I. INTRODUCCIÓN. LA COMPRAVENTA INFORMATICA

Para poder hablar de la cesión de los derechos de explotación, es necesario acercarse a la compraventa. La compraventa, tal y como establece el artículo 1.445 del Código civil, es el contrato por el que una parte se obliga a entregar cosa determinada, y la otra a pagar por ella un precio cierto, en dinero o signo que lo represente.

Una primera aproximación a la figura de la compraventa sobre material informático, ya sea hardware o software, nos obliga a cuestionarnos su naturaleza, características y especificidad. ¿Es realmente la compraventa informática una figura negocial con características propias con relación a la compraventa ordinaria?.

La compraventa informática será aquella que recaiga sobre bienes informáticos. Es el concepto de bien informático y sus propias características los que plantean una cualificación del contrato de compraventa.

El bien informático puede abarcar el hardware y el software. Por nuestra parte consideramos que no cabe "compraventa" sobre el software, como trataremos de explicar en esta exposición. Lo que más podría aproximarse a una compraventa sobre este tipo de bien sería la cesión de todos y cada uno de los derechos de explotación del software, establecidos en el artículo 99 de la Ley de Propiedad Intelectual (Texto Refundido aprobado por R.D. Legislativo de 12 de abril de 1.996), pero, además, tendría que ser por tiempo indefinido y con carácter exclusivo.

A) NATURALEZA JURÍDICA

La naturaleza del contrato de compraventa informática no se diferencia en nada de la compraventa ordinaria. Es por lo tanto:
- un contrato consensual, puesto que se perfecciona cuando exista convenio sobre la cosa objeto del contrato y sobre el precio.
- es bilateral, dado que produce obligaciones por ambas partes
- oneroso, dándose equivalencia de prestaciones
- es un contrato traslativo de dominio, al servir de título para la transmisión de la propiedad

Y es precisamente la transmisión de dominio la que justifica la negativa a considerar la posibilidad de compraventa del software. La susceptibilidad de transmisión del uso del software no debe llevarnos a entender que ésta se produce al amparo de la figura negocial de la compraventa.

B) ELEMENTOS PERSONALES Y REALES

B.1 Elementos personales
Las partes que intervienen en una compraventa son el comprador y el vendedor, a las que se les exige capacidad para contratar, capacidad que se supone a toda persona a quien nuestras leyes autorizan para obligarse, siendo la incapacidad, la excepción a la regla.

B.2 Obligaciones del vendedor
Por lo que se refiere al vendedor o persona que se obliga a entregar un bien informático, deberá, como obligación más característica, dar toda la información necesaria para que el comprador conozca las posibilidades y utilidades del bien informático adquirido.
Debe entenderse que el término "información" engloba las obligaciones de prevenir y aconsejar la mejor y más útil adquisición para el comprador. Obviamente, y dada la complejidad del objeto de esta compraventa, deberá el vendedor, entregar las instrucciones y documentación necesaria para su uso, siendo estas pautas comprensibles para el adquirente.
Así mismo, si bien el contrato queda perfeccionado al asumir las partes sus respectivas obligaciones, se entiende que el vendedor ha de entregar el bien adquirido (artículo 1.461 del Código civil):

· el vendedor está obligado a entregar la cosa en el estado en que se encontrase al perfeccionarse el contrato; éste debe responsabilizarse de su buen estado (artículo 1.458 del Código civil). Consideramos que hasta que el equipo o el software no esté en funcionamiento o con posibilidades de estarlo, el comprador no asume ningún riesgo. El vendedor así, deberá demostrar la perfecta viabilidad de lo instalado. A través del llamado "test de aceptación" el comprador puede revisar el equipo, a partir del cuál comenzará un periodo de prueba opcional que deberá constar en el contrato. Por último, debemos destacar la obligación del vendedor de garantizar al adquirente el funcionamiento correcto del equipo o software entregado durante un periodo determinado, garantía que el vendedor tratará de eliminar.

· complementaria a la obligación de entrega, según nuestra legislación, es la de saneamiento (artículo 1.461 del Código civil); así, el vendedor debe garantizar al comprador la posesión legal y pacífica de la cosa vendida y responderá de los vicios y defectos ocultos que tuviera. En cuanto a la licencia de uso de un software, que puede ir unida a la adquisición de un equipo o no, indudablemente el vendedor deberá garantizar la legalidad de ese uso, a tenor de lo dispuesto en la Ley de Propiedad Intelectual. Así mismo, el vendedor está obligado al saneamiento por los defectos ocultos que tuviera la cosa vendida si la hacen impropia para el uso al que se destina o si disminuyen de tal modo ese uso que, de haberlo conocido el comprador, no lo habría adquirido o habría dado menos precio por ella, pero no será responsable por los defectos manifiestos o que estuvieran a la vista, ni tampoco de los que no estén, si el comprador es un perito que, por razón de su oficio o profesión debe fácilmente reconocerlos (artículo 1.484 del Código civil: de todas formas, ha de tenerse en cuenta, que la complejidad técnica de la "compraventa informática"- distinguiendo siempre sobre hardware o software, ya que como defendemos, no cabe sobre esta última- hace que la interpretación del mismo, deba hacerse de forma restrictiva). La jurisprudencia ha interpretado extensivamente el artículo 1.484 en el sentido de considerar que cuando los defectos de la cosa sean de tal entidad que la hagan impropia para su uso, se equipararán a la entrega de una prestación diferente a la prometida, con posibilidad de aplicación de los arts. 1.101 y 1.124, lo que protege mejor los intereses del comprador; incluso esta dirección jurisprudencial llega a considerar la aplicación del plazo de quince años del 1.964, superándose los limitados periodos temporales previstos en el artículo 1.490 del Código civil y 342 del Código de comercio.

B.3. Obligaciones del comprador
El comprador está obligado a pagar el precio de la cosa vendida, en el tiempo y lugar fijados en el contrato (artículo 1.500 del Código civil). Además, el comprador está obligado a colaborar con el vendedor, debiendo seguir las instrucciones de este último en cuanto por ejemplo, preparación de locales, utilización del bien, cuidados que precise... Al comprador le interesará incluir en el contrato una serie de cláusulas sobre confidencialidad, garantías, estipulación penal en caso de incumplimiento y capacitación y formación de su personal en el manejo del bien adquirido...

II. OBJETO DEL CONTRATO. EL SOFTWARE COMO OBJETO CONTRACTUAL

Como ya se ha dicho al principio de esta exposición, y aunque si bien la doctrina no es unánime, nuestra opinión es considerar que la compraventa solo puede recaer sobre el hardware y no sobre el software, y que en caso de que fueran unidos, el software no será objeto de venta sino de un contrato distinto como puede ser el de licencia de uso.

Como ya dijimos también, lo que más se podría semejar a una compraventa de software es la cesión de los derechos de explotación que caben sobre el mismo, según lo establecido en el artículo 99 de la Ley de Propiedad Intelectual, en exclusiva y por tiempo indefinido.

Un primer paso de todas maneras indispensable, es perfilar el concepto de "software". Nuestra Ley de Propiedad Intelectual opta por una concepción amplia de programa de ordenador. Así nos dice en su artículo 96 que programa de ordenador es toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático, para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión o fijación. Según el R. D. 1/96, a los efectos de proyectar su cobertura, establece que, la expresión "programa de ordenador" comprenderá también su documentación preparatoria; la documentación técnica y los manuales de uso de un programa gozarán de la misma protección.

Se excluyen de este concepto las ideas y principios en los que se basan cualesquiera de los elementos de un programa de ordenador incluidos los que sirven de fundamento a sus interfaces.

III. LA TITULARIDAD DEL DERECHO DE AUTOR SOBRE LOS PROGRAMAS DE ORDENADOR

Una vez delimitado el objeto de protección, y antes de dar paso a la articulación y estructura de la cesión de los derechos de explotación, conviene prestar atención al autor del programa, y consecuentemente, a la titularidad de los derechos que nacen del mismo. La titularidad puede ser "originaria" o "derivada"; la titularidad originaria del derecho de autor procede de la creación del programa y la derivada, surge de cualquier tipo de acuerdo contractual, por el cuál la titularidad de los derechos de autor (como siempre, transmisión únicamente de los derechos de explotación) pasa a otra persona que no es el creador original de la obra. Esta de transmisión se puede articular a través de cualquier tipo de modalidad contractual, como por ejemplo, una licencia de uso.

Un programa de ordenador puede ser:
- la creación de un autor o autores independientes
- la creación por parte de una persona o equipo que trabajan en razón de un contrato de encargo
- la creación por parte de una persona o de un equipo que trabajan como asalariados

A) CREACIÓN INDEPENDIENTE

El programa puede ser fruto de la labor aislada y concreta de una persona. Cuando éste sea el caso, a ella, por su condición de autor corresponderá la propiedad intelectual sobre la obra. De acuerdo con el artículo 2 de la Ley de Propiedad Intelectual, la propiedad intelectual se traduce en un conjunto de derechos de carácter personal y patrimonial que atribuyen al autor la plena disposición y el derecho exclusivo a la explotación de la obra, sin más limitaciones que las establecidas en la ley. Pero este caso no es el habitual en la práctica. Es más normal el supuesto donde la creación del programa procede de las aportaciones independientes de varias personas:

A.1. Las obras en colaboración
Nos encontramos aquí con el concurso de varios autores para la realización de la misma. Los coautores asumen conjuntamente la realización del programa, ostentando su titularidad en conjunto, y pudiendo cada uno de ellos explotar separadamente sus aportaciones, en el caso de que posean per se la condición de obras, si bien con el límite de no causar perjuicio a la obra en común.

A.2. Las obras colectivas
La Ley de Propiedad Intelectual prevé la posibilidad de que se puedan considerar autores a las personas jurídicas (artículo 97.1 y artículo 8). Se considera obra colectiva la creada por la iniciativa y bajo la coordinación de una persona natural o jurídica que la edita y divulga bajo su nombre y está constituida por la reunión de las aportaciones de diferentes autores cuya contribución personal se funde en una creación única y autónoma, para la cuál haya sido concebida sin que sea posible atribuir separadamente a cualquiera de ellos un derecho sobre el conjunto de la obra realizada. Así, tendrá la consideración de autor, salvo pacto en contrario, la persona física o jurídica que la edite y divulgue bajo su nombre. ( A efectos prácticos, éstos son los requisitos que se exigen para la inscripción de estas obras en el Registro de la Propiedad Intelectual).

B) OBRAS CREADAS POR ENCARGO

Este tipo de obra tiene como parámetros el desarrollo de un programa en cumplimiento de un contrato que obliga a realizarlo de acuerdo a las necesidades especificas de un cliente en el terreno contable, organizativo o industrial. A diferencia de los restantes supuestos contemplados, en este caso, no existe ninguna disposición en la nueva Ley de Propiedad Intelectual, que determine quién es el titular de la propiedad intelectual.

El problema aquí es saber a quién se va a privilegiar: al autor de la obra o a la persona que encarga la misma. En principio, el comitente adquiere la propiedad del soporte físico en que está incorporado el programa, pero no adquiere ningún derecho de propiedad intelectual sobre el mismo; pero si el comitente y el autor lo hubieran pactado, el primero podría adquirir los derechos de explotación que se hubieran estipulado. La sentencia del Tribunal Supremo de 12 de diciembre de 1.988 viene a corroborar esta misma posición; en este caso se discutía la titularidad de un programa de ordenador que había sido encargado por parte de un comitente a una empresa informática. Esta última se negaba a entregar el programa de ordenador al comitente argumentando que en el contrato de comisión de obra no se había establecido nada en relación a la transmisión de la propiedad del programa. El TS afirmó que la titularidad de los derechos de propiedad intelectual sobre un programa de ordenador creado por encargo, queda, salvo pacto en contrario, en manos del autor.

