreciación realizada por la parte recurrida (que las personas jurídicas no son titulares de los derechos constitucionales), esta Corte reitera que pese a que las personas jurídicas no sean titulares de todos los derechos constitucionales fundamentales, sí lo son de aquellos que les correspondan, según su naturaleza social y siempre en atención a la definición constitucional de los derechos de los que se trate13. En aplicación del criterio anteriormente expuesto, será necesario en cada caso evaluar si la persona jurídica está en posibilidades de beneficiarse de la provisión constitucional 11
Luigi Ferrajoli, Derechos y Garantías - La Ley del Más Débil, 5ª edición, Madrid, Trotta, 2006, p. 23. Cfr, Ibid., pp. 37 y 38. 13 Corte Constitucional, para el período de transición, sentencia N.º 068-10-SEP-CC. 12
227
El Habeas Data como Recurso Constitucional 6
--
Gaceta Constitucional Nº 007
que se trate en el caso concreto, antes de descartarla de plano, como se pretendió en la especie. Lo que resta, entonces, será determinar si los derechos que protege la acción de habeas data son susceptibles de consentir su goce o ejercicio por parte de una persona jurídica. 24. En lo que respecta a los derechos protegidos, antes de describirlos y realizar el análisis de su contenido, cabe realizar una aclaración preliminar referente a los derechos que el actor consideró violados, aparte del expresamente descrito en la disposición referente al hábeas data. De acuerdo con su opinión, existieron vulneraciones referentes al acceso a la información pública y de interés general, de acuerdo con lo previsto en el artículo 18 numerales 1 y 2 de la Constitución de la República; asimismo, señala que se lesionó su derecho a dirigir quejas y peticiones a las autoridades y a recibir atención o respuesta, recogido en el artículo 66 numeral 23 ibídem. 25. Respecto a la primera vulneración descrita, cabe indicar que el objeto del derecho a acceder a la información pública es diferente al protegido por la acción de hábeas data, encaminada a la protección de los datos personales,14 por lo que la misma Constitución de la República previó la existencia de una garantía jurisdiccional particular, denominada precisamente “acción de acceso a la información pública”. Tal es así, que los datos personales, en gran parte de los casos, están protegidos por la excepción de confidencialidad al principio de publicidad de la información15. Respecto de la segunda vulneración alegada, cabe indicar que los integrantes de la directiva saliente de una compañía no pueden calificarse como “autoridades”, en los términos utilizados por la Constitución de la República, sino como representantes legales, puesto que la “autoridad” a la que se refiere la Norma Suprema proviene del ejercicio de la potestad pública, o al menos del actuar por concesión o delegación de dicha potestad. Por lo tanto, no pueden ser considerados 14
De conformidad con el octavo inciso de la disposición novena de la Ley de Comercio Electrónico, firmas y mensajes de datos, publicada en el Registro Oficial Suplemento N.º 557 del 17 de abril de 2002, los “Datos personales: Son aquellos datos o información de carácter personal o íntimo, que son materia de protección en virtud de esta ley”. 15 En otras legislaciones y en criterios doctrinarios, el acceso a la información pública es denominado “habeas data impropio”. Bruno Gaiero e Ignacio Soba, La Regulación Procesal del Habeas Data, Editorial B de F, Buenos Aires, 2010, p. 48, describen el instituto de la siguiente manera “Actualmente, hay una marcada tendencia a consagrar una estructura especial para vehiculizar esta pretensión (el acceso a la información pública), generalmente llamada habeas data impropio. Si bien, originariamente, el habeas data se había perfilado como una garantía de acceso a los datos personales, con el tiempo se empezó a aplicar, por extensión, respecto de los datos en poder de la Administración con fines de esclarecimiento de la actividad realizada por los gobernantes. Esta es la cristalización de lo que se dio en llamar habeas data impropio. Es claro que, por la materia similar, así como por lo confusa que puede llegar a ser la línea entre lo que constituye información pública o personal, las dos garantías pueden llegar a confundirse. No obstante, las prerrogativas o “posiciones jurídicas” que se pueden desprender de uno y otro derecho, sin duda son distintas. Mientras que sobre la información pública, el derecho llega al mero acceso; en lo que se refiere a la información personal, el campo de actuación se expande ostensiblemente”.
228
-
Capítulo 6
Jueves 3 de julio de 2014
sujetos pasivos del derecho constitucional a dirigir quejas y peticiones y a recibir atención o respuesta, sin perjuicio de que figuras análogas estén establecidas en la legislación secundaria. 26. Una vez despejadas las dudas respecto de objetos extraños al ámbito de protección del hábeas data en el presente caso, es hora de analizar qué derecho protege de manera propia sin descartar que, dependiendo del caso, se hallen involucrados derechos conexos que también sean protegidos, en razón del principio de interdependencia16. Para ello, es necesario hacer referencia a lo dispuesto en el artículo 66 numeral 19 de la Carta Suprema, que dispone: Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley17. 27. El derecho a la protección de datos personales tiene un contenido complejo y comporta diversas dimensiones relacionadas con la información “personal”. Dicho criterio está expresado en la doctrina por el criterio de Óscar Puccinelli, quien señala lo siguiente: [P]or ‘derecho a la protección de datos’ se propone entender la suma de principios, derechos y garantías establecidos en favor de las personas que pudieran verse perjudicadas por el tratamiento de los datos nominativos a ella referidos”18. Como bien refiere el autor, el derecho a la protección de datos –y específicamente, su elemento denominado “autodeterminación informativa–”19, tiene un carácter instrumental, supeditado a la protección de otros derechos constitucionales que se pueden ver afectados cuando se utilizan datos personales, como puede ser la intimidad, la honra, la integridad psicológica, etc.,20. La autodeterminación informativa como objeto de protección del hábeas data y su carácter instrumental han sido reconocidos por esta Corte en el contexto de la norma constitucional de 1998, en varias sentencias. El contenido de este componente del derecho a la protección de datos personales es, según la Corte Constitucional, para el período 16
Constitución de la República del Ecuador, artículo 11 numeral 6. Ibid., artículo 66 numeral 19. 18 Oscar Puccinelli, El Habeas Data en Indoiberoamérica, Temis, Bogotá, 1999, p. 68. 19 La autodeterminación informativa comporta el derecho de toda persona a ejercer control sobre la información personal que le concierne, frente a cualquier ente público o privado. Este derecho fue utilizado por primera vez por el Tribunal Constitucional Federal de Alemania, en la sentencia sobre la Ley del Censo del 15 de diciembre de 1983, con la que se faculta a las personas a decidir y consentir de forma informada y libre el uso de sus datos personales por terceros, ante el tratamiento automatizado de los mismos. 20 Cfr. Ibid., pp. 69 y 70 17
El Habeas Data como Recurso Constitucional Gaceta Constitucional Nº 007 - Jueves 3 de julio de 2014 de transición, “… mantener el control de los datos que existan sobre una persona o sobre sus bienes, y para proteger el derecho a la honra, a la buena reputación y a la intimidad personal y familiar”21. 28. La autodeterminación informativa está supeditada, entonces, a la existencia de información que atañe a determinado sujeto y a la necesidad de que este tenga una esfera mínima de actuación libre respecto de dicha información, sobre la cual no debería existir una interferencia ilegítima por parte de terceros; asimismo, implica la posibilidad de que dentro de los límites que franquean la Constitución y la Ley, se tenga capacidad para ejercer cierto control sobre el uso que se haga de tal información, aunque el poseedor de la misma sea otra persona. Dichas dimensiones del derecho pueden ser perfectamente cumplidas si son aplicadas a una persona jurídica, por lo que no se advierte razones para negar la titularidad del mismo ni, en consecuencia, limitar su acceso al hábeas data, como mecanismo de tutela en sede de jurisdicción constitucional. 29. Ante afirmaciones como las presentadas en esta sentencia cabe, sin embargo, realizar una aclaración importante, atinente a la noción de información “personal”. Esta Corte considera imprescindible distinguir entre la información que atañe a la persona jurídica y aquella que puede ser considerada como de dominio de sus asociados, principalmente debido a que en aplicación errónea de la garantía del hábeas data, podría vulnerarse el derecho a la protección de datos e información personal de individuos que, aunque vinculados a la persona jurídica, no son identificables con ella. La tradicional noción del derecho civil, según la cual las personas jurídicas, así como los derechos y obligaciones de las que son titulares son distintos de los que la conforman, puede ser de utilidad para la diferenciación descrita22. Si las personas jurídicas tienen el derecho a reclamar por medio del hábeas data actos tendientes a la protección de “… datos personales e informes (…) sobre sí misma, o sobre sus bienes…”, este derecho solamente puede extenderse a sus socios, representantes legales y personas relacionadas, en tanto la posición que ocupan y la relación jurídica establecida respecto de la persona jurídica, y estrictamente respecto de ellas. No es dable, entonces, que una persona jurídica reclame como suyo el derecho a la protección de datos e 21
Corte Constitucional, para el período de transición, sentencia Nº 0009-09-HD. Similar criterio se encuentra en las sentencias N.º 0010-09-HD y 0012-09-HD. 22 Código Civil, Registro Oficial Suplemento Nº 46, 24 de junio de 2005, artículo 568. “Art. 568.- Lo que pertenece a una corporación, no pertenece, ni en todo ni en parte, a ninguno de los individuos que la componen; y recíprocamente las deudas de una corporación no dan a nadie derecho para demandarlas, en todo o en parte, a ninguno de los individuos que componen la corporación, ni dan acción sobre los bienes propios de ellos, sino sobre los bienes de la corporación. Sin embargo, los miembros pueden, expresándolo, obligarse en particular, al mismo tiempo que la corporación se obliga colectivamente; y la responsabilidad de los miembros será entonces solidaria, si se estipula expresamente la solidaridad. Pero la responsabilidad no se extiende a los herederos, sino cuando los miembros de la corporación los hayan obligado expresamente. Si una corporación no tiene existencia legal, según el Art. 565, sus actos colectivos obligan a todos y cada uno de sus miembros solidariamente”.
