APROXIMACIONES AL COMERCIO ELECTRÓNICO Y LAS MEDIDAS DE SEGURIDAD JOSE FRANCISCO ESPINOZA CÈSPEDES 1 ASPECTOS VINCULADOS CON EL DESARROLLO DEL DERECHO INFORMÁTICO EN LA REGIÓN Por la importancia del comercio electrónico para el desarrollo de una verdadera economía electrónica en el marco de la construcción de un real mercado puesto en marcha por medios electrónicos2, se van presentado una serie de elementos y cuestiones que requieren ser analizadas desde la óptica del Derecho Informático, por lo que desde esta nueva rama de la Ciencia Jurídica se vienen haciendo grandes esfuerzos para su correcto desarrollo en la Región. Hoy en día la gran mayoría de países de Iberoamérica se encuentran realizando emprendimientos y trabajos para regular taxativamente diversos aspectos jurídico-informáticos en beneficio de la sociedad y del Estado. Entre los ámbitos que se vienen legislando encontramos aspectos tan importantes como la regulación sobre las firmas y certificados digitales tecnología que se viene aplicando con criterio uniforme en cuanto al uso de la tecnología asimétrica, es decir, aquella que exige la generación de un par de claves para interactuar en el medio electrónico, a saber la clave pública y la clave privada. En la región se viene investigando intensamente en los diversos ámbitos de aplicación del Derecho Informático para determinar adecuados criterios normativos que permitan una eficiente protección a nivel de los datos personales, el gobierno electrónico, la manifestación de voluntad por medios electrónicos, el habeas data, los correos no deseados, los nombres de dominio, el valor probatorio de los documentos electrónicos, la sanción de los 1 Docente Universitario. Consultor en Derecho y TICs. Experto en Derecho Informático y Comercio Electrónico. Gerente Legal de Cybersec Consult S.A. Presidente de la Asociación Iberoamericana para el Desarrollo Regional –ASIDER (www.asider.pe). 2 Al respecto, es importante señalar que “Según sea la orientación comercial de los mercados electrónicos, el poder de negociación estará en manos de los compradores (central de compras) o de los vendedores (central de ventas), con implicancias relevantes para las estrategias de precios de las empresas y, a la vez, para la política de competencia. Por ejemplo, uno de los mecanismos de fijación de precios más comunes en los mercados electrónicos orientados al comprador es la reverse auction, por la que los compradores fijan el precio máximo que están dispuestos a pagar; por el contrario, en un mercado orientado al vendedor, el precio se fija mediante una traditional acution, donde el vendedor establece un precio mínimo. Los mercados electrónicos, como nuevo sistema organizativo de las transacciones entre comprador y vendedor, proporcionan ventajas tanto para unos como para otros, ya que reducen parte de los problemas de coordinación y motivación que surgen en los mercados tradicionales.” En: López Luengo, Mª Ángeles y Francisco Lobato Gómez. Operaciones de Venta. Comercio y Marketing. Madrid. Thomson Ediciones Spain. Paraningo S.A. Paraninfo. S.A., p. 162. 1 delitos informáticos, la protección a la intimidad y diversos aspectos regulatorios vinculados con el comercio electrónico. HACIA UNA DEFINICIÓN DE COMERCIO ELECTRÓNICO Definir el comercio electrónico nos puede llevar por diversos caminos, pero el más seguro es el que nos presenta el Derecho Informático como realidad jurídica que nos plantea sin medias tintas y con una claridad sin igual que tales operaciones se encuentran vinculadas directamente con actividades comerciales o lucrativas realizadas por medios electrónicos. Por otro lado, en el marco de la Ley Modelo de la Comisión de Naciones Unidas para el Derecho Mercantil Internacional – CNUDMI o UNCITRAL por sus siglas derivadas del idioma inglés, se plantea que el comercio electrónico se encuentra enmarcado en todos aquellos tipos de operaciones vinculadas con la transferencia de mensajes de datos generados en el ámbito de actividades comerciales. Para efectos de la Ley Modelo de Comercio Electrónico el contexto de la actividad comercial debe entenderse e interpretarse en una forma amplia independientemente de la existencia de un contrato; por lo tanto, es fundamental realizar un análisis jurídico relacionado con la transferencia de bienes y servicios a través de entornos inmateriales. En cuanto a la determinación del concepto de mensaje de datos es oportuno citar la Ley modelo de UNCITRAL, la misma que sobre el particular plantea lo siguiente: “Por “mensaje de datos” se entenderá la información generada, enviada, recibida o archivada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el telegrama, el télex o el telefax.” 