Firma Electrónica y Entidades de Certificación

Anuncio
Universidad Panamericana
La firma electrónica y las entidades de
certificación
Alfredo Alejandro Reyes Krafft
Tesis de Doctorado
Facultad:
Derecho
Director:
Dr. Eduardo Preciado Briseño
2002
UNIVERSIDAD PANAMERICANA
FACULTAD DE DERECHO
POSGRADO EN DERECHO
LA FIRMA ELECTRÓNICA Y LAS ENTIDADES
DE CERTIFICACIÓN
TESIS
QUE PARA OBTENER EL DIPLOMA DE DOCTOR EN DERECHO
PRESENTA EL:
LIC. ALFREDO ALEJANDRO REYES KRAFFT
Director de Tesis: Dr. Eduardo Preciado Briseño
México, D.F.
2002
LISTA DE ABREVIATURAS Y SIGLAS
ABA: AMERICAN BAR ASSOCIATION
ABM: ASOCIACIÓN DE BANQUEROS DE MÉXICO
ACE: AGENCIA DE CERTIFICACIÓN ELECTRÓNICA
ALCA: AREA DE LIBRE COMERCIO DE LAS AMÉRICAS
AMDI: ACADEMIA MEXICANA DE DERECHO INFORMÁTICO
APEC: ASIA PACIFIC ECONOMIC COOPERATION.
ARPA: ADVANCED RESEARCH PROYECT AGENCY
ARPANET: ADVANCED RESEARCH PROJECT AGENCY NETWORK
ASN.1: VERSIÓN 1 DE ABSTRACTS SINTAX NOTATION.
B2B BUSINESS TO BUSINESS
B2C BUSINESS TO CONSUMER
BANXICO: BANCO DE MÉXICO
BITNET: BECAUSTE IT´S TIME NETWORK
BITS: UNIDAD MÍNIMA DE INFORMACIÓN QUE PUEDE SER PROCESADA POR UNA
COMPUTADORA.
BROWSER: NAVEGADOR
BYTES: SECUENCIA DE 8 BITS.
CERN: LABORATORIO EUROPEO DE ESTUDIOS SOBRE FÍSICA DE LAS PARTÍCULAS
CMT: COMISIÓN DEL MERCADO DE LAS TELECOMUNICACIONES
COFETEL: COMISIÓN FEDERAL DE TELECOMUNICACIONES
CPS: DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN
CRACKERS: LADRÓN DE CÓDIGOS O PROGRAMAS DE CÓMPUTO
CRL: LISTA DE REVOCACIÓN DE CERTIFICADOS
CSNET: CANAL DE INVESTIGACIÓN CIENTÍFICA EN COMPUTACIÓN
CSNET: COMPUTER SCIENCE NETWORK
CUNY: UNIVERSIDAD DE LA CIUDAD DE NUEVA YORK
CURP: CLAVE ÚNICA DEL REGISTRO NACIONAL DE POBLACIÓN
DELPHI: APLICACIÓN COMPUTACIONAL PROGRAMADA EN PASCAL
DES: DATA ENCRYPTION STANDARD
DIAL UP: SISTEMA COMERCIAL DE CONEXIÓN TELEFÓNICA.
DNS: DOMAIN NAMES SYSTEM
DOF: DIARIO OFICIAL DE LA FEDERACIÓN
DOS: DISK OPERATING SYSTEM
DSS: DIGITAL SIGNATURE STANDARD
EC-DC: ELECTRONIC COMMERCE FOR DEVELOPING COUNTRIES
EDI: INTERCAMBIO ELECTRÓNICO DE DATOS
EES: ESCROWED ENCRYPTION STANDARD
E-MAIL: CORREO ELECTRÓNICO
EMISARI: PRIMER SISTEMA DELPHI UTILIZADO ESPECIFICAMENTE PARA CONFERENCIAR
(CHATEAR)
FCC: FEDERAL COMMUNICATIONS COMMISION,
FECEMD: FEDERACIÓN DE COMERCIO ELECTRÓNICO Y MARKETING DIRECTO
FIDONET: RED INTERNACIONAL DE AVISOS ELECTRÓNICOS
FTAA: FREE TRADE AREA OF THE AMERICAS.
FTC: FEDERAL TRADE COMMISSION
FTP: SERVICIO DE TRANSFERENCIA DE ARCHIVOS
GBDE: GLOBAL BUSINESS DIALOG ON ELECTRONIC COMMERCE.
GILCE: GRUPO IMPULSOR DE LA LEGISLACIÓN DE COMERCIO ELECTRÓNICO
GUIDEC: GUÍA DE USO GENERAL EN EL COMERCIO DIGITAL INTERNACIONAL
HACKERS: PIRATAS INFORMÁTICOS QUE SE CARACTERIZAN POR ACCESAR A SISTEMAS
PROTEGIDOS SIN AUTORIZACIÓN DEL TITULAR
HARDWARE: ADITAMENTOS FÍSICOS PARA LA CONTRUCCIÓN DE COMPUTADORAS Y
2
HOME PAGE: PAGINA LOCAL
HOST: COMPUTADORA ANFITRIONA
HTML: LENGUAJE DE MARCACIÓN DE HIPERTEXTOS
IANA: INTERNET ASSIGNED NUMBERS AUTHORITY
ICANN: INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS
ICC: INTERNATIONAL CHAMBER OF COMMERCE.
ICPC: COMITÉ DE INFORMACIÓN, COMPUTO Y POLÍTICAS DE COMUNICACIÓN
IETF: INTERNET ENGINEERING TASK FORCE
IMPI: INSTITUTO MEXICANO DE LA PROPIEDAD INDUSTRIAL
INDA: INSTITUTO NACIONAL DE DERECHOS DE AUTOR
INWG: INTERNETWORK WORKING GROUP
ISO/IEC: ORGANIZACIÓN DE NORMAS INTERNACIONALES
ISOC: INTERNET SOCIETY
ISP: INTERNET SERVICE PROVIDERS
IWS: PROCESADORES DE INFORMACIÓN DE MENSAJES
JAVA: DESARROLLO DE SOFTWARE QUE, INCLUIDO EN LOS NAVEGADORES, PERMITE
EJECUTAR APLICACIONES SOBRE CUALQUIER PLATAFORMA COMPUTACIONAL.
KES: KEY ESCROW SYSTEM
LISTSERV: LISTA DE SERVIDORES
LMCE: LEY MODELO SOBRE COMERCIO ELECTRÓNICO
MILNET: MILITARY NETWORK
MOSAIC: PRIMER NAVEGADOR PARA ACCEDER A LAS PÁGINAS DEL SERVICIO WWW
NASA: NATIONAL AEREONAUTICS AND SPACE ADMINISTRATION
NCL: NETWORK CONTROL LANGUAGE
NCP: PROTOCOLO DE CONTROL DE CANAL
NIC: NETWORK INFORMATION CENTER
NIST: THE NATIONAL INSTITUTE OF SCIENCE AND TECHNOLOGY
NNTP: PROTOCOLO PARA LA TRANSMISIÓN DE NOTICIAS EN RED
NOM: NORMA OFICIAL MEXICANA
NREN: NATIONAL RESEARCH AND EDUCATIONAL NETWORK
NSF: NATIONAL SCIENCE FOUNDATION
NSFNET: NATIONAL SCIENCE FOUNDATION NETWORK
NU/EDIFACT : INTERCAMBIO ELECTRÓNICO DE DATOS DE LAS NACIONES UNIDAS PARA
LA ADMINISTRACIÓN DEL COMERCIO Y DEL TRANSPORTE
NU-CEFACT : CENTRO DE LAS NACIONES UNIDAS PARA LA FACILITACIÓN DEL COMERCIO
Y NEGOCIOS ELECTRÓNICOS
OCDE: ORGANIZACIÓN PARA LA COOPERACIÓN Y EL DESARROLLO ECONÓMICO
OMA. ORGANIZACIÓN MUNDIAL DE ADUANAS
OMC: ORGANIZACIÓN MUNDIAL DEL COMERCIO.
OMPI:- ORGANIZACIÓN MUNDIAL DE LA PROPIEDAD INTELECTUAL.
PAG: PKI ASSESMENT GUIDELINESS
PGP: PRETTY GOOD PRIVACY
PKI: PUBLIC KEY INFRAESTRUCTURE, INFRAESTRUCTURA DE LLAVE PÚBLICA
PROFECO: PROCURADURÍA FEDERAL DEL CONSUMIDOR
PSC: PRESTADOR DE SERVICIOS DE CERTIFICACIÓN
PYMES: PEQUEÑAS Y MEDIANAS EMPRESAS
RDC: RED DE SERVICIOS DE CERTIFICACIÓN
RSA: ESQUEMA DE ENCRIPCIÓN DESARROLLADO POR RIVEST-SHAMIR-ADLEMAN
SAT: SERVICIO DE ADMINISTRACIÓN TRIBUTARIA
SCT: SECRETARÍA DE COMUNICACIONES Y TRANSPORTES
SEAL: ENLACE SEGURO DE AUTENTICACIÓN ELECTRÓNICA
SOFTWARE: CONJUNTO DE PROGRAMAS QUE POSIBILITAN EL USO DE UNA
COMPUTADORA
SRI: INSTITUTO DE INVESTIGACIONES DE STANFORD
TC: TERCEROS DE CONFIANZA
3
TCP/IP: PROTOCOLO DE CONTROL DE TRANSMISIÓN
TEL: GRUPO DE TRABAJO DE TELECOMUNICACIONES DE APEC
TELMIN:
REUNIÓN
MINISTERIAL
DE
LA
INDUSTRIA
DE
INFORMACIÓN
Y
TELECOMUNICACIONES
TIC´S: TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
TLCAN: TRATADO DE LIBRE COMERCIO DE AMÉRICA DEL NORTE
TRAMITANET: SITIO EN INTERNET QUE DERIVA DEL ACUERDO POR EL QUE SE
ESTABLECEN LAS DISPOSICIONES QUE DEBERÁN OBSERVAR LAS DEPENDENCIAS Y LOS
ORGANISMOS DESCENTRALIZADOS DE LA ADMINISTRACIÓN PÚBLICA FEDERAL, PARA LA
RECEPCIÓN DE PROMOCIONES QUE FORMULEN LOS PARTICULARES EN LOS
PROCEDIMIENTOS ADMINISTRATIVOS A TRAVÉS DE MEDIOS DE COMUNICACIÓN
ELECTRÓNICA, ASÍ COMO PARA LAS NOTIFICACIONES, CITATORIOS, EMPLAZAMIENTOS,
REQUERIMIENTOS, SOLICITUDES DE INFORMES O DOCUMENTOS Y LAS RESOLUCIONES
ADMINISTRATIVAS DEFINITIVAS QUE SE EMITAN POR ESA MISMA VÍA.
TTP: TERCERO CONFIABLE
UCBS: UNIVERSIDAD DE CALIFORNIA EN SANTA BÁRBARA
UCLA: UNIVERSITY OF CALIFORNIA, LOS ANGELES
UIACP:
PRÁCTICAS
INTERNACIONALES
UNIFORMES
DE
AUTENTICACIÓN
Y
CERTIFICACIÓN
UIT: UNIÓN INTERNACIONAL DE TELECOMUNICACIONES
UNCITRAL: COMISIÓN DE LAS NACIONES UNIDAS PARA EL DERECHO MERCANTIL
INTERNACIONAL
UPU: UNIÓN UNIVERSAL DE SETRVICIOS POSTALES
USENET: UNIX USER NETWORK
UUCP: PROTOCOLO DE COPIA UNIX-TO-UNIX
VAN: VALUE ADDED NETWORK
WEB SITE: SITIO EN LA RED
WITSA: WORLD INFORMATION TECHNOLOGIES AND SERVICES ASSOCIATION.
WWW: WORLD WIDE WEB
XML: EXTENSIBLE MARKUP LANGUAGE
4
ÍNDICE
1. INTRODUCCIÓN
1.1. POSTULADOS Y LÍNEAS DE INVESTIGACIÓN.
10
10
1.1.1. CÓDIGO CIVIL FEDERAL
10
1.1.2. CÓDIGO FEDERAL DE PROCEDIMIENTOS CIVILES
10
1.1.3. CÓDIGO DE COMERCIO
11
1.1.4. LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR
12
1.1.5. CARACTERÍSTICAS:
12
1.1.5.1. INTEGRIDAD
13
1.1.5.2. ATRIBUCIÓN
16
1.1.5.3. ACCESIBILIDAD
18
2. ANTECEDENTES HISTÓRICOS DE INTERNET
19
3. ¿QUE ES INTERNET?
49
3.1. CONSENSO INTERNACIONAL
60
3.2. ORGANISMOS Y ASOCIACIONES INTERNACIONALES.
60
3.3. RECOMENDACIONES INTERNACIONALES
94
3.4. COMPROMISOS INTERNACIONALES SUSCRITOS POR
95
MÉXICO:
3.4.1. OMC
95
3.4.2. APEC
96
3.4.3. UE
96
3.4.4. ALCA
96
3.4.5. TRATADOS DE APLICABILIDAD ESPECÍFICA:
97
3.4.5.1. OMPI
97
3.4.5.2. UNCITRAL
97
3.4.5.3. OCDE
97
4. SITUACIÓN LEGAL EN MÉXICO.
98
4.1. ANTECEDENTES LEGISLATIVOS
98
4.2. REFORMAS DE MAYO DEL 2000
98
4.2.1. OBJETIVOS DE LA LEGISLACIÓN
99
5
4.2.2. EL ARCHIVO MERCANTIL
4.3. PROYECTO DE NOM. CONSERVACIÓN DE MENSAJES
99
100
DE DATOS
4.4. FACTURA ELECTRÓNICA
107
4.5. NOVEDADES LEGISLATIVAS:
113
4.5.1. LEY CONTRA EL CRIMEN ELECTRÓNICO
113
4.5.2. LEY DE PROTECCIÓN DE DATOS PERSONALES
119
4.5.3. LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR
120
4.5.4. PROTECCIÓN Y RECONOCIMIENTO A LA PROPIEDAD INTELECTUAL
121
DEL SOFTWARE
4.5.5. REFORMAS A LA LEY FEDERAL DE RADIO Y TELEVISIÓN
121
4.5.6. REDACCIÓN DE UNA LEGISLACIÓN SOBRE FIRMAS ELECTRÓNICAS
122
Y PRESTADORES DE SERVICIOS DE CERTIFICACIÓN
4.5.7. PROCESO DE APROBACIÓN DEL PROYECTO DE NUEVA LEY
122
FEDERAL DE TELECOMUNICACIONES
4.5.8. LEGISLACIÓN EN MATERIA DE NOMBRES DE DOMINIO
122
4.5.9. ADECUACIONES AL MARCO JURÍDICO DEL SISTEMA E-MÉXICO
123
4.5.10. LEY GENERAL DE INFORMÁTICA
126
5. FIRMA AUTÓGRAFA.
127
5.1. CONCEPTO
130
5.2. LA FIRMA EN DERECHO BANCARIO MEXICANO
137
5.3. LA FIRMA EN TÍTULOS DE CRÉDITO
142
5.3.1. LA FIRMA EN TÍTULOS DE CRÉDITO EMITIDOS EN SERIE
5.4. CONCEPTOS RELACIONADOS CON LA FIRMA
146
148
5.4.1. EL CONOCIMIENTO DE FIRMA
148
5.4.2. EL CATÁLOGO DE FIRMAS
150
5.4.3. LA FIRMA IMPRESA POR MEDIOS MECÁNICOS
152
5.4.4. LA MÁQUINA DE FIRMA
156
5.5. LA FIRMA EN MATERIA DE FIANZAS
157
5.6. LA FIRMA EN MATERIA DE SEGUROS
158
5.7. CARACTERÍSTICAS DE LA FIRMA
159
5.7.1. IDENTIFICATIVA
159
5.7.2. DECLARATIVA
159
5.7.3. PROBATORIA
159
6
5.8. ELEMENTOS DE LA FIRMA
5.8.1. FORMALES
159
159
5.8.1.1. COMO SIGNO PERSONAL
159
5.8.1.2. ANIMUS SIGNANDI
159
5.8.2. FUNCIONALES
160
5.8.2.1. IDENTIFICADORA
160
5.8.2.2. AUTENTICACIÓN
160
6. FIRMA ELECTRÓNICA
164
6.1. EN ESTADOS UNIDOS
165
6.2. EN LATINOAMÉRICA
185
6.2.1. ARGENTINA
185
6.2.2. COLOMBIA
187
6.2.3. CHILE
201
6.2.4. ECUADOR
203
6.2.5. PANAMÁ
203
6.2.6. PERÚ
205
6.2.7. VENEZUELA
205
6.3. EN EUROPA
206
6.3.1. ESPAÑA
206
6.3.2. ALEMANIA
210
6.3.3. FRANCIA
210
6.3.4. ITALIA
210
6.3.5. REINO UNIDO
212
6.3.6. PAISES BAJOS
212
6.3.7. SUECIA
212
6.3.8. COMUNIDAD EUROPEA
213
6.4. A NIVEL INTERNACIONAL
215
6.4.1. ONU
215
6.4.2. OCDE
219
6.4.3. ORGANIZACIÓN INTERNACIONAL DE NORMAS ISO
220
6.5. EN MÉXICO
220
6.6. FIRMA ELECTRÓNICA
221
6.7. FIRMA ELECTRÓNICA AVANZADA
222
6.8. CONCEPTOS RELACIONADOS CON LA FIRMA
223
7
ELECTRÓNICA
6.8.1. MENSAJE DE DATOS
223
6.8.2. INTERCAMBIO ELECTRÓNICO DE DATOS (EDI)
223
6.8.3. INICIADOR DE UN MENSAJE DE DATOS
223
6.8.4. DESTINATARIO DE UN MENSAJE DE DATOS
223
6.8.5. INTERMEDIARIO DE UN MENSAJE DE DATOS
224
6.8.6. EQUIVALENCIA FUNCIONAL
224
6.8.7. NEUTRALIDAD DEL MEDIO
227
6.8.8. SISTEMA DE INFORMACIÓN
230
6.8.9. AUTORIDAD O ENTIDAD DE CERTIFICACIÓN
230
6.8.9.1. PROTOCOLOS
231
6.8.9.1.1. ARBITRADOS
231
6.8.9.1.2. NOTARIALES
231
6.8.9.1.3. AUTOVERIFICABLES
231
6.8.9.2. DOCUMENTO WP.71 ONU
232
6.8.9.3. TIPOS DE CERTIFICADO
233
6.8.9.3.1. IDENTIDAD
233
6.8.9.3.2. AUTORIZACIÓN
233
6.8.9.3.3. TRANSACCIONAL
234
6.8.9.3.4. TEMPORAL
234
6.8.9.4. ESTADOS UNIDOS
234
6.8.9.5. UNIÓN EUROPEA
234
6.8.9.5.1. AUTORIDAD DE CERTIFICACIÓN
234
6.8.9.5.2. TERCEROS DE CONFIANZA
235
6.8.9.6. FUNCIONES DE LAS AUTORIDADES DE CERTIFICACIÓN
235
6.8.9.7. AUTORIDADES PÚBLICAS DE CERTIFICACIÓN
236
6.8.9.7.1. ESPAÑA
236
6.8.9.7.2. ITALIA
237
6.8.9.8. AUTORIDADES PRIVADAS DE CERTIFICACIÓN
238
6.8.9.8.1. ESPAÑA
238
6.8.9.8.2. BÉLGICA
238
6.8.9.8.3. ESTADOS UNIDOS
238
6.8.9.8.4. EN LA COMUNIDAD EUROPEA
239
6.8.9.8.5. EN INTERNET
239
8
6.9. CARACTERÍSTICAS DE UN SISTEMA SEGURO
240
6.9.1. AUTENTICACIÓN
241
6.9.2. ENCRIPTACIÓN O CIFRADO DE DATOS
245
6.9.2.1. CLASES DE CRIPTOGRAFÍA
248
6.9.2.2. CARACTERÍSTICAS DE LAS LLAVES PRIVADAS
250
6.9.2.3. DESVENTAJAS DEL CIFRADO TRADICIONAL O SIMÉTRICO
250
6.9.2.4. CIFRADO DE LLAVE PÚBLICA O ASIMÉTRICO
251
6.9.2.5. CARACTERÍSTICAS PRINCIPALES DE LAS LLAVES PÚBLICAS
257
6.10.
FIRMA DIGITAL O FIRMA ELECTRÓNICA AVANZADA
257
6.11.
VENTAJAS DE LA CRIPTOGRAFÍA ASIMÉTRICA
258
6.12.
CERTIFICADOS DIGITALES
267
6.12.1. ADMINISTRACIÓN DE LOS CERTIFICADOS
270
6.12.2. AUTORIDAD CERTIFICADORA
271
6.12.3. REGISTRO DE CERTIFICADOS
271
6.12.4. DECLARACIÓN DE PRÁCTICAS CON CERTIFICADOS
272
6.12.5. LISTA DE REVOCACIÓN DE CERTIFICADOS
272
6.12.6. FUNCIONAMIENTO DE LOS CERTIFICADOS
272
6.12.7. RECOMENDACIONES PARA SU USO
274
6.12.7.1. COMPROMISO DE CLAVE PRIVADA DE USUARIO
274
6.12.7.2. COMPROMISO DE CLAVE PRIVADA DE AUTORIDAD CERTIFICADORA
275
6.12.7.3. CAMBIO EN LOS DATOS DEL CERTIFICADO
275
6.12.7.4. VIOLACIÓN DE LA POLÍTICA DE LA AUTORIDAD CERTIFICADORA
275
6.12.7.5. EXPIRACIÓN DEL CERTIFICADO
275
6.12.8. DISPOSITIVOS DE ALMACENAMIENTO DE CERTIFICADOS
276
7. PROYECTO CYBERNOTARIO
277
8. PROYECTO BANXICO
285
9. PROPUESTA CONCRETA DE REFORMA LEGISLATIVA
292
10. CONCLUSIONES
305
11. BIBLIOGRAFÍA
309
9
1.- INTRODUCCIÓN
POSTULADOS Y LÍNEAS DE INVESTIGACIÓN:
El 29 de mayo del año 2000, se publicó en el Diario Oficial de la Federación el Decreto
por el que se reforman y adicionan diversas disposiciones del Código Civil para el
Distrito Federal en Materia Común y para toda la República en Materia Federal
(ahora Código Civil Federal), del Código Federal de Procedimientos Civiles, del
Código de Comercio y de la Ley Federal de Protección al Consumidor:
1. Las reformas y adiciones al CÓDIGO CIVIL FEDERAL se centraron en el
reconocimiento a la celebración de actos jurídicos a través de medios electrónicos,
ópticos o de cualquier otra tecnología, añadiéndose los “medios tecnológicos” como
medio idóneo para expresar el consentimiento. Es importante resaltar que se estableció
una equivalencia funcional entre el consentimiento expresado por medios tecnológicos
y la firma autógrafa “siempre que la información generada o comunicada en forma
íntegra, a través de dichos medios sea atribuible a las personas obligadas y accesible
para su ulterior consulta”.
2. Se reconoce en el CÓDIGO FEDERAL DE PROCEDIMIENTOS CIVILES como
prueba, la información contenida en los medios electrónicos, ópticos o en cualquier otra
tecnología, dando una serie de reglas para su valoración por parte del juzgador: La
fiabilidad del método para generar, comunicar, recibir o archivar la información
(que pueda conservarse sin cambio), su atribución a las personas obligadas y la
posibilidad de acceder a ella en ulteriores consultas.
Asimismo y para que la
10
información generada, comunicada, recibida o archivada por medios electrónicos se
considere como original (para su conservación o presentación) deberá acreditarse que
dicha información se ha mantenido íntegra e inalterada a partir del momento en que se
generó por primera vez en su forma definitiva y ésta pueda ser accesible para su
ulterior consulta
3. En el CODIGO DE COMERCIO se define el concepto “Mensaje de Datos” como la
información generada, enviada, recibida, archivada o comunicada a través de medios
electrónicos, ópticos o cualquier otra tecnología.
Respecto de la obligación a los comerciantes de conservar por un plazo mínimo de 10
años los originales de aquellas cartas, telegramas, mensajes de datos o cualesquiera
otros documentos en que se consignen contratos, convenios o compromisos que den
nacimiento a derechos y obligaciones1, en el caso de mensajes de datos se requerirá
que el contenido de la información se haya mantenido íntegro e inalterado a partir del
momento en que se generó por primera vez en su forma definitiva y sea accesible para
su ulterior consulta. La Secretaría de Economía deberá emitir una Norma Oficial
Mexicana que establezca los requisitos que deberán observarse para la conservación
de mensajes de datos.
Se establece una presunción en materia mercantil, salvo pacto en contrario, de que el
mensaje proviene del emisor (atribución a la persona obligada) si ha sido enviado: i)
1
El primer párrafo del artículo 49 del Código de Comercio se refiere a que los Comerciantes están
“obligados a conservar por un plazo mínimo de diez años los originales de aquellas cartas, telegramas,
mensajes de datos o cualesquiera otros documentos en que se consignen contratos, convenios o
compromisos que den nacimiento a derechos y obligaciones”, lo me anterior parece redundante, toda vez
que el Código Civil Federal define al Contrato como el convenio que produce o transfiere obligaciones o
derechos.
11
Usando medios de identificación, tales como claves o contraseñas de él (para lo que se
requerirá de un previo acuerdo entre las partes), o ii) Por un sistema de información
programado por el emisor o en su nombre para que opere automáticamente.
En materia mercantil, al igual que en la civil, cuando la ley exija la forma escrita para los
contratos y la firma de los documentos relativos, esos supuestos se tendrán por
cumplidos tratándose de mensaje de datos siempre que éste sea atribuible a las
personas obligadas y accesible para su ulterior consulta.
Y se reconoce como prueba a los mensajes de datos. Para valorar la fuerza probatoria
de dichos mensajes, se estimará primordialmente la fiabilidad del método en que haya
sido generada, archivada, comunicada o conservada
4. Se reformó la LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR para reconocer
la utilización de medios electrónicos, ópticos o cualquier otra tecnología en la
instrumentación
de
las
operaciones
que
celebren
los
proveedores
con
los
consumidores, dando las bases sobre las cuales habrán de realizarse dichas
operaciones (confidencialidad, certeza, seguridad en la información proporcionada al
consumidor, etc.), previendo sanciones administrativas para el caso de que los
proveedores no cumplan con dichas disposiciones.
De lo anterior resulta necesario hacer las siguientes consideraciones:
Para que un mensaje de datos en el que se consignen contratos, pueda considerarse
legalmente válido, es necesario asegurar que la información en él contenida reúna las
siguientes características:
12
I.- INTEGRIDAD:
Entendida en dos vertientes, la primera respecto de la fiabilidad del método para
generarla, comunicarla, recibirla o archivarla. Y la segunda como la forma de garantizar
que la información en él contenida no fue alterada. Al respecto la Secretaría de
Economía elaboró un proyecto de Norma Oficial Mexicana que establece los requisitos
que deben observarse para la conservación de mensajes de datos, con fundamento en
lo dispuesto por el artículo 49 segundo párrafo del Código de Comercio.
El Viernes 17 de Agosto, 2001 se dieron por concluidos los trabajos correspondientes al
Proyecto de NOM arriba especificada.
El viernes 28 de septiembre del 2001, se llevó a cabo la reunión 03/2001 del Comité
Consultivo Nacional de Normalización de Seguridad al Usuario, Información Comercial y
Prácticas de Comercio. En dicha reunión se aprobó, entre otras cuestiones, la
publicación íntegra del PROY-NOM en el Diario Oficial de la Federación.
La publicación se efectuó el día 17 de noviembre del 2001 en el Diario Oficial de la
Federación. Dicho documento se expidió para consulta pública a efecto de que dentro
de los siguientes 60 días naturales, los interesados presentaran sus comentarios ante el
Comité Consultivo Nacional de Normalización de Seguridad al Usuario, Información
Comercial y Prácticas de Comercio, para que en los términos de la Ley Federal sobre
Metrología y Normalización se consideren en el seno del Comité que lo propuso.
El Comité a que se refiere el párrafo anterior estuvo integrado por representantes de las
siguientes empresas e instituciones:
-
ACERTIA NETWORKS, S.A. DE C.V.
-
ALESTRA, S. DE R.L. DE C.V.
13
-
ASOCIACION MEXICANA DE ESTANDARES PARA EL COMERCIO ELECTRONICO, A.C.
-
ASOCIACION MEXICANA DE LA INDUSTRIA DE TECNOLOGIAS DE INFORMACION, A.C.
-
ASOCIACION NACIONAL DE TIENDAS DE AUTOSERVICIO Y DEPARTAMENTALES, A.C.
-
BANCO DE MEXICO.
-
BANCO INTERNACIONAL, S.A.
-
BANCO NACIONAL DE MEXICO, S.A.
-
BBVA BANCOMER, S.A.
-
CAMARA NACIONAL DE COMERCIO DE LA CIUDAD DE MEXICO.
-
CAMARA NACIONAL DE LA INDUSTRIA ELECTRONICA, DE TELECOMUNICACIONES E
INFORMATICA.
-
CECOBAN, S.A. DE C.V.
-
CONSEJO MEXICANO DE LA INDUSTRIA DE PRODUCTOS DE CONSUMO, A.C.
-
COMISION FEDERAL DE TELECOMUNICACIONES.
-
COMPAÑIA PROCTER & GAMBLE MEXICO, S. DE R.L. DE C.V.
-
HEWLETT PACKARD DE MEXICO, S.A. DE C.V.
-
IBM DE MEXICO, S.A. DE C.V.
-
INSTITUTO NACIONAL DE ESTADISTICA, GEOGRAFIA E INFORMATICA.
Dirección General de Políticas y Normas en Informática.
-
KPMG CARDENAS DOSAL, S.C.
-
PEGASO COMUNICACIONES Y SISTEMAS, S.A. DE C.V.
-
PETROLEOS MEXICANOS. Gerencia de Informática y Sistemas Financieros.
-
PODER JUDICIAL FEDERAL. Instituto Federal de Especialistas de Concursos Mercantiles.
-
PROMOCION Y OPERACION, S.A. DE C.V.
-
SECRETARIA DE ECONOMIA.
Dirección General de Normas.
Dirección General de Fomento al Comercio Interior.
Dirección General de Política de Comercio Interior y Abasto.
-
SEGURIDATA PRIVADA, S.A. DE C.V.
-
SERVICIO DE ADMINISTRACION TRIBUTARIA.
Administración General de Grandes Contribuyentes.
Administración General de Tecnología de la Información.
-
SOFTWARE AG, S.A. DE C.V.
-
VERA ABOGADOS, S.C.
-
WAL-MART DE MEXICO, S.A. DE C.V.
-
XEROX MEXICANA, S.A. DE C.V.
-
X WEB ADOBE, S.A. DE C.V.
Al respecto, se presentaron algunas diferencias respecto del texto consensado en el
grupo de trabajo y el publicado en el DOF:
14
Artículo TRANSITORIO – VIGENCIA
De acuerdo al procedimiento aceptado por la Secretaría, los textos una vez
aceptados por los grupos de trabajo NO podrán sufrir modificación de ninguna
especie.
El texto de la Vigencia de la NOM consensado por los grupos de trabajo, fue:
“9.- Vigencia
La presente Norma Oficial Mexicana entrará en vigor el día siguiente de
aquel en que entre en vigor la legislación en materia de Firma Electrónica y
Prestadoras de Servicios de Certificación”
En el documento publicado, el texto anterior fue sustituido por el siguiente:
“TRANSITORIO
La Secretaría publicará en el Diario Oficial de la Federación, el aviso por el
cual se da a conocer la fecha de entrada en vigor del presente Proyecto de
Norma Oficial Mexicana, una vez que sea publicada en aquel como Norma
definitiva.”
Independientemente de que este texto no fue consensado, el mismo resulta violatorio
por lo dispuesto en el Artículo 34 del Reglamento de la Ley Federal sobre Metrología y
Normalización, el cual dispone en su parte conducente, lo siguiente:
“Las dependencias determinarán la entrada en vigor de cada Norma Oficial
Mexicana que expidan, la cual no podrá ser inferior a 60 días naturales después
de la fecha de su publicación en el Diario Oficial de la Federación....
Las dependencias, respetando el plazo a que hace referencia el párrafo anterior,
podrán determinar la entrada en vigor escalonada de determinados capítulos,
párrafos, incisos o sub-incisos de las Normas Oficiales Mexicanas.”
De la lectura de lo dispuesto por el precepto antes transcrito, aparece que esta NOM
debe tener fecha de vigencia que no podrá ser inferior a 60 días después de su
publicación en el Diario Oficial de la Federación, e inclusive se puede prever un plazo
15
de inicio de vigencia en cuanto entre en vigor la Ley de Firmas Electrónicas y otro plazo
posterior en cuanto entren en operación las Prestadoras de Servicios de Certificación.
Respecto del tema de Vigilancia, en el texto consensado con los grupos de trabajo, el
punto 6 de la NOM tenía el siguiente texto:
“6.- Vigilancia
La vigilancia del cumplimiento a lo dispuesto en esta NOM, respecto de la
actividad de los Prestadores de Servicios de Certificación en materia
comercial que al efecto se autoricen, estará a cargo de la Secretaría,
conforme a lo dispuesto en la legislación aplicable.”
No obstante el texto que fue consensado arriba descrito, en el documento publicado, se
modifica su texto, en los siguientes términos:
“6.- Vigilancia
La vigilancia del presente Proyecto de NOM, una vez que sea publicada en
el Diario Oficial de la Federación como Norma definitiva, estará a cargo de
la Secretaría conforme a sus atribuciones.”
Por lo anterior se solicitó a la Secretaría de Economía con objeto de mantener el
principio de legalidad en el proceso de elaboración, consulta y publicación de la NOM
de referencia que se establezca un plazo de vigencia, incluyendo de resultar
conveniente en forma escalonada, como lo ordena el Artículo 34 del Reglamento de la
ley de la materia y que en el punto 6 correspondiente a la Vigilancia de la NOM se
regrese al texto consensado, aplicándose sólo para los Prestadores de Servicios de
Certificación.
II.- ATRIBUCIÓN:
Es la forma en que podemos garantizar que las partes que se obligan en la relación
jurídica son quienes dicen ser y expresan su voluntad libre de vicios.
16
Esta atribución a las personas obligadas en la relación jurídica que se pretende
formalizar en un mensaje de datos, no es más que una “FIRMA ELECTRÓNICA”, la
cual puede ser de dos tipos:
SIMPLE definida como los datos en forma electrónica consignados en un mensaje de
datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para
identificar al firmante en relación con el mensaje de datos (partiendo de la presunción,
en materia mercantil, de que el mensaje ha sido enviado usando medios de
identificación como claves o contraseñas por ambas partes conocidas, para lo cual se
requerirá de un acuerdo previo y firmado en forma autógrafa por las partes) o
AVANZADA que podemos conceptuar como la firma electrónica que permite la
identificación del firmante y ha sido generada bajo su exclusivo control que vincula
exclusivamente al mismo con el mensaje de datos al que se adjunta o se asocia, lo que
permite que sea detectable cualquier modificación ulterior de éste (entendida como
proceso electrónico que permite al receptor de un mensaje de datos identificar
formalmente a su autor, mismo autor que mantiene bajo su exclusivo control los medios
para crear dicha firma, de manera que esté vinculada únicamente a él y a los datos a
que se refiere el mensaje, permitiendo detectar cualquier modificación ulterior al
contenido del mismo, garantizando así la identidad del titular y que éste no pueda
desconocer la autoría del documento.
Para esto será necesario que se expida legislación federal relativa a la firma electrónica
“avanzada” en la que se regule la actividad de los prestadores de servicios de
certificación, a los propios certificados de firmas electrónicas, así como la admisibilidad
17
y forma de presentar como prueba en juicio a los mensajes de datos firmados y se
establezcan los requisitos técnicos necesarios en una NOM para tales efectos,
procurando preservar la independencia tecnológica.
III.- ACCESIBILIDAD:
Se refiere a que el contenido de un mensaje de datos en el que se consignen contratos,
pueda estar disponible al usuario (emisor, receptor, juez, auditor, autoridades, etc.) para
ulterior consulta, siempre y cuando reúna las dos características anteriormente
anotadas. Para ello será necesario establecer, en la legislación federal que al efecto
deberá emitirse, la forma de presentar a “los usuarios” estos mensajes de datos, la cual
podría hacerse previa certificación de atribución e integridad por parte del prestador de
servicios de certificación.
Es importante recalcar que el medio físico a través del cual el contenido de un mensaje
de datos se pone a disposición del usuario puede ser diferente de aquél en que se creó,
ya que se debe garantizar la integridad del mensaje de datos, no del medio físico que lo
contiene. Esto es, que el mensaje puede estar contenido en el disco duro de una
computadora y ponerse a disposición del usuario en un diskette, el copiarse a ese
medio físico distinto al en que fue creado no lo hace de ninguna manera perder
integridad.
De lo anterior podemos concluir que México cuenta con legislación que reconoce la
validez jurídica del contrato electrónico, su posibilidad de exigibilidad judicial, medios
probatorios y criterios para su valoración en juicio.
18
2.- ANTECEDENTES HISTÓRICOS DE INTERNET.
Desde cualquier punto de vista que se pretenda adoptar para el estudio de Internet,
hay que partir de la aseveración de que nunca había existido una Red como ésta en
toda la historia de la cultura humana, sin embargo siempre ha existido el propósito de
establecer comunicación universal entre todos los pueblos, y es ese propósito el que
finalmente, llevó a la creación y desarrollo de Internet.2
El inicio de la historia de Internet, lo podemos situar en los años sesenta, con el
establecimiento de los llamados "canales de paquetes autónomos de información", los
paquetes autónomos, son un método para fragmentar mensajes en subpartes
llamadas precisamente "paquetes" y enviando dichos paquetes de información a su
destinatario para que los reensamblara, lo cual permitía que varios usuarios al mismo
tiempo pudieran compartir la misma conexión en pequeñas unidades que pueden
enviarse separadamente.
Esta tecnología de los paquetes autónomos de información fue desarrollada en 1968
en los Estados Unidos, pero no fue sino hasta 1969, cuando fue utilizada por el
Departamento de Defensa de los Estados Unidos, específicamente por la Advanced
Research Project Agency, la cual utilizó este sistema, como ya habíamos mencionado,
con la finalidad de establecer un canal experimental diseñado como un medio de
apoyo en la investigación militar, concretamente con el objetivo estratégico real,
2
Cfr: Martínez Godínez Alfonso: La contratación Jurídica a través de medios electrónicos; Universidad
Panamericana; tesis para optar por el título de licenciado en derecho; 2000
19
todavía sencillo, de asegurar el envío de la orden de abrir fuego desde un centro de
control a las bases de misiles, aún después o más bien en el caso de que las Redes
de comunicaciones hubieren quedado en parte destruidas por un ataque, con el cual,
todas las bases quedarían en posibilidad de comunicarse entre ellas y con el centro de
control, para lo cual se aplicaba perfectamente el sistema de paquetes autónomos de
información.3
Dicho canal, se denominó ARPAnet, (Advanced Research Project Agency Network) el
cual utilizaba un Protocolo de Control de Canal (NCP) como su Protocolo de
transmisión desde 1969 y hasta 1982.
El Plan inicial para el ARPAnet, fue distribuido en octubre de 1967 durante el
Simposium
en
Principios
Operativos
de
la
Asociación
de
Maquinarias
Computarizadas.4.
El primer Procesador de Información de Mensajes para el ARPAnet, fue instalado en
la UCLA el primero de septiembre de 1969, el cual, únicamente contaba con 12
Kilobytes de memoria, sin embargo, era considerado una de las mejores computadoras
de su tiempo. Sin embargo, se instalaron posteriormente otros adicionales en el
Instituto de Investigaciones de Stanford (SRI), en al Universidad de California en Santa
Bárbara (UCBS), y en la Universidad de Utah respectivamente.
3
“The Law of the Net: Problems and Prospects”, Godwin, M., Internet World, 1993, p. 47.
4
The Internet Business Guide: Riding the Information Superhighway to Profit, R. Resnick y D. Taylor,
Editorial Sams Publishing, 1994, p. XXV.
20
Se dice que Internet, que es conocido como el "canal de canales", tuvo su origen
exacto en 1972, pues en octubre de ese año, tuvo lugar la Primera Conferencia
Internacional sobre Comunicaciones Computarizadas, con sede en la Ciudad de
Washington D.C., en ella, se realizó una demostración publica del ARPAnet.
Los representantes del proyecto alrededor del mundo, incluyendo Canadá, Francia,
Japón, Noruega, Suecia, Gran Bretaña y los Estados Unidos, discutieron la necesidad
de comenzar a trabajar en el establecimiento de acuerdos sobre protocolos, el
InterNetwork Working Group (INWG) fue creado para comenzar las discusiones para
llegar a un protocolo común, siendo nombrado como primer encargado Vinton Cerf,
quien estuvo involucrado con el ARPAnet instalado en la UCLA.
La visión propuesta de los principios arquitectónicos para lograr una interconexión
internacional de canales, lo cual era un asunto de canales independientes y autónomos
interconectados por otros canales, tal y como los circuitos independientes de ARPAnet
estaban interconectados por procesadores de información de mensajes (IWs).
En el ARPANET, una de las ventajas sobre las cartas enviadas por correo, fue que en
un
mensaje
de
ARPAnet,
una
persona
podía
escribir
despreocupada
e
impersonalmente a cualquier persona aún cuando fuera de mayor rango dentro del
ejército, puesto que no se conocía ciertamente quien iba a recibir el mensaje y el
receptor no se consideraba ofendido, ya que la despreocupación y la tolerancia de la
informalidad eran naturales porque el canal es más rápido, inclusive cuando dos
21
usuarios en distintos lugares se comunicaban conectando sus computadoras y
entablando una conversación alfanumérica; otra de las ventajas de ARPAnet que se
consideraron, fue que a través de sus mensajes uno podía proceder inmediatamente al
punto sin necesidad de entablar conversaciones innecesarias, además de que los
servicios de mensaje, dejaban constancia grabada de cada uno de los mensajes y que
la persona que enviaba el mensaje y la que lo iba a recibir, no tenían que estar
disponibles al mismo tiempo.
En el año de 1983, el ARPAnet, fue dividido en dos: ARPANET y MILNET, éste último
fue integrado al Canal de Datos de la Defensa, creado en 1982 y ARPANET fue puesto
fuera de servicio en el año de 1990.
El papel de ARPANET como canal pionero, fue sustituido por el NSFNET el cual con el
tiempo sería suplido por el Canal Nacional de Investigación y Educación (NATIONAL
RESEARCH AND EDUCATIONAL NETWORK: NREN).
ARPANET, fue de suma importancia en el desarrollo de la Red, pues en su tiempo fue
la más grande, rápida y más popular parte de la Red. Su estructura inicial fue influida
por el hecho de que fue desarrollado para formar parte del control y comando central de
la estructura de las fuerzas armadas de los Estados Unidos, durante el desarrollo de la
Guerra Fría. Así, fue diseñado para sobrevivir a un ataque nuclear, lo cual influyó en la
descentralización que actualmente caracteriza a la Red.
Cuando ARPANET estaba en las primeras etapas de su evolución, otra tecnología
estaba influyendo en el desarrollo de la Red: Los Canales de Ventas, que usaron la
22
tecnología de los sistemas de correo electrónico y los extendieron a lo que nosotros
llamarnos ahora “conferenciar” (chatear).
A finales de los setenta y principios de los ochenta, otro tipo de tecnología de canales
comenzó a entrar al escenario, estos fueron los primeros canales de ventas y de
investigación como BITNET y Usenet.5
Como otros muchos aspectos de la comunicación por medio de computadoras, la
conferencia interactiva es un concepto que influyó en la tecnología de las
computadoras.
Desde 1945 hasta 1970 varios modelos para conferenciar cara a cara o vía correo
regular se han desarrollado, un modelo que tuvo gran influencia es el denominado
"Método Delphi".
El primer sistema Delphi en línea para conferenciar, fue iniciado en 1970 el primer
hardware y software dedicado específicamente para conferenciar, fue el EMISARI, el
cual fue implementado en 1971, de cualquier forma, los sistemas para conferenciar de
computadora y de teletexto de los años setenta, tendieron a ser lentos y poco
confiables y fueron primeramente aplicados en ambientes estructurados para tareas
particulares.
5
IBIDEM, p. XXVII
23
Esto iba a cambiar a finales de los setenta y principios de los ochentas, con el
surgimiento de canales económicos creados por los usuarios tales como USENET,
BITNET Y FIDONET.
El Protocolo de copia UNIX-TO-UNIX o UUCP, fue creado en 1976 y el cual tuvo gran
éxito y fue adoptado por muchos canales por su gran facilidad para enviar y recibir
correspondencia, para conferenciar y transferencia de archivos.
Otro sistema desarrollado fue THEORYNET, iniciado por Lawrence Landweber en la
Universidad de Winsconsin en 1977, THEORYNET proporcionó facilidades de envío y
recibo de correspondencia para más de 100 científicos e investigadores en
computación. En mayo de 1979, Landweber tuvo un encuentro con representativos de
ARPA, de la National Science Foundation y científicos en computación de varias
universidades, el propósito de dicho encuentro fue establecer la factibilidad de
establecer un canal computarizado del Departamento de Investigación y Ciencia en
Computación. Dicho encuentro sirvió para el eventual establecimiento del Canal de
Investigación Científica en Computación (CSNET).6
El CSNET fue establecido por dos razones, por una parte, el UUCP, los módems y el
sistema de teléfono existente proveían un método disponible para la transferencia de
datos, por otra parte, grandes facilidades computacionales fueron aumentando
sobretodo a partir de que la Universidad de Wisconsin fue tomando mayor conciencia
6
Op. Cit. Nota 13, p. XXX
24
de las ventajas que la conexión de sistemas de cómputo de ARPANET le daba en
investigación y reclutamiento de estudiantes.
Una serie de propuestas del NSF fue generada y revisada. Los primeros diseños para
el CSNET, fueron previéndolo como un Canal que se mantuviera por sí solo.
Durante 1980, el científico de ARPA Vinton Cerf, propuso un plan para una conexión de
canales entre CSNET y ARPANET.
Este plan fue concebido por CSNET como un canal lógico compuesto de varios
canales físicos. Las comunicaciones entre CSNFT y ARPANET serían arregladas para
ser transparentes, esto es, los servicios en cada canal serian “accesados” a través de
una serie de protocolos.
Una serie de protocolos de comunicación desarrollados por ARPA llamados TCP/IP
serían usados para enviar la información entre los canales.
La conexión entre los canales podría ser a través de una conexión denominada Canal
de valor agregado o VAN (Value Added Network). La implementación de esta
conexión entre canales y la importante decisión de hacer al TCP/IP disponible sin
cargo, marcó la fundación de lo que posteriormente sería conocido como INTERNET.7
25
En agosto de 1980 durante la reunión de planeación de grupo de CSNET se
adoptaron muchas metas: todos los investigadores deberían tener acceso a CSNET, y
el costo por membresía debería graduarse de acuerdo al volumen y al nivel de
servicio, CSNET debería ser eventualmente autosuficiente financieramente, y la
implementación del proyecto debería costar menos de cinco millones de dólares y
tomar menos de cinco años.
La primera fase del plan implementado por CSNET proveyendo acceso telefónico al email fue completada en junio de 1982, la segunda fase completada en 1983, incluía la
implementación del primer servidor de nombres de dominio en la Universidad de
Wisconsin. Este fue el principal impulsor del Servicio de Nombres de Dominio ahora
utilizado ampliamente en los canales TCP/IP.8
Este Servicio de Nombres de Dominio dio facilidad al transporte de correspondencia en
el cual la computadora de usuario a usuario no necesitó ya conocer el camino exacto al
sitio del receptor. La información sobre envío de correspondencia puede ser generada
por consulta a la base central de datos en el Servidor de Nombres de Dominio, para
1990 este sistema sustituyó al viejo método UNIX.
En el tiempo mencionado, otro canal haciendo uso de UUCP estaba listo y corriendo:
USENET.
7
“A Normative Regulatory Framework for Computer Matching”, Clarke, R.A., The John Marshall Journal
of Computer & Information Law, vol. XIII, 1995, pp. 585-633, consultado en: www.findlaw.com
8
“Canadian Internet Handbook”, Carroll, J. y Broadhead, R., Editorial Prentice Hall, 1995, Scarborough, p.
46.
26
Un importante sistema para conferenciar (chatear) primeramente distribuido fué el
Canal de Usuarios de Unix (Unix User Network o USENET) el cual implemento el
UUCP o Unix to Unix Copy Protocol para transportar noticias.
Se estima que
actualmente hay más de diez millones de usuarios usándolo en computadoras que son
parte de USENET.
USENET es un ejemplo de una arquitectura cliente-servidor. Un usuario conecta una
máquina la cual se conecta a otra máquina la cual ha adquirido la correspondencia de
USENET de los pasados días, semanas u horas. Los usuarios miran los encabezados
de la correspondencia en el grupo que les interesa, entonces el usuario envía un
comando requiriendo el texto completo de una correspondencia particular o artículo, la
máquina del cliente requiere el artículo particular para que le sea enviado por la
máquina a la que se encuentra conectada la suya. Si el artículo no se encuentra
disponible por cualquier razón, aparece un mensaje que indica: "artículo no disponible"
y es transmitido al usuario, de otra forma, el texto completo del artículo requerido
deberá aparecer en la terminal del usuario. El usuario entonces leerá el artículo o
adquirirá el artículo, o una copia a través del correo electrónico.
USENET se considera propiamente iniciado en 1979, como parte de una serie de
proyectos escritos por el estudiante graduado de la Universidad de Carolina del Norte
Steve Bellovin a fin de automatizar y facilitar la comunicación UUCP entre dicha
Universidad y la Universidad de Duke. Estos proyectos fueron reescritos y extendidos
27
en un programa escrito en el lenguaje "C" de computadora por Steve Daniel y Tom
Truscott, esta versión es generalmente conocida como la difusión de noticias "A".
Nuevos artículos son separados en divisiones llamadas grupos de noticias, cada
división se supone limitada a un tema o tópico específico y el nombre del grupo debe
dar una idea del contenido general del grupo. Estos grupos son organizados en
jerarquías de tópicos relacionados.
El Canal de Noticias de USENET comenzó con dos jerarquías: mod y net. La jerarquía
mod contenía los grupos en que la persona es el moderador para editar y controlar la
información. La jerarquía net contenía todos los demás grupos.
Posteriormente, Mark Glickinan y Mark Horton, escribieron la versión "B" de noticias,
en 1981. Una serie de lanzamientos numerados del 2.1 al 2.10.2 aparecieron entre
1982 y 1984 los cuales fueron realizados primero por Horton y luego por Rick Adams
del Centro de Estudios Sísmicos.
Entre 1986 y 1987, USENET sufrió una serie de constantes reajustes y
reorganizaciones conocidas como el gran "Renombramiento". Desde su inicio USENET
sólo tenía las jerarquías mod y net, esto fue pronto aumentado con la adición de los
grupos "fa". Cuando una completa reorganización de USENET fue propuesta comenzó
una gran discusión y argumentación en línea.
28
La discusión se suscitó sobre todo con la creación de las siete jerarquías principales
(comp, misc, news, rec, sel, soc, talk) y la supresión de los grupos mod, net y fa.
El gran renombramiento comenzó en julio de 1986 y terminó en marzo de 1987, y una
de las razones de dicho renombramiento, fue el creciente número de grupos hechos
como una reorganización de los dominios de mayor nivel.
Otra razón, fue el agregar grupos controversiales en el dominio talk los cuales fueron
añadidos al final del renombramiento.9
El respaldo original del USENET fue creado por Gene Spafford en 1983, en un intento
de racionalizar la retransmisión de las noticias de USENET,
sin embargo, fue
sustituido debido al creciente número de tráfico de USENET que se estaba moviendo
en las conexiones de ARPAnet, esto llevó al reemplazo de LJUCP por NNTP el cual
es un método de transmitir las noticias de USENET con conexiones TCP/IP. Y muy
pronto creció el número de sitios acompañados por la creciente presión de
democratización del proceso de creación de grupos de noticias.
Dos años después del inicio de USENET en Carolina del Norte, otro importante canal
de ventas y desarrollo fue creado: BITNET (Because lt's Time Network), que inició
como un canal cooperativo en la Universidad de la Ciudad de Nueva York (CUNY).
9
En: www.cis.ohio-statc-edu/hypertext/fag/usenet/copyright-FAQ/part2/faq.html
29
El BITNET usa sistemas de correo electrónico y un mecanismo llamado 'listserv" para
distribuir la información.
Una vez revisados los canales más importantes que se han desarrollado durante los
últimos treinta años, cabe establecer que el ARPANET creó una Red en cadena que
enlaza a los centros de cómputo más importantes y al usar información dividida en
paquetes autónomos, fue posible configurar una estructura flexible, independiente del
tipo de computadoras utilizadas.
El uso de los protocolos TCP/IP que adoptaron con mucha rapidez el servicio militar
en una Red independiente MILNET y las universidades se fortaleció en 1984 cuando
la National Science Foundation (NSF) los seleccionó al crear cinco importantes
centros de Mando equipados con grandes computadoras, con el fin de permitir a toda
la comunidad científica tener acceso a la información almacenada.
Entonces, cada centro universitario importante estableció una conexión con la Red
constituida por la NSF, la cual fungió como "soporte" o circuito principal para todo el
tráfico de sub-Redes. De ahí en adelante fue posible ingresar a cualquier punto en la
Red desde cualquier sitio universitario conectado.10
10
“The Internet, a Global Business Opportunity”, Cameron, Deb. Computer Research Corp. Journal, EUA,
1995, p. 136.
30
Hacia 198611, la Fundación Nacional de Ciencias (NSF, por sus siglas en inglés)
comenzó el desarrollo de NSFNET, sucesora de la ARPANET. Originalmente el ancho
de banda de su canal de transmisión era de 56 kbs. Actualmente, con el apoyo de la
NASA, del Departamento de Energía de los Estados Unidos y de las universidades, es
el principal canal de comunicación.
Para 1987, 10,000 servidores anfitriones estaban conectados a la Red, dos años
después el número rebasó los 100,000 servidores y se comercializó la primera versión
de Windows, que no fue adoptada de inmediato en el mercado corporativo. La “cara”
de la mayoría de las computadoras seguía siendo el sistema operativo DOS (Disk
Operating System), también denominado “sistema de interfaz de texto” debido a que el
usuario literalmente escribía las instrucciones a ejecutar por la computadora.
Con el fin de administrar e incrementar la capacidad de la Red de la NSF, se garantizó
un contrato con MERIT NETWORK INC, IBM Y NCL también en 1987.
En 1990 dejó de existir ARPANET y fue liberado el siguiente gran servicio de la
Red: ARCHIE (primer servicio de búsqueda de información en Internet). Al siguiente
año apareció el servicio denominado World Wide Web (conocido más por sus siglas
“www” que anteceden a la mayoría de las direcciones de Internet), que fue
desarrollado por Tim Berners-Lee, del Laboratorio Europeo de Estudios sobre Física
de las Partículas (CERN). Berners buscaba facilitar la comunicación entre los
11
Cfr. Revista Istmo número 250 Septiembre –Octubre del 2000, artículo Creatividad e Innovación en
31
científicos que convivían en su laboratorio y desarrolló las bases del lenguaje de
marcación de hipertextos (HTML), que permite relacionar frases o elementos de un
documento con otros. Su intención era que al accionar una nota a pie de página o una
referencia al texto de otro científico, la computadora los llevara al texto fuente de la
cita o a la referencia. Pronto se vio la necesidad de relacionar ya no solo citas
bibliográficas, sino partes completas de estudios, gráficas, dibujos, fotografías,
archivos de sonido… lo que finalmente llevaría al sistema de “navegación a saltos”.
En 1991 salió a la venta la versión 3.1 de Windows, que popularizó la Interfaz Gráfica.
Para 1992 se alcanzó un millón de servidores en línea y se conectó el Banco Mundial.
Desde 1992, la NSF retiró su inversión, dejando así la posibilidad a otros tipos de
financiamiento y, por lo tanto, a otros usos.
En 1993 se conectó a la red las Organización de las Naciones Unidas, también
apareció “Mosaic”, primer programa para acceder las páginas del servicio “www”,
ahora conocidos como “navegadores” o “browsers”
A partir de ese momento, el crecimiento en tamaño y tipo de servicios explotó de
manera impresionante. Aparecieron los primeros Centros Comerciales Virtuales y el
primer banco que ofrecía sus servicios en línea.
Internet por Ernesto Bolio y Jorge A. Llaguno.
32
La “www” se convirtió en el servicio más usado, rebasando al servicio de transferencia
de archivos (FTP por sus siglas en inglés), anterior monarca en cuanto a la demanda
de usuarios. Los sistemas multimedia que permiten ahora manejar textos, datos,
audio, imagen y video han convertido a éste servicio “www” y a su principal vehículo,
el lenguaje HTML, en la manera de comunicarse mundialmente.
En 1995 la compañía Sun Microsystems dio a conocer “JAVA” desarrollo de software
que, incluido en los navegadores, permite ejecutar aplicaciones sobre cualquier
plataforma computacional, es decir, con cualquier sistema operativo. Ese año se
alcanzaron 10,000,000 de servidores y desde entonces el crecimiento ha sido
exponencial, alcanzándose en enero de 1999 40,000,000 de servidores conectados y
más de 1.6 millones de dominios.
También durante la época de los 90´s aparecieron los sistemas comerciales de
conexión telefónica “dial up” que brindan al usuario doméstico el acceso a la red
mundial, mediante una renta mensual o anual (servicio de ISP, Internet Service
Providers). El único límite tecnológico hasta el momento es la capacidad del medio de
transmisión (cableado telefónico en principio y actualmente radioespectro y satélite)
Finalmente, hay que decir que Internet es una federación de Redes que está en
constante desarrollo y que, en la actualidad, es de acceso general.
33
Después de los investigadores universitarios y de los empleados de instituciones
públicas, las compañías privadas y los individuos han visto ahora los beneficios que se
pueden obtener viajando a través de las Redes. Antes prohibido, el uso comercial se
ha ido desarrollando con firmeza en los últimos años, contrariamente al espíritu inicial
de Internet.
Actualmente, Internet experimenta un crecimiento exponencial y mantiene unidas más
de 25,000 Redes por el mundo, que incluyen más de 10,000,000 de servidores y el
número de usuarios se estima en más de cuarenta millones.12
Total de nombres de dominio registrados en el mundo: 33,417,559 a junio del 2001.
Cálculos conservadores estiman que en Agosto del 2001 existían aproximadamente
513.41 millones de usuarios de Internet, con el siguiente detalle:13
Total Mundial
513.41 millones
Africa
4.15 millones
Asia/Pacífico
143.99 millones
Europa
154.63 millones
Este Medio
4.65 millones
Canadá & USA
180.68 millones
Latinoamérica
25.33 millones
De acuerdo con un estudio de Centro de Investigaciones en Comercio Electrónico de la
Universidad de Texas14, la Economía de Internet soporta más de 3 millones de
12
Op. Cit. Nota 17, pp. 48-50 (datos proyectados en 1997).
13
http://www.nua.ie/surveys/
34
trabajadores en la actualidad, incluyendo 600,000 nuevas posiciones, las cuales se
generaron durante el primer semestre del 2000. Esto representa aproximadamente
60,000 trabajadores más de los que emplea la industria de los seguros, así como el
doble de las personas empleadas por la industria de bienes raíces.
Jurídicamente en México se ha clasificado al Internet como Servicio de Valor Agregado,
que se le define por la Ley Federal de Telecomunicaciones como el servicio que
empleando una red de telecomunicaciones tiene efecto en el formato, contenido,
código, protocolo, almacenaje o aspectos similares de la información transmitida por
algún usuario y que comercializan a los usuarios información adicional, diferente o
reestructurada, o que implican interacción del usuario con la información almacenada,
ésta definición ha sido rebasada por la actualidad, pero para prestar el servicio publico
de Internet se requiere un certificado de servicio de valor agregado que otorga la
Comisión Federal de Telecomunicaciones.15
PRESUPUESTOS CONTRACTUALES: Para obtener acceso a Internet a través de la
computadora, es necesario contar con un módem y una línea telefónica. Un módem
permite a la computadora del usuario utilizar la línea telefónica normal (radioespectro o
satélite) para poder comunicarse con Internet y con otras computadoras, para ello, es
14
El Centro de Investigaciones en Comercio Electrónico de la Universidad de Texas divulgó su cuarto
reporte de “Indicadores de la Economía de Internet” en los Estados Unidos. Este reporte mide el
crecimiento en puestos de trabajo y en ingresos generados por la Economía de Internet durante el primer
semestre del año 2000. Tomado de http://www.vinculodeempresa.com.mx
15
Fragmento de la exposición del Lic. Ricardo Ríos Ferrer el 8 de noviembre de 1999, en el seminario
titulado “Régimen Jurídico del Comercio Electrónico” organizado por la Barra Mexicana de Abogados con
la colaboración del Instituto Mexicano de la Propiedad Industrial, en el Auditorio de la Bolsa Mexicana de
Valores, S.A. de C.V.
35
necesario firmar un contrato de suscripción con un proveedor de servicios de acceso a
Internet.
El proveedor proporciona acceso a su "Red" y dirige las comunicaciones de los
usuarios al servidor apropiado, y además asigna cierta cantidad de espacio en disco
para cada usuario con el fin de almacenar temporal o permanentemente sus archivos,
mensajes electrónicos o páginas, comúnmente se proporciona al usuario acceso a un
servidor de noticias por el cual puede participar en foros de discusión electrónicos.16
En nuestro país, es factible realizar este contrato por escrito o por vía telefónica, con el
proveedor de servicios de acceso a Internet; en la mayoría de los casos, se trata de un
contrato de adhesión, puesto que las cláusulas y condiciones generales ya están
previamente determinadas por el proveedor de servicios.
Las obligaciones del proveedor de servicios en nuestro país, se pueden dividir en dos
rubros principales:
a) Obligación de proporcionar al usuario el acceso a Internet, el cual podrá ser por
tiempo limitado o ilimitado.
Esta obligación importa además otra serie de obligaciones entre las cuales está fijar en
el contrato lo siguiente:
16
Secretaría de Comunicaciones y Transportes, en: www.sct.gob.mx
36
•
La descripción del tipo de acceso a Internet, de la velocidad de comunicación, del
tipo de canal de comunicación, si se trata de acceso telefónico o por línea
arrendada, el acceso a un buzón electrónico y a un servidor de noticias.
•
Notificarle la existencia de una cláusula que permite al proveedor de servicios,
modificar las características del servicio ofrecido.
•
La fijación del precio o contraprestación que el usuario ha de pagar al proveedor, por
el acceso a Internet.
•
La especificación de cargos adicionales por el uso excesivo de los límites
establecidos o por el uso de servicios adicionales.
•
El establecimiento del método de pago y de facturación (si es por pagos en efectivo
a la cuenta del proveedor de servicios, por cargos automáticos a la tarjeta de
crédito del cliente o usuario, o por cargo al recibo telefónico del cliente, etc.).
•
Notificar al cliente de la existencia de una cláusula que permite al proveedor,
modificar el precio sin previo aviso al usuario (ya sea por aumentos pactados o por
simple indexación a índices inflacionarios, etc.), lo que se conoce comúnmente
como cláusula de ajuste (si así se estipula).
•
Informar al cliente respecto al número de usuarios permitidos por cada cuenta y
demás limitantes en el acceso a Internet.
•
Debe el proveedor establecer e informar al usuario, los limites a su responsabilidad,
sobre todo:
1) Establecer la responsabilidad del proveedor de acceso por daños sufridos
durante el uso de los servicios proporcionados.
2) Fijar la responsabilidad del proveedor por la interrupción en el acceso a Internet.
37
3) Establecer la responsabilidad del proveedor por la pérdida de datos
almacenados en el sistema del proveedor de acceso.
Responsabilidad por la divulgación de datos confidenciales almacenados en el
sistema del proveedor de acceso para preservar la confidencialidad de los datos.17
El establecimiento de la duración del contrato (fijación del plazo y posibilidad de
renovación del contrato).
Establecimiento de la posibilidad de denunciar el contrato, por cualquiera de las
partes.
Establecer que al término del contrato, que el proveedor podrá borrar y disponer
del espacio en disco utilizado por el usuario.
b) Una obligación de proporcionar servicio y apoyo técnico al usuario, ya sea
físicamente o por vía telefónica, para asegurar a éste el acceso a Internet sin ningún
contratiempo.
En nuestro país, actualmente, la mayoría de los proveedores de acceso a Internet
tienen que utilizar los servicios de la compañía de teléfonos, para poder proporcionar
este acceso, por lo cual, el precio al cliente o usuario aumentará para que el proveedor
pueda asumir los gastos de contratación con la compañía de teléfonos, sin embargo, y
esto es un hecho, el usuario tiene que pagar además del costo de suscripción al
servicio de acceso a Internet, el costo por el servicio medido a la compañía de
17
Op. Cit. Nota 19, p. 142.
38
teléfonos, por el número de llamadas efectuadas para conectarse a Internet a través
del proveedor de servicios de acceso a Internet.18
Otro aspecto importante consiste en saber si la prestación de servicios de acceso a
Internet está o no sujeta a licencia gubernamental.
En algunos países, ciertos servicios pueden estar prohibidos o sujetos a una estricta
regulación que obliga al proveedor a solicitar la autorización de una autoridad pública.
Estos sistemas legales nacionales casi siempre se aplican a los servidores ubicados en
los países que divulgan la información en Internet.