Capítulo 6 --
7
información personal de quienes están relacionados con ella, en tanto este derecho solo corresponde a la persona a quien le es atinente, salvo que la exigencia de protección por parte de la persona jurídica se sustente en la debida autorización de sus socios o representantes legales. 30. Dado que en el caso sub júdice existieron criterios disímiles respecto de la titularidad del derecho a la autodeterminación informativa, lo que puede evidenciarse en casos conocidos por esta Corte en ocasión de sus competencias sobre casos juzgados a la luz de la Constitución de 1998, se considera necesario establecer las siguientes reglas jurisprudenciales con efectos generales: La determinación respecto de si una persona jurídica puede beneficiarse de una provisión constitucional que contenga un derecho constitucional, debe hacerse caso por caso, en consideración de las posibilidades derivadas de su naturaleza social, así como de los términos en los que está formulado el derecho en la Constitución de la República. En el caso de la autodeterminación informativa, como parte del derecho a la protección de datos personales, implica la necesidad de garantizar la protección de la esfera íntima de las personas, así como la posibilidad de ejercer control sobre los datos personales del sujeto, aunque no se encuentren en su poder. Por las características del derecho a la protección de datos personales, no se considera constitucionalmente adecuada la limitación a la calidad de las personas jurídicas como titulares del mismo; sin embargo, la información personal de dichos sujetos únicamente se extiende a las personas asociadas o a sus representantes legales, en tanto a la calidad que ostentan respecto de la persona jurídica, con estricto respeto al derecho a la protección de los datos personales y derechos conexos que le son atinentes a su naturaleza. ¿Quién ejerce la legitimación activa para reclamar la tutela de derechos protegidos por medio de la acción de hábeas data de las personas jurídicas? 31. Planteada una respuesta al problema sustantivo de la titularidad del derecho a la protección de datos personales, y concretamente a la autodeterminación informativa, esta Corte estima pertinente reflexionar en relación al aspecto adjetivo de la legitimación activa para incoar la acción de habeas data. Tal aspecto es importante, pues el concepto de derecho constitucional lleva indisolublemente aparejadas las nociones de exigibilidad y de justiciabilidad. Así, no tendría uso práctico alguno llegar a la conclusión que las personas jurídicas o por extensión, cualquiera de los sujetos mencionados en la Constitución de la República, son titulares de determinado derecho constitucional si ellas no tuvieren la posibilidad de reivindicarlo ante los órganos públicos responsables de su tutela. Por otro lado, esta Corte considera que las reflexiones que a continuación se detallan, comportan la distinción necesaria entre los conceptos de titularidad y legitimación activa, muchas veces confundidos en la praxis judicial. 32. El artículo 11 numeral 1 de la Constitución de la República reconoce la exigibilidad de los derechos constitucionales. Al respecto señala:
229
El Habeas Data como Recurso Constitucional 8
--
Gaceta Constitucional Nº 007
1. Los derechos se podrán ejercer, promover y exigir de forma individual o colectiva ante las autoridades competentes; estas autoridades garantizarán su cumplimiento23. Una de las facetas más importantes de la exigibilidad de los derechos constitucionales, aunque no la única, es aquella que se ejerce por medio de la interposición de acciones y recursos ante los organismos con potestad jurisdiccional, entre las que se encuentran las garantías jurisdiccionales, el hábeas data inclusive. Como procesos de carácter jurisdiccional, las garantías se rigen por reglas que determinan las condiciones en que son iniciadas, se sustancian y terminan. Así, la Constitución de la República establece normas generales aplicables a todas ellas y normas específicas, relacionadas con cada una. 33. En lo concerniente a la legitimación activa para la presentación de las garantías jurisdiccionales de los derechos constitucionales, la regla general es que esta tenga el carácter de abierta, a modo de permitir el mayor campo posible de exigibilidad y un cierto nivel de conciencia social y solidaria ante las vulneraciones a derechos constitucionales. Sin embargo, en el caso del hábeas data, existen derechos en conflicto que pueden verse seriamente lesionados con una disposición que reconozca la legitimación activa abierta. Si no existe un acto de voluntad expreso que permita al legitimado activo comparecer a nombre del titular de los derechos constitucionales, el derecho a la intimidad y otros que dependen de la confidencialidad de la información personal estarían desprotegidos contra el uso malicioso de la acción. Es por ello que el mismo artículo 92 reduce la legitimación activa a “… [t]oda persona, por sus propios derechos o como representante legitimado para el efecto…”24. 34. Por el mismo hecho, el artículo 51 de la Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional es claro en señalar que la acción de hábeas data puede ser interpuesta por “[t]oda persona, natural o jurídica, por sus propios derechos o como representante legitimado para el efecto…”25. En el caso de las personas jurídicas, las normas citadas adquieren especial relevancia, debido a que las cualidades derivadas de su naturaleza de ficción jurídica, la única forma de ejercer el derecho de acción es por medio de la figura de la representación. 35. En razón de la afirmación anterior, resta contestar cómo se debe acreditar dicha representación. Para las personas jurídicas que adoptan la figura de una compañía, como en el caso bajo análisis, existen normas específicas que determinan el inicio y el fin de las funciones de su representante26, así como el acto de la inscripción de su 23 24 25 26
Constitución de la República del Ecuador, artículo 11 numeral 1. Constitución de la República del Ecuador, artículo 92. Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional, artículo 51. El resaltado pertenece a esta Corte. Ley de Compañías, Registro Oficial Nº 312, 5 de noviembre de 1999, artículo 13”. Art. 13.- Designado el administrador que tenga la representación legal y presentada la garantía, si se la exigiere, inscribirá su nombramiento, con la razón de su aceptación, en el Registro Mercantil, dentro de los treinta días
230
-
Capítulo 6
Jueves 3 de julio de 2014
nombramiento en el Registro Mercantil como aquel en que inicia su representación. Por ende, la presentación de tal inscripción, como se realizó en el caso, es suficiente para acreditarla. Con referencia a las alegaciones de los legitimados pasivos respecto de la supuesta nulidad del acto del nombramiento y de su inscripción, no constituyen el objeto de la acción de hábeas data, por lo que sería improcedente pronunciarse sobre dichas excepciones, que deben ser ventiladas por medio de los procedimientos correspondientes ante la justicia ordinaria, ya que el juez de instancia, en uso de sus atribuciones de juez constitucional, no está facultado para calificar el cumplimiento de los requisitos de ley de un nombramiento. Dicho criterio ya ha sido esgrimido en lo relacionado con acciones de protección por la Corte Constitucional, para el período de transición, en la sentencia N.º 001-10-PJO-CC y es totalmente extensible a las demás garantías jurisdiccionales, como en este caso, el hábeas data. La Corte realizó la siguiente reflexión: 60.- Si en ese proceso (una garantía jurisdiccional de los derechos constitucionales) se verifica un conflicto de índole societari[a] entre los socios (…) que se relaciona con la designación de sus representantes, es claro que se trata de actos procedimentales regulados por la Ley de Compañías, y es natural que su controversia siga los procesos establecidos en dicha Ley (…). Si vía acción de protección se impugna de manera exclusiva la legalidad del acto, sin que conlleve vulneración de derechos constitucionales, el asunto debe decidirse en los mecanismos judiciales ordinarios competentes, pero no a través de una garantía jurisdiccional27. 