En consecuencia, a falta de acuerdo entre el que encarga el programa y el autor del mismo, no habrá ninguna transmisión de derechos, por lo que parece indispensable introducir en cada contrato cláusulas expresas y detalladas, que precisen los derechos exactos del cliente, y en primer lugar, si tiene derechos sobre la obra en cuanto creación intelectual.

C) CREACIÓN DE PROGRAMAS POR ASALARIADOS

Es evidente que las empresas pretenden ostentar la titularidad de los programas creados por sus trabajadores a fin de explotarlos libremente y recuperar los fuertes gastos que supone su realización, además de desarrollar adecuadamente, en algunos casos, su objeto empresarial. Estos fueron los primeros conflictos en esta materia que llegaron a los tribunales; es por ejemplo paradigmático el caso francés Babolat Maillot Witt c. Pachot, donde se reconoce como titular de los derechos de autor sobre un programa de ordenador a Pachot, un contable que lo elaboró solo y sin contar con los medios de la empresa.

La Directiva comunitaria de 1.991 adoptó una solución para estos frecuentes casos, que a nuestro ordenamiento llegó a través del artículo 97.4 de la Ley de Propiedad Intelectual:

"Cuando un trabajador asalariado cree un programa de ordenador, en el ejercicio de las funciones que le han sido confiadas o siguiendo las instrucciones de su empresario, la titularidad de los derechos de explotación correspondientes al programa de ordenador así creado, tanto el programa fuente como el programa objeto, corresponderán, exclusivamente, al empresario, salvo pacto en contrario".

Este precepto delimita quién es el titular del programa, empresario o trabajador, y cuáles son los derechos que pertenecen a cada uno de ellos (importante a estos efectos recordar la definición de trabajador del artículo 1 del Estatuto de los Trabajadores).

Dos requisitos son necesarios para que el artículo 97.4 de la Ley de Propiedad Intelectual sea aplicable:

1) que la relación laboral esté materializada en un contrato de trabajo, y
2) que los programas hayan sido creados por el empleado "en el ejercicio de sus funciones que le han sido confiadas o siguiendo las instrucciones de su empresario".

Hoy en día, por tanto, en materia de programa de ordenador creado en el marco de una relación laboral y en el ejercicio de las funciones asignadas, el derecho de autor corresponde originariamente, en toda su extensión, a los autores asalariados.

Sin embargo, los derechos de explotación, salvo pacto en contrario, se transmiten de forma automática al empresario, siendo tal transmisión una cessio legis. El asalariado es alcanzado, salvo pacto en contrario, de una incapacidad legal de ejercicio en cuanto a los derechos patrimoniales, los cuales están en poder únicamente del empresario.

IV. EL CONTENIDO DE LOS DERECHOS OTORGADOS. LOS DERECHOS DE EXPLOTACIÓN

El derecho de autor sobre un programa de ordenador tiene un doble componente: moral y patrimonial. Aunque el Titulo VII de la Ley de Propiedad Intelectual sólo se centra en los derechos patrimoniales o derechos de explotación de los programas de ordenador, con respecto a los derechos morales es de aplicación el artículo 14 del mismo cuerpo legal. Este artículo procede a la enumeración de los derechos morales reconocidos al autor, a los que califica de irrenunciables e inalienables (más adelante se analizarán alguno de ellos que constituyen verdaderos límites a los derechos de explotación).

Pero lo que a nosotros realmente nos interesa son los derechos de explotación del programa de ordenador, su contenido y las excepciones que a los mismos se establecen.

Según el artículo 99 de la Ley de Propiedad Intelectual le corresponden al titular de los derechos de explotación (conforme al artículo 97) el derecho a:

a) hacer o autorizar cualquier reproducción (derecho de reproducción)
b) alteración (derecho de transformación)
c) distribución del programa (derecho de distribución)

Entendemos que no estamos ante numerus clausus, ya que según se desprende del artículo 17, corresponden al autor el ejercicio exclusivo de los derechos de explotación de su obra "en cualquier forma", y luego enumera los cuatro típicos. Así, cabrán otras formas de explotación.

No se contempla en la Ley el derecho de comunicación pública, que es otro de los típicos derechos de explotación, ya que como apunta el profesor F. Bondía Román, esto se debe al escaso juego que puede ofrecer el mismo en los programas de ordenador. A esta opinión se le podrían hacer matizaciones ya que con el amplio juego que actualmente da Internet, si diferenciamos entre código objeto y código fuente, se puede llegar a la conclusión que el código objeto de un programa de ordenador se podría comunicar públicamente, y de hecho se hace a través de los "demos" de software que algunas empresas hacen para dar publicidad a sus productos informáticos.

A) EL DERECHO DE REPRODUCCIÓN

El artículo 99 apartado a) de la Ley de Propiedad Intelectual, recoge el derecho del titular de los derechos de explotación a controlar la reproducción permanente o temporal del programa por cualquier medio y bajo cualquier forma, ya sea total o parcial. Sin embargo, el término "reproducción" no se define posteriormente en ninguna parte.

El concepto aceptado de reproducción es relativamente extenso, por lo que parece necesario adoptar una interpretación limitativa del término "reproducción" que permita tener en cuenta el interés legítimo del titular de los derechos a participar en los beneficios económicos resultantes de la utilización de su obra protegida. Si un acto no conduce a una utilización incrementada del programa (como por ejemplo, hacer una copia de seguridad), en el sentido de múltiples copias, por su usuario legítimo, tal acto no debería ser considerado una reproducción en los términos de los derechos de autor.

Lo anterior hay que ponerlo en relación con que dice el artículo 99 a) al mencionar "la carga, presentación, ejecución, transmisión y almacenamiento de un programa". Estas operaciones se nombran, no a efectos de determinar si son o no reproducción, sino de someterlas al ámbito del ius prohibendi del titular del derecho en los casos que impliquen reproducción. Si estas operaciones son o no reproducción es una cuestión que deberá determinarse caso por caso, siendo los tribunales los que interpreten el texto y especifiquen qué actos necesitan una reproducción.

J. Massaguer Fuentes da una definición bastante explícita de lo que debe comprenderse por reproducción: "toda operación de la que se siga una fijación del programa o de parte del mismo que permita su uso fuera del elemento hardware en el que opera".

El concepto comportaría:
- un acto material (la fijación o duplicación
- un criterio de puesta en práctica (la utilización)

B) EL DERECHO DE TRANSFORMACIÓN

De acuerdo con lo establecido en el artículo 99 b), corresponde en exclusiva al titular del derecho de explotación el traducir, adaptar, arreglar o efectuar cualquier otra alteración del programa. Se realiza una enumeración de actos concretos de transformación. Este derecho de explotación está muy relacionado con el derecho moral del autor a exigir la integridad de la obra, ya que éste puede impedir cualquier deformación, modificación, alteración o atentado contra ella que suponga un perjuicio a sus legítimos intereses o menoscabo a su reputación. Como se puede observar, aunque no se incluye entre los límites del artículo 100, también es un límite al derecho de transformación.

La transformación como derecho exclusivo no debe confundirse con los derechos de la persona que alterando el programa, crease una nueva obra, que podría ser susceptible de derecho de autor como obra derivada. Así lo indica el propio tenor final del artículo 99 b) al establecer "sin perjuicio de los derechos de la persona que transforme el programa de ordenador". Sin embargo, y aunque este artículo no dice nada al respecto, entendemos, tanto en el caso del software como en el del resto de obras, que se requiere el consentimiento del autor original (sirva de referencia la sentencia del TS de 29 de diciembre de 1993).

C) EL DERECHO DE DISTRIBUCIÓN

Al titular de este derecho se le asigna una facultad de la cuál no se especifica nada más, ya que se trata de cualquier tipo de distribución, sin haberse querido realizar una enumeración de las distintas formas de la misma, sometida únicamente a la condición de que sea pública, condición que se ha introducido con el fin de evitar que una distribución que no fuera pública, como por ejemplo, destinada probar el programa, suponga el agotamiento del derecho.

Además, y en consonancia con la jurisprudencia del TJCE, el derecho del titular a controlar la distribución de un original o de una copia de un programa quedará agotado después de "su primera venta" en la Comunidad Europea por el titular o con su consentimiento. Se ha establecido, por primera vez expresamente en la normativa comunitaria sobre este tema, lo que se ha denominado el "principio de agotamiento comunitario del derecho de distribución", hasta ahora y en el marco del derecho de autor sólo contemplado en las sentencias del TJCE. Se persigue así evitar, que en virtud del derecho de distribución quede constituido un monopolio a favor del autor u otro titular de ese derecho. El objetivo de su establecimiento es encontrar un equilibrio entre el legítimo interés del titular a intervenir en la difusión de la obra, mediante el control de circulación de sus copias, y el interés del tráfico en la no interposición de trabas innecesarias a la libre circulación de bienes (uno de los fines del Tratado de Roma es la libre circulación de mercancías en el seno de la Comunidad Europea). El principio del "agotamiento comunitario" fue establecido por primera vez en el asunto Deutsche Grammophon (sentencia de 8 de junio de 1.971).

El agotamiento queda, en todo caso, limitado a que la primera comercialización se realice en el territorio de los Estados Miembros de la Comunidad Europea. No habrá agotamiento del derecho de distribución si la comercialización se ha producido fuera de la Comunidad Europea. Por lo tanto el titular español del derecho de distribución sobre un programa de ordenador comercializado por primera vez en Estados Unidos puede oponerse a la importación de programas que él mismo hubiese consentido venderlos allí.

V. LÍMITES A LOS DERECHOS DE EXPLOTACIÓN

Los derechos de explotación se hallan ampliamente definidos en el artículo 99 de la Ley de Propiedad Intelectual, por lo que ha sido necesario incluir ciertas excepciones con el fin de evitar sujetar el uso normal del programa de ordenador a una cantidad ilimitada de autorizaciones por parte de su titular. Además, debía buscarse el equilibrio entre los intereses del titular del derecho en controlar excesivamente el uso de cualquier programa licenciado, por un lado, y el interés de los usuarios de emplear el programa libremente cuando ellos lo poseen legítimamente, por otro. Como resultado se establecen tres grandes grupos de excepciones a favor de los usuarios de los programas en el artículo 100 de la Ley de Propiedad Intelectual.

1.EL USO DEL PROGRAMA

El artículo 100.1 recoge la primera de las excepciones a favor de los usuarios, derogando la aplicación del artículo 99.a), sobre la reproducción, y el artículo 99.b) sobre la transformación, cuando sea necesaria para el uso del programa. Pero se establecen determinadas condiciones para que pueda aceptarse esta derogación:

a) Esta excepción ampara actos de reproducción y transformación efectuados para la utilización del programa de ordenador, incluyendo explícitamente la corrección de errores. Se liberaliza el mero uso del programa de ordenador cuando las operaciones necesarias para ello sean actos de reproducción (ejecución, carga, almacenamiento, presentación en pantalla y transmisión), así también la adaptación del programa de ordenador a las características técnicas del equipo informático en que ha de ser usado y la corrección de errores cuando se detecten.
b) La persona que se beneficia de esta excepción es el "usuario legítimo". Hemos de interpretar que con esta denominación se está haciendo referencia a toda persona que haya adquirido un derecho de uso a través de un contrato para poder obtener el derecho a utilizar el programa, y poco importa que se trate de una venta, de un alquiler o de un contrato de encargo, incluyéndose, además, todas aquellas personas que les ha sido transmitido el programa en sucesivas ocasiones, y en particular a los subadquirientes.
c) El uso del programa ha de adecuarse a la finalidad propuesta. Esta finalidad corresponderá normalmente a la realización de la función del programa. Esto quiere decir que incluso en ausencia de disposiciones contractuales específicas relativas a los actos mencionados en el artículo 99.a) y b), un usuario legítimo no puede, sin autorización, realizar tales actos en relación a cualquier uso del programa. Así, el titular del derecho conserva un cierto control sobre la utilización.