Por lo que respecta a América del Norte, bajo la legislación estadounidense,
canadiense y mexicana, de acuerdo con la definición formada en el TLC, la provisión
de acceso a Internet se considera un servicio de valor agregado, dado que involucra
aquellos servicios de telecomunicaciones que utilizan aplicaciones de procesamiento
por computadora que:
a) Actúan en el formato, contenido, código, protocolo o aspectos relativos a la propia
página o al sitio de internet
b) Proporcionan al cliente información adicional reestructurada
c) Involucran interacción del cliente con la información almacenada.19
18
“Internet y Derecho en México”, Barrios Garrido, Gabriela y otros, Editorial Mc. Graw Hill, pp. 29-33
19
“Tratado de Libre Comercio de América del Norte”, Secretaría de Comercio y Fomento Industrial,
México, 1996, p. 245.
39
En el sistema de los Estados Unidos de Norteamérica, las empresas que ofrecen
servicios de valor agregado, como los proveedores de acceso a Internet, no necesitan
obtener autorización antes de comenzar sus actividades. La Federal Communications
Commision
(FCC),
el
organismo
responsable
de
regular
y
vigilar
las
telecomunicaciones y la radiodifusión, ha establecido que los servicios de valor
agregado no están sujetos al régimen de licencia aplicable a las empresas de
transmisión comunes establecido por la Federal Communications Act de 1934.20
Por lo que respecta a la legislación canadiense, difiere de la de Estados Unidos. la
Telecommunications Act estipula que no es necesario solicitar u obtener autorización
para prestar un servicio de valor agregado, como lo es la provisión de acceso a
Internet. No obstante, y contrariamente a la legislación de Estados Unidos, esta ley
hace una excepción para las empresas de telecomunicaciones que son propietarias u
operan sus propias infraestructuras. Así, una compañía que tenga sus propios cables
o que opere su propia Red de telecomunicaciones, debe solicitar autorización antes de
iniciar sus actividades como proveedor de acceso a Internet.21
En el caso de nuestro país, las compañías que quieran ser proveedores de acceso a
Internet, como único requisito, tendrán que presentar una solicitud junto con un
formulario de datos en un formato previamente establecido, ante la Comisión Federal
20
Federal Communications Act of 1934, cap. 652, 48 stat. 1064 (1934), reformado en 47 USC (UNITED
STATES CODE).
21
“The Telecommunications Act of 1996: Rules of the Road for the New Highways”, Meadows, James E.,
1996, Revista The Computer Lawyer, p. 9, USA.
40
de Telecomunicaciones, puesto que, en nuestro país, las telecomunicaciones
constituyen una de las llamadas áreas estratégicas de la economía en términos del
artículo 28 constitucional.
En virtud del Tratado de Libre Comercio para América del Norte, un Estado miembro
está obligado a garantizar a los proveedores de otro Estado miembro trato nacional (o
sea el régimen aplicable a sus propios nacionales en condiciones similares) o trato de
nación más favorecida (el régimen más favorable aplicable por el Estado miembro a
cualquier otra parte o país), el que sea más favorable.22
Una vez satisfechos estos requisitos previos y estando conectado a la ramificación de
la Red, el usuario tiene acceso a los varios servicios y aplicaciones disponibles en
Internet. Más aun, los usuarios de Intemet pueden tener acceso a sistemas
telemáticos privados, algunos de los cuales implican un costo, otros no. Estos
sistemas se conocen como Sistemas de Boletines Electrónicos, los cuales, por lo
general, constan de una computadora y de varios módems.
Los Sistemas de Boletines Electrónicos los utilizan tanto usuarios individuales que
desean difundir información especifica como importantes sistemas comerciales como
lo es CompuServe o AOL pero lo más importante, es que el cliente o usuario, ya
estará habilitado para poder contratar a través de Internet, ya sea directamente, o
22
Op. Cit. Nota 24, p. 247
41
estableciendo contacto y negociaciones con alguna persona o compañía que ofrezca
productos o servicios en Internet, a través del correo electrónico.23
Con relación a las nuevas tecnologías las primeras reacciones normalmente son de
escepticismo, un ejemplo claro son las siguientes afirmaciones que transcribo a
continuación:
“Esta locura va a desaparecer muy pronto…”
Thomas Edison en 1922 respecto del Radio
“No existe ningún futuro en un negocio basado en cobrar lo que siempre ha sido
gratis…”
Wall Street Journal al respecto del futuro de la TV por cable
“Por que alguien querría tener un computadora en casa…”
Ken Olson fundador de Digital Computers 1977
“Internet no es importante para nuestra estrategia de negocios…”
Bill Gates en 1995 al salir el IPO de Netscape
23
“The Internet and Business: A Lawyer’s Guide to the Emerging Legal Issues”, 1997, p. 176, Fairfax, The
Computer Law Association.
42
Pero los cambios que producen las nuevas tecnologías de la información no afectan
solamente a las realidades sobre las cuales el derecho opera, y en las que el derecho
se genera: se predicen cambios en el mismo derecho.
El profesor norteamericano Ethan Katsh investiga el impacto de la electrónica en el
derecho24. En su trabajo The Electronic Era and the Transformation of the Law
publicado en 1989, Katsh analiza lo que puede esperarse en la era electrónica
revisando la evolución del derecho a través del tiempo y los cambios que la imprenta
produjo.
En uno de sus trabajos (Law in a Digital World - 1995) Katsh continúa avanzando. Dice
que estamos en un mundo donde lo impreso será sustituido por las 'tecnologías
electrónicas de la información' y las palabras impresas en un papel, por palabras e
imágenes y sonido
apareciendo en una pantalla. Estas nuevas tecnologías - se
pregunta - son simplemente mas eficientes que las anteriores, son simplemente nuevos
contenedores que dan al usuario el mismo producto en un nuevo envase? Es
simplemente (obtener) más rápido la información? O, por el contrario, el uso de la
información en un nuevo formato - particularmente en una institución donde la
información es un valioso commodity, ¿cambiará a la institución, al usuario y a aquellos
en contacto con el usuario?; ¿creará esto un nuevo tipo de institución donde sea
posible hacer nuevas cosas con la información y vinculada a ella, e interactuar en forma
24
Revista jurídica LA LEY, de Buenos Aires, Argentina, en el Vol. 115 de mayo de 1996.
http://www.it-cenit.org.ar/Publicac/DERDIG
43
diferente con la información?; ¿harán estos cambios posibles nuevos tipos de
relaciones jurídicas y permitirán a la gente interactuar con el derecho en nuevas
formas?; ¿será el derecho mas o menos accesible de lo que ha sido?; ¿será la ley y los
derechos tan seguros en el ambiente electrónico?; ¿cambiara la ley mas rápido y mas
frecuentemente?; ¿cambiara el rol de los abogados?; ¿nos veremos como insiders o
outsiders y nos identificaremos con el derecho o nos sentiremos alejados de él?;
¿tenderán las nuevas tecnologías a afirmar el status quo o producirán el efecto
contrario?
Afirma Katsh que el derecho se está mudando de las bibliotecas y de los libros, de los
juzgados en augustos edificios, del mundo de los contratos escritos y de las carpetas
donde son archivados, de las oficinas de los abogados. Y se muda a un mundo donde
la información estará mas en las pantallas que en el papel, con mas posibilidades de
interactuar con el derecho y que desafiara la forma tradicional de ejercer la profesión y
sus conceptos hacia un ambiente donde el valor de la información crece, a un mundo
de espacios más flexibles, de nuevas relaciones.
Reconoce, empero, que el nuevo ámbito que emerge no es fácil de advertir. Advierte
que la pantalla luminosa - en cierta forma parecida a un libro - tiene sin embargo
propiedades muy diferentes que nos presenta cambiantes formas e imágenes, con
resemblanzas e ilusiones, con información y datos que vienen y se van, como algo
dinámico, coloreados y animados.
44
Su tesis principal es que el gran cambio que se avecina y todas sus consecuencias en
el derecho, tiene que ver con el nuevo uso de las nuevas tecnologías de la información,
que afectan al derecho porque el derecho se vincula con la información y la
comunicación.
En otros trabajos Katsh explica como la computadora ha cambiado las nociones de
tiempo y espacio, y por que tal cambio tendrá incidencia en el derecho. En uno de
ellos25, señala que las nuevas tecnologías de la información tienen extraordinarias
capacidades para superar problemas de espacio y distancia, porque ha cambiado la
forma como interactuamos con información distante y gente distante, intentando
demostrar la aparición de una nueva relación con el espacio, en la forma como
pensamos sobre la distancia y trabajamos en y con espacios electrónicos, que
provocaran cambios en el derecho que ya están apareciendo y que aparecerán en el
futuro.
Agrega que '...como la forma como la información cambia de algo tangible a algo
electrónico, los mismos cambios ocurrirán en la instituciones y procedimientos legales
que han sido orientados alrededor de particulares espacios físicos, y en los conceptos y
prácticas legales que han dependido de relaciones establecidas en espacios
particulares...'.'...La invasión de los espacios legales por el ciberespacio, de todas
formas, va mas allá de los espacios y objetos físicos mencionados por la ley. Por
ejemplo, el derecho escribe y define muchos temas y conceptos en términos de
45
espacio. Así, la privacidad no solamente implica control sobre cierto tipo de información
sino que involucra términos de espacio, como las 'zonas de privacidad', para describir
su naturaleza. La jurisdicción es el área de la ley que está mas directamente vinculada
al control sobre personas y espacios. ... '...Todas estas partes están afectadas por el
ciberespacio porque si hay un mensaje en los nuevos medios, es que los tradicionales
basamentos, tanto sean físicamente territoriales o conceptuales, son mas porosos en
una era en que la información es digital en esencia ...'.
En otro trabajo se refiere al tiempo (cybertime) en el nuevo mundo digital26. El tiempo no
será medido en forma diferente en el mundo digital, pero su significado será diferente...
el tiempo, como el espacio, será mas maleable en el ciberespacio... el tiempo es un
commodity provisto por el computador, un material a ser moldeado, hasta el punto en
que ello es posible, a las fines humanos.... La nueva relación con el tiempo tiene el
potencial de afectar el derecho en muchos niveles... debe esperarse el mismo valor de
los precedentes en la era del cibertiempo y del ciberespacio ?
Termina estas reflexiones advirtiendo que '...Quienes se topan con el ciberespacio a
menudo experimentan la clase de desorientación que uno siente en un lugar donde las
costumbres y expectativas son diferentes a las de uno. Asumimos que esa sensación
es el resultado de entrar en un mundo donde nos encontramos, inesperadamente, que
el espacio del ciberespacio puede ser cruzado en un instante (flash). Pero quizás
25
KATSH, M. Ethan, Rights, Camera, Action: Cyberspatial Settings and the First Ammendment, 104 Yale
L.J. 1681, (1995).
26
KATSH, M. Ethan, Cybertime, Cyberspace and Cyberlaw, 1995, J. Online L.
46
nuestra desorientación viene también del flash en sí mismo - de una especie de jet lag27
electrónico en el pensamiento jurídico que recién ahora esta comenzando a revelar una
nueva relación con el tiempo en el cibertiempo...'.
En definitiva Katsh aplica el famoso dicho del canadiense Marshall McLuhan, 'el medio
es el mensaje', que - según él - había sido mejor descrito una década antes, por el
profesor y mentor de ese pensador, el economista Harold Innis: 'el material en el que
las palabras mismas están escritas han generalmente contado mas que las mismas
palabras', sugiriendo con ello que el instrumento que provee información es valioso
objeto de estudio y debemos explorar el efecto del cambio de un medio con ciertas
cualidades a la nueva forma de comunicación con otras cualidades. Esto es
particularmente cierto para una institución, como el derecho, cuya confianza sobre la
palabra impresa ha sido sustancial...'...Lo que está subyacente bajo el pico del iceberg
de los nuevos medios son sensibles diferencias en el almacenaje de la información, en
el movimiento de la información, y en la presentación de la información para los
consumidores. Por ejemplo, algunos medios proveen información más rápido que otros.
Otros llegan a audiencias mas vastas. Otros preservan la información mejor. Otros
fomentan el copiado mejor que otros. Algunos son más accesibles. Algunos pueden
almacenar mejor la información. Algunos son más fáciles de usar. Algunos comunican
más eficientemente cierto tipo de información. Algunos usan imágenes y sonidos en vez
de textos. Estas cualidades afectan la información que recibimos y como percibimos
27
Termino inglés que alude al especial tipo de malestar que los vuelos a través de los husos horarios
diferentes provocan en el pasajero.
47
problemas y soluciones. Ellos influencian nuestros particulares pensamientos y
acciones y plasman la organización, operación y percepción de nuestra institución 28...'.
Las investigaciones del Profesor Katsh no son por cierto compartidas por todos; se
critica su vaguedad, falta de especificidad y el escribir sobre algo que - aunque existe
hoy - nadie puede todavía predecir hacia donde va. '... De que esta hablando? Parece
insinuar la declinante importancia del lenguaje en el derecho, pero es demasiado fatuo
el punto como para argumentar seria, agudamente o de otra manera ...29', alegando que
la ley será siempre esencialmente el fino entramado del lenguaje en un texto que recoja
nuestra constantemente desarrollada comprensión de nosotros y de uno mismo, y que
los abogados no somos solamente administradores de información sino también
asesores, amortiguadores, negociadores, componedores. En síntesis, se afirma que la
información, cualquiera fuera su accesibilidad y rapidez de provisión, no tendrá mas
valor que el que nosotros le damos.
A pesar de la agudeza de ésta crítica, se me asemeja que Katsh - aun admitiendo
demasiado entusiasmo en sus predicciones - apunta a la dirección correcta de intentar
el estudio del medio en sí mismo y del impacto que tendrá sobre el derecho, pero
debemos enfatizar que la tecnología no dejará nunca de ser un medio para el fin que el
derecho pretende conseguir.
28
KATSH, M. Ethan, The Electronic Media and the Transformation of the Law, Oxford University Press,
New York, 1989, Introduction, p. 11/12.
29
REIDINGER, Paul, Lost in Cyberspace, ABA JOURNAL agosto 1995, p. 104, reseña del libro de
KATSH, Law in the Digital World.
48
3.- ¿QUE ES INTERNET?.
La respuesta a esta pregunta es tan actual como compleja, dado que las respuestas
pueden ser muy variadas, dependiendo del tipo de gente que utiliza este medio de
comunicación; para algunos, Internet no es más que un medio para comercializar y
difundir productos; para otros, es una fuente mundial de información con acceso a
bases de datos de todo el mundo; mientras que para otros tantos más, es un medio de
expresión de ideas.
Las características fundamentales de la operación de Internet consisten en que se
trata de una red distributiva (no cuenta con un depósito central de información o de
control, sino que está compuesto por una serie de computadoras host o anfitrionas que
están interconectadas, cada una de las cuales puede ser accesada desde cualquier
punto de la red en que el usuario de Internet se encuentre), interoperable (utiliza
protocolos abiertos, de manera que distintos tipos de redes e infraestructura puedan ser
enlazados, permitiendo la prestación de múltiples servicios a una diversidad de usuarios
a través de la misma red. En este sentido, la interoperatividad con la que cuenta
Internet se debe al protocolo TPC/IP, el cual define una estructura común para datos de
Internet, así como para el enrutamiento de dichos datos a través de la red) y que
funciona a través de transferencias de paquetes de información (mejor conocida
como conmutación de paquetes, consistente en dividir la información que se transmite
por la red en pequeñas partes o paquetes).
49
En términos generales, podemos decir que Internet, es un canal mundial de
telecomunicaciones informáticas, que está integrado por muchos canales que a su vez,
están interconectados entre sí, lo cual lo convierte en el medio de comunicación más
veloz en toda la historia de la humanidad.
Como comentamos en el capítulo anterior, Internet fue creado hace aproximadamente
30 años por el Departamento de Defensa de los Estados Unidos de América como un
canal experimental diseñado como un medio de apoyo en la investigación militar.
En esa época, se le denominaba ARPANet (ADVANCED RESEARCH PROJECTS
ADMINISTRATION NETWORK), sin embargo, con el paso del tiempo, se fueron
desarrollando paralelamente otros canales similares como el establecido por la
National Science Foundation para permitir a los estudiantes y universidades acceder al
ARPANet con fines educacionales.30
Poco a poco, ha ido aumentando el número de los canales que se han conectado al
ARPANet, a tal grado que actualmente las grandes empresas mundiales y los
individuos considerados como personas físicas, están descubriendo y explorando el
mundo de Internet.
30
“Public Acess to the Internet”, Kahin, Brian, Keller, James,p. 136 Institute of Technology Press, 1996.
50
Este proceso de comunicación global, ha sido estimulado por inventos tales como el
teléfono, el telégrafo, el fax y las telecomunicaciones, encontrándonos actualmente en
la era de la computación y de las comunicaciones por este medio.
Desde sus comienzos, esta Red de canales conocida como Internet, ha crecido hasta
el punto de englobar a más de seis millones de canales interconectados con Internet y
a más de cuarenta millones de usuarios en todo el mundo, entre los que podemos
incluir agencias gubernamentales, universidades, investigadores, compañías privadas
e individuos personas físicas.
Sin embargo, dentro de los múltiples fines citados que los usuarios dan actualmente a
la Red, el más importante para fines jurídicos, es el del comercio a través de Internet
dado que las compañías tanto privadas como del sector público de diversos países,
han visto los beneficios que Internet está aportando al comercio mundial, y los futuros
beneficios que aún no se han aprovechado por falta de conocimientos plenos y de una
regulación jurídica apropiada para las transacciones realizadas a través de la Red.
Un sistema avanzado para el comercio electrónico como el que constituye Internet,
puede comprender actividades tales como:
a) Transferencias electrónicas de fondos.
b) Regulación gubernamental de intercambio de datos.
c) Colaboración técnica entre pases o industrias.
d) Integración de consorcios.
51
e) Soporte computacional para la colaboración en el trabajo.
El comercio electrónico puede combinar las ventajas de las computadoras (velocidad,
rentabilidad y gran volumen de datos), con las ventajas de las personas (creatividad,
flexibilidad, adaptabilidad), para crear un entorno de trabajo con mayor dinamismo y
rapidez en las operaciones comerciales, además de permitir a las personas revisar,
analizar, añadir valor y vender una gran gama de productos y de servicios a nivel
mundial que están representados electrónicamente a manera de catálogos, materiales
de referencia, libros de texto y materiales de entrenamiento, apoyo y software.31
En resumen, el comercio electrónico difiere del comercio tradicional básicamente en la
forma en que la información es procesada e intercambiada, ya que, tradicionalmente,
la información es intercambiada directamente, a través del contacto directo entre
personas o a través del uso de teléfonos o de sistemas postales mientras que el
comercio electrónico maneja la información por la vía digital de los canales de
comunicaciones y sistemas de cómputo.32
Como resultado del incremento en el uso de Internet, muchas compañías temen que
sus respectivos gobiernos impongan extensivas y represivas regulaciones en Internet y
por lo tanto en el comercio electrónico sin embargo, es precisamente durante esta
31
“La WWW una telaraña que se teje a plena luz del día”, Fernández Flores, Rafael, en la revista RED,
no. 70, año VI, julio de 1996, pp. 38-40.
32
The Whole Internet, Users Guide and Catalog, Ed Krol, Editorial O’Reilly & Associates, Inc. United
States of America.
52
época de auge del comercio electrónico, cuando debe de establecerse una regulación
adecuada que permita la seguridad jurídica en las transacciones realizadas en la Red,
sin embargo, esto requiere de un esfuerzo a nivel mundial por parte de los gobiernos
de los distintos países usuarios de Internet, pero este tipo de esfuerzos se encuentra
todavía en un nivel incipiente.
Son precisamente los gobiernos quienes pueden tener un profundo efecto en el
desarrollo del comercio en Internet. Con sus acciones ellos pueden facilitar el comercio
en Internet o inhibirlo, pero para ello, deben de tener siempre en cuenta la propia
naturaleza de la RED como un medio de comunicación mundial que se ha venido
desarrollando en un marco esencial de libertades que no pueden ser cortadas de tajo,
porque si esto llegara a ocurrir, se generaría un proceso de virtual abandono de este
medio de comunicación.
Un buen desarrollo de la RED, estimula las aplicaciones del comercio electrónico y sus
beneficios entre los cuales podemos encontrar los siguientes:
•
Reduce costos para los compradores al incrementar la competencia permitiendo
que cada vez más proveedores de bienes y servicios sean capaces de competir
electrónicamente en un mercado abierto.
•
Reduce errores, tiempo y costos mayores en el procesamiento de información.
•
Reduce costos para los proveedores a través del acceso electrónico a bases de
datos donde encuentran una oferta creciente.
53
•
Reduce también, el tiempo para completar las operaciones de negocios,
particularmente a través de la Reducción del tiempo transcurrido desde el pago
hasta la entrega del producto.
•
Estimula la creación de mercados al facilitar y hacer más barato el acceso a un
mayor número de clientes.
•
Facilita la entrada a nuevos mercados geográficos remotos, a través de la
desaparición de distancias entre participantes.
•
Mayor calidad en los productos, especificaciones y estándares, gracias al aumento
en la competencia.
•
Mayor rapidez en los negocios y en los procesos de mercado a través de la
eliminación virtual de demoras entre pasos y en la ingeniería de cada subproceso,
logrando la Reducción a una sola transacción.
•
Reducción de inventarios y la virtual eliminación del riesgo de inventarios obsoletos
a través de la creciente demanda de bienes y servicios por vía electrónica, lo cual
permite la renovación constante de inventarios por parte de los proveedores.
•
Disminución de costos a través del ahorro de gastos en comunicación y Reducción
de personal, y,
•
Reduce el uso de materiales que dañen el medio ambiente a través de la
coordinación electrónica de actividades y el movimiento de información en vez de
objetos físicos33
33
Information Infraestructure Technology and applications (IITA) Task Group, National Coordination
Office for High Performance Computing and Communications, February 1994, pp. 13.
54
Muchas compañías en distintas ramas de la industria han experimentado los beneficios
y encontrado la necesidad del uso del comercio electrónico para sobrevivir.
Como se ha visto anteriormente, muchas compañías y agencias gubernamentales
usan las aplicaciones del comercio electrónico para facilitar sus operaciones internas e
interactuar con mayor eficiencia con las demás entidades comerciales.
Con una extensa gama de transacciones electrónicas, el desarrollo de las aplicaciones
del comercio electrónico requieren una gran estructura comercial, el establecimiento
previo de arreglos y por otra parte, líneas dedicadas a ello o canales de valor
agregado.
Lo anterior, permite ver que muchas veces la necesidad de contar con cierta
infraestructura para integrarse al comercio electrónico, crea barreras para la inversión y
gastos excesivos sobre todo para la pequeña y mediana empresa.
Sin embargo, a pesar de estas barreras, el mercado electrónico se consolida a paso
rápido. Para finales de 1994, más de 10,000 compañías ofrecían información y
servicios a la venta en una combinación de Internet y canales de Valor Agregado.34
Actualmente, podemos percibir la gran influencia que tiene Internet en todos los
ámbitos de la vida social, las referencias a la Red son incrementadas frecuentemente
34
“How to Grow your Business on the Net”, Emery, Vince, p.82 Edit. Coriolis Group/IDG, 1996.
55
en los medios tradicionales de publicidad, como carteles y anuncios televisivos en los
que aparece la conocida expresión "http://www." la cual parece incrementar su
aceptación por los consumidores como una referencia a un sitio en la Red, el cual
provee mayor información sobre una compañía particular y sobre sus productos y
servicios.
Quitando el hecho de que una página local (HOME PAGE) o sitio en la Red (WEB
SITE) puede ser accesado simultáneamente y sin restricción por potenciales
compradores en cualquier número de jurisdicciones, los problemas que afectan la
publicidad en Internet, no difieren substancialmente de los que afectan la publicidad en
los medios tradicionales.
Nos encontramos además, con problemas de tipo civil y penal. En cuanto a los
problemas de tipo civil, nos referirnos especialmente al problema de la contratación
jurídica por medios electrónicos, específicamente, por Internet, partiendo de la
definición del entorno general de la RED en que se lleva a cabo la contratación, así
como de las circunstancias de tiempo y lugar que afectan la vida de dicho contrato y su
validez, así como los problemas jurisdiccionales a que puede dar lugar el
incumplimiento e interpretación de un contrato celebrado a través de Internet, sin dejar
de considerar la falta de seguridad jurídica reinante en el medio a falta de la existencia
de un marco jurídico adecuado que permita la regular la celebración de negocios y
transacciones.
56
Otro aspecto que podemos mencionar, es el que se refiere al campo del derecho
penal, ya que la RED, al igual que todos los medios y ámbitos de la vida social, es un
medio que se presta para la comisión de diversos tipos de delitos utilizando esta forma
de comunicación y de transferencia de datos, a los que en el propio medio de Internet
se les ha dado la denominación de "Cibercrímenes" y la persecución de éstos, ese
aspecto se tratará muy someramente en la parte relativa a novedades legislativas en el
presente trabajo.
Como se mencionó antes, Internet es una fuente de problemas en cuanto a su
reglamentación jurídica, ya que diversos aspectos del derecho se encuentran
íntimamente vinculados a este medio.
Cabe también destacar, que se ha concebido la idea de la creación de una página que
permita a todos los usuarios de la RED, el acceso y conocimiento de las leyes y
códigos sobre publicidad en Internet, sin embargo esto implica un esfuerzo a nivel
mundial que nadie ha estimulado.
Lo anterior es de suma importancia si se toma en cuenta que a una transacción
realizada a través de Internet, se le da un distinto tratamiento jurídico en cada país, por
ejemplo, por lo que respecta a la propiedad intelectual, en Alemania la oferta de
57
"muestras" gratis por sí misma puede, en ciertas circunstancias, constituir una violación
al Código Civil que rige la publicidad en dicho país.35
Igualmente el anunciarse como el "líder del mercado", puede causar problemas en
Alemania y ciertamente la comparación con el producto del rival, puede ir en contra del
Acta Alemana de Competencia desleal.
Mientras que en Italia, la jurisprudencia se ha desarrollado en el sentido de que el
público no es fácilmente engañado por las exageraciones en la publicidad y
generalmente no toma los anuncios muy seriamente.
Como otro ejemplo, en Francia toda la literatura de mercadeo y ventas debe,
técnicamente, estar en francés, sin embargo, ¿cómo hacer compatible este
requerimiento de la ley francesa y cómo interpretarlo en la práctica al conectarse con
los sitios locales de la RED en servidores fuera de Francia?, éste es un problema aún
no resuelto.36
Además, hay otra serie de problemas que hay que considerar en torno a Internet:
Tanto el gobierno como las industrias no pueden aceptar el comercio electrónico sin
que las transacciones electrónicas sean seguras. Hay una clara necesidad de
35
Electronic Trade: Contractual Niceties in Hyperspace, Graham Allan, Baker & McKenzie, London,
Octiber 1996, p. 4, en: www.bakerinfo.com
36
IBIDEM, P. 5.
58
autenticación de la fuente de la transacción, de verificar la integridad de la transacción,
la prevención de la intervención de usuarios no autorizados en la transacción y la
verificación de recibo de la transacción para el otro contratante. ¿Es el actual trabajo
de los sistemas de seguridad en computación, adecuado para la pronta resolución de
estos problemas técnicos o la dirección de este trabajo debe ser modificada o el
esfuerzo incrementado? ¿Qué organizaciones y mecanismos se necesitan para
asegurar que el gobierno y la industria pueden resolver estos problemas de seguridad
mencionados?.
La aplicación del comercio electrónico requiere la interoperación de comunicaciones,
proceso de datos y servicios de seguridad. Estos servicios serán proveídos por
diferentes compañías; pero dada esta diversidad, ¿cómo pueden el gobierno y la
industria asegurar que el comercio electrónico será rentable, y que los componentes
pueden ser ensamblados, mantenidos y mejorados a un costo razonable? se deben
desarrollar tecnologías, herramientas, servicios de prueba, demostraciones de
interoperabilidad, etc. para asegurar que un componente satisface los actuales y los
futuros requerimientos del gobierno y de la industria.
La solución de problemas técnicos será insuficiente para asegurar el uso apropiado
del comercio electrónico; las barreras de tipo económico, cultural, regulatorias y
legales al comercio electrónico deben ser identificadas y removidas, por ejemplo:
¿cómo puede el gobierno y la industria asegurar que el comercio electrónico será visto
positivamente por los trabajadores?, ¿Qué incentivos pueden ser usados para que los
59
trabajadores participen de los beneficios del comercio electrónico?, ¿Cómo puede el
gobierno y la industria establecer casos realistas de negocios e historias exitosas para
motivar a los potenciales usuarios y proveedores del hardware, software y servicios
para el comercio electrónico?
Consenso Internacional:
1. ·Libertad - No regulación - Promoción.
2. ·Seguridad Técnica y Jurídica.
3. ·Neutralidad tecnológica.
4. ·Confianza: B2B/B2C
Organismos y Asociaciones Internacionales
1. ·UNCITRAL (CNUDMI)
2. ·UNION EUROPEA
3. ·OMC - Organización Mundial del Comercio.
4. ·OMPI - Organización Mundial de la Propiedad Intelectual.
5. ·APEC - Asia Pacific Economic Cooperation.
6. ·FTAA - Free Trade Area of the Americas.
7. ·WITSA - World Information Technologies and Services Association.
8. ·GBDE - Global Business Dialog on Electronic Commerce.
9. ·ICC - International Chamber of Commerce.
60
COMISIÓN DE LAS NACIONES UNIDAS PARA EL DERECHO MERCANTIL
INTERNACIONAL (UNCITRAL)
Internacionalmente, la UNCITRAL ha completado trabajos sobre modelos de ley que
soporta el uso comercial de contratos internacionales en comercio electrónico. Estos
modelos de ley establecen reglas y normas que validan y reconocen los contratos
celebrados por medios electrónicos, establecen reglas para la formación de los
contratos y su desempeño, definen las características para un escrito electrónico válido
o un documento original, proporcionan los elementos funcionales para la aceptación de
las firmas electrónicas para propósitos legales y comerciales y apoyan la admisión de
pruebas técnica en los tribunales y procedimientos de arbitraje.
Distintos gobiernos han adoptado los lineamientos de las leyes modelo en diferentes
formas y alcances como principios para definir un marco internacional uniforme para el
comercio electrónico.
De acuerdo con la UNCITRAL, en la medida de lo posible, los siguientes principios
deben guiar el diseño de reglas que gobiernen las transacciones electrónicas
internacionales:
Las partes deben ser libres de elegir la relación contractual entre ellas que mejor les
convenga;
Las reglas deben ser tecnológicamente neutras (no deben requerir ni asumir una
tecnología en particular);
61
Las reglas deben prever futuros desarrollos tecnológicos (no deben limitar o impedir el
uso o desarrollo de nuevas tecnologías);
Las reglas existentes deben ser modificadas y adoptar leyes nuevas solo en la medida
necesaria o substancialmente deseable para soportar el uso de tecnologías
electrónicas; y
El proceso debe involucrar tanto a los sectores comerciales de alta tecnología como a
los negocios que aún no están en línea.
A. LEY MODELO DE UNCITRAL SOBRE COMERCIO ELECTRÓNICO
Esta Ley Modelo fue adoptada en 1996 y tiene por objeto facilitar el uso de medios
modernos de comunicación y de almacenamiento de información, por ejemplo el
intercambio electrónico de datos (EDI), el correo electrónico y la telecopia, con o sin
soporte como sería el Internet. Se basa en el establecimiento de un equivalente
funcional de conceptos conocidos en el tráfico que se opera sobre papel, como serían
los conceptos "escrito", "firma" y "original". La Ley Modelo proporciona los criterios para
apreciar el valor jurídico de los mensajes electrónicos y resulta muy importante para
aumentar el uso de las comunicaciones que se operan sin el uso del papel. Como
complemento de las normas generales, la Ley Modelo contiene también normas para el
comercio electrónico en áreas especiales, como sería el transporte de mercancías.
Adicionalmente y con el propósito de guiar y ayudar a los poderes ejecutivo, legislativo
y judicial de los países, la UNCITRAL ha elaborado además una Guía para la
Incorporación de la Ley Modelo de la UNCITRAL sobre Comercio Electrónico al
derecho interno.
62
B. LEY MODELO DE UNCITRAL PARA LAS FIRMAS ELECTRÓNICAS
El creciente empleo de técnicas de autenticación electrónica en sustitución de las firmas
manuscritas y de otros procedimientos tradicionales de autenticación ha planteado la
necesidad de crear un marco jurídico específico para reducir la incertidumbre con
respecto a las consecuencias jurídicas que pueden derivarse del empleo de dichas
técnicas modernas (a las que puede denominarse en general “firmas electrónicas”). El
riesgo de que distintos países adopten criterios legislativos diferentes en relación con
las firmas electrónicas exige disposiciones legislativas uniformes que establezcan las
normas básicas de lo que constituye en esencia un fenómeno internacional, en el que
es fundamental la interoperabilidad jurídica y técnica.
Partiendo de los principios fundamentales que subyacen en el artículo 7 de la Ley
Modelo de la UNCITRAL sobre Comercio Electrónico con respecto al cumplimiento de
la función de la firma en el ámbito electrónico, la finalidad de la Ley Modelo para las
Firmas Electrónicas es ayudar a los Estados a establecer un marco legislativo moderno,
armonizado y equitativo para abordar de manera más eficaz las cuestiones relativas a
las firmas electrónicas. Como complemento modesto pero importante a la Ley Modelo
de la UNCITRAL sobre Comercio Electrónico, la Ley Modelo para las Firmas
Electrónicas ofrece normas prácticas para comprobar la fiabilidad técnica de las firmas
electrónicas. Además, la Ley Modelo para las Firmas Electrónicas ofrece un vínculo
entre dicha fiabilidad técnica y la eficacia jurídica que cabe esperar de una determinada
firma electrónica. La Ley Modelo para las Firmas Electrónicas supone una contribución
63
importante a la Ley Modelo de la UNCITRAL sobre Comercio Electrónico al adoptar un
criterio conforme al cual puede determinarse previamente (o evaluarse con anterioridad
a su empleo) la eficacia jurídica de una determinada técnica de creación de una firma
electrónica. Así pues, la Ley Modelo para las Firmas Electrónicas tiene como finalidad
mejorar el entendimiento de las firmas electrónicas y la seguridad de que puede
confiarse en determinadas técnicas de creación de firma electrónica en operaciones de
importancia jurídica. Además, al establecer con la flexibilidad conveniente una serie de
normas básicas de conducta para las diversas partes que puedan participar en el
empleo de firmas electrónicas (es decir, firmantes, terceros que actúen confiando en el
certificado y terceros prestadores de servicios), la Ley Modelo para las Firmas
Electrónicas puede ayudar a configurar prácticas comerciales más armoniosas en el
ciberespacio.
Los objetivos de la Ley Modelo para las Firmas Electrónicas, entre los que figuran el de
permitir o facilitar el empleo de firmas electrónicas y el de conceder igualdad de trato a
los usuarios de documentación consignada sobre papel y a los de información
consignada en soporte informático, son fundamentales para promover la economía y la
eficacia del comercio internacional. Al incorporar a su derecho interno los
procedimientos que se recogen en la Ley Modelo para las Firmas Electrónicas (y la Ley
Modelo de la UNCITRAL sobre Comercio Electrónico) para todo supuesto en que las
partes opten por emplear medios electrónicos de comunicación, el Estado promulgante
creará un entorno jurídico neutro para todo medio técnicamente viable de comunicación
comercial.
64
UNIÓN INTERNACIONAL DE TELECOMUNICACIONES (UIT)
A. Iniciativa de Comercio Electrónico para Países en Desarrollo.
Desde el lanzamiento de la iniciativa especial de desarrollo de la UIT Electronic
Commerce for Developing Countries, EC-DC, (Comercio Electrónico para Países en
Desarrollo) en marzo de 1998 para promover proyectos de comercio electrónico, el
apoyo y participación de más de 100 países en desarrollo y diversos socios industriales
ha transformado esta iniciativa en un despliegue mundial de transacciones electrónicas
utilizando las tecnologías de Infraestructura de Llave Pública (PKI por sus siglas en
Inglés) como la tecnología principal.
La tecnología PKI simplifica problemas administrativos clave asociados con las
soluciones criptográficas simétricas (la misma clave encripta y desencripta). Utilizando
los algoritmos de claves asimétricas (una clave encripta y otra desencripta) esta
tecnología permite soportar la confidencialidad, integridad de los datos y la
autentificación de la entidad origen del mensaje. Las aplicaciones que requieren
estándares basados en seguridad (correo electrónico, internet, seguridad IP y
transacciones comerciales) han sido mejoradas para obtener total ventaja de esta
tecnología.
Un certificado digital, es un conjunto de datos que confirma la relación de una llave o
clave pública al nombre y otros atributos de un individuo u otra entidad. Los formatos
65
mayor aceptados son el estándar X.509 versión 3 de la Unión Internacional de
Telecomunicaciones y las claves PGP (Pretty Good Privacy).
Las bases de la seguridad dependen de la fuerza criptográfica de la relación de las
claves (privada y pública) en el certificado, la implantación adecuada de las aplicaciones
de PKI y el control de la llave o clave privada utilizada para firmar el certificado por su
usuario o entidad final.
Con la posibilidad de conjuntar diversas empresas lideres en tecnologías de información
y comunicaciones para trabajar dentro del marco de la estrategia de la UIT, una
tecnología PKI operacional junto con aplicaciones (comunicaciones seguras, mercados
electrónicos seguros y tecnologías cohesivas basadas en XML) son funcionales y
actualmente en uso en más de 100 países en desarrollo. Por primera vez, diversos
países en desarrollo están activamente involucrados en el despliegue de servicios
dirigidos a construir la infraestructura de seguridad y confianza (firmas y certificación
digital) para diferentes sectores como salud, negocios, educación y gobierno.
ORGANIZACIÓN PARA LA COOPERACIÓN Y EL DESARROLLO ECONÓMICO
(OCDE)
El comercio electrónico es un elemento central en la visión de la OCDE en que nuestro
mundo sistematizado se apoya para el crecimiento económico sustentable, creando
más y mejores trabajos, expandiendo el comercio mundial y mejorando las condiciones
sociales. El análisis de la OCDE ha permitido una amplia política de reflexión basada en
66
el establecimiento de diversos elementos que pueden proporcionar un ambiente más
favorable para el comercio electrónico.
Este comercio es intrínsicamente transfronterizo y el éxito de su desarrollo depende en
gran medida en soluciones transfronterizas basadas en políticas de coordinación entre
países y entre los habitantes interesados de distritos electorales. Han surgido
recomendaciones específicas en áreas como telecomunicaciones, infraestructura y
servicios, tributación, protección al consumidor, sistemas de seguridad y privacidad y
protección de datos.
En el área de tributación, los gobiernos continúan tratando de incrementar ingresos sin
distorsionar alternativas económicas y tecnológicas. El Marco sobre Condiciones de
Tributación de 1998 proporciona principios que guiarán a los gobiernos en su
aproximación al comercio electrónico, señalando que deberán ser considerados en
forma similar al comercio tradicional y destacando la necesidad de evitar cualquier trato
discriminatorio.
Tener un mayor alcance a países no-miembros es ahora una prioridad importante en
todas las áreas de la labor en comercio electrónico de la OCDE. Grupos de países nomiembros -- tanto mercados emergentes y economías desarrolladas – participan en las
conferencias y seminarios de la OCDE y se están organizando un número significativo
67
de proyectos y eventos con especial énfasis en aspectos de política que ellos enfrentan.
37
A) POLÍTICA CRIPTOGRÁFICA DE LA OCDE
Recientemente los países Miembros de la OCDE se han encargado de desarrollar e
implementar políticas y regulaciones relacionadas con criptografía que en muchos
países se encuentran todavía en proceso de ser desarrolladas. Diferencias en políticas
pueden crear obstáculos al desarrollo de cadenas nacionales y globales de
comunicación e información e impedir el desarrollo del comercio internacional. Los
gobiernos de los países Miembros han reconocido la necesidad de crear una propuesta
coordinada internacionalmente para facilitar el continuo desarrollo de una infraestructura
de información eficiente y segura. La OCDE esta jugando un papel importante al
respecto, mediante el desarrollo de consensos sobre políticas específicas, aspectos
regulatorios relacionados con la cadenas de comunicación e información y tecnologías,
incluyendo aspectos de criptografía.
La OCDE ha estado activa desde hace algún tiempo en las áreas de privacidad y
protección de datos y la seguridad de sistemas de información. A principios de 1996, la
OCDE inició un proyecto sobre política de criptografía mediante la formación de un
Grupo Ad hoc de Expertos sobre Lineamientos de Política Criptográfica bajo los
auspicios del Comité de Información, Computo y Políticas de Comunicación (ICPC). El
Grupo Ad hoc bajo la presidencia del Sr. Norman Reaburn de la Attorney- General
37
Ver página Web de la OCDE, sección Comercio Electrónico, disponible en la siguiente dirección:
http://www.oecd.org/oecd/pages/home/displaygeneral/0,3380,EN-about-29-nodirectorate-no-no-no29,FF.html
68
Department de Australia fue el encargado de redactar los Lineamientos de Política
Criptográfica (Lineamientos) para identificar los aspectos que deberán tomarse en
cuenta en la formulación de políticas de criptografía a nivel nacional e internacional. El
grupo Ad hoc tuvo el mandato de un año para cumplir con esta tarea y finalizó su
trabajo en diciembre de 1996. Subsecuentemente, los Lineamientos fueron adoptados
el 27 de marzo de 1997 como una Recomendación del Consejo de la OCDE.
Los Lineamientos son de amplia índole y reflejan diversos puntos de vista de países
Miembros. Actualmente el Secretariado de la OCDE tiene un Reporte sobre los
Antecedentes y los Aspectos de Política Criptográfica que explican a mayor detalle el
contexto de los Lineamientos y los aspectos básicos comprendidos en el debate de la
política criptográfica. Este Reporte explica la necesidad de contar con actividades
internacionales y resume el trabajo relacionado llevado hasta ahora por la OCDE y otras
organizaciones. El Reporte es un documento informativo que tiene el propósito de
auxiliar el debate público sobre los Lineamientos, en lugar de influir en la interpretación
de los mismos. En tanto que proporciona mayor detalle en el alcance de los aspectos
incluidos en los Lineamientos, el Reporte no varía el significado de los Lineamientos y
no debe ser utilizado como una guía interpretativa. El Reporte ha sido redactado por el
Secretariado, el cual se ha beneficiado de los debates con un gran número de expertos
nacionales. 38
38
Ver página Web de la OCDE, “Sobre Política Criptográfica”, disponible en la siguiente dirección:
http://www.oecd.org/oecd/pages/home/displaygeneral/0,3380,EN-document-43-1-no-21-2864-43,FF.html
69
B) LINEAMIENTOS PARA POLITICA CRIPTOGRAFICA
Los Lineamientos tienen los siguientes propósitos:
•
Promover el uso de la criptografía;
•
Fomentar la seguridad en infraestructuras de comunicación e información, redes
y sistemas y la forma en que se utilizan;
•
Ayudar a proteger la seguridad de datos y proteger la privacidad en
infraestructuras de comunicación e información nacional y global, redes y
sistemas;
•
Promover el uso de esta criptografía sin poner en riesgo la seguridad pública,
ejecución de la ley y la seguridad nacional;
•
Promover el conocimiento sobre la necesidad de políticas criptográficas
compatibles y leyes, así como la necesidad de métodos criptográficos
interoperables, portátiles y móviles en redes de información y comunicación
nacionales y globales.
•
Respetar los derechos de individuos, tales como privacidad, incluyendo
comunicación de secretos y protección de datos personales en políticas
criptográficas y en la implementación y uso de métodos criptográficos.
•
Establecer los límites de responsabilidad, tanto de individuos como de entidades
que ofrecen servicios criptográficos o que mantienen o que permiten acceso a
llaves criptográficas.
•
Apoyar a tomadores de decisiones dentro de los sectores público y privado en
desarrollar e implementar políticas coherentes nacionales e internacionales,
70
métodos, medidas, prácticas y procedimientos para el uso efectivo de
criptografía.
•
Facilitar el comercio internacional mediante la promoción de sistemas
criptográficos móviles y portátiles a un costo efectivo;
•
Promover
la
cooperación
internacional
entre
gobiernos,
empresas
y
comunidades de investigación y modelos estándar en el logro de la utilización de
métodos criptográficos coordinados.
C) ALCANCE
Los Lineamientos están principalmente dirigidos a gobiernos, en términos de las
políticas de recomendación pero con la anticipación de que serán ampliamente leídos y
seguidos por los sectores público y privado.
Se reconoce que los gobiernos tienen distintas y separadas responsabilidades para la
protección de información que requiere seguridad en el interés nacional; los
Lineamientos no están dirigidos para su aplicación en este ámbito. 39
D) PRINCIPIOS
Los lineamientos contienen ocho principios:
1. CONFIANZA EN MÉTODOS CRIPTOGRÁFICOS
2. ELECCIÓN DE MÉTODOS CRIPTOGRÁFICOS
39
Los Lineamientos para Política Criptográfica se encuentran disponibles en la página Web de la OCDE
en la siguiente dirección: http://www.oecd.org/oecd/pages/home/displaygeneral/0,3380,EN-documentnotheme-1-no-no-10239-0,FF.html
71
3. DESARROLLO EN EL MANEJO DEL MERCADO DE MÉTODOS
CRIPTOGRÁFICOS
4. ESTÁNDARES DE MÉTODOS CRIPTOGRÁFICOS
5. PROTECCIÓN DE PRIVACIDAD Y DATOS PERSONALES
6. ACCESO LEGÍTIMO
7. RESPONSABILIDAD
8. COOPERACIÓN INTERNACIONAL
De conformidad con la sección IV de los Lineamientos, cada uno de estos principios
son interdependientes y deberán implementarse en su totalidad para balancear los
distintos intereses en riesgo. Ningún principio deberá implementarse aisladamente de
los demás.
CÁMARA DE COMERCIO INTERNACIONAL (CCI)
La CCI publicó en octubre del 2001 la segunda versión de pautas de "Uso General en el
Comercio Digital Internacional Asegurado" (GUIDEC II), con el objeto de asegurar la
confiabilidad de las transacciones digitales por Internet (en forma similar a las
Costumbres y Prácticas Uniformes para Créditos Documentarios, Incoterms).
GUIDEC fue originalmente elaborado por el Grupo de Trabajo de Seguridad en la
Información de la CCI, bajo los auspicios del Proyecto de Comercio Electrónico de la
CCI.
72
GUIDEC fue inicialmente elaborado y revisado en Noviembre de 1997 bajo el nombre
de Prácticas Internacionales Uniformes de Autenticación y Certificación (UIACP).
Durante el periodo de consultas, el título fue cambiado por el actual GUIDEC para
reflejar el uso de la palabra “asegurar” en el título.
GUIDEC tiene como objetivo conjuntar elementos clave utilizados en comercio
electrónico para servir como un indicador de los términos y una exposición del
antecedente general al problema. También contempla uno de los problemas clave
respecto a mensajes firmados electrónicamente, en que no sean firmados físicamente
pero que requieren de la intervención de un medio electrónico. Esto en cambio, altera la
función del firmante e introduce problemas a los que una firma física no se enfrenta,
especialmente la posibilidad del uso del medio por una tercera persona. Por lo tanto, el
GUIDEC adopta un término específico “asegurar” para describir lo que en otros lugares
se conoce como una “firma digital” o “autenticación” en un intento por revocar el
elemento de ambigüedad inherente a otros términos utilizados. 40
ORGANIZACIÓN DE NORMAS INTERNACIONALES (ISO/IEC)
La ISO ha desarrollado normas para firmas electrónicas, criptografía, autenticación y
certificación, y ha participado en el desarrollo de criterios para la aceptación mutua de
las autoridades de certificación, terceros confiables (sus siglas en inglés son TTP) y
para la infraestructura de su gestión y uso a nivel internacional.
73
CENTRO DE LAS NACIONES UNIDAS PARA LA FACILITACIÓN DEL COMERCIO Y
NEGOCIOS ELECTRÓNICOS (NU-CEFACT) Provee la única norma internacional para
el intercambio electrónico de datos, el "Intercambio Electrónico de Datos de las NU para
la Administración del Comercio y del Transporte (NU/EDIFACT)".
CONFERENCIA DE LAS NACIONES UNIDAS SOBRE COMERCIO Y DESARROLLO
(CNUCD)
Ha desarrollado el Enlace Seguro de Autenticación Electrónica (SEAL)
diseñado para facilitar el intercambio electrónico de información comercial.
SEAL
constituye un marco seguro para la certificación cruzada y el intercambio de datos entre
las autoridades nacionales de certificación.
UNIÓN UNIVERSAL DE SERVICIOS POSTALES (UPU) Ha desarrollado un marco
global para la seguridad de datos (servicios de encripción) y completado una política
teórica de encripción que todas las oficinas de correos utilizarán como plantilla.
También ha llegado a un acuerdo sobre las especificaciones mínimas de compatibilidad
global de servicios de encripción. La UPU también ha participado en el desarrollo de un
marco global para la compatibilidad de firmas digitales, al igual que para la
autenticación cara a cara, a través de establecimientos de correos a nivel mundial.
ORGANIZACIÓN MUNDIAL DE ADUANAS (OMA) Se ha enfocado principalmente en
la implantación de las normas EDI, particularmente aquellas relacionadas con el
desarrollo de mensajes NU/EDIFACT de Aduanas. También está examinando temas
40
GUIDEC II se encuentra disponible en la página Web de la CII en la siguiente dirección:
74
de seguridad, tales como la autenticación y la encripción relacionada con la transmisión
electrónica de información.
COOPERACIÓN ECONÓMICA ASIA -PACÍFICO (APEC)
En la tercera reunión ministerial de la industria de información y telecomunicaciones
(TELMIN) celebrada en junio de 1998 en Singapur se publicó:
“En particular, los ministros reconocieron al comercio electrónico como uno de los más
importantes desarrollos de la década como promotor de los servicios de información y
telecomunicaciones.”
En la cuarta reunión ministerial de la industria de información y telecomunicaciones
(TELMIN) en mayo del 2000 en Cancún, México se hicieron estas declaraciones:
“Se reafirma nuestro compromiso para fortalecer la infraestructura de información AsiaPacífico para tener la capacidad de responder efectivamente al acelerado paso de la
convergencia y cambios tecnológicos que traen nuevas oportunidades para la
educación, salud, finanzas, investigación, comercio, desarrollo económico y social y
entretenimiento.
Se reconoce que la convergencia de servicios puede hacer surgir nuevos y complejos
temas que requerirán de acercamientos innovadores para responder efectivamente y
facilitar los negocios y propiciar grandes desarrollos en infraestructura y acceso a los
servicios de información y de telecomunicaciones.”
http://www.iccwbo.org/home/guidec/guidec_two/foreword.asp
75
En el programa de acción del Grupo de Trabajo de Telecomunicaciones (TEL) de APEC
se reconocen barreras para la adopción del comercio electrónico por las pequeñas y
medianas empresas (PYMES), donde los ministros de distintos países urgen al Grupo
de Trabajo para que se aseguren ambientes políticos y regulatorios que promuevan el
comercio electrónico, se facilite la oferta electrónica de servicios y se mejore la
infraestructura del mismo.
Respecto a la autentificación electrónica, reconocen la necesidad de promover
plataformas técnicas abiertas para el comercio electrónico, donde el Grupo de Trabajo
de Autentificación Electrónica propone una serie de principios.
Los retos regulatorios y políticos urgen a adoptar un acercamiento de cooperación para
discutir temas como convergencia, liberación de mercados y la implantación del Tratado
de Libre Comercio.”
A. CONSIDERACIONES EN LA PREPARACIÓN DE POLÍTICAS PARA LA AUTENTIFICACIÓN
ELECTRÓNICA DE APEC.
1. El desarrollo de las tecnologías de autentificación y sus estándares asociados es
primordialmente papel de la industria.
2. Existe una gran variedad de modelos de negocios, tecnologías de autentificación e
implantación del comercio electrónico. Debe permitirse una libre selección de ellos y sus
implementaciones.
3. Debe reconocerse que en las autentificaciones y transacciones electrónicas,
múltiples tecnologías pueden ser utilizadas.
76
4. Cuando se desarrollen marcos legales y regulatorios, se debe considerar el rol de
tecnologías múltiples.
5. Marcos legales y regulatorios que se enfoquen en tecnologías específicas pueden
impedir el uso de tecnologías múltiples.
6. La cooperación entre economías facilita el reconocimiento transfronterizo de la
autentificación electrónica.
7. Proyectos piloto de comercio electrónico entre economías permitirá el entendimiento
de los temas involucrados.
8. El análisis del trabajo en otras economías y de organismos internacionales y el
intercambio de información pueden facilitar el reconocimiento transfronterizo de la
autentificación electrónica. APEC esta involucrada en un programa de talleres para
facilitar el intercambio de información.
B. ANTEPROYECTO DE ACCIÓN DE APEC SOBRE COMERCIO ELECTRÓNICO
(APEC
BLUEPRINT FOR ACTION ON ELECTRONIC COMMERCE)
Los Ministros de APEC, reconociendo el enorme potencial del comercio electrónico para
expandir las oportunidades de negocios, reducir costos, incrementar la eficiencia,
mejorar la calidad de vida y facilitar la gran participación de pequeñas empresas en el
comercio global, así como tomando en cuenta los diferentes estados de desarrollo de
las economías miembros, los diversos marcos regulatorios, sociales, económicos y
culturales; y tomando en cuenta que mejorar la capacidad del comercio electrónico
77
entre las economías de APEC es necesaria para alcanzar sus beneficios, se acordó lo
siguiente:
1. El sector de negocios juega un papel de liderazgo en el desarrollo de las tecnologías,
aplicaciones, prácticas y servicios del comercio electrónico.
2. El papel de los gobiernos es promover y facilitar el desarrollo y despegue del
comercio electrónico mediante lo siguiente:
•
Proporcionar un ambiente favorable, incluyendo los aspectos legales y
regulatorios que sean predecibles, transparentes y consistentes;
•
Propiciar un ambiente que promueva la confianza entre los participantes del
comercio electrónico;
•
Promover
el
funcionamiento
eficiente
del
comercio
electrónico
internacionalmente permitiendo, en la medida de lo posible, el desarrollo de
marcos domésticos que sean compatibles con las normas y prácticas
internacionales cambiantes.
•
Volverse un usuario líder para catalizar y encauzar el mayor uso de los medios
electrónicos.
3. Para que el comercio electrónico florezca, el sector privado y el gobierno deben
cooperar en la medida de lo posible para asegurar el desarrollo de una alcanzable,
accesible e interoperable infraestructura de información y comunicaciones.
78
4. Cuando se reconozca que algún grado de regulación sea necesaria, soluciones
tecnológicamente neutrales, basadas en la libre competencia, que puedan ser
protegidas por políticas de competencia y auto-regulación de la industria, deben ser
favorecidas.
5. El gobierno y la industria deben cooperar para desarrollar e implantar tecnologías y
políticas que brinden confianza, comunicaciones confiables y seguras, sistemas de
entrega y de información que contengan temas como privacidad, autentificación y
protección al consumidor. 41
ORGANISMOS A NIVEL REGIONAL
AREA DE LIBRE COMERCIO DE LAS AMERICAS (ALCA)
Los Ministros del ALCA, tomando en cuenta la rápida expansión en el uso de Internet y
del comercio electrónico en el Hemisferio y con el propósito de aumentar y ampliar los
beneficios que se derivan del mercado electrónico, aceptaron una oferta de Caricom
para dirigir un Comité conjunto de expertos del sector público y privado encargado de
hacer recomendaciones en las siguientes reuniones Ministeriales.
A) EL COMITÉ CONJUNTO DE EXPERTOS DEL GOBIERNO Y DEL SECTOR PRIVADO
SOBRE COMERCIO ELECTRÓNICO DEL ALCA
El Comité Conjunto de Expertos del Gobierno y del Sector Privado sobre Comercio
Electrónico del ALCA (Comité Conjunto) fue instituido por los Ministros de Comercio del
Hemisferio Occidental mediante la Declaración Ministerial de San José de Marzo de
41
Mayor información sobre APEC BLUEPRINT FOR ACTION ON ELECTRONIC COMMERCE se
encuentra disponible en el siguiente sitio: http://www.apecsec.org.sg/
79
1998, respaldada posteriormente por los Jefes de Estado en la Declaración de la
Cumbre de Santiago de Abril de 1998.
El Comité Conjunto ha celebrado once reuniones desde el mes de octubre de 1998. La
última reunión se celebró en la Ciudad de Panamá, los días 24 a 26 de octubre de
2001. En estas reuniones asisten delegados de los siguientes 19 países: Argentina,
Barbados, Bolivia, Brasil, Canadá, Chile, Colombia, Costa Rica, Ecuador, El Salvador,
Estados Unidos, Honduras, México, Panamá, Perú, República Dominicana, Trinidad y
Tobago, Uruguay y Venezuela. Dentro de los temas que se han desarrollado a lo largo
de esta reuniones, se encuentran privacidad; protección al consumidor; seguridad;
autenticación y certificación de firmas digitales; responsabilidad penal y civil; impuestos
y sistemas de pagos; acceso e infraestructura; pequeñas y medianas empresas y otros
temas de carácter informativo, tales como propiedad intelectual, tributación y
distribución de contenidos en línea. El trabajo futuro de el Comité Conjunto se
concentrará en temas relacionados con protección al consumidor, gobierno electrónico
entre otros. 42
B) INFORMES CON RECOMENDACIÓN A LOS MINISTROS DEL ALCA
El Comité Conjunto tiene instrucciones de El Comité de Negociaciones Comerciales de
redactar informes y dirigir recomendaciones a los Ministros del ALCA con el objeto de
incrementar y ampliar los beneficios del comercio electrónico y, en particular, de la
manera de abordar el comercio electrónico en las negociaciones del ALCA.
42
Mayor información sobre El Comité Conjunto de Expertos del Gobierno y del Sector Privado sobre
Comercio Electrónico del ALCA se encuentra disponible en el siguiente sitio:
http://www.ftaa-alca.org/spcomm/Commec_s.asp
80
En el segundo informe del Comité Conjunto del 22 de Noviembre del 2000 se trataron
entre otros temas el de Certificación y Autenticación y basados en las recomendaciones
hechas en el primer informe, el Comité Conjunto hizo las siguientes recomendaciones a
los Ministros en relación al tema.
1. Adoptar medidas para identificar y eliminar barreras legales que impidan el
reconocimiento de transacciones electrónicas, incluido el reconocimiento de la validez
legal de la escritura, firma y otras tecnologías de autenticación y certificación otorgadas
por procedimientos electrónicos, tomando en consideración las estipulaciones
habilitantes del Modelo de Ley sobre Comercio Electrónico (Model Law on Electronic
Commerce) CNUDMI de 1996;
2. Esforzarse para que la legislación sobre firmas electrónicas sea neutral en cuanto a
la tecnología aplicada;
3. Asegurar la validez legal de los registros y evidencia electrónica para su uso en
tribunales y otros procedimientos oficiales, independientemente de la tecnología de
autenticación o certificación utilizada;
4. Reconocer a las partes de una transacción B2B la libertad de determinar por medio
de un acuerdo de derecho privado los métodos tecnológicos y comerciales de
autenticación apropiados y otorgar efecto legal al acuerdo de las partes, incluyendo
81
otros medios de solución de diferencias, sin perjuicio de las normas de orden público
aplicables;
5. Reconocer la importancia del papel que toca desempeñar al sector privado en el
desarrollo e implementación de tecnologías de autenticación y certificación y promover
la participación de todos los sectores sociales involucrados en el proceso de
formulación de políticas y regímenes legales en esta materia;
6. Procurar que las leyes o normas no discriminen los métodos o proveedores de
servicios de autenticación electrónica, nacionales o extranjeros, y que no creen barreras
al suministro de servicios de autenticación por cualquiera de ellas; y
7. Trabajar con el sector privado para alentar la creación y utilización de sistemas de
autenticación que ofrezcan una adecuada protección contra el fraude y el robo de
identidad, que sean consistentes con el respeto a la privacidad de los individuos y que
no creen barreras para su uso.”43
BARRA AMERICANA DE ABOGADOS (ABA) (AMERICAN BAR ASSOCIATION)
El Comité de Seguridad de Información (El Comité) de la División de Comercio
Electrónico (La División) de la Asociación de la Barra Americana (ABA) ha sido el punto
focal de diversas iniciativas de ley sobre comercio electrónico seguro, desde la creación
43
El Segundo Informe de El Comité Conjunto con Recomendaciones a los Ministros de fecha 22 de
Noviembre del 2000, se encuentra disponible dentro de la página web del ALCA en la siguiente dirección:
http://www.ftaa-alca.org/spcomm/Commec_s.asp
82
de la División en 1992. El Comité investiga información actual sobre aspectos de
seguridad, incluyendo aquellos relacionados con infraestructura de llave pública,
criptografía, análisis de riesgo, estándares, “racionalidad comercial” y la eficacia jurídica
del comercio digital seguro.
El Comité ha expedido los Lineamientos para la Evaluación de Infraestructura de Llave
Pública (PKI Assesment Guideliness), en los sucesivo PAG.
PAG ofrece una guía práctica para la evaluación y contribución, determinando el
cumplimiento de políticas establecidas y licencia del PKI. Será también especialmente
útil para auditar a la comunidad. Este documento esta dirigido a dos tipos de usuarios:
•
En primera, servirá de guía para aquellos proveedores que utilicen PKI. PAG
comprende los elementos técnicos y de negocios que un proveedor de PKI
deberá revisar y la importancia de establecer los elementos observados.
•
El segundo tipo natural y corolario de usuario son aquellos que proporcionen
productos y servicios sobre PKI. PAG comprenderá principios generales de los
elementos de operaciones y procedimientos que se revisarán por los
proveedores de PKI, ambos técnicos y comerciales mediante los asesores de las
prácticas de PKI. 44
A) LINEAMIENTOS DE FIRMAS DIGITALES (DIGITAL SIGNATURE GUIDELINES)
44
La página del Comité de Seguridad de Información de la División de Comercio Electrónico de la
Asociación de la Barra Americana (ABA) se encuentra en la siguiente dirección:
http://www.abanet.org/scitech/ec/isc/
83
Los Lineamientos de firmas digitales fueron el resultado de cerca de cuatro años de
reuniones con la participación de expertos técnicos, legales y de negocios de más de
ocho países.
El Comité de Seguridad de Información de la Sección de Ciencia y Tecnología de la
ABA ha publicado los Lineamientos de Firmas Digitales (Lineamientos) que son un
declaración abstracta de principios cuyo propósito es servir como una fundación de
unificación de largo plazo para la ley de firma digital a través de diversos marcos
jurídicos, ya sea para uso adjudicatorio o para aprobación legislativa. Los lineamientos
incluyen definiciones, principios generales y definen los derechos y obligaciones de las
autoridades de certificación, suscriptores, (es decir, aquellas personas a quienes se les
han extendido certificados) y partes que confían (es decir, personas que utilicen estos
certificados para autenticar mensajes). También, articulan expectativas jurídicas en
cuanto al resguardo de firmas digitales en general.
Los lineamientos son significativos, en cuanto a que son la primera (y preeminente)
declaración de principios legales para certificados basados en el uso de firmas digitales.
Resultan particularmente importantes en la ausencia de una ley específica sobre la
materia.
Los Lineamientos fueron inicialmente incluidos en la página Web de la ABA durante el
periodo de comentarios (que terminó el 15 de Enero de 1996) tiempo durante el cual
aproximadamente 3, 400 copias fueron descargadas.
84
Los Lineamientos de Firma Digital fueron publicados y dados a conocer en la
Conferencia Anual de la ABA en Agosto de 1996. 45
TRATADO DE LIBRE COMERCIO DE AMÉRICA DEL NORTE (TLCAN)
CAPÍTULO XIII (TELECOMUNICACIONES) Y
CAPÍTULO IX (MEDIDAS RELATIVAS A LA NORMALIZACIÓN)
A) PRINCIPIO DE NO DISCRIMINACIÓN
El artículo 1302 “Acceso a redes y servicios públicos de telecomunicaciones” contempla
que “cada una de las partes garantizará que personas de otra Parte tengan acceso a, y
puedan hacer uso de cualquier red o servicio público de telecomunicaciones ofrecidos
en su territorio o de manera transfronteriza, inclusive los circuitos privados arrendados,
en términos y condiciones razonables y no discriminatorios, para la conducción de sus
negocios, incluyendo lo especificado en los párrafos 2 a 8.”
Mediante esta disposición, los tres países miembros garantizaran el acceso a redes o
servicios públicos de telecomunicaciones ofrecidos de manera transfronteriza entre
ellos, así como a terceros países. Este artículo no menciona expresamente al Internet y
al comercio electrónico, sin embargo lo incluye puesto que el Internet se puede
considerar como una “red o un servicio público de telecomunicaciones” por lo que
ninguno de los tres países podrá adoptar medidas legislativas que restrinjan su uso o
utilización a nivel transfronterizo.
45
Los lineamientos se encuentran disponibles en la sección de publicaciones de la ABA en la siguiente
dirección: http://www.abanet.org/scitech/ec/isc/dsgfree.html
85
B) PRINCIPIO DE COOPERACIÓN INTERNACIONAL
El artículo 1308 “Relación con organismos y tratados internacionales” contempla que
“las Partes reconocen la importancia de las normas internacionales para la
compatibilidad e interoperabilidad global de las redes o servicios de telecomunicación, y
se comprometen a promover dichas normas mediante la labor de los organismos
internacionales competentes, tales como la Unión Internacional de Telecomunicaciones
y la Organización Internacional de Normalización.”
Conforme a este articulo, México se comprometió a observar la normativa internacional
para regular la interoperabilidad de redes o servicios de telecomunicaciones emanada
de organismos internacionales competentes como pudieran ser entre otros, la Unión
Internacional de Telecomunicaciones y la Organización Internacional de Normalización.
