SITUACION ACTUAL DEL DERECHO INFORMATICO. FIRMA ELECTRONICA, CERTIFICACION DIGITAL Y COMERCIO ELECTRONICO Autor: Lic. Leopoldo Burguete Stanek El arribo de la informática, siendo uno de los fenómenos más importantes en la vida del ser humano, ha influido de manera directa en todas las áreas del conocimiento humano. Así pues, es imposible evitar que el propio Derecho no se ocupe de esta materia dada la importancia que ha cobrado en los últimos años ya que, ultimadamente, el llamado Derecho Informático se basa en la relación de personas que constituyen un centro de derechos y obligaciones. De manera general, se puede decir que la informática jurídica o Derecho Informático, es el conjunto de aplicaciones de la informática (ciencia del tratamiento lógico y automático de la información) en el ámbito del Derecho.1 El Derecho Informático es una disciplina que, como muchas otras ramas del Derecho, se encuentra en continuo desarrollo. El Derecho Informático surge en Estados Unidos, donde las primeras investigaciones se encaminaban a la necesidad de encontrar medios satisfactorios para tener acceso a información legal. El principal centro de estudios era, en la década de los cincuenta, el Health Law Center de la Universidad de Pittsburg, Pennsylvania. Para finales de dicha década, los ordenamientos legales acumulados en esta universidad se encontraban ya contenidos en cintas magnéticas y en 1960, la primera demostración de un sistema legal automatizado de búsqueda de información fue realizada en 1960 ante la Barra de la Asociación Americana de Abogados. Más tarde, el rediseño y su inevitable explotación comercial se produjeron por parte de Sistemas Aspen.2 Conforme los años, varias compañías norteamericanas incursionaron en la creación de nuevos sistemas de información legal, mismos que 1 2 Julio Téllez Valdés, Derecho Informático. 2003. Ed. Mc-Graw Hill, pag. 25. Idem. fueron adoptados por diversas compañías nacionales y transnacionales, despachos de abogados, los estados de la Unión Americana y prácticamente todas las dependencias del ejército americano. En el presente trabajo, se abordarán tres temas que han cobrado cada vez más importancia dentro del Derecho Informático. Estos son, primero, la firma electrónica; segundo, la certificación digital y, finalmente, el comercio electrónico. Los primeros dos serán tratados conjuntamente debido a la íntima relación que existe con su operación y el último tema, de manera individual. Estos temas, a pesar de estar contenidos en una rama relativamente nueva del Derecho, han sido objeto de constante estudio y regulación tanto a nivel nacional como internacional por lo que la presente reflexión esbozará estos temas de manera general y explicativa sobre el Derecho Informático. a. Firma electrónica y certificación digital El creciente uso de técnicas de autenticación electrónica en sustitución de las firmas a puño y letra así como de otros procesos tradicionales de autentificación de las firmas ha establecido la necesidad de crear marcos jurídicos ad hoc para reducir la incertidumbre respecto de las consecuencias jurídicas que pudiesen surgir del empleo de dichas técnicas modernas. Esta preocupación ha dado entrada a que el Derecho internacional haya implementado disposiciones legislativas que establecen las normas básicas de lo que constituye en esencia un fenómeno internacional, cuyo propósito consiste en la disminución del riesgo de que distintos países adopten criterios legislativos diferentes en relación con las firmas electrónicas. Partiendo de los principios fundamentales que subyacen tras el artículo 7 de la Ley Modelo de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional sobre Comercio Electrónico (CNUDMI) con respecto al cumplimiento 2 de la función de la firma en el ámbito electrónico, dicha Comisión formuló un régimen legal modelo destinado a ofrecer al legislador nacional un conjunto de reglas aceptables en el ámbito internacional con miras a crear un marco jurídico que permita un desarrollo más seguro para comprobar la fiabilidad técnica y eficacia de las firmas electrónicas. En los medios electrónicos, el original de un mensaje no se puede distinguir de una copia, no lleva una firma manuscrita y no figura en papel. Las posibilidades de fraude son considerables debido a la facilidad con que se pueden interpretar y alterar los datos en forma electrónica haciendo difícil su detección debido a la velocidad con que se procesan operaciones diversas. Al respecto, la firma electrónica3, de acuerdo al artículo 6 de la Ley Modelo, es considerada fiable si, (i) los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante; (ii) los datos de creación de la firma electrónica estaban, en el momento de la firma, bajo el control exclusivo del firmante; (iii) es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y (iv) cuando uno de los objetivos del requisito legal de (la) firma consiste en dar seguridades en cuanto a la integridad de la información a que corresponde, es posible detectar cualquier alteración de esa información hecha después del momento de la firma.4 