2. LA REALIZACIÓN DE LA COPIA DE SEGURIDAD

El artículo 100.2 de la Ley de Propiedad Intelectual establece el derecho para una persona que utiliza el programa de realizar por sí misma una copia de seguridad. Así el usuario del programa puede estar preparado, gracias a ella, contra un defecto material del soporte del programa. En todos los países donde se ha legislado esta cuestión se ha dado esta solución.

La copia de seguridad sólo puede ser realizada por la persona con derecho a utilizar el programa. Además, se permite la copia de seguridad si esta es necesaria, lo que viene a significar que ha de gozar verdaderamente de la condición de auténtica "copia de seguridad", carente de cualquier otra finalidad.

3. LA REALIZACIÓN DE ACTOS DE INGENIERÍA INVERSA

Enrique Fernández Masía define la ingeniería inversa como todas aquellas operaciones que son necesarias para que se pueda tomar conocimiento de las ideas que subyacen en el programa de ordenador. En nuestra legislación existen tres disposiciones que tratan este tema: los artículos 100.3, 100.5 y 100.6 de la Ley de Propiedad Intelectual.

La Directiva comunitaria, que luego daría lugar a nuestra actual Ley de Propiedad Intelectual, intentó conjugar los intereses de dos "lobbies" que defendían posiciones totalmente opuestas en relación con la introducción en la Directiva de la excepción que permitiese estos actos de ingeniería inversa. La Directiva representó una solución de compromiso.

a) Un derecho al análisis
El artículo 100.3 va dirigido al usuario legítimo. Se establece un derecho a conocer "las ideas y principios" que subyacen en la base del programa, y que por lo tanto no aparecen sólo como insusceptibles de protección de acuerdo al artículo 96.4 de la Ley de Propiedad Intelectual, sino que son accesibles a todo adquirente legítimo del programa. Sin embargo, en el caso de un programa de ordenador, el código objeto generalmente impide el acceso a las ideas y principios subyacentes, que no siempre podrán ser determinados estudiando la mera ejecución de un programa, por lo que será necesario el fenómeno conocido como descompilación, el cuál es aceptado explícitamente por nuestra Ley, subordinado, eso sí, a diversas condiciones.

b) La descompilación
En base a los últimos casos surgidos, los tribunales parecen decantarse por permitir la descompilación siempre que se busque conseguir la interoperabilidad. Esta técnica consiste en la obtención del código objeto del programa, unicamente inteligible para el equipo informático, y en su traducción al código fuente, que lo representa en un lenguaje de programación directamente comprensible por los expertos, a partir del cuál se identifican las partes o módulos del programa y su desarrollo. La descompilación solamente es aceptada cuando tiende a asegurar la interoperabilidad de un programa de ordenador, creado de una forma independiente, con otros programas. Además, se establece que sólo se permitirá, sin autorización del titular del derecho, cuando ésta sea "indispensable". Con ello se ha querido señalar que unicamente cabe esta técnica cuando la información necesaria no se ha podido obtener observando, estudiando o probando el programa de acuerdo con lo establecido en el artículo 100.3 de la Ley de Propiedad Intelectual. Tres condiciones deben cumplirse para que la descompilación pueda considerarse lícita:

1. estos actos sólo pueden ser realizados por el usuario legítimo o por cualquier otra persona facultada para utilizar una copia del programa, o en su nombre, por parte de una persona debidamente autorizada.
2. Se requiere que la información necesaria no haya sido puesta a disposición de las personas legitimadas de manera rápida y fácil.
3. La descompilación debe limitarse a aquellas partes del programa que resultan necesarias para conseguir la interoperabilidad.

Una vez obtenida lícitamente la información, se establecen restricciones al uso de la misma:

1. La información no puede destinarse a propósitos distintos a los de adquirir la interoperabilidad para un programa de ordenador creado independientemente.
2. La información no puede comunicarse a terceros, excepto si fuera necesario para la consecución de la interoperabilidad del programa creado independientemente. Pesa sobre el que ha efectuado la descompilación una obligación legal de secreto.
3. La información obtenida no podrá ser utilizada para el desarrollo, producción o comercialización de un programa sustancialmente similar en su expresión.

Por último, se establece una limitación que afecta a todos los actos realizados al amparo de este artículo; se señala que no puede interpretarse las disposiciones relativas a la descompilación de manera que su aplicación cause un perjuicio injustificado a los legítimos intereses del titular de los derechos, o sea, contraria a la explotación normal del programa de ordenador.

V. LA ARTICULACIÓN JURÍDICA DE LA CESIÓN

La única referencia que hay a la cesión en el Titulo VII de la Ley de Propiedad Intelectual, el referido a los programas de ordenador, es en el último párrafo del artículo 99 que dice que cuando se produzca una cesión del derecho de uso de un programa de ordenador, se entenderá, salvo prueba en contrario, que dicha cesión tiene carácter no exclusivo e intransferible, presumiéndose, así mismo, que lo es para satisfacer unicamente las necesidades del cliente.

Entonces, hemos de remitirnos a los artículos 42 y siguientes del mismo texto legal, que regulan la transmisión de derechos.

Los derechos de explotación del programa de ordenador se pueden transmitir mortis causa (por cualesquiera de los medios admitidos en derecho) o bien inter vivos. Es el artículo 43 el que regula la cesión de los derechos de explotación, que como ya hemos apuntado anteriormente, es la única que cabe, ya que los derechos morales son inalienables e intransmisibles.

Es una exigencia legal (artículo 45) que toda cesión de derechos de explotación ha de quedar formalizada por escrito; el autor podría incluso resolver el contrato si el cesionario se negare. En esta formalización por escrito ha de quedar constancia de qué derechos o derecho se ceden y la modalidad de explotación. Como ya se dijo, para que la cesión se asemejara a una "compraventa", se tendrían que ceder todos los derechos de explotación por tiempo indefinido y con carácter exclusivo; si no fuera así, los derechos de explotación sobre el software retornarían al autor, con lo cuál no habría transmisión.

En el contrato se hará constar también el tiempo por el que se ceden y el ámbito territorial al que se ciñe el contrato. La falta de mención del tiempo limitaría la cesión a cinco años, y la del ámbito territorial al país en que se lleve a cabo la cesión. Si tampoco se hace constar de modo concreto la o las modalidades de explotación del software, la cesión de los derechos de explotación quedará limitada a aquella que se deduzca necesariamente del propio contrato y sea indispensable para cumplir la finalidad del mismo. Todas estas estipulaciones que la Ley establece nos hacen llegar a la conclusión de que en el contrato de cesión de derechos de explotación ha de quedar todo "bien atado" y sin dejar ningún cabo suelto para que se pueda asemejar lo más posible a la figura contractual de la compraventa.

El mismo artículo 43 establece igualmente una serie de limitaciones:
- son nulas las cesiones de derechos de explotación respecto del conjunto de las obras que pueda crear el autor en el futuro
- son nulas también las estipulaciones por las que el autor se comprometa a no crear alguna obra en el futuro
- la transmisión de los derechos de explotación no alcanza a las modalidades de utilización o medios de difusión inexistentes o desconocidos al tiempo de la cesión.

1. LA CESIÓN DE LOS DERECHOS DE EXPLOTACIÓN EN EXCLUSIVA

El artículo 48 de la Ley de Propiedad Intelectual nos dice que la cesión en exclusiva se ha de hacer constar expresamente en el contrato. Ésta atribuye al cesionario, dentro del ámbito pactado, la facultad de explotar la obra con exclusión de otra persona incluido el propio cedente, y salvo que se pacte en contrario, la de otorgar autorizaciones no exclusivas a terceros. Todo esto nos lleva a la facultad del cesionario de la legitimación para perseguir las violaciones que afecten a las facultades que se le hayan concedido, con independencia, por supuesto, de la del titular cedente.

Pero no todo son facultades para el cesionario en exclusiva de los derechos de explotación del software, sino que también tiene obligaciones, como es la de poner todos los medios necesarios para la efectividad de la explotación concedida, teniendo en cuenta la naturaleza del software y los usos vigentes en este ámbito.

El cesionario puede también transmitir su derecho de explotación en exclusiva a otra persona, para lo cuál habrá de contar con el consentimiento expreso del cedente. Esto lo dispone el artículo 49, lo cuál no significa que sea imperativo, sino que se puede pactar en contrato que el consentimiento del cedente no sea necesario. Si no se hubiera pactado nada al respecto y el cedente no hubiera prestado su consentimiento, los cesionarios responderán solidariamente frente al primer cedente de las obligaciones que comporta la cesión. Este consentimiento no sería necesario si estuviéramos en el caso de que la transmisión se haya llevado a efecto como consecuencia de la disolución o cambio de titularidad de la empresa cesionaria.

2. LA CESIÓN NO EN EXCLUSIVA

Aunque este tipo de cesión no es el realmente aquí nos interesa, no está de más saber que el contrato se puede articular como no exclusivo, de tal forma que el cesionario de los derechos de explotación del software concurriría con otros tantos cesionarios, así como con el propio cedente.

Este tipo de cesionario está facultado par utilizar la obra de acuerdo con los términos que se hagan constar en el contrato. Su derecho es intransmisible salvo que nos encontremos en los anteriores supuestos de disolución o cambio de titularidad de la empresa cesionaria.

3. LOS DERECHOS MORALES COMO LÍMITES A LA CESIÓN

El artículo 14 de la Ley de Propiedad Intelectual enumera los derechos morales que le corresponden al autor de la obra, y en lo que concierne a la cesión de los derechos de explotación sobre el software también nos interesa.

Además del ya citado 14.4 que establece al derecho a exigir el respeto a la integridad de la obra, relacionado con el derecho de transformación del 99 b), sería importante recordar que existe el llamado "derecho de arrepentimiento" del 14.6. este derecho podría provocar temor entre los cesionarios titulares de los derechos de explotación, dado que en él se reconoce al autor de los programas de ordenador el derecho a retirarlos del comercio por un cambio sobrevenido en sus convicciones morales o intelectuales, lo que en relación a un software tiene una muy difícil prueba, que en todo caso corresponde al autor. Además, la relevancia de la retirada del comercio del programa tiene una operatividad escasa por no decir nula, ya que la misma está sometida a la condición previa de indemnización de daños y perjuicios, que comprende tanto el daño emergente como el lucro cesante. A pesar de todo, estaría de cualquier forma limitando las facultades de los usuarios reconocidas por el artículo 100 de la Ley de Propiedad Intelectual.

Se puede citar, en tercer lugar, el derecho a la divulgación, pues pueden surgir conflictos cuando un autor niega la divulgación de un programa, de cuyos derechos económicos es titular otra persona. Este derecho de divulgación está contenido en el artículo 14.1, y consiste en que el autor decide sobre la divulgación y la forma de realizarla. En todo caso, su ejercicio puede ser limitado por el requisito general de la buena fe y la prohibición de abuso por parte del titular de los derechos.

4. LA REMUNERACIÓN DEL CEDENTE DE LOS DERECHOS DE EXPLOTACIÓN

Lo normal es que se pacte en el contrato que la cesión es a título oneroso (aunque cabe que ésta sea a título gratuito). Como bien establece el artículo 46, la remuneración puede ser proporcional o a tanto alzado. Lo habitual es que la remuneración se pacte como proporcional, lo que le confiere al cedente una participación en los ingresos de la explotación, en la cuantía que convenga con el cesionario.