C) CONSULTAS
De acuerdo por lo dispuesto en el numeral dos del artículo 1309, los tres países podrán
realizar consultas para liberalizar aún más el comercio de todos los servicios de
telecomunicaciones,
incluyendo
las
redes
y
los
servicios
públicos
de
telecomunicaciones como pudieran ser el Internet y el comercio electrónico.
D) OBSTACULOS INNECESARIOS
De conformidad con el numeral cuatro del artículo 904 “Principales derechos y
obligaciones” se señala que “ Ninguna de las partes podrá elaborar, adoptar, mantener
o aplicar medidas relativas a normalización que tengan por objeto o efecto crear
obstáculos innecesarios al comercio entre las Partes. No se considerará que una
medida crea obstáculos innecesarios al comercio cuando:
86
a) la finalidad demostrable de la medida sea lograr un objetivo legítimo; y
b) la medida no funcione de manera que excluya bienes de otra Parte que cumplan
con ese objetivo legítimo.”
De acuerdo con este precepto, ninguno de los tres países podrá crear obstáculos
innecesarios al comercio, incluyendo la elaboración, adopción
o aplicación de
normatividad relativa al Internet y al comercio electrónico.
E) USO DE NORMAS INTERNACIONALES
De acuerdo con el artículo 905 “Uso de Normas Internacionales” el numeral 1 señala
que “cada una de las partes utilizará, como base para sus propias medidas relativas a
normalización, las normas internacionales pertinentes o de adopción inminente, excepto
cuando esas normas no constituyan un medio eficaz o adecuado para lograr sus
objetivos legítimos, por ejemplo, debido a factores fundamentales de naturaleza
climática,
geográfica,
tecnológica
o
de
infraestructura
o
bien
por
razones
científicamente justificadas o por que no se obtenga el nivel de protección que la parte
considere adecuado.
2. Se presumirá que la medida relativa a normalización de una Parte que se ajuste a
una norma internacional, es compatible con los párrafos 3 y 4 del Artículo 904.
3. Nada de lo dispuesto en el párrafo 1 se interpretará en el sentido de impedir a una
Parte, en la prosecución de sus objetivos legítimos, el adoptar, mantener o aplicar
cualquier medida relativa a normalización que tenga por resultado un nivel de
protección superior al que se hubiera obtenido si la medida se basara en una norma
internacional pertinente.”
87
Este artículo contempla que cada país miembro podrá utilizar como base para sus
medidas de normalización, normas internacionales debidamente reconocidas y las
cuales contendrán los principios de “trato nacional”, “acceso al mercado” y “Comercio
Transfronterizo en Servicios” previstos en el numeral tres del artículo 904, salvo que
esas normas no constituyan un medio adecuado para el logro de sus objetivos.
GLOBAL BUSINESS DIALOG ON ELECTRONIC COMMERCE
En la conferencia inaugural del GBDe (1999) ante representantes de Gobiernos,
Empresas Privadas y Organizaciones Internacionales de todo el mundo, se propuso el
establecimiento de un dialogo al mas alto nivel, emitió una serie de recomendaciones
internacionales y estableció una serie de grupos de trabajo para generar y presentar
iniciativas de regulación internacional:
1. Autenticación y Seguridad (NEC) cada gobierno debe establecer el mínimo marco
legal para asegurar la efectividad de los métodos de autenticación electrónica,
previniendo fraudes.
2. Garantía de Confidencialidad (DAIMLER CHRYSLER) Las empresas y el Gobierno
tienen la responsabilidad de garantizarla, proveyendo de reglas claras y transparentes.
Asimismo para el caso de conflictos establecer reglas claras para la elección de la ley
aplicable así como competencia del tribunal, y el establecimiento de un medio simple,
barato y conveniente para los consumidores, para resolver en forma alternativa
problemas que se pudieren presentar.
88
3. Contenidos (WALT DISNEY) El gobierno debe reconocer la libertad de expresión en
internet de la misma manera en que la reconoce para cualquier otra forma de
comunicación
4. Infraestructura de la Información y Acceso de Mercados (NORTEL)
Independientemente del tipo de empresa que provee el servicio los gobiernos deben de
garantizar equidad en el trato a los distintos proveedores sean nacionales o extranjeros
y eliminar restricciones a la inversión extranjera.
5. Derechos de Propiedad Intelectual (FUJITSU) Refuerzo y ratificación a lo
establecido en los tratados internacionales sobre el copyright (WIPO).
6. Jurisdicción (EDS) Tanto los gobiernos como las agrupaciones internacionales
deberán promover la adopción de políticas que promuevan la libertad de contratación
entre proveedores y consumidores. En ausencia de definición contractual de la ley
aplicable se procurará que sea la legislación y tribunales del domicilio del proveedor.
7. Responsabilidades (TELEFONICA) Se procurará establecer un marco legal basado
en el principio ”el culpable debe de pagar de inmediato”.
8. Protección de datos personales (TOSHIBA) Cualquier restricción al flujo de
información puede tener efectos negativos. Se deberán establecer mecanismos
89
autoregulatorios de la misma manera y condiciones en que se protege en cualquier otra
forma de comunicación.
9. Impuestos y Tarifas (DEUTSCHE BANK): Se recomienda a los gobiernos de hacer
permanente el acuerdo temporal que suscribieron ante OMC de no imponer impuestos
o derechos a las transmisiones por internet
Es necesario asegurar que los gobiernos no adopten una política regulatoria tan severa
que inhiba el desarrollo del comercio electrónico, sino que intervengan proporcionando
un transparente y armónico medio legal en el cual los negocios y el comercio puedan
desarrollarse.46
Por otra parte, este papel sugiere una serie de principios, la articulación de políticas y
el establecimiento de bases para las discusiones internacionales y tratados para
facilitar el crecimiento del comercio en lnternet, estos principios son:
1. - EL SECTOR PRIVADO DEBE SER LÍDER.
Si bien el gobierno ha jugado un papel importante en el desarrollo inicial de Internet, la
expansión de la RED ha sido conducida primariamente por el sector privado. Para que
florezca el comercio electrónico, el sector privado debe continuar a la cabeza.
46
Este punto es muy importante y en él insistiremos en reiteradas ocasiones a lo largo del presente
trabajo, puesto que es necesario para lograr una adecuada legislación de los medios electrónicos.
90
2.- LOS GOBIERNOS DEBEN EVITAR RESTRICCIONES AMPLIAS AL COMERCIO
ELECTRÓNICO.
Cuando dos partes desean entablar un acuerdo para la compra y venta de productos y
servicios a través de Internet, deben ser capaces de realizarlo con la mínima
intervención gubernamental. Los gobiernos deben frenar la imposición de nuevas e
innecesarias regulaciones, procedimientos burocráticos o nuevos impuestos o tarifas a
las actividades comerciales que tienen lugar vía Internet ya que, limitando en esta
forma las actividades comerciales limitarán innecesariamente la disponibilidad de los
productos y servicios y provocará un considerable aumento en los precios de los
mismos y distorsionarán el desarrollo del mercado electrónico.
3.- DONDE LA INTERVENCIÓN GUBERNAMENTAL ES REQUERIDA DEBE SER
PARA APOYAR Y REFORZAR UN PREDECIBLE, CONSISTENTE Y SIMPLE
AMBIENTE LEGAL PARA EL COMERCIO.
En algunas áreas, los tratados entre gobiernos serán necesarios para facilitar el
comercio electrónico. En estos casos el gobierno debe establecer un estable y simple
ambiente legal basado en descentralización y un esquema contractualista de la ley.
Este armónico marco legal debe enfocarse en la protección a los consumidores de
vendedores fraudulentos, proteger la propiedad intelectual de la piratería, proteger la
privacidad, asegurar la competitividad, eliminar la intromisión y crear procedimientos
simples para la resolución de controversias.
91
4.- LOS GOBIERNOS DEBEN RECONOCER LAS CUALIDADES ÚNICAS DE
INTERNET.
Todos los gobiernos deben reconocer que el genial y explosivo éxito de Internet debe
ser atribuido en parte, a su naturaleza descentralizada. Los gobiernos deben también
reconocer que la estructura única de Internet posee cambios significativos en los retos
logísticos y tecnológicos respecto de los medios regulatorios comunes y deben ajustar
sus políticas adecuadamente.
Los gobiernos deben además, fortalecer la evolución de la regulación propia de la
industria y apoyar los esfuerzos de las organizaciones del sector privado para el
desarrollo de mecanismos que faciliten la exitosa operación de Internet.
5.- EL COMERCIO ELECTRÓNICO EN INTERNET, SERIA FACILITADO EN UNA
BASE INTERNACIONAL.
Además del reconocimiento de las diferencias en los sistemas locales y nacionales, el
marco legal que apoye las transacciones en Internet, debe ser gobernado por
principios consistentes independientes de los países en los cuales el comprador o el
vendedor reside47.
Existe, por otra parte, la creencia generalizada que debe ser el propio mercado en vez
de los gobiernos, el que debe determinar los estándares tecnológicos y otros
mecanismos para la interoperabilidad, la tecnología se mueve muy rápido para los
92
gobiernos para tratar de establecer estándares tecnológicos para el gobierno de
Internet y cualquier intento de hacerlo, sólo crearía el riesgo de la inhibición de la
innovación tecnológica.
Los estándares son críticos para el éxito comercial de Internet a largo plazo para
conjuntar productos y servicios de múltiples vendedores para que trabajen juntos o
interoperen, esto además, refuerza la competencia y Reduce la incertidumbre en el
mercado global.48
Para asegurar el crecimiento del comercio global electrónico en Internet, los estándares
serán requeridos en diversas áreas, tales como:
1.-Sistemas de pago electrónico.
2.-Seguridad (confidencialidad, autenticación, integridad control del acceso, etc.)
3.- Infraestructura de servicios de seguridad.
4.- Sistemas de protección electrónicos del copyright.
5.- Catálogos electrónicos.
6.- Conferencias en video y en datos.
7.-Tecnología de alta velocidad en los canales de los datos.49
47
“Manual de Informática Jurídica”, Guibourg, Ricardo y otros, Editorial Astrea, p. 57, Buenos Aires,
1996.
48
Op. Cit. Nota 4, p. 16.
49
A Framework for Global Electronic Commerce, P. 16, Smith & Lyons Information Technology page, en:
www.smithlyons.ca/if/welcome.htm
93
Corno se ha podido apreciar, de la anterior exposición, el actual y el ulterior desarrollo
de Internet, requiere una participación conjunta de todos los sectores que intervienen en
su funcionamiento y desarrollo, no sólo se requiere que los gobiernos realicen
esfuerzos conjuntos para la elaboración de disposiciones uniformes aplicables al
comercio electrónico, sino que, además se requiere de la participación significativa del
sector privado, en especial de la industria en general que viene a ser el principal
interesado en el desarrollo de dicho tipo de comercio, ayudando en la elaboración de
estándares y tecnologías de punta que permitan el logro de un entorno legal armónico
que permita el correcto desarrollo del comercio a través de Internet.
RECOMENDACIONES INTERNACIONALES:
1. Reconocimiento jurídico internacional de los contratos y transacciones
electrónicas en Internet, basado en normas uniformes a nivel local.
2. Estándares internacionales para la firma digital y entidades certificadoras.
3. Orden internacional para evitar abusos en el registro de nombres de dominio.
4. Confianza y protección a los Consumidores.
5. Políticas sobre los contenidos en Internet: Protección al patrimonio e identidad
cultural; Evitar y/o sancionar contenidos ilícitos.
6. Políticas de libre acceso a las telecomunicaciones.
7. Protección de la Propiedad Intelectual.
8. Reglas nacionales e internacionales de jurisdicción y competencia para la
solución de controversias.
9. Normas de responsabilidad legal y delitos informáticos.
94
10. Protección de los datos personales del individuo y flujo de datos transfronterizos.
11. Reglas sobre impuestos y tarifas arancelarias.
COMPROMISOS INTERNACIONALES SUSCRITOS POR MÉXICO:
OCDE
OMC
ALCA
APEC
Incorporación de Ley Modelo UNCITRAL en Reformas Mayo 2000
Participación en diversos foros
Coordinación de organismos internos de política pública (Ej: COMPRANET,
SIEM, SIGER: Sistema de Modernización Registral, etc.)
Aplicabilidad de reglas comerciales que rigen intercambios de bienes y servicios a
través de redes; Jurisdicción; Privacidad; Protección al consumidor; Estándares; Firma
digital y autoridades certificadoras; Aspectos Fiscales (Factura Electrónica).
OMC o WTO
Declaración Ministerial y Programa de Trabajo. Aplicabilidad de los
acuerdos GATT, ACGS, telecomunicaciones, tecnología de información, propiedad
intelectual (coordinación con OMPI para evitar choque de acuerdos). Clasificación de
bienes y productos en Internet. Comercio y desarrollo. Mayo 1998: II Sesión de la
Conferencia Ministerial - Ginebra "El potencial del comercio electrónico tiene el mismo
nivel del comercio en general" . Reunión de Seattle: Programa de Trabajo (Comités:
95
Consejo para el Comercio de Servicios; Consejo para el Comercio de Mercancías;
Comité sobre el Comercio y Desarrollo. Acuerdo de no imposición de aranceles en
transacciones efectuadas por medios electrónicos.
APEC (Asia) Declaraciones Ministeriales. Documento: "A Blueprint for Electronic
Commerce". Grupos de Trabajo. Avances/Acuerdos (Telecomunicaciones, etc...).
Usuarios: PYMES
UE (Europa). Modelo de Integración distinto. Instituciones. El comercio electrónico
dentro del proceso de integración europea. Trabajo sobre comercio electrónico hasta la
fecha con logros específicos. Estrategia para el futuro desarrollo del Comercio
Electrónico en Europa
ALCA (Área de Libre Comercio de las Américas) Cumbre de las Américas: Miami
1994, San José 1998. Comité Conjunto de expertos del Sector Público y del Sector
Privado. Contexto de Negociaciones Comerciales. Mandatos del Comité. Informe a los
Ministros (noviembre 1999). En proceso: 9 grupos de negociación; 3 comités no
negociadores (sociedad civil, paises pequeños y comercio electrónico); comité tripartito
(BID/OEA/CEPAL) de expertos sobre comercio electrónico. Logros del Comité de
Expertos: Recomendaciones a la Unión Ministerial (primera ronda): fortalecimiento de
infraestructura de información y aumento de la participación. Plan de Trabajo (segunda
ronda) acceso e infraestructura, pequeña y mediana empresa, sistemas de pago en
línea, autenticación y certificación.
96
TRATADOS DE APLICABILIDAD ESPECÍFICA:
OMPI . 1996 Tratado sobre Derecho de Autor. 1996 Tratado sobre interpretación o
ejecución de fonogramas. Solución de controversias: WIPO Arbitration and Mediation
Center. Trabajo conjunto con otros organismos internacionales: ICANN y OMC
UNCITRAL o CNUDMI Ley Modelo de Comercio Electrónico (dic. 1996) Conceptos
Generales: firmas digitales, certificados digitales y entidades de certificación. Ley
Modelo sobre Firmas Electrónicas (2001). Trabajo en curso: Desarrollo de reglas
uniformes. Lineamientos Voluntarios:
OCDE 1980 Protección de la Privacidad. Seguridad de los sistemas de información.
1997 Políticas en la criptografía. 1999 Protección al consumidor en el Comercio
Electrónico. ESTUDIOS: Estadísticas, Impacto de la tecnología sobre el desarrollo
social y económico, Políticas: Estructura global de la información, telecomunicaciones,
etc. Grupos de Trabajo
Actualmente en UNCITRAL se trabaja en un proyecto de Convención Internacional
sobre Contratación Electrónica que pretende conjuntar las dos Leyes Modelo (Comercio
Electrónico y Firma Electrónica) en la que se pretende incluir algunos conceptos de
privacidad de datos personales, protección al consumidor y nombres de dominio.
97
4.- SITUACIÓN LEGAL EN MÉXICO
Brevemente presento un resumen de las disposiciones legales vigentes en la materia y
en segundo término aquellas que se encuentran en proceso.
ANTECEDENTES LEGISLATIVOS
Código de Comercio 1884 - Telégrafo
Código Civil 1928 - Teléfono
Leyes Bancarias 1990 - Medios Telemáticos.
Ley PROFECO 1992 - Ventas a distancia. Telemarketing.
Leyes Fiscales 1998 - Declaraciones y pagos en formato electrónico.
Otros esfuerzos Gubernamentales.
La legislación existente hasta 1999, requería para la validez del acto o contrato, del
soporte de la forma escrita y la firma autógrafa, para vincular a las partes en forma
obligatoria.
REFORMAS DE MAYO DEL 2000
Como comentamos anteriormente50, el Decreto del 29 de Mayo de 2000, incluye
reformas y adiciones a:
- Código Civil
- Código de Comercio
- Código Federal de Procedimientos Civiles
98
- Ley Federal de Protección al Consumidor.
OBJETIVOS DE LA LEGISLACION:
Reconocimiento de la validez jurídica del Contrato Electrónico.
Posibilidad de la exigibilidad judicial de los contratos realizados a través de
medios electrónicos.
Medios probatorios del Contrato Electrónico y valoración de la prueba en juicio.
Protección razonable a los consumidores.
El Archivo Mercantil – Artículo 49 del Código de Comercio.51
- Independencia de la Contabilidad Fiscal.
Archivo Mercantil: Comprende la obligación de todos los comerciantes de conservar
por un plazo mínimo de diez (10) años, los originales de cartas, telegramas, convenios
o contratos que den nacimiento a derechos y obligaciones.
Archivo Mercantil Electrónico:
Permitir el envío y Conservación de la documentación anterior, pero realizada a
través de medios electrónicos.
Migración de Archivos Muertos en papel a Medios Electrónicos.
Los mensajes electrónicos deben reunir los siguientes requisitos:
Mantenerse íntegros e inalterados.
Accesibles para su ulterior consulta.
50
vide infra
51
Datos tomados de la presentación que el Lic. Luis Vera Vallejo hizo en la Asociación Mexicana de la
Industria Publicitaria y Comercial en Internet (AMIPCI) en Diciembre del 2001
99
Para asegurar los requisitos anteriores: La SE deberá expedir una NOM técnica
de carácter obligatorio.
PROYECTO DE NOM – CONSERVACION DE MENSAJES DE DATOS:
Objetivo
Establecer los requisitos que deben observarse para la conservación del contenido de
mensajes de datos que consignen contratos, convenios o compromisos, que en
consecuencia originen el surgimiento de derechos y obligaciones.
Campo de aplicación
Es de observancia general para los comerciantes que deban conservar los mensajes en
que se consignen los citados documentos.
Definiciones : Se incluyen definiciones a los conceptos utilizados en la NOM52
52
Aceptación de autoría:
A la propiedad de un algoritmo de firma digital que permite atribuir a una persona física o moral
comerciante la autoría de un mensaje de datos inequivocamente.
Acto de comercio:
A todo acto que la legislación vigente considera como tal.
Autenticación:
Al proceso en virtud del cual se constata que una entidad es la que dice ser y que tal situación es
demostrable ante terceros.
Archivo parcial:
Al mensaje de datos representado en formato ASN.1, conforme al apéndice de la presente Norma Oficial
Mexicana.
ASN.1:
A la versión 1 de Abstracts Sintax Notation (Notación Abstracta de Sintaxis).
100
Bits:
A la unidad mínima de información que puede ser procesada por una computadora.
Bytes:
A la secuencia de 8 bits.
Clave pública:
A la cadena de bits perteneciente a una entidad particular y susceptible de ser conocida públicamente,
que se usa para verificar las firmas electrónicas de la entidad, la cual está matemáticamente asociada a
su clave privada.
Clave privada:
A la cadena de bits conocida únicamente por una entidad, que se usa en conjunto con un mensaje de
datos para la creación de la firma digital relacionada con ambos elementos.
Certificado digital:
Al mensaje de datos firmado electrónicamente que vincula una entidad con una clave pública.
Código:
Al Código de Comercio.
Código de error:
A la clave indicativa de un suceso incorrecto.
Comerciantes:
A las personas o instituciones jurídicas a las que la legislación les otorga tal carácter.
Confidencialidad:
Al estado que existe cuando la información permanece controlada y es protegida de su acceso y
distribución no autorizada.
Contrato:
Al acuerdo de voluntades que produce o transfiere derechos y obligaciones.
Convenio:
Al acuerdo voluntades que crea, transfiere, modifica o extingue derechos y obligaciones.
Constancia del prestador de servicios de certificación:
Al mensaje de datos representado en formato ASN.1, conforme al apéndice de la presente Norma Oficial
Mexicana.
Criptografía:
Al conjunto de técnicas matemáticas para cifrar información.
101
Destinatario:
A aquella entidad a quien va dirigido un mensaje de datos.
Emisor:
A aquella entidad que genera y transmite un mensaje de datos.
Entidad:
A las personas físicas o morales.
Expediente electrónico:
Al mensaje de datos representado en formato ASN.1, conforme al apéndice de la presente Norma Oficial
Mexicana.
Firma Digital:
A la firma electrónica que esta vinculada al firmante de manera única, permitiendo así su identificación,
creada utilizando medios que aquel pueda mantener bajo su exclusivo control, estando vinculada a los
datos a que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable.
Firma Electrónica:
A los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente
asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de
datos e indicar que aquel aprueba la información recogida en el mensaje de datos.
Formato:
A la secuencia claramente definida de caracteres, usada en el intercambio o generación de información.
Legislación:
A las normas jurídicas generales y abstractas emanadas del Congreso de la Unión.
Mensaje de datos:
A la información generada, enviada, recibida, archivada o comunicada a través de medios electrónicos,
ópticos o cualquier otra tecnología.
Objetos:
A las definiciones del lenguaje ASN.1
Original:
A la información contenida en un mensaje de datos que se ha mantenido íntegra e inalterada desde el
momento en que se generó por primera vez en su forma definitiva.
Prestador de servicios de certificación:
A la entidad que presta los servicios de certificación a que se refiere la presente Norma Oficial Mexicana.
Red:
102
Método a seguir para la conservación de los mensajes de datos:
Los comerciantes deberán seguir el método que se describe en el apéndice del
proyecto.
La información que se desee conservar se podrá almacenar en uno o varios archivos
diferentes y/o en una o varias computadoras.
Método para digitalizar archivos soportados en medio físico.
Sin perjuicio de lo que dispongan otros ordenamientos jurídicos aplicables, cuando se
pretenda conservar en un medio electrónico, óptico o de cualquier otra tecnología,
información derivada de un acto de comercio, que se encuentre soportada en un medio
físico similar o distinto a aquellos, los comerciantes podrán optar por migrar dicha
información a una forma digital y observar, para su conservación en forma digital, las
disposiciones a que se refiere este proyecto.
Al sistema de telecomunicaciones entre computadoras.
Resumen o compendio:
Al resultado de aplicarle a un mensaje de datos una función de criptografía del tipo hash.
Sello del prestador de servicios de certificación:
Al mensaje de datos representado en formato ASN.1, conforme al apéndice de la presente Norma Oficial
Mexicana.
Secretaría:
A la Secretaría de Economía.
103
La migración de la información deberá ser cotejada por un tercero legalmente
autorizado, quien constatará que dicha migración se realice íntegra e inalterablemente
tal y como se generó por primera vez en su forma definitiva.
Los programas de software para la conservación de los mensajes de datos deberán dar
cumplimiento a lo establecido por este proyecto.
Elementos que intervienen en la conservación de mensajes de datos
Para la emisión de la firma electrónica y/o digital, así como el prestador de servicios de
certificación, deberán observar los requisitos que la normatividad aplicable señale para
su operación.
La constancia emitida por el prestador de servicios de certificación deberá observar los
términos establecidos en el Apéndice Normativo.
La operación de los equipos y programas informáticos en y con los que se almacenen
los mensajes de datos, se hará a través de un sistema de almacenamiento para
mensajes de datos en los términos establecidos en el apéndice del mismo.
Vigilancia
La vigilancia del presente proyecto, una vez que sea publicada en el Diario Oficial de la
Federación como norma definitiva, estará a cargo de la Secretaría de Economía
conforme a sus atribuciones.
APÉNDICE NORMATIVO
Introducción
104
En éste se presentan los elementos necesarios para la implantación del presente
proyecto de Norma Oficial Mexicana, la descripción del algoritmo de conservación de
información y la definición ASN.1 de los objetos usados.
Formación de archivos parciales
Para formar un archivo parcial se crea un mensaje en formato ASN.1 que contiene:
•
nombre del archivo del sistema de información en el que está o estuvo
almacenado el contenido del archivo,
•
tipo del archivo, y
•
contenido del mismo, con el objetivo de guardar la relación lógica que existe
entre estos tres elementos.
Integración del expediente electrónico
Para conformar un expediente electrónico se creará un mensaje ASN.1 que contiene:
•
el nombre del expediente, que debe de coincidir con el nombre con el que se
identifica en el sistema de información en donde está o estuvo almacenado,
•
un índice, que contiene el nombre y el compendio de cada archivo parcial que
integra el expediente,
•
la identificación del operador del sistema de conservación, y
•
su firma digital.
Método de verificación de autenticidad:
La verificación de la autenticidad de una constancia se realizará por medio del uso de
un sistema de verificación que lleve a cabo los pasos siguientes:
105
i)
verificar la firma digital del Prestador de servicios de certificación en la
constancia;
ii)
verificar la firma digital del operador del sistema de conservación en el
expediente contenido en la constancia, y
iii)
recalcular el compendio de él o los archivos parciales y verificar que coincidan
con los compendios asentados en el expediente.
Protocolo de comunicación entre el software de almacenamiento y el prestador de
servicios de certificación.
Se define el protocolo para solicitar una constancia como el procedimiento siguiente:
1. El usuario genera, a partir de sus mensajes de datos
los archivos parciales
necesarios para hacer con ellos un expediente el cual enviará al prestador de
servicios de certificación. Solicitud de conexión por parte del usuario ante el
prestador de servicios de certificación e identificación entre ellos usando un
esquema seguro de identificación con certificados digitales (este proceso puede
darse mediante un esquema de clave de usuario y contraseña en una primera
etapa).
2. El prestador de servicios de certificación genera una Constancia a partir del
Expediente
recibido, dicha constancia se registra en las bases de datos del
prestador de servicios de certificación y se envía una copia de ese mensaje ASN.1
al usuario.
3. El usuario almacena su Constancia como considere conveniente.
106
En resumen, para la aplicación de ésta norma se:
Requiere de la utilización de la tecnología PKI.
Requiere de un software para generar el juego de llaves públicas y privadas
del Usuario = Certificado o Firma Digital.
Requiere
forzosamente
confiable –
de
Prestador de
la
existencia y
Servicios de
participación
de un
tercero
Certificación - expida Constancias
Electrónicas de validez de los Mensajes de Datos.
FACTURA ELECTRONICA. Como comentaremos más adelante, se pretende:
• Reconocimiento del Comprobante Fiscal Electrónico para efectos fiscales.
• Estados de Cuenta Bancarios – Comprobantes Fiscales.
• Reglas Generales del SAT.
• Aprobación Reformas al Código Fiscal.
No podemos dejar de considerar los esfuerzos que entidades gubernamentales han
hecho a éste respecto53, en particular la Ley Federal de Procedimiento Administrativo
que regula exclusivamente las actuaciones y procedimientos del Poder Ejecutivo
Federal, fue reformada el 30 de mayo del 2000, habilitando el empleo de medios
electrónicos para llevar a cabo algunos procedimientos administrativos de gestión. De
esa forma, se modificaron las fracciones II y penúltimo párrafo del artículo 35 y el
artículo 83, y se adicionaron 5 párrafos al artículo 69 C, de la siguiente manera:
53
Cfr. Artículo: El empleo de medios electrónicos en los procedimientos de la Administración Pública
Federal, elaborado por la Lic. Flor Ma. del Consuelo Cuéllar Meléndrez. Egresada de la licenciatura en
107
El artículo 35 establece la forma en que las notificaciones, citatorios, emplazamientos,
requerimientos, solicitud de informes, documentos y resoluciones administrativas
podrán realizarse, y la reformada fracción II establece que podrán hacerse “mediante
oficio entregado por mensajero o correo certificado, con acuse de recibo. También
podrá realizarse mediante telefax, medios de comunicación electrónica o cualquier otro
medio, cuando así lo haya aceptado expresamente el promovente y siempre que pueda
comprobarse fehacientemente la recepción de los mismos.” Y en su último párrafo,
establece que en los casos de actos distintos a los expresamente señalados, podrán
emplearse también tales medios así como el correo ordinario.
El artículo 69-C, se establece que los titulares de las dependencia u órganos
administrativos
desconcentrados
y
directores
generales
de
los
organismos
descentralizados de la Administración Pública Federal podrán mediante acuerdos
generales publicados en el Diario Oficial de la Federación, establecer plazos de
respuesta menores dentro de los máximos previstos en leyes o reglamentos y a no
exigir la presentación de datos y documentos previstos en las disposiciones
mencionadas cuando puedan obtener por otra vía la información correspondiente.
“En
los
procedimientos
administrativos,
las
dependencias
y
los
organismos
descentralizados de la Administración Pública Federal recibirán las promociones o
solicitudes que, en términos de esta Ley, los particulares presenten por escrito, sin
Derecho por la Universidad del Valle de Atemajac. México. Miembro del Grupo GILCE. Asesor Legal del
108
perjuicio de que dichos documentos puedan presentarse a través de medios de
comunicación electrónica en las etapas que las propias dependencias y organismos así
lo determinen mediante reglas de carácter general publicadas en el Diario Oficial de la
Federación. En estos últimos casos, se emplearán, en sustitución de la firma autógrafa,
medios de identificación electrónica.”
“El uso de dichos medios de comunicación electrónica será optativo para cualquier
interesado, incluídos los particulares que se encuentren inscritos en el Registro de
Personas Acreditadas a que alude el artículo 69-B .”
“Los documentos presentados por medios de comunicación electrónica producirán los
mismos efectos que las leyes otorgan a los documentos firmados autógrafamente y, en
consecuencia, tendrán el mismo valor probatorio que las disposiciones aplicables les
otorguen a estos.”
“La certificación de los medios de identificación electrónica del promovente, así como la
verificación de la fecha y hora de recepción de las promociones o solicitudes y de la
autenticidad de las manifestaciones vertidas en las mismas, deberán hacerse por las
dependencias u organismos descentralizados, bao su responsabilidad y de conformidad
con las disposiciones generales que al efecto emita la Secretaría de Contraloría y
Desarrollo Administrativo.”
Proyecto E-Commerce de la Coordinadora de Fomento al Comercio Exterior del Estado de Guanajuato
109
“Las dependencias y organismos descentralizados podrán hacer uso de los medios de
comunicación electrónica para realizar notificaciones, citatorios o requerimientos de
documentación e información a los particulares en los términos del Artículo 35”.
La reforma del 30 de mayo de 2000, a la Ley Federal de Procedimiento Administrativo
ha dado legalidad al empleo de los medios electrónicos, sin embargo, algunos aspectos
requerían ser reglamentados de forma particular, tal es el caso de la firma digital
(ACUERDO por el que se establecen las disposiciones que deberán observar las
dependencias y los organismos descentralizados de la Administración Pública Federal,
para la recepción de promociones que formulen los particulares en los procedimientos
administrativos a través de medios de comunicación electrónica, así como para las
notificaciones, citatorios, emplazamientos, requerimientos, solicitudes de informes o
documentos y las resoluciones administrativas definitivas que se emitan por esa misma
vía) o los mecanismos de conservación de datos (NOM conservación de mensajes de
datos).
En algunos cuerpos normativos se establece la facultad de las partes para establecer
mecanismos de identificación por medios electrónicos mediante contrato preparatorio
previo; pero la realidad práctica obliga a la reglamentación de esa nueva figura con la
finalidad de dar eficacia jurídica al fondo y a la forma. La problemática resulta superior
si visionamos que, según lo establecido en la Ley y sus reformas, se requiere la
incorporación al Padrón de personas Acreditadas para cada dependencia, lo que
110
significaría que cada ciudadano requeriría de un mecanismo específico de identificación
para cada trámite si éste se realizara en diferentes dependencias.
La tendencia de unificar estos criterios ha sido una constante en el gobierno mexicano;
sin embargo existen actualmente iniciativas y proyectos que pretenden solucionar el
problema a través de la misma clave única de registro de población, o “CURP” que, en
todo caso, relacionaría a una misma persona siempre y a través de mecanismos
digitales, y le habilitaría para realizar gestiones primero ante las dependencias del
Poder Ejecutivo y posteriormente ante cualquier dependencia del Estado, a través de
medios electrónicos.
En el mismo sentido, el pasado 17 de enero del 2002, se publicó en el Diario Oficial de
la Federación, por parte de la Secretaría de Contraloría y Desarrollo Administrativo, el
ACUERDO por el que se establecen las disposiciones que deberán observar las
dependencias y los organismos descentralizados de la Administración Pública Federal,
para la recepción de promociones que formulen los particulares en los procedimientos
administrativos a través de medios de comunicación electrónica, así como para las
notificaciones, citatorios, emplazamientos, requerimientos, solicitudes de informes o
documentos y las resoluciones administrativas definitivas que se emitan por esa misma
vía, que fundamenta el concepto del sitio web: TRAMITANET54. El cual tiene por objeto:
La certificación del medio de identificación electrónica que utilicen los particulares en los
trámites electrónicos que realicen; La verificación de la fecha y hora de recepción de las
54
http://www.tramitanet.gob.mx/
111
promociones y solicitudes formuladas a través de medios de comunicación electrónica
(marca de tiempo o sello digital); La comprobación de la autenticidad de las
manifestaciones vertidas en dichas promociones o solicitudes, y las notificaciones,
citatorios, emplazamientos, requerimientos, solicitudes de informes o documentos y las
resoluciones administrativas que emitan por medios electrónicos, relacionados con el
trámite electrónico promovido por el particular.
En el acuerdo se establece también que se utilizará un sistema de encripción de clave
pública (PKI) para generar el certificado digital y dos tipos de certificación; básica y de
alta seguridad, dependiendo de la necesidad o no de la presencia física del particular o
su representante para acreditar identidad, existencia legal y facultades de su
representante, en su caso, los cuales podrán ser emitidos por las dependencias u
organismos
descentralizados
de
la
Administración
Pública
Federal
(Entidad
Certificadora), que estuvieren autorizadas para ello por la Secretaria de la Contraloría y
Desarrollo Administrativo (Autoridad Certificadora Central), previa solicitud de los
interesados.
Cada dependencia interesada en fungir como Entidad Certificadora, deberá declarar en
un documento a disposición de los interesados las prácticas de certificación adoptadas
(Tipos de certificación que emitan, trámites en los que podrán ser utilizados los
certificados expedidos, métodos para identificar al titular del certificado, mecanismos
que permitan al titular verificar su propio certificado, procedimientos para emitir y
consultar la lista de certificados revocados, procedimientos de auditoría establecidos,
mecanismos de custodia de identificación electrónica e impresa).
112
NOVEDADES LEGISLATIVAS
En las Cámaras se está trabajando en los siguientes proyectos legislativos, relativos al
Comercio Electrónico:
LEY CONTRA EL CRIMEN ELECTRÓNICO. Pretende adecuar la legislación
penal mexicana a normas internacionales, procurando combatir la piratería,
hackers y crackers, así como la prohibición de transmitir material pornográfico a
través de Internet.55
Julio Téllez Valdés clasifica a los delitos informáticos basándose en dos criterios: como
instrumento o medio, o como fin u objetivo.56
I) Como instrumento o medio: se tienen a las conductas criminógenas que se valen de
las computadoras como método, medio, o símbolo en la comisión del ilícito.
II) Como medio y objetivo: en esta categoría se enmarcan las conductas criminógenas
que van dirigidas en contra de la computadora, accesorios o programas como entidad
física.
María de la Luz Lima, presenta una clasificación, de lo que ella llama "delitos
electrónicos", diciendo que existen tres categorías, a saber:57
55
Cfr: Esteban María Teresa; Delitos Cibernéticos; trabajo presentado en la Universidad Panamericana;
2001
56
TELLEZ Valdes, Julio. Derecho Informático. 2a. ed. México. Ed. Mc Graw Hill 1996. Pp. 103-104.
57
LIMA DE LA LUZ, María. "Delitos Electrónicos" en Criminalia. México. Academia Mexicana de Ciencias
Penales. Ed. Porrúa. No. 1-6. Año L. Enero-Junio 1984. Pp.100.
113
I)
Los que utilizan la tecnología electrónica como método: conductas
criminales en donde los individuos utilizan métodos electrónicos para
llegar a un resultado ilícito.
II)
Los que utilizan la tecnología electrónica como medio: son conductas
criminógenas
en
donde
para
realizar
un
delito
utilizan
una
computadora como medio o símbolo.
III)
Los que utilizan la tecnología electrónica como fin: conductas
criminógenas dirigidas contra la entidad física del objeto o máquina
electrónica o su material con objeto de dañarla.
Tipos de delitos informáticos reconocidos por Naciones Unidas:
Fraudes cometidos mediante manipulación de computadoras.
Manipulación de los datos de entrada: Este tipo de fraude informático conocido también
como sustracción de datos, representa el delito informático más común ya que es fácil
de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de
informática y puede realizarlo cualquier persona que tenga acceso a las funciones
normales de procesamiento de datos en la fase de adquisición de los mismos.
La manipulación de programas: Es muy difícil de descubrir y a menudo pasa inadvertida
debido a que el delincuente debe tener conocimientos técnicos concretos de
informática. Este delito consiste en modificar los programas existentes en el sistema de
computadoras o en insertar nuevos programas o nuevas rutinas. Un método común
utilizado por las personas que tiene conocimientos especializados en programación
informática es el denominado Caballo de Troya, que consiste en insertar instrucciones
114
de computadora de forma encubierta en un programa informático para que pueda
realizar una función no autorizada al mismo tiempo que su función normal.
Manipulación de los datos de salida: Se efectúa fijando un objetivo al funcionamiento
del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los
cajeros automáticos mediante la falsificación de instrucciones para la computadora en
la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de
tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente el
equipo y programas de computadora especializados para codificar información
electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las
tarjetas de crédito.
Fraude efectuado por manipulación informática que aprovecha las repeticiones
automáticas de los procesos de cómputo: Es una técnica especializada que se
denomina "técnica de salchichón" en la que "rodajas muy finas" apenas perceptibles, de
transacciones financieras, se van sacando repetidamente de una cuenta y se
transfieren a otra.
Falsificaciones informáticas.
Como objeto: Cuando se alteran datos de los documentos almacenados en forma
computarizada.
Como instrumentos: Las computadoras pueden utilizarse también para efectuar
falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de
fotocopiadoras computarizadas en color a base de rayos láser, surgió una nueva
generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden
115
hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear
documentos falsos sin tener que recurrir a un original, y los documentos que producen
son de tal calidad que sólo un experto puede diferenciarlos de los documentos
auténticos.
Daños o modificaciones de programas o datos computarizados.
Sabotaje informático: Es el acto de borrar, suprimir o modificar sin autorización
funciones o datos de computadora con intención de obstaculizar el funcionamiento
normal del sistema. las técnicas que permiten cometer sabotajes informáticos son:
Virus: Es una serie de claves programáticas que pueden adherirse a los programas
legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un
sistema por conducto de una pieza legítima de soporte lógico que ha quedado
infectada, así como utilizando el método del Caballo de Troya.
Gusanos: Se fabrica en forma análoga al virus con miras a infiltrarlo en programas
legítimos de procesamiento de datos o para modificar o destruir los datos, pero es
diferente del virus porque no puede regenerarse. En términos médicos podría decirse
que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora
bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del
ataque de un virus; por ejemplo, un programa gusano que subsiguientemente se
destruirá puede dar instrucciones a un sistema informático de un banco para que
transfiera continuamente dinero a una cuenta ilícita.
Bomba lógica o cronológica: Exige conocimientos especializados ya que requiere la
programación de la destrucción o modificación de datos en un momento dado del
futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles
116
de detectar antes de que exploten; por eso, de todos los dispositivos informáticos
criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su
detonación puede programarse para que cause el máximo de daño y para que tenga
lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica
puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a
cambio de dar a conocer el lugar donde se halla la bomba.
Acceso no autorizado a servicios y sistemas informáticos. Es el acceso no autorizado a
sistemas informáticos por motivos diversos: desde la simple curiosidad, como en el
caso de muchos piratas informáticos (hackers) hasta el sabotaje o espionaje
informático.
Piratas informáticos o hackers: El acceso se efectúa a menudo desde un lugar exterior,
situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que
se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las
medidas de seguridad para obtener acceso o puede descubrir deficiencias en las
medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los
piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele
suceder con frecuencia en los sistemas en los que los usuarios pueden emplear
contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.
Reproducción no autorizada de programas informáticos de protección legal. La
reproducción no autorizada de programas informáticos puede entrañar una pérdida
económica sustancial para los propietarios legítimos. Algunas jurisdicciones han
tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El
117
problema ha alcanzado dimensiones transnacionales con el tráfico de esas
reproducciones no autorizadas a través de las redes de telecomunicaciones moderna.
También se habla de una clasificación más específica:
1.- Delitos tradicionalmente denominados informáticos: Son aquellos que están
íntimamente ligados a la informática o a los bienes jurídicos que históricamente se han
relacionado con las tecnologías de la información (datos, programas, documentos
electrónicos, dinero electrónico, información, etc.). Entre estos delitos o infracciones se
pueden destacar:
Acceso no autorizado.
Destrucción de datos.
Infracción de los derechos de autor.
Infracción del copyright de bases de datos.
Interceptación de e-mail.
Estafas electrónicas.
Transferencia de fondos.
2.- Delitos convencionales: Todos aquellos que tradicionalmente se han venido dando
sin el empleo de medios informáticos y que con la irrupción de las autopistas de la
información se han reproducido también en el ciberespacio. Como por ejemplo:
Espionaje.
Espionaje industrial.
Terrorismo.
Narcotráfico.
118
Otros delitos tales como tráfico de armas, proselitismo de sectas, propaganda de
grupos extremistas y cualquier otro delito que pueda ser trasladado de la vida real al
ciberespacio o viceversa.
3. Mal uso: Estas conductas aunque no constituyen una infracción son mal recibidas por
los usuarios de Internet por cuanto lesionan normas implícitas de convivencia en la red.
El mal uso se refiere a conductas tales como:
Usos comerciales no éticos.
Actos parasitarios: aluden a la acción de obstaculizar las comunicaciones ajenas,
interrumpiendo conversaciones en forma repetida, al envío de mensajes con insultos
personales, etc.
Obscenidades.
4. Efectos transfronterizos: Enmarca la competencia jurisdiccional de actos realizados
en un país pero que, debido a la extensión de la red, tienen sus efectos en otros países.
LEY DE PROTECCIÓN DE DATOS PERSONALES (Iniciativa del Dip. Miguel
Barbosa Huerta, basada en la Legislación Española al respecto).
Pareciera ser que la materia de la protección de los datos personales del ciudadano y la
privacidad de la información correspondiente y en su caso, el flujo transfronterizo de
dicha información es un tema al cual los gobiernos le están dando gran importancia. En
efecto, la Unión Europea ha puesto en vigor una Directiva sobre este tema, conforme a
la cual los países miembros de la comunidad deberán legislar en cada país sobre el
tema que nos ocupa. En los Estados Unidos, la entidad encargada de l a legislación de
119
la materia es la Comisión Federal de Comercio (FTC - por sus siglas en inglés
FEDERAL TRADE COMMISSION).
A partir de 1995, la FTC había venido sosteniendo que no era necesaria una legislación
federal para la protección de los datos de los ciudadanos, puesto que era suficiente la
protección de los consumidores a través de la autoregulación de la industria y a través
de códigos de ética.
En Mayo de 2000, la FTC reveló un estudio sobre la privacidad de los datos que se
transmiten en línea y todo es indicativo de que ahora la FTC ha cambiado su criterio y
está recomendando al Congreso de los Estados Unidos que se legisle sobre esta
materia.
Por lo anterior, es muy posible que por las iniciativas de la Unión Europea y de
legislarse en los Estados Unidos, existan presiones para que México igualmente
promulgue una legislación como la iniciativa de LEY DE PROTECCIÓN DE DATOS
PERSONALES, a que hacemos referencia, por parte del Diputado Miguel Barbosa
Huerta, basada en la Legislación Española.
LEY FEDERAL DE PROTECCIÓN AL CONSUMIDOR (En lo relativo
específicamente a operaciones por Internet).
120
PROTECCIÓN Y RECONOCIMIENTO DE LA PROPIEDAD INTELECTUAL DEL
SOFTWARE (El Instituto Nacional del Derecho de Autor está convocando
para realizar una nueva revisión a la Ley Federal del Derecho de Autor. ) Entre
las propuestas presentadas destaca la que pretende autorizar a las Sociedades
Autorales de Gestión Colectiva a “cobrar tarifas” a toda empresa fabricante,
importadora o comercializadora de equipos
que permitan la transmisión,
almacenamiento y uso de obras protegidas por el derecho de autor (software,
música, video, etc.). El importe de las tarifas son por convenio con cada empresa
o las autoriza el INDA. Al respecto, el INDA ya autorizó la constitución de la
“Sociedad Mexicana
de
Productores
de
Fonogramas, Videogramas
y
Multimedia, Sociedad de Gestión Colectiva. De aprobarse esta legislación, se
encarecerán los costos
de
los
fabricantes
de
equipo
de
cómputo
y
telecomunicaciones, lo cual podría afectar al mundo del Internet.
REFORMAS A LA LEY FEDERAL DE RADIO Y TELEVISIÓN: Pretende
asimilar al Internet con la Televisión y el Radio. Lo anterior puede ser un
precedente que afecte a la Industria y pudiere tener como efecto en inhibir la
inversión en esa materia, hoy en día tan necesaria (ya que presupone el
requerimiento de una concesión o autorización gubernamental). Asimismo se
busca establecer una prohibición de transmitir material pornográfico a través de
Internet, con la dificultad de supervisión y control que ello implica.
121
REDACCIÓN DE UNA LEGISLACIÓN SOBRE FIRMAS ELECTRONICAS Y
PRESTADORES DE SERVICIOS DE CERTIFICACION. Basada en la Ley
Modelo de la UNCITRAL sobre Firmas Electrónicas, aprobada en Viena en Julio,
2001, tomando en cuenta la experiencia de otras Legislaciones (Derecho
Internacional) y adecuándolas con las necesidades de México. En ella está
trabajando el Grupo GILCE por encargo de la Comisión de Comercio de la
Cámara de Diputados y en coordinación con la Secretaría de Economía y
diversas agrupaciones gremiales del sector.
PROCESO DE APROBACIÓN DEL PROYECTO DE NUEVA LEY FEDERAL
DE TELECOMUNICACIONES. En el cual se incluye la debida protección para
los usuarios así como garantiza la autonomía de COFETEL, considerando que la
meta sexenal, señalada por el actual gobierno, es pasar del 12 por ciento de
teledensidad al 25 por ciento de conectividad, y de 36 por ciento de los hogares
con línea telefónica a 52 por ciento de las viviendas con acceso a teléfonos,
computadoras e Internet, con servicios de voz y datos.
LEGISLACIÓN EN MATERIA DE NOMBRES DE DOMINIO. Al respecto se está
actualmente explorando la tendencia de regular la conexidad que existe entre el
nombre de dominio y el nombre comercial o marca, sobretodo en México habría
que establecer una relación entre NIC-México e IMPI. Si bien el consenso
internacional es que se trata de dos cosas distintas y su regulación no puede ni
debe mezclarse, hay que entender que existen, o pueden existir entre ambas
122
relaciones, que deben ser contempladas por ambas partes. Otra cuestión es
resolver el grave problema relativo a la Personalidad Jurídica de NIC-México,
toda vez que si bien es cierto que el ITESM cobija su funcionamiento, también lo
es que es el propio NIC-México es quien celebra los contratos, esto es un ente
que jurídicamente en México no existe. Asimismo el cobijo que brinda el ITESM,
es muy relativo, ya que se constituyó como escuela libre universitaria con
personalidad jurídica propia por decreto presidencial publicado en el Diario
Oficial el 12 de septiembre de 1952, resultaría cuestionable que la actividad del
NIC-México fuera la de “escuela libre universitaria” y en éste orden de ideas
estaríamos frente a un acto ultravires (que va mas allá del objeto social).
ADECUACIONES AL MARCO JURÍDICO DEL SISTEMA E-MÉXICO. Comisión
Presidencial coordinada por SCT, para conjuntar los esfuerzos en forma
horizontal del gobierno para el Sistema e-México.
El Sistema Nacional e-México58 es un proyecto integrador, que articula los intereses de
los distintos niveles de gobierno, de diversas entidades y dependencias públicas, de los
operadores de redes de telecomunicaciones, de las cámaras y asociaciones vinculadas
a las TICs, así como de diversas instituciones, a fin de ampliar la cobertura de servicios
básicos como educación, salud, economía, gobierno y ciencia, tecnología e industria,
así como de otros servicios a la comunidad.
58
http://www.e-mexico.gob.mx/
123
Para lograr sus objetivos, este Sistema ha concebido integrar una megared a través de
la interconexión de todas las redes de telecomunicaciones en operación.
Visión: Ser un agente de cambio en el país, al integrar los esfuerzos que realizan
diversos actores públicos y privados en la eliminación de la brecha digital y las
diferencias socioeconómicas entre los mexicanos, a través de un sistema con
componentes tecnológicos y sociales que ofrezca servicios básicos como aprendizaje,
salud, intercambio comercial, y trámites de gobierno, siendo al mismo tiempo punta de
lanza del desarrollo tecnológico de México.
El Sistema Nacional e-México se propone:
a) Acelerar las tendencias históricas en la penetración de servicios de
telecomunicaciones e informática, a fin de garantizar que la cobertura de los
servicios y contenidos del Sistema Nacional e-México estén presentes en todo el
territorio nacional y al alcance de toda la población.
b) Impulsar a la industria de desarrollo de software nacional, contemplando la
renovación tecnológica y la demanda de servicios.
c) Brindar a través del Sistema Nacional e-México nuevas opciones de acceso a la
educación y capacitación, que estimulen el aprendizaje como un medio para el
desarrollo integral de los mexicanos, promoviendo que la educación sea
accesible para cualquier persona, respetando su identidad y su entorno cultural.
d) Facilitar a la población en general y a los profesionales de la salud del país, el
acceso a servicios y contenidos de salud a distancia, que permitan mejorar el
124
nivel del bienestar de la población, integrando a los diversos actores que
intervienen en la atención de la salud.
e) Promover el desarrollo y competitividad de las pequeñas y medianas empresas,
en sus actividades dentro y fuera del país, a través de los medios electrónicos y
las oportunidades de negocios que existen en la nueva economía digital
f) Integrar a través del sistema e-México, a los diversos grupos lingüísticos y
étnicos de México, así como a sectores específicos de la población como los
mexicanos en el extranjero y personas con discapacidad, entre otros.
g) Garantizar los mecanismos jurídicos, la regulación y aspectos tarifarios,
adecuados para el desempeño del Sistema e-México, en condiciones de
certidumbre, transparencia y seguridad para asegurar el Derecho a la intimidad y
la informática de los usuarios, así como de los valores sociales y éticos de los
mexicanos.
h) Coordinar a los diferentes grupos participantes –públicos y privados- en el
desarrollo, administración, operación, mantenimiento, control y financiamiento del
Sistema Nacional e-México, para que éste sea eficaz y eficiente
i) Promover
la
canalización
de
recursos
de
fuentes
de
financiamiento
internacionales y nacionales para el despliegue del Sistema Nacional e-México,
garantizando que los recursos públicos y privados asignados para este proyecto
sean socialmente rentables.
125
LEY GENERAL DE INFORMÁTICA.59 En cuyo proyecto está participando
activamente la Academia Mexicana de Derecho Informático (AMDI) en la
Comisión de Comunicaciones y Transportes del Senado de la República, en su
carácter de órgano de consulta en materia de derecho informático para dicho
cuerpo legislativo.
Adicionalmente a lo anterior, también se está proponiendo en la Cámara de Senadores
una reforma constitucional al Artículo 16 para elevar al rango de garantía
individual el derecho a la protección de los datos personales del individuo, que
además daría sostén al proyecto legislativo que sobre éste mismo tema señalamos
anteriormente.
59
http://www.amdi.org.mx/amdi_agenda.htm
126
5.- FIRMA AUTÓGRAFA60
El vocablo firma proviene latín firmare que significa afirmar, dar fuerza y el vocablo
autógrafa significa grabar o escribir por sí mismo y se aplica al escrito de mano de su
propio autor en el entendido que los signos o trazos han de ser hechos por la mano del
autor sin que la impresión se realice por medios mecánicos.61
La Real Academia de la Lengua define la firma como: “nombre y apellido o título de una
persona que ésta pone con rúbrica al pie de un documento escrito de mano propia o
ajena, para darle autenticidad, para expresar que se aprueba su contenido o para
obligarse a lo que en él se dice”.
En el Vocabulario Jurídico de Couture se define como: “Trazado gráfico, conteniendo
habitualmente el nombre, los apellidos y la rúbrica de una persona, con el cual se
suscriben los documentos para darles autoría y virtualidad y obligarse en lo que en ellos
se dice”
Existen rasgos de primeras escrituras como sabemos desde la prehistoria y en culturas
muy antiguas, en las que destacan Sumerios, Cretenses,
y los alfabetos egipcio,
fenicio y griego son pruebas destacadas del adelanto de dichas civilizaciones.
60
cfr: Bravo Machado, Antonio: Seguridad en transacciones por internet; Universidad Panamericana;
Tesis para obtener el título de licenciado en derecho; 2001
61
“ Firma” Enciclopedia Jurídica Omeba, Tomo XII, Editorial Bibliográfica Argentina, pp. 290-293
127
En Roma, los documentos no eran firmados, ni era costumbre ni era necesario. Existía
una ceremonia llamada manufirmatio, por la cual, luego de la lectura del documento por
su autor o el notarius, era desplegado sobre una mesa y se le pasaba la mano por el
pergamino en signo de su aceptación. Solamente después de cumplir esta ceremonia
se estampaba el nombre del autor, signo o tres cruces una por cada persona de la
Santísima Trinidad, haciéndolo seguidamente los testigos. Más que un requisito la
manufirmatio era en sí misma una parte del espectáculo solemne en que se realizaba el
acto.62
En el Sistema Jurídico Visigótico existía la confirmación del documento por los testigos
que lo tocaban (chartam tangere), signaban o suscribían (firmatio, roboratio, stipulatio).
La firma del que da el documento o librador es corriente, pero no imprescindible. Los
documentos privados son, en ocasiones, confirmados por documentos reales. Desde la
época
euriciana
las
leyes
visigodas
prestaron
atención
a
las
formalidades
documentales, regulando detalladamente las suscripciones, signos y comprobación de
escrituras. La “subscriptio”, representaba la indicación del nombre del signante y la
fecha, y el “signum”, un rasgo que la sustituye si no sabe o no puede escribir. La
“subscriptio” daba pleno valor probatorio al documento y el “signun” debía ser
completado con el juramento de la veracidad por parte de uno de los testigos. Si falta la
firma y el signo del autor del documento, éste es inoperante y debe completarse con el
juramento de los testigos sobre la veracidad del contenido.63
62
FLORIS MARGADANT G. “Derecho Privado Romano” 4ª ed. Editorial Porrúa. pp. 116-119
63
TOMAS Y VALIENTE FRANCISCO “El orden Jurídico Medieval” Madrid, Marcial Pons, Ediciones
Jurídicas y Sociales, S.A. pp. 53-54
128
En la Edad Media se utilizaron sellos, marcas y signos. Estos últimos se formaban con
una cruz con la que se entrelazaban, en forma arbitraria, letras o rasgos y fueron
utilizados por nuestros fedatarios hasta hace no mucho tiempo. Carlo Magno que
apenas sabía escribir hacia firmar sus actos por un sellero oficial, sus sucesores que no
mejoraron la cultura del conquistador, utilizaron sellos, hasta que algún tiempo después
comenzaron a autenticarse los documentos con sello y firma aunque por esto se
entendían todavía los signos dibujados para individualizarse.64
Recién en octubre de 1358 Carlos V obligó en Francia a los escribanos a suscribir los
actos que pasaban ante ellos con sus firmas, además de sus signos. Era en esta época
aún tan poco común la escritura que ese mismo año en el Consejo Real eran escasos
los que sabían hacerlo, y fue por entonces que el mismo rey dispuso que los actos de
ese organismo debían de ser autorizados por lo menos por tres de los presentes, los
que si no supiesen firmar estamparían sus marcas o signos.
La diferenciación entre “firmas” y “signos” hizo que se empezase a entender que
aquéllas eran, más que simples “signos”, la inscripción manuscrita del nombre o de los
apellidos. En ese tiempo, pocas eran las personas que sabían leer y escribir, por lo que
generalmente los particulares estampaban en los documentos que suscribían diversos
signos o sellos, la extensión de la instrucción y el desenvolvimiento de las
transacciones comerciales, hicieron que la firma fuera adquiriendo la importancia y uso
64
Idem.
129
que con el transcurso del tiempo se fue consagrando como un símbolo de identificación
y de enlace entre el autor de lo escrito o estampado y su persona.65
Es así como la firma se utilizó con mucha frecuencia por los artistas, son célebres las
firmas por ejemplo de Alberto Durero, que más bien es un signo, o la de Miguel Ángel
que especialmente firmó algunas de sus obras que consideró más significativas.66
Los artistas chinos usan su firma para distinguir sus obras, ya sean de pintura,
escultura, bordado, porcelana, etc., y es famosa en el mundo entero la firma de estos
grandes artistas que se significa por su perfección en el trazo y que se estampa en
color rojo.67
CONCEPTO
No se ha escrito hasta la fecha una teoría propia de la firma, su concepto, elementos,
consecuencias y efectos en Derecho Mercantil, son pocas las referencias que hay
sobre la materia68 y más bien son obras de Derecho Notarial las que se ocupan de este
tema.69 Como una primera aproximación, podemos decir que Firma es el conjunto de
letras y signos entrelazados, que identifican a la persona que la estampa, con un
documento o texto.
Existen diversas clases de firmas:
65
ACOSTA ROMERO, Miguel; “Nuevo Derecho Mercantil”; capítulo XVIII: La firma en el derecho
mercantil mexicano; página 537 a 562; Editorial Porrúa; Primera Edición; 15 de agosto del 2000.
66
ACOSTA ROMERO, Miguel; OP. CIT.
67
Bradley Smith y Wan-go Wen, China a History in Art. Windfall & Co., 1972, Carden City, N. Y., U.S.A.,
pp. 110-101, 138-139.
68
Véase la interesante monografía La firma en el Derecho Bancario Mexicano, de Alfredo Baltierra, tesis.
Facultad de Derecho de la UNAM, 1973.
69
ACOSTA ROMERO, Miguel; OP. CIT.
130
a) Autógrafa.
b) En facsímil.
c) Mecánica.
d) De la persona física.
e) De la persona jurídica colectiva (a través de sus órganos de administración o
representación).
f) Con lápiz o con tinta.
g) Con otros instrumentos de escritura.
La firma autógrafa es la que suscribe la persona física con su propia mano y consiste
en un conjunto de letras o bien algún componente de su nombre y a veces el nombre y
apellido, aunado a una serie de trazos que pueden abarcar toda gama de evoluciones
del instrumento de escritura, que señalan e identifican al sujeto y lo separan de otros,
en los documentos que suscribe y es un elemento que refleja permanentemente su
voluntad de expresar lo que firma, o de obligarse al tenor del texto que suscribe.70
La firma es una inscripción manuscrita que indica el nombre de una persona que
entiende hacer suyas las declaraciones del acto.
Mustapich71 define a la firma: “El nombre escrito por propia mano en caracteres
alfabéticos y de una manera particular, al pie del documento al efecto de autenticar su
contenido”.
Planiol y Ripert72 consideran: “La firma es una inscripción manuscrita que indica el
nombre de una persona que entiende hacer suyas las declaraciones del acto”.
70
ACOSTA ROMERO, Miguel; OP. CIT.
71
Mustapich, J. M., Tratado de Derecho Notarial, tomo I.
72
Planiol y Ripert, Traité Pratique de Droit Civil Français, tomo VI, núm. 1458.
131
La definición de Mustapich no concuerda con la realidad actual, al afirmar que la firma
es el nombre escrito por propia mano en caracteres alfabéticos, pues quedarían fuera
de esa definición las firmas que se componen exclusivamente de rasgos que no sólo no
expresan el nombre del firmante, sino que no tienen semejanza con los caracteres
alfabéticos.
Planiol y Ripert, incurren en la misma falta de comprensión al decir que la firma indica el
nombre de una persona, lo que no es del todo exacto, por las razones antes expuestas.
Jurídicamente, la firma autógrafa implica el hecho de tratarse de una inscripción
manuscrita, realizada de una manera particular, hecha con el ánimo de obligarse al
reconocimiento del contenido del escrito en que se estampe.
La firma de la persona jurídica colectiva (persona moral), será estampada por la
persona o las personas físicas a las cuales los órganos de administración y
representación hayan otorgado los poderes o facultades de obligarla con su firma, ya
sea individual o colectivamente, en forma simple o mancomunada, y en los términos y
con las limitaciones que dichos órganos acuerden a cada persona en particular.
Sin embargo, no todas las personas pueden firmar, algunas por analfabetismo, otras
por impedimentos físicos transitorios o permanentes, y es cuando aparecen en el
ámbito del Derecho la “Firma a ruego” y la “Huella Digital”, figuras a las que se les
atribuye en ocasiones mayores alcances de los que tienen, ya sea por desconocimiento
de su naturaleza jurídica o por aplicaciones analógicas mal fundadas.
Nuestra legislación no da las características que deba tener la firma en los documentos
y sólo por referencia, el Código de Comercio habla de la firma en el reconocimiento de
documentos mercantiles para preparar la acción ejecutiva.
132
Sobre esto, la Suprema Corte de Justicia de la Nación ha dictado ejecutorias73 y “El
artículo 1165 del Código de Comercio74 cuando habla del reconocimiento de la firma de
73
Amparo Directo 435/57. Jorge Suárez D’Alessio. Resuelto 11 de marzo de 1959, por unanimidad de 4
votos. Ausente el señor maestro García Rojas. Ponente: el señor ministro López Lira, 3ª. Sala. Informe
1959, p. 100.
74
Articulo 1165 .- El documento privado que contenga deuda líquida y sea de plazo cumplido, permitirá al
acreedor, promover medios preparatorios a juicio, exhibiendo el documento al juez a quien se le hará
saber el origen del adeudo, solicitándole que ordene el reconocimiento de la firma, monto del adeudo y
causa del mismo.
Para tal fin, el juez ordenará al actuario o ejecutor que se apersone en el domicilio del deudor para que se
le requiera que bajo protesta de decir verdad, haga reconocimiento de su firma, así como del origen y
monto del adeudo, y en el mismo acto se entregue cedula de notificación en que se encuentre transcrita
la orden del juez, así como copia simple cotejada y sellada de la solicitud.
De no entenderse la diligencia personalmente con el deudor cuando se trate de persona física o del
mandatario para pleitos y cobranzas o actos de dominio tratándose de personas morales o del
representante legal, en otros casos, el actuario o ejecutor se abstendrá de hacer requerimiento alguno, y
dejara citatorio para que ese deudor, mandatario o representante legal, lo espere para la practica de
diligencia judicial en aquellas horas que se señale en el citatorio, la que se practicara después de las seis
y hasta las setenta y dos horas siguientes. También el actuario o ejecutor podrá, sin necesidad de
providencia judicial, trasladarse a otro u otros domicilios en el que se pueda encontrar el deudor, con la
obligación de dejar constancia de estas circunstancias. Si después de realizadas hasta un máximo de
cinco búsquedas del deudor este no fuere localizado, se darán por concluidos los medios preparatorios a
juicio, devolviéndose al interesado los documentos exhibidos y dejando a salvo sus derechos para que
los haga valer en la vía y forma que corresponda.
Cuando fuere localizado el deudor, su mandatario o representante, e intimado dos veces rehúse
contestar si es o no es suya la firma, se tendrá por reconocida, y así lo declarara el juez.
Cuando reconozca la firma, mas no el origen o el monto del adeudo, el actuario o ejecutor lo prevendrá
para que en el acto de la diligencia o dentro de los cinco días siguientes exhiba las pruebas
documentales que acredite su contestación. De no exhibirse, el juez lo tendrá por cierto en la certeza de
la deuda señalada, o por la cantidad que deje de acreditarse que no se adeuda, al igual que cuando
reconozca la firma origen o monto del adeudo.
Cuando el deudor desconozca su firma se dejaran a salvo los derechos del promovente para que los
haga valer en la vía y forma correspondiente pero de acreditarse la falsedad en que incurrió el deudor, se
dará vista al ministerio publico.
Lo mismo se hará con el mandatario o representante legal del deudor que actúe en la misma forma que
lo señalado en el párrafo anterior.
Cuando se tenga por reconocida la firma o por cierta la certeza de la deuda, se ordenara la expedición de
copias certificadas de todo lo actuado a favor del promovente y a su costa.
El actor formulara su demanda en vía ejecutiva, ante el mismo juez que conoció de los medios
preparatorios acompañando la copia certificada como documento fundatorio de su acción, copias simples
de estas y demás que se requieran para traslado al demandado, y se acumularan los dos expedientes y
en su caso se despachara auto de ejecución.