Asimismo, se establece que, conforme los anteriores puntos, se entenderá sin perjuicio de la posibilidad de cualquier persona, (a) demuestre de cualquier otra manera la fiabilidad de una firma electrónica o (b) aduzca de pruebas que una firma electrónica no es fiable. De especial interés es el numeral (iv) antes referido, toda vez que el mismo fue concebido para los países cuya regulación normativa sobre las firmas manuscritas 3 La Ley Modelo define a la firma electrónica como aquellos datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, y que puedan ser utilizados para identificar la firmante en relación con el mensaje de datos e indicar que el titular de la firma que aprueba la información contenida en el mensaje de datos 4 Ley Modelo de la CNUDMI sobre Firmas Electrónicas 3 no permite hacer una distinción entre la integridad de la firma y la integridad de la información consignada. En otros países, en cambio, este numeral podría crear una firma que se constituyera aún más fiable que una firma manuscrita y, pues, ir más lejos del concepto de equivalente funcional que una firma creando, si adoptada, un documento original. Por otro lado, el artículo 7 de esta Ley Modelo tiene como finalidad la de aclarar que el Estado promulgante pueda designar un órgano o una autoridad confiriéndole la facultad para determinar qué tecnologías específicas pueden aplicarse en la fiabilidad de la firma. Sin embargo, esta disposición no supone que los Estados puedan o deban necesariamente promulgar dicha disposición. Al contrario, tiene como propósito transmitir el mensaje de que puede lograrse previsibilidad y certeza determinando qué técnicas de firma electrónica cumplen con los criterios de fiabilidad del artículo 6, siempre y cuando tal determinación se efectúe de conformidad con las normas internacionales para evitar así, distintos técnicas incoincidentes entre Estados. Más aún, el Estado puede dejar a libertad entre las partes el determinar las técnicas de la firma, ya sea por parte del Estado o por una entidad privada.5 En México, el pasado 29 de agosto de 2003, se publicó en el Diario Oficial de la Federación el acuerdo por el que se reforman y adicionan diversas disposiciones del Código de Comercio en materia de firma electrónica.6 Las reformas tienen como propósito permitir que el comercio electrónico se desarrolle con la indispensable seguridad jurídica de las partes para evitar fraudes en el empleo de 5 La Ley Modelo inclusive propone ofrecer al usuario una clave única y privada las cuales, a través de complejos mecanismos de criptografía, pueden ser vinculadas para su comprobación por medio de un prestador de servicios de certificación quien emite un certificado, es decir, un registro electrónico que indica una clave pública junto con el nombre del suscriptor del certificado como “sujeto” del certificado, confirmando así que el firmante potencial que figura en el certificado posee la clave privada correspondiente. 6 Anteriormente, se habían ya realizado reformas al Código Civil para el Distrito Federal en Materia Común y para toda la República en Materia Federal, Código Federal de Procedimientos Civiles, Código de Comercio y de la Ley Federal de Protección al Consumidor en materia de comercio electrónico, decreto que fue publicado el 29 de mayo del 2000. 4 los medios electrónicos, ópticos o en el Internet. La reforma puede ser dividida en tres partes, una que se refiere a la firma electrónica; otra que se refiere a los prestadores de servicios de certificación y una tercera que se refiere al reconocimiento de certificados y firmas electrónicas extranjeras. En las nuevas disposiciones en estudio se define la firma electrónica como los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo por cualquier tecnología, que son utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información contenida. Asimismo, define mensaje de datos como la información generada, enviada, recibida, o archivada por medios electrónicos, ópticos o cualquier otra tecnología. De igual forma, es definido el prestador de servicios de certificación como aquella persona o institución pública que preste servicios relacionados con firmas electrónicas y que expide los certificados, en su caso. Adicionalmente se determinan las personas facultadas para prestar dichos servicios, previa acreditación ante la Secretaría de Economía, los cuales son: (i) los notarios públicos; (ii) los corredores públicos; (iii) las personas morales de carácter privado, y (iv) las instituciones públicas, conforme a las leyes que les son aplicables. Resulta sólo lógico que los notarios y corredores públicos absorban este tipo de responsabilidades toda vez que su labor es basada en la fe que le otorga a determinados documentos. Adicionalmente, se equipara la validez de la firma electrónica y la autógrafa, siendo admisible como prueba en juicio. De igual forma, cuando la ley establezca como requisito que un acto jurídico deba otorgarse en instrumento ante fedatario público, éste y las partes obligadas, podrán, a través de mensajes de datos, expresar los términos exactos