36. Al respecto, esta Corte considera pertinente la emisión de la siguiente regla jurisprudencial de aplicación general: La legitimación activa para la presentación de la acción de hábeas data requerirá que quien lo haga sea el titular del derecho a la protección de datos personales que se alegue vulnerada, o su representante legitimado para el efecto. Para acreditar la representación de las personas jurídicas, será suficiente la entrega del documento que la Ley que regule la materia determine como suficiente para considerar iniciadas sus funciones como representante. El juez constitucional, una vez acreditada la representación, deberá tramitar la acción sin que posteriores a su designación, sin necesidad de la publicación exigida para los poderes ni de la fijación del extracto. La fecha de la inscripción del nombramiento será la del comienzo de sus funciones. Sin embargo, la falta de inscripción no podrá oponerse a terceros, por quien hubiere obrado en calidad de administrador. En el contrato social se estipulará el plazo para la duración del cargo de administrador que, con excepción de lo que se refiere a las compañías en nombre colectivo y en comandita simple, no podrá exceder de cinco años, sin perjuicio de que el administrador pueda ser indefinidamente reelegido o removido por las causas regales. En caso de que el administrador fuere reelegido, estará obligado a inscribir el nuevo nombramiento y la razón de su aceptación”. 27 Corte Constitucional, para el período de transición, sentencia N.º 001-10-PJO-CC, caso N.º 0999-09-JP, párrafo 60.
El Habeas Data como Recurso Constitucional
Gaceta Constitucional Nº 007 - Jueves 3 de julio de 2014 medie excepción sobre el cumplimiento de los requisitos de ley respecto del documento entregado, la que deberá ser dilucidada por los organismos competentes en sede ordinaria. ¿Es la entrega física de documentos originales parte de las finalidades perseguidas por medio de la acción de hábeas data? 37. La pretensión de la accionante en el caso bajo análisis va encaminada a solicitar la entrega de los libros de la compañía, así como un informe de la situación de la empresa. Al respecto, el juez de primera instancia advierte una cierta confusión en la vía, pues considera que debería proceder la exhibición de documentos, como acto preparatorio a la interposición de determinada acción judicial28. Escapa de la competencia de esta Corte la determinación del objeto de la exhibición de documentos como juicio civil; sin embargo, sí es pertinente, dado que la pretensión de la accionante se traduce en la entrega física de documentos originales, determinar sobre qué objeto recae el derecho a la protección de datos personales, como derecho tutelado por medio de la acción de hábeas data, o lo que es lo mismo, cuál es el sentido de los conceptos “información y datos”, en los términos del artículo 66 numeral 19 de la Norma Suprema, así como su distinción con otros términos utilizados por el constituyente en dicho artículo, así como en el 92 ibídem; en concreto, el denominado “documento”. 38. El problema respecto de la diferenciación entre conceptos como “documento”, “archivo”, “dato”, “banco de datos”, “información” y otros relacionados con la materia, sin duda no es estrictamente jurídico, sino que corresponde también, entre otros campos, al de la informática. Empero, las implicaciones del sentido y alcance que se dé a cada uno de los conceptos enunciados, así como a la correcta diferenciación entre ellos, deberá ser determinado a través de un ejercicio hermenéutico, y por tanto, tendrá directa relación con el contenido del derecho constitucional protegido por medio de la acción de hábeas data. Así, para la solución del caso concreto y la emisión de reglas jurisprudenciales que se deriven de los hechos presentados, esta Corte deberá recurrir a las fuentes doctrinarias que permitan comprender qué protege la garantía jurisdiccional en particular. 39. En primer lugar, está el término “dato”. Este es en su acepción técnica, de acuerdo con el Diccionario de la Real Academia Española: una “[i]nformación dispuesta de manera adecuada para su tratamiento por un ordenador”. De acuerdo con dicha definición, los datos y la información serían conceptos asimilables, en tanto un dato sería la 28
Código de Procedimiento Civil, Registro Oficial Suplemento Nº 58, 12 de julio de 2005. “Art. 64.- Todo juicio principia por demanda; pero podrán preceder a ésta los siguientes actos preparatorios: (…) 3. Exhibición y reconocimiento de documentos; (…)” “Art. 65.- Puede pedirse como diligencia preparatoria o dentro de término probatorio, la exhibición de libros, títulos, escrituras, vales, cuentas y, en general, de documentos de cualquier clase que fueren, incluyendo los obtenidos por medios técnicos, electrónicos, informáticos, telemáticos o de nueva tecnología, siempre que se concreten y determinen, haciendo constar la relación que tengan con la cuestión que se ventila o que ha de ser materia de la acción que se trate de preparar…”.
Capítulo 6 --
9
especie de información apta para ser procesada de diversas formas. Sin embargo, se ha identificado en la doctrina sobre la protección de datos una distinción entre los conceptos “dato” e “información” a la que se adscribe esta Corte, como lo relata Osvaldo Gonzaíni: Algunos entienden ‘datos’ a la representación de hechos, conceptos o instrucciones bajo una forma adaptada a la comunicación, a la interpretación o al tratamiento por seres humanos o máquinas, y por ‘informaciones’ al significado que toman los datos de acuerdo con convenciones vinculadas a éstos29. De acuerdo con la distinción conceptual citada, el dato adquiere la calidad de información en tanto cumple una función en el proceso comunicativo. La información, entonces, requiere una interpretación del dato, que dota de carga valorativa y funcionalidad concreta a la descripción que éste hace. Por lo tanto, el dato solamente es relevante para la protección por medio del hábeas data, en la medida en que sea susceptible de cumplir una función informativa. El mismo autor explica dicho proceso de la siguiente manera: El dato es difícil que, por sí solo, pueda tener una incidencia grande o grave en la llamada privacidad. Esto es, mientras el dato no resuelva una consulta determinada, no sirva a un fin, no dé respuestas o no oriente la posible solución a un problema, es el antecedente o punto de partida para la investigación de la verdad; pero, en el momento en que ese mismo dato da respuesta a una consulta determinada, o sirve a un fin, o se utiliza para orientar la solución de un problema, se ha convertido en información30. Como conclusión, los datos están protegidos por medio de la garantía constitucional del habeas data, siempre que cumplan con una función informativa respecto de las personas y sus bienes y por ende, su comunicación, interpretación o tratamiento afecta en mayor o menor medida los derechos de aquel a quien se refieren. 40. Hechas las distinciones anteriores, cabe señalar que tanto los datos como la información, son conceptos que giran en torno a la capacidad cognitiva atribuida en primera instancia al ser humano, así como a las máquinas como instrumento ordenado a la utilidad que el primero les dé. Al ser tales, entonces, su expresión física por medio de determinadas señales dibujadas sobre un papel, o impulsos eléctricos, variaciones en las ondas, etc., denotan únicamente el medio por el cual se expresan, pero no pueden ser identificados con ellos. Así, si el dato es una representación de determinado fenómeno y la información es el significado de dicha representación adecuada a determinado fin en el proceso comunicativo, el “documento” funge como uno de varios medios en los que es posible impregnar o “imprimir” tal representación por medio de símbolos, a fin de lograr la 29 30
Osvaldo Alfredo Gonzaíni, Habeas Data, Protección de Datos Personales, Rubinzal – Culzoni, Buenos Aires, 2001, p. 113. Ibid. p. 114.