133
los documentos mercantiles para preparar la acción ejecutiva no lleva la idea ni se
refiere precisamente a que se reconozca determinado nombre o caracteres de la
persona deudora u obligada en un documento, en una operación, sino que se trata del
reconocimiento de los caracteres, signos o nombres que use o estampe determinada
persona en un documento para obligarse a responder del contenido de ese documento
o para hacer constar que ha recibido alguna cosa, por ser ese nombre, signo o
caracteres, los que ha aceptado y han convenido al deudor para quedar obligado con el
dueño del documento firmado o acreedor que hayan entregado la cosa. Sabido es que
muchas personas ponen al calce de los documentos rayas o líneas rectas o curvas, y
que resultan de ello nombres ilegibles, pero que esas personas han aceptado como su
firma para hacer constar su nombre y obligación...”
Algunas veces la firma la constituyen el nombre y los dos apellidos o alguno de éstos,
manuscritos de una manera particular, o bien, de una o dos iniciales más un apellido,
así como rasgos diversos; sin embargo, según el criterio de la Suprema Corte de
Justicia antes citado, la firma puede estar constituida por los caracteres, signos o
nombre que use o estampe determinada persona, en un documento para obligarse a
responder del contenido de ese documento, o para hacer constar que ha recibido
alguna cosa.
En opinión de Planiol, no es necesariamente la reproducción de los nombres que la
persona lleva según su estado civil; que sea la forma habitual de la cual la persona se
sirva para firmar.75 En gran parte de los países americanos y europeos se entiende
como firma completa la que se integra con el nombre y apellido; en México, el uso
mercantil entiende por media firma la sola inscripción de la rúbrica o inicial, y por firma
Cuando se despache auto de ejecución, se seguirá el juicio en la vía ejecutiva como marca la ley para los
de su clase.
La resolución que niegue el auto de ejecución será apelable en ambos efectos, y en caso contrario se
admitirá en el efecto devolutivo
75
Planiol, M., Traité Elémentaire de Droit Civil, tomo II, núm. 62.
134
completa la que comprende el nombre y apellidos o bien la totalidad de los rasgos que
se utilizan como firma en los documentos.
En su aspecto jurídico la firma autógrafa implica el hecho de tratarse de una inscripción
manuscrita, realizada de una manera particular, hecha con el ánimo de obligarse al
reconocimiento del escrito en que se estampe.
La firma de la persona jurídica o moral, será estampada por la persona o las persona
físicas a las cuales los órganos de administración y representación hayan otorgado los
poderes o facultades de obligarla con su firma, ya sea individual o colectivamente, en
forma simple o mancomunada y en los términos y con las limitaciones que dichos
órganos acuerden a cada persona en particular.
En algunas ocasiones la firma la constituyen el nombre y los dos apellidos o alguno de
éstos, manuscritos de una manera particular, o bien, de una o dos iniciales mas un
apellido, así como rasgos diversos; sin embargo, según el criterio de la Suprema Corte
de Justicia de la Nación antes citado, la firma puede estar constituida por los
caracteres, signos o nombre que use o estampe determinada persona, en un
documento para obligarse a responder del contenido de ese documento o para hacer
constar que ha recibido algo.
No toda firma tiene efectos jurídicos, sin embargo, para el Derecho en general, se
entiende que la colocación en un documento, en una obra de arte en un escrito de la
palabra o palabras, o signos que utiliza su autor para identificarse, tienen el efecto
135
jurídico respecto de las obras de arte, de identificarlas como hechas por el autor y
respecto de los escritos, de identificar a la persona que los suscribe aun cuando el texto
no haya sido escrito, en todo, ni en parte por esta.76
El Derecho establece diversos efectos respecto de las categorías que como prueba
puede establecer la firma en un documento. Carnelutti señala que en la suscripción
actual se han fundado la manifestación del autor y la declaración de patronato, que
originalmente eran distintos, sin embargo, en la actualidad se conjugan con el solo
efecto de identificar a aquel que está suscribiendo un documento y es así que la firma
establece la presunción de que el documento vale en cuanto está firmado y si no está
firmado, no tiene alguna validez; criterio que ha sido tomado por la Suprema Corte de
Justicia de la Nación.
En el mismo sentido se ha pronunciado la Ley de Notariado para el Distrito Federal, al
establecer que la escritura o el acta será nula si no está firmada por todos los que
deben firmarla según la Ley, o no contiene la mención exigida a falta de firma.
Cabe hacer mención a la firma impresa por medios mecánicos ya que hay quienes
sostienen que la firma debe ser siempre autógrafa y por el contrario el uso mercantil ha
establecido algunas excepciones a este criterio pues muchas veces las leyes
únicamente exigen que en el documento en que conste la obligación se otorgue la firma
de quienes conforme a la ley deben hacerlo sin que en materia mercantil, en muchos
76
Artículos 204 y 206 del Código Federal de Procedimientos Civiles.
136
casos, se precise que ésta sea autógrafa o con tinta, como ya lo mencionamos. Lo
anterior ha dado lugar a que se interprete que cuando la ley exija que la firma sea
autógrafa o con tinta, deberá reunir esos requisitos, pero que cuando la ley no
distingue, el intérprete tampoco debe hacerlo.
La escritura a máquina o con linotipia no es autógrafa, aun cuando los respectivos
teclados sean pulsados por el autor, ni lo es tampoco la que componga el autor
utilizando tipos de imprenta. Esta distinción tiene importancia jurídica porque la escritura
a mano contrariamente a lo que sucede con las mecanizadas, presenta particularidades
y características propias de la persona que escribe, hasta el punto de que pericialmente
se puede llegar a la identificación de una escritura o mejor dicho del autor de la misma
aun cuando haya pretendido desfigurarla ya que los caracteres escritos ofrecen una
fuerte personalidad con la que se pretende deducir de ellos las cualidades psíquicas de
quien los ha trazado, a esto se encamina el arte que algunos consideran ciencia de la
grafología.
LA FIRMA EN EL DERECHO BANCARIO MEXICANO77
La firma en el Derecho Bancario tiene características especiales que la distinguen de la
firma en general, a la que ya se ha hecho referencia con anterioridad, sin embargo, en
nuestro concepto son aplicables los comentarios expuestos acerca de la firma autógrafa
y sus características y sus efectos jurídicos.
77
ACOSTA ROMERO, Miguel; OP. CIT.
137
Hasta el 15 de enero de 1985 la entonces Ley General de Instituciones de Crédito y
Organizaciones Auxiliares (derogada) en su artículo 102, establecía como requisitos de
validez, tratándose de depósitos y operaciones bancarias los siguientes:78
1. Deberían contener escritos, o impresos con tinta, los requisitos necesarios para
su validez, y
2. La firma, o firmas, de quien o quienes los suscriban.
El texto del precepto en comentario, se prestaba a diversas interpretaciones:
Primera: Si estos requisitos sólo eran aplicables a los títulos de crédito, o documentos
necesarios para disponer de depósitos bancarios de dinero. Si se interpreta literalmente
su texto se restringiría exclusivamente a ese aspecto, pero estimamos que su
aplicación en el uso bancario es general, respecto de otros títulos de crédito y
documentos relativos a todo tipo de operaciones bancarios y de crédito, puesto que es
evidente que por razones de seguridad jurídica y de prueba, se justifique que los
documentos estén impresos o escritos con tinta y la firma, consecuentemente, también
reúna esa característica.
78
Artículo 102 de la Ley General de Instituciones de Crédito y Organizaciones Auxiliares (abrogada).
“Salvo convenio en contrario, las condiciones generales establecidas por la institución de crédito,
respecto a los depósitos en cuenta de cheques, se entenderán aplicables a todos los depósitos de esta
clase, y podrán ser cambiadas libremente por la institución, previo aviso con cinco días de anticipación
dado a los depositantes por escrito, o mediante publicación de avisos o su fijación en los lugares abiertos
al público en las oficinas de la institución. Todo documento o título de crédito expedido para disponer de
depósito bancario de dinero, y los endosos, avales y demás actos que en ellos se consiguen, deberán
contener escritos o impresos con tinta, los requisitos necesarios para su validez y la firma o firmas de
quien o quienes lo suscriban.”
138
Segunda: Que los requisitos necesarios para su validez estén escritos o impresos con
tinta y aquí se supone generalmente que los requisitos de validez de los títulos y
documentos en materia de crédito, generalmente estén impresos con tinta, se entiende
que, por medios mecánicos, y sólo en casos excepcionales en forma manuscrita. Ahora
bien, los requisitos de validez serán en cada caso aquellos que la Ley General, Código
de Comercio, o las Leyes especiales mercantiles, señalen como necesarios para que el
documento en materia de crédito tenga validez, para ello habrá que estar a lo que
determine las disposiciones legales aplicables.
Tercera: La firma o firmas, se entiende que deberán ser autógrafas y estampadas con
tinta. Estimamos que la ausencia de estos requisitos sólo pudiera ser calificada como
motivo para una nulidad relativa y de ninguna manera que sean causa de inexistencia,
porque los requisitos esenciales de consentimiento y objeto se dan, y únicamente
quedaría por llenar una formalidad que de ninguna manera puede ser invocada; ni
como causa de inexistencia, ni como causa de nulidad absoluta, en nuestro concepto.
Ello de acuerdo con lo que dispone el artículo 78 del Código de Comercio.79
En la Ley Reglamentaria del Servicio Público de Banca y Crédito de 1985 y en la Ley de
Instituciones de Crédito de 1990, inexplicablemente se suprimieron estos requisitos,
pero estimo que el comentario teórico y el precedente legal son válidos.
79
Código de Comercio, artículo 78: “En las convenciones mercantiles cada uno se obliga en la manera y
términos que aparezca que quiso obligarse, sin que la validez del acto comercial dependa de la
observancia de formalidades o requisitos determinados.”
139
Esta disposición evitó muchos problemas de interpretación y dio seguridad jurídica,
pues estableció principios básicos para el trámite y cobro de documentos, con el hecho
de que la firma sea estampada con tinta.
Al suprimirse esta disposición, que además no se encuentra explicación alguna en la
exposición de motivos de la Ley, se elimina un principio de derecho que fue muy útil en
la práctica bancaria.
No podemos dejar de considerar lo establecido en los artículos 52, 57 y 68 de la Ley de
Instituciones de Crédito:
El artículo 5280 se refiere a la celebración de operaciones y prestación de servicios por
parte de las Instituciones de Crédito mediante el uso de equipos, medios electrónicos,
80
El artículo 52, de la Ley de Instituciones de Crédito, reformado por Decreto publicado en el Diario
Oficial de la Federación del 4 de Junio de 2001, establece “Las instituciones de crédito podrán pactar la
celebración de sus operaciones y la prestación de servicios con el público, mediante el uso de equipos,
medios electrónicos, ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de
datos y redes de telecomunicaciones, ya sean privados o públicos, estableciendo en los contratos
respectivos las bases para determinar lo siguiente:
I. Las operaciones y servicios cuya prestación se pacte;
II. Los medios de identificación del usuario y las responsabilidades correspondientes a su uso, y
III. Los medios por los que se hagan constar la creación transmisión modificación o extinción de derechos
y obligaciones inherentes a las operaciones y servicios de que se trate.
El uso de los medios de identificación que se establezcan conforme a lo previsto por este artículo en
sustitución de la firma autógrafa producirá los mismos efectos que las leyes otorgan a los documentos
correspondientes y en consecuencia tendrán el mismo valor probatorio.
La instalación y el uso de los equipos y medios señalados en el primer párrafo de este artículo, se
sujetarán a las Reglas de carácter general que en su caso, emita la Comisión Nacional Bancaria y de
Valores.
140
ópticos o de cualquier otra tecnología, sistemas automatizados de procesamiento de
datos y redes de telecomunicaciones privadas o públicas. Este precepto se sustenta en
la presunción legal a que se refiere el artículo 90 del Código de Comercio, reformado en
mayo del 2000 en el que se establece la presunción en materia mercantil, salvo pacto
en contrario, de que el mensaje proviene del emisor (atribución a la persona obligada) si
ha sido enviado: i) Usando medios de identificación, tales como claves o contraseñas
de él (para lo que se requerirá de un previo acuerdo entre las partes), o ii) Por un
sistema de información programado por el emisor o en su nombre para que opere
automáticamente. En el artículo en comento el uso de los medios de identificación que
se establezcan contractualmente en sustitución de la firma autógrafa producirá los
mismos efectos que las leyes otorgan a los documentos correspondientes y en
consecuencia tendrán el mismo valor probatorio. Es importante destacar también que el
texto de éste artículo se refleja también en la Ley del Mercado de Valores y en la
reforma propuesta por el ejecutivo a la Legislación en materia de Seguros y Fianzas,
que ya fue aprobada por el Congreso.
En cuanto a lo establecido por el artículo 57 de la Ley de Instituciones de Crédito, que
se refiere a la autorización, por parte de depositantes o inversionistas, a terceros para
hacer disposiciones de dinero con cargo a la cuenta de quien los autoriza, previa
autorización firmada en los registros de la Institución de Crédito. Dichas autorizaciones,
Lo anterior, sin perjuicio de las facultades con que cuenta el Banco de México para regular las
operaciones que efectúen las instituciones de crédito relacionadas con los sistemas de pagos y las de
transferencias de fondos en términos de su ley.”
141
instrucciones o comunicaciones podrán llevarse a cabo por escrito con firma autógrafa
o a través de medios electrónicos, previo convenio entre las partes.
Por último, el artículo 68 de la Ley de Instituciones de Crédito que se refiere a la
certificación de estados de cuenta por contador facultado de la institución de crédito que
en conjunto con los contratos en los que se hagan constar los créditos otorgados por
ésta, harán fe en los juicios respectivos, salvo prueba en contrario. Al respecto quisiera
destacar el concepto certificación entendido como acción de certificar, dejar cierto y
libre de duda, en un certificado o documento en el cual se estampa la firma de quien lo
hace.
LA FIRMA EN TÍTULOS DE CRÉDITO81
Además de los requisitos anteriores, tratándose de operaciones y documentos
bancarios, habrá que tomar en cuenta algunas disposiciones de la Ley General de
Títulos y Operaciones de Crédito respecto a la firma, especialmente lo que disponen los
artículos 8°, fracción II82 y 1183 de este Ordenamiento, en relación a los artículos 29,
fracción II (endoso), y 76, fracción VII (letra de cambio), 85, párrafo segundo, 111
(respecto del aval), 170, fracción VI (pagaré), 176, fracción Vi (cheque), 203 (cheque de
81
ACOSTA ROMERO, Miguel; OP. CIT.
82
Contra las acciones derivadas de un título de crédito, solo pueden oponerse las siguientes excepciones
y defensas: … II.- Las que se funden en el hecho de no haber sido el demandado quien firmó el
documento…
83
Artículo 11 .- Quien haya dado lugar, con actos positivos o con omisiones graves, a que se crea,
conforme a los usos del comercio, que un tercero esta facultado para suscribir en su nombre títulos de
crédito, no podrá invocar la excepción a que se refiere la fracción III del articulo 8o. contra el tenedor de
buena fe. La buena fe se presume, salvo prueba en contrario, siempre que concurran las demás
circunstancias que en este articulo se expresan.
142
viajero), 210, fracciones X y XI (obligaciones), 228, fracciones III y XI (certificados de
participación), 231, fracción II, 232, fracción V (certificado de depósito y bono de
prenda), de la Ley General de Títulos y Operaciones de Crédito, que hacen referencia
todos ellos, a la firma en los títulos de crédito y en los diversos actos relacionados con
los mismos, va sea como obligados directos, en vía de regreso, por aval, por endoso, o
por alguna otra situación en que se exija la firma en esos documentos.
La Ley de Instituciones de Crédito de 1990, contempla lo referente a la firma en los
artículos 62, en que uno de los requisitos de los certificados de depósito bancario de
dinero a plazo, es la firma del emisor, el artículo 63, en el acta de emisión de los bonos
bancarios deberá contener el nombre y firma de la emisora, artículo 63, fracción III, y el
artículo 64, que remite al numeral 63 de la propia Ley, respecto de los requisitos que
deben tener las obligaciones subordinadas.
Son fundamentales para la clasificación de la firma en los títulos de crédito, todas
aquellas disposiciones que hablan de que los mismos deben estar firmados o suscritos
por: el emisor, librador, aceptante, girador, endosante, avalista, etc,, de donde se
concluye que la firma es un requisito indispensable para que el título de crédito tenga
validez, puesto que sin ella no se podrá ejercitar acción alguna derivada del título.
La ley actual no prevé el reconocimiento de firma por parte de autoridades o fedatarios
en los títulos de crédito, para darles el carácter de ejecutivos, lo cual es un adelanto y
143
facilita su circulación. Salvo en los casos de los bonos bancarios, situación que a mi
juicio ya no se justifica en nuestros días.
En todo caso, aquella persona que no haya firmado un documento, o cuya firma haya
sido falsificada, puede oponer excepciones derivadas en esas circunstancias, la
Suprema Corte de Justicia de la Nación, lo ha establecido así. 84
Ahora bien, por definición, cuando se habla de firma, el uso bancario ha entendido que
ésta debe ser autógrafa y en este sentido casi se orienta la doctrina en general, a
considerar autógrafa a la firma que, como dicen los usos mercantiles, es de puño y letra
de quien la estampa.
Puede afirmarse que el origen y principio de toda obligación en materia de títulos de
crédito, es la firma autógrafa, misma que no puede ser sustituida por la impresión digital
84
“La excepción opuesta por el demandado de que él no firmó el título de crédito base de la acción
deducida, corresponde demostrarla al propio demandado, porque de igual manera que al actor toca
probar los hechos constitutivos de su acción, al demandado corresponde la prueba de los que integran
sus excepciones (artículo 8°,fracción II de la Ley General de Títulos y Operaciones de Crédito); tanto más
que, si bien la excepción consiste en la negativa de haber firmado la demandada la letra base de la
acción cambiaria ejercida, se advierte sin dificultad que se trata de una negación que envuelve la
afirmación, que dicha parte sí estuvo en posibilidad de acreditar, de que la firma que, como suya, aparece
en el documento, es falsa; aparte de que la misma Ley, atendiendo a las necesidades de la rápida
circulación de los títulos de crédito, al suprimir la exigencia legal anterior de la ratificación de las firmas de
los suscriptores de tales documentos, entonces establecida como condición para que se consideren
ejecutivos, lo hizo partiendo de la base de presumir, salvo prueba en contrario cuya carga recae en el
demandado que la objete, la autenticidad de las susodichas firmas.
Directo 4019/1956. Dolores Guadarrama Vda. de Reza. Resuelto el 17 de julio de 1957, por unanimidad
de 5 votos. Ponente: ministro García Rojas. Secretario: Lic. Alfonso Arbitia A.
144
o por la firma a ruego, que sólo podrá ser estampada por los medios mecánicos, en los
términos que habremos de comentar más adelante.
Resulta cuestionable asimismo la aplicación de lo establecido en las reformas de mayo
del 2000 (artículo 93 del Código de Comercio) en lo relativo a títulos de crédito, toda
vez que si bien es cierto que en el Código de Comercio se establece que “cuando la ley
exija la forma escrita para los contratos y la firma de los documentos relativos, esos
supuestos se tendrán por cumplidos tratándose de mensaje de datos siempre que éste
sea atribuible a las personas obligadas y accesible para su ulterior consulta”, la Ley
Especial, es decir la de Títulos y Operaciones de Crédito, no menciona nada al respecto
y siguiendo el principio de especialidad de la Ley, la firma en títulos de crédito debe ser
autógrafa.
Asimismo, tratándose de títulos de crédito,85 para que un tercero pueda firmarlos a
nombre y por cuenta de otro, estará en los supuestos siguientes:
1. Si se trata de una persona jurídica colectiva, o una persona física que sepa leer y
escribir, tendrán que llenarse los requisitos establecidos en los artículos 9°y 85,
85
Véase Acosta Romero, Miguel, Legislación Bancaria, op. cit., artículo 47.
“El artículo 167 de la Ley General de Títulos y Operaciones de Crédito, previene que es ejecutiva la
acción cambiaria contra cualquiera de los signatarios de la letra, incluyendo intereses y gastos
accesorios, sin necesidad de que reconozca previamente la firma el demandado,y este precepto en lo
conducente se aplica al pagaré de acuerdo con lo que establece el artículo 174 de dicha Ley; por
consiguiente. es inexacto para la eficacia probatoria de los documentos mercantiles señalan los artículos
1241 y 1296 del Código de Comercio.”
145
párrafo segundo de la Ley General de Títulos y Operaciones de Crédito, este
último aplicable a letras de cambio.
2. En el supuesto de una persona física que no sepa, o no pueda leer, o escribir,
tendrá que recurrirse a un fedatario ante el cual se otorgará el poder
correspondiente a un tercero, para que éste firme los títulos de crédito.
LA FIRMA EN LOS TÍTULOS DE CRÉDITO EMITIDOS EN SERIE86
Consideramos que los títulos emitidos en serie, de acuerdo con nuestra legislación son
los siguientes:
1. Las acciones de Sociedades Mercantiles.
2. Las Obligaciones de Sociedades Mercantiles.
3. Bonos Bancarios.
4. Obligaciones Subordinadas.
5. Los Certificados de Depósito y los Bonos de Prenda.
6. Los Certificados de Participación.
7. Los Certificados de Depósitos Diversos, expedidos por Nacional Financiera.
8. El conocimiento de embarque.
9. Certificados de Aportación Patrimonial de las SNC.
10. Certificados de la Tesorería de la Federación (CETES).
No es propósito de éste trabajo el entrar al análisis de las características de este tipo de
títulos y únicamente nos restringimos a señalar que la firma en tales títulos, es un
requisito que exigen las leyes para el emisor, para el representante común de los
Amparo directo 9106/1961. Agustín Vigueras Téllez Such, enero 7 de 1963. Unanimidad de 4 votos.
Ponente: ministro José Castro Estrada. 38 Sala. Sexta época. Volumen LXVII, Cuarta parte (38 Sala.
Boletín 1957, p. 492).
86
ACOSTA ROMERO, Miguel; OP. CIT.
146
tenedores, y en su caso, para aquellos que garanticen los títulos en los supuestos en
que la ley permite esta situación.
Algunas disposiciones de las que hemos citado, exigen que tanto en el acta de emisión,
como en los títulos seriales, firmarán él, o los administradores de la sociedad
autorizados para ese efecto, conforme al acta constitutiva y sus reformas, o en mandato
especial para ello; puede darse la posibilidad de que en uno o varios administradores
recaiga la responsabilidad de llevar, lo que en el uso mercantil se denomina como la
firma social, y en otros, la facultad de firmar títulos de crédito emitidos en serie.
Interpretando los diversos preceptos, creemos que tratándose de bonos bancarios y
obligaciones subordinadas, la firma de la emisora deberá ser autógrafa respecto del, o
de los administradores que lleven la firma social, por así exigirlo la Ley; en los demás
casos, pudieran ser otras personas que se señalen para ese efecto, en los estatutos de
la emisora y en realidad, el Uso Bancario se ha orientado en este sentido, ya que es
evidente, y ya lo comentamos en otra parte de este estudio, es difícil que los
administradores tengan el tiempo necesario y suficiente, para firmar miles de títulos en
serie, por lo que para ello nombran a alguna persona que se encargue de ello y que, en
la jerga mercantil, se les denomina como: “firmones”, ya que esa es su principal
actividad.
A título de comentario estimo que los títulos emitidos en serie están desapareciendo de
la vida práctica y se están sustituyendo por asientos de cargo y abono en contratos de
147
administración de valores manejados por computadora, como es el caso de los
macrotítulos a que se refiere la Ley del Mercado de Valores.
Por lo que hace a los certificados de participación, la ley es más clara y específica, ya
que en el artículo 228, fracción III, de la Ley General de Títulos y Operaciones de
Crédito, exige, como uno de los requisitos que deben tener los certificados, la firma
autógrafa del funcionario de la emisora, autorizado para suscribir la emisión
correspondiente. Este artículo es bastante claro en cuanto que no habla de
administradores, sino de funcionario autorizado por la emisora para suscribir la emisión
y exige textualmente, que su firma deba ser autógrafa, es decir de su puño y letra.
CONCEPTOS RELACIONADOS CON LA FIRMA:87
El Conocimiento de firma. El conocimiento de firma es muy utilizado en los usos
bancarios y mercantiles, sin embargo, no está regulado por ningún precepto legal, ni del
Código de Comercio, ni de las leyes especiales mercantiles, y consiste en que una
persona estampa su firma en un título de crédito y hace constar que conoce como igual
o legítima, la firma de otra persona, que regularmente aparece en el título, antes de la
de conocimiento.
Se utiliza sobre todo en materia de cheques, por el hecho de que los cuenta-habientes
de las instituciones de crédito tienen registrada su firma y ello es un principio de prueba
87
ACOSTA ROMERO, Miguel; OP. CIT.
148
de identificación, entonces, al identificar la otra firma del tenedor de un título de crédito,
están propiamente identificando a éste.
Asimismo, las instituciones generalmente utilizan el sistema de dar conocimiento de
firma en títulos de crédito, respecto de aquellas que tienen registradas en sus tarjetas
de identificación, y así hacen constar que son iguales a las del documento en que está
estampada la firma, por lo cual señalan que es de aquella persona cuyo registro de
firmas tienen con anterioridad.
Este uso bancario tiende a facilitar la identificación de las personas por medio de su
firma, sobre todo de aquellos que carecen de otros medios más eficaces de
identificación, de tal manera que el uso ha hecho que esta práctica se conozca con el
nombre de conocimiento de firma y se utilice para identificar ya sea al librador de un
cheque, al beneficiario, o al tenedor de otros títulos de crédito que aceptan este
procedimiento como medio de identificación también, en nuestro concepto, puede llegar
esta identificación de la firma a otros documentos como los giros telegráficos.
En la práctica bancaria las instituciones sólo aceptan dar conocimiento de firma en
títulos que son suscritos por aquellas personas que tienen la calidad de sus
cuentahabientes, o bien, por instituciones de crédito del país, de las que tengan
catálogos de firmas y de sus funcionarias que identifican al tenedor.
149
La laguna de la legislación en este aspecto es grave, sin embargo, estimamos que aquí
el uso bancario ha sido generador de derecho.
La Ley Reglamentaria del Servicio de Banca y Crédito de 1982 como la de 1985 así
como la Ley de Instituciones de Crédito de 1990, no colmaron la laguna antes citada.
El catálogo de firmas. El catálogo de firmas es otra institución relacionada con estos
conceptos, que tampoco está regulada en ningún ordenamiento legal, pues no hacen
referencia a él directamente, ni el Código de Comercio, ni las leyes mercantiles
especiales. Se fundamenta en la fracción segunda del artículo noveno de la Ley
General de Títulos y Operaciones de Crédito88, en el que se establece que la
representación para otorgar o suscribir títulos de crédito se puede conferir por simple
declaración escrita dirigida al tercero con quien habrá de contratar el representante.
En estos acuerdos, se deberán fijar la extensión y límites de aquellas personas que,
como se indica en el uso mercantil, puedan obligar a la institución, y determinar en qué
casos y para qué efectos los funcionarios y empleados designados pueden usar la
firma, ya sea unitaria o mancomunadamente. Generalmente en el poder que se otorga,
88
ARTICULO 9.- La representación para otorgar o suscribir títulos de crédito se confiere:
I.- Mediante poder inscrito debidamente en el Registro de Comercio; y
II.- Por simple declaración escrita dirigida al tercero con quien habrá de contratar el representante.
En el caso de la fracción I, la representación se entenderá conferida respecto de cualquier persona y en
el de la fracción II sólo respecto de aquella a quien la declaración escrita haya sido dirigida.
En ambos casos, la representación no tendrá más límites que los que expresamente le haya fijado el
representado en el instrumento o declaración respectivos.
150
se hace constar el acuerdo y se da a conocer la representación por medio de circulares,
en las que también se estampa la firma de los funcionarios y empleados nombrados.
Aquí también el uso bancario ha sido creador de normas jurídicas.
EI catálogo de firmas es un documento generalmente de hojas sustituibles, que
contiene autógrafas, o impresas, las firmas de los funcionarios y empleados
autorizados, en los términos a que nos referimos en el párrafo anterior, para obligar a la
institución.
En primer lugar, se señala a aquellos que pueden suscribir títulos de crédito u otra clase
de documentos en los que se obliga a la institución, por ejemplo, giros, órdenes de
pago, traspaso de fondos, certificaciones de cheques, certificación de pago parcial de
cheques, certificación de insuficiencia de fondos en cuentas de cheques, etcétera. El
catálogo como se dijo, mantiene en hojas sustituibles para el efecto de tenerlo al día,
con las modificaciones y cambios por renuncias, o por cualquier otra causa.
Se clasifican las firmas en dos grandes ramas: las firmas “A” y las firmas “B”,
generalmente también se expresan en el mismo catálogo qué personas de la firma “A”,
pueden obligar con su sola firma a la institución, y también qué firmas de la “A” o la “B”
concurren a establecer la obligación de la empresa. Además, el uso bancario ha
establecido que abajo de la firma, se estampe un número de identificación del
funcionario.
151
Este catálogo generalmente es impreso o fotocopiado y se envía, en primer lugar, a
todas las dependencias de la institución tanto metropolitanas como foráneas, a sus
corresponsales en la República y en el extranjero, así como a las oficinas de otras
instituciones de crédito con las cuales tengan relaciones comerciales e igualmente se
mantiene al día el servicio de modificaciones.
En la práctica bancaria, el que una institución tenga en su poder un catálogo de firmas,
no la obliga al pago indiscriminado de los cheques o giros de otra institución, a menos
que exista un convenio expreso entre ellas, para ese efecto.
El catálogo de firmas, consideramos que sirve para efectos de identificación y para
establecer qué personas pueden firmar qué tipo de documentos, obligaciones, o en
último caso qué títulos de crédito y hasta qué cantidad.
Es importante mantener el catálogo de firmas al día, ya que de no ser así, ello puede
originar la falta de pago de giros bancarios, órdenes de pago, etcétera, por desconocer
la firma recientemente autorizada.
Estimamos que la Legislación Bancaria en el futuro, debe hacer referencia al catálogo
de firmas y sus efectos jurídicos.
La firma impresa por medios mecánicos. Hay quien sostiene que la firma debe ser
siempre autógrafa y por el contrario, el uso mercantil ha establecido algunas
152
excepciones a este criterio, pues muchas veces las leyes únicamente exigen que en el
documento en que conste la obligación, se otorgue la firma de quienes conforme a la
ley deben hacerlo sin que en materia mercantil, en muchos casos, se precise que ésta
sea autógrafa o con tinta como ya lo mencionamos.
Lo anterior ha dado lugar a que se interprete que, cuando la ley exija que la firma sea
autógrafa o con tinta, deberá reunir esos requisitos, pero que cuando la ley no
distingue, el intérprete tampoco debe hacerlo.89
El uso mercantil y bancario se han ido orientando a que la ley no establece que la firma
sea autógrafa o con tinta, y sobre todo, en los títulos de crédito seriales que implican la
firma de miles y miles de documentos, ésta puede estamparse por medios mecánicos
según veremos más adelante.
Desde luego, no es aplicable a la firma que se imprime por medios mecánicos, la
posibilidad de que pueda suplir la huella digital o firma a ruego.
89
La escritura a máquina o con linotipia no es autógrafa, aun cuando los respectivos teclados sean
pulsados por el autor; ni lo es tampoco la que componga el autor utilizando tipos de imprenta. Esta
distinción tiene importancia jurídica, porque la escritura a mano, contrariamente a lo que sucede con las
mecanizadas, presenta particularidades y características propias de la persona que la escribe, hasta el
punto de que pericialmente se puede llegar a la identificación de una escritura o, mejor dicho, del autor de
la misma, aun cuando haya pretendido desfigurarla. Más todavía: los caracteres manuscritos ofrecen tan
fuerte personalidad que se pretende deducir de ellos las cualidades psíquicas de quien los ha trazado.
A este fin se encamina el arte, que algunos consideran ciencia, de la grafología. Enciclopedia Jurídica
Omeba. Tomo primero, p. 958. Editorial Bibliográfica Argentina. Julio, 1968.
153
La necesidad de acelerar las operaciones mercantiles y el gran volumen que a veces
adquieren éstas ha hecho que cada día, las empresas y las instituciones de crédito,
utilicen con más frecuencia medios mecánicos que redundan en la economía de tiempo,
y evitan que las personas exclusivamente se dediquen a firmar documentos, pues
resultaría ilógico que por ejemplo, el director general de un banco, dedicara la mayor
parte de su tiempo a firmar títulos en serie, en lugar de atender las cuestiones
trascendentales del banco.
Los medios mecánicos más utilizados, son los siguientes:
1. Facsímil.
2. Las máquinas de firma.
El facsímil es la reproducción de la firma en sellos que pueden ser de goma o
metálicos, y qué mediante su impregnación de tinta en cojines, receptores de éste, el
sello puede ser estampado en cualquier escrito o documento.
La etimología, conforme al diccionario de la palabra facsímil, quiere decir lo siguiente:90
imitación, semejanza, etcétera.
El sello de goma o metálico o de plástico, que contiene lo que podríamos calificar “de la
copia en relieve de la firma autógrafa”, se puede utilizar en forma manual o bien, por
90
Facsímile. (Del latín Fac. Irnperat de facere, hacer, y simple, semejante.) M. Exacta imitación de un
escrito, dibujo, firma, etc. Ad.” “Facsímil. M. Facsímile. Abad.” Nueva Enciclopedia Sopena. Diccionario
154
otros medios mecánicos para estamparla más rápidamente. El uso comercial y
administrativo hace por ejemplo, que se utilice en los términos siguientes:
a) Para estampar el facsímil en las copias de la correspondencia, cuyo original va
firmado, para evitar pérdidas de tiempo a los funcionarios que firman.
b) Para estamparla en la correspondencia de las empresas que por su volumen
implique un gran número de cartas dirigidas a clientes, proveedores, etcétera, y
que contenga generalmente datos informativos de diversa índole, en fin, qué por
su volumen como ya se dijo, resulte muy difícil o laborioso la firma autógrafa.
c) En ciertos casos se usa el facsímil en sello metálico para estamparlo en el sitio
adecuado del librador de cheques, sobre todo, tratándose de instituciones o
empresas que expidan una cantidad enorme de éstos, por ejemplo el Gobierno
Federal, algunas organizaciones descentralizadas como la Universidad Nacional
Autónoma de México, para el pago de sueldos a sus trabajadores, etcétera, en
estos casos generalmente se acepta que previo convenio entre el librador y
librado, se establezcan las responsabilidades que pueden resultar a aquél por el
mal uso que sus funcionarios o empleados pudieran hacer de él.
El uso bancario cada día más frecuente en este aspecto, ha estimado que, como ya se
dijo, al hablar la ley de firma, las partes pueden convenir en entender por firma el uso
de facsímil, siempre y cuando exista convención entre librador y librado, pues de otra
manera aquél rechazaría el pago de los cheques que no llevaran la firma autógrafa y
ilustrado de la Lengua Española. Tomo II, p. 1044. Editorial Ramón Sopena, S. A. Provenza 95,
Barcelona, 1955.
155
esa convención, creemos que puede ser válida atento a los términos del artículo 78 del
Código de Comercio.
El único caso, de acuerdo con nuestra legislación, en que la ley prevé el uso del
facsímil, es en la de las acciones de las sociedades anónimas,91 es decir, se permite
que estén firmadas con facsímil, pero con la condición de que sea depositado un
ejemplar del original de la firma en el Registro Público de Comercio y dicha firma se
supone que sea la autógrafa y no del facsímil, porque resulta muy difícil hablar de
original de facsímil, a menos que se entendiera por éste el molde en el que se haga, el
cual puede reproducirse tantas veces como quieran los interesados.
A partir de agosto de 1985, los Reglamentos Orgánicos de las Sociedades Nacionales
de Crédito de Banca Múltiple, publicados en el Diario Oficial de 29 de julio de 1985, se
introduce la posibilidad, de que la firma que estampen los consejeros en los Certificados
de Aportación Patrimonial, sean impresas en facsímil, debiendo depositar el original en
el Registro Público de Comercio (art. 8).
La máquina de firma. En cierta época y en el uso comercial de Estados Unidos hacia
1912, se inventó una máquina destinada a la múltiple reproducción de la firma autógrafa
que, tal como la describe la Enciclopedia Espasa Calpe, resulta ser en realidad un
pantógrafo, es decir, una máquina que con engranaje y palancas acciona una serie de
91
Artículo 125 de la Ley General de Sociedades Mercantiles.
156
plumas que siguen el trazo original y estampan en varios documentos a la vez la firma
autógrafa, tal como la escribe la persona que la acciona.
Esta máquina parece ser poco práctica, porque el número de documentos que podría
firmar es bastante limitado y el espacio que ocuparía sería muy grande. En México no
se conoce ni se utiliza este tipo de máquinas.
LA FIRMA EN MATERIA DE FIANZAS92
Las pólizas de las fianzas son suscritas normalmente por personas que tienen
autorización, ya sea de la Asamblea General o del Consejo de Administración para
suscribirlas.
También la suscripción en este aspecto sigue las reglas que hemos comentado en los
catálogos de firmas, firmas A y firmas B, y se establece un límite en cuanto al monto, de
acuerdo con las facultades que en cada caso señalen los órganos administradores.
Los artículos 13, 82, 84 y 96 de la Ley Federal de Instituciones de Fianzas hacen
referencia a las firmas en las pólizas de fianzas, y que el facsímil de las mismas, se
publica en el Diario Oficial de la Federación.93
92
ACOSTA ROMERO, Miguel; OP. CIT.
93
Decreto por el que se reforma y adiciona la Ley Federal de Instituciones de Fianzas, Diario Oficial, 29
de diciembre de 1981.
157
Para ese efecto, la Comisión Nacional de Seguros y Fianzas anualmente solícita de
cada institución los datos relativos a la denominación de la sociedad, nombres y
apellidos de las personas que firmarán, su nombramiento y si son firmas A o B, y las
variaciones que en las firmas se aprueben.
Anualmente y mediante oficio circular que se publica en el Diario Oficial de la
Federación, la Comisión Nacional de Seguros y Fianzas hace del conocimiento de las
autoridades Federales, Estatales, Municipales y del público, las firmas autorizadas; el
facsímil aparece respecto de cada compañía, también publicado en el Diario Oficial de
la Federación.
LA FIRMA EN PÓLIZAS DE SEGUROS94
En materia de seguros no se utilizan los facsímiles de los funcionarios autorizados para
suscribir las pólizas de seguros, sino que la firma empleada es por lo general autógrafa.
No existe un procedimiento similar al de las fianzas, toda vez que hasta ahora ha sido
un uso mercantil el aceptar las pólizas y parece ser que no ha habido problemas en
cuanto a falsificación, por lo menos de tal envergadura, que obligara a tomar a las
autoridades la decisión de establecer un procedimiento similar al de las afianzadoras.
También en el uso comercial, en alguna ocasión, las pólizas de seguros son
refrendadas por los agentes autorizados al efecto.
94
ACOSTA ROMERO, Miguel; OP. CIT.
158
CARACTERÍSTICAS DE LA FIRMA
De las anteriores definiciones se desprenden las siguientes características:
IDENTIFICATIVA: Sirve para identificar quién es el autor del documento.
DECLARATIVA: Significa la asunción del contenido del documento por el autor de
la firma. Sobre todo cuando se trata de la conclusión de un contrato, la firma es el
signo principal que representa la voluntad de obligarse.
PROBATORIA: Permite identificar si el autor de la firma es efectivamente aquél que
ha sido identificado como tal en el acto de la propia firma.
ELEMENTOS DE LA FIRMA .- Al respecto es necesario distinguir entre:
I.- ELEMENTOS FORMALES.- Son aquellos elementos materiales de la firma que están
en relación con los procedimientos utilizados para firmar y el grafismo mismo de la
misma:
La firma como signo personal. La firma se presenta como un signo distintivo
y personal, ya que debe ser puesta de puño y letra del firmante. Esta
característica de la firma manuscrita puede ser eliminada y sustituida por
otros medios en la firma electrónica.
El animus signandi. Es el elemento intencional o intelectual de la firma.
Consiste en la voluntad de asumir el contenido de un documento, que no
debe confundirse con la voluntad de contratar, como señala Larrieu.
159
II.- ELEMENTOS FUNCIONALES. Tomando la noción de firma como el signo o
conjunto de signos, podemos distinguir una doble función:
Identificadora. La firma asegura la relación jurídica entre el acto firmado y la
persona que lo ha firmado. La identidad de la persona nos determina su
personalidad a efectos de atribución de los derechos y obligaciones. La firma
manuscrita expresa la identidad, aceptación y autoría del firmante. No es un
método de autenticación totalmente fiable. En el caso de que se reconozca la
firma, el documento podría haber sido modificado en cuanto a su contenido falsificado- y en el caso de que no exista la firma autógrafa puede ser que ya
no exista otro modo de autenticación. En caso de duda o negación puede
establecerse la correspondiente pericial caligráfica para su esclarecimiento.
Autenticación. El autor del acto expresa su consentimiento y hace propio el
mensaje:
o Operación pasiva que no requiere del consentimiento, ni del
conocimiento siquiera del sujeto identificado.
o Proceso activo por el cual alguien se identifica conscientemente en
cuanto al contenido suscrito y se adhiere al mismo.
La firma es el lazo que une al firmante con el documento en que se pone
95
, el nexo
entre la persona y el documento. Para establecer ese lazo, la firma no necesita ni ser
nominal ni ser legible; esto es, no requiere expresar de manera legible el nombre del
95
La Firma Elerctrónica: Comunicación discutida en sesión del pleno de académicos de número el día 5
de junio del 2000. Real Academia de Jurisprudencia y Legislación; publicada en sus Anales 2000.
Antonio Rodríguez Adrados.
160
firmante; en una palabra no requiere aptitud para desempeñar aquella función
identificativa de la firma a la que nos referíamos en párrafos anteriores, que señalaba
Carnelutti y de la que los “informáticos” han hecho propia, pero que ni antes ni mucho
menos ahora los documentos escritos acostumbran a cumplir; los documentos, en
efecto, no suelen indicar mediante la firma quien es su autor (ni quienes son las demás
personas que en ellos intervienen), sino que lo hacen en su encabezamiento (inscriptio,
praescriptio), o en el cuerpo del documento; a lo que quiero llegar y polarizando hacia la
firma electrónica, es que la función identificativa de la firma es una exigencia de la
contratación a distancia y no de los conceptos tradicionales de documento y firma.
La firma, al constituir el lazo o nexo de la persona con el documento, debe ser
documental y personal y ha de haber sido puesta en el documento por el firmante “en
persona”96. La idea anterior suele expresarse como “manuscritura” (escritura con la
propia mano, del puño y letra del suscribiente), pero se debe ampliar a cualquier otra
“grafía” puesta en el documento por el firmante mismo, es decir a toda “autografía”, de
ahí el término de “firma autógrafa”. Es decir, lo que resulta destacar es la actuación del
firmante mismo en el documento y en éste orden de ideas la “manuscritura” puede ser
sustituida por cualquier otra “grafía” del firmante que necesariamente haya de ser
personal, como hasta ahora viene ocurriendo con la huella digital pero no por otra grafía
que pueda ser impuesta por un tercero o por procedimientos que permitan a terceros
imponerla.
96
Op cit.
161
El uso mercantil y bancario han ido orientándose a que la “firma” pueda estamparse por
medios mecánicos como pueden ser el facsímil y las máquinas de firma, para poder
considerarla se requiere de un acuerdo previo entre las partes en el que se haga
constar que el “supuesto firmante” asume la responsabilidad. Por lo anterior, en lo
particular, cuestiono el denominativo de firma al símbolo estampado por un tercero por
medio de facsímil o “máquinas de firma”.
Resumiendo, la función primordial de la firma no es entonces la identificación del
firmante, sino la de ser el instrumento de su declaración de voluntad, que exige esa
actuación personal del firmante en la que declara que aquello es un documento y no un
proyecto o un borrador, que el documento está terminado y declara que el firmante
asume como propias las manifestaciones, declaraciones o acuerdos que contiene.
Algunos autores97 consideran que la firma como exteriorización de la declaración de
voluntad de una persona es imprescindible en los documentos comerciales, no es un
mero requisito, la cual precisa de una actuación personal del firmante, una actuación
física, corporal del firmante mismo, porque solo así puede ser instrumento de su
declaración de voluntad. En éste sentido no estoy de acuerdo, ya que considero que si
la firma es la exteriorización de la declaración de voluntad de una persona, ésta
exteriorización puede hacerse por otro medio, como pudiera ser el electrónico siempre
que la haga el firmante o legalmente se atribuya a él. Y aquí retomo lo comentado en
párrafos anteriores sobre la función identificativa de la firma, pero ahora con el
97
Op cit
162
calificativo de electrónica, pues ésta sí requiere de identificación del autor para dar
certeza de que es él y no un tercero quien declara su voluntad, de ahí el concepto de
UNICITRAL de “equivalente funcional de la firma”.
En cuanto al concepto de equivalencia funcional de la firma y a manera de resumen,
considero que resulta de utilidad el siguiente cuadro que refleja la distinción entre la
firma autógrafa y la firma electrónica:
FIRMA
FIRMA
AUTÓGRAFA
ELECTRÓNICA
La firma como signo personal.
X
X
El animus signandi, voluntad de
asumir el contenido de un
documento.
ELEMENTOS FUNCIONALES
X
X
Función Identificadora, relación
jurídica entre el acto firmado y la
persona que lo ha firmado.
Función de Autenticación. El autor
del acto expresa su
consentimiento y hace propio el
mensaje
INTEGRIDAD
X
X
X
X
ELEMENTOS FORMALES.-
ACCESIBILIDAD
X
X
163
6.- FIRMA ELECTRÓNICA
La firma electrónica tiene muy poco tiempo de haber surgido debido a la necesidad de
un mundo globalizado en donde las transacciones y la interacción entre individuos son
impersonales y sin vínculos físicos, haciendo de la identificación un problema y
requerimiento de primera necesidad. Los medios tradicionales de identificación pierden
validez en el mundo electrónico, surgiendo así medios digitales de identificación.
En mayo de 1995 en los Estados Unidos de América fue emitida la primera ley sobre
firmas digitales por el Estado de Utah y es conocida como “Utah Digital Signature Act”;
el Comité de Seguridad de la Información de la División de Comercio Electrónico, de la
American Bar Association, emitió en agosto de 1996 la “Guía de Firmas Digitales”. El 15
de Agosto de 1997 en la Conferencia Nacional de Comisionados sobre Derecho Estatal
Uniforme, elaboró el borrador de lo que será la “Uniform Electronic Transactions Act”
que fue aprobada el 30 de julio de 1999. Además el 30 de junio de 2000, se emitió la
“Electronic Signatures in Global and National Commerce Act”.
En otros países como es el caso de Italia, el 15 de marzo de 1997 fue publicado
el “Reglamento sobre: Acto, Documento y Contrato en forma electrónica”. En Argentina
el 17 de marzo de 1997 el Sub-Comité de Criptografía y Firma Digital, dependiente de
la Secretaría de la Función Pública emitió la resolución 45/97. En Alemania el 13 de
junio de 1997 fue promulgada la Ley sobre Firmas Digitales y el 7 de junio del mismo
año, fue publicado su Reglamento. En la Comunidad Económica Europea se emitió el
Real Decreto Español sobre Firmas Electrónicas en el mes de septiembre de 1999 y
164
Directivas en materia de Firmas Electrónicas en noviembre de 1999. El 16 de diciembre
de 1996 se emitió la Ley Modelo de la Comisión de las Naciones Unidas para el
Derecho Mercantil Internacional (CNUDIM), la cual es una sugerencia a cada país para
eliminar diferencias en la legislación interna y se contribuya a garantizar la seguridad
jurídica internacional en el comercio electrónico; y el 5 de julio de 2001 es adoptado por
la misma Comisión la Ley Modelo sobre Firmas Electrónicas.
En Estados Unidos
A finales de la década de los setenta, el gobierno de los Estados Unidos publicó el Data
Encryption Standard (DES) para sus comunicaciones de datos sensibles pero no
clasificados. El 16 de abril de 1993, el gobierno de los EE.UU. anunció una nueva
iniciativa criptográfica encaminada a proporcionar a los civiles un alto nivel de seguridad
en las comunicaciones: proyecto Clipper. Esta iniciativa está basada en dos elementos
fundamentales:
Un chip cifrador a prueba de cualquier tipo de análisis o manipulación (el Clipper
chip o EES (Escrowed Encryption Standard) y
Un sistema para compartir las claves secretas (KES -Key Escrow System) que,
en determinadas circunstancias, otorgaría el acceso a la clave maestra de cada
chip y que permite conocer las comunicaciones cifradas por él.
En EE.UU. es donde más avanzada está la legislación sobre firma electrónica, aunque
el proyecto de estandarización del NIST (The National Institute of Science and
Technology) no lo consiga. El NIST ha introducido dentro del proyecto Capstone, el
165
DSS (Digital Signature Standard) como estándar de firma, si bien todavía el gobierno
americano no ha asumido como estándar su utilización. El NIST se ha pronunciado a
favor de la equiparación de la firma manuscrita y la digital.
La ley de referencia de la firma digital, para los legisladores de los Estados Unidos, es
la ABA (American Bar Association), Digital Signature Guidelines, de 1 de agosto de
1996.
El valor probatorio de la firma ha sido ya admitido en Utah, primer estado en legislar
sobre firma digital. La firma digital de Utah (Digital Signature Act Utah de 27 de febrero
de 1995, modificado en 1996) se basa en un "Criptosistema Asimétrico" definido como
un algoritmo que proporciona una pareja de claves segura.
Sus objetivos son, facilitar el comercio por medio de mensajes electrónicos fiables,
minimizar la incidencias de la falsificación de firmas digitales y el fraude en el comercio
electrónico.
La firma digital es una transformación de un mensaje utilizando un criptosistema
asimétrico, de tal forma que una persona que tenga el mensaje cifrado y la clave
pública de quien lo firmó, puede determinar con precisión el mensaje en claro y si se
cifró usando la clave privada que corresponde a la pública del firmante.
166
Esta ley establece la presunción de que una firma digital tiene el mismo efecto legal que
una firma manuscrita si se cumplen ciertas existencias; una de las exigencias es que la
firma digital sea verificada por referencia a una clave pública incluida en un certificado
válido emitido por una autoridad de certificación con licencia.
El Estado de Utah ha redactado un proyecto de ley (The Act on Electronic Notarization)
en 1997.
California define la firma digital como la creación por ordenador de un identificador
electrónico que incluye todas las características de una firma válida, aceptable, como :
Única
Capaz de comprobarse
Bajo un solo control
Enlazándose con los datos de tal manera que si se cambian los datos se invalide la
firma
Adoptada al menos como un estandar por dos de las organizaciones siguientes:
- The International Telecommunication Unión.
- The American National Standards Institute.
- The Internet Activities Board.
- The National Institute of Science and Technology.
- The International Standards Organization.
Podemos hacer referencia también a:
167
ABA, Resolution concerning the CyberNotary: an International computertransaction specialist, de 2 de agosto de 1994.
The Electronic Signature Act Florida ,de mayo de 1996 que reconoce la
equivalencia probatoria de la firma digital con la firma manual. En esta ley se usa
el término de "international notary" en vez del "cybernotary" utilizado en otras
leyes de EE.UU.
The Electronic Commerce Act, de 30 de mayo de 1997, que hace referencia al
cybernotary.
The Massachusetts Electronic Records and Signatures Act, de 1996, que acoge
todo mecanismo capaz de proporcionar las funciones de la firma manuscrita sin
ceñirse a un tipo concreto de tecnología.
NCCSL
–El 15 de agosto de 1997, la Conferencia Nacional de Comisionados sobre
Derecho Estatal Uniforme, elaboró la “Uniform Electronic Transactions Act”
(UETA), la cual se aprobó el 30 de julio de 1999.
–El 4 de agosto del 2000 se aprobó la “Uniform Computer Information
Transactions Act” (UCITA), la cual se encuentra en proceso de adopción por los
diversos Estados de la Unión Americana.
PRESIDENCIA
–El 30 de junio el 2000 se emite la “Electronic Signatures in Global and National
Commerce Act” (E-Sign Act.) vigente a partir del 1 de octubre del 2000
(otorgando a la firma y documento electrónico un estatus legal equivalente a la
firma autógrafa y al documento en papel).
168
Como ya se anotó, en algunos estados de la Unión Americana se distingue entre firma
electrónica y firma digital, a continuación presento un cuadro que muestra por Estado la
definición adoptada:
Definiciones de firma electrónica en la legislación estatal americana: 98
State
Bill/Statute
AL
Alabama Uniform
Transaction Act
AK
An electronic or a digital method that is (1) executed or
adopted by a person, including a state agency, with the
1997 Alaska Senate Bill 232 intent to be bound by or to authenticate a record; (2) unique
Act relating to electronic
to the person using it; (3) capable of verification; (4) under
signatures, electronic records
the sole contract of the person using it; and (5) linked to
and public records
data in a manner that, if the data is changed, the electronic
signature is invalidated.
AZ
"Electronically signed communication" means an electronic
Arizona Administrative Code,
message that has been processed in such a manner that
Title 2, Ch. 12, Art. 5.
the message is tied to the individual who signed the
"Electronic Signatures"
message.
AZ
An "Electronic Signature" is "an electronic or digital method
of identification that is executed or adopted by a person with
Arizona Revised Statutes §41- the intent to be bound by or to authenticate a record." "An
121, §41-132; (1998 Arizona electronic signature shall be unique to the person using it,
House Bill 2518)
shall be capable of reliable verification and shall be linked to
a record in a manner so that if the record is changed the
electronic signature is invalidated."
AZ
"Electronic Signature" means an electronic sound, symbol
Arizona
Revised
Statutes,
or process that is attached to or logically associated with a
amending § 41-121 (1999 AZ
record and that is executed or adopted by an individual with
HB 2234)
the intent to sign the record.
AZ
Sec. 44-7002(8). "Electronic Signature" means an electronic
Arizona Uniform Electronic
sound, symbol or process that is attached to or logically
Transactions Act (2000 Arizona
associated with a record and that is executed or adopted by
House Bill 2069)
an individual with the intent to sign the record.
AR
Authorizes
Electronic
Signatures
with
specified
authentication attributes only. "'Electronic Signature' means
Arkansas Electronic Records
an electronic or digital method executed or adopted by a
and Signatures Act (1999
party with the intent to be bound or to be authenticate a
Arkansas Senate Bill 418)
record, which is unique to the person using it, is capable of
verification is under the sole control of the person using it
98
Definitions of 'Electronic Signature'
Electronic
An electronic sound, symbol, or process attached to or
logically associated with a record and executed or adopted
by a person with the intent to sign the record.
http://www.mbc.com/ecommerce/legislative.asp
169
and is linked to data in such a manner that if the data are
changed the electronic signature is invalidated."
AR
"'Electronic Signature' means any signature in electronic
Arkansas Uniform Electronic
form, attached to or logically associated with an electronic
Transactions
Act
(1999
record, executed or adopted by person or its electronic
Arkansas House Bill 1021)
agent with intent to sign the electronic record."
CA
"Electronic signature" means an electronic sound, symbol,
California Civil Code (1999 or process attached to or logically associated with an
California Senate Bill 1124)
electronic record and executed or adopted by a person with
the intent to sign the electronic record.
CA
An electronic sound, symbol, or process attached to or
California Financial Code (1999 logically associated with an electronic record and executed
California A.B No. 2503)
or adopted by a person with the intent to sign the electronic
record.
CA
§ 1633.2(h) "Electronic Signature." An electronic sound,
California Uniform Electronic
symbol, or process attached to or logically associated with
Transactions
Act
(1999
an electronic record and executed or adopted by a person
California Senate Bill 820)
with the intent to sign the electronic record.
CO
Any identifier or authentication technique attached to or
Colorado
Government
logically associated with an electronic record that is
Electronic Transactions Act
intended by the person using it to have the same force and
(1999 Colorado House Bill
effect as a manual signature. 'Electronic Signature' includes
1337)
Digital Signatures.
CO
§24-71-101(1) As used in this article, 'Digital Signature' or
Colorado Revised Statutes
'Electronic Signature' means an electronic identifier, created
(1999 Colorado House Bill
by computer, intended by the party using it to have the
1079)
same force and effect as the use of a manual signature.
CO
Colorado Revised Statutes § 4- An electronic signature may consist of an access code or
9-413 (1997 Colorado Senate any other identifying word or number assigned by a filing
Bill 155)
officer that is unique to a particular filer.
CT
Connecticut Electronic Records
"Any signature in electronic form, attached to or logically
and Signatures Act (1999
associated with an electronic record."
Connecticut House Bill 6592)
DE
Delaware Uniform Electronic An electronic sound, symbol, or process attached to or
Transactions
Act
(1999 logically associated with a record and executed or adopted
Delaware House Bill 492)
by a person with the intent to sign the record.
DC
No enacted
record
FL
Any letters, characters, or symbols, manifested by electronic
Florida Electronic Signature Act or similar means, executed or adopted by a party with an
of 1996, (1996 Florida Senate intent to authenticate a writing. A writing is electronically
Bill 942)
signed if an electronic signature is logically associated with
such writing.
FL
Florida Statutes amending ss
legislation
on
Any symbol manual facsimile conformed or "Sign" or
170
15.16 and 607.01401 (1999 "signature" means any symbol, manual, facsimile,
Florida Senate Bill 1830)
conformed, or electronic signature adopted by a person with
the intent to authenticate a document."
FL
Florida
Uniform
Electronic An electronic sound, symbol, or process attached to or
Transactions Act (2000 Florida logically associated with a record and executed or adopted
Senate Bill 1334)
by a person with the intent to sign the record.
GA
Authorizes
Electronic
Signatures
with
specified
authentication attributes only. 'Electronic signature' means
an electronic or digital method executed or adopted by a
Georgia Annotated Official
party with the intent to be bound by or to authenticate a
Code (1999 Georgia House Bill
record, which is unique to the person using it, is capable of
312)
verification, is under the sole control of the person using it,
and is linked to data in such a manner that if the data are
changed the electronic signature is invalidated.
GA
Georgia Annotated Official 'Electronic signature' means a signature created,
Code (1999 Georgia Senate Bill transmitted, received, or stored by electronic means and
62)
includes but is not limited to a secure electronic signature.
GA
Authorizes
Electronic
Signatures
with
specified
authentication attributes only. 'Electronic signature' means
an electronic or digital method executed or adopted by a
Georgia Electronic Records and
party with the intent to be bound by or to authenticate a
Signatures Act (1997 Georgia
record, which is unique to the person using it, is capable of
Senate Bill 103)
verification, is under the sole control of the person using it,
and is linked to data in such a manner that if the data are
changed the electronic signature is invalidated.
HI
Hawaii
Uniform
Electronic An electronic sound, symbol, or process attached to or
Transactions Act (1999 Hawaii logically associated with a record and executed or adopted
House Bill 2585)
by a person with the intent to sign the record.
ID
Idaho Electronic Signature and Any computer or electronically generated identifier that is
Filing Act (1998 Idaho Senate intended by the person using it to have the same force and
Bill 1496)
effect as a manual signature.
ID
Idaho
Uniform
Electronic An electronic sound, symbol or process attached to or
Transaction Act (2000 Idaho logically associated with a record and executed or adopted
Senate Bill 1334)
by a person with the intent to sign the record.
IL
Illinois
Vehicle
Amendment (1999
3420)
IL
A signature in electronic form attached to or logically
associated with an electronic record; "If, through the use of
a qualified security procedure, it can be verified that an
electronic signature is the signature of a specific person,
Illinois Electronic Commerce
then such electronic signature shall be considered to be a
Security Act (1997 Illinois
secure electronic signature at the time of verification, if the
House Bill 3180)
relying party establishes that the qualified security
procedure was: (1) commercially reasonable under the
circumstances; (2) applied by the relying party in a
trustworthy manner; and (3) reasonably and in good faith
IL
Code
A signature in electronic form attached to or logically
HB
associated with an electronic record.
171
relied upon by the relying party."
IL
The term "digital signature" is defined as "an encrypted
Illinois Financial Institutions
electronic identifier, created by computer, intended by the
Digital Signature Act; (1997
party using it to have the same force and effect as the use
Illinois House Bill 597)
of a manual signature.
IL
Illinois State Comptroller Act Uses term "digital signature" to refer to an electronic
(1997 Illinois Senate Bill 516)
signature
IN
Indiana
Code
Annotated An electronic identifier, created by computer, executed or
Electronic Digital Signature Act adopted by the party using it with the intent to authenticate a
writing.
IN
An electronic sound, symbol, or process attached to or
Indiana Uniform Electronic
logically associated with an electronic record and executed
Transactions Act 2000 Indiana
or adopted by a person with the intent to sign the electronic
House Bill 1395
record.
IA
Iowa Electronic Commerce
a signature in electronic form attached to or logically
Security Act; (1999 Iowa House
associated with an electronic record.
Bill 624)
IA
Iowa
Uniform
Electronic An electronic sound, symbol, or process attached to or
Transactions Act (1999 Iowa logically associated with a record and executed or adopted
House File No. 2205)
by a person with the intent to sign the record
KS
An electronic sound, symbol or process attached to or
Kansas Uniform Electronic
logically associated with an electronic record and executed
Transactions Act (2000 Kansas
or adopted by a person with the intent to sign the electronic
House Bill 2879)
record.
KY
Kentucky Revised Statutes An electronic sound, symbol or process attached to or
(2000 Kentucky House Bill logically associated with a record and executed or adopted
939)
by a person with the intent to sign the record.
KY
Authorizes
electronic
signatures
with
specified
authentication attributes only. 'Electronic signature' means
an electronic identifier whose use is intended by the person
Kentucky Revised Statutes
using it to have the same force and effect as the use of a
(1998 Kentucky House Bill
manual
signature
and
containing
the
following
708)
characteristics: (a) It is unique to the person using it; (b) It is
capable of verification; and (c) It is under the sole control of
the person using it.
KY
Kentucky Uniform Electronic An electronic sound, symbol or process attached to or
Transactions
Act
(2000 logically associated with a record and executed or adopted
Kentucky House Bill 571)
by a person with the intent to sign the record.
LA
An electronic sound, symbol, or process attached to or
Louisiana - Senate Bill 973
logically associated with a record and executed or adopted
amending 9:34021
by a person with the intent to sign the record.
LA
Louisiana Revised Statutes Not specifically defined. However, the Act defines
(1997 Louisiana Senate Bill "signature" and "sign(ed)" to include written and electronic
609)
signatures.
172
ME
Maine Act to Clarify Signature
requirements on Certain Legal
Documents (1999 Maine HB
1451)
Any identifier or authentication technique attached to or
logically associated with an electronic record that is
intended by the person using it to have the same force and
effect as a manual signature.
ME
Maine Digital Signature Act
An electronic sound, symbol or process attached to or
logically associated with a record and executed or adopted
by a person with the intent to sign the record.
ME
Maine
Uniform
Electronic An electronic sound, symbol or process attached to or
Transactions Act (1999 Maine logically associated with a record and executed or adopted
Senate Bill 995)
by a person with the intent to sign the record.
MD
Uses the term "Digital Signature" to refer to electronic
signatures. Authorizes Electronic Signatures with specified
authentication attributes only. The term "Digital Signature"
means an electronic identifier, created by a computer, that:
Maryland Digital Signature Pilot (i) is intended by the authorized signer to have the same
Program(1998 Maryland House force and effect as the use of a manual signature; (ii) is
Bill 523)
unique to the authorized signer; (iii) is capable of
verification; (iv) is under the sole control of the authorized
signer; (v) is linked to data in such a manner that if the data
are changed, the signature is invalidated; and (vi) conforms
to regulations adopted by the Secretary of State.
MA
No enacted
record
MI
Michigan Uniform Electronic An electronic sound, symbol, or process attached to or
Transactions Act (2000 House logically associated with a record and executed or adopted
Bill 5537)
by a person with the intent to sign the record.
MN
Minnesota Uniform Electronic An electronic sound, symbol, or process attached to or
Transactions Act (CHAPTER logically associated with a record and executed or adopted
371-H.F.No. 3109)
by a person with the intent to sign the record.
MS
Mississippi
Business Does not specifically address however does state that
Corporation
Act
(1997 "Sign" or "signature" includes any manual, facsimile,
Mississippi House Bill 1313)
conformed or electronic signature.
MS
"Any word, group of letters, name, including a trader
Mississippi Digital Signature Act assumed name, mark, characters or symbols made
of 1997 (1997 Mississippi manually, by device, by machine, or manifested by
House Bill 752)
electronic or similar means, executed or adopted by a party
with the intent to the authenticate a writing."
MS
An electronic sound, symbol, or process attached to or
logically associated with a record and executed or adopted
by a person with the intent to sign the record. Defines
"Security procedure" as a procedure employed for the
Mississippi Uniform Electronic purpose of verifying that an electronic signature, record, or
Transactions Act
performance is that of a specific person or for detecting
changes or errors in the information in an electronic record.
The term includes a procedure that requires the use of
algorithms or other codes, identifying words or numbers,
encryption
or callback or other acknowledgment
legislation
on
173
procedures.
MO
Missouri Digital Signatures Act The Bill uses the term "electronically transmitted signature"
(1998 Missouri Senate Bill rather than electronic signature. The term "electronically
680)
transmitted signature" is not defined.
MT
Montana
Electronic
Transactions with State and
Local Government Units Act
(1999 Montana House Bill
188)
Authorizes
Electronic
Signatures
with
specified
authentication attributes only. "Electronic Signature "means
an electronic signal attached to or logically associated with
an electronic record and that is: (a) unique to the person
using it; (b) capable of verification; (c) under the sole control
of the person using it; and (d) linked to the electronic record
in such a way that if the electronic record is changed, the
signature is invalidated"
MT
Montana Uniform Electronic An electronic sound, symbol, or process attached to or
Transactions
Act
(2001 logically associated with a record and executed or adopted
Montana House Bill 234)
by a person with the intent to sign the record.