en que las partes han decidido obligarse. En cuanto a dichos prestadores de servicios de certificación se requiere que éstos obtengan autorización de la Secretaría de Economía, por lo cual deberán comprobar ante dicha autoridad, principalmente (i) que conforme a su objeto social puede prestar 5 el servicio; (ii) que cuenta con los elementos humanos, económicos, tecnológicos para garantizar la seguridad de la información y su confidencialidad y (iii) que cuenta con procedimientos específicos y definidos que garanticen la seriedad de los certificados emitidos. También, se reconoce la validez de los certificados y firmas electrónicas extranjeros si presenta un grado de fiabilidad equivalente a la establecida por la ley para los certificados expedidos en la República Mexicana. Estos prestadores de servicios tienen como labor primordial comprobar por sí o por medio de una persona física o moral que actúe en nombre y por cuenta suyos, la identidad de los solicitantes y cualesquiera circunstancias pertinentes para la emisión de los Certificados, utilizando cualquiera de los medios admitidos en derecho, previamente notificados al solicitante. No sobra mencionar la confidencialidad que se les deposita a estos prestadores respecto de la información que hayan recibido por lo que el contenido privado de estos documentos electrónicos quedará registrado y sujeto a la disposición del destinatario de dicho documento, los firmantes y cualquier persona autorizada por los anteriores. Asimismo, es de notar que la validez de estos certificados se basa, principalmente en el código de identificación único del Certificado. No se puede evitar mencionar que los requisitos relativos a los prestadores de servicios de certificación y el propio certificado contenidos en el Código de Comercio son sumamente laxos. No constituye este el espacio adecuado para abundar en los tecnicismos y los complejos niveles de algoritmos y matemáticas necesarios para la elaboración de métodos de comprobación eficaces –mucho menos las de un abogado-, sin embargo, es preciso, primero, idear métodos de comprobación modernos y confiables para la certificación de mensajes de datos y firmas electrónicas y segundo, evitar el surgimiento de una multiplicidad de dichos métodos toda vez que resultaría en un tipo de “competencia” y el posible desprestigio de métodos eficaces que, inevitablemente, relacionaría con este país un grado desconfianza y falta de seriedad a nivel internacional. 6 b. Comercio electrónico Por otro lado, tenemos la relevancia del comercio electrónico. El empleo de los modernos medios de comunicación, como lo es el correo electrónico y el intercambio electrónico de datos, se ha hecho conocer con rapidez en la negociación de las operaciones comerciales internacionales y no es difícil pensar que el empleo de estas vías de comunicación sea cada vez mayor, a medida que se vaya difundiendo el acceso a herramientas técnicas como el Internet y otras vías de comunicación electrónica. El comercio electrónico se entiende como la compraventa de productos y la contratación de servicios a través de Internet.7 La transacción típica de comercio electrónico se compone de tres fases: (i) un comprador potencial entra a una página de Internet para obtener información sobre cierto producto en el que está interesado; (ii) el comprador manifiesta su aceptación enviando una orden de pago al vendedor y (iii) el vendedor procesa la orden de pago y hace entrega del producto o presta el servicio al cliente. El comercio electrónico puede practicarse mediante dos canales: de empresa a empresa o de empresa a consumidor. El primero se emplea con el propósito de que las empresas vendan y paguen productos entre sí; el segundo se utiliza para que el contacto entre la empresa y el consumidor sea directo. Para estos dos canales se han creado varios modelos de negocios llamados virtuales, esto es, “formas virtuales de organización para ofrecer productos y servicios, para cobrar y establecer las condiciones de entrega”.8 Este modelo es el más simple pues se ofrecen productos y servicios junto con los mecanismos para adquirir los mismos, lo que en Estados Unidos se considera como “user friendly”. Por otro lado, existen páginas que ofrecen productos y servicios de todo tipo, tratando de satisfacer el 7 8 Víctor Manuel Rojas Amandi, El uso de Internet en el derecho. Editorial Oxford, 2001. Pág. 22. Idem. 7 máximo de necesidades del comprador, en un solo portal. Ejemplos de éstos son Yahoo!, Amazon, entre muchos otros. Por lo tanto, la facilidad, rapidez, comodidad y muchas veces los precios han hecho que el comercio electrónico haya crecido de manera notable, involucrando millones de dólares en línea. En México, el comercio electrónico aún no ha alcanzado el desarrollo alcanzado en otros países. La razón principal de esta falta de cultura es la desconfianza frente a este tipo inusual de comercio – por cierto, cada vez más usual – ya que es normal percibir de inmediato los frutos de una transacción económica. A pesar de las nuevas reformas al Código de Comercio anteriormente