Puede estipularse, no obstante, una remuneración a tanto alzado, pero solamente en los siguientes casos:

a) Cuando la modalidad de la explotación dificulte la determinación de los ingresos o su comprobación sea imposible o de un coste desproporcionado con la eventual retribución.
b) Cuando la utilización en este caso del software tenga carácter accesorio respecto de la actividad o del objeto material a los que se destinen.
c) Cuando el software, utilizado con otros, no constituya un elemento esencial de la creación intelectual en la que se integre.

Según el artículo 47, si en la cesión a tanto alzado se produjese una manifiesta desproporción entre la remuneración del autor y los beneficios obtenidos por el cesionario, el autor puede pedir la revisión del contrato y, en defecto de acuerdo, acudir a la vía judicial para que se fije una remuneración equitativa. Esta facultad, denominada acción por remuneración no equitativa, tiene que ejercitarse dentro de los diez años siguientes al de la cesión.

5. LA HIPOTECA Y EL EMBARGO DE LOS DERECHOS DE AUTOR

Conforme al artículo 53 de la Ley de Propiedad Intelectual, los derechos de explotación sobre el software pueden ser objeto de hipoteca en cuanto que derechos económicos. En relación con el embargo, no se puede constituir sobre los derechos de explotación del autor (importante buscar: sólo embargables los del autor o los de cualquier titular de derechos de explotación) pero sí sobre sus frutos o productos, que son equiparados a los salarios por la Ley de Propiedad Intelectual tanto en lo relativo al orden de prelación para el embargo, como a retenciones o parte inembargable.

Esto nos interesa en relación con la cesión, ya que cuando se hipotecan los derechos de explotación en cuanto que derechos económicos y además transmisibles, y esta hipoteca se tiene que ejecutar, podríamos decir que hay una subrogación en la posición del cesionario por parte del que ejecuta la hipoteca y estaríamos de nuevo ante una cesión de los derechos de explotación, de los que ahora es titular otra persona. En cambio, no ocurre así con el embargo, ya que no se están embargando los derechos en sí sino únicamente sus frutos y la titularidad seguiría en manos del autor.

Jesús Gonzalez Linaje
Asociación Española de Derecho de la Propiedad Intelectual.

ANEXO

Los 38 títulos premiados de la edición 2004 de los Galardones de aDeSe son los siguientes:

Plataformas

è     PC: Personal Computer

è     GBA: GameBoy Advance

è     PS/PSONE: PlayStation

è     PS2: PlayStation 2

La generalización del uso de Internet, el más que previsible auge del comercio electrónico y, en definitiva, la evolución de la Sociedad de la Información, está suponiendo un fenómeno que afecta a las esferas más variadas de nuestra actividad diaria. De la misma manera, se están produciendo profundos cambios en los esquemas empresariales como consecuencia de la revolución que conlleva este nuevo canal de contratación de bienes y servicios.

Si queremos buscar un ejemplo paradigmático del imparable efecto que las nuevas tecnologías están teniendo en dichos ámbitos, nada mejor que acudir a las creaciones intelectuales y, en concreto, a la música.

Por un lado, la denominada convergencia digital, ha permitido que el sonido, los datos y la imagen se expresen en formato digital y, en consecuencia, que su almacenamiento y reproducción sea sencillo y rápido. Por otro, el desarrollo de Internet ha facilitado extraordinariamente la puesta a disposición de música en formato digital para los internautas.

Sin embargo, la distribución de la música a través de Internet ha generado el inicio de batallas judiciales entre la industria americana, representada por la RIAA (Recording Industry Association of America) y diversas empresas (Napster, MP3.COM), que también se están empezando a reproducir dentro de nuestras fronteras (Horus vs. Weblisten).

¿Qué ha motivado esta reacción?. La respuesta es bien sencilla: el formato MP3.

Lo primero que conviene aclarar es que el formato MP3 no supone, por si mismo, ningún acto de vulneración de los derechos que puedan ostentar los titulares sobre sus creaciones intelectuales.

Así, en la propia red podemos encontrar numerosas páginas de las grandes discográficas, en las que se nos ofrece música en formato MP3 de forma legal, es decir, pagando un precio que permite la remuneración de los titulares de derechos de propiedad intelectual. Sin embargo, junto a éstas, también podemos encontrar multitud de Websites que ofrecen todo tipo de archivos MP3 vulnerando los derechos de propiedad intelectual existentes sobre los fonogramas.

MP3 es la abreviatura de MPEG3, que es la tercera versión del compresor MPEG1. Junto al MP3, y las nuevas versiones de éste que ya se están desarrollando, existen otros estándares que aún no han llegado a gozar de su popularidad.

Desde un punto de vista técnico, el MP3 tiene una serie de ventajas que puede convertir a este software en un auténtico peligro para los titulares de derechos de propiedad intelectual sobre los fonogramas.

La primera de las ventajas tecnológicas que supone la utilización de MP3, es la gran capacidad de compresión. A modo de ejemplo, tenemos que indicar, que una pista de audio que en formato WAV (formato tradicionalmente utilizado para reproducir ficheros musicales en el ordenador) puede ocupar aproximadamente 40 megas, puede verse reducido a 3 megas gracias a la compresión de MP3, sin que se produzca una disminución perceptible en la calidad del sonido.

El MP3 basa su compresión en las imperfecciones del oído humano. Nosotros, mediante el sistema auditivo, sólo somos capaces de captar ondas dentro de un umbral de frecuencias, en tanto que los CD´s, las cintas de música y el resto de soportes que contienen sonido, emiten una serie de ondas que son imperceptibles para el oído humano. El MP3 desprecia esas ondas que no somos capaces de percibir, comprimiendo sólo las que nuestro oído es capaz de reconocer, consiguiendo así ese grado de compresión tan espectacular.

Otro factor técnico importante que ha conseguido impulsar el MP3, es la posibilidad de transformar a este formato cualquier soporte que contenga música, y de forma mucho más sencilla, si este soporte es un CD, ya que la mayoría de los ordenadores actuales están preparados para reproducirlos.

Como decíamos anteriormente, el procedimiento es sencillo: únicamente necesitamos un software que permita convertir el contenido del CD en ficheros WAV, y otro software que comprima estos ficheros a MP3 (los denominados RIPPERS Y ENCODERS. Este tipo de software así como el necesario para reproducir MP3 se puede bajar, mediante un download, de la propia red gratuitamente.

Para finalizar con las ventajas técnicas del MP3, únicamente nos queda mencionar que es prácticamente compatible con cualquier sistema operativo tanto Linux, Unix, Dos, Mac, etc.

Por todo ello, la aparición del MP3 y su gran capacidad técnica para generar copias de música, de gran calidad a un coste muy bajo, ha creado mucha preocupación entre los titulares de los derechos de explotación de las obras musicales, ya que es muy sencillo vulnerar los derechos por ellos adquiridos.

Este problema no es nuevo y, en este sentido, hemos visto como en numerosas ocasiones ha saltado a la opinión publica la desmantelación de redes organizadas que se dedican a duplicar de forma ilegal CD´s para su posterior comercialización.

No obstante, el formato MP3 otorga una ventaja, que no se había dado hasta ahora, como es la posibilidad de comercializar esas copias "pirata" a través de INTERNET, ya que no sólo es un método sencillo de generar copias ilegales de obras musicales, sino que además, dado el espacio reducido de los ficheros MP3, permite una distribución rápida y mundial de los mismos, mediante la utilización de correo electrónico, acceso a páginas Web o cualquier otro sistema de intercambio de documentos a través de la red.

Por tanto, la aparición del MP3 ha creado un estado de duda general, marcado por la controversia y por los conflictos de intereses que chocan ante la facilidad de reproducción y distribución de la música en el ámbito de INTERNET. La industria discográfica y los propios autores entienden que es una forma sencilla de llevar al público la música, de forma legal, pero también advierten que es un sistema que, con cierta facilidad, puede utilizarse para vulnerar sus derechos de propiedad intelectual.

Este conflicto de intereses se vio incrementado con la aparición de los primeros reproductores de MP3, unos aparatos muy similares al "walkman", que permiten la extracción y reproducción de música en este formato. La polémica surge en la industria por la externalización del formato, ya que se generaliza la posibilidad de crear reproducciones ilegales de obras musicales, para ser reproducidas fuera de los ordenadores, con lo que disminuye la posibilidad de controlar la música en formato MP3.

Por ello es necesario que la regulación en materia de propiedad intelectual, se adapte y responda adecuadamente a estas nuevas realidades.

Todos estos aspectos, son los que impulsaron la adopción, en la Conferencia Diplomática celebrada en diciembre de 1996 bajo los auspicios de la Organización Mundial de Propiedad Intelectual de dos nuevos Tratados, el Tratado sobre derechos de autor y el Tratado sobre interpretación y ejecución de fonogramas. A diferencia con otros tratados internacionales anteriores en materia de propiedad intelectual, estos tratados están ideados para proteger a los autores en la era digital.

Como consecuencia de dichos tratados, actualmente se encuentra en fase de tramitación la Propuesta de Directiva relativa a la armonización de los derechos de autor y derechos afines en la sociedad de la información.

Miguel Valdés
Asociación Española de Derecho de Propiedad Intelectual.

En el Capítulo I del Texto Refundido de la Ley de Propiedad Intelectual, se regula el derecho de autor, de forma genérica. Dentro del mismo, y según las modificaciones que se incluyen por la incorporación de la Ley de Protección Jurídica de Bases de Datos, aparece una primera definición legal de base de datos, desde un punto de vista de creación intelectual. Así pues tendrán la consideración de bases de datos. "Las colecciones de obras, datos o de otros elementos independientes dispuestos de manera sistemática o metódica y accesibles individualmente por medio electrónicos o de otra forma."

Se trata de una definición bastante amplía y en la que no aparece ningúna diferenciación según el tipo de contenido que se incluya en la base de datos, esto es fácilmente comprensible, ya que la protección que ofrece el Texto Refundido de la Ley de Propiedad Intelectual, desde un punto de vista de los derechos de autor, no es extensiva a los contenidos incluidos en la base de datos, sino únicamente a la forma de expresar la disposición o selección de los mismos.

Teniendo en cuenta esta apreciación, sea observa claramente que los derechos de autor se reflejarán en la forma de ordenar, colocar, presentar, etc. la información contenida en la base de datos, pero en ningún caso se protegerá la propia información.

Tampoco será susceptible de protección, a través de los derechos de autor el programa de ordenador que gestiona la base de datos, puesto que las aplicaciones informáticas tiene su propio ámbito de protección dentro del Texto Refundido de la Ley de Propiedad Intelectual, y es diferente a lo dispuesto para las bases de datos.

CONTENIDO DE LOS DERECHOS DE AUTOR

a).- Los derechos morales de autor.

Son derechos que se caracterizan por estar íntimamente ligados a la persona. Son derechos perpetuos, irrenunciables, inalienables, imprescriptibles, inembargables y no discrecionales.

Estos derechos tienen la característica de ser exclusivos del titular y no pueden ser ejercitados por terceros sin su autorización, salvo en los casos previstos en la Ley. Estas excepciones constituyen los denominados límites de los derechos de explotación.

Ejemplos de los derechos morales de autor son: el Derecho a la divulgación, el Derecho al nombre,el Derecho al reconocimiento de la paternidad, etc.

b).- Los derechos de explotación.

El autor, puede ejercitar libremente los derechos de explotación de la obra mediante la forma licita que se estime conveniente y, en especial, mediante la reproducción, distribución, comunicación pública y la transformación. Estas facultades, son independientes entre sí y podrán ser ejercitadas por los titulares de forma separada, lo que representa una variada gama de modalidades contractuales acerca de la explotación pecuniaria de una obra.

Son por tanto derechos susceptibles de transmisión por parte del autor, y de ahí su contenido claramente patrimonial.

1. Introducción

“Tu empleador puede estar viéndote y escuchándote”. Ésta afirmación se ha convertido en un recurso muy utilizado en los países sajones para forzar, aún más, la controversia del Big Brother is watching de la obra 1984 de George Orwell tras la irrupción generalizada de las nuevas tecnologías de la información y, en concreto, de la Internet.