NE
Uses the term "Digital Signature" to refer to electronic
Nebraska Digital Signatures
signatures. Digital Signature "means an electronic identifier,
Act, Nebraska Revised Statutes
created by computer, intended by the person using it to
§ 86-1701
have the same force and effect as a manual signature."
NE
Nebraska
Electronic An electronic sound, symbol, or process attached to or
Transactions
Act
(1999 logically associated with a record and executed or adopted
Nebraska Legislative Bill 929)
by a person with the intent to sign the record.
NV
No enacted
record
NH
Uses the term "Digital Signature" to refer to electronic
New
Hampshire
Digital signatures. The term "Digital Signature" is defined as "an
Signature Act (1997 New electronic identifier, created by computer, intended by the
Hampshire Senate Bill 207)
party using it to have the same force and effect as the use
of a manual signature."
NH
a digital signature, executed or adopted by a party with an
New Hampshire Laws 22-1998
intent to authenticate a writing. A writing is electronically
(1997 New Hampshire House
signed if a digital signature is logically associated with such
Bill 290)
writing.
NH
As provided by New Hampshire Revised Statutes Annotated
294-D:3, enacted as 1997 New Hampshire Senate Bill 207;
New Hampshire Laws 382- Uses the term "Digital Signature" to refer to electronic
1998 (1997 New Hampshire signatures. The term "Digital Signature" is defined as "an
Senate Bill 472)
electronic identifier, created by computer, intended by the
party using it to have the same force and effect as the use
of a manual signature."
NH
New
Hampshire
Uniform
An electronic sound, symbol, or process attached to or
Electronic Transactions Act
logically associated with a record and executed or adopted
2001 New Hampshire Senate
by a person with the intent to sign the record.
Bill 139
NJ
New Jersey Uniform Electronic An electronic sound symbol or process attached to or
legislation
on
174
Transactions Act
logically associated with an electronic record and executed
or adopted by a person with the intent to sign the electronic
record.
NM
New
Mexico
Electronic
Authentication of Documents
Act (1996 New Mexico House
Bill 516)
Defines "electronic authentication" as the electronic signing
of a document that establishes a verifiable link between the
originator of a document and the document by means of a
public key and private key system.
NM
New
Mexico
Electronic
Authentication of Documents
Act (1999 New Mexico Senate
Bill 146)
Defines "electronic authentication" as the electronic signing
of a document that establishes a verifiable link between the
originator of a document and the document by means of a
public key and private key system;
An electronic sound, symbol or process attached to or
logically associated with a record and executed or adopted
by a person with the intent to sign the record.
NM
Defines "security procedure" to mean a procedure employed
New Mexico Uniform Electronic
for the purpose of verifying that an electronic signature,
Transaction Act : 2001 New
record or performance is that of a specific person or for
Mexico House Bill 232
detecting changes or errors in the information in an
electronic record. The term includes a procedure that
requires the use of algorithms or other codes, identifying
words or numbers, encryption, callback or other
acknowledgment procedures.
An electronic identifier, including without limitation a digital
signature, which is unique to the person using it, capable of
verification, under the sole control of the person using it,
attached to or associated with data in such a manner that
authenticates the attachment of the signature to particular
data and the integrity of the data transmitted, and intended
by the party using it to have the same force and effect as
the use of a signature affixed by a hand.
NY
New York Consolidated Laws
Chapter
57A
The
State
Technology
Law
(includes
Article I: New York Electronic
Signatures and Records Act
(1999 NY SB 6113)
NC
Any identifier or authentication technique attached to or
North
Carolina
Electronic
logically assoicated with an electronic record which is
Commerce Act; (1998 NC H.B.
intended by the party using it to have the same force and
1356)
effect as the party's manual signature
NC
Any identifier or authentication technique attached to or
North
Carolina
Uniform
logically associated with an electronic record which is
Electronic Transactions Act
intended by the party using it to have the same force and
(2000 Senate Bill 1266 )
effect as the party's manual signature.
ND
North
Dakota
Uniform
An electronic sound, symbol, or process attached to or
Electronic Transactions Act
logically associated with a record and executed or adopted
(2001 North Dakota House Bill
by a person with the intent to sign the record.
1106)
OH
Ohio
Uniform
Electronic
A signature in electronic form attached to or logically
Transactions Act (1999 Ohio
associated with an electronic record.
House Bill 488)
OK
Oklahoma Uniform Electronic An electronic sound symbol or process attached to or
175
Transactions Act (1999 OK S.B. logically associated with a record executed or adopted by a
1598)
person with the intent to sign the record.
OR
Oregon Electronic Signature
Any letters, characters or symbols, manifested by electronic
Act, Oregon Revised Statutes
or similar means, executed or adopted by a party with an
§192.825 et seq. (1997 Oregon
intent to authenticate a writing.
House Bill 3046)
An electronic sound, symbol or process attached to or
logically associated with a record and executed or adopted
by a person with the intent to sign the record.
OR
Oregon Uniform
Transactions Act
Electronic
PA
Pennsylvania
Uniform
An electronic sound, symbol or process attached to or
Electronic Transactions Act
logically associated with a record and executed or adopted
(1999 Pennsylvania Senate Bill
by a person with the intent to sign the record.
555)
PR
No enacted
record
RI
Rhode
Island
Uniform An electronic sound, symbol, or process attached to or
Electronic Transactions Act logically associated with a record and executed or adopted
(2000 H.B. 7694)
by a person with the intent to sign the record.
legislation
Defines "Security procedure" to mean a procedure
employed for the purpose of verifying that an electronic
signature, record or performance is that of a specific person
or for detecting changes or errors in the information in an
electronic record.
on
Any identifier or authentication technique attached to or
logically associated with an electronic record that is
intended by the party using it to have the same force and
effect
as
a
manual
signature.
Also defines a secure electronic signature and authorizes
electronic signatures with specified authentication attributes
only.
SC
SD
"An electronic signature is deemed to be secure if:
(1) it is created by application of a security procedure that is
South
Carolina
Electronic commercially reasonable and agreed to by the parties;
Commerce Act (1997 South (2) the electronic signature can be verified by use of a
Carolina Senate Bill 1167)
procedure that is recognized and approved [pursuant to
statute];
or
(3) when not previously agreed to by the parties, the
electronic
signature
is:
(a)
unique
to
the
party
using
it;
(b)
capable
of
identifying
such
party;
(c) created in a manner or using a means under the sole
control
of
the
party
using
it;
and
(d) linked to the electronic record to which it relates, in a
manner such that, if the record is changed, the electronic
signature is invalidated."
South
Dakota
Uniform An electronic sound, symbol, or process attached to or
Electronic Transactions Act logically associated with a record and executed or adopted
176
(2000 Senate Bill 193)
TN
by a person with the intent to sign the record
Tennessee
Electronic
Commerce Act of 2000 (2000 An electronic sound, symbol or process attached to or
Tennessee House Bill 3250 / logically associated with a record and executed or adopted
2000 Tennessee Senate Bill by a person with the intent to sign the record.
2430)
An electronic sound, symbol, or process attached to or
logically associated with a record and executed or adopted
by a person with the intent to sign the record.
TN
Also defines "Security procedure" means a procedure
Tennessee Uniform Electronic
employed for the purpose of verifying that an electronic
Transactions Act : 2001
signature, record, or performance is that of a specific person
Tennessee Senate Bill 376
or for detecting changes or errors in the information in an
electronic record. The term includes a procedure that
requires the use of algorithms or other codes, identifying
words or numbers, encryption, or callback or other
acknowledgment procedures.
TX
Texas Business & Commerce An electronic identifier, created by a computer, intended by
Code § 2.108 (1997 Texas the party using it to have the same force and effect as the
House Bill 984)
use of a manual signature.
TX
Texas Business & Commerce
Code, amending Ch. 9 (U.C.C., Uses the term "Digital Signature" to refer to electronic
Art. 9) (1999 Texas Senate Bill signatures.
1058)
An electronic sound, symbol, or process attached to or
logically associated with a record and executed or adopted
by a person with the intent to sign the record.
TX
Also defines "Security procedure" to mean a procedure
Texas
Uniform
Electronic employed for the purpose of verifying that an electronic
Transactions Act (UETA)
signature, record,or performance is that of a specific person
or for detecting changes or errors in the information in an
electronic record. The term includes a procedure that
requires the use of algorithms or other codes, identifying
words or numbers, encryption, or callback or other
acknowledgment procedures.
UT
Utah
Uniform
Electronic An electronic sound, symbol, or process attached to or
Transactions Act (Senate Bill logically associated with a record and executed or adopted
125)
by a person with the intent to sign the record.
VT
No enacted
record
VA
Virginia Uniform Electronic An electronic sound, symbol, or process attached to or
Transactions Act (2000 Virginia logically associated with a record and executed or adopted
House Bill 499)
by a person with the intent to sign the record.
WA
Washington Amendments to A signature in electronic form attached to or logically
the Electronic Authentication associated with an electronic record including but not
legislation
on
177
Act (1999 WA SB 5962)
limited to a digital signature.
WV
An electronic sound, symbol, or process attached to or
logically associated with a record and executed or adopted
West
Virginia
Uniform
by a person with the intent to sign the record which may not
Electronic Transactions Act
be denied legal effect or enforceability solely because it is in
electronic form.
WI
Any combination of words, letters, symbols or characters
Wisconsin Statutes s. 137.01 et that is attached to or logically associated with an electronic
seq. (1997 Wisconsin Assembly record and used by a person for the purpose of
Bill 811)
authenticating a document that has been created in or
transformed into an electronic format.
WI
Uses the term "digital signatures" to refer to electronic
signatures: "This Act uses the term "digital signature" to
Wisconsin
Statutes
s. refer to an electronic signature. The term "digital signature"
16.855(23) (1997 Wisconsin is defined as "an electronic identifier that is used in a
Assembly Bill 100)
computer communication and that is intended by the party
using it to have the same force and effect as a manual
signature."
WY
Wyoming Uniform
Transactions Act
Electronic
An electronic sound, symbol or process attached to or
logically associated with a record and executed or adopted
by a person with the intent to sign the record.
Definiciones de Firma Digital en la legislación estatal americana:99
State
Bill/Statute
AL
No enacted
record
legislation
on
AK
No enacted
record
legislation
on
AZ
A "Digital Signature" is "a type of electronic signature that
transforms a message through the use of an asymmetric
cryptosystem." The Bill sets forth specific requirements for
Arizona Revised Statutes §41documents containing a digital signature, including a
121, §41-132; (1998 Arizona
requirement that the document contain a computer-based
House Bill 2518)
certificate that identifies the issuing entity and the
subscriber, contain the subscriber's public key and be
digitally signed by the issuing entity.
AZ
"Electronic Signature" means an electronic sound, symbol
Arizona
Revised
Statutes,
or process that is attached to or logically associated with a
amending § 41-121 (1999 AZ
record and that is executed or adopted by an individual with
HB 2234)
the intent to sign the record.
AR
Arkansas
Code:
Financial
Term used but not defined.
Identity Fraud - 1999 Arkansas
99
Definitions of 'Digital Signature'
ibidem
178
House Bill 1167
CA
An electronic identifier, created by a computer, that is
intended by the party using it to have the same force and
effect as the use of a manual signature. The use of a digital
signature shall have the same force or effect as a manual
California Civil Code (1999
signature if it embodies all of the following attributes: (1) It is
California Senate Bill 1124)
unique to the person using it. (2) It is capable of verification.
(3) It is under the sole control of the person using it. (4) It is
linked to data in a manner that if the data is changed, the
digital signature is invalidated.
CA
California Code of Regulations "Digitally-signed communication" is a message that has
Title 2. Division 7. Chapter 10. been processed by a computer in such a manner that ties
Digital Signatures
the message to the individual that signed the message.
CA
An electronic identifier, created by a computer, that is
California Financial Code (1999
intended by the party using it to have the same force and
California A.B No. 2503)
effect as the use of a manual signature.
CA
California Government Code s. an electronic identifier, created by computer, intended by
16.5 (1995) (1995 California the party using it to have the same force and effect as the
Assembly Bill 1577)
use of a manual signature.
CO
Uses the term "Digital Signature" to refer to electronic
signatures. §24-71-101(1) As used in this article, 'Digital
Colorado Revised Statutes
Signature' or 'Electronic Signature' means an electronic
(1999 Colorado House Bill
identifier, created by computer, intended by the party using
1079)
it to have the same force and effect as the use of a manual
signature.
CT
No enacted
record
legislation
on
DE
No enacted
record
legislation
on
DC
No enacted
record
legislation
on
FL
A type of electronic signature that transforms a message
using an asymmetric cryptosystem such that a person
Florida Electronic Signature Act having the initial message and the signer's public key can
of 1996, (1996 Florida Senate accurately determine: (a) Whether the transformation was
Bill 942)
created using the private key that corresponds to the
signer's public key. (b) Whether the initial message has
been altered since the transformation was made.
GA
Sec. 48-5-19(d). (1) As used in this section, the term 'digital
signature' means a digital or electronic method executed or
adopted by a party with the intent to be bound by or to
Georgia Annotated Official
authenticate a record, which is unique to the person using it,
Code (2000 Georgia House Bill
is capable of verification, is under the sole control of the
1265)
person using it, and is linked to data in such a manner that if
the data are changed the digital or electronic signature is
invalidated.
179
HI
No enacted
record
legislation
on
ID
No enacted
record
legislation
on
IL
a type of electronic signature created by transforming an
electronic record using a message digest function and
encrypting the resulting transformation with an asymmetric
cryptosystem using the signer's private key such that any
Illinois Electronic Commerce person having the initial untransformed electronic record,
Security Act (1997 Illinois the
encrypted
transformation,
and
the
signer's
House Bill 3180)
corresponding public key can accurately determine whether
the transformation was created using the private key that
corresponds to the signer's public key and whether the initial
electronic record has been altered since the transformation
was made. A digital signature is a security procedure.
IL
This Act uses the term "digital signature" to refer to an
Illinois Financial Institutions
electronic signature. Although the term is used, the Act does
Digital Signature Act; (1997
not restrict "digital signatures" to those signatures employing
Illinois House Bill 597)
PKI technology.
IL
An electronic identifier, created by computer, intended by
Illinois State Comptroller Act
the party using it to have the same force and effect as the
(1997 Illinois Senate Bill 516)
use of a manual signature (uses term "digital signature")
IN
An electronic signature that transforms a message using an
asymmetric cryptosystem such that a person having the
Indiana
Code
Annotated initial message and the signer's public key can accurately
Electronic Digital Signature Act determine whether: (1) the transformation was created
using the private key that corresponds to the signer's public
key; and (2) the initial message has been altered since the
transformation was made.
IA
A type of an electronic signature consisting of a
transformation of an electronic record using a message
digest function that is encrypted with an asymmetric
cryptosystem using the signer's private key in a manner
providing that any person having the initial untransformed
Iowa Electronic Commerce electronic record, the encrypted transformation, and the
Security Act; (1999 Iowa House signer's public key may accurately determine all of the
Bill 624)
following:
a. Whether the transformation was created using the private
key that corresponds to the signer's public key.
b. Whether the initial electronic record has been altered
since the transformation was made. A digital signature is a
security procedure.
KS
A type of electronic signature consisting of a transformation
of an electronic message using an asymmetric cryptosystem
Kansas Uniform Electronic such that a person having the initial message and the
Transactions Act (2000 Kansas signer's public key can accurately determine whether: (1)
House Bill 2879)
The transformation was created using the private key that
corresponds to the signer's public key; and (2) the initial
message has not been altered since the transformation was
180
made.
KY
No enacted
record
legislation
on
LA
A type of electronic signature that transforms a message
using an asymmetric crypt system such that a person
having the initial message and the signer's public key can
Louisiana - Senate Bill 973
accurately determine: (a) Whether the transformation was
amending 9:34021
created using the private key that corresponds to the
signer’s public key. (b) Whether the initial message has
been altered since the transformation was made.
A computer-created electronic signature that:
A. Is intended by the person using it to have the same force
and effect as the use of a manual signature;
B. Is unique to the person using it;
C. Is capable of verification;
D. Is under the sole control of the person using it;and
E. Is linked to data in such a manner that it is invalidated if
the data are changed.
ME
Maine Digital Signature Act
ME
Speifically computer-created electronic signature that:
A. Is intended by the person using it to have the same force
and effect as the use of a manual signature;
Maine
Uniform
Electronic
B. Is unique to the person using it;
Transactions Act (1999 Maine
C. Is capable of verification;
Senate Bill 995)
D. Is under the sole control of the person using it; and
E. Is linked to data in such a manner that it is invalidated if
the data are changed.
MD
Maryland Digital Signature Pilot
Although the term is used, the Act does not restrict "digital
Program(1998 Maryland House
signatures" to those signatures employing PKI technology.
Bill 523)
MD
Maryland Uniform Electronic an electronic sound, symbol, or process attached to or
Transactions
Act
(2000 logically associated with a record and executed or adopted
Maryland Senate Bill 3)
by a person with the intent to sign the record
MA
No enacted
record
legislation
on
MI
No enacted
record
legislation
on
MN
A transformation of a message using an asymmetric
cryptosystem such that a person having the initial message
Minnesota
Electronic and the signer's public key can accurately determine: (1)
Authentication Act (Minnesota whether the transformation was created using the private
Statutes Annotated § 325K )
key that corresponds to the signer's public key; and (2)
whether the initial message has been altered since the
transformation was made.
MS
Mississippi
Business Does not specifically address however does state that
Corporation
Act
(1997 "Sign" or "signature" includes any manual, facsimile,
Mississippi House Bill 1313)
conformed or electronic signature.
181
MO
A transformation of a message using an asymmetric
cryptosystem such that a person having the initial message
Missouri Digital Signatures Act and the signer's public key can accurately determine
(1998 Missouri Senate Bill whether: (a) The transformation was created using the
680)
private key that corresponds to the signer's public key; and
(b) The message has been altered since the transformation
was made.
MT
Montana
Electronic
Transactions with State and
Local Government Units Act
(1999 Montana House Bill
188)
Digital Signature "means a type of electronic signature that
encrypts a record by using a cryptosystem in a manner that
a person who has the unencrypted record, and the signer's
key can accurately determine: (a) whether the encryption of
the record to an electronic record was created using the
private key that corresponds to the signer's public key; and
(b) whether the record has been altered since the record
was encrypted in an electronic record."
MT
Does not use this term however refers to "security
procedure" as a procedure employed for the purpose of
verifying that an electronic signature, record, or performance
Montana Uniform Electronic
is that of a specific person or for detecting changes or errors
Transactions
Act
(2001
in the information in an electronic record. The term includes
Montana House Bill 234)
a procedure that requires the use of algorithms or other
codes, identifying words or numbers, encryption, or callback
or other acknowledgment procedures.
NE
Nebraska Digital Signatures An electronic identifier, created by computer, intended by
Act, Nebraska Revised Statutes the person using it to have the same force and effect as a
§ 86-1701
manual signature.
NV
Nevada
Committee
on Specifically restricts the allowed technology of a digital
Commerce and Labor (1999 signature; defining it as a transformation of a message using
Nevada Assembly Bill 674)
an asymmetric cryptosystem.
NV
a transformation of a message using an asymmetric
Nevada
Revised
Statutes:
cryptosystem where an "asymmetric cryptosystem" means
Chapter 720 Title 59 an algorithm or series of algorithms that provide a secure
Electronic Transfers
key pair.
NH
a type of electronic manipulation that transforms a message
using an asymmetric cryptosystem such that a person
New Hampshire Laws 22-1998 having the transformed message and the signer's public key
(1997 New Hampshire House can accurately determine: (a) Whether the transformation
Bill 290)
was created using the private key that corresponds to the
signer's public key and; (b)whether the initial message has
been altered since the transformation was made.
NJ
No enacted
record
NM
New
Mexico
Electronic
Authentication of Documents
Act (1996 New Mexico House
Bill 516)
legislation
on
A type of electronic signature created by transforming an
electronic record using a message digest function and
encrypting the resulting transformation with an asymmetric
cryptosystem using the signer's private key so that any
person having the initial untransformed electronic record,
the encrypted transformation and the signer's corresponding
182
public key can accurately determine whether the
transformation was created using the private key that
corresponds to the signer's public key and whether the initial
electronic record has been altered since the transformation
was made.
NM
A type of electronic signature created by transforming an
electronic record using a message digest function and
encrypting the resulting transformation with an asymmetric
cryptosystem using the signer's private key so that any
New
Mexico
Electronic
person having the initial untransformed electronic record,
Authentication of Documents
the encrypted transformation and the signer's corresponding
Act (1999 New Mexico Senate
public key can accurately determine whether the
Bill 146)
transformation was created using the private key that
corresponds to the signer's public key and whether the initial
electronic record has been altered since the transformation
was made.
NY
New York Consolidated Laws
Chapter
57A
The
State
Technology
Law
(includes
Included in definition of Electronic Signature.
Article I: New York Electronic
Signatures and Records Act
(1999 NY SB 6113)
NC
No enacted
record
ND
Does not use the term Digital Signature however does
define "Security procedure" to mean a procedure employed
for the purpose of verifying that an electronic signature,
North
Dakota
Uniform
record, or performance is that of a specific person or for
Electronic Transactions Act
detecting changes or errors in the information in an
(2001 North Dakota House Bill
electronic record. The term includes a procedure that
1106)
requires the use of algorithms or other codes, identifying
words or numbers, encryption, or callback or other
acknowledgment procedures.
OH
No enacted
record
legislation
on
OK
No enacted
record
legislation
on
OR
A type of electronic signature that transforms a message
using an asymmetric cryptosystem such that a person
Oregon Electronic Signature
having the initial message and the signer's public key can
Act, Oregon Revised Statutes
accurately determine:(a) Whether the transformation was
§192.825 et seq. (1997 Oregon
created using the private key that corresponds to the
House Bill 3046)
signer's public key;(b) Whether the initial message has been
altered since the transformation was made.
PA
No enacted
record
PR
Puerto Rico Digital Signatures The conversion of a message using an asymmetrical
legislation
legislation
on
on
183
Act S.B. 423, Law 188
cryptosystem so that a person who holds the initial message
or communication and the public code of the signer may
determine
exactly
whether:
(a) the conversion was made using the private code
corresponding to the public code of the signer; and
(b) the message or communication has been altered since
the
conversion
was
made.
Defines "Asymmetrical Cryptosystem" as an algorithm or
series of algorithms which provide a pair of secure codes.
RI
No enacted
record
legislation
on
SC
No enacted
record
legislation
on
SD
No enacted
record
legislation
on
TN
No enacted
record
legislation
on
TX
Texas Business & Commerce
Uses the term "Digital Signature" to refer to electronic
Code § 2.108 (1997 Texas
signatures.
House Bill 984)
TX
Texas Business & Commerce
An electronic identifier intended by the person using it to
Code, amending Ch. 9 (U.C.C.,
have the same force and effect as the use of a manual
Art. 9) (1999 Texas Senate Bill
signature.
1058)
UT
A transformation of a message using an asymmetric
cryptosystem such that a person having the initial message
and the signer's public key can accurately determine
Utah Digital Signature Act, Utah
whether:
Code Annotated §§ 46-3-101 to
(a) the transformation was created using the private key
-504
that corresponds to the signer's public key; and
(b) the message has been altered since the transformation
was made.
VT
No enacted
record
legislation
on
VA
No enacted
record
legislation
on
WA
An electronic signature that is a transformation of a
message using an asymmetric cryptosystem such that a
person having the initial message and the signer's public
Washington Amendments to
key can accurately determine: (a) Whether the
the Electronic Authentication
transformation was created using the private key that
Act (1999 WA SB 5962)
corresponds to the signer's public key; and (b) Whether the
initial message has been altered since the transformation
was made.
WA
Washington
Electronic A transformation of a message using an asymmetric
184
Authentication Act; Washington cryptosystem such that a person having the initial message
Code ch. 19.34
and the signer's public key can accurately determine: (a)
Whether the transformation was created using the private
key that corresponds to the signer's public key; and (b)
Whether the initial message has been altered since the
transformation was made.
WV
No enacted
record
legislation
WI
Wisconsin
Statutes
s.
Although the term is used, the Act does not restrict "digital
16.855(23) (1997 Wisconsin
signatures" to those employing PKI technology.
Assembly Bill 100)
WY
No enacted
record
legislation
on
on
Conseguir una ley que impere en la totalidad del país de los 114 millones de internautas
está resultando una tarea más que ardua.
El 9 de noviembre del 2001 el Congreso de los EEUU aprobó una legislación para
sustituir la firma convencional por la digital en determinados documentos. Aunque la
votación pública resultó llamativamente positiva para la firma electrónica (356/66),
todavía queda mucho camino por delante. De entrada la oposición ha solicitado que se
repita la votación, pero que esta vez sea secreta. Aún repitiéndose el resultado, es muy
probable que la Casa Blanca vete la propuesta alegando que agrede los derechos de
los ciudadanos. Y su paso por el Senado puede transformar completamente la
propuesta de ley.
En Latinoamérica
185
Argentina:100 En marzo de 1999 se encargó a un grupo de juristas (Comisión creada
por Decreto 685/95) la redacción de un Proyecto de Código Civil que también abarcase
las materias electrónico comerciales. En el cual se prevén importantes modificaciones
en el tratamiento de los instrumentos. Se mantiene la regla de libertad de formas y se
prevé la forma convenida que es obligatoria para las partes bajo pena de invalidez del
negocio jurídico. Se reconocen los instrumentos públicos, los instrumentos privados y
los instrumentos particulares que son los no firmados.
Lo relevante es:
I.
Se amplía la noción de escrito, de modo que puede considerarse expresión
escrita la que se produce, consta o lee a través de medios electrónicos.
II.
Se define la firma y se considera satisfecho el requisito de la firma cuando en los
documentos electrónicos se sigue un método que asegure razonablemente la
autoría e inalterabilidad del documento.
III.
Se prevé expresamente la posibilidad de que existan instrumentos públicos
digitales. En este sentido el Código se abre a la realidad abrumadora de los
documentos electrónicos, aunque con fórmulas abiertas y flexibles y sin
vinculación a la tecnología actual, de modo de evitar su rápido envejecimiento
que se produciría por la previsible permanente superación de esas tecnologías.
En las escrituras públicas se incorporan dos reglas novedosas. La primera relativa a la
justificación de la identidad, que sustituye a la fe de conocimiento; se prevé incluso la
posibilidad de insertar la impresión digital del compareciente no conocido por el notario.
100
http://snts1.jus.gov.ar/minis/Nuevo/ProyectoCodigoCivil.htm
186
La segunda es la reglamentación de las actas, a las que sólo se asigna valor probatorio
cuando son protocolares.
En materia de instrumentos privados se regula expresamente el valor probatorio del
documento electrónico, que se vincula a los usos, a las relaciones preexistentes de las
partes y a la confiabilidad de los métodos usados para asegurar la inalterabilidad del
texto. Cabe apuntar que en cuanto a la noción de firma y de valor probatorio, se han
tenido especialmente en consideración la ley modelo de comercio electrónico elaborada
por UNCITRAL, el Código de Quebec y las tentativas de reforma del Código Civil
francés en materia de prueba.
La contabilidad y estados contables tienen un tratamiento con numerosas novedades.
En esta materia se siguen los Proyectos de Código Único de 1987 y los de 1993 (el de
la Comisión Federal y el de la Comisión designada por decreto 468/92). El sistema
propuesto permite al interesado llevar el sistema de registración mediante métodos
mecánicos, electrónicos o libros.
Colombia:101 Ley 527 de 1999 (Agosto 18). Por medio de la cual se define y
reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las
firmas digitales, y se establecen las entidades de certificación. Se establecen las
siguientes definiciones:
a) Mensaje de datos. La información generada, enviada, recibida, almacenada o
comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre
otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el
telegrama, el télex o el telefax;
101
Sitio en internet de la Corte Constitucional de Colombia
187
b) Comercio electrónico. Abarca las cuestiones suscitadas por toda relación de índole
comercial, sea o no contractual, estructurada a partir de la utilización de uno o más
mensajes de datos o de cualquier otro medio similar. Las relaciones de índole comercial
comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial
de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda
operación de representación o mandato comercial; todo tipo de operaciones financieras,
bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de
concesión de licencias; todo acuerdo de concesión o explotación de un servicio público;
de empresa conjunta y otras formas de cooperación industrial o comercial; de
transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por
carretera;
c) Firma digital. Se entenderá como un valor numérico que se adhiere a un mensaje de
datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del
iniciador y al texto del mensaje permite determinar que este valor se ha obtenido
exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado
después de efectuada la transformación;
d) Entidad de Certificación. Es aquella persona que, autorizada conforme a la presente
ley, está facultada para emitir certificados en relación con las firmas digitales de las
personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la
transmisión y recepción de mensajes de datos, así como cumplir otras funciones
relativas a las comunicaciones basadas en las firmas digitales;
e) Intercambio Electrónico de Datos (EDI). La transmisión electrónica de datos de una
computadora a otra, que está estructurada bajo normas técnicas convenidas al efecto;
f) Sistema de Información. Se entenderá todo sistema utilizado para generar, enviar,
recibir, archivar o procesar de alguna otra forma mensajes de datos.
La Corte Constitucional de Colombia el 8 de junio del 2000 resolvió una acción pública
de inconstitucionalidad respecto de ésta ley, por su importancia y trascendencia
transcribo a continuación en su parte relevante:
“La demandante dice cuestionar el texto íntegro de la Ley 527 de 1999 y, en especial, sus
artículos 10, 11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44 y
45 de la Ley 527 de 1999, por estimar que violan el artículo 131 de la Carta Política, así como los
artículos 152 y 153.
La transgresión del artículo 131 Constitucional en su criterio, se produce, en cuanto las normas
acusadas crean unas entidades de certificación las que, de conformidad con la misma Ley 527 de
1999, están facultadas para emitir certificados en relación con las firmas digitales de las personas
y para ofrecer los servicios de registro y estampado cronológico, la de certificación de la
188
transmisión y recepción de mensajes de datos, así como cualquier otra de autenticación de firmas
relativas a las comunicaciones basadas en firmas digitales, a emitir certificados en relación con la
veracidad de firmas digitales de personas naturales o jurídicas y, en fín, a realizar actos que son
propios de la función fedal, la que, según el entendimiento que da a la norma constitucional antes
citada, es del resorte exclusivo de los Notarios, únicos depositarios de la fé pública.
En su criterio, "lo que no permite la Constitución Política es que la autenticidad del documento
privado sea función que pueda ejercer cualquier persona, por cuanto esta es una función propia
del servicio público notarial y solo le puede corresponder al Notario, el cual siempre tiene que ser
una persona natural, que llegue a serlo en propiedad o por concurso."
".. si la ley le asigna la función fedante a personas diferentes de los Notarios, infringiría en forma
directa lo establecido en el artículo 131 de la Carta y esto es, precisamente lo que ha hecho la ley
acusada, en especial en los artículos antes citados 2, 10, 11, 12, 13, 14, 15, 26, 27, 28, 29, 30 32,
34, 35, 36, 37, 38, 39, 40 41, 42, 43 y 45 de la Ley 527 en comento.
De otra parte, argumenta que se incurrió en violación de los artículos 152 y 153 de la Carta
Política, en cuanto sin respetar la reserva de Ley Estatutaria ni el trámite especial, en especial,
los artículos 9, 10, 11, 12, 13, 14, 15 y 28 de la Ley 527 de 1999 modificaron y adicionaron el
Código de Procedimiento Civil, que en su entendimiento es equivalente a la administración de
justicia, al conferir a los mensajes de datos la fuerza probatoria de que tratan las disposiciones
del Capítulo VIII del Título XIII, Sección Tercera del Libro Segundo del Código de Procedimiento
Civil (i); ordenar que en toda actuación jurídica se dé eficacia, validez y fuerza obligatoria y
probatoria a todo tipo de información emitida en forma de mensaje de datos (ii); y, finalmente, al
disponer que los jueces deben aplicar a los mensajes de datos las reglas de la sana crítica al
apreciarlos como prueba (iii).
INTERVENCIONES CIUDADANAS Y DE AUTORIDADES PUBLICAS
En defensa de la constitucionalidad de la Ley 527 de 1999 durante el término legal intervinieron,
de manera conjunta, los ciudadanos Carolina Deyanira Urrego Moreno, Edgar Iván León Robayo,
Jair Fernando Imbachí Cerón; los ciudadanos Carolina Pardo Cuéllar y Santiago Jaramillo Caro;
el doctor Ramón Francisco Cárdenas, en representación de la Superintendencia de Industria y
Comercio; los doctores María Clara Gutiérrez Gómez en representación del Ministerio de
Comercio Exterior y José Camilo Guzmán Santos, como apoderado del Ministerio de Justicia; el
doctor Carlos Blas Buraglia Gómez, en su condición de Presidente Ejecutivo (e) de la Cámara de
Comercio de Bogotá; el doctor Carlos César Rolón Bermúdez, en representación del Ministerio de
Comunicaciones; los ciudadanos Eleonora Cuéllar Pineda y Sergio Pablo Michelsen Jaramillo, en
representación de la Fundación Foro Alta Tecnología; y, el doctor Carlos Eduardo Serna Barbosa
en representación del Ministerio de Desarrollo Económico.
Puesto que en su gran mayoría, los argumentos en que los intervinientes apoyan su defensa son
coincidentes, su resumen se hará en forma unificada, en aras de la brevedad y para evitar
repeticiones innecesarias. Son ellos, en síntesis, los que siguen:
- El examen de constitucionalidad de la Ley debe tener en cuenta la trascendencia que el
comercio electrónico tiene en la globalización de las relaciones económicas, el impacto de su
evolución, las consecuencias que genera en el desarrollo de los actos y negocios jurídicos
celebrados, no solamente por los particulares, sino también por el mismo Estado, así como la
importancia de regular y reglamentar jurídicamente su utilización
- La Ley 527 de 1999 sigue los lineamientos del proyecto tipo de Ley modelo sobre comercio
electrónico de la Comisión de las Naciones Unidas para el Desarrollo del Derecho Mercantil
Internacional -CNUDMI.
- En el caso Colombiano fué el producto de un proceso en el que participaron los sectores público
y privado que tuvieron asiento en la Comisión Redactora de la que formaron también parte los
Ministros de Justicia y del Derecho, Transporte, Desarrollo Económico y Comercio Exterior.
- El Comercio Electrónico encierra dentro de su filosofía los postulados de la buena fe comercial y
de la libertad contractual entre los negociantes, principios éstos que rigen todas y cada una de las
transacciones realizadas mediante su utilización.
La regulación del Comercio Electrónico busca permitir el acceso de todas las personas a esta
forma tecnológica de realizar transacciones de índole comercial y contractual.
189
- Ni el comercio electrónico ni la actividad de las entidades de certificación son un servicio
público, pues las partes no se encuentran en la obligación ni en la necesidad de solicitar los
servicios de una entidad de certificación para la celebración de un negocio jurídico. Por el tipo de
relaciones que regula, se trata de un asunto de la órbita del Derecho Privado que, por supuesto,
precisa de un control estatal, que estará a cargo de la Superintendencia de Industria y Comercio,
que vigila a las entidades de certificación desde el punto de vista técnico y operativo.
- La Ley cuestionada apunta a proveer tanto a los mensajes de datos como al comercio
electrónico de la integridad, confiabilidad y la seguridad que en este tipo de intercambios
electrónicos son cruciales, comoquiera que se trata de operaciones y de transacciones en que las
partes interactúan electrónicamente, a través de redes telemáticas, sin haber contacto directo o
físico.
- Las firmas digitales, el certificado electrónico, y el servicio de certificación que prestan las
entidades de certificación son herramientas de índole eminentemente técnica que apuntan a
dotar de seguridad los mensajes de datos y el comercio electrónico.
- Los cargos de la demanda resultan infundados porque las entidades de certificación no prestan
un servicio público y menos dan fé pública. Las entidades de certificación no son notarías
electrónicas, pues no sustituyen ni prestan los mismos servicios, según se deduce de la sola
lectura del artículo 30 de la Ley 527 de 1999 que relaciona las actividades que las primeras
pueden realizar.
- La actividad de certificación es un servicio de índole eminentemente técnico que tiene que ver
con la confianza y la credibilidad, y que propende por la seguridad en los mensajes de datos
empleados para realizar un cierto acto o negocio y en el comercio electrónico, la cual
básicamente comprende: la inobjetabilidad de origen; la integridad de contenido, la integridad de
secuencia, la inobjetabilidad de recepción, la confidencialidad, la unicidad de fin y la
temporalidad. Ello se logra a través de una entidad reconocida por un grupo de usuarios, quien
certifica sobre el iniciador en quien se originó la información, que su contenido no ha sufrido
alteraciones ni modificaciones y que fue recibida por su destinatario.
- Ni la Constitución ni las leyes han establecido que las funciones públicas o los servicios públicos
sólo puedan ser prestados por entidades o servidores públicos. Todo lo contrario: de acuerdo con
los artículos 2º., 210 y 365 de la Carta Política, el Estado, para el debido cumplimiento de sus
fines, tiene la facultad de asignar, delegar o conferir transitoriamente ciertas y precisas
responsabilidades públicas a los particulares.
- De ahí que, si las funciones de las entidades certificadoras de que trata la Ley 527/99 fueran
eventualmente calificadas como relacionadas con la fe pública, ello en momento alguno significa
que el legislador dentro de su competencia no pueda atribuírselas a dichas entidades en su
condición de entes privados, tal como lo ha hecho la ley con los notarios respecto de las
funciones a ellos asignadas.
- Si en gracia de discusión, la actividad de las entidades de certificación se catalogase como
servicio público, se trataría de uno diferente del que prestan las Notarías, y en todo caso su
constitucionalidad estaría amparada por el artículo 365 de la Carta Política.
Por lo tanto, si ahora, debido a los desarrollos tecnológicos, el legislador consideró necesario
para garantizar la protección del derecho fundamental de los particulares a obtener información
veraz, consagrado en el artículo 20 de la Carta, otorgar facultades relacionadas con la guarda de
la fe pública a entidades certificadoras, desde una perspectiva diferente a la de los notarios, no
quiere decir que el legislador esté contraviniendo el artículo 131 de la Carta Política.
- Si bien puede ser cierto que la referida ley efectivamente modificó algunas disposiciones
contenidas en códigos, dichas modificaciones en momento alguno pueden siquiera llegar a
considerarse que afectan la estructura general de la administración de justicia o los principios
sustanciales y procesales sobre la materia, por lo cual, mal podría sostenerse que han debido ser
objeto de una ley estatutaria, cuando su materia es propia de la ley ordinaria, la que, como tal,
cuenta con la facultad suficiente para modificar normas anteriores de igual o inferior jerarquía,
incluyendo naturalmente las contenidas en los códigos.
- La Ley 527 de 1999 no modifica ni deroga una ley estatutaria y su tema no forma parte de la
reserva atribuida a estas leyes, razón por la cual su trámite y aprobación no debía sujetarse a la
190
mayoría absoluta de los miembros del Congreso, siendo procedente que su contenido fuera
regulado a través de una ley ordinaria.
Por lo tanto, es igualmente infundado el cargo de violación de los artículos 152 y 153 aunque la
Ley 527 de 1999 haya modificado el Código de Procedimiento Civil, de ello no se sigue que su
contenido sea el propio de la Ley Estatutaria sobre la Administración de Justicia.
En abundante jurisprudencia, esta Corte ha sostenido que no toda reforma procedimental puede
entenderse como un cambio a la estructura misma de la Administración de Justicia. Sólo un
cambio en su estructura o en sus principios sustanciales y procesales, deben ser regulados a
través de legislación estatutaria. Por el contrario, las modificaciones procesales que no toquen
estos principios, son del resorte de la ley ordinaria.
CONCEPTO DEL PROCURADOR GENERAL DE LA NACION
El señor Procurador General de la Nación, rindió en tiempo el concepto de su competencia, en el
cual solicita declarar constitucional la Ley acusada.
Acerca de la presunta vulneración del artículo 131 constitucional por parte de los artículos 28, 29,
30 y 32 de la ley 527 de 1999, el Jefe del Ministerio Público considera que esta alegación se
funda en una particular interpretación según la cual el artículo 131 de la Constitución Política,
habría encargado de manera exclusiva a los notarios el servicio público de otorgar la fe pública.
El señor Procurador General señala que no comparte esa interpretación pues, en su parecer, el
artículo 131 de la Carta no consagra ni explícita ni implícitamente la pretendida exclusividad, ya
que se limita a señalar que compete a la ley la reglamentación del servicio público que prestan
los notarios y registradores, además de la definición del régimen laboral de sus empleados y lo
relativo a los aportes como tributación especial de las notarias, con destino a la administración de
justicia.
Observa que el resto del contenido del artículo 131 Constitucional se refiere a la
constitucionalización de la carrera notarial y la facultad gubernamental de crear los Círculos de
notariado y registro y de determinar el número de notarios y oficinas de registro, sin que, en parte
alguna de dicho artículo se prevea que la función de otorgar la fe pública sea de competencia
exclusiva de los notarios.
Es probable que la confusión de la demandante provenga de identificar la prestación del servicio
público de notariado con la actividad de dar fe de determinados actos o contratos o de certificar la
autenticidad de las firmas con la que tales actos se suscriben, pero aun siendo esto cierto, no
podría deducirse que el Constituyente haya establecido que la actividad fedante sea privativa de
los notarios. Es más, no existe referencia alguna, ni siquiera indirecta, en el artículo 131, a qué
personas son las competentes para otorgar la fe pública.
Acerca de la presunta violación de los artículos 151 y 152 de la Carta Política, ese Despacho
considera infundado el argumento de inconstitucionalidad según el cual la Ley 527 de 1999, debió
haberse sometido a los trámites propios de una ley estatutaria, habida cuenta de que algunas de
sus normas están relacionadas con la administración de justicia, al preverse en ellas asuntos
relacionados con el procedimiento civil.
Recuerda que esta Corte ha sentado el criterio de acuerdo con el cual la exigencia constitucional
de la reserva de la ley estatutaria, en el caso de las normas legales que se refieran a la
administración de justicia, procede cuando la norma legal trate asuntos concernientes a derechos
fundamentales de las personas o a la estructura misma de dicha administración, que no son
precisamente los tratados por las normas aquí cuestionadas.
Corrobora que, de acuerdo a la jurisprudencia constitucional, no es exigible esa modalidad de
legislación, por la sola circunstancia de que una determinada ley haga referencia a algunos de los
temas respecto de los cuales el Constituyente previó el trámite especial contenido en el artículo
152 de la Carta.
CONSIDERACIONES Y FUNDAMENTOS
1. La Competencia.
En virtud de lo dispuesto por el artículo 241-4 de la Carta Política, la Corte Constitucional es
competente para decidir definitivamente sobre la demanda de inconstitucionalidad que dio lugar
al presente proceso, dado que versa sobre presuntos vicios atribuidos a una Ley de la República.
191
2. El contexto de la Ley 527 de 1999
1. La revolución en los medios de comunicación de las dos últimas décadas a
causa de los progresos tecnológicos en el campo de los computadores, las
telecomunicaciones y la informática
Es bien sabido que los progresos e innovaciones tecnológicas logrados
principalmente durante las dos últimas décadas del siglo XX, en el campo de la
tecnología de los ordenadores, telecomunicaciones y de los programas
informáticos, revolucionaron las comunicaciones gracias al surgimiento de redes
de comunicaciones informáticas, las cuales han puesto a disposición de la
humanidad, nuevos medios de intercambio y de comunicación de información
como el correo electrónico, y de realización de operaciones comerciales a través
del comercio electrónico.
El Vicepresidente Ejecutivo (e) de la Cámara de Comercio de Bogotá, se refirió a
los avances tecnológicos que ambientaron la regulación sobre mensajes de
datos y comercio electrónico así como a su incalculable valor agregado en la
expansión del comercio, en los siguientes términos:
"...
La posibilidad de transmitir digitalmente la información de manera
descentralizada, el desarrollo de Internet a finales de los años sesenta y el
perfeccionamiento de sus servicios desde la aparición de la Red de Redes en los
años ochenta, se constituyeron en los pilares básicos para el despegue del
comercio electrónico.
En la actualidad el desarrollo del comercio electrónico a nivel mundial es un
hecho innegable e irreversible. No sólo es así, sino que según se prevé, seguirá
en crecimiento en los próximos años generando grandes ingresos a través de la
red, el cual innegablemente causa un impacto sobre las actividades económicas,
sociales y jurídicas en donde estas tienen lugar.
A pesar de no haber madurado aún, el comercio electrónico crece a gran
velocidad e incorpora nuevos logros dentro del ciclo de producción. A nivel
general, todo parece indicar que este nuevo medio de intercambio de
información, al eliminar barreras y permitir un contacto en tiempo real entre
consumidores y vendedores, producirá mayor eficiencia en el ciclo de producción
aparejado a un sin número de beneficios como la reducción de costos,
eliminación de intermediarios en la cadena de comercialización, etc. Trayendo
importantes e invaluables beneficios a los empresarios que estén dotados de
estas herramientas.
En Colombia, las ventas por Internet son una realidad. Los centros comerciales
virtuales y las transferencias electrónicas, entre otros, ya pueden encontrarse en
la red. En 1995 existían en nuestro país 50.000 usuarios de Internet, hoy, según
estudios especializados, llegar a los 600.000 y en el año 2.000 sobrepasarán el
millón de suscriptores. Así las cosas Colombia se perfila como uno de los países
de mayor crecimiento en América Latina en utilización de recursos informáticos y
tecnológicos para tener acceso a Internet y podría utilizar estos recursos para
competir activa y efectivamente en el comercio internacional.
..."
2. La necesidad de actualizar los regímenes jurídicos, para otorgar
fundamento jurídico al intercambio electrónico de datos
Desde luego, este cambio tecnológico ha planteado retos de actualización a los
regímenes jurídicos nacionales e internacionales, de modo que puedan
eficazmente responder a las exigencias planteadas por la creciente globalización
de los asuntos pues, es indudable que los avances tecnológicos en materia de
intercambio electrónico de datos ha propiciado el desarrollo de esta tendencia en
todos los órdenes, lo cual, desde luego, implica hacer las adecuaciones en los
regímenes que sean necesarias para que estén acordes con las
192
transformaciones que han tenido lugar en la organización social, económica y
empresarial, a nivel mundial, regional, local, nacional, social y aún personal.
La exposición de motivos del proyecto presentado al Congreso de la República
por los Ministros de Justicia y del Derecho, de Desarrollo, de Comercio Exterior y
de Transporte, que culminó en la expedición de la Ley 527 de 1999, ilustró las
exigencias que el cambio tecnológico planteaba en términos de la actualización
de la legislación nacional para ponerla a tono con las nuevas realidades de
comunicación e interacción imperantes y para darle fundamento jurídico a las
transacciones comerciales efectuadas por medios electrónicos y fuerza
probatoria a los mensajes de datos, en los siguientes términos :
"...
El desarrollo tecnológico que se viene logrando en los países industrializados,
permite agilizar y hacer mucho más operante la prestación de los servicios y el
intercambio de bienes tangibles o intangibles, lo cual hace importante que
nuestro país incorpore dentro de su estructura legal, normas que faciliten las
condiciones para acceder a canales eficientes de derecho mercantil
internacional, en virtud a los obstáculos que para éste encarna una deficiente y
obsoleta regulación al respecto
..."
3. La Ley Modelo sobre Comercio Electrónico de la Comisión de las Naciones
Unidas para el desarrollo del Derecho Mercantil Internacional -CNUDMI
Como quedó expuesto, las regulaciones jurídicas tanto nacionales como
internacionales resultaron insuficientes e inadecuadas frente a los modernos
tipos de negociación y de comunicación.
Ante esa realidad, la Comisión de las Naciones Unidas para el Desarrollo del
Derecho Mercantil promovió la gestación de un proyecto de ley tipo en materia de
comercio electrónico, inspirada en la convicción de que al dotársele de
fundamentación y respaldo jurídicos, se estimularía el uso de los mensajes de
datos y del correo electrónico para el comercio, al hacerlos confiables y seguros,
lo cual, de contera, redundaría en la expansión del comercio internacional, dadas
las enormes ventajas comparativas que gracias a su rapidez, estos medios
ofrecen en las relaciones de índole comercial entre comerciantes y usuarios de
bienes y servicios.
La Asamblea General de la ONU, mediante Resolución 51/162 de 1996 aprobó la
Ley Modelo sobre Comercio Electrónico elaborada por la CNUDMI y recomendó
su incorporación a los ordenamientos internos como un instrumento útil para
agilizar las relaciones jurídicas entre particulares.
El régimen legal modelo formulado por la Comisión de Naciones Unidas para el
Desarrollo del Derecho Mercantil Internacional -CNUDMI- busca ofrecer:
"...
al legislador nacional un conjunto de reglas aceptables en el ámbito internacional
que le permitieran eliminar algunos de esos obstáculos jurídicos con miras a
crear un marco jurídico que permitiera un desarrollo más seguro de las vías
electrónicas de negociación designadas por el nombre de comercio electrónico.".
"...
La ley modelo tiene la finalidad de servir de referencia a los países en la
evaluación y modernización de ciertos aspectos de sus leyes y prácticas en las
comunicaciones con medios computarizados y otras técnicas modernas y en la
promulgación de la legislación pertinente cuando no exista legislación de este
tipo.
..."
Según se hizo constar en la propia exposición de motivos, el proyecto
colombiano se basó en la Ley modelo de la Comisión de las Naciones Unidas
para el desarrollo del Derecho Mercantil Internacional -CNUDMI- sobre Comercio
Electrónico.
193
4. Los antecedentes de la Ley 527 de 1999
La Ley 527 de 1999 es, pues, el resultado de una ardua labor de estudio de temas de derecho
mercantil internacional en el seno de una Comisión Redactora de la que formaron parte tanto el
sector privado como el público bajo cuyo liderazgo se gestó, a iniciativa del Ministerio de Justicia
y con la participación de los Ministerios de Comercio Exterior, Transporte y Desarrollo.
Como ya quedó expuesto, obedeció a la necesidad de que existiese en la legislación colombiana
un régimen jurídico consonante con las nuevas realidades en que se desarrollan las
comunicaciones y el comercio, de modo que las herramientas jurídicas y técnicas dieran un
fundamento sólido y seguro a las relaciones y transacciones que se llevan a cabo por vía
electrónica y telemática, al hacer confiable, seguro y válido el intercambio electrónico de
informaciones.
Así, pues, gracias a la Ley 527 de 1999 Colombia se pone a tono con las modernas tendencias
del derecho internacional privado, una de cuyas principales manifestaciones ha sido la adopción
de legislaciones que llenen los vacíos normativos que dificultan el uso de los medios de
comunicación modernos, pues, ciertamente la falta de un régimen específico que avale y regule
el intercambio electrónico de informaciones y otros medios conexos de comunicación de datos,
origina incertidumbre y dudas sobre la validez jurídica de la información cuyo soporte es
informático, a diferencia del soporte documental que es el tradicional.
De ahí que la Ley facilite el uso del EDI y de medios conexos de comunicación de datos y
concede igual trato a los usuarios de documentación con soporte de papel y a los usuarios de
información con soporte informático.
2. Estructura de la Ley 527 de 1999
La Ley 527 de 1999 contiene 47 artículos, distribuidos en cuatro Partes, a saber: Mensajes de
datos y comercio electrónico (i); Transporte de mercancías (ii); firmas digitales, certificados y
entidades de certificación (iii) reglamentación y vigencia.
Del texto de la Ley y para los efectos de este fallo, resulta pertinente destacar cuatro temas: Mensajes electrónicos de datos y Comercio electrónico; - Las firmas digitales; - Las entidades de
certificación y, - La admisibilidad y fuerza probatoria de los mensajes de datos. Dado su carácter
eminentemente técnico, con apartes de la exposición de motivos, se ilustra cada uno de estos
temas:
3. 1. Mensajes electrónicos de datos
El mensaje electrónico de datos, se considera la piedra angular de las transacciones comerciales
telemáticas.
Por ello la ley lo describe en la siguiente forma:
"Mensaje de datos: la información generada, enviada, recibida, archivada o comunicada por
medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio
electrónico de datos (EDI), el correo electrónico, el telegrama, el telex o el telefax". (Artículo 2º
literal b).
La noción de "mensaje" comprende la información obtenida por medios análogos en el ámbito de
las técnicas de comunicación modernas, bajo la configuración de los progresos técnicos que
tengan contenido jurídico.
Cuando en la definición de mensaje de datos, se menciona los "medios similares", se busca
establecer el hecho de que la norma no está exclusivamente destinada a conducir las prácticas
modernas de comunicación, sino que pretenden ser útil para involucrar todos los adelantos
tecnológicos que se generen en un futuro.
El mensaje de datos como tal debe recibir el mismo tratamiento de los documentos consignados
en papel, es decir, debe dársele la misma eficacia jurídica, por cuanto el mensaje de datos
comporta los mismos criterios de un documento.
Dentro de las características esenciales del mensaje de datos encontramos que es una prueba
de la existencia y naturaleza de la voluntad de las partes de comprometerse; es un documento
legible que puede ser presentado ante las Entidades públicas y los Tribunales; admite su
almacenamiento e inalterabilidad en el tiempo; facilita la revisión y posterior auditoría para los
fines contables, impositivos y reglamentarios; afirma derechos y obligaciones jurídicas entre los
intervinientes y es accesible para su ulterior consulta, es decir, que la información en forma de
datos computarizados es susceptible de leerse e interpretarse.
194
Por otra parte, en el proyecto de ley se hace hincapié como condición de singular trascendencia,
en la integridad de la información para su originalidad y establece reglas que deberán tenerse en
cuenta al apreciar esa integridad, en otras palabras que los mensajes no sean alterados y esta
condición la satisfacen los sistemas de protección de la información, como la Criptografía y las
firmas digitales, al igual que la actividad de las Entidades de Certificación, encargadas de
proteger la información en diversas etapas de la transacción, dentro del marco de la autonomía
de la voluntad.
Así mismo, cuando el contenido de un mensaje de datos sea completo y esté alterado, pero
exista algún anexo inserto, éste no afectará su condición de "original". Esas condiciones se
considerarían escritos complementarios o serían asimiladas al sobre utilizado para enviar ese
documento "original".
- Equivalentes funcionales
El proyecto de ley, al igual de la Ley Modelo, sigue el criterio de los "equivalentes funcionales"
que se fundamenta en un análisis de los propósitos y funciones de la exigencia tradicional del
documento sobre papel, para determinar como podrían cumplirse esos propósitos y funciones
con técnicas electrónicas.
Se adoptó el criterio flexible de "equivalente funcional", que tuviera en cuenta los requisitos de
forma fiabilidad, inalterabilidad y rastreabilidad, que son aplicables a la documentación
consignada sobre papel, ya que los mensajes de datos por su naturaleza, no equivalen en
estricto sentido a un documento consignado en papel.
En conclusión, los documentos electrónicos están en capacidad de brindar similares niveles de
seguridad que el papel y, en la mayoría de los casos, un mayor grado de confiabilidad y rapidez,
especialmente con respecto a la identificación del origen y el contenido de los datos, siempre que
se cumplan los requisitos técnicos y jurídicos plasmados en la ley.
2. Firmas digitales
En el capítulo I de la parte III, respecto de la aplicación específica de los requisitos jurídicos de
los mensajes de datos, se encuentra la firma, y para efectos de su aplicación se entiende por
firma digital:
".... un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento
matemático conocido vinculado a la clave criptográfica privada del iniciado, permite determinar
que este valor numérico se ha obtenido exclusivamente con la clave criptográfica privada del
iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación".
(Artículo 2º. Literal h).
A través de la firma digital se pretende garantizar que un mensaje de datos determinado proceda
de una persona determinada; que ese mensaje no hubiera sido modificado desde su creación y
transmisión y que el receptor no pudiera modificar el mensaje recibido.
Una de las formas para dar seguridad a la validez en la creación y verificación de una firma digital
es la Criptografía, la cual es una rama de las matemáticas aplicadas que se ocupa de
transformar, mediante un procedimiento sencillo, mensajes en formas aparentemente
ininteligibles y devolverlas a su forma original.
Mediante el uso de un equipo físico especial, los operadores crean un par de códigos
matemáticos, a saber: una clave secreta o privada, conocida únicamente por su autor, y una
clave pública, conocida como del público. La firma digital es el resultado de la combinación de un
código matemático creado por el iniciador para garantizar la singularidad de un mensaje en
particular, que separa el mensaje de la firma digital y la integridad del mismo con la identidad de
su autor.
La firma digital debe cumplir idénticas funciones que una firma en las comunicaciones
consignadas en papel. En tal virtud, se toman en consideración las siguientes funciones de esta:
• Identificar a una persona como el autor;
- Dar certeza de la participación exclusiva de esa persona en el acto de firmar;
- Asociar a esa persona con el contenido del documento.
Concluyendo, es evidente que la transposición mecánica de una firma autógrafa realizada sobre
papel y replicada por el ordenador a un documento informático no es suficiente para garantizar
los resultados tradicionalmente asegurados por la firma autógrafa, por lo que se crea la
necesidad de que existan establecimientos que certifiquen la validez de esas firmas.
195
Por lo tanto, quien realiza la verificación debe tener acceso a la clave pública y adquirir la
seguridad que el mensaje de datos que viene encriptado corresponde a la clave principal del
firmante; son las llamadas entidades de certificación que trataremos más adelante.
3.3. Entidades de certificación.
Uno de los aspectos importantes de este proyecto, es la posibilidad de que un ente público o
privado con poderes de certificar, proporcione la seguridad jurídica a las relaciones comerciales
por vía informática. Estos entes son las entidades de certificación, que una vez autorizadas, están
facultados para: emitir certificados en relación con claves criptográficas de todas las personas,
ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción
de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas
en las firmas digitales.
La entidad de certificación, expide actos denominados Certificados, los cuales son
manifestaciones hechas como resultado de la verificación que efectúa sobre la autenticidad,
veracidad y legitimidad de las claves criptográficas y la integridad de un mensaje de datos.
La naturaleza de la función de las entidades de certificación se considera como la prestación de
un servicio público, para lo cual vale la pena detenerse un momento.
El artículo 365 de la Constitución Política hace referencia al tema de los servicios públicos, los
cuales pueden ser prestados tanto por las entidades públicas como las privadas o conjuntamente.
Esta norma permite que este servicio lo presten los particulares, si reúnen los requisitos exigidos
por la ley y cuenta con la aprobación de la Superintendencia, organismo rector para todos los
efectos.
El proyecto de ley señala que podrán ser entidades de certificación, las Cámaras de Comercio y
en general las personas jurídicas, tanto públicas como privadas, autorizadas por la
Superintendencia respectiva, que cumplan con los requerimientos y condiciones establecidos por
el Gobierno Nacional, con fundamento en el artículo 31 del proyecto.
Una vez las entidades de certificación sean autorizadas, podrán realizar actividades tales como,
emitir certificados en relación con las firmas digitales; ofrecer o facilitar los servicios de creación
de firmas digitales certificadas; servicios de registro y estampado cronológico en la transmisión y
recepción de mensajes de datos; servicios de archivo y conservación de mensajes de datos,
entre otras.
A la par con las actividades definidas anteriormente, estas entidades tendrán deberes que cumplir
frente a los involucrados dentro del proceso mercantil, deberes atinentes a cada una de las
actividades que pretendan ejercer.
En consecuencia, las entidades de certificación, son las encargadas entre otras cosas, de facilitar
y garantizar las transacciones comerciales por medios electrónicos o medios diferentes a los
estipulados en papel e implican un alto grado de confiabilidad, lo que las hace importantes y
merecedoras de un control ejercido por un ente público, control que redunda en beneficio de la
seguridad jurídica del comercio electrónico.
La comisión redactora del proyecto de ley, consideró que la Superintendencia de Industria y
Comercio debe ser la entidad encargada del control y vigilancia de las entidades de certificación,
por cuanto su competencia es afín con estas labores.
La función que actualmente ejercen las Superintendencias y que les fue delegada, le corresponde
constitucionalmente al Presidente de la República como Suprema Autoridad Administrativa,
cuando señala que una de sus funciones es la de ejercer la inspección y vigilancia de la
prestación de los servicios públicos.
En razón a que la naturaleza de las funciones de las entidades de certificación se consideran
como la prestación de un servicio público, la inspección y vigilancia de los servicios públicos que
tienen que ver con la certificación, actividades que ejercerán las entidades de certificación, debe
radicarse en cabeza de una Superintendencia como la de Industria y Comercio.
3. 4. Alcance probatorio de los mensajes de datos
El proyecto de ley establece que los mensajes de datos se deben considerar como medios de
prueba, equiparando los mensajes de datos a los otros medios de prueba originalmente escritos
en papel. Veamos
196
"Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos serán
admisibles como medios de prueba y tendrán la misma fuerza probatoria otorgada a los
documentos en el capítulo VIII de título XIII del Código de Procedimiento Civil.
En toda actuación administrativa o judicial, vinculada con el ámbito de aplicación de la presente
ley, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en
forma de un mensaje de datos, por el solo hecho de que se trate de un mensaje de datos o en
razón de no haber sido presentado en su forma original" (artículo 10).
Al hacer referencia a la definición de documentos del Código de Procedimiento Civil, le otorga al
mensaje de datos la calidad de prueba, permitiendo coordinar el sistema telemático con el
sistema manual o documentario, encontrándose en igualdad de condiciones en un litigio o
discusión jurídica, teniendo en cuenta para su valoración algunos criterios como: confiabilidad,
integridad de la información e identificación del autor.
Criterio para valorar probatoriamente un mensaje de datos. Al valorar la fuerza probatoria de un
mensaje de datos se habrá de tener presente la confiabilidad de la forma en la que se haya
generado, archivado o comunicado el mensaje, la confiabilidad de la forma en que se haya
conservado la integridad de la información, la forma en la que se identifique a su iniciador y
cualquier otro factor pertinente (artículo 11).
3. Los cargos globales
Son dos los reparos que generan el cuestionamiento de constitucionalidad que plantea la
demandante a saber: que las entidades certificadoras, estarían dando fe pública en Colombia,
cuando esta función está reservada constitucionalmente de manera exclusiva a los notarios,
según es su entendimiento del artículo 131 de la Carta Política (i) y que se habrían desconocido
los artículos 152 y 153 Superiores al haberse modificado el Código de Procedimiento Civil por la
vía de una ley ordinaria cuando, según su afirmación, ha debido hacerse por Ley Estatutaria.
Así las cosas, le corresponde en esta oportunidad a esta Corporación determinar si
constitucionalmente la fé pública es una función privativa de los Notarios. Y si las modificaciones
a los medios de prueba previstos en el Código de Procedimiento Civil son materia reservada a la
Ley Estatutaria. A ello, seguidamente se procederá.
La supuesta invasión de la función notarial y la libertad del Legislador para regular el
servicio notarial
No considera la Corte que para el esclarecimiento de los cargos lo relevante sea definir la
naturaleza de la actividad que realizan las entidades de certificación, pues aunque su carácter
eminentemente técnico no se discute, comoquiera que se desprende inequívocamente del
componente tecnológico que es característico de los datos electrónicos, es lo cierto que participa
de un importante componente de la tradicional función fedante, pues al igual que ella, involucra la
protección a la confianza que la comunidad deposita en el empleo de los medios electrónicos de
comunicación así como en su valor probatorio, que es lo realmente relevante para el derecho,
pues, ciertamente es el marco jurídico el que crea el elemento de confianza.
Y, a su turno, la confianza es la variable crítica para incentivar el desarrollo progresivo de las vías
electrónicas de comunicación conocidas como correo electrónico y comercio electrónico, pues es
el elemento que permite acreditarlos como un medio seguro, confiable y, de consiguiente, apto
para facilitar las relaciones entre los coasociados.
E, indudablemente, es esta zona de frontera la que produce la inquietud que lleva a la ciudadana
demandante a cuestionar su constitucionalidad.
En efecto, ya quedó expuesto, el servicio de certificación a cargo de las entidades certificadoras
propende por proporcionar seguridad jurídica a las transacciones comerciales por vía informática,
actuando la entidad de certificación como tercero de absoluta confianza, para lo cual la ley le
atribuye importantes prerrogativas de certificación técnica, entendiendo por tal, la que versa, no
sobre el contenido mismo del mensaje de datos, sino sobre las características técnicas en las que
este fue emitido y sobre la comprobación de la identidad, tanto de la persona que lo ha generado,
como la de quien lo ha recibido.
Es, pues claro que la certificación técnica busca dar certeza a las partes que utilizan medios
tecnológicos para el intercambio de información, en cuanto a la identidad y origen de los
mensajes intercambiados. No busca dar mayor jerarquía ni validez a los mensajes de datos de
los que pretende un documento tradicional.
197
A diferencia de los documentos en papel, los mensajes de datos deben ser certificados
técnicamente para que satisfagan los equivalentes funcionales de un documento tradicional o en
papel y, es allí en donde las entidades de certificación juegan un papel importante.
Las entidades de certificación certifican técnicamente que un mensaje de datos cumple con los
elementos esenciales para considerarlo como tal, a saber la confidencialidad, la autenticidad, la
integridad y la no repudiación de la información, lo que, en últimas permite inequívocamente
tenerlo como auténtico.
La confidencialidad connota aquellos requisitos técnicos mínimos necesarios para garantizar la
privacidad de la información.
La autenticidad es la certificación técnica que identifica a la persona iniciadora o receptora de un
mensaje de datos.
La integridad es el cumplimiento de los procedimientos técnicos necesarios que garanticen que la
información enviada por el iniciador de un mensaje es la misma del que lo recibió.
Y, la no repudiación es el procedimiento técnico que garantiza que el iniciador de un mensaje no
puede desconocer el envío de determinada información.