mencionadas, la regulación jurídica sobre comercio electrónico en México no es uniforme ni rige todos los posibles contratos de esta especie.9 La razón consiste en que los contratos de compraventa y de compraventa electrónica se rigen por tres leyes, esto es, el Código de Comercio, el Código Civil Federal y los códigos civiles locales. Aunque la regulación básica del Código Civil para el Distrito Federal es casi idéntica al Código Civil Federal, sólo ha sufrido reformas en materia de comercio electrónico el segundo. Entre los contratos que se celebren por Internet y que son objeto de regulación del Código Civil para el Distrito Federal y de los códigos locales, figuran los de compraventa entre particulares a través de subastas en línea. Por otro lado, entre los contratos de compraventa civiles celebrados por medios electrónicos se encuentran aquellos en que la Federación resulta ser parte. Los anteriores se regirán por las reglas específicas en materia de comercio electrónico del Código Civil Federal. La conclusión de los contratos por Internet se rige bajo los principios de oferta y aceptación en los contratos civiles.10 La oferta es una declaración de voluntad manifestada de forma unilateral en la que se manifiestan las condiciones mínimas bajo las cuales el contrato deberá posteriormente celebrarse. Una oferta que se 9 Ibidem. Se recomienda el estudio de los principios básicos del contrato para una mejor comprensión de los contratos en Internet. 10 8 manifiesta por medios electrónicos, llámese correo electrónico, representa una declaración de la voluntad suficiente para que entre al mundo del Derecho, independientemente que el receptor de la oferta no la haya aceptado. Aquí, la computadora se constituye como el medio técnico para expresar la voluntad. Aún cuando la computadora se encuentre programada para emitir constantes manifestaciones de voluntad u ofertas, la computadora opera en base a la voluntad general de su operador o la persona a quien representa. Asimismo, dicha interacción entre oferente y receptor es considerada por el Código Civil Federal, en su artículo 1805, como hecha entre presentes, añadiendo más adelante, en su artículo 1811, que la oferta que se haga a través de Internet resulta válida aunque las partes no hayan convenido expresamente esa manera de contratar. Por otro lado, la aceptación es una declaración de la voluntad referida a una oferta y que coincide con su contenido. El consentimiento se perfecciona hasta que se ha manifestado la aceptación uniéndose así estas dos manifestaciones para la realización de un objetivo común creando derechos y obligaciones recíprocas. A diferencia de la oferta, que forzosamente debe hacerse de manera expresa, la aceptación se puede realizar de manera tácita, ocurriendo, por ejemplo, en el caso de ofertas manifestadas a través de Internet, haciendo clic con el ratón o mouse, como es comúnmente llamado. Por otro lado, un aspecto relevante en los contratos de comercio electrónico es que no se requiere que la manifestación de la voluntad de las partes se exprese en un único instrumento. Por su parte, el Código de Comercio enuncia, en su artículo 89 Bis, el principio fundamental por lo que respecta a los mensajes de datos.11 Este principio manifiesta el que no se les serán negados efectos jurídicos, validez o fuerza obligatoria a cualquier tipo de información por la sola razón de que esté contenida en un mensaje de datos. Este principio debe ser aplicable aún cuando la ley exija 11 Se entiende por mensaje de datos, a la información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología. 9 la presentación de un escrito o un original. Se trata de un principio de aplicación general, por lo que no debe limitarse su alcance a la práctica de la prueba o a otras cuestiones contempladas en las reformas antes mencionadas. Asimismo, el Código de Comercio establece que en los actos de comercio y la formación de los mismos se podrán emplear los medios electrónicos, ópticos o cualquier otra tecnología. Al abordar el tema de la identidad, se presume que un mensaje de datos proviene del emisor si ha sido enviado (i) por el propio emisor12, (ii) usando medios de identificación, tales como las claves o contraseñas del emisor o por alguna persona facultada para actuar en nombre del emisor respecto a ese mensaje de datos o (iii) por un sistema de información programado por el emisor o en su nombre para que opere automáticamente (art. 90). Asimismo, una vez enviado el mensaje por el emisor, el destinatario13 o la parte que confía14 podrá actuar cuando (i) haya aplicado en forma adecuada el procedimiento acordado previamente con el emisor, con el fin de establecer que el mensaje de datos provenía efectivamente de éste o (ii) el mensaje de datos que reciba el destinatario o la parte que confía, resulte de los actos de un intermediario15 que le haya dado acceso a algún método utilizado por el emisor para identificar un mensaje de datos como propio. Por otro lado, el artículo 91 de la Ley, referente al tiempo y lugar del envío de la recepción de un mensaje de datos, deriva del reconocimiento de que, para la aplicación de varias normas jurídicas, es indispensable determinar el tiempo y el lugar de la recepción de información. El empleo de las técnicas de comunicación 12 Se entiende por emisor, toda persona que, al tenor del mensaje de datos, haya actuado a nombre propio o en cuyo nombre se haya enviado o generado ese mensaje antes de ser archivada, si éste es el caso, pero que no haya actuado a título de intermediario. 