Los últimos estudios estadísticos de los Estados Unidos de América aumentan, aún más, esta sensación de la hiperprivacy orwelliana que los sociólogos han venido a recalcar obligando a los juristas a realizar estudios doctrinales sobre la materia.

En 1993 ya se destacaba que 26 millones de americanos eran controlados en sus lugares de trabajo y con la hiperprivacy que genera Internet nos ha llevado a que en las últimas estadísticas, las previsiones que se hacían en 1993 --a saber, “30 millones de empleados americanos estarán controlados constantemente a finales de esta década”—se hayan convertido en una mera previsión a la baja, según los últimos estudios.

Intentar trasladar esta preocupación generalizada a España era difícil antaño más aún cuando, en 1982, nuestro legislador --al promulgar la primera ley monográfica sobre el derecho a la intimidad-- no elaboró estudios sociológicos, como hubiera sido deseable; y no fue hasta 1989 cuando se tomó conciencia de la necesidad de proteger el derecho constitucional a la intimidad.

Sin embargo, la irrupción de las nuevas tecnologías de la información y de las redes de comunicación informática han obligado a que los juristas realizasen rápidos estudios sobre la materia que muchas veces no llegan al fondo de la cuestión.

Ciertamente, las nuevas tecnologías de la información han permitido que el control empresarial hacia el trabajador puede devenir masivo y constante pero no se puede afirmar que se trata de una problemática jurídica de nueva creación, cuando el Estatuto de los Trabajadores (ET) lo viene regulando en su artículo 20.3 desde antaño y la doctrina, aunque de forma minoritaria, también lo ha hecho.

2. Tipos de control empresarial sobre el trabajador

Son muchos los tipos de control que se pueden ejercer, y se han venido ejerciendo, sobre el trabajador. Así, se tiene jurisprudencia española sobre controles con videocámaras, con micrófonos de ambiente, mediante la intervención del teléfono de la empresa, con el uso de empresas médicas de control de los procesos de incapacidad temporal o mediante el seguimiento con detectives.

Tampoco han pasado desapercibidos para el legislador actuaciones directas sobre el trabajador o sus pertenencias, como pueden ser cacheos, registros en despachos, mesas o taquillas,  siempre y cuando sea imprescindible para la protección del patrimonio empresarial (art. 18 ET).

En suma, el control empresarial sobre el trabajador no es ni mucho menos nuevo en las prácticas empresariales de nuestro país.

3. El correo electrónico como nuevo medio de comunicación empresarial

La evolución del uso de la Internet, tanto en España como en el resto del mundo, se sitúa en un aumento del 1,4% de 1996 a un 12,4% en marzo del año 2000 para España, según la EGM. El número de usuarios españoles de la infopista se cifra, por tanto, en 4.319.000 personas.

Según la Computer Industry Almanac, en noviembre de 1999, el número de usuarios mundiales era de 259 millones.

Estas cifras generales no dejan de ser válidas para cualquier estudio jurídico que de la Internet se haga. Sin embargo, lo más importante para este trabajo, es que de los casi 4,5 millones de españoles que utilizan Internet el 79,3% usan el correo electrónico y, según las últimas informaciones, más de la mitad de estas conexiones se realizan desde los centros de trabajo.

Las cifras son, por ende, alentadoras si se piensa que el correo electrónico es un medio de comunicación rápido y sencillo y que permite a las empresas tanto fidelizar a sus clientes como tener una comunicación personal mucho más intensa y personal.

Sin embargo, aún sabiendo el uso extensivo que se le está dando al correo electrónico en la empresa, el usuario muchas veces desconoce qué es y cómo funciona el correo electrónico y es, precisamente, este proceso el que marcará, de forma definitiva, las guías a seguir para su protección jurídica. 

Las definiciones que se han dado del e-mail o correo electrónico van desde las más simples a las más técnicas, de las propiamente jurídicas a las que no lo son.

El correo electrónico es, simplemente, un “servicio de intercambio de mensajes entre usuarios que puede incluir elementos multimedia”. Sin embargo, la importancia del correo electrónico, a efectos jurídicos, no radica en su definición o sistema de trabajo, sino el método que emplea para su distribución, esto es, un buzón de correo electrónico es, al igual que un buzón postal, un lugar donde se envían cartas –en formato digital en vez de analógico—que, posteriormente, recoge el usuario.

Para que el sistema funcione correctamente se requería que el usuario no necesitase estar conectado permanentemente a un sistema de telecomunicación digital y, para ello, se estableció la fórmula genérica de que exista, siempre, un intermediario que es el que realmente recibe el mensaje. Este intermediario puede ser un proveedor de acceso a Internet, una página web o un servidor empresarial, esto es, una máquina del propio empresario que realiza las funciones de repartidor del correo.

El usuario, cuando quiere leer su correspondencia electrónica, conecta con ese proveedor y éste le facilita el mensaje descargándolo en su ordenador.

El régimen de garantías constitucionales no admite graduaciones como consecuencia de la actividad que desempeña un individuo o la posición que ocupa. No se puede afirmar que el derecho a la vida privada de un trabajador se ve mermado frente al empresario porque ocupa una posición de subordinación frente a éste.

Como señala ICHINO el trabajador debe encontrar, incluso, en su lugar de trabajo un ámbito de reserva elemental para atender a sus necesidades fisiológicas o para conservar sus efectos personales.

El derecho a la privacy del trabajador existe como un derecho subjetivo que se puede ejercitar frente a todos (erga omnes). El derecho fundamental del 18 CE encuentra su correlato normativo en el artículo 4.2 e) del Estatuto de los Trabajadores que establece como un derecho del trabajador el “respeto de su intimidad y a la consideración debida a su dignidad, comprendida la protección frente a ofensas verbales o físicas de naturaleza sexual”.

Sin embargo, la garantía de disfrute del derecho a la vida privada por parte del trabajador “viene contrapesada por las exigencias del desarrollo de la actividad laboral” dado que el propio ordenamiento reconoce el poder de control y vigilancia del empresario frente al trabajador en el art. 20.3 ET.

Por tanto, una vez más, el derecho constitucional a la vida privada colisiona frente a otro derecho constitucional, a saber, el derecho a la información del empresario. No se trata de supeditar el derecho a la vida privada a una mera ‘subordinación jerárquica’ ni a afirmar, como hace GOÑI SEIN que “la lesión a la intimidad que el trabajador está obligado a tolerar por razón del control de la actividad del trabajo no debe traspasar los límites de la subordinación técnica”.

El art. 20.1 ET señala como funciones de Dirección y control de la actividad laboral las siguientes:

1.      El trabajador estará obligado a realizar el trabajo convenido bajo la dirección del empresario o persona en quien éste delegue.

2.      En el cumplimiento de la obligación de trabajar asumida en el contrato, el trabajador debe al empresario la diligencia y la colaboración en el trabajo que marquen las disposiciones legales, los convenios colectivos y las órdenes o instrucciones adoptadas por aquél, en el ejercicio regular de sus facultades de dirección y, en su defecto, por los usos y costumbres. En cualquier caso, el trabajador y el empresario se someterán en sus prestaciones recíprocas a las exigencias de la buena fe.

3.      El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

4.      El empresario podrá verificar el estado de enfermedad o accidente del trabajador que sea alegado por éste para justificar sus faltas de asistencia al trabajo, mediante reconocimiento a cargo de personal médico.

La negativa del trabajador a dichos reconocimientos podrá determinar la suspensión de los derechos económicos que pudieran existir a cargo del empresario por dichas situaciones

En suma, el poder de vigilancia y control del empresario constituye una particular dimensión del poder directivo que se le reconoce al empresario que va más allá de la posibilidad de vigilancia que con cualquier contrato se adquiere dado que no se limita a la facultad de verificar el rendimiento contractualmente exigido y la particular disciplina que hace posible el normal desarrollo del trabajo.

5. El control del correo electrónico en el lugar de trabajo

5.1 Introducción

Se ha planteado, por ende, el creciente uso del correo electrónico en el lugar de trabajo y la necesidad de establecer unos parámetros de control por cuanto su monitorización se encuadra en la práctica habitual –y, como se comprobará— y legal de control empresarial en su faceta definida de dirección de la empresa.

La problemática jurídica se centra en la imposibilidad, desde un punto de vista constitucional, en realizar un balancing entre derechos constitucionales de diferentes rangos, de tal forma que, en principio, cabe suponer que es preponderante el derecho a la intimidad frente al derecho al trabajo.

Sin embargo, el art. 20 del Estatuto de los Trabajadores se debe encuadrar en la necesidad de información del empresario para desarrollar sus labores de dirección empresarial y, por ende, el balancing se debe llevar a cabo entre los derechos –ahora, sí, ambos fundamentales desde un punto de vista constitucional—a la intimidad y a recibir información.

No obstante, los aspectos que el TC ha barajado para el estudio de la colisión entre ambos derechos se fundamenta en la necesidad de que exista un ágora libre donde los ciudadanos obtengan toda la información que necesitan para desenvolverse socialmente, esto es, un mercado de las ideas.

En idéntico sentido, el Código Penal establece los parámetros de protección de los medios de  comunicación como un bien necesario para la persona que el Estado debe proteger.

Así, las comunicaciones constitucionales relevantes ex artículo 18.3CE son “las postales telegráficas y telefónicas, salvo resolución judicial”.

Lógicamente no debe entenderse que, únicamente, las postales, telegráficas y telefónicas son las jurídicamente protegidas dado que todos las comunicaciones que se mantengan a través de un medio técnico están protegidas, es decir, el ilícito constitucional se produce cuando existe una injerencia extraña a una comunicación sin pertenecer a cualquiera de los emisores o destinatarios, salvo la realizada de forma personal.

Coherentemente, el CP1995 tipifica el control auditivo por medio de la interceptación de telecomunicaciones o de la utilización de artificios técnicos de escucha en el art. 197.1.

5.2 El art. 197.1 CP

El artículo 197.1 CP1995 contiene el tipo básico de apoderamiento de documentos y de efectos personales y, por otro lado, tipifica el control auditivo y/o visual clandestino, por medio de la interceptación de telecomunicaciones o de la utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen.

Aparentemente, el precepto protege, de forma expresa, la interceptación de mensajes de correo electrónico.

Sin embargo, esta interpretación es errónea. Tal y como señala MORALES PRATS el tipo, en este punto, se refiere al apoderamiento físico subrepticio de documentos. En este sentido, el tipo (en su primer pasaje) no abarca conductas de interceptación, reproducción o grabación ilícita de carácter electrónico de los mensajes electrónicos puesto que esta conducta está descrita en el segundo pasaje del art. 197.1 CP.

Por ello, aunque en su definición asimilemos el correo electrónico al correo postal este símil no se debe manejar desde un punto de vista jurídico penal dado que su protección debe integrarse en las de interceptación de los medios de comunicación y no en los de apoderamiento de documentación.

El principal problema, desde un punto de vista jurídico penal, es poder determinar el sentido del verbo nuclear de la acción, esto es, ‘interceptar’.

Para un sector doctrinal una interpretación gramatical y teleológica del precepto nos debe llevar a la conclusión de que el precepto incrimina tanto la conducta de interceptación de indiscreción (pinchazo telefónico) como la de obstrucción, esto es, impedir la libertad de comunicación. Sin embargo, tal y como se señala por parte de la misma se trata de una conducta conforme a derecho y no antijurídica, en virtud del principio de la inexistencia de bien jurídico protegido. Por ende, la conducta de interceptación, únicamente, admite una modalidad típica del verbo nuclear, ‘la toma de conocimiento’.