En abundante jurisprudencia, esta Corte ya ha tenido oportunidad de precisar que el legislador
goza de una amplia libertad para regular el servicio notarial, lo cual es de por sí un argumento
suficiente para desechar los cargos de la demandante quien, en sentir de esta Corte, ciertamente
confunde la competencia que el legislador tiene para reglamentar el servicio público que prestan
los notarios y registradores, al tenor de lo preceptuado por el artículo 131 Constitucional, con la
asignación a estos de la función fedante como una atribución constitucional privativa y
excluyente, por lo cual, encuentra que asiste razón tanto al Ministerio Público como a los
intervinientes, al señalar que este cargo parte de un supuesto equivocado.
De otra parte, resulta también pertinente señalar que conforme a lo preceptuado por los artículos
2º., 210 y 365 de la Carta Política, el legislador está constitucionalmente habilitado para conferir
transitoriamente el ejercicio de funciones públicas a los particulares, lo cual, permite concluir que,
también por este aspecto, la Ley acusada, en cuanto faculta a las personas jurídicas privadas a
prestar el servicio de certificación, tiene pleno sustento constitucional.
Así las cosas, aún cuando las funciones de las entidades certificadoras de que trata la Ley 527 de
1999 se asociaran con la fe pública, no por ello serían inconstitucionales, pues, como ya se dijo,
el legislador bien puede atribuírselas a dichas entidades en su condición de entes privados, sin
que ello comporte violación del artículo 131 de la Carta.
Entrar a calificar como función pública o servicio público las atribuciones que la Ley 527 de 1999
otorgó a las entidades certificadoras, no es en modo alguno asunto relevante para este examen
comoquiera que su sustento constitucional es ajeno a esa categorización.
Como lo tiene establecido esta Corte en su jurisprudencia:
"...
En efecto, independientemente del debate doctrinal y jurisprudencial sobre la naturaleza
jurídica de los notarios en el ordenamiento legal colombiano, es claro que
constitucionalmente estas personas ejercen una función pública. Además, no es cierto
que la Constitución ordene, como equivocadamente lo indica el actor, que este servicio
debe ser prestado por particulares, por cuanto la ley puede radicar la función fedante en
determinadas instituciones estatales y conferir por ende a los notarios la calidad de
servidores públicos. Nada en la Carta se opone a esa posible regulación, puesto que la
Constitución en manera alguna ordena que los notarios deban ser particulares y que este
servicio deba ser prestado obligatoriamente mediante una forma de descentralización por
colaboración, puesto que es también posible que la ley regule de manera diversa el
servicio notarial y establezca que los notarios y sus subalternos adquieren la calidad de
servidores públicos. La Constitución confiere entonces una amplia libertad al Legislador
para regular de diversas maneras el servicio notarial, puesto que el texto superior se
limita a señalar que compete a la ley la reglamentación del servicio que prestan los
notarios y registradores, así como la definición del régimen laboral para sus empleados
(CP art. 131). Por consiguiente, bien puede la ley atribuir la prestación de esa función a
particulares, siempre y cuando establezca los correspondientes controles disciplinarios y
administrativos para garantizar el cumplimiento idóneo de la función; sin embargo,
198
también puede el Legislador optar por otro régimen y atribuir la prestación de ese servicio
a funcionarios públicos vinculados formalmente a determinadas entidades estatales.
..."
5. Los acusados artículos 9º. a 15 y 28 y la supuesta violación de los artículos 151 y 152 de
la Constitución Política
Argumenta la interviniente que la Ley 527 de 1999 y, particularmente los artículos 9 al 15, así
como el 28, modifican y adicionan el Código de Procedimiento Civil en cuanto a los medios de
prueba y a su valor probatorio, lo que en su sentir, ha debido hacerse mediante el trámite y las
mayorías propias de una Ley Estatutaria, en cuanto implica una reforma a la Ley Estatutaria de la
Administración de Justicia.
Así, pues, en el entendimiento de la demandante, todo aspecto sustantivo o procesal relacionado
con la Administración de Justicia estaría reservado al ámbito de la Ley Estatutaria, según su
lectura del artículo 152 de la Carta Política.
A juicio de la Corte este cargo también se basa en una premisa equivocada, comoquiera que la
accionante parte de un erróneo entendimiento acerca del ámbito material que constituye la
reserva de la Ley Estatutaria sobre la Administración de Justicia.
No es necesario un análisis detallado acerca de la naturaleza jurídica de las leyes estatutarias y
de las materias a ellas asignadas por el artículo 152 constitucional, pues ya la Corte se ha
ocupado con suficiencia del tema y ha establecido en múltiple y reiterada jurisprudencia que
únicamente aquellas disposiciones que de una forma y otra se ocupen de afectar la estructura de
la administración de justicia, o de sentar principios sustanciales o generales sobre la materia,
deben observar los requerimientos especiales para este tipo de leyes.
Las demás y en particular los códigos, deben seguir el trámite ordinario previsto en la Carta
Política, pues se tratan de leyes ordinarias dictadas por el Congreso de la República en virtud de
lo dispuesto en el numeral 2 del artículo 150 Superior.
En otros términos, la reserva de Ley estatutaria no significa que toda regulación que se relacione
con los temas previstos en el artículo 152 de la Carta Constitucional deba someterse a dicho
trámite especial.
Tal conclusión conduciría al absurdo extremo de que toda norma relacionada con cualquier
aspecto de la administración de justicia, tendría que aprobarse bajo los estrictos requisitos de las
leyes estatutarias, lo cual entrabaría gravemente la función legislativa y haría inane la función de
expedir códigos en todos los ramos de la legislación y la de reformar las leyes preexistentes que
el Constituyente también atribuye al Congreso, y que este desarrolla por medio de la ley
ordinaria.
De ahí que esta Corte, en su jurisprudencia, haya sostenido que la interpretación de los asuntos
sometidos a reserva de ley estatutaria debe ser restrictiva a fin de garantizar, entre otras cosas, la
integridad de la competencia del legislador ordinario.
Es suficiente, para los efectos de este fallo, recordar las precisiones que, acerca del contenido
propio de la Ley Estatutaria de la Administración de Justicia, la Corporación consignó en la
sentencia C-037 de febrero 5 de 1996 al referirse al campo propio de la Ley ordinaria.
Dijo entonces la Corporación:
"... Para la Corte, una ley estatutaria encargada de regular la administración de
justicia, como lo dispone el literal b) del artículo 152 superior, debe ocuparse
esencialmente sobre la estructura general de la administración de justicia y
sobre los principios sustanciales y procesales que deben guiar a los jueces en
su función de dirimir los diferentes conflictos o asuntos que se someten a su
conocimiento.
De conformidad con lo anterior, esta Corporación entiende que el legislador goza, en
principio, de la autonomía suficiente para definir cuáles aspectos del derecho deben
hacer parte de este tipo de leyes. Sin embargo, debe señalarse que esa habilitación
no incluye la facultad de consagrar asuntos o materias propias de los códigos
de procedimiento, responsabilidad esta que se debe asumir con base en lo
dispuesto en el numeral 2o del artículo 150 superior, es decir, a través de las
leyes ordinarias. Con todo, debe reconocerse que no es asunto sencillo establecer
una diferenciación clara y contundente respecto de las materias que deben ocuparse
199
uno y otro tipo de leyes. Así, pues, resulta claro que, al igual que ocurre para el caso
de las leyes estatutarias que regulan los derechos fundamentales (literal A del
artículo 152), no todo aspecto que de una forma u otra se relacione con la
administración de justicia debe necesariamente hacer parte de una ley
estatutaria. De ser ello así, entonces resultaría nugatoria la atribución del
numeral 2o del artículo 150 y, en consecuencia, cualquier código que en la
actualidad regule el ordenamiento jurídico, o cualquier modificación que en la
materia se realice, deberá someterse al trámite previsto en el artículo 153 de la
Carta.
...
Y, más adelante se lee:
"...
Las consideraciones precedentes sirven, además, de fundamento para advertir
la inconveniencia de permitir al legislador regular aspectos propios de ley
procesal en una ley estatutaria, pues es sabido que el trámite de este tipo de
normatividad reviste características especiales -aprobación en una sola
legislatura, votación mayoritaria de los miembros del Congreso, revisión previa de la
Corte Constitucional-, las cuales naturalmente no se compatibilizan con la
facultad que le asiste al legislador para expedir o modificar códigos a través de
mecanismos eficaces –es decir, mediante el trámite ordinario-, en los eventos
en que las necesidades del país así lo ameriten. Permitir lo contrario sería tanto
como admitir la petrificación de las normas procesales y la consecuente
imposibilidad de contar con una administración de justicia seria, responsable,
eficaz y diligente. (Subrayas fuera de texto)
..."
no todo aspecto que de una forma u otra se relacione con la administración de
justicia debe necesariamente hacer parte de una ley estatutaria. De ser ello así,
entonces resultaría nugatoria la atribución del numeral 2o del artículo 150 y, en
consecuencia, cualquier código que en la actualidad regule el ordenamiento
jurídico, o cualquier modificación que en la materia se realice, deberá
someterse al trámite previsto en el artículo 153 de la Carta.
...
Recuérdese que la misma Carta autoriza al Congreso a expedir, por la vía ordinaria, Códigos en
todos los ramos de la legislación, por lo cual, mal puede sostenerse que toda regulación de los
temas que han sido objeto de ley estatutaria, haga forzoso el procedimiento restrictivo y más
exigente previsto por el Constituyente para su formación. Se reitera: el propósito de las Leyes
Estatutarias no es el de regular en forma exhaustiva la materia que constituye su objeto.
6. La unidad Normativa
De otra parte, la Corte encuentra que el artículo 4º. del Decreto 266 del 2000, expedido por el
Presidente de la República en ejercicio de las facultades extraordinarias conferidas por el
numeral 5º. del artículo 1º. de la Ley 573 del 7 de febrero del 2000, conforma unidad normativa
con el artículo 10 de la acusada Ley 527 de 1999, dada su identidad de contenido.
Ciertamente, el artículo 4º. de la Ley 573 del 7 de febrero del 2000 dispone:
Artículo 4º. Medios tecnológicos. Modifícase el artículo 26 del decreto 2150 de 1995,
el cual quedará así:
"Artículo 26. Medios tecnológicos Se autoriza a la Administración Pública el empleo
de cualquier medio tecnológico o documento electrónico, que permita la realización
de los principios de igualdad, economía, celeridad, imparcialidad, publicidad,
moralidad y eficacia en la función administrativa, así como el establecimiento de
condiciones y requisitos de seguridad que cada caso sean procedentes, sin perjuicio
de las competencias que en la materia tengan algunas entidades especializadas.
Toda persona podrá en su relación con la administración hacer uso de cualquier
medio técnico o electrónico, para presentar peticiones, quejas o reclamaciones ante
las autoridades. Las entidades harán públicos los medios de que dispongan para
permitir esta utilización.
200
Los mensajes electrónicos de datos serán admisibles como medios de prueba y su
fuerza probatoria será la otorgada en las disposiciones del Capítulo VIII del Título
XIII, Sección III Libro Segundo del Código de procedimiento Civil, siempre que sea
posible verificar la identidad del remitente, así como la fecha de recibo del
documento.
Por su parte el artículo 10 de la Ley 527 de 1999, preceptúa:
"Artículo 10. Admisibilidad y fuerza probatoria de los mensajes de datos. Los
mensajes de datos serán admisibles como medios de prueba y su fuerza probatoria
es la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección Tercera,
Libro Segundo del Código de Procedimiento Civil.
En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza
obligatoria y, probatoria a todo tipo de información en forma de un mensaje de datos,
por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido
presentado en su forma original."
Por consiguiente y en vista de que se presenta el fenómeno jurídico de unidad de materia entre el
artículo 10 de la Ley 527 de 1999 acusado y el artículo 4 del Decreto 266 del 2000 dictado con
base en las facultades extraordinarias establecidas en la Ley 573 del 2000, pues regulan un
mismo aspecto, esto es, el valor probatorio de los mensajes electrónicos, la Corte estima que la
declaratoria de constitucionalidad comprenderá también al artículo 4º. del Decreto 266 del 2000
por las razones atrás referidas.
Es pues, del caso, extender el pronunciamiento de exequibilidad, en cuanto hace al cargo
examinado, también a la norma últimamente mencionada. Así se decidirá.
DECISIÓN
En mérito de lo expuesto, la Corte Constitucional, en nombre del pueblo y por mandato de la
Constitución,
R E S U E L V E:
Primero.- En cuanto a los cargos examinados, DECLÁRANSE EXEQUIBLES los artículos 10,
11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44 y 45 de la Ley
527 de 1999.
Segundo.- Declarar EXEQUIBLE el artículo 4º. del Decreto 266 del 2000 dictado en ejercicio de
las facultades extraordinarias establecidas en la Ley 573 del 2000, conforme a la parte motiva de
esta providencia.
Cópiese, notifíquese, comuníquese a quien corresponda, publíquese, insértese en la Gaceta de
la Corte Constitucional, archívese el expediente y cúmplase.”
Chile:102 El 10 de junio de 1999 el presidente Eduardo Frei presentó el decreto 81 que
regula el uso de la firma digital y los documentos electrónicos en la Administración del
Estado (ha sido aprobado por la Cámara de Diputados del Congreso chileno, y debe ser
102
Renato Jijena Leiva. Universidad de Chile; Federación Iberoamericana de Asociaciones de Informática
y Derecho (FIADI) Firma Digital y Entidades Certificadoras. Regulación Legal en la Administración
Pública Chilena.
201
enviado para su segundo trámite constitucional al Senado de la República) que nada
tiene que ver con el comercio electrónico sino que se relaciona sólo con el uso de
firmas y documentos digitales o electrónicos al interior de la Administración del Estado,
obedece a uno de los compromisos adoptados por una Comisión Presidencial de
Nuevas Tecnologías que sesionó durante 1998, en orden a dotar a los órganos
estatales del marco legal que permita el uso de la informática y de las
telecomunicaciones en reemplazo de sus procedimientos manuales, específicamente
en lo relacionado con el uso de firmas y de documentos digitales al interior de la
Administración del Estado y no en las eventuales relaciones con los administrados.
El 9 de agosto del 2000 inició, como complemento, un proyecto de ley que regula la
firma electrónica, la prestación de servicios de certificación de estas firmas y el
procedimiento voluntario de acreditación de prestadores de servicio de certificación,
para su uso en actos o contratos celebrados por medio de documentos electrónicos a
través de medios electrónicos de comunicación (retomando algunos conceptos del
decreto anotado anteriormente)
En el cual se define:
a) Certificado de firma electrónica: certificación electrónica que da fe sobre los datos
referidos a una firma electrónica simple o avanzada;
b) Certificador: entidad prestadora de servicios de certificación de firmas electrónicas;
c) Documento electrónico: toda representación electrónica que dé testimonio de un
hecho, una imagen o una idea;
d) Entidad Acreditadora: la Subsecretaría de Economía, Fomento y Reconstrucción.
e) Firma electrónica avanzada: es aquélla creada usando medios que el titular
mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo
202
y a los datos a los que se refiere, y permita que sea detectable cualquier modificación
ulterior de éstos, garantizando así la identidad del titular y que éste no pueda
desconocer la autoría del documento y la integridad del mismo;
f) Firma electrónica simple: es aquélla que no reúne alguno de los elementos que
definen a la firma electrónica avanzada;
g) Firma electrónica: cualquier sonido, símbolo o proceso electrónico, que permite al
receptor de un documento electrónico identificar solo formalmente a su autor;
h) Usuario o titular: persona que utiliza bajo su exclusivo control un certificado de firma
electrónica.
Ecuador:103 2001. En marzo del 2001 se presentó un Proyecto de Ley de Comercio
Electrónico y firmas digitales, en términos muy similares a la Chilena, utilizando el
modelo mexicano.
Panamá:104 Ley número 43 del 31 de julio del 2001 se expidió la ley que define y regula
los documentos y firmas electrónicas y las entidades de certificación en el comercio
electrónico y el intercambio de documentos electrónicos, definiendo:
Certificado. Manifestación que hace la entidad de certificación, como resultado de la
verificación que efectúa sobre la autenticidad, veracidad y legitimidad de las firmas
electrónicas o la integridad de un mensaje.
103
Dr. José Luis Barzallo. Quito – Ecuador. [email protected]
104
Publicada en la Gaceta Oficial No. 24.359 de 3 de agosto de 2001.
203
Destinatario. Persona designada por el iniciador para recibir el mensaje, pero que no
esté actuando a título de intermediario con respecto a ese mensaje.
Documento electrónico. Toda representación electrónica que da testimonio de un
hecho, una imagen o una idea.
Entidad de certificación. Persona que emite certificados electrónicos en relación con las
firmas electrónicas de las personas, ofrece o facilita los servicios de registro y
estampado cronológico de la transmisión y recepción de mensajes de datos y realiza
otras funciones relativas a las firmas electrónicas.
Firma electrónica. Todo sonido, símbolo o proceso electrónico vinculado a o
lógicamente asociado con un mensaje, y otorgado o adoptado por una persona con la
intención de firmar el mensaje que permite al receptor identificar a su autor.
Iniciador. Toda persona que, a tenor del mensaje, haya actuado por su cuenta o en
cuyo nombre se haya actuado, para enviar o generar ese
mensaje antes de ser
archivado, si éste es el caso, pero que no haya actuado a título de intermediario con
respecto a ese mensaje.
Intermediario. Toda persona que, actuando por cuenta de otra, envíe, reciba o archive
un mensaje o preste algún otro servicio con respecto a él.
Mensaje de datos. Información generada, enviada, recibida o archivada o comunicada
por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el
intercambio electrónico de datos (EDI), Internet, el correo electrónico, el telegrama, el
télex o el telefax.
Repositorio. Sistema de información utilizado para guardar y recuperar certificados u
otro tipo de información relevante para la expedición de éstos.
204
Revocar un certificado. Finalizar definitivamente el periodo de validez de un certificado,
desde una fecha específica en adelante.
Sistema de información. Todo sistema utilizado para generar, enviar, recibir, archivar o
procesar de alguna otra forma mensajes de datos.
Suscriptor. Persona que contrata con una entidad de certificación la expedición de un
certificado, para que sea nombrada o identificada en él. Esta persona mantiene bajo su
estricto y exclusivo control el procedimiento para generar su firma electrónica.
Suspender un certificado. Interrumpir temporalmente el periodo operacional de un
certificado, desde una fecha en adelante.
Perú105: El 9 de agosto de 1999 se presentó el proyecto de ley que regula la
contratación electrónica106, el cual fue dado a conocer en Washington DC
seminario
denominado
"RESPONDING
TO
THE
LEGAL
OBSTACLES
en el
TO
ELECTRONIC COMMERCE IN LATIN AMERICA, organizado por National Law Center
Ínter American Free Trade. The organization of American States Business Software
Alliance (Septiembre 29- Octubre 1 , 1999), tiene por objeto regular la utilización de la
firma electrónica, otorgándole plena validez y eficacia jurídica equiparada al uso de una
firma manuscrita u otra análoga que conlleve manifestación de voluntad. El cual se
fundamenta en la legislación colombiana, argentina, chilena y mexicana y fue aprobado
por unanimidad por la Comisión de Reforma de Códigos
105
Dictamen de la Comisión de Reforma de Códigos recaído sobre el proyecto de ley 5070-99 CR que
regula las firmas electrónicas, suscrito por el congresista Jorge Muñiz Ziches
106
proyecto de ley 5070-99 CR
205
Venezuela107: El 26 de abril del 2000 se presentó un proyecto de LEY ORGÁNICA DE
TECNOLOGIAS DE INFORMACIÓN, tiene por objeto promover y desarrollar el uso
intensivo de las tecnologías de información en la sociedad, y regular el régimen jurídico
de la función y el servicio público del sector
de tecnologías de información
estableciendo los principios orientadores y regulando los procesos de formación de
políticas, normas, estrategias, planes y acciones tecnológicas del Estado a objeto de
establecer la Infraestructura Nacional de Tecnologías de Información, entendiendo por
ésta el conjunto de servicios y productos del sector de tecnologías de información,
incluyendo aquellos que soportan el intercambio y difusión de información en la Nación
a través de redes de transmisión de datos de carácter público o privado, pero de uso
público, que se encuentren conectadas entre si y a su vez puedan conectarse con
entidades similares en el exterior. No considera el Comercio Electrónico, pero como en
el caso de Chile establece lineamientos e instituciones para regular el uso de la firma
digital y los documentos electrónicos en la Administración del Estado.
En Europa
La Comisión Europea está abocada a armonizar los reglamentos sobre Criptografía de
todos sus estados miembros. Hasta el momento, sólo algunos países disponen de leyes
sobre firma digital y/o cifrado:
En España
La legislación actual y la jurisprudencia, son suficientemente amplias para acoger bajo
el concepto de firma y de escrito a la firma digital y a cualquier otro tipo de firma. Cierto
107
Sitio en internet del gobierno de Venezuela. Texto en discusión elaborado con la participación de los
sectores académico, gubernamental y economía privada
206
es que por razones de seguridad y para ofrecer mayor confianza en los usuarios y
jueces que a la postre deben juzgar sobre la firma digital, una reforma de ley cuyo
objetivo fuera equiparar la firma manuscrita a cualquier otro medio de firma que
cumpliera las mismas finalidades, sería una medida positiva
El artículo 3 del RD. 2402/1985, de 18 de diciembre, al regular los requisitos mínimos
de las facturas, no exige que se firmen. Bien es verdad que nuestro Código de
Comercio no exige, por regla general, para una eficacia del contrato o de la factura, la
firma ni ningún otro signo de validez, si bien muchos ordenamientos jurídicos requieren
que los documentos estén firmados en forma manuscrita -de puño y letra- en orden a
solemnizar la transacción o a efectos de su consideración como un documento privado.
Creemos no existe inconveniente alguno en admitir la posibilidad de una firma
electrónica.
La Circular del Banco de España 8/88 de 14 de Junio creando el reglamento del
Sistema Nacional de compensación electrónica, se convirtió en pionera y marcó un hito
para la protección y seguridad necesaria en la identificación para el acceso a la
información, al indicar que la información se cifrará, para que las entidades introduzcan
un dato de autentificación con la información de cada comunicación, a lo que se le
reconoce a este método el mismo valor que el que posee un escrito firmado por
personas con poder bastante.
207
El artículo 45 de la Ley 30/1992 de régimen jurídico de las Administraciones Públicas y
del Procedimiento Administrativo Común incorporó el empleo y aplicación de los medios
electrónicos en la actuación administrativa, de cara a los ciudadanos. Para su
regulación, el Real Decreto 263/1996 de 16 de febrero, indica que deberán adoptarse
las medidas técnicas que garanticen la identificación y la autenticidad de la voluntad
declarada, pero no hace ninguna regulación legal de la "firma electrónica".
Es de hacer notar que la circular 3/2001 del Banco de España que modifica a la circular
8/90 regula, por primera vez, algunos aspectos jurídico contractuales de contratos
bancarios realizados por Internet (incluyendo el concepto soporte electrónico duradero
e informaciones electrónicas)
Tras un Real Decreto del 17 de septiembre de 1998, en el que se reconoció el uso de la
firma electrónica, su eficacia jurídica y la prestación al público de servicios de
certificación. El 21 de octubre se convalidó La Ley sobre Firma Digital con los votos a
favor de PP (impulsor del proyecto) CIU, PNV y Coalición Canaria, y la oposición de
PSOE y Grupo Mixto que no veían la urgencia de esta norma ni la necesidad de
aprobarla como Real Decreto Ley. El 17 de noviembre, durante las jornadas de
Comercio electrónico de FECEMD Federación de Comercio electrónico y Marketing
Directo), el Secretario General de Comunicaciones anunció que casi toda la Ley sobre
Firma Electrónica es aplicable directamente, pero que aún resta un pequeño porcentaje
(en el que se incluye la acreditación de las entidades certificadoras) que exige un breve
reglamento que se está ultimando.
208
Aquellos que se oponen a la regulación de la firma electrónica alegan que es
precipitado e imprudente tomar medidas tan pronto, porque si la iniciativa comunitaria
va por otro camino puede quedar desfasada. Y realmente sería muy peligroso crear
barreras internas para el comercio electrónico (deberíamos haber aprendido de la
experiencia con los ferrocarriles de vía ancha y vía estrecha).
No parece que vayan a producirse demasiados conflictos. El 26 de octubre, tras una
serie de difíciles negociaciones sobre los niveles de seguridad, el Parlamento Europeo
aprobó una ley comunitaria que establece un marco común para la firma electrónica, y
los ministros de la CMT108 (Comisión del Mercado de las Telecomunicaciones) son los
encargados de velar por ello.
Actualmente en España se está trabajando en el ANTEPROYECTO DE LEY DE
SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO
ELECTRÓNICO (18 de enero del 2002) que regula ciertos aspectos jurídicos de los
servicios de la sociedad de la información y de la contratación por vía electrónica, como
las obligaciones de los prestadores de servicios que actúan como intermediarios en la
transmisión de contenidos por la Red, las comunicaciones comerciales, la información
previa y posterior a la celebración de contratos electrónicos, las condiciones relativas a
su validez y eficacia y el régimen sancionador aplicable a los prestadores de servicios
de la sociedad de la información. Incorporando novedades importantes como la
necesidad de constancia registral del Nombre de Dominio, ciertas obligaciones en
relación con los contenidos en Internet, régimen de responsabilidad de los prestadores
108
http://www.cmt.es
209
de servicios de información y certificación, impulso a la elaboración y aplicación de
Códigos de Conducta, regulación de comunicaciones comerciales y contratación por vía
electrónica, solución judicial y extrajudicial de conflictos (procurando fomentar la
solución extrajudicial de litigios vía arbitraje), supervisión y control, infracciones y
sanciones, así como reformas que pemitan la informatización de los Registros Públicos
Parece garantizado que dentro de la UE la firma será compatible, pero es deseable que
también lo sea con otros países con los que también se llevan a cabo transacciones
comerciales EEUU, Latinoamérica... y eso todavía no está tan claro. Queda mucho
camino
por
andar,
la
firma
electrónica,
tras
su
implantación,
evolucionará
constantemente, es de desear que no sólo lo haga buscando mayor seguridad, sino
también cierta convergencia.
En Alemania
La ley de firma digital regula los certificados de las claves y la autoridad certificadora.
Permite el seudónimo, pero prevé su identificación real por orden judicial. A la firma
electrónica se la define como sello digital, con una clave privada asociada a la clave
pública certificada por un certificador.
La Ley de 19 de septiembre de 1.996 es el primer proyecto de ley de firma digital en
Europa. (Entra en vigor el 1 de noviembre de 1997).
210
En Francia
La nueva Ley de Telecomunicaciones y disposiciones sobre uso interior de cifrado
En Italia
La Ley de 15 de marzo de 1997 número 59, es la primera norma del ordenamiento
jurídico italiano que recoge el principio de la plena validez de los documentos
informáticos.
El reglamento aprobado por el Consejo de Ministros el 31 de octubre de 1997, si bien
para el efectivo reconocimiento del valor jurídico de la documentación informática y de
las firmas digitales será necesario esperar a que sea operativo en virtud de la
emanación de los posteriores e indispensables reglamentos técnicos de actuación.
Se define la firma digital como el resultado del proceso informático (validación) basado
en un sistema de claves asimétricas o dobles, una pública y una privada, que permite al
suscriptor transmitir la clave privada y al destinatario transmitir la clave pública,
respectivamente, para verificar la procedencia y la integridad de un documento
informático o de un conjunto de documentos informáticos (artículo 1º apartado b). En el
reglamento la firma digital está basada exclusivamente en el empleo de sistemas de
cifrado llamados asimétricos.
El art. 2 del Reglamento italiano establece que los documentos informáticos serán
válidos y eficaces a todos los efectos legales si son acordes a las exigencias del
211
Reglamento; en concreto, el art. 10.2 equipara la firma digital sobre un documento
informático a la firma escrita en soporte papel; y el art. 11.1 establece que los contratos
realizados por medios telemáticos o informáticos mediante el uso de la firma digital
según las disposiciones del reglamento serán válidos y eficaces a todos los efectos
legales; pero téngase en cuenta que el art. 8 establece que cualquiera que pretenda
utilizar la criptografía asimétrica con los efectos del art. 2 debe conseguir un par de
claves adecuado y hacer pública una de ellas a través del procedimiento de certificación
efectuada por un certificador.
Regulan la Ley y el Reglamento entre otras cosas: La validez del documento
informático; el documento informático sin firma digital; el documento informático con
firma digital; los certificadores; los certificados; autentificación de la firma digital; el
"cybernotary"; los actos públicos notariales; la validación temporal; la caducidad,
revocación y suspensión de las claves; la firma digital falsa; la duplicidad, copia y
extractos del documento; y la transmisión del documento.
Esta basada esta normativa en soluciones extranjeras y supranacionales.
En Reino Unido
Hay un vivo debate sobre la posible reglamentación de los Terceros de Confianza -TC .
Existe un proyecto de ley sobre firma digital y Terceros de Confianza
212
En los Países Bajos
Se ha creado un organismo interministerial encargado del estudio de la firma digital.
En Dinamarca , Suiza y Bélgica
Preparan proyectos de ley sobre firma digital.
En Suecia
Organizó una audiencia pública sobre la firma digital en 1997.
En la Comunidad Europea
El artículo 6 del Acuerdo EDI de la Comisión de la Comunidades Europeas, que
determina la necesidad de garantía de origen del documento electrónico, no regula la
firma electrónica.
No obstante Perales Viscasillas cree que no existe inconveniente alguno en admitir la
posibilidad de una firma electrónica apoyada en las siguientes circunstancias:
La fiabilidad de la firma electrónica es superior a la de la firma manuscrita.
La equiparación en el ámbito comercial internacional de la firma electrónica y la firma
manuscrita
En el contexto de las transacciones EDI es habitual la utilización de la conocida como
"firma digital" que se basa en "algoritmos simétricos" en los que ambas partes conocen
la misma clave o en "algoritmos asimétricos" en los que, por el contrario, cada
contratante tiene una clave diferente.
213
En el mismo sentido Isabel Hernando refiriéndose a los contratos-tipo en EDI indica que
si los mensajes EDI se transmiten mediante procedimientos de autentificación como
una firma digital, estos mensajes tendrán entre las partes contratantes el mismo valor
probatorio que el acordado a un documento escrito firmado.
La Comisión Europea ha financiado numerosos proyectos (INFOSEC, SPRI, etc.) cuyo
objetivo es la investigación de los aspectos técnicos, legales y económicos de la firma
digital.
La Comisión Europea hizo pública en octubre de 1997 una Comunicación al Consejo, al
Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones
titulada "Iniciativa Europea de Comercio Electrónico", con un subtítulo de "Hacia un
Marco Europeo para la Firma Digital y el Cifrado".
En el segundo trimestre del 1998 empezaron a encauzar las propuestas para nuevas
medidas, una de las cuales podría ser la elaboración de una Directiva de firma digital.
Lo que pretende la Comisión Europea es encontrar un reconocimiento legal común en
Europa de la firma digital, con el objeto de armonizar las diferentes legislaciones, para
que ésta tenga carta de naturaleza legal ante tribunales en materia penal, civil y
mercantil, a efectos de prueba, apercibimiento y autenticidad. A efectos de dar
cumplimiento a esta previsión, se expidió a finales de 1998 un borrador de propuesta de
214
directiva sobre firma electrónica y servicios relacionados. Pese a la seguridad ofrecida
por la firma digital, el borrador de propuesta de directiva regula la firma electrónica en
general, y no sólo la firma digital en particular, en un intento de abarcar otras firmas
electrónicas, basadas en técnicas distintas de la criptografía asimétrica. Esta tendencia
a la neutralidad tecnológica se ha acentuado a medida que se han ido sucediendo las
distintas versiones del borrador de directiva, como pone de manifiesto el hecho de que
la versión actual defina única y exclusivamente la firma electrónica (art. 2.1), mientras
que en el primer borrador existía también una definición de firma digital, en el art. 2.2.; y
del par de claves, pública y privada, en los art. 2.4 y 2.5. únicamente al establecer el
concepto de elemento de creación de firma (definido, en el art. 2.3, como aquel dato
único, como códigos o claves critpográficas privadas, o un elemento físico configurado
de forma única, el cual es usado por el firmante para crear una firma electrónica) y
elemento de verificación de firma (definido, en el art. 2.4, como aquel dato único, como
códigos o claves criptográficas públicas, o un elemento físico configurado de forma
única, el cual es usado para verificar una firma electrónica) existe una referencia a la
criptografía asimétrica. Esta neutralidad es seguramente conveniente, para dejar
abiertas las puertas a desarrollos tecnológicos futuros. Pero, por otra parte, llevada a
ese extremo, deja sin resolver, porque no son siquiera abordados, muchos de los
problemas planteados actualmente por las firmas digitales, únicas firmas electrónicas
seguras hoy día.
215
Para conseguir una coherencia europea se deberá, sin duda, pasar por el
establecimiento de una política europea de control armónica con otras potencias
económicas como EE.UU., Canadá y Japón.
A nivel internacional.
En Naciones Unidas
La Comisión de las Naciones Unidas para el Derecho Mercantil Internacional
(CNUDMI-UNCITRAL) en su 24º periodo de sesiones celebrado en el año 1991 encargó
al Grupo de Trabajo denominado sobre Pagos internacionales el estudio de los
problemas jurídicos del intercambio electrónico de datos (EDI: Electronic Data
Interchange).
El Grupo de Trabajo dedicó su 24º periodo de sesiones, celebrado en Viena del 27 de
enero al 7 de febrero de 1992, a éste tema y elaboró un informe que fue elevado a la
Comisión.
Se examinó la definición de "firma" y otros medios de autenticación que se han dado en
algunos convenios internacionales. Se tuvo presente la definición amplia de "firma" que
se contiene en la Convención de las Naciones Unidas sobre Letra de Cambio
Internacionales y Pagarés Internacionales, que dice: "El término firma designa la firma
manuscrita, su facsímil o una autenticación equivalente efectuada por otros medios".
Por el contrario, la Ley Modelo sobre Transferencias Internacionales de Crédito utiliza el
concepto
de
"autenticación"
o
de
"autenticación
comercialmente
razonable",
216
prescindiendo de la noción de "firma", a fin de evitar las dificultades que ésta pueda
ocasionar, tanto en la acepción tradicional de este término como en su acepción
ampliada.
En su 25º período de sesiones celebrado en 1992, la Comisión examinó el informe del
Grupo de Trabajo y encomendó la preparación de la reglamentación jurídica del EDI al
Grupo de Trabajo, ahora denominado sobre Intercambio Electrónico de Datos.
El Grupo de Trabajo sobre Intercambio Electrónico de Datos , celebró su 25º periodo de
sesiones en Nueva York del 4 al 15 de enero de 1993 en el que se trató de la
autenticación de los mensajes EDI, con miras a establecer un equivalente funcional con
la "firma".
El Plenario de la Comisión de las Naciones Unidas para el Derecho Mercantil
Internacional (CNUDMI-UNCITRAL), el 14 de Junio de 1996 en su 29º periodo de
sesiones celebrado en Nueva York, examinó y aprobó el proyecto de Ley Modelo sobre
aspectos jurídicos de EDI bajo la denominación de Ley Modelo sobre el comercio
electrónico. (Resolución General de la Asamblea 51/162 de 16 de diciembre de 1996).
El artículo 7 de la Ley Modelo recoge el concepto de firma.
La Comisión encomendó al Grupo de Trabajo, ahora denominado "sobre Comercio
Electrónico" que se ocupara de examinar las cuestiones jurídicas relativas a las firmas
digitales y a las autoridades de certificación.
217
La Comisión pidió a la Secretaría que preparara un estudio de antecedentes sobre
cuestiones relativas a las firmas digitales. El estudio de la Secretaría quedó recogido en
el documento A/CN.9/WG.IV/WP.71 de 31 de diciembre de 1996.
El Grupo de Trabajo sobre Comercio Electrónico celebró su 31º periodo de sesiones en
Nueva York del 18 al 28 de febrero de 1997 que trató de fijar las directrices sobre firmas
digitales publicadas por la American Bar Association.
El Plenario de la Comisión de las Naciones Unidas para el Derecho Mercantil
Internacional , que celebró su 30º periodo de sesiones en Viena del 12 al 30 de mayo
de 1997, examinó el informe del Grupo de Trabajo, hizo suyas las conclusiones y le
encomendó la preparación de un régimen uniforme sobre las cuestiones jurídicas de la
firma numérica y de las entidades certificadoras.
El artículo 7 de la Ley Modelo sobre Comercio Electrónico (LMCE) regula el equivalente
funcional de firma, estableciendo los requisitos de admisibilidad de una firma producida
por medios electrónicos, que nos da un concepto amplio de firma electrónica, indicando
"cuando la ley requiera la firma de una persona, ese requisito quedará satisfecho en
relación con un mensaje de datos: a) si se utiliza un método para identificar a esa
persona y para indicar que esa persona aprueba la información que figura en el
mensaje de datos; y b) si ese método es tan fiable como sea apropiado para los fines
218
para los que se creó o comunicó el mensaje de datos, a la luz de todas las
circunstancias del caso, incluido cualquier acto pertinente".
La Ley Modelo de Uncitral sobre firma electrónica de 2001 define firma electrónica
como: “los datos en forma electrónica consignados en un mensaje de datos, o
adjuntados o lógicamente asociados al mismo que puedan ser utilizados para identificar
al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la
información contenida en el mensaje de datos”. Y distingue la firma electrónica “fiable”,
como aquella en la que:
a) los datos de creación de la firma, en el contexto en que son utilizados, corresponden
exclusivamente al firmante;
b) los datos de creación de la firma estaban, en el momento de la firma, bajo el control
exclusivo del firmante;
c) es posible detectar cualquier alteración de la firma electrónica hecha después del
momento de la firma; y
d) es posible detectar cualquier alteración de esa información hecha después del
momento de la firma.
El apartado 3 del proyecto de articulo A del WP.71 indica que "una firma digital adherida
a un mensaje de datos se considera autorizada si se puede verificar de conformidad
con los procedimientos establecidos por una autoridad certificadora".
En la O.C.D.E.
219
La Recomendación de la OCDE (Organización para la Cooperación y Desarrollo
Económico) sobre la utilización de criptografía (Guidelines for Cryptography Policy) fue
aprobada el 27 de marzo de 1997. Esta recomendación no tiene fuerza vinculante y
señala una serie de reglas que los gobiernos debieran tener en cuenta al adoptar
legislación sobre firma digital y terceros de confianza, con el fin de impedir la adopción
de diferentes reglas nacionales que podrían dificultar el comercio electrónico y la
sociedad de la información en general.
En la Organización Internacional de Normas ISO
La norma ISO/IEC 7498-2 (Arquitectura de Seguridad de OSI) sobre la que descansan
todos los desarrollos normativos posteriores, regula los servicios de seguridad sobre
confidencialidad, integridad, autenticidad, control de accesos y no repudio.
A través de su subcomité 27, SC 27, trabaja en una norma de firma digital.
En México
Respecto de México los principales antecedentes legislativos se dan en el Código de
Comercio de 1884 en el que existen disposiciones relativas al telégrafo como medio de
comunicación; en el Código Civil de 1928 hace referencia en diversa disposiciones al
teléfono; en las Leyes Bancarias de 1990 incorpora los medios telemáticos; la Ley de
Protección Federal al Consumidor de 1992 protege a los consumidores de las ventas a
distancia y telemarketing, es decir ventas por medio de medios de comunicación masiva
como son el radio
y televisión; dentro de las diversas Leyes Fiscales de 1998
220
igualmente se prevén las declaraciones y pagos en formato electrónico, además de
diversos esfuerzos gubernamentales.
La legislación existente hasta el año de 1999 requería para la validez del acto o
contrato del soporte de la forma escrita y la firma autógrafa para vincular a la partes en
forma obligatoria y la necesidad de modernizar la legislación mexicana para el
reconocimiento jurídico de transacciones por Internet. En abril de 1999 el Partido Acción
Nacional presentó la iniciativa del texto de la Ley Modelo de UNCITRAL y en marzo de
2000 el Partido Revolucionario Institucional presenta la iniciativa de texto simplificado y
aumentado con Protección al Consumidor.
Después de varios meses de análisis de proyectos y ante la consideración
generalizada sobre la conveniencia de adecuar la legislación mexicana para dar
seguridad jurídica en el uso de medios electrónicos se aprobó en México el Decreto de
fecha 29 de abril de 2000 mediante el cual se reformó y se adicionaron disposiciones al
Código Civil Federal, Código Federal de Procedimientos Civiles, Código de Comercio y
a la Ley Federal de Protección al Consumidor para establecer el esquema jurídico para
brindar mayor certeza a las operaciones vía electrónica o digital.
Ante estos antecedentes la doctrina ha definido a la firma como el signo personal
distintivo que, permite informar acerca de la identidad del autor de un documento, y
manifestar su acuerdo sobre el contenido del acto. También la podemos definir como el
conjunto de letras y signos entrelazados, que identifican a la persona que la estampa
221
con un documento o texto. Respecto de la firma electrónica no existe todavía un
acuerdo al respecto, algunos la consideran un sello y otros hacemos un distingo entre
firma electrónica y firma electrónica avanzada, partiendo de la base de la garantía de
integridad, atribución y accesibilidad que pudiere darse:
a) FIRMA ELECTRÓNICA
A los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o
lógicamente asociados al mismo, que puedan ser utilizados para identificar y/o vincular
al firmante en relación con el mensaje de datos, en forma equivalente a la firma
manuscrita.
b) FIRMA ELECTRONICA AVANZADA
A la firma electrónica que permite la identificación del firmante y ha sido generada bajo
su exclusivo control, conocida también como firma digital, que vincula exclusivamente al
mismo con el mensaje de datos al que se adjunta o se asocia, lo que permite que sea
detectable cualquier modificación ulterior de éste.
222
CONCEPTOS RELACIONADOS CON LA FIRMA ELECTRÓNICA
MENSAJE DE DATOS
Debemos entender primeramente el concepto de mensaje de datos que es la
información generada, enviada, recibida o archivada o comunicada por medios
electrónicos, ópticos o similares como son el intercambio electrónico de datos, el correo
electrónico, telegrama, telex o telefax. El mensaje de datos no se limita a sólo
comunicación sino que pretende abarcar cualquier tipo de información respaldada en un
soporte de tipo informático que no necesariamente este destinada a ser comunicada,
así el concepto de mensaje incluye el de información meramente consignada.
INTERCAMBIO ELECTRÓNICO DE DATOS (EDI)
Es la transmisión electrónica de información de una computadora a otra, estando
estructurada la información conforme a alguna norma técnica convenida al efecto.
INICIADOR DE UN MENSAJE DATOS
Aquella persona que, al tenor del mensaje, haya actuado por su cuenta o en cuyo
nombre se haya actuado para enviar o generar ese mensaje antes de ser archivado, si
éste es el caso, pero que no haya actuado a título de intermediario con respecto a él
DESTINATARIO DE UN MENSAJE DE DATOS
Aquella persona designada por el iniciador para recibir el mensaje, pero que no esté
actuando a título de intermediario con respecto a él.
223
INTERMEDIARIO DE UN MENSAJE DE DATOS
La persona que, actuando por cuenta de otra, envíe, reciba o archive dicho mensaje o
preste algún otro servicio con respecto a él.
EQUIVALENCIA FUNCIONAL
La Ley Modelo de las Naciones Unidas se basa en el reconocimiento de que los
requisitos legales que prescriben el empleo de la documentación tradicional con soporte
de papel constituyen el principal obstáculo para el desarrollo de los medios modernos
de comunicación. De modo que la Ley Modelo sigue el principio conocido como “criterio
de equivalente funcional”, basado en un análisis de los objetivos y funciones del
requisito tradicional de la presentación de un escrito tradicional de la presentación de un
escrito consignado sobre papel con miras a determinar la manera de satisfacer sus
objetivos y funciones a través de medios electrónicos.
Es decir, ese documento de papel cumple funciones como las siguientes:
Proporcionar un texto legible para todos,
Asegurar la inalterabilidad de un mensaje a lo largo del tiempo,
Permitir su reproducción a fin de que cada una de las partes disponga
de un ejemplar del mismo,
Permitir la autenticación de los datos consignados suscribiéndolos con
una firma y
Proporcionar una forma aceptable para la presentación de un escrito
ante las autoridades públicas y los tribunales
224
Cabe señalar que respecto de todas esas funciones, la documentación consignada por
medios electrónicos puede ofrecer un grado de seguridad equivalente al del papel y, en
la mayoría de los casos, mucha mayor confiabilidad y rapidez, especialmente respecto
de la determinación del origen y del contenido de los datos, siempre y cuando se
observen ciertos requisitos técnicos y jurídicos.
Las razones por las cuales se requiere en el tráfico convencional la presentación de un
escrito: dejar una prueba tangible de la existencia y la naturaleza de la intención de las
partes de comprometerse; alertar a las partes ante la gravedad de las consecuencias
de concluir un contrato; proporcionar un documento que sea legible para todos;
proporcionar un documento inalterable que permita dejar constancia permanente de la
operación; facilitar la reproducción de un documento de manera que cada una de las
partes pueda disponer de un ejemplar de un mismo texto; permitir la autenticación
mediante la firma del documento de los datos en él consignados; proporcionar un
documento presentable ante las autoridades públicas y los tribunales; dar expresión
definitiva a la intención del autor del "escrito" y dejar constancia de dicha intención;
proporcionar un soporte material que facilite la conservación de los datos en forma
visible; facilitar las tareas de control o de verificación ulterior para fines contables,
fiscales o reglamentarios; y determinar el nacimiento de todo derecho o de toda
obligación jurídica cuya validez dependa de un escrito.
225
En los requisitos actuales por los que se requiere la presentación de ciertos datos por
escrito, se combina a menudo esa noción de escrito con las nociones complementarias,
pero distintas, de firma y original. Por ello, al adoptar un criterio funcional, debe
prestarse atención al hecho de que el requisito de un escrito ha de ser considerado
como el nivel inferior en la jerarquía de los requisitos de forma, que proporcionan a los
documentos de papel diversos grados de fiabilidad, rastreabilidad e inalterabilidad. El
requisito de que los datos se presenten por escrito (lo que constituye un "requisito de
forma mínimo") no debe confundirse con requisitos más estrictos como el de "escrito
firmado", "original firmado" o "acto jurídico autenticado". Por ejemplo, en algunos
ordenamientos jurídicos un documento escrito que no lleve ni fecha ni firma y cuyo
autor no se identifique en el escrito o se identifique mediante un simple membrete, sería
considerado como escrito pese a su escaso valor probatorio, en ausencia de otra
prueba en lo tocante a la autoría del documento. Además, no debe considerarse que la
noción de inalterabilidad sea un requisito absoluto inherente a la noción de escrito, ya
que un documento escrito a lápiz podría ser considerado un escrito a tenor de algunas
definiciones legales. Habida cuenta de cómo se resuelven las cuestiones relativas a la
integridad de los datos y a la protección contra el fraude en la documentación
consignada sobre un soporte de papel, cabe decir que un documento fraudulento sería
no obstante considerado como un escrito. En general, conviene que las nociones de
valor probatorio y de intención (de las partes) de obligarse sean tratadas en relación a
las cuestiones más generales de la fiabilidad y autenticación de los datos, por lo que no
deben incluirse en la definición de escrito.
226
NEUTRALIDAD DEL MEDIO
En forma consistente con la legislación mercantil internacional, se trata en general de
adoptar el principio de “neutralidad del medio”, es decir, no hace referencia ni se
compromete con ninguna tecnología en particular, esto se debe a la rapidez en el
avance del desarrollo de nuevas tecnologías, lo que siempre supera a la creación de
nuevas normas que la regulen de manera inmediata y eficazmente y seria imposible
legislar al ritmo de este avance. Se trata de dar igualdad de trato a los contratos que
tengan soporte informático con relación a aquellos que se consignen en papel, evitando
así la ausencia de un régimen general del comercio electrónico resulte en la
incertidumbre para el sano y seguro desarrollo del mismo.109
De esta manera conforme a las nuevas normas las operaciones comerciales efectuadas
por medios electrónicos resultan igualmente válidas que las contratadas por medio de
papel. Si analizamos la noción tradicional de documento referida al instrumento en el
que queda plasmado un hecho que se exterioriza mediante signos materiales y
permanentes del lenguaje, vemos como el documento electrónico cumple con los
requisitos del documento en soporte de papel en el sentido de que contiene un mensaje
(texto alfanumérico o diseño gráfico) en lenguaje convencional (el de los bits) sobre
soporte (cinta o disco), destinado a durar en el tiempo.
Debemos tomar en consideración las siguientes funciones de la firma: identificar a una
persona; dar certeza a la participación personal de esa persona en el acto de firmar; y
109
O.HANCE, “Leyes y Negocios en Internet” Editorial Comares, España, pp. 102-105.
227
asociar a esa persona con el contenido de un documento. Una firma puede
desempeñar además diversas otras funciones, según la naturaleza del documento
firmado. Por ejemplo, puede demostrar la intención de una parte contractual de
obligarse por el contenido del contrato firmado; la intención de una persona de
reivindicar la autoría de un texto; la intención de una persona de asociarse con el
contenido de un documento escrito por otra; y el hecho de que esa persona había
estado en un lugar determinado, en un momento dado.
En la firma manuscrita tradicional, existen varios tipos de procedimientos (por ejemplo,
estampillado, perforado), a veces denominados también firmas, que brindan distintos
grados de certeza. Por ejemplo, en algunos países existe el requisito general de que los
contratos de compraventa por encima de cierto monto estén firmados para ser
exigibles. Sin embargo, el concepto de la firma adoptado en ese contexto es tal que un
sello, un perforado o incluso una firma mecanografiada o un membrete puede
considerarse suficiente para satisfacer el requisito de la firma. En el otro extremo del
espectro, existen requisitos que combinan la firma manuscrita tradicional con
procedimientos de seguridad adicionales como la confirmación de la firma por testigos.
Es por esto recomendable desarrollar equivalentes funcionales para los distintos tipos y
niveles de firmas requeridas existentes. Ese enfoque aumentaría el nivel de certidumbre
en cuanto al grado de reconocimiento legal que podría esperarse del uso de los
distintos tipos de autenticación utilizados en la práctica del comercio electrónico como
sustitutos de la firma. Sin embargo, la noción de firma está íntimamente vinculada con
228
el empleo del papel. Asimismo, para evitar que se niegue validez jurídica a un mensaje
que deba autenticarse por el mero hecho de que no está autenticado en la forma
característica de los documentos consignados sobre papel, se deben definir las
condiciones generales que, de cumplirse, autenticarían un mensaje de datos con
suficiente credibilidad para satisfacer los requisitos de firma que actualmente
obstaculizan el comercio electrónico. Nos debemos enfocar en las dos funciones
básicas de la firma: la identificación del autor y la confirmación de que el autor aprueba
el contenido del documento. Esas dos funciones jurídicas básicas de la firma se
cumplen al utilizarse un método que identifique al iniciador de un mensaje de datos y
confirme que el iniciador aprueba la información en él consignada.
Para determinar si el método es apropiado, pueden tenerse en cuenta, entre otros, los
siguientes factores jurídicos, técnicos y comerciales: la perfección técnica del equipo
utilizado por cada una de las partes; la naturaleza de su actividad comercial; la
frecuencia de sus relaciones comerciales; el tipo y la magnitud de la operación; la
función de los requisitos de firma con arreglo a la norma legal o reglamentaria aplicable;
la capacidad de los sistemas de comunicación; la observancia de los procedimientos de
autenticación establecidos por intermediarios; la gama de procedimientos de
autenticación que ofrecen los intermediarios; la observancia de los usos y prácticas
comerciales; la existencia de mecanismos de aseguramiento contra el riesgo de
mensajes no autorizados; la importancia y el valor de la información contenida en el
mensaje de datos; la disponibilidad de otros métodos de identificación y el costo de su
aplicación; el grado de aceptación o no aceptación del método de identificación en la
229
industria o esfera pertinente, tanto en el momento cuando se acordó el método como
cuando se comunicó el mensaje de datos; y cualquier otro factor pertinente.
Los medios electrónicos deben sumarse al acervo jurídico procesal en tanto que son
una expresión de la realidad que el derecho no puede desconocer, agregando que
"dichos medios técnicos pueden subsumirse en el concepto, amplio desde luego, de
documento".110
SISTEMA DE INFORMACIÓN
Relacionado con los conceptos enunciados este término pretende abarcar toda la gama
de medios técnicos empleados para transmitir, recibir y archivar información.
AUTORIDAD O ENTIDAD DE CERTIFICACIÓN DE LAS CLAVES
La creciente interconexión de los sistemas de información, posibilitada por la general
aceptación de los sistemas abiertos, y las cada vez mayores prestaciones de las
actuales redes de telecomunicación, obtenidas principalmente de la digitalización, están
potenciando formas de intercambio de información impensables hace pocos años. A su
vez, ello está conduciendo a una avalancha de nuevos servicios y aplicaciones
telemáticas, con un enorme poder de penetración en las emergentes sociedades de la
información. Así, el teletrabajo, la teleadministración, el comercio electrónico, etc., están
modificando revolucionariamente las relaciones económicas, administrativas, laborales
de tal forma que en pocos años serán radicalmente distintas de como son ahora.
110
Idem
230
Todos estos nuevos servicios y aplicaciones no podrán desarrollarse en plenitud a no
ser que se les dote de unos servicios y mecanismos de seguridad fiables.
Dentro del sistema de seguridad que indicamos, para que cualquier usuario pueda
confiar en otro usuario se deben establecer ciertos protocolos. Los protocolos sólo
especifican las reglas de comportamiento a seguir.
Existen diferentes tipos de protocolos en los que intervienen terceras partes confiables
(Trusted Third Party, TTP, en la terminología inglesa):
1. Los protocolos arbitrados. En ellos una TPC o Autoridad de Certificación
participa en las transacción para asegurar que ambos lados actúan según las
pautas marcadas por el protocolo.
2. Los protocolos notariales. En este caso la TPC , además de garantizar la
correcta operación, también permite juzgar si ambas partes actuarán por derecho
según la evidencia presentada a través de los documentos aportados por los
participantes e incluidos dentro del protocolo notarial. En estos casos, se añade
la firma (digital) del notario a la transacción, pudiendo éste testificar,
posteriormente, en caso de disputa.
3. Los protocolos autoverificables. En estos protocolos cada una de las partes
puede darse cuenta si la otra actúa deshonestamente, durante el transcurso de
la operación. La firma digital en sí, es un elemento básico de los protocolos
231
autoverificables, ya que no precisa de la intervención de una Autoridad de
Certificación para determinar la validez de una firma.
La Autoridad o Entidad de Certificación debe reunir los requisitos que determine la ley,
conocimientos técnicos y experiencia necesaria, de forma que ofrezca confianza,
fiabilidad y seguridad. Se debería prever el caso de desaparición del organismo
certificador y crear algún registro general de certificación tanto nacional como
internacional, que a su vez auditase a las entidades encargadas, y fuese garante en su
funcionamiento. Pues aun se carece de normas que regulen la autoridad o entidad de
certificación. Para una certificación de naturaleza pública, el Notario o quien ejerza
funciones de fedatario, en el momento de suscribir los acuerdos de intercambio y de
validación de prueba, puede generar y entregar con absoluta confidencialidad la clave
privada.
El documento WP.71 de 31 de diciembre de 1996 de la Secretaría de las Naciones
Unidas indica en su párrafo 44 que las entidades certificadoras deben seguir unos
criterios :
Independencia
Recursos y capacidad financieros para asumir la responsabilidad por el riesgo de
pérdida
Experiencia en tecnologías de clave pública y familiaridad con procedimientos de
seguridad apropiados
Longevidad
232
Aprobación del equipo y los programas
Mantenimiento de un registro de auditoría y realización de auditorías por una
entidad independiente
Existencia de un plan para casos de emergencia (programas de recuperación en
casos de desastres o depósitos de claves).
Selección y administración del personal
Disposiciones para proteger su propia clave privada
Seguridad interna
Disposiciones para suspender las operaciones, incluida la notificación a los
usuarios
Garantías y representaciones (otorgadas o excluidas)
Limitación de la responsabilidad
Seguros
Capacidad para intercambiar datos con otras autoridades certificadoras
Procedimientos de revocación (en caso de que la clave criptográfica se haya
perdido o haya quedado expuesta).
El documento WP.71 establece también que las autoridades de Certificación pueden
emitir diferentes tipos de certificados:
Los certificados de Identidad, que son los más utilizados actualmente dentro de
los criptosistemas de clave pública y ligan una identidad personal (usuario) o
digital (equipo, software, etc.) a una clave pública.
233
Los certificados de Autorización o potestad que son aquellos que certifican otro
tipo de atributos del usuario distintos a la identidad.
Los Certificados Transaccionales son aquellos que atestiguan que algún hecho
o formalidad acaeció o fue presenciada por un tercero.
Los Certificados de Tiempo o estampillado digital de tiempo permiten dar fe de
que un documento existía en un instante determinado de tiempo.
El Sector de autoridades de certificación, hasta la fecha, está dominado por entidades
privadas americanas, aunque ya existen iniciativas propias de la Unión Europea que se
circunscriben a las fronteras de sus países de origen, es decir, sin salir a otros Estados
miembros.
El término TTP (Tercera Parte Confiable) al que antes se refería el documento WP.71 ,
nos indican aquellas asociaciones que suministran un amplio margen de servicios,
frecuentemente asociados con el acceso legal a claves criptográficas. Aunque no se
descarta que las TTP actúen como Autoridades de Certificación (AC), las funciones de
ambas se van considerando progresivamente diferentes; decantándose la expresión AC
para las organizaciones que garantizan la asociación de una clave pública a una cierta
entidad, lo que por motivos obvios debería excluir el conocimiento por parte de dicha
Autoridad de la clave privada; que es justamente el ámbito de acción de una TTP
(asociar una clave pública y una privada a un ente particular y validar lo anterior)
La Comisión Europea distingue entre:
Autoridades de certificación (AC)
234
El cometido esencial es "autenticar la propiedad y las características de una clave
pública, de manera que resulte digna de confianza, y expedir certificados".
Terceros de confianza (TC)
Ofrecen diversos servicios, pudiendo gozar de acceso legitimo a claves de cifrado,
siempre que así lo autorice el usuario. Una TC podría actuar como una AC. En la
actualidad y debido al riesgo que implica, se da ésta denominación a los agentes
certificadores
Lo que la Comisión pretende es que las legislaciones sobre firma digital y AC/TC de los
distintos países miembros:
se basen en criterios comunitarios
delimiten las tareas -certificación o administración de claves- y servicios
puedan establecerse prescripciones técnicas comunes para los productos de
firma digital, en caso de que las disposiciones nacionales no se reconozcan
mutuamente y ello merme el buen funcionamiento del Mercado Interior
normas claras en materia de responsabilidades (usuarios frente a AC) y errores,
etc.
FUNCIONES DE LAS AUTORIDADES DE CERTIFICACIÓN
Las funciones de una Autoridad de Certificación deben ser, entre otras, las siguientes :
Generación y Registro de claves.
Identificación de Peticionarios de Certificados.
235
Emisión de certificado.
Almacenamiento en la AC de su clave privada (si así lo autoriza el usuario).
Mantenimiento de las claves vigentes y revocadas.
Servicios de directorio.
AUTORIDADES PÚBLICAS DE CERTIFICACIÓN
La estructura y el cuadro de funcionamiento de las autoridades de certificación “public
key infrastructure" prevén generalmente una estructura jerarquizada a dos niveles: El
nivel superior suele estar ocupado por la autoridades públicas , que es la que certifica a
la autoridad subordinada, normalmente privada.
En España
Está el Proyecto CERES, en el que participan el MAP, el Consejo Superior de
Informática, el Ministerio de Economía y Hacienda y Correos y Telégrafos y contempla
el papel de la Fábrica Nacional de Moneda y Timbre como entidad encargada de
prestar servicios que garanticen la seguridad y validez de la emisión y recepción de
comunicaciones y documentos por medios electrónicos, informáticos y telemáticos.
Se pretende garantizar la seguridad y la validez en la emisión y recepción de
comunicaciones y documentos por medios electrónicos, informáticos y telemáticos en
las relaciones entre órganos de la Administración General del Estado y otras
Administraciones, y entre éstos y los ciudadanos, siguiendo directrices de legislación
236
previa (Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo común, de 1.992, y Real Decreto 263/1996.
El objetivo de esta autoridad de certificación, con la que otras entidades comerciales de
certificación deberán interoperar, requiere el reconocimiento a todos los efectos legales
del certificado digital, algo que aún no se contempla en nuestra legislación.
Los servicios que está previsto ofrecer son:
Primarios.- Emisión de certificados, archivo de certificados, generación de
claves, archivo de claves, registro de hechos auditables.
Interactivos.- Registro de usuarios y entidades, revocación de certificados,
publicación de políticas y estándares, publicación de certificados, publicación de
listas de revocación y directorio seguro de certificados.
De certificación de mensajes y transacciones.- Certificación temporal,
certificación de contenido, mecanismos de no-repudio: confirmación de envío y
confirmación de recepción).
De confidencialidad.- Soporte de mecanismos de confidencialidad, agente de
recuperación de claves y recuperación de datos protegidos.
Los Notarios y Corredores de comercio, a través de sus colegios respectivos, en un
intento de acomodar estatus a los nuevos tiempos virtuales han tomado parte activa en
lo relativo a su condición de fedatarios públicos.
237
Este proyecto no ha tenido el éxito que se esperaba, en el ámbito privado quien lleva la
delantera es la Agencia Certificadora ACE (de carácter privado, que agrupa a varias
empresas del sector)
En Italia
Parece ser que la autoridad nacional de certificación será la AIPA (Autorità per
l´Informatica nella Pubblica Amministrazione).
AUTORIDADES PRIVADAS DE CERTIFICACIÓN
En España
Existen focos privados de actividad, vinculados con la confiabilidad. El más significativo
es el denominado ACE (Agencia de Certificación Electrónica) que está formado por
CECA, SERMEPA, Sistemas 4B y Telefónica, y es una Autoridad de Certificación
corporativa del sistema financiero español.
También existe como Terceros de confianza el Banesto y recientemente BBVA.
En Bélgica
Existe el Tercero Certificador llamado Systèeme Isabel, que ofrece servicios
certificadores a socios financieros y comerciales.
La Cámara de Comercio unida a la empresa VERISIGN ha formado un Trusted Third
Party en el cual la Cámara de Comercio hace las funciones de Registro y VERISIGN
hace las funciones de emisión de certificados y técnicas.
238
En Estados Unidos
1. NETSCAPE: Los servicios de seguridad de redes (NSS) en alianza con la
empresa SUN, producto “I-planet” (PKI)
2. VERISIGN: Servicios de autenticación con tecnología PKI. Ofrece el servicio de
apoyo a empresas e instituciones que presten sevicios de certificación, bajo la
administración y software de Verisign. Asimismo ofrece la posibilidad de
autenticar en Internet un sitio web o una Intranet, bajo identificación de los
servidores SSL (estándar actual de credenciales).
3. RSA: Proveedor de tecnologías de seguridad en cuanto a Autentificación (Secur
ID); Autorización (Clear Trust) para la administración de privilegios de acceso;
Infraestructura de clave pública PKI (RSA Keon) para la administración de
certificados y Encriptamiento (B Safe) para la protección de la información.
4. BALTIMORE : Proveedor de tenología de seguridad con el producto UNICERT
formado por tres niveles de tecnología: Central (Autoridad Certificadora, Registro
de Usuarios, PKI, Emisión y Administración de Certificados); Avanzada (Dotar de
tecnología a autoridades certificadoras comerciales) y Extendida (Servicios de
valor agregado adicionales como sellos cronológicos (time stamping)
En Internet
Existen ciertos servidores en Internet conocidos como "servidores de claves" que
recopilan las claves de miles de usuarios. Todos los servidores de claves existentes en
el mundo comparten esta información, por lo que basta publicar la clave en uno de ellos
para que en pocas horas esté disponible en todos ellos.
239
En México
1. Seguridata y Acertia (entidades privadas)
2. Banxico (entidad pública)
En la Comunidad Europea
La directiva encomienda la función de tercera parte de confianza encargada de dar
seguridad a las firmas electrónicas, estableciendo un vínculo entre el elemento de
verificación y una persona determinada a unas entidades que denomina proveedores
de servicios de certificación (opción terminológica comunitaria, que pone de manifiesto
una voluntad de evitar siquiera la apariencia de atribución de naturaleza pública que sí
podrían sugerir otras denominaciones como, por ejemplo, autoridad de certificación). El
art. 2.6 define al proveedor de servicios de certificación como la persona o entidad que
emite certificados o proporciona al público otros servicios relativos a la firmas
electrónicas; tales servicios pueden ser inherentes al propio certificado y necesarios
(revocación y suspensión en caso de pérdida de la clave privada u otro elemento de
firma), otros más bien discutibles (generación de las claves, que el anexo II permite al
proveedor, el cual puede también almacenarlas, con la autorización del usuario), así
como otros complementarios pero igualmente necesarios para la seguridad del sistema
de certificados en particular o del comercio electrónico en general.
PELIGROS DE ESTA NUEVA ECONOMÍA
Falta de conocimiento y verificación fidedigna sobre la identidad de los clientes,
para lo cual habrá que someter a los prestadores de servicios de certificación a
auditoría periódica y el establecimiento en la legislación de responsabilidades.
240
Gran facilidad y capacidad de realizar transferencias internacionales, por lo que
abrá que incluir en el certificado la posibilidad del establecimiento de límites de
operación.
Sistemas deficientes de apertura de cuentas y altas de servicios de banca en
línea, en caso de que se pretenda utilizar las bases de datos bancarias para la
emisión masiva de certificados..
La velocidad, volumen y naturaleza anónima de las transacciones electrónicas
hace difícil rastrearlos, en éste sentido se certifica a la persona que realiza la
transacción, no a la transacción misma.