13 Se entiende por destinatario, la persona designada por el emisor para recibir el mensaje de datos, pero que no esté actuando a título de intermediario respecto a dicho mensaje. 14 Se entiende por parte que confía, la persona que, siendo o no el destinatario, actúa sobre la base de un certificado o una firma electrónica. 15 Se entiende por intermediario a la persona que, actuando por cuenta de otra, envíe, reciba o archive dicho mensaje o preste algún otro servicio respecto a él. 10 electrónica hace un tanto difícil la determinación del tiempo y lugar. Es frecuente que los usuarios del comercio electrónico y otros medios conexos de comunicación se comuniquen de un Estado a otro desconociendo la ubicación de los sistemas de información por medio de los cuales se efectúa la información. Así, este artículo tiene por objeto dejar constancia de que la ubicación de los sistemas de información es indiferente y prevé un criterio más objetivo, es decir, el establecimiento de las partes. Dicho lo anterior, el artículo 91 establece que, salvo pacto en contrario, el momento de recepción de un mensaje de datos se determina por los razonamientos consistentes en: (i) habiendo una designación de un sistema de información para la recepción de mensajes de datos, ésta tendrá lugar en el momento en que ingrese el sistema; (ii) de enviarse el mensaje de datos a un sistema de información del destinatario que no sea el sistema de información designado, o de no haber un sistema de información designado en el momento en que el destinatario recupere el mensaje de datos, la recepción tendrá lugar cuando el mensaje de datos ingrese a un sistema de información del destinatario. Lo anterior es aplicado aún cuando el sistema de información esté ubicado en un lugar distinto de donde se tenga por recibido el mensaje de datos. Luego entonces, los requisitos son muy similares a los comúnmente considerados en México respecto a las comunicaciones consignadas en papel. Si bien resulta a veces confusa la redacción de los artículos anteriormente mencionados, mucho dependerá la aplicabilidad y eficacia de estos preceptos en la medida en que se vayan practicando día con día y se de la debida difusión de estas herramientas ya estudiadas y comprendidas dentro del Derecho. Términos de carácter electrónico se usarán constantemente y es preciso que se respeten las definiciones dadas en el artículo 89 del Título Segundo del Código de Comercio. Sin embargo, existen términos que no fueron definidos en dicho artículo que si bien forman parte de un vocabulario de uso común, muchas personas no han sido 11 introducidas a dichos términos. Tal es el caso del concepto “ingreso” en un sistema de información, utilizado para definir tanto la expedición como la recepción de un mensaje de datos, el cual se constituye en la entrada de un mensaje de datos en un sistema de información desde el momento en que puede ser procesado en este sistema de información. Asimismo, este ingreso puede ser comprobado a través de un acuse de recibo del propio mensaje, en términos del artículo 92 del citado Código de Comercio. De nuevo, es gracias al Derecho Internacional que estas disposiciones son posibles en la legislación de nuestro país. La gran mayoría de los preceptos reflejados en el Código de Comercio se encuentran contenidos en la Ley Modelo de la CNUDMI sobre el Comercio Electrónico, emitido en 2001. Resulta entendible que entre sus objetivos figure el permitir o facilitar el empleo de firmas electrónicas y el de conceder igualdad de trato a los usuarios de documentación consignada sobre papel y a los de información consignada en soporte informático pues, como bien se afirma, son fundamentales para promover la economía y la eficiencia del comercio internacional. Mas aún, los principios de no discriminación de ninguna de las diversas técnicas utilizadas para comunicar o archivar electrónicamente información así como la información consignada de manera electrónica deben ser fielmente seguidos por los Estados adoptantes de este modelo. Inclusive, las Leyes Modelo antes referidas cuentan con guías para la aplicación e implementación de sus preceptos, siempre respetando las consideraciones particulares del Derecho Interno pero nunca dejando de lado la importancia en la posible homogeneidad y comprensión respecto del intercambio confiable de información en todo el mundo, haciendo posible su adecuado funcionamiento en un mundo cada vez más virtual. Por lo anterior, es recomendable que México adopte estas guías para una eficaz implementación de las reformas y adiciones del 29 de agosto de 2003, en materia de comercio electrónico. 12