3 , al respecto en relación con los documentos electrónicos debe tenerse presente que éstos en última instancia están íntimamente vinculados con los mensajes de datos. Por otro lado, Rivas señala que el “Comercio Electrónico consiste en la compra, venta, marketing y suministro de información complementaria para productos o servicios a través de redes informáticas. (…) Otros los definen como una nueva esfera del comercio, en la cual mercancías atraviesan las fronteras por medios electrónicos” 4 . Como se aprecia la definición antes indicada nos lleva por nuevos campos de investigación vinculados con las actividades electrónicas transfronterizas realizadas entre diversas jurisdicciones Estatales y/o territoriales. EL COMERCIO ELECTRÓNICO Y EL E-BUSINESS EN EL MARCO DE LAS OPERACIONES POR MEDIOS ELECTRÓNICOS En medios técnicos se entiende por comercio electrónico a todas aquellas actividades realizadas por medios electrónicos con un fin netamente lucrativo, 3 Parte pertinente del Artículo Primero de la Ley Modelo de la CNUDMI sobre Comercio Electrónico. 4 Rivas Pérez, Gabriel y Adrien Ricotta. Seguridad en el Comercio Electrónico. Múnich. Editorial GRIN, 2005. p.3. 2 debiendo tenerse en cuenta que tales actividades relacionadas con la transferencia de bienes y servicios aplicando todo su interés y énfasis en la última parte de la cadena productiva, es decir, a partir del momento en que el bien o el servicio se encuentra listo para su transferencia a los consumidores por medios electrónicos, sin importar la forma de elaboración del bien o desarrollo del servicio. Por otro lado, al contextualizar el e-business es necesario realizar un análisis total a través de toda la cadena productiva del bien o del servicio a fin de determinar si en todas las etapas de producción o desarrollo se utilizaron medios técnicos, sean electrónicos o digitales, que permitan identificar plenamente cada una de las etapas de interacción del referido bien o servicio. En tal sentido, los conceptos de comercio electrónico y e-business, son diferentes por su propia estructura conceptual, pero a su vez son complementarios por las actividades realizadas, las mismas que permiten su adecuada determinación y concreción en el mundo electrónico. Puede decirse que el comercio electrónico y el e-business son actividades que se complementan al desarrollarse en el ámbito del género a especie. CONTRATACIÓN ELECTRÓNICA Y COMERCIO ELECTRÓNICO A partir de las operaciones electrónicas en general, que se encuentran en íntima relación con aquellas realizadas con una finalidad netamente lucrativa, podemos determinar que se vienen desarrollando en el ciberespacio una serie de operaciones técnicas que permiten enmarcarse en el supuesto de la contratación electrónica, las mismas que por sus diversos ámbitos de interacción se encuentran en un campo superior o en un contexto más amplio respecto de las operaciones de comercio electrónico. En ese orden de ideas, se puede plantear que la contratación electrónica se encuentra representada por un conjunto universal que contiene aquellas operaciones electrónicas que tengan o no carácter comercial; por lo que toda actividad lucrativa realizada por medios electrónicos se encuentra incluida en el concepto de contratación electrónica. La contratación electrónica al representar la totalidad de operaciones electrónicas realizadas en el ciberespacio debe ser analizada con independencia de su finalidad, de tal forma que en su contexto de incidencia o ámbito de aplicación se encuentran actividades lucrativas y no lucrativas en general. VALIDEZ DE UNA TRANSACCIÓN COMERCIAL ELECTRÓNICA La tendencia mundial respecto de las transacciones electrónicas se proyecta directamente hacia la no negación de la validez legal 5 ni el valor como medio 5 Al respecto se debe considerar que: “Las nuevas normas jurídicas relacionadas con las Tecnologías de la Información, a imitación de las leyes anglosajonas, suelen contener dentro de sí mismas un pequeño vocabulario en el que se explica el significado de las principales palabras técnicas dentro del entorno de la propia Ley. Esto, en principio, pensamos que limita la interpretación que el juez puede hacer de la norma en el futuro, lo que en si podríamos considerarlo negativo y evita en cierto modo que al 3 de prueba resultante de las operaciones electrónicas a nivel mundial, debiendo incluirse en el análisis jurídico a los mensajes de datos derivados de las mismas. Entre los elementos