Falta de una capacidad de auditoria y registro de transacciones por parte de las
Instituciones Financieras, las cuales están trabajando y dedicando importantes
recursos, en particular en los programas de Conocimiento del Cliente ( KYC).
PUNTOS CRÍTICOS A RESOLVER:
Fraudes realizados por personal interno de las instituciones al realizar pagos con
cuentas de clientes.
Lavado de dinero.
Suplantación de la identidad
Ataques maliciosos externos como son los Hackers, Denial of Service, fraudes.
Acceso y venta de información confidencial.
Ante esta situación las personas que realizan operaciones de tipo electrónico
presentan inseguridad en la fiabilidad de las transacciones; esto es el garantizar que es
241
esa persona quien hace la transacción y viceversa; seguridad en las transacciones;
garantizar el envío de información segura e inalterada.
CARACTERÍSTICAS DE UN SISTEMA SEGURO
SERVICIOS DE
DEFINICIÓN
SEGURIDAD
Autenticación
Control de Acceso
MECANISMOS
DISPONIBLES
Prueba o garantía de la
User-Password
identidad de quien envía la
Tarjeta Inteligente
información
Huella Digital
Permisos diferenciados de
Perfiles de Usuario
acceso a Segmentos y
necesidades específicas por
cliente
Confidencialidad
Garantía de que el
Algoritmos de encripción
contenido de la información
con llaves públicas y
se mantiene oculta salvo
privadas
para el destinatario
Integridad
No repudiación
Garantía de que el
Algoritmos de encripción
contenido del mensaje no
con llaves públicas y
sufrió ninguna modificación
privadas
Inhabilidad de un individuo
Algoritmos de encripción
para desconocer una
con llaves públicas y
transacción una vez
privadas
realizada
242
AUTENTICACION
Prueba o garantía de la identidad de quien envía la información, es decir que es el
proceso en virtud del cual se constata que una entidad es la que dice ser y que tal
situación es demostrable ante terceros, lo cual desarrollo en párrafos subsecuentes.
Hace referencia a la utilización de la firma digital con el fin de verificar la identidad del
remitente del mensaje de datos. Aquí se puede plantear el supuesto de que un
determinado sujeto A publique una clave pública con un nombre falso; el destinatario de
un mensaje enviado por A, pensará que la identidad del emisor es A, sin embargo esto
no es cierto, puesto que su verdadera identidad es P : el emisor del mensaje de datos
no es quien dice ser, sino que se trata de otra persona. Ante la posibilidad de que se
den casos como el expuesto, es probable que el receptor de un mensaje desee una
información más fidedigna sobre la identidad del titular de la clave, del emisor del
mensaje; esta información la puede facilitar el emisor mediante cualquier tipo de prueba
que el receptor considere contundente, o se puede verificar la identidad del emisor
mediante la confirmación de la misma por una tercera persona (autoridades de
certificación, por lo general).
Un procedimiento algo más complejo para autenticar la identidad del emisor del
mensaje de datos es la llamada "función de hash" (resumen digital). El proceso de
autenticación se realiza de la siguiente manera: "el verificador realizará dos
operaciones: descifrará el hash firmado con la clave privada del emisor aplicando la
clave pública del mismo ; y aplicará la función de hash sobre el mensaje completo que
243
ha obtenido. Si el hash recibido y descifrado y el segundo hash obtenido coinciden, el
destinatario tiene la seguridad de que el mensaje recibido ha sido firmado por el emisor
con ese contenido. Por contra, si uno u otro de los dos elementos ha sido alterado en
algún momento, no habrá coincidencia de los dos" hash, lo que querrá decir que el
mensaje de datos recibido no se corresponde con el firmado por el emisor.
FIRMA ELECTRÓNICA
El documento electrónico o informático, se concibe como un medio de expresión de la
voluntad con efectos de creación, modificación o extinción de derechos y obligaciones
por medio de la electrónica. La seguridad en el comercio electrónico es fundamental
para su desarrollo. En un flujo de transacciones en donde las partes ya no tienen
contacto ‘físico’, ¿cómo pueden asegurarse de la identidad de aquel con quien están
realizando una operación? e, incluso, ¿cómo pueden tener la certeza de que la
información intercambiada no ha sido robada, alterada o conocida por personas
ajenas?
La firma electrónica, técnicamente, es un conjunto o bloque de caracteres que viaja
junto a un documento, fichero o mensaje y que puede acreditar cuál es el autor o
emisor del mismo (lo que se denomina autenticación) y que nadie ha manipulado o
modificado el mensaje en el transcurso de la comunicación (o integridad).
Es aquél conjunto de datos, como códigos o claves criptográficas privadas, en forma
electrónica, que se asocian inequívocamente a un documento electrónico (es decir,
244
contenido en un soporte magnético ya sea en un disquete, algún dispositivo externo o
disco duro de una computadora y no de papel), que permite identificar a su autor, es
decir que es el conjunto de datos, en forma electrónica, anexos a otros datos
electrónicos o asociados funcionalmente con ellos, utilizados como medio para
identificar formalmente al autor o a los autores del documento que la recoge.111
La Firma Electrónica permite identificar a la persona que realiza la transacción, es decir,
proporciona el servicio de autentificación (verificación de la autoridad del firmante para
estar seguro de que fue él y no otro el autor del documento) y no de repudio (seguridad
de que el autor del documento no puede retractarse en el futuro de las opiniones o
acciones asignadas en él).
Quizás la parte que más nos interesa a los usuarios es la garantía de detección de
cualquier modificación de los datos firmados, proporcionando una integridad total ante
alteraciones fortuitas o deliberadas durante la transmisión telemática del documento
firmado. El hecho de la firma sea creada por el usuario mediante medios que mantiene
bajo su propio control (clave privada protegida, contraseña, datos biométricos, tarjeta
chip, etc.) asegura la imposibilidad de efectuar de lo que se conoce como “suplantación
de personalidad”.
En otras palabras podríamos definir a la Firma electrónica como el conjunto de datos,
en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con
111
STROKE PAUL, “La Firma Electrónica” Editorial Cono Sur, España, pp. 17-18.
245
ellos, utilizados como medio para identificar formalmente al autor o a los autores del
documento que la recoge. La debilidad en cuanto al emisor y al receptor radica en la
posible suplantación de la identidad de alguno de ellos por parte de elementos ajenos al
sistema.
Para evitar estos problemas, existen dos tipos de soluciones tecnológicas: el cifrado de
los datos y la firma electrónica. Con el primero se puede transformar un texto claro en
otro completamente ininteligible, que aun capturado sea prácticamente imposible de
adivinar. Con la segunda, se consigue garantizar que quien envía los datos es
realmente quien dice ser y no otro, y que dichos datos no han sido manipulados por el
camino.
ENCRIPTACION O CIFRADO DE DATOS
En la Grecia antigua los militares utilizaban la criptografía, que aunque de manera
rudimentaria, sus efectos eran los mismos: esconder un mensaje importante. Ellos
utilizaron un sistema llamado SCYTALE, el cual se basaba en un báculo pequeño. En
este instrumento enredaban un listón delgado, de tal manera que quedara forrado.
Finalmente, sobre el báculo forrado por el listón, escribían el mensaje a ser enviado al
ejército aliado.112
Posteriormente, este listón era desenrollado y en él quedaba escrito un mensaje
indescifrable a simple vista. Ahora podía enviarse este mensaje de manera “segura”.
112
Ibid., 23-24
246
Cuando el listón era enrollado en un báculo con las mismas dimensiones, se podía
entender el mensaje. De esta forma sólo los ejércitos amigos tenían una réplica exacta
del instrumento para “encriptar” y “desencriptar” los mensajes importantes.
ETIMOLOGÍA
Criptografía
I. Del griego kryptos = oculto + graphe = escritura.
1. (sustantivo femenino). Escritura en clave.
Criptolalia
I. Del griego krypto = yo oculto + laleo = yo hablo.
1. (sustantivo femenino). Alteración de la lengua hablada con el fin de que no
pueda ser comprendida si no se conoce la clave.
Escritura utilizada para proteger los mensajes de alteraciones y modificaciones. Aunque
el término se ha utilizado desde el siglo XVII, el concepto se ha utilizado desde tiempos
inmemoriales. Los primeros intentos de criptografía fueron basados en el habla, mas
que en la escritura: criptolalia. Aquellos que hablaban más de una lengua aprovechaban
esto delante de gente que no los entendía para intercambiar información que buscaban
mantener en secreto.113
113
Idem
247
El primer uso que tuvo la criptografía fue militar, aunque la necesidad de proteger un
secreto se incrementó a medida que aumentaba el valor de cierta información. Durante
el último siglo, hubo desarrollos en técnicas criptográficas que evolucionaron de
manuales a electrónicas, pasando por las mecánicas.
Criptografía es la ciencia de mantener en secreto los mensajes. El texto original, o texto
puro es convertido en un equivalente en código, llamado criptotexto (ciphertext) via un
algoritmo de encripción. El criptotexto es decodificado (decriptado) al momento de su
recepción y vuelve a su forma de texto original.
La criptología se define como aquella ciencia que estudia la ocultación, disimulación o
cifrado de la información, así como el diseño de sistemas que realicen dichas funciones.
Abarca por tanto a la Criptografía (datos, texto, e imágenes), Criptofonía (voz) y al
Criptoanálisis (ciencia que estudia los pasos y operaciones orientados a transformar un
criptograma en el texto claro original pero sin conocer inicialmente el sistema de cifrado
utilizado y/o la clave).
Cifrar por tanto consiste en transformar una información (texto claro) en otra ininteligible
(texto cifrado o cripto) según un procedimiento y usando una clave determinada,
pretendiendo que sólo quién conozca dicho procedimiento y clave pueda acceder a la
información original. La operación inversa se llamara lógicamente descifrar. La
seguridad de un fuerte sistema criptográfico reside en el secreto de la llave más que en
el secreto del algoritmo. En teoría, cualquier método criptográfico puede “romperse”
248
(descifrarse) intentando todas las posibles llaves (claves o combinaciones) en
secuencia.
En algunos casos en los que la autenticación de la persona resulta crítica, como en el
pago con tarjeta de crédito, se puede exigir incluso que estampe una firma, que será
comparada con la que aparece en la tarjeta y sobre su documento de identificación. En
el mundo físico se produce la verificación de la identidad de la persona comparando la
fotografía del documento con su propia fisionomía y en casos especialmente delicados
incluso comparando su firma manuscrita con la estampada en el documento
acreditativo que porta. En otras situaciones, no se requiere la credencial de elector o
pasaporte, pero sí la firma, para que el documento goce de la validez legal (cheques,
cartas, etc.), ya que ésta vincula al signatario con el documento por él firmado.
El fundamento de las firmas electrónicas es la criptografía, disciplina matemática que no
sólo se encarga del cifrado de textos para lograr su confidencialidad, protegiéndolos de
ojos indiscretos, sino que también proporciona mecanismos para asegurar la integridad
de los datos y la identidad de los participantes en una transacción. El cifrado consiste
en transformar un texto en claro (inteligible por todos) mediante un algoritmo en un texto
cifrado, gracias a una información secreta o clave de cifrado, que resulta ininteligible
para todos excepto el legítimo destinatario del mismo. Se distinguen dos métodos
generales de cifrado:
249
Es así que el objetivo de la criptografía es el de proporcionar comunicaciones seguras
(y secretas) sobre canales inseguros. Ahora bien, la criptografía no es sinónimo de
seguridad. No es más que una herramienta que es utilizada de forma integrada por
mecanismos de complejidad variable para proporcionar no solamente servicios de
seguridad, sino también de confidencialidad.
CLASES DE CRIPTOGRAFÍA
TRADICIONAL O SIMÉTRICA
Aquella en la que la llave de encripción es la misma de desencripción. Por tanto
estamos ante un criptosistema Simétrico o de Clave Secreta cuando las claves para
cifrar y descifrar son idénticas, o fácilmente calculables una a partir de la otra. Por el
contrario si las claves para cifrar y descifrar son diferentes y una de ellas es imposible
de calcular por derivación de la otra entonces estamos ante un criptosistema Asimétrico
o de Clave Pública. Esto quiere decir que si utilizamos un criptosistema de clave
secreta o simétrico necesariamente las dos partes que se transmiten información tienen
que compartir el secreto de la clave, puesto que tanto para encriptar como para
desencriptar se necesita una misma clave u otra diferente pero deducible fácilmente de
la otra. Entre estos sistemas se encuentran: “DES, RC2, RC4, IDEA, SkipJack etc...”. La
peculiaridad de estos sistemas de encriptación es que son rápidos en aplicarse sobre la
información. 114
114
Ibid 46-49
250
Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice
que el criptosistema es simétrico o de clave secreta. Estos sistemas son mucho más
rápidos que los de clave pública, y resultan apropiados para el cifrado de grandes
volúmenes de datos.
Ésta es la opción utilizada para cifrar el cuerpo de los mensajes en el correo electrónico
o los datos intercambiados en las comunicaciones digitales. Es decir que se trata del
mecanismo clásico por el cual se utilizan técnicas que usan una clave K que es
conocida por el remitente de los mensajes y por el receptor, y con la que cifran y
descifran respectivamente el mensaje. Para mantener la seguridad del cifrado, deben
mantener esta clave en secreto. Las ventaja del uso de estas claves es la existencia
algoritmos muy rápidos y eficientes para su cálculo.
El principal inconveniente estriba en la necesidad de que todas las partes conozcan K,
lo que lleva a problemas en la distribución de las claves. Esta debilidad ha hecho que
sea poco utilizada en los mecanismos desarrollados hasta el momento para permitir el
pago, a no ser que vaya combinada con otro tipo de técnicas.
El sistema de cifrado más extendido es Data Encryption Standard (DES), desarrollado
por IBM y adoptado por las oficinas gubernamentales estadounidenses para protección
de datos desde 1977. Una mejora de este sistema de cifrado de clave simétrica es
IDEA.
251
CARACTERÍSTICAS PRINCIPALES DE LAS LLAVES PRIVADAS
•
Solo existe una llave privada por individuo
•
Para uso único del propietario
•
Es secreta
•
Se usa para desencriptar información y generar firmas digitales
DESVENTAJAS DE LA CIFRADO TRADICIONAL
Quien envía y quien recibe un mensaje necesitan compartir la misma llave, lo que
significa que cada uno debe confiar en el otro para que no comprometa la información
que exclusivamente la conocen ellos dos. Quien envía y quien recibe tienen un
problema de distribución. No es posible comunicar de manera segura la “llave secreta”
ambas partes que la necesitan, sin irse “fuera de línea” (usar un canal de comunicación
distinto, como el correo tradicional).
CIFRADO DE LLAVE PÚBLICA O ASIMÉTRICA:
Cada persona tiene un par de llaves, una pública que todos conocen, y la otra privada
que sólo su propietario conoce. En cambio, si A y B usan la criptografía asimétrica,
ambos tienen un juego de llaves, una pública que cualquier persona puede conocer, y
otra privada que sólo su dueño conoce. En este caso, A envía un mensaje a B. Llave
Pública de B y Llave Privada de B. A usa la llave pública de B para encriptar el mensaje
que le envía. B usa su llave privada para desencriptar el mensaje que le envió A, y
verifica la identidad de A con su llave publica.
252
La Firma Electrónica Avanzada, para cumplir con los requisitos de autenticación,
fiabilidad e inalterabilidad requiere de métodos de encriptación, como el
llamado
asimétrico o de clave pública. Éste método consiste en establecer un par de claves
asociadas a un sujeto, una pública, conocida por todos los sujetos intervinientes en el
sector, y otra privada, sólo conocida por el sujeto en cuestión, aunque la norma de
análisis no habla del sistema de encriptación, si menciona el uso de medios
electrónicos de identificación y contraseñas, en mensajes de datos, esto no es otra
cosa que una clave privada que nos va permitir la perfecta identificación de su emisor
objeto de la autenticidad de la Firma Electrónica a través de mensajes de datos. 115
De esta forma cuando quiera establecer una comunicación segura con otra parte basta
con encriptar el mensaje con la clave pública del sujeto para que a su recepción sólo el
sujeto que posee la clave privada pueda leerlo , en el precepto no era necesario
establecer la forma técnica de hacerlo, solo era necesario dar a conocer el hecho de un
sistema de identificación a través de claves o contraseñas para poder emplearla al
momento de la generación de la información.
Si A y B desean autenticar un documento, el proceso es al revés. A quiere enviar un
documento a B, para que éste lo autentifique, es decir, para que B pueda comprobar
que dicho documento sólo puede provenir de A. Este proceso se conoce como firma
digital. Cualquier persona que conozca la llave pública de A (todos la conocen), puede
desencriptar el documento con esa llave. Así es como existe una Llave Privada de A y
115
PEÑALOZA EMILIO “La protección de datos personales” Editorial Díaz de Santos, España, pp. 114.
253
una Llave Pública de A. Es así que A encripta el documento con su llave privada y lo
envía a B. Por lo que B desencripta el documento con la llave pública de A.
Es decir que estas claves públicas existen cuando se utiliza una pareja de claves para
separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico
o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda
clave, la pública, es conocida por todos. De forma general, las claves públicas se
utilizan para cifrar y las privadas, para descifrar. El sistema posee la propiedad de que a
partir del conocimiento de la clave pública no es posible determinar la clave privada ni
descifrar el texto con ella cifrado. Los criptosistemas de clave pública, aunque más
lentos que los simétricos, resultan adecuados para los servicios de autenticación,
distribución de claves de sesión y firmas digitales
En general, el cifrado asimétrico se emplea para cifrar las claves de sesión utilizadas
para cifrar el documento, de modo que puedan ser transmitidas sin peligro a través de
la Red junto con el documento cifrado, para que en recepción éste pueda ser
descifrado. La clave de sesión se cifra con la clave pública del destinatario del mensaje,
que aparecerá normalmente en una libreta de claves públicas. En principio, bastaría
con cifrar un documento con la clave privada para obtener una firma digital segura,
puesto que nadie excepto el poseedor de la clave privada puede hacerlo.
Posteriormente,
cualquier
persona
podría
descifrarlo
con
su
clave
pública,
demostrándose así la identidad del firmante.116
116
Idem
254
En la práctica, debido a que los algoritmos de clave pública requieren mucho tiempo
para cifrar documentos largos, los protocolos de firma digital se implementan junto con
funciones unidireccionales de resumen (funciones hash), de manera que en vez de
firmar un documento, se firma un resumen del mismo. Es decir que los sistemas
asimétricos de cifrado, siendo los más populares los de clave pública. Estas técnicas se
basan en la existencia de parejas de claves, una secreta o privada (Ks), conocida
únicamente por su propietario, y una pública (Kp), libremente distribuida por su
propietario en toda la red. El conocimiento de una de las claves no permite averiguar la
otra. Un mensaje es cifrado con una de las claves y descifrado con la otra.
Uno de los primeros esquemas de clave pública fue desarrollado por R. Rivest, A.
Shamir y L. Adleman. El esquema Rivest-Shamir-Adleman (RSA) ha sido desde la
fecha de su publicación el único sistema ampliamente aceptado para la implementación
de encriptación mediante clave pública. El principal inconveniente de este sistema era
la existencia de una patente sobre este algoritmo, lo cual dificulta su uso fuera de los
Estados Unidos si no se ha obtenido la correspondiente licencia de exportación, la gran
ventaja es que ha pasado el tiempo y actualmente éste sistema es del dominio público.
Gracias a las firmas electrónicas, los ciudadanos pueden realizar transacciones de
comercio electrónico verdaderamente seguras y relacionarse con la máxima eficacia
jurídica. En la vida cotidiana se presentan muchas situaciones en las que los
ciudadanos deben acreditar fehacientemente su identidad, por ejemplo, a la hora de
255
pagar las compras con una tarjeta de crédito en un establecimiento comercial, para
votar en los colegios electorales, con el fin de identificarse en el mostrador de una
empresa, al firmar documentos notariales o una sencilla carta enviada a un amigo, etc.
En estos casos, la identificación se realiza fundamentalmente mediante la presentación
de documentos acreditativos como la credencial de elector, el pasaporte o el carnet de
conducir, que contienen una serie de datos significativos vinculados al individuo que los
presenta, como:
Nombre del titular del documento.
Número de serie que identifica el documento.
Período de validez: fecha de expedición y de caducidad del documento, más
allá de cuyos límites éste pierde validez.
Fotografía del titular.
Firma manuscrita del titular.
Otros datos demográficos, como sexo, dirección, etc.
Los primeros sistemas criptográficos utilizaban combinaciones más o menos complejas
de la técnica de rotación de los caracteres de un mensaje. La seguridad de este tipo de
sistemas se basaba en mantener secreto el algoritmo usado, y son fácilmente
descifrables usando medios estadísticos. En la actualidad sólo son utilizados por
aficionados.
256
En medios profesionales, se usan criptosistemas. Se trata de funciones matemáticas
parametrizadas en las que los datos de entrada no se pueden obtener a partir de los de
salida salvo en plazos tan largos que cualquier información obtenida ya no tiene valor.
La seguridad se basa ahora, no en mantener secreto el algoritmo, que generalmente es
público, sino los parámetros (claves) del mismo.
Así, firmar electrónica o digitalmente un documento consiste en pasar un determinado
algoritmo sobre el texto que se desea cifrar, basándose en la clave privada del
signatario electrónico. Cuando el texto debe transmitirse firmado, el algoritmo recorre
todos sus datos electrónicos y, junto a la clave privada, obtiene un valor ("hash"), que
es la llamada firma digital.
En la transmisión, se envía por una parte el documento cifrado, y por otra el hash.
Cuando el receptor recibe ambos documentos, debe actuar bajo las siguientes pautas:
1. Descifra el texto del destinatario con la clave pública.
2. Con este texto calcula el hash.
3. Si el hash calculado y el enviado coinciden, eso significa que el documento que ha
llegado lo envía quien dice ser (ha sido descifrado con su clave "contraria") y que
además no ha sido alterado por el camino, pues de lo contrario los dos hash no
coincidirían.
LA IMPORTANCIA DE LA FIRMA ELECTRÓNICA.
257
El tráfico mercantil precisa, para su existencia, de seguridad jurídica; éste ha venido
instrumentalizada a través de diversas técnicas, como por ejemplo:
La plasmación del contrato (privado) en documento escrito y debidamente firmado
por las partes, constituye prueba de la prestación de la voluntad en el momento de
la celebración del mismo. La formalización en documento público de ciertos
negocios jurídicos de especial importancia, como el testamento, es elemento
imprescindible para su validez.
El propio dinero es un documento avalado por el Estado que nos permite cumplir
obligaciones jurídicas.
En el mundo de las transacciones económicas electrónicas, las cosas no son
diferentes. Si bien es cierto que cambian las formas para adaptarse a la peculiar
naturaleza de las tecnologías de la información y las comunicaciones, el sentido de los
actos jurídicos no varía. Es por ello imprescindible decidir, tras realizar el debido
análisis de riesgo, qué mecanismos de seguridad jurídica precisa emplear la empresa.
Lo anterior, además de constituir una admonición para el legislador, supone una
necesidad de los destinatarios de las normas: el legislador no debe imponer el empleo
de determinados mecanismos de seguridad jurídica al mercado, por el mero hecho de
tener lugar por medios electrónicos, porque con esa actuación podría llegar a impedir
que se alcance la máxima eficiencia en los intercambios de productos y servicios que
se realizan en el mercado.
258
CARACTERÍSTICAS PRINCIPALES DE LAS LLAVES PÚBLICAS
El usuario solo puede tener una llave pública.
Es puesta a disposición de todos los usuarios.
Se usa para encriptar información y generar firmas digitales.
FIRMA DIGITAL O FIRMA ELECTRÓNICA AVANZADA
Explicado lo anterior es importante aclarar la diferencia de la firma electrónica de
la firma digital, ya que esta última se diferencia de la primera en que la información
generada o comunicada debe ser en forma INTEGRA, ATRIBUIBLE a las personas
obligadas y ACCESIBLE para su ulterior consulta.117
Al ser transmitida cualquier comunicación por medios electrónicos con las
características
antes apuntadas, estaremos hablando de una firma electrónica
avanzada y si ésta se hace por medio de tecnología de PKI estaremos hablando de
firma digital..
VENTAJAS DE LA CRIPTOGRAFÍA ASIMÉTRICA
Imposibilidad de suplantación: el hecho de que la firma haya sido creada por el
signatario mediante medios que mantiene bajo su propio control (su clave privada
protegida, por ejemplo, por una contraseña, control biométrico, una tarjeta
inteligente, etc.) Asegura, además, la imposibilidad de su suplantación por otro
individuo.
117
Ibid., 187-191
259
Integridad: permite que sea detectada cualquier modificación por pequeña que sea
de los datos firmados, proporcionando así una garantía ante alteraciones fortuitas o
deliberadas durante el transporte, almacenamiento o manipulación telemática del
documento o datos firmados. Consiste en conocer que un mensaje de datos no ha
sido alterado ni manipulado durante el envío. Las firmas digitales tienen un sistema
que garantiza la integridad del mensaje, puesto que si el mensaje enviado hubiese
sido modificado después de haber sido cifrado, esta transformación del mensaje
constará al destinatario, puesto que el resumen no resultará coincidente con el
original enviado si el mensaje de descifra con la clave pública correspondiente. Si no
ha sido modificado, coincidirá plenamente con el original firmado por el emisor.
Esta es una diferencia que contrapone a la firma digital frente a la firma electrónica en
general, puesto que en esta segunda, no existen tantas garantías de integridad del
mensaje de datos como en la firma electrónica segura.
En la Ley Modelo de la UNCITRAL sobre las Firmas Electrónicas elaborado, en el
apartado primero del artículo 5 se establece una presunción de integridad: "Si el
presunto firmante ha utilizado un procedimiento de seguridad que puede brindar la
prueba fiable de que un mensaje de datos o una firma electrónica segura refrendada
consignada en él no ha sido modificado desde el momento en que el procedimiento de
seguridad se aplicó al mensaje de datos o a la firma, entonces se presumirá en
ausencia de toda prueba de lo contrario, que el mensaje de datos o la firma no han sido
modificados."
260
No repudio: ofrece seguridad inquebrantable de que el autor del documento no
puede retractarse en el futuro de las opiniones o acciones consignadas en él ni de
haberlo enviado. La firma electrónica adjunta a los datos, debido a la imposibilidad
de ser falsificada, testimonia que él, y solamente él, pudo haberlo firmado.
Auditabilidad: permite identificar y rastrear las operaciones llevadas a cabo por el
usuario dentro de un sistema informático cuyo acceso se realiza mediante la
presentación de certificados, especialmente cuando se incorpora el estampillado de
tiempo, que añade de forma totalmente fiable la fecha y hora a las acciones
realizadas por el usuario.
Privacidad: asegurar que la comunicación solo se da entre aquellos autorizados.
No rehusabilidad: Prevenir que la información no pueda duplicarse.
Es por estas características que la firma electrónica avanzada es la firma electrónica
que permite la identificación del signatario y ha sido creada por medios que éste
mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo
y a los datos a los que se refiere, lo que permite que sea detectable cualquier
modificación ulterior de éstos.
Una persona, llamada signatario, firma documentos mediante un dispositivo de creación
de firma y unos datos de creación de firma; el destinatario del documento firmado debe
261
verificar, mediante un dispositivo de verificación de firma y un certificado digital, la firma
del signatario. De este modo, el signatario es la persona física que cuenta con un
dispositivo de creación de firma y que actúa en nombre propio o en el de una persona
física o jurídica a la que representación. Se entiende que su actuación se refiere al acto
de firmar un documento, dentro del marco, como veremos, de una política de firma
electrónica. Los datos de creación de firma son los datos únicos, como códigos o claves
criptográficas privadas, que el signatario utiliza para crear la firma electrónica y los
datos de verificación de firma son los datos, como códigos o claves criptográficas
públicas, que se utilizan para verificar la firma electrónica.
En resumen, el sistema de encriptación asimétrica y la firma digital constituyen el primer
gran paso hacia la seguridad en las transacciones comerciales por vía electrónica.
Dado que el par de claves (pública y privada) de cada usuario de la red electrónica ha
de ser diferente (es lo que se denomina carácter único de la clave), el procedimiento de
emisión o generación de claves debe estar sujeta a auditorías de calidad, con el fin de
mantener la unicidad.
Los anteriores datos de creación de firma electrónica deben ser empleados por un
dispositivo de creación de firma, que posee el signatario: para que la firma electrónica
tenga un valor superior, veremos que el dispositivo de creación de firma debe cumplir
determinados requisitos (en ese caso se denomina dispositivo seguro de creación de
firma); igualmente, el destinatario de un mensaje firmado debe disponer de un
dispositivo de verificación de firma.
262
¿FIRMA ELECTRÓNICA O FIRMA DIGITAL?
Después de lo explicado, seguramente surge la duda de si es lo mismo la firma
electrónica y la firma digital, la confusión generalizada es evidente. Consumidores
finales en la Web, E-business e incluso profesionales de los distintos sectores jurídicos
intentamos encontrar la aplicación práctica de la llamada “firma digital”, que no es otra
cosa que la utilización de un sistema de encriptación asimétrico en el cual existen dos
“llaves”, que consisten en una clave privada y una clave pública. La primera sólo es
conocida por el particular, y la segunda es la clave que identifica públicamente a ese
particular, de manera que sólo utilizando su clave pública el mensaje enviado por el
interesado podrá ser desencriptado y por tanto legible. El sistema es sencillo: el
particular (persona física o jurídica) después de redactar el documento lo encriptará con
su clave privada, podrá enviarlo a través de Internet (e-mail, chat, página Web) a su
destinatario final conociendo la dirección del mismo, y este último para poder descifrar
el mensaje recibido utilizará la clave pública del remitente. Este sistema nos permitirá
verificar que el mensaje original no ha sido modificado en su trayecto a través de la
Web, la autenticidad del mensaje recibido, y por último, la integridad del mensaje en
cuanto a la certeza y conclusión del mismo. La firma digital no es por tanto algo
“añadido” a un documento, sino la versión encriptada del mismo. No existe si la
disociamos de su mensaje, y del mismo modo, cambia con cada documento
encriptado.118
118
LOPEZ DE OÑATE “La certeza del Derecho Digital” Editorial Milano, España, pp. 54-64
263
Podemos también definir a la firma digital como el conjunto de datos que en forma
electrónica consignados en un mensaje de datos, o adjuntados o lógicamente
asociados al mismo y pueden ser utilizados para identificar al firmante en relación con
el mensaje de datos e indicar que aquel aprueba la información recogida en el mensaje
de datos, utilizando tecnología digital.
Por su parte, la “firma electrónica” es cualquier símbolo que utilicemos como
identificador de una persona en un determinado documento que para su transmisión
utilice medios electrónicos, lo cual se asimila a la firma tradicional. El nombre de una
persona escrito al final de un documento o un símbolo que le identifique sería una firma
electrónica. La firma digital es por tanto un tipo de firma electrónica. El nivel de
inseguridad de esta última resulta evidente, ya que su falsificación es tremendamente
sencilla. Su invalidez como método de autenticación de documentos es por tanto obvia.
Pero si es cierto que la firma digital es un vehículo seguro para facilitar el comercio
electrónico por medio de la autenticación de todo tipo de documentos a los que
necesitemos dotarles con la aprobación y demás propiedades de la firma tradicional de
una persona, ¿por qué su uso no se ha generalizado? Para entender las respuestas a
esta pregunta, no olvidemos que el comercio electrónico, esto es, el comercio a través
de Internet, es por definición un comercio internacional, en el que no existen fronteras.
La firma digital necesitará por tanto un respaldo legal armonizado a escala
internacional, de modo que su uso no haga surgir barreras en la Web.
264
Los factores causantes del escaso uso de firmas electrónicas, se pueden resumir en
los siguientes:
Primero, caos terminológico. Como ya hemos destacado, la firma digital y electrónica
no son dos términos que designen el mismo sistema, sino que conllevan diferencias
esenciales. La falta de homogeneidad a este respecto desde el punto de vista
legislativo en el ámbito internacional provoca la confusión no sólo de ambos términos
sino también de las características que los definen. Mientras la Directiva Comunitaria se
refiere a “firmas electrónicas”, Italia, Alemania y Dinamarca adoptan una ley que regula
la “firma digital”, al igual que países como España, Argentina, Malasia, y Colombia y
algunos estados de Norteamérica como Utah, Arkansas, Florida, Illinois, Kansas,
Minnesota, Mississippi, New Hampshire y Washington, entre otros. Por otra parte la
“firma electrónica” se contempla en las leyes que rigen esta materia en California,
Connecticut, Delaware, Idaho, Indiana, New York, Carolina del Sur y Virginia, entre
otros ejemplos. Otros países como Australia, Bélgica, Colombia, Hong Kong y el Reino
Unido han presentado varias propuestas legales en las cuales firma digital y electrónica
no son claramente definidas, desconcierto que se repite en prácticamente todos los
países anteriormente señalados.
En segundo lugar, el tipo de transacciones a las que se da cobertura legal varía en
cada una de las leyes vigentes en esta materia. Algunos países autorizan el uso de
firmas electrónicas para aquellas transacciones en las que participen sólo determinadas
265
partes, mientras que otras limitan su ámbito de aplicación a ciertas categorías de
transacciones, de manera que el uso de firmas electrónicas es en muchas ocasiones
desautorizado en estos países o simplemente su aplicación no tendrá fuerza jurídica
para ciertos tipos de documentos. Estas restricciones funcionales son a menudo
acompañadas de restricciones geográficas, en las cuales, como ocurre en la Ley
Alemana de firma Digital, se reconocen aquellos certificados de firmas electrónicas
provenientes sólo de determinados países, reconociendo en este caso Alemania como
válidos aquellos que procedan de un país de la Unión Europea.
Tercero, no existe un acuerdo global en cuanto a qué constituye una firma con validez
legal en el marco del comercio electrónico. Mientras algunos países dan legitimidad de
forma ambigua y sin especificaciones a cualquier tipo de “firma electrónica”, otros
apuestan sólo por aquellas firmas electrónicas que reúnan ciertos requisitos de
seguridad (los cuales a su vez también varían en las distintas legislaciones), mientras
que por último, otros muchos países sólo otorgan validez legal a aquellas firmas que
reúnan los requisitos de las “firmas electrónicas avanzadas o fiables” (atribución,
integridad del documento y accesabilidad).
Cuarto, la creación de firmas digitales requiere no sólo medios tecnológicos
(determinado software para llevar a cabo métodos de encriptación) sino también cierta
infraestructura, mediante la cual las denominadas Autoridades de Certificación (CAs)
aseveren que efectivamente la “llave pública” de un titular corresponde a una
determinada persona, y que por tanto un mensaje recibido de esa persona encriptado
266
con su llave privada sólo podrá ser desencriptado para hacerlo legible mediante la
utilización de su llave pública, de modo que el receptor se asegura que el mensaje
proviene de un determinado titular, y que no ha sufrido cambios en el transcurso de su
transmisión. El problema surge en relación a las infraestructuras llamadas “Open Public
Key Infrastructures” (PKIs”), sistemas en los cuales los subscriptores obtienen
certificados de las CAs válidos para cualesquiera tipo de documentos y transacciones
comerciales, mientras que algunas leyes de firma digital contemplan sólo un sistema
cerrado de certificación -“Close PKI model”-, en el cual los certificados sólo tendrán
validez jurídica para determinados contextos contractuales definidos con anterioridad
por las partes, modelo que será completado en párrafos subsecuentes.
Por otra parte, la regulación de las Autoridades de Certificación varía en las distintas
legislaciones. Mientras que en algunos países han sido creados organismos públicos
para cumplir con sus funciones, en otros (Malasia, Alemania e Italia) se impone una
regulación estricta, pero será la iniciativa particular la que opte por pedir una licencia
para ejercer como entidad certificadora. En la mayor parte de los casos las leyes en
vigor de los distintos países son lo suficientemente generales y ambiguas como para
llegar a ser incompatibles entre sí. En otros, ni siquiera queda claro si se requiere la
existencia de una licencia previa para llevar a cabo estas funciones de certificación que
se explicaran en párrafos subsecuentes.
Por último, las consecuencias legales de las firmas electrónicas son también distintas.
Algunos estatutos (Illinois) otorgan presunción de validez a cualquier documento que
267
haya sido firmado digitalmente, mientras que otras leyes sólo presumirán válida la
identidad del mandatario e integridad del documento si la firma cumple con
determinados atributos de seguridad, como ocurre con la Ley de firma digital alemana.
En países como Bélgica, Francia o Grecia los documentos electrónicos no son
aceptados ante los tribunales de justicia, aun estando validados por una firma digital,
dado que cierto tipo de contratos requieren su formulación escrita y autenticación según
los métodos de firma manuscrita tradicional.
Si conseguimos resolver este caos legislativo internacional, la firma electrónica
avanzada o fiable dará la seguridad y eficacia que el nuevo comercio electrónico está
requiriendo, siempre y cuando no estemos creando infraestructuras de un coste
desmesurado que reduzcan la utilización de firmas digitales. Olvidemos también
requerir en este nuevo marco tecnologías que mañana estarán obsoletas, pero sobre
todo, no creemos las barreras que el mundo electrónico no tiene.
CERTIFICADOS DIGITALES
Pero ¿cómo sabemos que B y A tienen asignadas las llaves públicas que dicen tener?
Pues mediante un mecanismo llamado Certificado Digital, el cual contiene el nombre de
la persona y su llave pública, y está firmado con la llave privada de una Autoridad
Certificadora.
268
Un certificado atestigua la validez de la identidad de un individuo o entidad.
Generalmente es emitido por una Autoridad Certificadora quien al firmar digitalmente
une una llave pública con el nombre de un individuo o entidad.
Su propósito es el permitir la verificación de la premisa que una llave pertenece de
hecho a un individuo. El principal inconveniente del uso de claves pública es el modo de
asociación de los pares llave pública y llave privada con personas físicas. La solución la
aportan las autoridades de certificación que son entes fiables y ampliamente
reconocidos que firman (con conocimiento de causa y asunción de responsabilidad) las
claves públicas de las personas, rubricando con su firma su identidad.119
A la vista de este esquema de funcionamiento, se plantea un problema evidente de
confianza que puede originar varios interrogantes: ¿cómo tener certeza de que la clave
pública de un usuario corresponde realmente a ese individuo y no ha sido falsificada por
otro?, ¿Por qué fiarse de esa clave pública antes de confiarle algún secreto?, ¿Quién
verifica la identidad del poseedor de la clave pública?
Todas estas preguntas encuentran su respuesta en la figura de los certificados
digitales, especie de documentos electrónicos que garantizan la identidad de una
persona. Así los certificados digitales contienen de forma estructurada información
relevante acerca de usted y de la entidad que lo emitió:
119
Ibid, 81-84
269
El código identificativo único del certificado.
La identificación del prestador de servicios de certificación que expide el certificado,
es decir, de la autoridad de certificación.
La firma electrónica del prestador de servicios de certificación que expide el
certificado y que da fe de que el certificado expedido es válido y ha sido emitido de
acuerdo con sus prácticas de certificación.
La identificación del signatario, por su nombre y apellidos o a través de un
seudónimo que conste como tal de manera inequívoca (información relevante para
el uso de que será objeto el certificado).
Los datos de verificación de la firma (es decir, la clave pública) que correspondan a
los datos de creación de firma que se encuentren bajo el control del signatario (o lo
que es lo mismo, su clave privada), de manera que se produce una vinculación
exclusiva del interesado con las claves. Esta clave pública es la que permite a su
vez verificar la autenticidad de la firma electrónica.
El comienzo y el fin del período de validez del certificado, fuera de los cuales no
podrá utilizarse.
Los límites de uso del certificado, si se prevén, como por ejemplo compra a través
de Internet, acceso a bancos, exclusión de ciertos contratos como préstamos y
fianzas, identificación ante servidores en una red local, etc.
Los límites del valor de las transacciones para las que puede utilizarse el certificado,
si se establecen. De esta forma se controla que con un certificado no puedan
efectuarse compras por importe superior a un valor especificado en el mismo.
270
En síntesis, la misión fundamental de los certificados es permitir la comprobación de
que la clave pública de un usuario, cuyo conocimiento es imprescindible para autenticar
su firma electrónica, pertenece realmente a ese usuario, ya que así lo hace constar en
el certificado una autoridad que da fe de ello. Representan además una forma
conveniente de hacer llegar la clave pública a otros usuarios que deseen verificar sus
firmas. Normalmente, cuando se envía un documento firmado digitalmente, éste
siempre se acompaña del certificado del signatario, con el fin de que el destinatario
pueda verificar la firma electrónica adjunta.
Estos certificados permitirán a sus titulares realizar una gran cantidad de acciones a
través de Internet: acceder por medio de su navegador a sitios web restringidos, a los
cuales les deberá presentar previamente el certificado, cuyos datos serán verificados y
en función de los mismos se le permitirá o denegará el acceso; enviar y recibir correo
electrónico cifrado y firmado; entrar en intranets corporativas, e incluso a los edificios o
instalaciones de la empresa, donde se le pedirá que presente su certificado,
posiblemente almacenado en una tarjeta inteligente; firmar software para su uso en
Internet, firmar cualquier tipo de documento digital, para uso privado o público; obtener
confidencialidad en procesos administrativos o consultas de información sensible en
servidores de la Administración; realizar transacciones comerciales seguras con
identificación de las partes120
120
Idem
271
AUTORIDADES DE CERTIFICACIÓN
ADMINISTRACION DE CERTIFICADOS
Implica la generación, producción, distribución, control, seguimiento y destrucción de las
llaves públicas o privadas asociadas con los certificados de llave pública. La
administración de certificados tiene dos elementos básicos:
1.
Autoridad Certificadora (CA)
2.
Directorio de Servicios
AUTORIDAD CERTIFICADORA (CA)
Es la entidad que genera y revoca los certificados para un conjunto de usuarios y es
responsable de su autenticidad. Sus funciones se pueden resumir en:
1. Generación de certificados al garantizar su identidad por medio de una
firma digital.
2. Agendar fechas de expiración de certificados y revocar de los certificados.
3. Revocar los certificados.
Una característica fundamental de la Autoridad Certificadora es que sea un ente de alta
confianza para la comunidad.
REGISTRO DE CERTIFICADOS
La Agencia Certificadora se define como aquel agente encargado de la autenticación de
la identidad de los usuarios de la Autoridad Certificadora (CA). Posteriormente manda la
272
petición del usuario a la Autoridad Certificadora y la clave pública a la Autoridad
Registradora.
La Agencia Certificadora es el intermediario entre los usuarios y la Autoridad
Certificadora. La calidad del proceso de autenticación de la Agencia Certificadora
determina el nivel de confianza que se tendrá en los certificados.
Una Agencia Certificadora puede ser conceptualizada como un punto de presencia local
para la Autoridad Certificadora donde los usuarios pueden aplicar para la obtención de
un certificado.
DECLARACIÓN DE PRÁCTICAS DE CERTIFICADOS (CPS)
Las Autoridades certificadoras tienen un conjunto de políticas operativas que describen
la implantación y apoyo a las políticas de seguridad condensadas a un detallado
documento conocido cono Declaración de Prácticas de Certificación (CPS). Estas
políticas incluyen procedimientos de Verificación de Identidad, rango de usurarios a
certificar, ciclo de vida de los certificados.
LISTA DE REVOCACION DE CERTIFICADOS (CRL)
Determina la validez de un certificado condensándolo en una lista.
273
FUNCIONAMIENTO DE LOS CERTIFICADOS
El certificado digital incorpora información sobre el usuario (entre otros datos su clave
pública), información que debe ser contrastada por algún tipo de autoridad competente,
que dota así de validez al documento acreditativo. En el contexto electrónico, la función
básica de una Autoridad de Certificación (AC) o prestador de servicios de certificación
(CPS) reside en verificar fehacientemente la identidad de los solicitantes de certificados,
crear y emitir a los solicitantes dichos certificados y publicar listas de revocación cuando
éstos son inutilizados. Se contempla que cualquier entidad u organización pública o
privada se constituya en PSC, fomentando así la libre competencia también en este
mercado. Ahora bien, para que una persona física o jurídica se erija en la figura de
autoridad de certificación es necesario que cumpla una serie de obligaciones exigibles a
todos los prestadores de servicios de certificación que expidan certificados reconocidos,
entre las que destacan:
La comprobación de la identidad de los solicitantes de los certificados, ya que si esta
verificación no se realiza rigurosamente, toda la estructura de certificados y firmas
digitales pierde por entero su validez.
No almacenar las claves privadas de los usuarios, para preservar su privacidad y
evitar la posibilidad de que sean suplantados, ya que hasta cierto punto puede
decirse que la identidad digital de un usuario reside en su clave privada.
274
Informar debidamente a los solicitantes acerca de precios y condiciones de
utilización de los certificados, precios que estarán regidos por el mercado en
régimen de libre competencia.
Mantener un registro de todos los certificados emitidos y de su estado de validez.
Indicar la fecha y la hora en las que se expidió o se dejó sin efecto un certificado.
Poseer una serie de garantías técnicas que demuestren la fiabilidad necesaria de
sus servicios, la rapidez y la seguridad en la prestación de los mismos, el empleo de
personal cualificado y con la experiencia necesaria para dicha prestación, la
utilización de sistemas y productos fiables protegidos contra toda alteración, la toma
de medidas contra la falsificación de certificados y el uso de sistemas fiables para
almacenarlos.
Conservar registrada toda la información y documentación relativa a un certificado
reconocido durante un tiempo determinado, con el fin de garantizar que los
certificados puedan ser aportados como prueba en los procesos judiciales que
pudieran surgir en relación con el uso de la firma.
Con el tiempo, durante el ejercicio de sus funciones, una autoridad de certificación
puede verse fácilmente desbordada si cubre un área geográfica muy extensa o muy
poblada, por lo que a menudo delega la labor de verificar la identidad de los solicitantes
275
en las llamadas Agencias Certificadoras. Las Agencias Certificadoras pueden abrir
multitud de oficinas regionales dispersas por un gran territorio, llegando hasta los
usuarios en los sitios más remotos, mientras que la Autoridades Certificadoras se
limitaría así a certificar a todos los usuarios aceptados por las Agencias Certificadoras
dependientes de ella. Gracias a esta descentralización se agiliza el proceso de
certificación y se aumenta la eficacia en la gestión de solicitudes
ALGUNAS RECOMENDACIONES PARA EL USO DE LOS CERTIFICADOS
DIGITALES:
Compromiso de la clave privada del usuario: si la clave privada cae en manos de
un desconocido, éste podría suplantar al usuario y realizar en su nombre todas las
acciones a que su certificado le autorice. Suceso más frecuente es que el usuario
olvide la contraseña que protege su clave privada, privándose así de su uso. En
ambos casos, se debe dar aviso a la Autoridad Certificadora con la mayor brevedad
posible para que el certificado sea revocado.
Compromiso de la clave privada de la Autoridad Certificadora: un suceso más
grave es que se vea comprometida la clave privada de la Autoridad Certificadora, en
cuyo caso el desconocido podría suplantar a la propia autoridad de certificación, con
consecuencias desastrosas. En cuanto la Autoridad Certificadora lo advirtiera,
debería cambiar su clave, quedando invalidados absolutamente todos los
certificados reconocidos emitidos hasta ese momento. Las medidas de seguridad de
la empresa de certificación son (deben ser) lo suficientemente estrictas como para
que la probabilidad de este suceso sea prácticamente nula.
276
Cambio en los datos del certificado: los usuarios cambian de trabajo, de lugar de
residencia, de dirección de correo, etc., motivos que pueden justificar la emisión de
un nuevo certificado que refleje verazmente la nueva información personal del titular
y la invalidación del certificado antiguo.
Violación de la política de la Autoridad Certificadora: si un usuario viola las
normas de certificación de la Autoridad Certificadora, ésta puede decidir revocar su
certificado.
Expiración del certificado: los certificados tienen un tiempo de vida limitado y
claramente especificado en sus datos, al final del cual dejan de ser válidos. Esta
situación no ocasiona mayores dificultades, y el usuario simplemente deberá
solicitar su renovación a la Autoridad Certificadora que se lo emitió.
DISPOSITIVOS DE ALMACENAMIENTO DE CERTIFICADOS DIGITALES:
Dispositivo de
Ventajas
Desventajas
Almacenamiento
Chip Card
Se almacena en
Se pueden utilizar
Es de alto costo ya
una tarjeta
en cualquier lado.
que se requieren
inteligente
Dispositivo de
lectoras especiales.
almacenamiento
La tecnología aún no
mas seguro
es accesible para
todos los usuarios
Browser
Se almacena en la
Es el certificado
Únicamente se
computadora del
digital mas barato
puede utilizar desde
cliente modificando
la computadora a
localmente la
donde se almacenó
configuración del
el certificado
Browser del cliente
digitalmente
277
Diskette o
Se almacena en la
Disco Duro
propia PC y se envía acceso en la PC o
máquina o el
una copia como
con el diskette
diskette
Se almacena en un
El cliente puede
Dependencia total
servidor
tener acceso a
de un solo servidor.
través de una clave
Cliente se autentica
desde cualquier
sin certificado
Solo puede tener
Riesgo de robo de la
anexo a los
mensajes firmados
Servidor
computadora
PUBLIC KEY INFRASTRUCTURE (PKI)
Toda esta serie de conceptos mencionados en los párrafos precedentes constituyen la
tecnología Public Key Infrastructure o PKI la cual constituye el marco de trabajo y
servicios para la generación, producción, distribución, control y seguimiento de
certificados, la cual es desarrollada, ampliando y visualizando el futuro de esta
tecnología en el presente trabajo.
278
7.- PROYECTO CYBERNOTARIO:
Desde que la American Bar Association dio a conocer en 1996 los trabajos alrededor
del proyecto Cybernotary, muchos y muy variados han sido los caminos seguidos por
los distintos países en los que existe la figura del Fedatario Público de tipo latino, pero
en todos ellos el valor de su participación ha sido reconocida y hasta impulsada por
propios y extraños.
Las funciones que los Fedatarios Públicos pueden ejercer en el mundo virtual no son
diversas de las que hoy ejercen en el mundo real, sólo se trata de herramientas
distintas para hacerlo. El reto está en su incorporación y capacitación para que puedan
ser ejercidas en beneficio de la legalidad del comercio electrónico en cualquiera de sus
facetas.121
A medida que el desarrollo de Internet evoluciona y madura, su éxito como plataforma
para la realización de negocios depende cada vez más de la generación y
mantenimiento de la confianza entre los participantes. Dicha confianza será
particularmente importante para aquellos sitios Web que se ubican en el contexto del
comercio electrónico en cualquiera de sus modalidades (B2B, B2C, B2G, G2C, M2C,
etc.).
121
http://www.acertia.com/
279
Ese concepto de confianza es crucial porque afecta un número de factores esenciales
para las transacciones en línea, específicamente con respecto a la seguridad y la
privacidad.
Para hacer comercio electrónico seguro no basta con que las partes (comprador y
vendedor) acuerden los mecanismos de envío de información y se la intercambien de
una manera "tecnológicamente" segura, es necesario además establecer las bases que
permitan vincular legalmente la identidad de una persona con la manifestación de
voluntad que realiza a través de medios electrónicos; dar peso legal a la aceptación de
esta práctica; y sobre todo, otorgar valor probatorio al proceso y a las "constancias
electrónicas" que del mismo derivan.
El mecanismo más aceptado para dotar al comercio electrónico de estos elementos es
la llamada Infraestructura de Clave Pública (Public Key Infraestructure). Aunque los
roles identificados en la PKI, teóricamente pueden ser desempeñados por entidades
públicas o privadas, se presenta un esquema por el cual se pretende la aplicación de la
Fe Pública al proceso, lo que involucra tanto a Notarios como a Corredores Públicos.
Al respecto la empresa ACERTIA122, por medio de alianzas y distintos trabajos, ha
implementado una propuesta con las distintas Asociaciones y Colegios de Notarios y
122
http://www.acertia.com/ y confrontar CONVENIOS de Colaboración para establecer los mecanismos
de emisión y administración de los certificados digitales, que se utilizarán para acceder al Registro
Público de Comercio y para realizar transacciones comerciales, que celebra la Secretaría de Comercio y
Fomento Industrial con la Asociación Nacional del Notariado Mexicano, A.C. y con el Colegio Nacional de
Correduría Pública Mexicana, A.C. (6 de septiembre del 2000).
280
Corredores Públicos alrededor de América Latina y España, y a la fecha dispone ya de
los elementos tecnológicos y la infraestructura necesaria para iniciar operaciones en
México y en muy corto plazo en países que cuentan con un sistema jurídico similar y
que hasta el momento ya han promulgado o están por promulgar una ley sobre
comercio electrónico y/o firmas digitales (España, Argentina, Chile, Brasil, Colombia,
Perú, Ecuador y Venezuela).”
La infraestructura necesaria para la práctica del comercio electrónico seguro tiene
componentes tecnológicos y componentes jurídicos; los primeros, relacionados con la
aplicación de la tecnología de encriptación y con el uso de su estructura administrativa
conocida como PKI (Public Key Infrastructure); los segundos, relacionados con el nivel
de legalidad que aportan quienes participan en los procesos de certificación.
Las funciones desarrolladas por los participantes de la PKI y la estructura de legalidad
requerida para ciertos entornos, considera ACERTIA que hacen evidente que la entidad
más indicada para tener el carácter de certificador digital es la del Fedatario Público.
Para ellos ACERTIA creó su infraestructura.
281
En ese sentido, la infraestructura implementada por ACERTIA y puesta a disposición de
los Fedatarios Públicos está definida y orientada claramente para cumplir con tres
objetivos:
•
Infraestructura Tecnológica: Software y Hardware para cada Autoridad
Certificadora y para sus correspondientes Agentes Certificadores.
•
Infraestructura de Servicios: Capacitación e Investigación y Desarrollo para la
permanente actualización e inversión en nuevas tecnologías y aplicaciones para
los Fedatarios Públicos.
•
Infraestructura Comercial: Operación, Administración y desarrollo de Alianzas
en beneficio de la infraestructura de las Autoridades Certificadoras de los
Fedatarios Públicos y los Fedatarios mismos.
En esa infraestructura participan: la autoridad reguladora; la autoridad certificadora, los
agentes certificadores (Notarios y Corredores) y los usuarios mismos de los servicios de
certificación digital. En medio de todo ello, ACERTIA como Autoridad Certificadora en sí
misma y como operadora de las Autoridades Certificadoras de Notarios y Corredores
Públicos.
En esa infraestructura jerárquica el rol que los Fedatarios Públicos desempeñan es de
primordial importancia, ya que son en si mismos el sustento de legalidad de los
procesos de certificación digital y tienen la posibilidad de trasladar al mundo virtual el
valor de la fe pública que ejercen en el mundo real.
282
Es claro que la evolución del marco legal alrededor de la participación de los Fedatarios
Públicos en los procesos comerciales realizados por medios electrónicos ha
evolucionado de manera paulatina, pero también es claro que los derechos y
obligaciones de los contratantes por la vía electrónica seguirán siendo exigibles en la
vía tradicional y los Fedatarios no pueden mantenerse al margen porque su naturaleza
misma la otorgar certeza de legalidad a las partes.
La RDC ha sido concebida para operar y evolucionar en dos fases, partiendo de la
certificación de la identidad de los contratantes por la vía electrónica, hasta llegar a la
certificación de cada transacción.
En la primera fase, los Fedatarios Públicos prestarán diversos servicios de certificación
digital sustentados la fe pública ejercida sobre la certificación de la identidad de
personas y su reconocimiento expreso sobre el uso de un certificado para firmar
digitalmente, o sobre el reconocimiento de la titularidad de un sitio web y las
consecuencias legales de operarlo.
En la segunda fase, ACERTIA pondrá a disposición de los Fedatarios Públicos las
aplicaciones necesarias para la implementación del Protocolo Electrónico (Certificación
Transaccional con fe pública), en la medida que las disposiciones legales vayan
reconociendo la necesidad de su intervención en determinados actos que puedan ser
realizados por la vía electrónica. Pero para ello será necesaria su habilitación.
DIRECTORIO DE AGENTES CERTIFICADORES DE ACERTIA, AL MES DE NOVIEMBRE DEL 2001
1
2
Lic. José de Jesús Niño de la Selva
Lic. Alfonso Zermeño Infante
México, D.F.
México, D.F.
283
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
Lic. Ignacio Soto Borja
Lic. David Figueroa Márquez
Lic. Carlos A Sotelo Regil Hernández
Lic. Francisco Xavier Arredondo Galván
Lic. Jesús Lozano de la Garza
Lic. José Emmanuel Cardoso Pérez Grovas
Lic. Víctor Rafael Aguilar Molina
Lic. Leonardo A. Beltrán Balderas
Lic. Sonia Carlota Pérez Malpica
Dr. José Antonio Márquez González
Lic. Arturo López Corella
Lic. Carlos Montaño Pedraza
Lic. José de Jesús Castro Figueroa
Lic. Juan Jose Thomas Moreno
Lic. Luis Felipe Morales Viesca
Lic. Luis Robles Brambila
Lic. Ricardo del Monte Núñez
C.P. Elio Chávez Martínez
Lic. Esther García Alvarez
Lic. Gustavo Escamilla Flores
Lic. Jaime Romero Anaya
Lic. José Enrique Guzmán Quiroga
Lic. Juan Martín Alvarez Moreno
Lic. Pedro Eduardo Silva Durán
Lic. Antonio Maluf Gallardo
Lic. Aracelí Hernández de Coss
Lic. David F. Dávila Gómez
Lic. Felipe A. González Rodríguez
Lic. Jorge Antonio Sánchez Cordero Dávila
Lic. José Antonio Reyes Duarte
Lic. Laura Patricia García Sánchez
Lic. J. Eugenio Castañeda Escobedo
México, D.F.
México, D.F.
México, D.F.
México, D.F.
Monterrey, N.L.
México, D.F.
México, D.F.
México, D.F.
Salamanca, Gto.
Orizaba, Ver.
Mexicali, B.C.
Monterrey, N.L.
México, D.F.
Tijuana, B.C.
México, D.F.
Guadalajara, Jal.
Tijuana, B.C.
Mexico, D.F
Mexico, D.F
Garza García, N. L.
México, D.F
Monterrey, N. L.
México, D.F.
México, D.F.
Estado de México
Estado de México
México, D.F.
Monclova, Coah.
México, D.F.
Estado de México
Estado de México
México, D.F
ESQUEMA DE OPERACIÓN QUE PROPONE ACERTIA:
Para disponer de una Firma Digital sólo basta seguir los siguientes pasos123:
•
Generación de Claves: Obtener el software Generador de Requerimientos de
Certificación Digital en la sección Documentos de la página web de ACERTIA,
ejecutar en la computadora el programa y capturar los datos que la forma
solicita, grabar en un diskette el Requerimiento de Certificación e imprimir la
Solicitud de Certificación Digital. Con los documentos correspondientes acudir
ante un Agente Certificador (Notario o Corredor Público).
284
•
Certificación y registro de la Clave Pública: El Agente Certificador (Notario o
Corredor
Público)
verificará
la
documentación
y
el
Requerimiento
de
Certificación, dará fe de la identidad del solicitante y de sus manifestaciones,
generará su Certificado Digital y lo registrará ante la autoridad que corresponda.
•
Uso de tu Firma Digital: El agente Certificador (Notario o Corredor Público)
entrega el Certificado Digital en un medio magnético, asimismo conserva el
testimonio del Acta o Póliza en donde constan los hechos y declaraciones
pasados ante su fe. Por lo que solo restaría Instalar en la computadora el
certificado digital lo que permitirá usarlo para firmar digitalmente transacciones
comerciales.
COMENTARIOS AL ESQUEMA DE CYBERNOTARIOS PROPUESTO POR ACERTIA
El primer problema que se plantea es el de las funciones del fedatario como
intermediario de la empresa ACERTIA para ofrecer al público Certificados Digitales, ya
que en la práctica se convierte en un agente comisionista de dicha empresa, actividad
que va más allá de las funciones del notario o corredor, en su caso.
En segundo lugar una consideración de tipo práctico, que pienso es la que fundamenta
el fracaso comercial de dicha empresa, la infraestructura requerida para operar este tipo
de cuestiones es muy costosa, lo cual incide directamente en el precio del servicio al
cliente, esto es, un certificado digital se comercializa en aproximadamente 600 dólares,
poca gente está dispuesta en invertir tal cantidad a la que hay que sumar los honorarios
123
Tomado del esquema de operación que se muestra en: http://www.acertia.com/
285
del notario o corredor. Razón por la cual ACERITIA de septiembre del 2000 a
noviembre del 2001 ha vendido muy pocos certificados digitales.
Otra cuestión a considerar es el reconocimiento tanto nacional o internacional a dichos
certificados.
A continuación presento el esquema que al respecto propone Banco de México, en
coordinación con el SAT y la Banca, el cual considero que tiene una mayor aplicación
práctica y muchas posibilidades de éxito, ya que los Bancos actualmente cuentan con la
infraestructura suficiente para dar el servicio, el número de clientes que lo soportaría sin
ser el precio gravoso para ellos y no tienen impedimento legal para ofrecerlos a su
clientela.
286
8.- PROYECTO BANXICO:
Desde 1998 algunas personas morales (grandes contribuyentes) pueden presentar sus
declaraciones anuales al SAT por medios electrónicos firmando electrónicamente con
un certificado digital que el propio SAT les proporciona. Para ello el SAT contrató con
una empresa proveedora el software y las licencias para fungir como Autoridad
Registradora y Certificadora.
Lo anterior supone un problema en el ámbito procesal, toda vez que el SAT se
convierte en juez y parte (por un lado emite el certificado digital y por otro es la entidad
que recibe el documento firmado electrónicamente).
Para evitar el problema señalado anteriormente han mantenido contacto con Banxico,
pretendiendo que el propio Banxico, alguna nueva sociedad mercantil o una sociedad
mercantil existente, previa adecuación de su objeto realice las actividades de Agencia
Registradora Central.
La finalidad del SAT es que para la presentación de la declaración anual del 2001,
todas las personas morales estén en posibilidad de hacerla por medios electrónicos.
Como se recordará, el artículo 31 del Código Fiscal de la Federación sufrió en el año
2000 una modificación para precisar que los contribuyentes con pagos provisionales
mensuales, obligados a presentar sus declaraciones a través de medios electrónicos,
también utilizarán este medio para la presentación de avisos, debiendo cumplir con los
requisitos que establezcan las reglas de la Resolución Miscelánea Fiscal.
287
Asimismo, se incluyó la posibilidad de que los demás contribuyentes también pudieran
hacer uso de los medios electrónicos para la presentación de declaraciones y avisos,
siempre que se cumplieran con los requisitos de las reglas de carácter general
expedidas por la Secretaría de Hacienda y Crédito Público.
Por otro lado una de las grandes modificaciones al Código Fiscal de la Federación para
el año 2000 (como una medida para simplificar el cumplimiento de las obligaciones
fiscales), consistió en otorgar a los contribuyentes una nueva forma para comprobar sus
adquisiciones, uso o goce temporal de los mismos, o la prestación de servicios
recibidos, la cual básicamente residía en obtener la devolución del cheque nominativo o
la emisión de estados de cuenta, de las instituciones de crédito o casas de bolsa,
aunado a una serie de requisitos.
Esta opción entró en vigor en marzo del 2001, no obstante, poco después de dicha
entrada en vigor, se publicó la regla 2.4.20. de la Resolución Miscelánea Fiscal 2000,
para prorrogar su aplicación hasta el 30 de junio de 2001.
En la Décima Sexta Modificación a la Resolución Miscelánea Fiscal de 2000 (Diario
Oficial de la Federación del 27 de julio del 2001), se permite a las instituciones de
crédito y las casas de bolsa no devolver los cheques nominativos o no emitir los
288
estados de cuenta a que estaban obligados, sin considerarse cometida una infracción
por lo que resta de dicho ejercicio.
En la ABM se han llegado a acuerdos en el sentido de únicamente considerar como
comprobante fiscal al estado de cuenta electrónico expedido por los Bancos y Casas de
Bolsa, para lo cual habrá que hacer las reformas y adecuaciones legales necesarias.
En el ámbito financiero, el Banco de México cuenta con las atribuciones legales
suficientes para implementar y regular el uso de medios electrónicos y sistemas de
seguridad en los sistemas de pagos, en las transferencias de fondos, y en la
celebración de operaciones activas, pasivas y de servicios de los intermediarios
financieros.
El sistema de pagos es el conjunto de instrumentos, procedimientos e instituciones
que permiten las transferencias de dinero entre los agentes económicos. Un sistema
de pagos seguro y eficiente contribuye a la efectividad de la política monetaria, a la
estabilidad del sistema financiero y al buen funcionamiento del conjunto de la
economía.
Un sistema de pagos comprende los pagos efectuados mediante efectivo y los
289
realizados sin efectivo, estos últimos se llevan a cabo a través de los sistemas
interbancarios de transferencias de fondos.
Con el objeto de que puedan celebrarse operaciones confiables a través de medios
electrónicos entre los intermediarios financieros, el Banco de México está promoviendo
una infraestructura de seguridad para el uso de medios de identificación en mensajes
electrónicos. Dicho esquema se basa en sistemas de criptografía asimétrica a partir de
los cuales se crean pares de claves matemáticamente relacionadas entre sí, una de las
claves es dada a conocer ampliamente mientras la otra es guardada en secreto. La
primera, conocida como clave pública, sirve para verificar que se ha utilizado la clave
privada correspondiente. La otra, conocida como clave privada, es la que se utiliza para
expresar la voluntad de reconocer el mensaje como propio.