231
El Habeas Data como Recurso Constitucional Gaceta Constitucional Nº 007 - Jueves 3 de julio de 2014 medie excepción sobre el cumplimiento de los requisitos de ley respecto del documento entregado, la que deberá ser dilucidada por los organismos competentes en sede ordinaria. ¿Es la entrega física de documentos originales parte de las finalidades perseguidas por medio de la acción de hábeas data? 37. La pretensión de la accionante en el caso bajo análisis va encaminada a solicitar la entrega de los libros de la compañía, así como un informe de la situación de la empresa. Al respecto, el juez de primera instancia advierte una cierta confusión en la vía, pues considera que debería proceder la exhibición de documentos, como acto preparatorio a la interposición de determinada acción 28 judicial . Escapa de la competencia de esta Corte la determinación del objeto de la exhibición de documentos como juicio civil; sin embargo, sí es pertinente, dado que la pretensión de la accionante se traduce en la entrega física de documentos originales, determinar sobre qué objeto recae el derecho a la protección de datos personales, como derecho tutelado por medio de la acción de hábeas data, o lo que es lo mismo, cuál es el sentido de los conceptos “información y datos”, en los términos del artículo 66 numeral 19 de la Norma Suprema, así como su distinción con otros términos utilizados por el constituyente en dicho artículo, así como en el 92 ibídem; en concreto, el denominado “documento”. 38. El problema respecto de la diferenciación entre conceptos como “documento”, “archivo”, “dato”, “banco de datos”, “información” y otros relacionados con la materia, sin duda no es estrictamente jurídico, sino que corresponde también, entre otros campos, al de la informática. Empero, las implicaciones del sentido y alcance que se dé a cada uno de los conceptos enunciados, así como a la correcta diferenciación entre ellos, deberá ser determinado a través de un ejercicio hermenéutico, y por tanto, tendrá directa relación con el contenido del derecho constitucional protegido por medio de la acción de hábeas data. Así, para la solución del caso concreto y la emisión de reglas jurisprudenciales que se deriven de los hechos presentados, esta Corte deberá recurrir a las fuentes doctrinarias que permitan comprender qué protege la garantía jurisdiccional en particular. 39. En primer lugar, está el término “dato”. Este es en su acepción técnica, de acuerdo con el Diccionario de la Real Academia Española: una “[i]nformación dispuesta de manera adecuada para su tratamiento por un ordenador”. De acuerdo con dicha definición, los datos y la información serían conceptos asimilables, en tanto un dato sería la 28
Código de Procedimiento Civil, Registro Oficial Suplemento Nº 58, 12 de julio de 2005. “Art. 64.- Todo juicio principia por demanda; pero podrán preceder a ésta los siguientes actos preparatorios: (…) 3. Exhibición y reconocimiento de documentos; (…)” “Art. 65.- Puede pedirse como diligencia preparatoria o dentro de término probatorio, la exhibición de libros, títulos, escrituras, vales, cuentas y, en general, de documentos de cualquier clase que fueren, incluyendo los obtenidos por medios técnicos, electrónicos, informáticos, telemáticos o de nueva tecnología, siempre que se concreten y determinen, haciendo constar la relación que tengan con la cuestión que se ventila o que ha de ser materia de la acción que se trate de preparar…”.
232
Capítulo 6 --
9
especie de información apta para ser procesada de diversas formas. Sin embargo, se ha identificado en la doctrina sobre la protección de datos una distinción entre los conceptos “dato” e “información” a la que se adscribe esta Corte, como lo relata Osvaldo Gonzaíni: Algunos entienden ‘datos’ a la representación de hechos, conceptos o instrucciones bajo una forma adaptada a la comunicación, a la interpretación o al tratamiento por seres humanos o máquinas, y por ‘informaciones’ al significado que toman los datos de acuerdo con convenciones vinculadas a éstos29. De acuerdo con la distinción conceptual citada, el dato adquiere la calidad de información en tanto cumple una función en el proceso comunicativo. La información, entonces, requiere una interpretación del dato, que dota de carga valorativa y funcionalidad concreta a la descripción que éste hace. Por lo tanto, el dato solamente es relevante para la protección por medio del hábeas data, en la medida en que sea susceptible de cumplir una función informativa. El mismo autor explica dicho proceso de la siguiente manera: El dato es difícil que, por sí solo, pueda tener una incidencia grande o grave en la llamada privacidad. Esto es, mientras el dato no resuelva una consulta determinada, no sirva a un fin, no dé respuestas o no oriente la posible solución a un problema, es el antecedente o punto de partida para la investigación de la verdad; pero, en el momento en que ese mismo dato da respuesta a una consulta determinada, o sirve a un fin, o se utiliza para orientar la solución de un problema, se ha convertido en información30. Como conclusión, los datos están protegidos por medio de la garantía constitucional del habeas data, siempre que cumplan con una función informativa respecto de las personas y sus bienes y por ende, su comunicación, interpretación o tratamiento afecta en mayor o menor medida los derechos de aquel a quien se refieren. 40. Hechas las distinciones anteriores, cabe señalar que tanto los datos como la información, son conceptos que giran en torno a la capacidad cognitiva atribuida en primera instancia al ser humano, así como a las máquinas como instrumento ordenado a la utilidad que el primero les dé. Al ser tales, entonces, su expresión física por medio de determinadas señales dibujadas sobre un papel, o impulsos eléctricos, variaciones en las ondas, etc., denotan únicamente el medio por el cual se expresan, pero no pueden ser identificados con ellos. Así, si el dato es una representación de determinado fenómeno y la información es el significado de dicha representación adecuada a determinado fin en el proceso comunicativo, el “documento” funge como uno de varios medios en los que es posible impregnar o “imprimir” tal representación por medio de símbolos, a fin de lograr la 29 30
Osvaldo Alfredo Gonzaíni, Habeas Data, Protección de Datos Personales, Rubinzal – Culzoni, Buenos Aires, 2001, p. 113. Ibid. p. 114.