de respaldo para validar las operaciones electrónicas tenemos el uso de las firmas y certificados digitales; siendo necesario el uso de servidores seguros que permitan identificar a quienes realizan La operaciones, facilitándose de esta forma la probanza del lugar desde donde fueron efectuadas. A fin de sustentar los parámetros de validez de las operaciones electrónicas es necesario sustentar aspectos fundamentales en torno a la generación de las pruebas electrónicas entre las que destacan el uso de adecuados componentes que permitan generar un espacio idóneo de confidencialidad, de tal forma que nos encontremos en la posibilidad de resguardar que personas ajenas a la operación electrónica no puedan inmiscuirse sin autorización para realizar cambios o modificaciones en los datos, informaciones, operaciones y/o transferencias. Por otro lado, en el marco de las transacciones electrónicas es fundamental generar parámetros de autenticación de los documentos y elementos probatorios a fin de acreditar a los participantes en las operaciones electrónicas. En el contexto de la autenticación las medidas de seguridad tanto técnicas como jurídicas juegan un rol fundamental para efectos de lograr la validez de las operaciones electrónicas previéndose de tal forma el no repudio, la negación o el desconocimiento de las mismas. Para efectos de la validez de las transacciones comerciales es indispensable que los elementos inmateriales de seguridad o sistemas de seguridad se encuentren preparados para registrar todas y cada una de las operaciones electrónicas a través del uso de logs de seguridad que puedan ser trazables, es decir, que puedan ser rastreables para fines de auditoría y sobre todo de probanza a nivel de procesos administrativos o judiciales. Es necesario establecer adecuados mecanismos de validación de mensajes de datos y documentos electrónicos para la generación de pruebas idóneas en un contexto seguro; para tal efecto deben acreditarse la existencia de políticas de seguridad aprobadas institucionalmente tanto a nivel de hardware como de software, redes, etc. La determinación de la validez de la operación electrónica implica también acudir al Proveedor de Servicios de Internet, quien mantiene el registro de tratarse de figuras jurídicas nuevas nos haga recordar a los pretores romanos en una época ya pasada del Derecho. Como positivo entendemos que pone la norma un poco más al alcance del ciudadano al explicarle el significado de los nuevos vocablos tecnológicos que aparecen en ella.” Mayores referencias en: Del Peso Navarro, Emilio y otros. Vocabulario Español Actualizado de Iustecnología de la Información. Madrid. Ediciones Díaz de Santos. 2009. p. XXIII. 4 tiempo, lugar y peso de las diversas transacciones realizadas en determinado momento, llegándose a identificar los números IP tanto de las personas que actuaron como iniciadores como destinatarios de cada una de las operaciones electrónicas realizadas. Finalmente, debemos resaltar que las operaciones electrónicas encuentran sustento en las diversas cláusulas previstas por los proveedores y aceptadas por los clientes, usuarios o interesados. El contrato necesariamente tiene que ser analizado exhaustivamente al milímetro para determinar alguna contingencia técnica como jurídica. Al respecto es vital verificar aspectos tan básicos como el objeto del contrato, la existencia o no de firmas digitales, el juez competente, la legislación aplicable, las penalidades, los tiempos de devolución de los bienes, los mecanismo de transferencia, el almacenamiento de datos, la trazabilidad, entre otros aspectos de trascendencia. HERRAMIENTAS PERMITEN EL RESGUARDO DE LA INFORMACIÓN El resguardo efectivo de datos, información y conocimiento puede realizarse a nivel de elementos materiales como inmateriales; entre los primeros se encuentra el hardware en sus diversas modalidades, tales como firewalls, routers, servidores seguros, etc.; por otro lado, los segundos se encuentran los sniffers, las firmas y certificados digitales, el sellado de tiempo, etc. La información debe estar adecuadamente resguardada mediante respaldos técnicos, copias de seguridad o backup en línea y fuera de línea. Para tales efectos es recomendable utiizar microformas6 digitales y microarchivos, donde se almacenan soportes materiales no regrabables. Las microformas 7 como documentos electrónicos con valor legal necesariamente deben contar con la participación de un Fedatario Juramentado o Fedatario Informático, que se encargue de otorgar fe pública al proceso de conversión de documentos papel a documentos electrónicos o también el proceso de transformación de documentos electrónicos a otros documentos electrónicos con valor legal. Para efectos de la producción de microformas estas se efectúan en plataformas certificadas por El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - INDECOPI, por 6 Debemos tener en cuenta que la microforma es una solución jurídica informática de origen netamente peruano. Este mecanismo técnico que permite acreditar y probar operaciones por medios electrónicos tiene sus bases fundamentales en el Decreto Legislativo Nº 681. 