Al efecto, se deja huella de la asociación que existe entre la clave pública y la privada
en un documento denominado certificado digital, el cual se hace público. Debido al gran
número posible de claves públicas, resulta necesario establecer una infraestructura
para administrar y distribuir las claves públicas de los usuarios, y garantizar, a través de
la expedición de certificados digitales, que la asociación que existe entre una clave
pública determinada y su propietario, sea confiable y asociada a un solo individuo.
290
La manera cómo funcionará la Infraestructura Extendida de Seguridad se presenta a
continuación:
La Agencia Registradora Central será la encargada de supervisar el funcionamiento de
la infraestructura, registrar las claves públicas así como autorizar la operación de las
demás entidades que forman parte del esquema. De ella dependerán de manera directa
la Agencia Certificadora y la Agencia Registradora (ambas funciones las puede
desarrollar una sola empresa).
La Agencia Certificadora tendrá a su cargo identificar al agente certificador, corroborar
la unicidad de las claves, expedir y registrar el certificado, con base en el precertificado
que le presenten los agentes certificadores.
Los Agentes Certificadores, dependerán de la agencia certificadora y tendrán la función
de identificar al usuario, verificar la relación entre claves y expedir el precertificado
antes mencionado.
Por lo que respecta a la Agencia Registradora, ésta tiene como responsabilidad el
registro, publicación y, en su caso, revocación de los certificados.
291
El Banco de México participará, en principio, como Agencia Registradora Central en las
operaciones que se celebren con las instituciones de crédito en el SIAC, en específico
en el SPEUA y en el SUBAN.
Para tal efecto se modificarán los contratos, los manuales de operación y las
disposiciones relativas a fin de incorporar la Infraestructura Extendida de Seguridad,
para prever la generación de la clave pública y privada de los bancos; las
características del software para la generación de las claves; el procedimiento para la
obtención del certificado, la manera de registrar la clave pública en el Banco de México,
las personas que fungirán como agentes certificadores y los requerimientos técnicos
para establecer comunicación con el Banco de México.
Con el objeto de evitar premuras en la implementación de la Infraestructura Extendida
de Seguridad se prevé un plazo amplio para la entrada en vigor de las nuevas
disposiciones.
En su primera etapa se tiene contemplado que este sistema comience a operar con
pocas instituciones, incorporándose paulatinamente el resto hasta incorporar al cien por
ciento de ellas. En la primera etapa quedarían fuera el SICAM, el TIIE-BAN y el OPCIBAN.
292
En cuanto a las operaciones de las instituciones de crédito con su clientela, por el
momento el Banco de México no ha emitido disposición alguna para regular el uso de
medios de identificación electrónica de las operaciones de la banca con su clientela, lo
cual no impide que se desarrollen estos sistemas en virtud de que, como se mencionó,
la Ley de Instituciones de Crédito permite a los bancos celebrar operaciones con el
público mediante el uso de equipos y sistemas automatizados.
Por último, como ya comentamos, Banxico está evaluando la conveniencia de crear una
sociedad mercantil o adecuar alguna ya existente para que realice las actividades de
Agencia Registradora Central. Esta empresa haría aplicable la Infraestructura Extendida
de Seguridad, no sólo al sector financiero, sino también al sector público y privado,
hasta en tanto o en lugar de llevar a cabo las reformas legales en materia de firma
electrónica y prestadoras de servicios de certificación.
293
9.- PROPUESTA CONCRETA DE REFORMA LEGISLATIVA124
LEY MODELO UNCITRAL
Artículo 1. Ámbito de aplicación
La presente Ley será aplicable en todos los
casos en que se utilicen firmas electrónicas en
el contexto* de actividades comerciales**.
No derogará ninguna norma jurídica destinada a
la protección del consumidor.
* La Comisión propone el texto siguiente para
los Estados que deseen ampliar el ámbito de
aplicación de la presente Ley:
“La presente Ley será aplicable en todos los
casos en que se utilicen firmas electrónicas,
excepto en las situaciones siguientes: [Y].”
** El término “comercial” deberá ser interpretado
en forma lata de manera que abarque las
cuestiones que dimanen de toda relación de
índole comercial, sea o no contractual. Las
relaciones de índole comercial comprenden, sin
que esta lista sea taxativa, las operaciones
siguientes: toda operación comercial de
suministro o intercambio de bienes o servicios;
acuerdos de distribución; representación o
mandato comercial; factoraje (Afactoring@);
arrendamiento
con
opción
de
compra
(Aleasing@); construcción de obras; consultoría;
ingeniería; concesión de licencias; inversiones;
financiación; banca; seguros; acuerdos o
concesiones
de
explotación;
empresas
conjuntas y otras formas de cooperación
industrial o comercial; transporte de mercancías
o de pasajeros por vía aérea, marítima y férrea
o por carretera.
CÓDIGO DE COMERCIO
LIBRO SEGUNDO
DEL COMERCIO ELECTRÓNICO
TÍTULO II BIS
DE LOS ELEMENTOS DE SEGURIDAD
PARA EL COMERCIO ELECTRONICO
CAPITULO PRIMERO
DE LAS FIRMAS ELECTRONICAS
Artículo 2. Definiciones
Artículo 95. Elementos de seguridad.- Para
efectos de este título, los elementos de
Para los fines de la presente Ley:
seguridad comprenden la firma electrónica,
a) Por “firma electrónica” se entenderán los firma electrónica avanzada y la prestación de
datos en forma electrónica consignados en un servicios de certificación.
mensaje de datos, o adjuntados o lógicamente
asociados al mismo que puedan ser utilizados
para identificar al firmante en relación con el
Artículo 96. Definiciones.- Para los efectos
mensaje de datos e indicar que el firmante
aprueba la información contenida en el mensaje de las disposiciones del presente título se
entenderá por:
de datos;
I. FIRMA ELECTRÓNICA: A los datos en
b) Por “certificado” se entenderá todo mensaje
forma electrónica consignados en un
de datos u otro registro que confirme el vínculo
124
La propuesta legislativa que se presenta en éste trabajo es la presentada por Grupo GILCE, del cual
el autor forma parte, ante la Comisión de Comercio de la Cámara de Diputados de la actual legislatura.
294
de datos u otro registro que confirme el vínculo
entre un firmante y los datos de creación de la
firma;
c) Por “mensaje de datos” se entenderá la
información generada, enviada, recibida o
archivada por medios electrónicos, ópticos o
similares, como pudieran ser, entre otros, el
intercambio electrónico de datos (EDI), el correo
electrónico, el telegrama, el télex o el telefax;
II.
d) Por “firmante” se entenderá la persona que
posee los datos de creación de la firma y que
actúa en nombre propio o de la persona a la que
representa;
e) Por “prestador de servicios de certificación”
se entenderá la persona que expide certificados
y puede prestar otros servicios relacionados con
las firmas electrónicas;
III.
f) Por “parte que confía” se entenderá la
persona que pueda actuar sobre la base de un
certificado o de una firma electrónica.
IV.
V.
VI.
VII.
VIII.
mensaje de datos, o adjuntados o
lógicamente asociados al mismo, que
puedan ser utilizados para identificar al
firmante en relación con el mensaje de
datos, en forma equivalente a la firma
manuscrita.
FIRMA ELECTRONICA AVANZADA: A
la firma electrónica que permite la
identificación del firmante y ha sido
generada bajo su exclusivo control que
vincula exclusivamente al mismo con el
mensaje de datos al que se adjunta o se
asocia, lo que permite que sea
detectable cualquier modificación ulterior
de éste. La firma digital es una especie
de firma electrónica avanzada.
CERTIFICADO: Al mensaje de datos u
otro registro expedido por un Prestador
de Servicios de Certificación, que
confirma el vínculo entre la identidad de
un firmante y los datos de creación de la
firma.
DATOS DE CREACIÓN DE FIRMA: son
los datos únicos, como códigos o claves
criptográficas privadas, que el firmante
utiliza para crear la firma electrónica.
DESTINATARIO: A quien va dirigido un
mensaje de datos, reconoce al firmante y
procede en consecuencia sobre la base
de un certificado o firma electrónica. Es
la parte que confía en el certificado.
DISPOSITIVO DE CREACIÓN DE
FIRMA: es un programa o sistema
informático que sirve para aplicar los
datos de creación de firma.
FIRMANTE: A la persona que posee los
datos de creación de la firma y que actúa
en nombre propio o de la persona a la
que representa;
PRESTADOR DE SERVICIOS DE
CERTIFICACIÓN: A quien expide
certificados y puede prestar otros
servicios relacionados con las firmas
electrónicas avanzadas.
.
Artículo 3. Igualdad de tratamiento de las Artículo 97.
Las disposiciones del presente
295
tecnologías para la firma
Ninguna de las disposiciones de la presente
Ley, con la excepción del artículo 5, será
aplicada de modo que excluya, restrinja o prive
de efecto jurídico cualquier método para crear
una firma electrónica que cumpla los requisitos
enunciados en el párrafo 1) del artículo 6 o que
cumpla de otro modo los requisitos del derecho
aplicable.
Artículo 4. Interpretación
Código serán aplicadas de modo que no
excluyan, restrinjan o priven de efecto jurídico
cualquier método para crear una firma
electrónica siempre y cuando cumpla con los
requisitos enunciados en el Artículo 98 o que
cumpla de otro modo los requisitos de la
legislación aplicable.
125
1) En la interpretación de la presente Ley
habrán de tenerse en cuenta su origen
internacional y la necesidad de promover la
uniformidad en su aplicación y la observancia de
la buena fe.
2) Las cuestiones relativas a materias que se
rijan por la presente Ley y que no estén
expresamente resueltas en ella serán dirimidas
de conformidad con los principios generales en
que se inspira.
Artículo 5. Modificación mediante acuerdo
126
Las partes podrán hacer excepciones a la
presente Ley o modificar sus efectos mediante
acuerdo, salvo que ese acuerdo no sea válido o
eficaz conforme al derecho aplicable.
Artículo 6. Cumplimiento del requisito de
firma
1) Cuando la ley exija la firma de una persona,
ese requisito quedará cumplido en relación con
un mensaje de datos si se utiliza una firma
electrónica que, a la luz de todas las
circunstancias del caso, incluido cualquier
acuerdo aplicable, sea tan fiable como resulte
apropiado a los fines para los cuales se generó
o comunicó ese mensaje.
2) El párrafo 1) será aplicable tanto si el
requisito a que se refiere está expresado en la
forma de una obligación como si la ley
simplemente prevé consecuencias para el caso
de que no haya firma.
3) La firma electrónica se considerará fiable a
125
Artículo 98. Cumplimiento del requisito de
firma. Cuando la ley requiera o las partes
acuerden la existencia de una firma en
relación con un mensaje de datos, se
entenderá satisfecho dicho requerimiento si
éste ha sido firmado electrónicamente.
La firma electrónica se considerará fiable si
existe acuerdo previo entre las partes para tal
efecto.
En ausencia de acuerdo entre las partes y
salvo prueba en contrario, la firma electrónica
se considerará avanzada y asimismo fiable,
si:
I. los datos de creación de la firma, en el
contexto en que son utilizados,
No consideramos prudente incluirlo ya que se encuentra en la legislación adjetiva
126
No consideramos prudente incluirlo ya que se encuentra en la legislación sustantiva (C. De Com.
Voluntad de las partes)
296
los efectos del cumplimiento del requisito a que
se refiere el párrafo 1) si:
e) los datos de creación de la firma, en el
contexto
en
que
son
utilizados,
corresponden exclusivamente al firmante;
f) los datos de creación de la firma estaban,
en el momento de la firma, bajo el control
exclusivo del firmante;
g) es posible detectar cualquier alteración de la
firma electrónica hecha después del
momento de la firma; y
h) cuando uno de los objetivos del requisit o
legal de firma consista en dar seguridades
en cuanto a la integridad de la información a
que corresponde, es posible detectar
cualquier alteración de esa información
hecha después del momento de la firma.
4) Lo dispuesto en el párrafo 3) se entenderá sin
perjuicio de la posibilidad de que cualquier
persona:
a) demuestre de cualquier otra manera, a los
efectos de cumplir el requisito a que se refiere el
párrafo 1), la fiabilidad de una firma electrónica;
o
b) aduzca pruebas de que una firma electrónica
n o es fiable.
5) Lo dispuesto en el presente artículo no será
aplicable a: [Y].
Artículo 7. Cumplimiento de lo dispuesto en
el artículo 6
1) [La persona, el órgano o la entidad, del sector
público o privado, a que el Estado promulgante
haya expresamente atribuido competencia]
podrá determinar qué firmas electrónicas
cumplen lo dispuesto en el artículo 6.
2) La determinación que se haga con arreglo al
párrafo 1) deberá ser compatible con las normas
o criterios internacionales reconocidos.
3) Lo dispuesto en el presente artículo se
entenderá sin perjuicio de la aplicación de las
normas del derecho internacional privado.
II.
III.
IV.
V.
corresponden
exclusivamente
al
firmante;
los datos de creación de la firma
estaban, en el momento de la firma, bajo
el control exclusivo del firmante;
es posible detectar cualquier alteración
de la firma electrónica hecha después
del momento de la firma; y
es posible detectar cualquier alteración
de esa información contenida en un
mensaje de datos hecha después del
momento de la firma.
cuenta con un certificado expedido por
un
Prestador
de
Servicios
de
Certificación o con un medio que
confirme el vínculo entre la identidad de
un firmante y los datos de creación de su
firma.
Artículo 99. Cumplimiento de lo dispuesto
en el Artículo anterior. La [Autoridad
Gubernamental correspondiente]
podrá
determinar qué firmas electrónicas cumplen
los requerimientos técnicos de lo dispuesto en
el Artículo 98.
La determinación que se haga, con arreglo al
párrafo anterior, deberá ser compatible con
las normas o criterios internacionales
reconocidos.
Lo dispuesto en el presente Artículo se
entenderá sin perjuicio de la aplicación de las
normas del derecho internacional privado
127
Artículo 8. Proceder del firmante
Artículo 100. Responsabilidades del
1) Cuando puedan utilizarse datos de creación uso de la firma electrónica y de la firma
de firmas para crear una firma con efectos
127
Consideramos que sería sobreregulatorio quien cree confía. La forma de actuar depende del firmante
y si actúa sin diligencia de todas maneras es responsable. Adverbios de difícil aplicabilidad en nuestro
297
de firmas para crear una firma con efectos electrónica avanzada. Será responsabilidad
jurídicos, cada firmante deberá:
del firmante, usuario de firmas electrónicas:
a) actuar con diligencia razonable para evitar la
I. Conservar sus datos y dispositivos de
utilización no autorizada de sus datos de
creación de firma (Clave Privada) y
creación de la firma;
establecer los medios razonables para
b) dar aviso sin dilación indebida a cualquier
persona que, según pueda razonablemente
evitar la utilización no autorizada de sus
prever, pueda considerar fiable la firma
datos y dispositivos de creación de la
electrónica o prestar servicios que la apoyen si:
firma;
i) sabe que los datos de creación de la firma han
II.
Difundir, en su caso, su Clave pública,
quedado en entredicho; o
que permita al Destinatario reconocer al
ii) las circunstancias de que tiene conocimiento
dan lugar a un riesgo considerable de que los
firmante y proceder en consecuencia
datos de creación de la firma hayan quedado en
sobre la base de un certificado o firma
entredicho;
electrónica.
c) cuando se emplee un certificado para
refrendar la firma electrónica, actuar con III. Reportar al prestador de servicios de
certificación cualquier anomalía que
diligencia razonable para cerciorarse de que
todas las declaraciones que haya hecho en
descubra o cualquier intento de violación
relación con su ciclo vital o que hayan de
o falsificación, así como su revocación,
consignarse en él sean exactas y cabales.
en su caso.
2) El firmante incurrirá en responsabilidad por el
incumplimiento de los requisitos enunciados en
el párrafo 1).
Artículo 9. Proceder del prestador de
servicios de certificación
1) Cuando un prestador de servicios de
certificación preste servicios para apoyar una
firma electrónica que pueda utilizarse como
firma con efectos jurídicos, ese prestador de
servicios de certificación deberá:
a) actuar de conformidad con las declaraciones
que haga respecto de sus normas y prácticas;
b) actuar con diligencia razonable para
cerciorarse de que todas las declaraciones
importantes que haya hecho en relación con el
ciclo vital del certificado o que estén
consignadas en él sean exactas y cabales;
c)
proporcionar
medios
de
acceso
razonablemente fácil que permitan a la parte
que confía en el certificado determinar mediante
éste:
i) la identidad del prestador de servicios de
certificación;
ii) que el firmante nombrado en el certificado
tenía bajo su control los datos de creación de la
CAPITULO SEGUNDO
DE LOS PRESTADORES DE SERVICIOS DE
CERTIFICACIÓN
Artículo 101. Podrán ser Prestadores de
Servicios de Certificación los Notarios
Públicos, Corredores Públicos, Personas
Morales o Instituciones Públicas, constituidas
y existentes conforme a la ley, que incluyan
en su objeto o estén autorizadas para ejercer
la función de prestación de servicios de
certificación.
Los Prestadores de Servicios de Certificación,
podrán realizar cualesquiera o todas de las
siguientes actividades:
a) Verificación de la identidad de los usuarios
y vinculación de los medios de
identificación con su clave pública
b) Identificación del prestador de servicios de
certificación a que se refiere el párrafo
anterior y los datos de creación de la firma
d l
i
sistema jurídico. Podría proceder al respecto una mención
Consumidor.
en la Ley
Federal de Protección al
298
firma en el momento en que se expidió el
certificado;
iii) que los datos de creación de la firma eran
válidos en la fecha en que se expidió el
certificado o antes de ella;
d)
proporcionar
medios
de
acceso
razonablemente fácil que, según proceda,
permitan a la parte que confía en el certificado
determinar mediante éste o de otra manera:
i) el método utilizado para identificar al firmante;
ii) cualquier limitación en los fines o el valor
respecto de los cuales puedan utilizarse los
datos de creación de la firma o el certificado;
iii) si los datos de creación de la firma son
válidos y no están en entredicho;
iv) cualquier limitación en cuanto al ámbito o el
alcance de la responsabilidad indicada por el
prestador de servicios de certificación;
v) si existe un medio para que el firmante dé
aviso de que los datos de creación de la firma
están en entredicho, conforme a lo dispuesto en
el apartado b) del párrafo 1) del artículo 8;
vi) si se ofrece un servicio de revocación
oportuna del cert ificado;
e) cuando se ofrezcan servicios conforme al
inciso v) del apartado d), proporcionar un medio
para que el firmante dé aviso conforme al
apartado b) del párrafo 1) del artículo 8 y,
cuando se ofrezcan servicios en virtud del inciso
vi) del apartado d), cerciorarse de que exista un
servicio de revocación oportuna del certificado;
f) utilizar, al prestar sus servicios, sistemas,
procedimientos y recursos humanos fiables.
2) El prestador de servicios de certificación
incurrirá
en
responsabilidad
por
el
incumplimiento de los requisitos enunciados en
el párrafo 1).
del usuario.
c) Identificación del prestador de servicios de
certificación a que se refiere el párrafo
anterior, registro de la clave pública del
usuario y expedición del certificado
correspondiente
Para ser prestador de servicios de
certificación se requiere acreditación en el
registro de
[Autoridad Gubernamental
correspondiente] la cual no podrá ser negada
si el solicitante cumple con los siguientes
requisitos:
I. Contar con los elementos humanos,
materiales, económicos y tecnológicos
requeridos para prestar el servicio,
garantizando la seguridad de la
información y su confidencialidad, los
cuales serán determinados en forma
específica en un Reglamento que al
efecto se expida por la [Autoridad
Gubernamental correspondiente].
II. Contar con procedimientos definidos y
específicos para la tramitación del
certificado,
las
solicitudes
de
certificados, y la conservación de
registros.
III. Establecer declaraciones sobre sus
normas y prácticas, las cuales hace del
conocimiento
del
usuario
y
el
destinatario.
IV. Los representantes legales y personal
administrativo deberán acreditar no
haber sido condenados por delito contra
la propiedad de las personas o que
merezca pena corporal o que por
cualquier motivo
hubieren sido
inhabilitados para desempeñar un
puesto en el servicio público, en el
sistema financiero o para ejercer el
comercio.
V. Contar con Seguro y/o Fianza vigente
por el monto y condiciones que se
determine en forma general en un
Reglamento que al efecto se expida
[Autoridad
Gubernamental
299
correspondiente].
medios de acceso que
permitan al destinatario en el certificado
determinar:
a)
la identidad del prestador de
servicios de certificación;
b)
que el firmante nombrado en el
certificado tenía bajo su control el
dispositivo y los datos de creación
de la firma en el momento en que
se expidió el certificado;
c)
que los datos de creación de la
firma eran válidos en la fecha en
que se expidió el certificado;
d)
el método utilizado para identificar
al firmante;
e)
cualquier limitación en los fines o el
valor respecto de los cuales puedan
utilizarse los datos de creación de la
firma o el certificado;
f)
si los datos de creación de la firma
son válidos y no han sido de alguna
manera
impugnados
ante
la
[Autoridad
Gubernamental
correspondiente]);
g)
cualquier limitación en cuanto al
ámbito o el alcance de la
responsabilidad indicada por el
prestador
de
servicios
de
certificación;
h)
si existe un medio para que el
firmante de aviso de que los datos
de creación de la firma han sido de
alguna manera impugnados ante la
[Autoridad
Gubernamental
correspondiente);
i)
si se ofrece un servicio de
revocación oportuna del certificado;
VII. Disponibilidad de información para los
firmantes nombrados en el certificado y
para los destinatarios o las partes que
confíen en éste.
VIII. Establecer por escrito su conformidad
para ser sujeto a Auditoría periódica por
parte de la [Autoridad Gubernamental
correspondiente]
VI. Proporcionar
300
IX. Registrar
su clave pública ante el
registro de la [Autoridad Gubernamental
correspondiente]
Artículo 102. Los prestadores de servicios de
certificación deben cumplir las siguientes
obligaciones:
I. Comprobar por sí o por medio de una
persona física o moral que actúe en
nombre y por cuenta suyos, la identidad
y cualesquiera circunstancias personales
de los solicitantes de los certificados
relevantes para el fin propio de éstos,
utilizando cualquiera de los medios
admitidos en derecho.
II. Poner a disposición del firmante los
dispositivos de creación y de verificación
de firma electrónica.
III. No almacenar ni copiar los datos de
creación de firma de la persona a la que
hayan prestado sus servicios, salvo que
ésta lo solicite.
IV. Informar, antes de la emisión de un
certificado, a la persona que solicite sus
servicios, de su precio, de las
condiciones precisas para la utilización
del certificado, de sus limitaciones de
uso y de la forma en que garantiza su
posible responsabilidad patrimonial.
V. Mantener un registro de certificados, en
el que quedará constancia de los
emitidos y figurarán las circunstancias
que afecten a la suspensión, perdida o
revocación de vigencia de sus efectos. A
dicho registro podrá accederse por
medios telemáticos y su contenido
estará a disposición de las personas que
lo soliciten, cuando así lo autorice el
firmante.
VI. Guardar confidencialidad respecto de
sus operaciones. En el caso de cesar en
su actividad, los prestadores de servicios
de certificación deberán comunicarlo a
[Autoridad
Gubernamental
correspondiente]
con cuando menos
301
_____ de anticipación, en los términos
del Reglamento correspondiente.
En el caso de cesar en su actividad, los
prestadores de servicios de certificación
deberán
comunicarlo
a
[Autoridad
Gubernamental correspondiente] con cuando
menos _____ de anticipación, en los términos
del Reglamento correspondiente.
Artículo 103. Los Prestadores de Servicios
de Certificación Responderán por los daños y
perjuicios que causen a cualquier persona, en
el ejercicio de su actividad, cuando incumplan
las obligaciones que les impone la ley, el
Reglamento; o actúen con dolo, negligencia o
impericia. La responsabilidad de los fedatarios
públicos se regirá por las leyes que norman
su actuación.
Lo dispuesto en este Artículo, se entiende sin
perjuicio de lo establecido en la legislación
sobre protección de los consumidores y
usuarios.
.
Igualmente
podrán
ser
responsables de los ilícitos en que incurran en
los términos de la legislación penal.
Artículo 10. Fiabilidad
Artículo 104.
Los certificados deberán
A los efectos del apartado f) del párrafo 1) del contener:
artículo 9, para determinar si los sistemas,
I. La indicación de que se expiden como
procedimientos o recursos humanos utilizados
tales.
por un prestador de servicios de certificación
II. El código de identificación único del
son fiables, y en qué medida lo son, podrán
tenerse en cuenta los factores siguientes:
certificado.
a) los recursos humanos y financieros, incluida III. La identificación del prestador de
la existencia de un activo;
servicios de certificación que expide el
b) la calidad de los sistemas de equipo y
certificado, indicando su nombre o razón
programas informáticos;
social, su domicilio, su dirección de
c) los procedimientos para la tramitación del
certificado y las solicitudes de certificados, y la
correo electrónico, su Registro Federal
conservación de registros;
de Contribuyentes y, en su caso, sus
d) la disponibilidad de información para los
datos de acreditación.
firmantes nombrados en el certificado y para las
IV.
La firma electrónica avanzada del
partes que confíen en éste;
prestador de servicios de certificación
e) la periodicidad y el alcance de la auditoría por
un órgano independiente;
que expide el certificado.
f) la existencia de una declaración del Estado,
V. La identificación del firmante, por su
de un órgano de acreditación o del prestador de
nombre y apellidos o a través de un
servicios
de
certificación
respecto
del
seudónimo que permita la identificación
cumplimiento o la existencia de los factores que
302
anteceden; y
g) cualesquiera otros factores pertinentes.
inequívoca de quien lo utiliza.
VI. En los supuestos de representación, la
VII.
VIII.
IX.
X.
indicación del documento que acredite
las facultades del firmante para actuar
en nombre de la persona física o jurídica
a la que represente.
Los datos de verificación de firma que
correspondan a los datos de creación de
firma que se encuentren bajo el control
del firmante.
El comienzo y el fin del período de
validez del certificado.
Los límites de uso del certificado o
límites del valor de las transacciones
para las que puede utilizarse, si se
prevén.
En caso de firma mancomunada, la
forma y términos en que la misma debe
quedar completa.
Artículo 105. Representación de personas
morales en el uso de certificados. Los
certificados emitidos a favor de personas
morales, deberán cubrir además los
siguientes requisitos:.
I. Solo podrán solicitar certificados a favor
de
personas
morales
sus
administradores, representantes legales
y apoderados con poder bastante a
estos efectos.
II. En el caso de certificados, la identidad y
el poder de representación de las
personas que soliciten certificados a
nombre de personas morales será
verificado conforme a la legislación
aplicable.
III. El uso de los datos de creación de firma
y de los certificados expedidos a nombre
de personas morales corresponderá a
una sola persona, cuyo nombre y
apellidos figurarán en el certificado
emitido a nombre de la persona moral.
IV. El certificado de la persona moral deberá
ser revocado cuando la persona física
identificada en el certificado perdiera su
303
capacidad para utlilizar los datos de
creación de firma de la persona moral.
V. Las personas autorizadas para utilizar
los datos de creación de firma de una
persona moral se responsabilizarán del
correcto uso de la firma y del certificado
de la misma y de cualquier daño o
perjuicio que se ocasione a ésta por el
incumplimiento de las obligaciones que
le sean exigibles con arreglo a lo
dispuesto en éste Código y en el
Reglamento correspondiente.
Los administradores sociales y demás
representantes a que se refiere éste
Artículo
serán
responsables
del
cumplimiento de las obligaciones que le
sean exigibles con arreglo a lo dispuesto
en éste Código y en el Reglamento
correspondiente.
Artículo 106. Los certificados quedarán sin
efecto, si concurre alguna de las siguientes
circunstancias
I. Expiración del período de validez del
certificado, el cual no podrá ser superior
a ___ años, contados a partir de la fecha
en que se hubieren expedido. Antes de
que concluya el periodo de validez del
certificado podrá el firmante refrendarlo
ante el Prestador de Servicios de
Certificación.
II. Revocación por el firmante, por la
persona física o moral representada por
éste o por un tercero autorizado.
III. Pérdida o inutilización por daños del
dispositivo en el que se contenga dicho
certificado.
IV. Resolución judicial o administrativa que
lo ordene.
Artículo 11. Proceder de la parte que confía
en el certificado
Serán de cargo de la parte que confía en el
certificado las consecuencias jurídicas que
entrañe el hecho de que no haya tomado
304
medidas razonables para:
a) verificar la fiabilidad de la firma electrónica; o
b) cuando la firma electrónica esté refrendada
por un certificado:
i) verificar la validez, suspensión o revocación
del certificado; y
ii) tener en cuenta cualquier limitación en
relación con el certificado.
CAPITULO TERCERO
RECONOCIMIENTO DE CERTIFICADOS Y
FIRMAS ELECTRÓNICAS EXTRANJERAS
Artículo 12. Reconocimiento de certificados
y firmas electrónicas extranjeros
1) Al determinar si un certificado o una firma
electrónica produce efectos jurídicos, o en qué
medida los produce, no se tomará en
consideración:
a) el lugar en que se haya expedido el
certificado o en que se haya creado o utilizado
la firma electrónica; ni
b) el lugar en que se encuentre el
establecimiento del expedidor o firmante.
2) Todo certificado expedido fuera [del Estado
promulgante] producirá los mismos efectos
jurídicos en [el Estado promulgante] que todo
certificado expedido en [el Estado promulgante]
si
presenta
un
grado
de
fiabilidad
sustancialmente
equivalente.
3) Toda firma electrónica creada o utilizada
fuera [del Estado promulgante] producirá los
mismos efectos jurídicos en [el Estado
promulgante] que toda firma electrónica creada
o utilizada en [el Estado promulgante] si
presenta un grado de
fiabilidad sustancialmente equivalente.
4) A efectos de determinar si un certificado o
una firma electrónica presentan un grado de
fiabilidad sustancialmente equivalente para los
fines de párrafo 2), o del párrafo 3), se tomarán
en consideración las normas internacionales
reconocidas y cualquier otro factor pertinente.
5) Cuando, sin perjuicio de lo dispuesto en los
párrafos 2), 3) y 4), las partes acuerden entre sí
la utilización de determinados tipos de firmas
electrónicas y certificados, se reconocerá que
ese acuerdo es suficiente a efectos del
reconocimiento transfronterizo, salvo que ese
acuerdo no sea válido o eficaz conforme al
derecho aplicable.
Artículo 107.
Los certificados que los
prestadores de servicios de certificación
establecidos en otros Países se considerarán
equivalentes a los expedidos por los
establecidos en México, siempre que se
cumplan
alguna
de
las
siguientes
condiciones:
I. que el prestador de servicios reúna los
requisitos establecidos por el Artículo
101 y haya sido acreditado por la
Autoridad
Gubernamental
correspondiente de su país de origen; y
II. que el certificado expedido por el
prestador de servicios de certificación
extranjero
cumpla
los
requisitos
establecidos por el Artículo 98; o bien, se
acredite, que el certificado o el prestador
de servicios estén reconocidos en virtud
de tratado o un acuerdo bilateral o
multilateral entre México y otros países u
organizaciones internacionales..
Lo dispuesto anteriormente estará sujeto al
reconocimiento
de
la
reciprocidad
internacional respecto de los certificados que
se expidan en México cumpliendo con las
disposiciones del presente Código
CAPÍTULO CUARTO
305
DE LAS SANCIONES E INFRACCIONES
Artículo 108. El Prestador de Servicios de
Certificación
que
incumpla
con
las
obligaciones que se le imponen en el
presente Código, previa garantía de
audiencia, tomando en cuenta la gravedad de
la situación o su reincidencia, podrá ser
sancionado por la [Autoridad Gubernamental
correspondiente] con suspensión temporal o
definitiva de sus funciones, con la
consecuente cancelación de su registro,
independientemente de las acciones civiles o
penales que pudieren corresponder.
306
10.- CONCLUSIONES
I.- Internet es un medio, no un fin en sí mismo. El comercio no deja de ser comercio aún
cuando tenga el calificativo de electrónico.
II.- México cuenta con legislación que reconoce la validez jurídica del contrato
electrónico, su posibilidad de exigibilidad judicial, medios probatorios y criterios para su
valoración en juicio.
III.- Para que un mensaje de datos en el que se consignen contratos, convenios o
compromisos que den nacimiento a derechos y obligaciones, pueda considerarse
legalmente válido, es necesario asegurar que la información en él contenida reúna las
siguientes características:
INTEGRIDAD:
Entendida en dos vertientes, la primera respecto de la fiabilidad del método para
generarla, comunicarla, recibirla o archivarla. Y la segunda como la forma de garantizar
que la información en él contenida no fue alterada. Al respecto la Secretaría de
Economía elaboró un proyecto de Norma Oficial Mexicana que establecerá los
requisitos que deban observarse para la conservación de mensajes de datos, con
fundamento en lo dispuesto por el artículo 49 segundo párrafo del Código de Comercio.
ATRIBUCIÓN:
307
La forma en que podemos garantizar que las partes que se obligan en la relación
jurídica son quienes dicen ser y expresan su voluntad libre de vicios. Esta atribución a
las personas obligadas en la relación jurídica que se pretende formalizar en un mensaje
de datos, no es más que una “FIRMA ELECTRÓNICA”.
ACCESIBILIDAD:
Se refiere a que el contenido de un mensaje de datos en el que se consignen contratos,
convenios o compromisos que den nacimiento a derechos y obligaciones, pueda estar
disponible al usuario (emisor, receptor, juez, auditor, autoridades, etc.) para su ulterior
consulta, siempre y cuando reúna las dos características anteriormente anotadas. Para
lo cual deberá establecerse en la legislación federal que al efecto deberá emitirse la
forma de presentar a “los usuarios” estos mensajes de datos, la cual podría hacerse
previa certificación de atribución e integridad por parte del prestador de servicios de
certificación.
IV.- Es de hacer notar la falta de técnica legislativa que se hace patente en la redacción
del primer párrafo del artículo 49 del Código de Comercio, que señala: “Los
comerciantes están obligados a conservar por un plazo mínimo de diez años los
originales de aquellas cartas, telegramas, mensajes de datos o cualesquiera otros
documentos en que se consignen contratos, convenios o compromisos que den
nacimiento a derechos y obligaciones. “ , toda vez que el Código Civil Federal en su
artículo 1793 establece que “los convenios que producen o transfieren las obligaciones
y derechos, toman el nombre de contratos”.
308
V.- Actualmente se está trabajando en algunos proyectos legislativos como son las
reformas al Código de Comercio en materia de firmas electrónicas y prestadores de
servicios de certificación, Reformas en materia penal en lo relativo al “crimen
electrónico”, Protección de datos personales, etc.
VI.- En cuanto a la firma es importante destacar que su función más importante es la de
ser el instrumento por medio del cual el firmante expresa su voluntad, es la
exteriorización de la declaración de voluntad de una persona. Esta exteriorización de la
declaración de voluntad puede hacerse por medios electrónicos, siempre que
legalmente se atribuya a el firmante, es aquí donde cobra fuerza la función identificativa
de la misma, para dar certeza de que es él y no un tercero quien asume la obligación.
VII.- La firma electrónica, como comentamos, podemos clasificarla de la siguiente
manera:
SIMPLE definida como los datos en forma electrónica consignados en un mensaje de
datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para
identificar al firmante en relación con el mensaje de datos (partiendo de la presunción,
en materia mercantil, de que el mensaje ha sido enviado usando medios de
identificación como claves o contraseñas por ambas partes conocidas, para lo cual se
requerirá de un acuerdo previo y firmado en forma autógrafa por las partes) o
AVANZADA que podemos conceptuar como la firma electrónica que permite la
identificación del firmante y ha sido generada bajo su exclusivo control que vincula
exclusivamente al mismo con el mensaje de datos al que se adjunta o se asocia, lo que
309
permite que sea detectable cualquier modificación ulterior de éste (entendida como
proceso electrónico que permite al receptor de un mensaje de datos identificar
formalmente a su autor, el cual mantiene bajo su exclusivo control los medios para
crear dicha firma, de manera que esté vinculada únicamente a él y a los datos a que se
refiere el mensaje, permitiendo detectar cualquier modificación ulterior al contenido del
mismo, garantizando así la identidad del titular y que éste no pueda desconocer la
autoría del documento.
VIII.- Para lo anterior será necesario que se expida legislación federal relativa a la firma
electrónica “avanzada” en la que se regule la actividad de los prestadores de servicios
de certificación, a los propios certificados de firmas electrónicas, así como la
admisibilidad y forma de presentar como prueba en juicio a los mensajes de datos
firmados y se establezcan los requisitos técnicos necesarios.
IX.- Debemos distinguir entre lo que comúnmente se denomina “firma digital” y la “firma
electrónica avanzada”, ya que la primera es una especie de la segunda, esto es, la
firma digital es una firma electrónica avanzada elaborada bajo los estándares de la
tecnología PKI. Esto quiere decir que denominarla firma digital nos limitaría a una
tecnología de encriptación y violaríamos el principio internacional de Neutralidad
Tecnológica.
X.- Por último presentamos un proyecto concreto de reformas al Código de Comercio
en materia de firma electrónica y prestadores de servicios de certificación.
310
BIBLIOGRAFÍA Y LEGISLACIÓN
I. A Framework for Global Electronic Commerce, Smith & Lyons Information
Technology page, 1999
II. Acosta Romero, Miguel; “Nuevo Derecho Mercantil”; capítulo XVIII: La firma en el
derecho mercantil mexicano; Editorial Porrúa; Primera Edición; 15 de agosto del
2000.
III. Amparo directo 4019/1956. Dolores Guadarrama Vda. de Reza. Resuelto el 17 de
julio de 1957, por unanimidad de 5 votos. Ponente: ministro García Rojas.
Secretario: Lic. Alfonso Arbitia A.
IV. Amparo Directo 435/57. Jorge Suárez D’Alessio. Resuelto 11 de marzo de 1959,
por unanimidad de 4 votos. Ausente el señor maestro García Rojas. Ponente: el
señor ministro López Lira, 3ª. Sala. Informe 1959, p. 100.
V. Amparo directo 9106/1961. Agustín Vigueras Téllez Such, enero 7 de 1963.
Unanimidad de 4 votos. Ponente: ministro José Castro Estrada. 38 Sala. Sexta
época. Volumen LXVII, Cuarta parte (38 Sala. Boletín 1957, p. 492).
VI. Baltierra Alfredo, tesis para obtener el título de licenciado en derecho, La firma en
el Derecho Bancario Mexicano Facultad de Derecho de la UNAM, 1973.
VII. Barrios Garrido, Gabriela y otros, “Internet y Derecho en México”, Editorial Mc.
Graw Hill, 1999
VIII. Barzallo, José Luis. “La firma digital”, Quito – Ecuador. [email protected]
IX. Benjamín Conway, Outrage in Cyberspace: CompuServe and the GIF Patent
Harvard Business School Publishing; Boston, 2000.
311
X. Bolio A. Ernesto y Llaguno. Jorge A. Revista Istmo número 250 Septiembre –
Octubre del 2000, artículo Creatividad e Innovación en Internet.
XI. Bradley Smith y Wan-go Wen, China a History in Art. Windfall & Co., 1972, Carden
City, N. Y., U.S.A.,
XII. Bravo Machado, Antonio: Seguridad en transacciones por internet; Universidad
Panamericana; Tesis para obtener el título de licenciado en derecho; 2001
XIII. Cameron, Deb.
“The Internet, a Global Business Opportunity”, Computer
Research Corp. Journal, EUA, 1995, p. 136.
XIV. Carroll, J. y Broadhead, R., “Canadian Internet Handbook”, Editorial Prentice Hall,
1995, Scarborough,
XV. Centre
for
Asian
Business
Cases,
Multi-jurisdictional
Compliance
in
Cyberspace.School of Business, The University of Hong Kong; Hong Kong, 2000.
XVI. Circular BANXICO 2019/95 y 1098/98
XVII. Clarke, R.A., “A Normative Regulatory Framework for Computer Matching”, The
John Marshall Journal of Computer & Information Law, vol. XIII, 1995.
XVIII. Código Civil para el Distrito Federal, en Materia Común y para toda la República
en Materia Federal (Ahora Código Civil Federal)
XIX. Código de Comercio
XX. Código Federal de Procedimientos Civiles
XXI. Código Fiscal de la Federación
XXII. Constitución Política de los Estados Unidos Mexicanos
XXIII. Decreto por el que se reforma y adiciona la Ley Federal de Instituciones de
Fianzas, Diario Oficial, 29 de diciembre de 1981.
312
XXIV. Diario Oficial de la Federación
6/10/2000: CONVENIO de Colaboración para
establecer los mecanismos de emisión y administración de los certificados
digitales, que se utilizarán para acceder al Registro Público de Comercio y para
realizar transacciones comerciales, que celebran la Secretaría de Comercio y
Fomento Industrial y la Asociación Nacional del NotariadoMexicano, A.C.
XXV. Diario Oficial de la Federación
6/10/2000: CONVENIO de Colaboración para
establecer los mecanismos de emisión y administración de los certificados
digitales, que se utilizarán para acceder al Registro Público de Comercio y para
realizar transacciones comerciales, que celebran la Secretaría de Comercio y
Fomento Industrial y el Colegio Nacional de Correduría Pública Mexicana, A.C.
XXVI. Diario Oficial de la Federación 29/05/2000: Decreto por el que se reforman y
adicionan diversas disposiciones del Código Civil para el Distrito Federal en
Materia Común y para toda la República en Materia Federal (ahora Código Civil
Federal), del Código Federal de Procedimientos Civiles, del Código de Comercio y
de la Ley Federal de Protección al Consumidor:
XXVII. Diario Oficial de la Federación 31/05/2001: CONVENIO de Colaboración para
participar en los programas de modernización registral y de economía digital, que
celebran la Secretaría de Economía y la Asociación Nacional del Notariado
Mexicano, A.C.
XXVIII. Dictamen de la Comisión de Reforma de Códigos recaído sobre el proyecto de ley
5070-99 CR que regula las firmas electrónicas, suscrito por el congresista Jorge
Muñiz Ziches
313
XXIX. Dictamen del Decreto de reformas en materia de comercio electrónico publicado
en el Diario Oficial de la Federación el 29 de Mayo de 2000.
XXX. Edgardo A. Villalobos A., En Panamá: ¿está protegida la intimidad por violaciones
a través de la informática?; Universidad Pontificia Comillas, Encuentros sobre
Informática y Derecho; Madrid, 1997-1998.
XXXI. Emery, Vince, “How to Grow your Business on the Net”, Edit. Coriolis Group/IDG,
1996.
XXXII. Enciclopedia Jurídica Omeba, Tomo XII, Editorial Bibliográfica Argentina, pp. 290293
XXXIII. Enciclopedia Jurídica Omeba. Tomo primero, p. 958. Editorial Bibliográfica
Argentina. Julio, 1968.
XXXIV. Esteban María Teresa; Delitos Cibernéticos; trabajo presentado en la Universidad
Panamericana; 2001
XXXV. Federal Communications Act of 1934, cap. 652, 48 stat. 1064 (1934), reformado en
47 USC (UNITED STATES CODE).
XXXVI. Fernández Flores, Rafael, “La WWW una telaraña que se teje a plena luz del día”,
en la revista RED, no. 70, año VI, julio de 1996,
XXXVII. Floris Margadant G.. “Derecho Privado Romano” 4ª ed. Editorial Porrúa. 1993
XXXVIII. García Varela Antonio. Stop Gates. Now,. Editorial Foca ;Investigación. España.
1999.
XXXIX. Godwin, M., “The Law of the Net: Problems and Prospects”, Internet World, 1993,
XL. Graham Allan, Baker & McKenzie, Electronic Trade: Contractual Niceties in
Hyperspace,, London, October 1996, en: www.bakerinfo.com
314
XLI. Guibourg, Ricardo y otros, “Manual de Informática Jurídica”, Editorial Astrea, p. 57,
Buenos Aires, 1996.
XLII. Information Infraestructure Technology and applications (IITA) Task Group,
National
Coordination
Office
for
High
Performance
Computing
and
Communications, February 1994,
XLIII. Iniciativa de la Ley de Protección de Datos Personales,
XLIV. Kahin, Brian, Keller, James “Public Acess to the Internet”, Institute of Technology
Press, 1996.
XLV. Katsh, M. Ethan, Cybertime, Cyberspace and Cyberlaw, 1995, J. Online L.
XLVI. Katsh, M. Ethan, Rights, Camera, Action: Cyberspatial Settings and the First
Ammendment, 104 Yale L.J. 1681, (1995).
XLVII. Katsh, M. Ethan, The Electronic Media and the Transformation of the Law, Oxford
University Press, New York, 1989, Introduction, p. 11/12.
XLVIII. Legislación Bancaria, serie Leyes y Códigos de México, Colección Porrúa, México,
1997
XLIX. Ley de Instituciones de Crédito
L. Ley del Banco de México
LI. Ley del Procedimiento Administrativo del Distrito Federal
LII. Ley Federal de Instituciones de Fianzas
LIII. Ley Federal sobre Metrología y Normalización
LIV. Ley General de Instituciones de Crédito y Organizaciones Auxiliares (abrogada)
LV. Ley General de Instituciones y Sociedades Mutualistas de Seguros
LVI. Ley General de Organizaciones y Actividades Auxiliares de Crédito
315
LVII. Ley General de Sociedades Mercantiles
LVIII. Ley General de Títulos y Operaciones de Crédito
LIX. Ley sobre el Contrato de Seguro
LX. Lima de la Luz, María. "Delitos Electrónicos" en Criminalia. México. Academia
Mexicana de Ciencias Penales. Ed. Porrúa. No. 1-6. Año L. Enero-Junio 1984
LXI. López Ayllón, Sergio. EL DERECHO A LA INFORMACIÓN. Porrúa. México, 1984.
LXII. López de Oñate “La certeza del Derecho Digital” Editorial Milano, España, 1999
LXIII. Martínez Godínez Alfonso: La contratación Jurídica a través de medios
electrónicos; Universidad Panamericana; tesis para optar por el título de licenciado
en derecho; 2000
LXIV. Meadows, James E., “The Telecommunications Act of 1996: Rules of the Road for
the New Highways”, 1996, Revista The Computer Lawyer, USA.
LXV. Montesinos Antonio. La Sociedad de la Información e Internet. Editorial San Pablo.
España. 1999.
LXVI. Mustapich, J. M., Tratado de Derecho Notarial, tomo I.
LXVII. Nueva Enciclopedia Sopena. Diccionario ilustrado de la Lengua Española. Tomo II,
p. 1044. Editorial Ramón Sopena, S. A. Provenza 95, Barcelona, 1955.
LXVIII. O.Hance, “Leyes y Negocios en Internet” Editorial Comares, España, 1998
LXIX. Peñalosa Emilio “La protección de datos personales” Editorial Díaz de Santos,
España, 1999
LXX. Planiol y Ripert, Traité Pratique de Droit Civil Français, tomo VI, núm. 1458.
LXXI. Planiol, M., Traité Elémentaire de Droit Civil, tomo II, núm. 62.
316
LXXII. Ralph H. Folsom, et al, International Business Transactions; West Goup, Cuarta
edición; St. Paul Minn, 1999.
LXXIII. Reidinger, Paul, Lost in Cyberspace, ABA JOURNAL agosto 1995, p. 104, reseña
del libro de KATSH, Law in the Digital World.
LXXIV. Remer, Daniel y Dunaway, Robert. LEGAL CARE FOR YOUR SOFTWARE. Nolo
Press, Berkeley, Ca., 1984.
LXXV. Renato Jijena Leiva. Universidad de Chile; Federación Iberoamericana de
Asociaciones de Informática y Derecho (FIADI) Firma Digital y Entidades
Certificadoras. Regulación Legal en la Administración Pública Chilena.
LXXVI. Revista jurídica LA LEY, de Buenos Aires, Argentina, en el Vol. 115 de mayo de
1996.
LXXVII. Ríos Estavillo, Juan José, Derecho e Informática;UNAM, Primera edición; México,
D.F., 1997.
LXXVIII. Rodríguez Adrados Antonio.
La Firma Electrónica: Comunicación discutida en
sesión del pleno de académicos de número el día 5 de junio del 2000. Real
Academia de Jurisprudencia y Legislación; publicada en sus Anales 2000.
LXXIX. Sanders, Donald. Informática. Presente y Futuro. McGraw-Hill. México, 1985.
LXXX. Secretaría de Comercio y Fomento Industrial, “Tratado de Libre Comercio de
América del Norte”, México, 1996,
LXXXI. Stanton, Fundamentos de Marketing; Editorial Mc Graw Hill, Décimo primera
edición. México, D.F., 2000.
LXXXII. Stroke Paul, “La Firma Electrónica” Editorial Cono Sur, España, 2000
LXXXIII. Téllez Valdés, Julio. Derecho Informático. McGraw-Hill. México, 1995.
317
LXXXIV. Téllez Valdez, Julio. Derecho Informático. 2a. ed. México. Ed. Mc Graw Hill 1996.
LXXXV. The Computer Law Association, “The Internet and Business: A Lawyer’s Guide to
the Emerging Legal Issues”, 1997, Fairfax.
LXXXVI. The Internet Business Guide: Riding the Information Superhighway to Profit, R.
Resnick y D. Taylor, Editorial Sams Publishing, 1994,
LXXXVII. The Whole Internet, Users Guide and Catalog, Ed Krol, Editorial O’Reilly &
Associates, Inc. United States of America.
LXXXVIII. Thomas J. Smedinghoff, Online Law The SPA's legal guide to doing business on
the Internet; Addison-Wesley Developers Press, Primera edición; Estados Unidos
de America, 1996.
LXXXIX. Tomas y Valente Francisco “El orden Jurídico Medieval” Madrid, Marcial Pons,
Ediciones Jurídicas y Sociales, S.A. 1967
XC. V. Carrascosa López, M. A. del Pozo Arranz y E.P. Rodríguez de Castro. La
contratación informática: el nuevo horizonte contractual. Los contratos electrónicos
e informáticos. Editorial Comares. España. 1997.
XCI. Varios. Legislación básica de informática, Editorial Tecnos. España. 1999.
XCII. Wiener, Norbert. Cibermética y Sociedad. Fondo de Cultura Económica. México,
1984.
318
SITIOS EN INTERNET CONSULTADOS
i.
http://info.juridicas.unam.mx/legislac/indicley.htm
ii.
http://legal.terra.com.mx/legal/
iii.
http://lexmercatoria.org/
iv.
http://snts1.jus.gov.ar/minis/Nuevo/ProyectoCodigoCivil.htm
v.
http://thomas.loc.gov/
vi.
http://www.acertia.com/
vii.
http://www.amdi.org.mx/
viii.
http://www.amdi.org.mx/amdi_agenda.htm
ix.
http://www.amece.com.mx/
x.
http://www.banxico.org.mx/
xi.
http://www.camaradediputados.gob.mx/
xii.
http://www.cddhcu.gob.mx/leyinfo/
xiii.
http://www.cde.ua.es/cde/lex.htm
xiv.
http://www.cis.ohio-statc-edu/hypertext/fag/usenet/copyrightFAQ/part2/faq.html
xv.
http://www.cmt.es
xvi.
http://www.cnbv.gob.mx/
xvii.
http://www.cnsf.gob.mx/
xviii.
http://www.derechosobreinternet.com/index2.html
xix.
http://www.economia.gob.mx/
319
xx.
http://www.e-mexico.gob.mx/
xxi.
http://www.findlaw.com
xxii.
http://www.gobernacion.gob.mx/
xxiii.
http://www.ibarrolaza.com.ar/zakon/hit.html
xxiv.
http://www.it-cenit.org.ar/Publicac/DERDIG
xxv.
http://www.legatek.com.mx/
xxvi.
http://www.lexis-nexis.com/lncc/
xxvii.
http://www.mbc.com/ecommerce/legislative.asp
xxviii. http://www.mbc.com/ecommerce/legislative.asp
xxix.
http://www.notariadomexicano.org.mx/
xxx.
http://www.nua.ie/surveys/
xxxi.
http://www.ocde.org/subject/e_commerce/
xxxii.
http://www.presidencia.gob.mx/pages/f_gob_internet.html
xxxiii. http://www.rechten.vu.nl/~lodder/enlist/
xxxiv. http://www.scjn.gob.mx/default.asp
xxxv.
http://www.sct.gob.mx
xxxvi. http://www.seguridata.com/
xxxvii. http://www.senado.gob.mx/
xxxviii. http://www.shcp.gob.mx/servs/normativ/index.html
xxxix. http://www.smithlyons.ca/if/welcome.htm
xl.
http://www.vinculodeempresa.com.mx
xli.
Sitio en internet de la Corte Constitucional de Colombia
xlii.
Sitio en internet del gobierno de Venezuela
320
Organisation for Economic Cooperation and Development
BUILDING PARTNERSHIPS FOR PROGRESS
Français
Home STI > Documentation > Guidelines for Cryptography Policy
Guidelines for Cryptography Policy
I. AIMS
II. SCOPE
III. DEFINITIONS
IV. INTEGRATION
V. PRINCIPLES
GUIDELINES FOR CRYPTOGRAPHY POLICY
I. AIMS
The Guidelines are intended:
●
●
●
●
●
●
●
●
●
to promote the use of cryptography;
to foster confidence in information and communications infrastructures, networks and systems
and the manner in which they are used;
to help ensure the security of data, and to protect privacy, in national and global information and
communications infrastructures, networks and systems;
to promote this use of cryptography without unduly jeopardising public safety, law enforcement,
and national security;
to raise awareness of the need for compatible cryptography policies and laws, as well as the
need for interoperable, portable and mobile cryptographic methods in national and global
information and communications networks;
to assist decision-makers in the public and private sectors in developing and implementing
coherent national and international policies, methods, measures, practices and procedures for
the effective use of cryptography;
to promote co-operation between the public and private sectors in the development and
implementation of national and international cryptography policies, methods, measures, practices
and procedures;
to facilitate international trade by promoting cost-effective, interoperable, portable and mobile
cryptographic systems;
to promote international co-operation among governments, business and research communities,
and standards-making bodies in achieving co-ordinated use of cryptographic methods.
II. SCOPE
The Guidelines are primarily aimed at governments, in terms of the policy recommendations herein, but
with anticipation that they will be widely read and followed by both the private and public sectors.
It is recognised that governments have separable and distinct responsibilities for the protection of
information which requires security in the national interest; the Guidelines are not intended for application
in these matters.
III. DEFINITIONS
http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (1 de 6) [1/10/2002 12:00:33]
Organisation for Economic Cooperation and Development
For the purposes of the Guidelines:
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
"Authentication" means a function for establishing the validity of a claimed identity of a user,
device or another entity in an information or communications system.
"Availability" means the property that data, information, and information and communications
systems are accessible and usable on a timely basis in the required manner.
"Confidentiality" means the property that data or information is not made available or disclosed to
unauthorised individuals, entities, or processes.
"Cryptography" means the discipline which embodies principles, means, and methods for the
transformation of data in order to hide its information content, establish its authenticity, prevent its
undetected modification, prevent its repudiation, and/or prevent its unauthorised use.
"Cryptographic key" means a parameter used with a cryptographic algorithm to transform,
validate, authenticate, encrypt or decrypt data.
"Cryptographic methods" means cryptographic techniques, services, systems, products and key
management systems.
"Data" means the representation of information in a manner suitable for communication,
interpretation, storage, or processing.
"Decryption" means the inverse function of encryption.
"Encryption" means the transformation of data by the use of cryptography to produce
unintelligible data (encrypted data) to ensure its confidentiality.
"Integrity" means the property that data or information has not been modified or altered in an
unauthorised manner.
"Interoperability" of cryptographic methods means the technical ability of multiple cryptographic
methods to function together.
"Key management system" means a system for generation, storage, distribution, revocation,
deletion, archiving, certification or application of cryptographic keys.
"Keyholder" means an individual or entity in possession or control of cryptographic keys. A
keyholder is not necessarily a user of the key.
"Law enforcement" or "enforcement of laws" refers to the enforcement of all laws, without regard
to subject matter.
"Lawful access" means access by third party individuals or entities, including governments, to
plaintext, or cryptographic keys, of encrypted data, in accordance with law.
"Mobility" of cryptographic methods only means the technical ability to function in multiple
countries or information and communications infrastructures.
"Non-repudiation" means a property achieved through cryptographic methods, which prevents an
individual or entity from denying having performed a particular action related to data (such as
mechanisms for non-rejection of authority (origin); for proof of obligation, intent, or commitment;
or for proof of ownership).
"Personal data" means any information relating to an identified or identifiable individual.
"Plaintext" means intelligible data.
"Portability" of cryptographic methods means the technical ability to be adapted and function in
multiple systems.
IV. INTEGRATION
The principles in Section V of this Annex, each of which addresses an important policy concern, are
interdependent and should be implemented as a whole so as to balance the various interests at stake. No
principle should be implemented in isolation from the rest.
V. PRINCIPLES
1. TRUST IN CRYPTOGRAPHIC METHODS
Cryptographic methods should be trustworthy in order to generate confidence in the use of information
and communications systems.
Market forces should serve to build trust in reliable systems, and government regulation, licensing, and
use of cryptographic methods may also encourage user trust. Evaluation of cryptographic methods,
especially against market-accepted criteria, could also generate user trust.
In the interests of user trust, a contract dealing with the use of a key management system should indicate
the jurisdiction whose laws apply to that system.
2. CHOICE OF CRYPTOGRAPHIC METHODS
Users should have a right to choose any cryptographic method, subject to applicable law. Users should
have access to cryptography that meets their needs, so that they can trust in the security of information
and communications systems, and the confidentiality and integrity of data on those systems. Individuals
or entities who own, control, access, use or store data may have a responsibility to protect the
confidentiality and integrity of such data, and may therefore be responsible for using appropriate
cryptographic methods. It is expected that a variety of cryptographic methods may be needed to fulfil
different data security requirements. Users of cryptography should be free, subject to applicable law, to
determine the type and level of data security needed, and to select and implement appropriate
cryptographic methods, including a key management system that suits their needs.
http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (2 de 6) [1/10/2002 12:00:33]
Organisation for Economic Cooperation and Development
In order to protect an identified public interest, such as the protection of personal data or electronic
commerce, governments may implement policies requiring cryptographic methods to achieve a sufficient
level of protection.
Government controls on cryptographic methods should be no more than are essential to the discharge of
government responsibilities and should respect user choice to the greatest extent possible. This principle
should not be interpreted as implying that governments should initiate legislation which limits user choice.
3. MARKET DRIVEN DEVELOPMENT OF CRYPTOGRAPHIC METHODS
Cryptographic methods should be developed in response to the needs, demands and responsibilities of
individuals, businesses and governments.
The development and provision of cryptographic methods should be determined by the market in an open
and competitive environment. Such an approach would best ensure that solutions keep pace with
changing technology, the demands of users and evolving threats to information and communications
systems security. The development of international technical standards, criteria and protocols related to
cryptographic methods should also be market driven. Governments should encourage and co-operate
with business and the research community in the development of cryptographic methods.
4. STANDARDS FOR CRYPTOGRAPHIC METHODS
Technical standards, criteria and protocols for cryptographic methods should be developed and
promulgated at the national and international level.
In response to the needs of the market, internationally-recognised standards-making bodies,
governments, business and other relevant experts should share information and collaborate to develop
and promulgate interoperable technical standards, criteria and protocols for cryptographic methods.
National standards for cryptographic methods, if any, should be consistent with international standards to
facilitate global interoperability, portability and mobility. Mechanisms to evaluate conformity to such
technical standards, criteria and protocols for interoperability, portability and mobility of cryptographic
methods should be developed. To the extent that testing of conformity to, or evaluation of, standards may
occur, the broad acceptance of such results should be encouraged.
5. PROTECTION OF PRIVACY AND PERSONAL DATA
The fundamental rights of individuals to privacy, including secrecy of communications and protection of
personal data, should be respected in national cryptography policies and in the implementation and use
of cryptographic methods.
Cryptographic methods can be a valuable tool for the protection of privacy, including both the
confidentiality of data and communications and the protection of the identity of individuals. Cryptographic
methods also offer new opportunities to minimise the collection of personal data, by enabling secure but
anonymous payments, transactions and interactions. At the same time, cryptographic methods to ensure
the integrity of data in electronic transactions raise privacy implications. These implications, which include
the collection of personal data and the creation of systems for personal identification, should be
considered and explained, and, where appropriate, privacy safeguards should be established.
The OECD Guidelines for the Protection of Privacy and Transborder Flows of Personal Data provide
general guidance concerning the collection and management of personal information, and should be
applied in concert with relevant national law when implementing cryptographic methods.
6. LAWFUL ACCESS
National cryptography policies may allow lawful access to plaintext, or cryptographic keys, of encrypted
data. These policies must respect the other principles contained in the guidelines to the greatest extent
possible.
If considering policies on cryptographic methods that provide for lawful access, governments should
carefully weigh the benefits, including the benefits for public safety, law enforcement and national
security, as well as the risks of misuse, the additional expense of any supporting infrastructure, the
prospects of technical failure, and other costs. This principle should not be interpreted as implying that
governments should, or should not, initiate legislation that would allow lawful access.
Where access to the plaintext, or cryptographic keys, of encrypted data is requested under lawful
process, the individual or entity requesting access must have a legal right to possession of the plaintext,
and once obtained the data must only be used for lawful purposes. The process through which lawful
access is obtained should be recorded, so that the disclosure of the cryptographic keys or the data can
be audited or reviewed in accordance with national law. Where lawful access is requested and obtained,
such access should be granted within designated time limits appropriate to the circumstances. The
conditions of lawful access should be stated clearly and published in a way that they are easily available
http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (3 de 6) [1/10/2002 12:00:33]
Organisation for Economic Cooperation and Development
to users, keyholders and providers of cryptographic methods.
Key management systems could provide a basis for a possible solution which could balance the interest
of users and law enforcement authorities; these techniques could also be used to recover data, when
keys are lost. Processes for lawful access to cryptographic keys must recognise the distinction between
keys which are used to protect confidentiality and keys which are used for other purposes only. A
cryptographic key that provides for identity or integrity only (as distinct from a cryptographic key that
verifies identity or integrity only) should not be made available without the consent of the individual or
entity in lawful possession of that key.
7. LIABILITY
Whether established by contract or legislation, the liability of individuals and entities that offer
cryptographic services or hold or access cryptographic keys should be clearly stated. The liability of any
individual or entity, including a government entity, that offers cryptographic services or holds or has
access to cryptographic keys, should be made clear by contract or where appropriate by national
legislation or international agreement. The liability of users for misuse of their own keys should also be
made clear. A keyholder should not be held liable for providing cryptographic keys or plaintext of
encrypted data in accordance with lawful access. The party that obtains lawful access should be liable for
misuse of cryptographic keys or plaintext that it has obtained.
8. INTERNATIONAL CO-OPERATION
Governments should co-operate to co-ordinate cryptography policies. As part of this effort, governments
should remove, or avoid creating in the name of cryptography policy, unjustified obstacles to trade.
In order to promote the broad international acceptance of cryptography and enable the full potential of the
national and global information and communications networks, cryptography policies adopted by a
country should be co-ordinated as much as possible with similar policies of other countries. To that end,
the Guidelines should be used for national policy formulation.
If developed, national key management systems must, where appropriate, allow for international use of
cryptography.
Lawful access across national borders may be achieved through bilateral and multilateral co-operation
and agreement.
No government should impede the free flow of encrypted data passing through its jurisdiction merely on
the basis of cryptography policy.
In order to promote international trade, governments should avoid developing cryptography policies and
practices which create unjustified obstacles to global electronic commerce.
Governments should avoid creating unjustified obstacles to international availability of cryptographic
methods.
●
●
Also available:
RECOMMENDATION OF THE COUNCIL CONCERNING GUIDELINES FOR CRYPTOGRAPHY
POLICY
REPORT ON BACKGROUND AND ISSUES OF CRYPTOGRAPHY POLICY
Preface, pdf (French)
Lignes Directrices régissant la politique de cryptographie (1977) : Recommandation
du Conseil, pdf (French)
Top
© OECD. All rights reserved. Terms & Conditions Privacy Policy
OECD DIRECTORATES
http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (4 de 6) [1/10/2002 12:00:33]
Organisation for Economic Cooperation and Development
Centre for Co-operation with
Non-Members
Development Centre
Development Co-operation
(DAC)
Economics
Education, Employment,
Labour and Social Affairs
Environment
Financial, Fiscal and
Enterprise Affairs
Food, Agriculture and
Fisheries
International Futures
Programme
Public Management
Sahel and West Africa Club
Science, Technology and
Industry
SIGMA
Statistics
Territorial Development
Trade
More...
Industry Issues
Information and
Communications Policy
S&T Policy
Scientific, Industrial and
Health Applications of
Biotechnology
Statistical Analysis of
Science, Technology and
Industry
Transport
Business and Industry Policy
Forums
Industrial Globalisation
Micro Policies for Growth
Service Sector
Shipbuilding
Small and Medium-sized
Enterprises (SMEs)
Steel
Tourism
Consumer Policy
Information Economy
Information Security and
Privacy
Telecommunications and
Internet Policy
Innovation and Technology
Policy
Intellectual Property Rights
International Scientific Cooperation (Global Science
Forum)
Management of Public
Research
Social Sciences
Technology and Sustainable
Development
http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (5 de 6) [1/10/2002 12:00:33]
Organisation for Economic Cooperation and Development
Measuring Globalisation
Measuring Industrial
Performance
Measuring Science and
Technology
Measuring the Information
Economy
Aviation
Maritime Transport
Road Transport Research
Related themes
Biotechnology
Electronic Commerce
Enterprise, Industry and
Services
Growth
Health
Information and
Communication Technologies
Science and Innovation
Statistics Portal
Sustainable Development
Transport
http://www.oecd.org/oecd/pages/home/displaygene...380,EN-document-notheme-1-no-no-10239-0,FF.html (6 de 6) [1/10/2002 12:00:33]
Descargar