En este sentido, se debe señalar, una vez más, que el bien jurídico protegido es el secreto de las comunicaciones y no un supuesto derecho a la libertad de expresión.

Se trata de un delito cuyo finalidad es la de conocer los secretos o vulnerar la intimidad de otro que no castiga la conducta de impedir las comunicaciones entre dos o más personas, sino introducirse en la comunicación con el fin de descubrir los secretos (LOZANO MIRALLES y BAJO FERNÁNDEZ).

En suma, la finalidad de los actos de interceptación debe estar encaminada a vulnerar la privacy de las comunicaciones (elemento subjetivo del injusto).

Se debe concluir que por interceptar se entenderá el uso de un artificio técnico para la intrusión inconsentida en una infraestructura comunicativa realizada mediante un aparato comunicativo. En este sentido, si una persona escucha (sin mediar artificios técnicos) una conversación realizada telefónicamente entre dos personas que usan un amplificador de voz su conducta será atípica.

El art. 197.1 CP es un delito con una estructura de delito mutilado en dos actos, que no requiere para la consumación el efectivo descubrimiento de la privacy  que juega un papel de engarce con los diferentes tipos agravados.

Ante lo expuesto, aparentemente, la existencia de un elemento subjetivo del injusto (privacy) colisiona con el bien jurídico, a saber, el secreto de las comunicaciones.  No se trata de una dicotomía. El bien jurídico protegido que se maneja es, en realidad, la privacy pero entendida en la faceta de exclusión, esto es, la de garantizar las comunicaciones realizadas por medios técnicos por cuanto en ellas es más que factible que se vulnere la privacy.

El simple hecho de usar el medio técnico genera una expectativa razonable de vida privada.

Por otro lado, el que se configure el tipo como un delito mutilado en dos actos abona esta teoría. La consumación típica se concreta en la mera interceptación con la finalidad de conocer la privacy que “pone a los propios sujetos o a terceros en situación de conocer el contenido” de la comunicación.

El derecho al secreto de las telecomunicaciones únicamente podrá subordinarse o conculcarse mediante resolución judicial en los términos de la LECRIm. Nuestra CE, además, posibilita la suspensión de este derecho en el contexto de una declaración del estado de excepción o sitio (art. 55.1 CE) o en relación con las investigaciones correspondientes a la actuación de bandas armadas o elementos terroristas (art. 55.2 CE). Existen, además, otros supuestos donde el secreto se ve mermado como el indicador en el art. 47.4 del Reglamento Penitenciario, en referencia a los reclusos, o la previsión de retención de la correspondencia de los concursados y quebrados (arts. 1173 y 1338 LECi.).

El consentimiento, además, opera como causa de conformidad constitucional de la interceptación de las comunicaciones y como causa de exclusión de la tipicidad en sede penal.

La falta de consentimiento o autorización del titular del bien jurídico protegido es un factor determinante en la antijuricidad del hecho supuestamente delictivo. No obstante, el art. 2.2 LO 1/1982 exige que el titular del derecho tenga que otorgar su consentimiento expreso.

El art. 18.3 CE no se refiere expresamente al consentimiento, como hace el art. 18.2 CE con respecto a la inviolabilidad domiciliar, pero debe entenderse implícitamente.

A priori, se debe señalar que los sujetos titulares del derecho al secreto de las comunicaciones son ambos comunicantes (o los que sean si se trata, por ejemplo, de una comunicación a tres).

Se han realizado estudios doctrinales sobre los problemas de intervención judicial de las comunicaciones con relación al tercero afectado y las personas intermedias a la comunicación, sin embargo este trabajo no debe partir de este supuesto.

5.3 La “existencia” de secreto en las comunicaciones en el trabajo, el consentimiento y los comunicantes

Tot court, se ha establecido al principio de este apartado que los trabajadores no pierden su derecho a la intimidad o a su vida privada por el mero hecho de integrarse en un proceso productivo empresarial.

Sin embargo,  el derecho no debe alejarse de la realidad social y de los usos empresariales de tal forma que se deben establecer varias premisas de trabajo:

1.      En la empresa española, a diferencia de la americana, no existe cultura de impedir las llamadas personales en la jornada laboral.

2.      En empleado habla por boca del empleador que le faculta para realizar unas tareas bajo su supervisión y control.

Son muy importantes estas premisas por cuanto, según el punto primero será muy difícil en la mayoría de los casos aducir un consentimiento tácito del trabajador aunque según la segunda premisa el propio empleador es uno de los participantes de la comunicación y, por ende, está capacitado para conocer de la misma.

El mundo del derecho, a veces, peca de teórico y, sin embargo, debe amoldarse a la realidad social como, habitualmente,  se hace en la jurisprudencia norteamericana.

5.4 EUA una referencia en materia de comercio electrónico

Antes de la promulgación de la Electronic Communication Privacy Act de 1986 (ECPA) no existía una protección federal americana de las comunicaciones por correo electrónico.

La ECPA, básicamente, prohíbe la interceptación de las comunicaciones electrónicas en el sistema público de telecomunicaciones, además de la intrusión no autorizada en las comunicaciones electrónicas guardadas en el sistema informático.

Tampoco, “existe violación de la ECPA si la persona o entidad proveedora del servicio de comunicación electrónico examina todo lo existente en el sistema” sea o no con propósitos de mejorar la calidad del mismo ni se protege el examen realizado por el empresario en los e-mails de su sistema.

Esta interpretación jurídica de la ECPA ha sido reforzada juriprudencialmente. Así, el TS de California rehusó revisar el caso Alana Shoars vs. Epson América Incorporated, aunque se acusaba a Epson de revisar el correo electrónico de sus empleados, porque no existía “ley alguna que proteja el correo electrónico en el trabajo”.

En suma, desde un punto de vista federal, no existe ley alguna que permita considerar el correo electrónico en el trabajo como confidencial.

Ante la ineficacia de la ECPA para proteger el correo electrónico la doctrina norteamericana lo ha intentado mediante la referencia a leyes estatales. Así, mediante una interpretación extensiva del tort of law unreasonable intrusion upon the seclusion of another los tribunales han considerado que la monitorización electrónica es suficiente para establecer la existencia de un ilícito (Miller vs. National Broadcasting Co., 232 Cal. Rptr. 668, 679 (Cal. Ct. App. 1986)).

De tal forma que si civilmente es viable considerar intrusiva la interceptación del correo electrónico empresarial desde el punto de vista de la legislación estatal se debería volver a examinar la ECPA para comprobar, de forma fehaciente, la incapacidad de la ECPA para proteger el e-mail en el trabajo.

El título III de la ECPA considera un crimen federal la interceptación intencionada de las comunicaciones electrónicas.

Por ende, lo más relevante desde un punto de vista jurídico penal es el examen del concepto de comunicaciones electrónicas.

El art. 18 USC 2510 (12) establece que cualquier transferencia de signos, señales, escritos, imágenes, sonidos, datos o señales de cualquier naturaleza transmitidas en su totalidad o en parte por un sistema de ondas, radio o sistemas electromagnéticos, fotoeléctricos o foto ópticos que afecten al comercio interestatal serán consideradas como comercio electrónicos.

De tal forma que un sistema de comunicación empresarial interno no es una comunicación electrónica desde el punto de vista de la ECPA.

Establecidos, por ende, la incapacidad de las leyes federales y estatales norteamericanas para proteger las comunicaciones electrónicas en el seno de las transmisiones de datos interempresariales se debe examinar la jurisprudencia que por los tribunales de ese país se han dictado.

El primero de los casos en que se planteó judicialmente si el control empresarial del e-mail de sus trabajadores era –o no—ilícito fue en el caso Smyth vs. The Pillsbur Co. (914 I. Supp. 97 (ED Pa 1996)). En él, la corte americana estableció que “no existen expectativas razonables de privacidad en las comunicaciones por correo electrónico realizadas en el seno de una empresa cuando ésta facilita las comunicaciones y las debe mantener”.

En idéntico sentido, en el caso Andersen Consulting LLP vs. VOP and Bicked & Brewer, 991 F. Supp. 1041 (NDI II, 1998) se consideró que facilitar el acceso al sistema de correo electrónico interno (intranet) no era lo mismo que proveerlo al público en general.

La ECPA, además, establece dos excepciones, desde un punto de vista general, que permiten al empleador monitorizar legalmente las transmisiones de correo electrónico de sus trabajadores, a saber,

a.      El art. 2511 (2) i 18 USC permite al proveedor del sistema de correo que intercepte las comunicaciones de su sistema, de forma aleatoria, para proteger los derechos del proveedor.

b.      Cualquiera de los participantes en un mensaje de correo pueden consentir en la monitorización del mismo (18 USC 2511 (2) d.

Estas dos excepciones del art. 18 USC son en las que se debe realizar un estudio doctrinal para comprobar la posibilidad de interceptar el correo electrónico en nuestro país.

5.4 Conclusiones

Desde un punto de vista genérico de existir algún tipo de protección jurídica del correo electrónico se debe fundamentar en la necesidad de cualquier ciudadano, incluso integrado en un ámbito laboral, al derecho a la privacidad de sus comunicaciones.

Sin embargo, como cualquier otro derecho constitucional el derecho a la privacidad tiene un contraderecho, a saber, el de informar y ser informado.

Las dos excepciones del art. 18 USC se deben estudiar desde un doble punto de vista. Así, la primera de ellas (derecho del proveedor de acceso al correo electrónico) se debe considerar como un límite externo al derecho a la privacidad mientras el consentimiento forma parte de la naturaleza jurídica del concepto del derecho a la privacidad.

Por ende, sólo cabría comprobar si el derecho del proveedor de acceso al correo electrónico se puede considerar un límite al derecho a la privacidad del usuario del correo electrónico.

La Recomendación (99) 5 de 23 de febrero de 1999 del Comité de Ministros de la CE para la protección de la privacidad en Internet indica en su punto quinto del título tercero que los ISP no pueden leer, modificar o borrar mensajes de otros.

El ISP, con proveedor de acceso, en el ámbito laboral es el propio empresario al alguien designado por éste.

Antes de entrar en el análisis jurídico del aserto indicado se debe partir del estudio social del propio derecho para comprobar los usos sociales y la realidad social del propio derecho.

Tras la salida de un empleado de un sistema empresarial es obvio que las llamadas de clientes que a él vayan dirigidas se redireccionarán a cualquier otro empleado dado que aunque se trate de una llamada recibida en un teléfono directo o en una centralita general a nadie se le ocurría pensar que se vulneraba la privacidad del antiguo empleado por recibir la llamada, atenderla y redireccionarla.

Sin embargo, y aún siendo obvia la necesidad del empresario de contestar a las peticiones de trabajo, se plantea la posible vulneración de la privacidad del trabajador al tener que controlar los e-mails por éste recibidos durante su ausencia, ya sea temporal o definitiva, para poder contestar a las peticiones de clientes referidas al trabajo realizado por el empleador.

El art. 20.3 ET únicamente puede aducirse durante la relación laboral y no habiendo finalizado ésta.

Por ello, y aún debiéndose considerar que los límites a los derechos fundamentales deben ser restrictivos en este caso se debe aducir –desde un punto de vista jurídico civil-- que el art. 2 LODHI declara que la protección de la privacidad quedará limitada por los usos sociales y, desde un punto de vista jurídico penal, la exención de responsabilidad criminal por el ejercicio legítimo de un derecho, a saber, el de estar informado.

Por último, se debe examinar si el control del correo electrónico ya recepcionado, esto es, ya en el  ordenador del empleado se considera control de las comunicaciones. En este caso, el control del e-mail se debe estudiar desde la perspectiva del registro de los objetos personales del empleado, a la luz de la STS 12/2000, de 5 de enero.