El Habeas Data como Recurso Constitucional 10
--
Gaceta Constitucional Nº 007
preservación del dato y la información que se puede extraer de él. Por ende, no interesa para el hábeas data, como garantía, el papel y la tinta utilizados para registrar el dato, ni el disco duro en el cual se encuentre la información –denominados por el constituyente como “soporte material o electrónico” de los datos–, ni cualquier forma ideada por el ingenio humano para su preservación, sino que, como la expresión lo señala, el derecho tutelado recae sobre el dato mismo y el uso informativo que se le dé. 41. Precisamente, la consecuencia de la afirmación precedente se puede advertir en la redacción del artículo 92 de la Constitución de la República, el que no estatuye como objeto de la acción de hábeas data el adquirir dominio, posesión o tenencia sobre los documentos en los que se hallan registrados los datos, sino conocimiento sobre su existencia y acceso a los mismos. Los documentos, como tales, deben ser considerados bienes tangibles y están sujetos a la legislación pertinente existente en relación a su dominio, custodia, preservación, etc. En el caso sub júdice, la pretensión de la accionante no podría haber sido concedida por parte del juez, pues lo que ella requirió es la entrega física o cambio en la tenencia de los libros de la compañía, lo que no puede concederse a través de la garantía de habeas data, aunque tales libros contengan la información que ella necesitare. 42. En el afán de a la protección de de la acción de imprescindible la jurisprudencial:
desarrollar el contenido del derecho datos personales, tutelado por medio habeas data, esta Corte considera emisión de la siguiente regla
El hábeas data, como mecanismo de garantía del derecho a la protección de datos personales, no podrá ser incoado como medio para requerir la entrega física del soporte material o electrónico de los documentos en los que se alegue está contenida la información personal del titular sino para conocer su existencia, tener acceso a él y ejercer los actos previstos en el artículo 92 de la Constitución de la República; el juez está obligado a utilizar todos los mecanismos que establece la ley para efectos de garantizar debida y eficazmente los actos constantes en el artículo referido. JURISPRUDENCIA VINCULANTE En merito de lo expuesto, el Pleno de la Corte Constitucional, en ejercicio de sus atribuciones establecidas en el numeral 6 del artículo 436 de la Constitución de la República, expide la siguiente: SENTENCIA IV. JURISPRUDENCIA VINCULANTE Reglas En relación al primer problema jurídico desarrollado en la presente sentencia
-
Capítulo 6
Jueves 3 de julio de 2014
1. La determinación respecto de si una persona jurídica puede beneficiarse de una provisión constitucional que contenga un derecho constitucional debe hacerse caso por caso, en consideración de las posibilidades derivadas de su naturaleza social, así como de los términos en los que está formulado el derecho en la Norma Constitucional. 2. En el caso de la autodeterminación informativa, como parte del derecho a la protección de datos personales, implica la necesidad de garantizar la protección de la esfera íntima de las personas, así como la posibilidad de ejercer control sobre los datos personales del sujeto, aunque no se encuentren en su poder. 3. Por las características del derecho a la protección de datos personales, no se considera constitucionalmente adecuada la limitación a la calidad de las personas jurídicas como titulares del mismo; sin embargo, la información personal de dichos sujetos únicamente se extiende a las personas asociadas o a sus representantes legales, en tanto a la calidad que ostentan respecto de la persona jurídica, con estricto respeto al derecho a la protección de los datos personales y derechos conexos que le son atinentes a su naturaleza. En relación al segundo problema jurídico desarrollado en la presente sentencia. 4. La legitimación activa para la presentación de la acción de hábeas data requerirá que quien lo haga sea el titular del derecho a la protección de datos personales que se alegue vulnerada, o su representante legitimado para el efecto. 5. Para acreditar la representación de las personas jurídicas será suficiente la entrega del documento que la ley que regule la materia determine como suficiente para considerar iniciadas sus funciones como representante. El juez constitucional, una vez acreditada la representación, deberá tramitar la acción sin que medie excepción sobre el cumplimiento de los requisitos de ley respecto del documento entregado, lo que deberá ser dilucidado por los organismos competentes en sede ordinaria. En relación al tercer problema jurídico desarrollado en la presente sentencia 6. El hábeas data, como mecanismo de garantía del derecho a la protección de datos personales, no podrá ser incoado como medio para requerir la entrega física del soporte material o electrónico de los documentos en los que se alegue está contenida la información personal del titular sino para conocer su existencia, tener acceso a él y ejercer los actos previstos en el artículo 92 de la Constitución de la República; el juez está obligado a utilizar todos los mecanismos que establece la ley para efectos de garantizar debida y eficazmente los actos constantes en el artículo referido.
233
El Habeas Data como Recurso Constitucional Gaceta Constitucional Nº 007 - Jueves 3 de julio de 2014 Efectos La presente sentencia tendrá efectos generales hacia el futuro, respecto de todos los casos en donde se interpongan acciones de garantía jurisdiccional de los derechos constitucionales y se verifiquen los supuestos de esta sentencia, sin perjuicio de que se aplique también este precedente jurisprudencial a casos en los que ya se hallen en trámite dichas garantías. Decisión La Corte Constitucional no ha decidido el caso concreto, en virtud de que ya ha sido resuelto por la Sala de lo Laboral, Niñez y Adolescencia de la Corte Provincial de Justicia del Azuay. La presente sentencia será publicada en el Registro Oficial, en la gaceta constitucional y en el portal electrónico de la Corte Constitucional. f.) Patricio Pazmiño Freire, PRESIDENTE.
Capítulo 6 --
11
Maldonado Sánchez, Wendy Molina Andrade, Tatiana Ordeñana Sierra, Alfredo Ruiz Guzmán, Ruth Seni Pinoargote y Patricio Pazmiño Freire, sin contar con la presencia del juez Manuel Viteri Olvera, en sesión ordinaria del 23 de abril del 2014. Lo certifico. f.) Jaime Pozo Chamorro, SECRETARIO GENERAL. CORTE CONSTITUCIONAL.- Es fiel copia del original.- Revisado por: … f.) Ilegible.- Quito, a 25 de junio de 2014.- f.) Ilegible, Secretaría General.
CASO No. 0067-11-JD RAZON.- Siento por tal, que la sentencia que antecede fue suscrita por el juez Patricio Pazmiño Freire, presidente de la Corte Constitucional, el día martes 24 de junio del dos mil catorce.- Lo certifico. f.) Dr. Jaime Pozo Chamorro, Secretario General.
f.) Jaime Pozo Chamorro, SECRETARIO GENERAL. RAZÓN.- Siento por tal, que la sentencia que antecede fue aprobada por el Pleno de la Corte Constitucional, con ocho votos a favor, de las juezas y jueces: Antonio Gagliardo Loor, Marcelo Jaramillo Villa, María del Carmen
CORTE CONSTITUCIONAL.- Es fiel copia del original.- Revisado por: … f.) Ilegible.- Quito, a 25 de junio de 2014.- f.) Ilegible, Secretaría General.