7 En el contexto de la norma marco de las microformas, Decreto Legislativo Nº 681, se define en su Artículo primero lo siguiente: “MICROFORMA: Imagen reducida y condensada, o compactada, o digitalizada de un documento, que se encuentra grabado en un medio físico técnicamente idóneo, que le sirve de soporte material portador, mediante un proceso fotoquímico, informático, electrónico, electromagnético, o que emplee alguna tecnología de efectos equivalentes, de modo que tal imagen se conserve y pueda ser vista y leída con la ayuda de equipos visores o métodos análogos; y pueda ser reproducida en copias impresas, esencialmente iguales al documento original. Están incluidos en el concepto de microforma tanto los documentos producidos por procedimientos informáticos o telemáticos en computadoras o medios similares como los producidos por procedimientos técnicos de microfilmación siempre que cumplan los requisitos establecidos en la presente ley.” 5 lo que en su versión de micrograbación netamente electrónica pueden ser utilizadas sin mayor problema en operaciones de comercio electrónico. La microforma como documento electrónico con pleno valor legal 8, en sus diversas modalidades, puede ser utilizada para acreditar operaciones de comercio electrónico al permitir almacenar datos, información y conocimientos generado en el medio digital o electrónico con valor legal. Es importante resaltar que para efectos de la seguridad de la información es necesario verificar el tipo soporte que se utilizará durante el proceso de almacenamiento, en vista que la actividad probatoria informática exigirá para tales efectos por lo menos la utilización de hardware no regrabable que permita la recuperación de los datos a través de medios ópticos. En el contexto técnico vinculado con la seguridad informática es oportuno crear mecanismo que incorporen el uso de la criptografía para asegurar y resguardar, datos, información y documentos. Sobre el particular debe tenerse en cuenta que la criptografía es una ciencia que se vincula con el cifrado, resguardo u ocultamiento de datos, mensajes e informaciones tanto en medios físicos como electrónicos. ALGUNOS CRITERIOS PARA EL RESGUARDO DE LA INFORMACIÓN EN EL COMERCIO ELECTRÓNICO Para efectos de lograr un adecuado respaldo y resguardo de la información se proponen algunos criterios, los mismos que se detallan a continuación: 1. Determinar fehacientemente el soporte donde se almacenará la información. 2. Analizar los mecanismos y plazos para crear adecuados respaldos de la información. 3. Conocer el tipo de documentación a respaldar y su importancia. 4. Verificar periódicamente los soportes materiales que contienen la información generada. 5. Crear políticas de respaldo de la información para diversos escenarios riesgosos. 6. Determinar la necesidad de utilizar mecanismos de compresión de la información y formas de completar todo el soporte material con contenido relevante. 7. Utilizar Hardware externo para lograr un adecuado respaldo de la información. 8. Plantear criterios para evitar la redundancia creando sistemas de almacenamiento de datos e información. 9. Estudiar la necesidad de utilizar proveedores externos para la seguridad y respaldo de la información. 10. Diseñar políticas para el manejo de los sistemas y medios de almacenamiento. 11. Proponer el tipo de backup a utilizar: backup global, backup diferencial que incorpora tanto una versión del original y una versión del último archivo 8 Para efectos de la producción de microformas debe contarse con la participación y respaldo de un Fedatario Informático acreditado en sus diversas etapas por el Colegio de Abogados, la Corte Superior de Justicia y el Ministerio de Justicia. 6 modificado -, backup incremental, backup diario o semanal; backup local o remoto; backup on line (nube) o backup off line. 12. Conocer los servidores y estaciones de trabajo para el almacenamiento de datos e información. 