1.      Conclusiones finales

El correo electrónico de los empleados, siempre y cuando sea mediante el uso de la cuenta de correo de la empresa podrá ser objeto de control por parte del empresario durante la relación de vigencia del contrato laboral siempre y cuando se consienta –tomando el consentimiento tácito como teoría jurídica de trbajo--por parte del trabajador.

Finalizada la relación laboral el correo electrónico podrá ser, también, objeto de control sin que se requiera un consentimiento previo.

El control del correo electrónico almacenado en el ordenador del trabajador podrá ser objeto de control siempre y cuando se motive como necesaria para la protección del patrimonio de la empresa, a saber, la información que allí se contiene.

7.Política de uso del correo electrónico

En orden a reducir la potencial vulneración de las reclamaciones por invasión a la privacidad lo más adecuado es implementar una política clara del uso de Internet y del correo electrónico en la empresa.

Los siguientes elementos deben estar contenidos en una política acertada de uso de estos dos medios de comunicación:

1.      Notificar a los empleados que el sistema se debe usar principalmente para usos laborales

2.      Que la empresa se reserva el derecho a revisar y auditar todos los mensajes que se envíen a través de su sistema

3.      Además, debe especificarse el derecho a revisar los mensajes entrantes a su sistema.

4.      Que el uso por parte del empleado del sistema de códigos o de encriptación no impide el control del sistema.

5.      Por último, debe indicarse que borrar un mensaje no indica que se borre del sistema.

Mediante la firma de la política de uso el trabajador consiente en el control de los mensajes de correo electrónico y, por ende, elimina la posibilidad de ejercitar este derecho porque aún cuando los derechos fundamentales no son consentibles el derecho a la intimidad se configura como una excepción a esa regla general por cuanto el consentimiento forma parte de la propia naturaleza jurídica de ese derecho.

A modo de ejemplo, una política de uso correcta del correo electrónico y de Internet sería:

POLÍTICA DE USO DEL CORREO ELECTRÓNICO EN LA EMPRESA xxxx, SA

La dirección de XXX, SA MANIFIESTA que:

1          Todo el correo electrónico es propiedad de la empresa

2                   Los mensajes de correo electrónico no se consideran privados

3                   La empresa se reserva el derecho a monitorizar, ya sea discrecional ya sea específicamente, el sistema en el curso ordinario del negocio

4                   La existencia de passwords y de mensajes borrados no restringe el derecho a acceder al sistema

5                   La información sensible y los datos íntimos no se deben enviar mediante el sistema empresarial y en caso de realizarse no se deberán enviar si antes no ser encriptados

6                   La existencia de mensajes ofensivos o de carácter sensual están prohibidos

Cualquier empleado que viole esta política será objeto de acciones disciplinarias.

FIRMA ELECTRÓNICA Y ENTIDADES DE CERTIFICACIÓN

Las nuevas tecnologías han experimentado un importante avance debido a la necesidad de proteger las comunicaciones en redes abiertas como por ejemplo internet.

Para evitar los riesgos de los llamados ataques informáticos, se han implementado dos medidas de seguridad, el primero de estos mecanismos es la criptografía de cleve simétrica, esta técnica consiste en el cifra do de unos datos con una clave simétrica y el posterior descifrado con la misma clave, esto lleva consigo una serie de ventajas y de inconvenientes, la gran ventaja es la velocidad que hace que estos algoritmos sean los más apropiados para grandes cantidades de datos y el inconveniente es la necesidad de distribuir esta clave por lo que el mensaje pude ser descifrado por persona no deseada.

El segundo mecanismo es la llamada criptografía de clave asimétrica, en la cual existen un par de claves, una que conocen todos los usuarios llamada clave pública y otra privada la cual sólo conocerá un usuario, con esta técnica ciframos un mensaje con la clave pública de un usuario y sólo podrá ser descifrado con la clave privada de este usuario.

En esta segunda criptografía el elemento que cobra especial importancia es el llamado certificado digital el cual garantiza que una clave pertenece a una persona en concreto.

Este cifrado de clave asimétrica garantiza una serie de principios que rigen la legislación sobre firma electrónica (Real Decreto Ley de Firma Electrónica de 14/1999) que son identidad, integridad, no repudio en destino y confidencialidad.

El Real Decreto 14/1999 distingue entre firma electrónica y firma electrónica avanzada tienen ambas su diferencia según esta norma en que la firma electrónica avanzada será aquella que permite la identificación del signatario y fue creada por medios que este mantiene bajo su control, esta última va a ser la que tenga efectos jurídicos ( art. 3 Real Decreto 14/1999) equiparándola a la firma manuscrita y dándola validez como prueba en un juicio, establece una presunción legal favorable cuando el prestador de servicios de certificación esté acreditado.

De esta manera se pretende dar eficacia jurídica a documentos que estén cifrados utilizando la encriptación de clave asimétrica y asimilarlos a los documentos en formato papel.

El Real Decreto Ley persigue una regulación clara sobre el uso y eficacia de la firma electrónica y el régimen aplicable a los prestadores de servicios de certificación, también crea el registro en el que han de inscribirse los prestadores de servicios, regula la expedición y pérdida de vigencia de los certificados, el régimen de su inspección administrativa y tipifica las infracciones y sanciones que se establecen para garantizar su cumplimiento.

Esta regulación se fundamenta en una iniciativa de la Comisión Europea que ha dado lugar a un proyecto de Directiva del Parlamento Europeo y del Consejo sobre firma electrónica, que recibió el informe favorable del Consejo de Ministros de Telecomunicaciones de la Unión Europea celebrado el 22 de abril de 1999.

Uso y Eficacia de la firma electrónica

La firma electrónica es aquel conjunto de datos como códigos o claves criptográficas privadas, en forma electrónica que se asocian inequívocamente a un documento electrónico, que permite identificar a su autor. Si esta identificación es altamente fiable y permite detectar cualquier alteración del documento no autorizada y que los dispositivos empleados en la creación son seguros, por cumplir ciertas exigencias técnicas y porque el prestador de servicios de certificación está acreditado entonces se habla de “firma electrónica avanzada”.

Para usar la firma electrónica debemos contar con un ordenador con conexión a internet y con un dispositivo lector de tarjetas de firma electrónica, seguidamente se debe ir a un prestador de servicios de certificación que procederá a nuestra identificación personal y creará un par de claves una pública y otra privada entregándonos la tarjeta o disquete que contenga esta clave privada, así como la aplicación informática o programa para su uso, el cual debemos instalar en nuestro ordenador, el documento que hayamos creado lo podemos además encriptar y se enviará por correo electrónico a quien deseemos junto con el certificado del prestador de servicios que avala nuestra identidad.

La  clave privada de la firma electrónica se encuentra incorporada en una tarjeta similar a las de crédito que contiene un chip con información del titular, la entidad de certificación que ha emitido dicha firma y un conjunto de bits que contiene la clave. Esta tarjeta es de uso personal e intransferible y está protegida con un código secreto que sólo su titular conoce.

La firma electrónica avanzada consignada en documento electrónico tiene el mismo valor jurídico que la firma manuscrita consignada en documento papel, además es obligatorio su admisión como prueba en un juicio y debe ser valorada conforme a los criterios de apreciación judicial establecidos en las normas procesales. Existe una presunción legal favorable  a la validez de la firma electrónica cuando el prestador de servicios de certificación está acreditado y el dispositivo de creación de firma empleado está certificado oficialmente. En el caso de firma electrónica simple o no avanzada sólo se garantiza el no rechazo de pleno de su admisión como prueba en un juicio.

El documento firmado electrónicamente no tiene valor de documento público según el Real Decreto Ley y el Proyecto de Directiva cuando dicen que la firma electrónica no excluye ni modifica las funciones del fedatario público, por tanto la escritura pública seguirá siendo necesaria.

Los documentos que pueden ser firmados electrónicamente son: toda clase de documentos que no estén sujetos a exigencias de forma determinadas, en particular en el ámbito de las relaciones entre el ciudadano y la administración  y en el ámbito de las relaciones entre empresas y entre éstas y los consumidores, luego se utiliza especialmente en el ámbito del comercio electrónico.

Los Prestadores de Servicios de Certificación, son empresas públicas o privadas, físicas o jurídicas en régimen de libre competencia, certifican que quien firma un documento electrónicamente utiliza las claves de quien debe ser. Para poder certificar esto previamente han generado la clave pública y privada del firmante y le han identificado.

No todos los Prestadores de Servicio de Certificación ofrecen las mismas garantías, hay que distinguir entre aquellos que están acreditados y los que no lo están. Esta prestación de servicios en un principio es libre y no está sometida a ningún tipo de autorización previa, no obstante, existe un procedimiento voluntario por el cual la administración después de las evaluaciones técnicas pertinentes, si son favorables, emite un documento oficial donde certifica que este prestador cumple con las normas de calidad y de seguridad en cuanto a sus procedimientos, productos y tecnología que aplica.

No es necesario acudir al establecimiento de un Prestador de Servicios para comprobar que está acreditado, todos sus datos figurarán en el Registro de Prestadores  que se crea bajo la dependencia del Ministerio de Justicia, que será de acceso público y proporcionará información permanentemente actualizada de todos los datos relevantes de estos Prestadores de servicios.

Un certificado reconocido tiene una validez máxima de cuatro años, antes de cumplir este plazo podemos revocarlos y dejarlos inservibles, también pierde su eficacia el certificado reconocido en caso de perdida o inutilización, uso indebido, fallecimiento de su titular o en caso de cese de su actividad por el prestador.

Para aplicar límites a la firma electrónica se ha de consignar claramente en el certificado reconocido.

El régimen general de las sanciones con respecto a los Prestadores de Servicios lo establece el Real Decreto-Ley para el caso del incumplimiento de las sanciones, estos Prestadores responderán civilmente por los daños y perjuicios que causen a sus usuarios y a terceros que contraten con ellos cuando actúen con negligencia especialmente en casos de extinción de eficacia de certificados y en los casos de no haber consignado de forma clara los límites de uso y cuantía indicados por el firmante.

Los datos personales de los signatarios están protegidos por la Ley, en la firma electrónica se puede utilizar un seudónimo de forma que nuestra identidad real no sea conocida por el destinatario del mensaje. El Prestador de Servicios está obligado a revelar la identidad real cuando lo soliciten los órganos judiciales, y sin perjuicio de lo que se pueda establecer en los ámbitos tributario y de seguridad pública sobre la identificación de personas.

Utilidades de la firma electrónica

-          Asegurar que la contraparte, en una relación via internet, es quien dice ser.

-          Garantizar que el mensaje, al ir debidamente cifrado hasta que llaga a su destinatario, no puede accederse a su contenido en el caso de que algún tercero no autorizado lo intercepte durante dicho tránsito.

-          Certificar que el destinatario recibió el mensaje, registrándose incluso la hora y segundos a los que tal evento ocurrió, a este fenómeno se le conoce como no repudio.

-          Posibilitar, que en caso de interceptación no autorizada del mensaje, e intento de modificarlo, ello se detecte automáticamente.

-          Garantizar, que en el supuesto de estar ante una página web determinada, estamos ante ella y no en otra. A este tipo de certificados se les suele llamar de servidor y es el que utilizan los bancos a la hora de acceder a su página web.

-          Puede ser útil para certificar el código fuente de programas informáticos, con lo cual, el cliente autorizado del mismo, puede tener la tranquilidad razonable de que no está ante una obra plagiada, modificada o contagiada por algún virus.

-          Las utilidades anteriores pueden también usarse además de en internet en redes internas o externas como pueden ser intranets o extranets.

TIPOS DE FIRMA ELECTRÓNICA:

1.      La firma electrónica ordinaria.

De acuerdo con el art. 2.1 de la Directiva de 1999 son los datos en forma electrónica anejos a otros datos electrónicos o asociados funcionalmente con ellos.