Hábeas Data en América Latina El HÁBEAS DATA Y LIBERTAD DE EXPRESIÓN El Hábeas Data establecido por nuestra Constitución, en su artículo 200°, es un procedimiento sumario, en consecuencia defiende tres determinados derechos fundamentales. Esos derechos son los que establece el propio artículo 200° refiriendo al artículo 2° de la Constitución en sus incisos 5 y 66. Es decir, el primero de los derechos que contiene el art. 200° de la Constitución referente al Hábeas Data explica que la población, los ciudadanos y además los periodistas, pueden obtener información de cualquier oficina del Estado, mediante 234
El Habeas Data como Recurso Constitucional
Capítulo 6
el Hábeas Data cualquier persona tiene el derecho al acceso de esta información. Además, “se ha cambiado el antiguo concepto de que la información que estaba en poder del Estado era del Estado”, 7 ahora en ese sentido, el Estado sólo actúa como administrador de esa información. El segundo derecho que contiene el Artículo 200° de la Constitución, tiene por objeto de protección a la intimidad de las personas “dentro del proceso de informatización” de la vida moderna. Es decir, en la actualidad existen nuevos sistemas de procesamiento de datos que han creado grandes archivos los cuales manejan datos de índole privado de las personas como por ejemplo, creencias religiosas, orígenes políticos, enfermedades, nacimientos, etc., y estos pertenecen a la intimidad y propiedad de cada persona. “Asimismo, el Hábeas Data, impide que alguna persona negocie información privada por medio de algún sistema de computación”8. El tercer derecho argumenta que “cualquier ciudadano puede pedir una rectificación sobre una información que daña la honorabilidad o que no es correcta o es incierta”. Este derecho ha sido contemplado en el Pacto de San José, además se encuentra en la Constitución del año 79 y en la actual del 93. De la misma manera, existe la afirmación que el Hábeas Data puede ser usado no sólo para una rectificación, sino además para impedir que alguna información no prohibida, salga al público, por ende se cree que el Hábeas Data tiene un carácter controlador hacia la prensa. Asimismo, en cuanto a la libertad de expresión es preciso resaltar el Artículo 2° de la Constitución inciso 4, que refiere “que la libertad de expresión en el Perú, la libertad de pensamiento, 235
El Habeas Data como Recurso Constitucional
Capítulo 6
de ideas y la libre circulación de los medios de comunicación son absolutas; incluso se señala que cualquier acto que tienda a impedir su ejercicio, se considera delito.”9 Esto quiere decir entonces, que la norma de Hábeas Data está bien infundada. De otro modo, si el Hábeas Data se suprime ante la rectificación, el ciudadano tendrá el respaldo de la Acción de Amparo. El Pacto de San José de Costa Rica dice lo siguiente al respecto: “El artículo 13 de la Convención Americana señala que toda persona tiene derecho a «la libertad de pensamiento y de expresión» y añade que este derecho comprende «la libertad de buscar, recibir y difundir informaciones e ideas de toda índole, sin consideración de fronteras, ya sea oralmente, por escrito o en forma impresa o artística, o por cualquier otro procedimiento de su elección». Por lo tanto, la Convención garantiza el derecho no solo de expresar el propio pensamiento, sino también de buscar, recibir y difundir informaciones e ideas de toda índole. Con ello se ha ampliado ostensiblemente el antiguo contenido de este derecho, que se concebía esencialmente vinculado a la libre comunicación del individuo de las propias ideas y expresiones.” La libertad de expresión tiene dos dimensiones: la individual que refiere al derecho de cada individuo de manifestar ideas e informaciones por cualquier medio apropiado a la difusión, y la social que atiende a que el derecho tiene la característica de recibir información y conocer la expresión del pensamiento ajeno. La Corte Interamericana de Derechos Humanos, en su pronunciamiento, de fecha 13 de noviembre de 1985, además 236
El Habeas Data como Recurso Constitucional
Capítulo 6
de aludir a la doble dimensión (individual y social) de la libertad de expresión, refirió a este derecho como un “elemento central para la existencia de una sociedad democrática” por tratarse de la formación de una opinión pública y que además es imprescindible para el desarrollo de sindicatos, partidos políticos, sociedades, etc. En cuanto al ejercicio de los medios de comunicación, el papel del periodista profesional es especial, es decir la libertad de expresión se ejerce en este caso de manera continua y estable. Así mismo, el Tribunal Constitucional del Perú, en su sentencia recaída en el Expediente N° 1797-2002-HD/TC ha reconocido el derecho a la autodeterminación de informativa en los siguientes términos: “La protección del derecho a la autodeterminación informativa a través del hábeas data comprende, en primer lugar, la capacidad de exigir jurisdiccionalmente la posibilidad de acceder a los registros de información, computarizados o no, cualquiera que sea su naturaleza, en los que se encuentren almacenados los datos de una persona. Tal acceso puede tener por objeto que se permita conocer qué es lo que se encuentra registrado, para qué y para quién se realizó el registro de información así como la (o las) persona(s) que recabaron dicha información. En segundo lugar, el hábeas data puede tener la finalidad de agregar datos al registro que se tenga, ya sea por la necesidad de que se actualicen los que se encuentran registrados, o bien con el fin de que se incluyan aquellos no registrados, pero que son necesarios para que se tenga una cabal referencia sobre la imagen e identidad de la 237
El Habeas Data como Recurso Constitucional
Capítulo 6
persona afectada. Asimismo, con el derecho en referencia, y en defecto de él, mediante el hábeas data, un individuo puede rectificar la información, personal o familiar, que se haya registrado; impedir que esta se difunda para fines distintos de aquellos que justificaron su registro o, incluso, tiene la potestad de cancelar aquellos que razonablemente no debieran encontrarse almacenados.” Con lo mencionado anteriormente, en el Perú, el Hábeas Data es una garantía constitucional o legal que cualquier persona tiene derecho a acceder, pues todos figuramos en un registro el cual contiene información sobre su persona. Por lo que la finalidad de esta garantía constitucional es otorgar a las personas el derecho de recurrir a los tribunales para actuar conforme a derecho, a funcionario, autoridad, o persona que por “acción u omisión” vulnera el derecho de solicitar información y recibirla de cualquier entidad pública en el plazo legal, que los servicios informáticos de cómputo, públicos o privados no afecten los derechos al honor y la buena reputación. EL HÁBEAS DATA Y LOS MEDIOS DE COMUNICACIÓN. CASO ALBERTO FUJIMORI En el Perú, en los años noventa todos los propietarios de canales de televisión abierta que acordaron con el asesor del ex presidente Alberto Fujimori, Vladimiro Montesinos Torres, de brindar información que beneficie políticamente al gobierno con la finalidad de intercambiar grandes sumas de dinero. Todo esto puso sobre discusión los límites de libertad de expresión e 238
El Habeas Data como Recurso Constitucional
Capítulo 6
información y en especial a los medios de comunicación, lo cual creó una censura informativa. Es decir, se violaron estos límites que fueron analizados inclusive por tribunales internacionales, dentro de la perspectiva del derecho peruano con referencia de su marco constitucional. Es importante resaltar que la libertad de información y la libertad de prensa protege especialmente a “quien escriba en periódicos o revistas y a quienes sean dueños de periódicos y revistas”11 lo cual es una distinción que se hace poco importante ya que ella se “subsume” en la otra. En setiembre del año 2009 el ex dictador Alberto Fujimori, sentado en el banquillo de los acusados, se declaró culpable de los delitos de peculado y violación del secreto de las comunicaciones, en su cuarto y último juicio por corrupción. Fue condenado a 6 años de prisión por haber ordenado a su ex asesor Vladimiro Montesinos comprar, con dinero del pueblo peruano, a medios de comunicación, congresistas e interceptar los teléfonos de periodistas y políticos.Montesinos, con la anuencia de Fujimori, destinó US$ 22 millones para el financiamiento de la “prensa chicha”, con la finalidad de apoyar la campaña reeleccionista del ex dictador y atacar a la oposición política y periodística, entre los años 1998 y 2000. Por el caso Prensa Chicha fueron enjuiciadas 36 personas y todas fueron condenadas. Del total, 20 cumplieron prisión efectiva debido a la gravedad de los delitos, aunque otros personajes fugaron del país y se encuentran prófugos. Montesinos ha manifestado que la compra de la prensa chicha se pagó con dinero del SIN 239