13. Implementar las mejores prácticas para el rotulado de datos e información, a fin de evitar pérdidas o tiempos muertos por efectos de una mala recuperación de datos e información. PROTECCIÓN AL CONSUMIDOR EN CASO DE INCUMPLIMIENTO DEL PROVEEDOR EN EL ÁMBITO DEL COMERCIO ELECTRÓNICO Para efectos de la protección al consumidor 9 en medios electrónicos resulta fundamental analizar aspectos vinculados con la publicidad aplicable debido a que en este rubro se podrán encontrar una serie de restricciones al envío y transferencia de bienes y productos. De no hacerlo podrían presentarse una serie de problemas o inconvenientes por la existencia de afectaciones territoriales sean por causas de piratería, sanciones internacionales, falta de sucursales u oficinas de enlace, entre otros aspectos. No debe obviarse el análisis o revisión de las políticas del sitio, donde por lo general se incorporan elementos vinculados con publicidad y protección al consumidor, debiendo analizarse la no existencia de restricciones al envió de productos a determinadas zonas o regiones en el ámbito mundial, que puedan afectar al consumidor nacional. Por otro lado debe realizarse un adecuado análisis al contrato almacenado en páginas y sitios web de comercio electrónico a fin de determinar la no existencia de restricciones respecto de la compra de productos, así como restricciones vinculadas con el envío a determinado país o zona geográfica donde resida el comprador. El proceso de análisis de los pactos y contratos vinculados con la protección al consumidor debe tenerse en cuenta la existencia de criterios relativos a la revocación de la aceptación por medios electrónicos, la determinación de plazos de revocación, así como la determinación de limitantes de responsabilidad. Por otro lado, es importante verificar los fundamentos para la aplicación de cargos posteriores y si existe posibilidad de devolución de productos. Asimismo, debe verificarse los criterios para la obligatoriedad de la oferta y los elementos de validez de la misma. En otras palabras debe realizarse un esfuerzo concreto por conocer la existencia de algún rol tuitivo para la defensa del consumidor que pueda aplicarse para defender al comprador por medios electrónicos. 9 Grandes avance en materia de protección al consumidor se encuentran en Europa. Por lo tanto, “No hay comercio sin consumo. El usuario de la Red, cuando actúa en calidad de consumidor, es decir, de destinatario final de los bienes y servicios que se ofrecen en línea, es pues la gran contraparte del prestador de servicios de la sociedad de la información (…)” GARCÌA MEXÌA, Pablo. Derecho Europeo de Internet. Hacia la autonomía Académica y la Globalidad Geográfica. La Coruña. NETBIBLO S.L. 2009. p.251. 7 A fin de evitar contingencias futuras no debe dejar de analizarse aquellos temas vinculados con la aplicación del marco legal aplicable a cada una de las operaciones electrónicas; la existencia de alguna previsión relativa a las formas alternativas de resolución de conflictos en medios electrónicos, así como la determinación de la existencia de diversos aspectos vinculados con la aplicación y designación del juez competente que deberá dilucidar el problema legal al presentarse algún problema jurisdiccional o judicial. Por último, debemos resaltar que la seguridad de la contratación electrónica es fundamental para consumidores, compradores, vendedores y proveedores deben contar con el correspondiente apoyo legal especializado en aspectos relativos al Derecho Informático que permitan evitar contingencias jurídicas futuras debido a la diversidad de elementos implicados en cada transacción electrónica de carácter comercial. BIBLIOGRAFÍA DEL PESO NAVARRO, Emilio y otros. Vocabulario Español Actualizado de Iustecnología de la Información. Madrid. Ediciones Díaz de Santos. 2009. 574 p. ESPINOZA CÉSPEDES, José Francisco. Contratación Electrónica, Medidas de Seguridad y Derecho Informático. Lima. RAO. 2000. GARCÌA MEXÌA, Pablo. Derecho Europeo de Internet. Hacia la autonomía Académica y la Globalidad Geográfica. La Coruña. NETBIBLO S.L. 2009. 288 P. LÓPEZ LUENGO, Mª Ángeles y Francisco Lobato Gómez. Operaciones de Venta. Comercio y Marketing. Madrid. Thomson Ediciones Spain. Paraningo S.A. Paraninfo. S.A. 179 p MARTÍNEZ-LÓPEZ, FRANCISCO J. y Paula Luna-Huertas. Marketing en la Sociedad del Conocimiento. Claves para la Empresa. Madrid. Delta Publicaciones. 2008. 260 p. MORA, Héctor. Manual del Vigilante de Seguridad. Tomo I. 3era Edición. Alicante. Editorial Club Universitario. 2012. 304 p. RIVAS PÉREZ, GABRIEL y Adrien Ricotta. Seguridad en el Comercio Electrónico. Múnich. Editorial GRIN, 2005. 52 p. 8