El Habeas Data como Recurso Constitucional
Capítulo 6
con la aprobación de su jefe Fujimori. El ingeniero Fujimori era consciente de que la prensa escrita, particularmente aquellos diarios que por su bajo precio llegaban a la opinión pública en forma masiva, producía el efecto de orientar la corriente de opinión. Es por ello que el ex presidente Fujimori me ordena que se efectúe un estudio de medición pública sobre los grados y niveles de aceptación que tenían los diarios chicha con la finalidad de tener un cabal y oportuno conocimiento sobre los medios con los que se tenía que trabajar, explicó el ex asesor ante la justicia peruana. CONCEPTO Y CARACTERÍSTICAS DE HÁBEAS DATA: El Concepto de Habeas Data esta tomado en referencia del Habeas Corpus que significa que tengas cuerpo, analógicamente la figura del Habeas Data significaría que tengas datos o que tengas la información, o que tengas los registros, es decir tomar conocimiento de datos propios en poder de otro. Hábeas, viene de habeo, habere, que significa aquí, o tener en posesión y data que proviene de datum que significa conceptos o instrucciones de forma apropiada para la comunicación y procesamiento de datos automáticos, de ahí que habeas data significa los registros o los datos. Por lo tanto podemos señalar que el Hábeas Data es una garantía constitucional que ampara y protege el debido uso público de la información que se tiene de los ciudadanos, evitando una intromisión en la esfera privada e intimidad del mismo. Para autores como Guillermo Ruiz: La privacidad de los datos 240
El Habeas Data como Recurso Constitucional
Capítulo 6
personales naturales o jurídicas da lugar (...) al Hábeas Data, el derecho a preservar o recuperar datos o información del uso o abuso de la autoridad, información que se puede estar registrada en las bases de datos y redes de datos, privados o estatales. El Hábeas Data parece surgir como intento de actualizar o extender el elenco de procesos constitucionales para responder a las nuevas situaciones y realidades. Es decir su traducción literal supondría algo así como traer la información o conservar los datos . Según autores como Francisco Eguiguren Praeli: el Hábeas Data debe brindar a la persona afectada protección y mecanismos para obtener: • Acceso a la información de su interés o a conocer datos sobre su persona que se encuentran en archivos o registros. • Actualización de información o datos personales contenidos en archivos o registros. • Rectificación de informaciones o datos inexactos. • Exclusión o supresión de datos sensibles que por su carácter personal o privado, no deben ser objeto de almacenamiento o registro a fin de salvaguardar la intimidad personal o la eventual no discriminación. • Confidencialidad de informaciones o datos personales que, 241
El Habeas Data como Recurso Constitucional
Capítulo 6
por su carácter reservado, no debe permitirse su difusión a terceros (secreto tributario, bancario o médico). Para este autor la regulación del Hábeas Data en la constitución Peruana peca doblemente en algunos casos por excederse y, en otros, por omisiones o carencias. • Las características del hábeas data son las siguientes: • Es autónomo: Identidad propia que tiene el objeto a demandar. • Naturaleza procesal: Mecanismo que se encamina mediante estadios hasta alcanzar resolución que ampare o no la pretensión del accionante. Sumario: Procedimiento breve; no existe etapa probatoria. ANTECEDENTES DEL HABEAS DATA: Sus antecedentes podemos remontarlos a los intentos por preservar esferas personales de injerencias o perturbaciones externas no deseadas, a fin de garantizar la privacidad o intimidad personnal. Desde ese punto se evolucionó hasta llegar a la protección frente a los riesgos del almacenamiento, registro y utilización informatizada de datos relacionados con la intimidad personal o temas sensibles. En la etapa de origen podemos señalar al Parlamento del Land de Hesse en la República Federal Alemana, en mérito de haber 242
El Habeas Data como Recurso Constitucional
Capítulo 6
promulgado el primer texto legal de protección de datos: la Datenshutz de fecha del 7 de octubre de 1970. Esta norma marcó el comienzo que terminaría en el Datenshutz federal alemán promulgado el 27 de febrero de 1977. Esta norma se centra en la protección de datos, que tienen como fin impedir la lesión de bienes dignos de tutela de las personas interesadas, garantizando los datos relativos a su persona, de abusos cometidos con ocasión de su almacenamiento, trasmisión, modificación o cancelación (elaboración de datos – art. 1). Esta Ley federal al igual que la anterior norma de Hesse viene constituido por la figura del comisario federal para la protección de datos (Bundesbeauftragter fur den Datenshutz), a quien le corresponde velar por el cumplimiento de la norma y recibir las quejas de los perjudicados. También podemos señalar en esta primera etapa a la Data Lag sueca del 11de mayo de 1973. En esta norma se establece el principio de la publicidad de los bancos de datos personales informatizados mediante un registro abierto a la consulta de las personas que están incluídas en él. En el caso de Estados Unidos como antecedente podemos señalar que fue el primer país americano en ocuparse de los constantes avances de la tecnología. A lo largo del tiempo podemos mencionar Privacy Act de 1974, por la cual se otorga al ciudadano su derecho a la privacidad o right to privacy. Por ella se permite a las entidades públicas pertenecientes al 243
El Habeas Data como Recurso Constitucional
Capítulo 6
gobierno federal a llevar registro de datos de personas físicas, proporcionados por el mismo sujeto y que guarden relación con la actividad que esos registros desempeñen, los mismos deben ser actualizados, proporcionados a su titular cuando éste lo requiera, actualizarlos constantemente y mantenerlos en secreto salvo autorización de la persona misma. En el año 1966, se promulgó Freedom of Information Act, para que así los poderes públicos pusieran en pleno conocimiento de toda la comunidad datos e informaciones. En 1970, se crea la Fair Credit Reporting Act, donde se adopta una técnica que posteriormente es aplicada para tutelar preferentemente aquellos datos personales que son recogidos y procesados por medio de computadoras. REGULACIÓN DEL HABEAS DATA EN EL PERÚ-MARCO LEGAL: El proceso de hábeas data fue incorporado por primera vez en el Perú con la Constitución de 1993, ya que la anterior Constitución peruana de 1979 no lo había regulado, por ende éstos dos derechos se encontraban protegidos por el proceso de amparo. En la Constitución peruana de 1993, esta garantía está recogida en el artículo 200° inciso 321, en el que se la define según los derechos constitucionales que debe proteger: los contenidos en los incisos 5, 6 y 722 del artículo 2° de la Ley Fundamental. Los incisos 5 y 6 del artículo 2 se refieren al derecho a la información pública y al derecho a la autodeterminación informativa.
244
El Habeas Data como Recurso Constitucional
Capítulo 6
Cabe señalar que la regulación del Hábeas Data en el Perú recibió severas críticas. Así, García Belaunde considera una desnaturalización del Hábeas Data su extensión al derecho de rectificación, a la par de una peligrosa proclividad hacia la eventual censura de los medios de comunicación. Asimismo existió una clara presión que llevo al propio oficialismo parlamentario a realizar una reforma constitucional que condujo a la supresión del Hábeas Data en dicho ámbito. Tal extensión del habeas data generó el reclamo de los medios de comunicación y en este contexto es que la redacción original contenida en la norma constitucional del artículo 200 inciso 3ro, se modifica por la Ley 26470 (la primera reforma constitucional que se hizo a la Constitución) dada por el entonces Congreso Constituyente Democrático, que fue promulgada con fecha nueve de Junio de l,995, y publicada en el diario oficial con fecha 12 de Junio de 1995, por la que se suprime dentro de los derechos objeto de tutela por el Habeas Data los regulados en el inciso 7 del artículo segundo de la Constitución. 4.1. La Constitución Política del 1993 dice lo siguiente en el artículo 200,.Son garantías constitucionales (...) 3. La Acción de Hábeas Data, que procede contra el hecho u omisión, por parte de cualquier autoridad, funcionario o persona, que vulnera o amenaza los derechos a que se refiere el artículo 2, incisos 5) y 6) de la Constitución.
245
El Habeas Data como Recurso Constitucional
Capítulo 6
El derecho a la información que está en el inciso 5 del art. 2 de nuestra Constitución, comprende la facultad de solicitar información sin necesidad de expresar la causa de la solicitud pero con las limitaciones que la disposición establece: a) pagar el costo b) Que no afecte el derecho de la intimidad personal c) Que no ponga en riesgo la seguridad nacional d) Que no se encuentre excluida por Ley e) Que no afecte el secreto bancario o la reserva tributaria El derecho de la autodeterminación informativa incorporado en el inciso 6 del artículo 2 de la Constitución consiste en la serie de facultades que tiene toda persona para ejercer control sobre la información personal que le concierne, contenida en registros ya sean públicos o privados, físicos o informáticos, a fin de enfretar las posibles extralimitaciones de los mismos. Los atributos que forman parte del contenido de este derecho según el art. 61 inciso 2 del Código Procesal Constitucional son el de: conocer, actualizar, suprimir o rectificar datos referidos a la persona que se encuentran almacenados o registrados en archivos, bancos de datos o registros de entidades públicas o privadas. Los derechos protegidos en este artículo son los siguientes: • El derecho el derecho de solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública. 246
El Habeas Data como Recurso Constitucional
Capítulo 6
• A que los servicios informáticos, computarizados o nó, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar. Cabe resaltar que en el caso del Perú el Hábeas Data es un procedimiento que por un lado se ha restringido mientras que por otro se ha ampliado. Cuando nos referimos a que se ha restringido es porque no se permite la rectificación de los datos de la intimidad personal como lo hacen en Brasil, ni tampoco se faculta su supresión como lo autoriza la Constitución Paraguaya, sino que se prohibe su suministro a terceras personas (manipulación o comercio). Y por otro lado se ha ampliado al área informativa orientando la garantía también al derecho de información y de rectificación de los medios de comunicación cuando no se cumple con la obligación de rectificar afirmaciones inexactas o agraviantes. Así lo señala el Art. 14 del Pacto de San José de Costa Rica
247
REFERENCIAS ACCION DE HABEAS DATA, 17460-2016-00729 (UNIDAD JUDICIAL DE TRANSITO CON SEDE EN EL DISTRITO METROPOLITANO DE QUITO, PROVINCIA DE PICHINCHA Junio 3, 2016). ACCION DE HABEAS DATA, 09284-2016-00313 (UNIDAD JUDICIAL SUR PENAL CON SEDE EN EL CANTON GUAYAQUIL, PROVINCIA DEL GUAYAS Febrero 16, 2016). Belloch, C. (2012). Las Tecnologías de la Información y Comunicación en el aprendizaje. Material docente [on-line]. . Obtenido de Las Tecnologías de la Información y Comunicación en el aprendizaje. Material
docente
[on-line].
:
http://www.uv.es/bellochc/
pedagogia/EVA1.pdf Bob, D. (2011, Noviembre 7). Derecho Informático. Obtenido de Clasificación de
los
contratos:
http://in-formatico.blogspot.com/2011/11/
clasificacion-de-contratos-informaticos.html Cabero, J. (1998). Impacto de las nuevas tecnologías de la información y la comunicación en las organizaciones educativas. En Lorenzo, M.: Granada: Grupo Editorial Universitario. Camara, S. (s.f.). productos y servicios. Obtenido de Entidad de Certificación: http://www.camarasantodomingo.do/productos-y-servicios/ firmas-electronicas/entidad-de-certificacion/ Diaz, J. L. (2010). Los mensajes de datos, la firma electrónica y los certificados de firma electrónica. Cuenca - Ecuador. EcuRed. (2017). Tecnologías de la información y las comunicaciones. Obtenido
de Tecnologías de la información y las comunicaciones: https://www. ecured.cu/Tecnolog%C3%ADas_de_la_informaci%C3%B3n_y_las_ comunicaciones España, G. (2017, 01 27). Certificadosparalos51671 Certificados emitidos por la Seguridad Social. Obtenido de GOBIERNO DE ESPAÑA, SEGURIDAD SOCIAL: http://www.seg-social.es/Internet_1/Sede/ Certificadosdigital47735/Certificadosparalos51671/index.htm Garcia de la Cruz, J. M. (2009). Delitos Informáticos. Córdoba: El Cid Editor. GARCIA, O. G. (2015). CONTRATOS INFORMATICOS. Obtenido de CONTRATOS INFORMATICOS:
https://gtsandyrc.wikispaces.com/file/view/
Contratos+Inform%C3%A1ticos.pdf Gotzone Múgica, A. (2003). Los contratos Informáticos. Saberes, 20. H Zubieta, H. Z., & ML Volpe, M. V. (2002, 02 08). Firma Electronica. Firma Electronica, 14-62. Obtenido de Firma Electronica. Ley de Comercio Electrónico, Art. 1 (Ley de Comercio Electrónico Gubernamental 02 08, 2010). Machicado, J. (2012, Marzo 1). Apuntes Juridicos. Obtenido de https:// jorgemachicado.blogspot.com/2012/03/derecho.html Machicado, J. (2012, 03 02). Apuntes Juridicos. Obtenido de https:// jorgemachicado.blogspot.com/2012/03/derecho.html nacional, c. (2002, abril 17). ley de comercio electronico, firmas y mensaje de datos. quito, pichincha, ecuador. Pérez1, A. G. (2001, 12 1). La gestión de documentos electrónicos como
respuesta a las nuevas condiciones del entorno de información, versión impresa ISSN 1024-9435. (ACIMED) Recuperado el 02 08, 2017, de La gestión de documentos electrónicos como respuesta a las nuevas condiciones del entorno de información: http://scielo.sld. cu/scielo.php?script=sci_arttext&pid=S1024-94352001000300003 Portal, A. E. (s.f.). firma electronica. Obtenido de certificados electronicos: http://firmaelectronica.gob.es/Home/Ciudadanos/CertificadosElectronicos.html Rivadeneira, D. J. (s.f.). Mensaje de Datos y Documentos Electrónicos. Ley de Comercio Electrónica-Mensaje de Datos y Documentos Electrónicos. Universidad de Cuenca, Cuenca. Rocha, J. P. (2015, enero 24). Todo comercio exterior. Obtenido de http:// comunidad.todocomercioexterior.com.ec/profiles/blog / list?user=0sm6v5sbp8egi Téllez Valdéz, J. (2009). Derecho Informático. México: McGRAW-HILL/ INTERAMERICANA EDITORES, S.A. DE C.V. UNCITRAL. (2008, 07 1). El Mensaje de Datos : Articulo EntornoEmpresarial. Obtenido de El Mensaje de Datos : Articulo EntornoEmpresarial: www.entorno-empresarial.com/articulo/2151/el-mensaje-de-datos Villalobos Battig, E. (2015). Los Contratos Inforáticos. Colombia. Obtenido de Los Contratos Informáticos. Zabala, A. V. (2008, 01 01). unican. Obtenido de http://ocw.unican.es/ ciencias-sociales-y-juridicas/introduccion-al-derecho/materiales/ Tema1.pdf
Zapata, V. A. (2012, 05 11). Infracciones%20Informaticas INFRACCIONES INFORMร TICAS. Recuperado el 02 04, 2017, de UNIVERSIDAD Tecnolรณgica
Equinoccial:
http://app.ute.edu.ec/
content/3254-42-10-1-6-7/Infracciones%20Informaticas.pdf
Hugo Salomón Imbaquingo Narváez
Daisy Elizabeth Imbaquingo Esparza
Silvia Rosario Arciniega Hidrobo  � � �  � TIC´S aplicadas a la educación
JosĂŠ Guillermo JĂĄcome LeĂłn  Â?Â?Â?Â?  ÂÂ&#x20AC;  Â?Â?Â&#x201A;Â?Â&#x192; Â&#x201E; Â&#x2026;  Â&#x2020; Â&#x2021; Â&#x192; Â&#x2021; ÂÂ&#x20AC;  Â&#x2C6;
Cosme MacArthur Ortega Bustamante
 Â? Â? Â? Â?   Â&#x20AC; ÂÂ&#x20AC;   Â&#x201A; Â&#x192; Â&#x201E; Â&#x2026; Â&#x201A; Â? Â&#x201A; Â&#x201A; Â&#x2020; Â&#x201A;  Â&#x2021; Â&#x20AC; Â&#x2C6; Â? Â&#x2026;  Â? Â&#x201A; Â&#x2030;
Mario BernabĂŠ Ron Egas
 Â? Â? Â?Â? Â? Â
 Â
  Â?   Â&#x20AC; Â&#x201A; Â&#x192; Â&#x20AC; Â?  Â&#x201E; Â&#x20AC; Â? Â&#x2026; Â
José Antonio Ayala Bermeo