            Según el art. 5.2 directiva 1999 los estados miembros velarán porque no se niegue eficacia jurídica, ni la admisibilidad como prueba en procedimientos judiciales, a la firma electrónica por el mero hecho de que:

-          Ésta se presente en forma electrónica

-          No se base en certificado reconocido

-          No se base en un certificado expedido por un proveedor de servicios de certificación acreditado

-          No esté creada por un dispositivo seguro de creación de firma.

Sí se podrán negar efectos jurídicos a la firma ordinaria por otras circunstancias como que no se la pueda considerar lo suficientemente segura o que no pueda establecer un vínculo lo suficientemente fiable entre firmante y mensaje cifrado.

2.      La firma electrónica avanzada

Se define de acuerdo con el art. 2.2 de la Directiva de 1999 como la firma electrónica que cumple los requisitos siguientes:

a)      Estar vinculada al firmante de manera única.

b)      Permitir la identificación del firmante

c)      Haber sido creada utilizando medios que el firmante puede mantener bajo su exclusivo control.

d)      Estar vinculada a los datos a los que se refiere de modo que cualquier cambio ulterior de los mismos sea detectable.

La firma digital o firma electrónica ordinaria acompañada por determinados procedimientos como la protección de la clave privada de la firma cumple con las características de la firma electrónica avanzada.

El firmante debe ser una persona que cuenta con un dispositivo de creación de firma y que actúa en su propio nombre o en el de una entidad o persona física o jurídica a la que representa.

Se necesita una vinculación entre el mensaje firmado y el poseedor de la clave privada de firma el cual será este dispositivo, que se logra mediante el empleo de técnicas informáticas basadas en elementos matemáticos.

La firma electrónica avanzada exige que el firmante tenga el control exclusivo de los medios de creación de firma, este requisito es una medida de control del uso de la clave privada por parte del firmante, dado que si se pudiera demostrar que personas diferentes al firmante tienen acceso a la clave privada, entonces ya no se podría garantizar que las firmas son generadas por el firmante, y por lo tanto, no se podría garantizar la identificación del firmante, ni la vinculación con el firmante y el documento supuestamente firmado por él.

La solución es la protección de la clave privada de firma, de modo que nadie diferente el firmante pueda firmar sin su consentimiento, este es el caso del no repudio del rechazo del documento o de la transacción por el supuesto autor, en el cual las personas deben hacerse cargo de sus manifestaciones firmadas electrónicamente.

La firma electrónica avanzada debe permitir la detección de las modificaciones que sufra el mensaje de datos firmado electrónicamente, a esto se le llama integridad de los datos firmados, ello es consecuencia de una propiedad de las funciones de resumen que se emplean en las firmas digitales, para la comparación del resumen cifrado con la clave privada, que se descifra con la clave pública.

El efecto típico de una firma electrónica avanzada no es otro que crear un dato factico acerca de la persona, el mensaje y la vinculación segura entre ambos, pero sin que ello signifique  que se cumplan todas las funciones típicas de la firma manuscrita y en especial la función de conformidad con el documento.

El hecho de que no pueda equipararse directamente con la firma manuscrita no cierra la posibilidad de que las partes puedan pactar ciertos o todos los efectos jurídicos de la firma manuscrita a este tipo de firma.

3.      La firma electrónica reconocida

Ésta no aparece explícitamente reconocida en la Directiva de 1999. 

Éste es un concepto doctrinal basado en el art. 51 de la Directiva de 1999 que establece que los Estados miembros garantizarán que la firma electrónica avanzada basada en un certificado reconocido y creada por un dispositivo seguro de creación de firma:

a)                  Satisface el requesito jurídico de una firma en relación con los datos en forma electrónica del mismo modo que una firma manuscrita satisface dichos requisitos con los datos en papel y

b)                  Es admisible como prueba en procedimientos judiciales.

Se trata de un subtipo de firma electrónica avanzada, caracterizado por un refuerzo de los requisitos de la firma electrónica avanzada, por el hecho de basarse necesariamente en un tipo especial de certificados, y por la necesidad de que la firma electrónica avanzada haya sido creada empleando un dispositivo seguro de firma electrónica.

Ésta firma electrónica es un mecanismo de seguridad jurídica, que cuando se cumple, nos protege frente al Estado y a los restantes ciudadanos y que emplea unas tecnologías que deben ofrecer unas garantías de calidad y seguridad elevadas y que de algún modo son reconocidas por el Estado.

El firmante de esta firma electrónica debe ser una persona física, aunque no debe ser necesariamente el titular o suscriptor del certificado, que puede ser una persona jurídica, el firmante es el poseedor de la clave privada de firma del suscriptor, con la correspondiente autorización.

Sólo cuando se vincula un mensaje con un poseedor de una clave privada que es una persona física, y que ha conocido y aceptado el contenido del mensaje, se puede hablar de una firma electrónica equiparable a la firma manuscrita, se trata de un requisito de la firma electrónica reconocida.

En el caso de la firma electrónica reconocida se refuerzan los medios de creación de firma dado que la persona física tiene que tener el control exclusivo de estos medios de creación.

El control reforzado de los mecanismos de creación de firma es muy importante y no se deja a elección del firmante, sino que se va a exigir el empleo de un dispositivo seguro de creación de firma .

La firma electrónica debe basarse en un certificado reconocido, según el art. 2.10 de la Directiva de 1999 este certificado es el que cumple los requisitos establecidos en el anexo 1 y es suministrado por un proveedor de servicios de certificación que cumple los requisitos establecidos en el anexo 2.

Estos anexos han sido desarrollados por las siguientes normas técnicas del ETSI:

-          ETSI TS 101 456 v1.1.1 (2000-12). Requisitos de política para Autoridades de Certificación que emiten certificados reconocidos.

-          ETSI TS 101 733 v1.2.2 (2000-12). Formatos de firma electrónica.

-          ETSI TS 101 862 v1.2.1 (2001-06). Perfil de certificado reconocido.

La firma electrónica debe haber sido creada empleando un dispositivo de creación de firma, esto es, un programa informático configurado o un aparato informático configurado que sirve para aplicar los datos de creación de firma que puada considerarse seguro según los requisitos técnicos enumerados en el anexo 3 que están siendo desarrollados por el Comité Europeo de Normalización.

Según el art. 5.1 de la Directiva de 1999 se deben garantizar los efectos jurídicos de la firma electrónica reconocida con la misma extensión que los efectos de la firma manuscrita.

4.      La firma electrónica acreditada

Este concepto se construye a partir de la existencia de los sistemas voluntarios de acreditación y no se encuentra en ningún texto legal.

Según el Art. 2.13 de la Directiva de 1999 por acreditación voluntaria se entiende todo permiso que establezca derechos y obligaciones específicas par la prestación de servicios de certificación, que se concedería, a petición de del proveedor de servicios de certificación interesado, por el organismo público o privado encargado del establecimiento y supervisión del cumplimiento de dichos derechos y obligaciones, cuando el proveedor de servicios de certificación no esté habilitado para ejercer los derechos derivados del permiso hasta que haya recaído la decisión positiva de dicho organismo.

Los redactores de la Directiva de 1999 propusieron un sistema con la s siguientes características:

-          No se establecerá ni licencia ni autorización previa. así se pronuncia el considerando 10 de esta directiva que establece que el mercado interior permite a los proveedores de servicios de certificación llevar a cabo sus actividades transfronterizas para acrecentar su competitividad y, de este modo, ofrecer a los consumidores y a las empresas nuevas posibilidades de intercambiar información y comerciar electrónicamente de una forma segura, con independencia de las fronteras. Con el objeto de estimular la prestación de servicios de certificación en toda la Comunidad a través de redes abiertas, los proveedores de servicios  de certificación deben tener libertad para prestar sus servicios sin autoridad previa, esta autorización implica no sólo el permiso que ha de obtener el proveedor de servicios de certificación interesado en virtud de una decisión de las autoridades nacionales antes de que se le permita prestar sus servicios de certificación , sino también cualquiera otras medidas que tengan ese mismo efecto. así el art. 3.1 de esta misma Directiva establece que los Estados miembros no condicionarán la prestación de servicios de certificación a la obtención de una autorización previa.

-          Se podrán establecer sistemas de supervisión administrativa aposteriori. Así lo establece el art. 3.3 de la Directiva de 1999 que dice que los Estados miembros velarán por que se establezca un sistema adecuado que permita la supervisión de los proveedores de servicios de certificación establecidos en su territorio que expiden certificados reconocidos.

-          Se establecen las condiciones mínimas de prestación del servicio, para permitir la libre circulación dentro del espacio comercial europeo.

-          Se fomenterá la aparición de sistemas de firma electrónica y certificación que presenten caracteres superiores de calidad y seguridad, mediante la creación de sistemas voluntarios de acreditación, que podrán ser instaurados y gestionados tanto por el sector privado como por el sector público, así el considerando 11 de la Directiva de 1999 dice que los sistemas voluntarios de acreditación destinados a un nivel reforzado de prestación de servicios pueden aportar a los proveedores de servicios de certificación un marco apropiado para aproximarse a los niveles de confianza, seguridad y calidad exigidos por un mercado en evolución. Dichos sistemas deben fomentar la adopción de las mejores prácticas por parte de los proveedores de servicios de certificación; debe darse a los proveedores de servicios de certificación libertad para adherirse a dichos sistemas de acreditación y disfrutar de sus ventajas. Este considerando y el nº 12 los recoge el art. 3.2 cuando establece que los Estados miembros podrán establecer o mantener sistemas voluntarios de acreditación destinados a mejorar los niveles de provisión de servicios de certificación.

Así podemos definir la firma electrónica acreditada como la firma generada dentro del sistema reforzado de calidad de prestación de servicios de certificación.

El empleo de la firma electrónica por las administraciones públicas requiere condiciones adicionales recogidas en el considerando 19 y el art. 3.7 de la Directiva de 1999 al decir que los Estados miembros podrán supeditar el uso de la firma electrónica en el sector público a posibles prescripciones adicionales que serán objetivas, proporcionadas y no discriminatorias y sólo podrán hacer referencia a las características especificas de la aplicación de que se trate y no deberán obstaculizar los servicios transfronterizos al ciudadano.

Hay Estados miembros que han establecido sistemas voluntarios de acreditación que se corresponden con los requisitos de la firma electrónica reconocida  y, en concreto, con la acreditación del prestador de servicios que expide certificados reconocidos al público, como es el caso de España.

Hay algunos elementos que forman parte de la definición de firma electrónica acreditada:

1.      Sello de tiempo.

2.      Presencia personal del firmante en el momento de la firma.

3.      Archivo del documento firmado.

4.      Agregación de información acerca del firmante a la firma.

5.      Refuerzo de los algoritmos de firma.

6.      Múltiples firmas requeridas.

7.      Restricciones en cuanto a los firmantes.

Los efectos jurídicos son los mismos que los de la firma electrónica reconocida pero con mayor calidad.

Las circunstancias que envuelven a la firma son determinantes para su funcionabilidad jurídica así la Directiva de 1999 en su considerando 20 reconoce que las firmas electrónicas avanzadas relacionadas con un certificado reconocido y creadas mediante un dispositivo seguro de creación de firma únicamente pueden considerarse jurídicamente equivalantes a las firmas manuscritas si se cumplen los requisitos aplicables a las firmas manuscritas. Así la propia directiva indica, de algún modo, que no todas las firmas electrónicas se equiparan necesariamente con la firma manuscrita, este problema se solventará mediante los sistemas voluntarios de acreditación.

Como realizar una firma digital

El software del firmante aplica un algiritmo hash sobre el texto a firmar, obteniendo un estracto de longitud fija, y absolutamente especifico para ese mensaje. Un mínimo cambio en el mensaje producirá un estracto completamente diferente, y por tanto no correspondería con el que originariamente firmó el autor. Los algoritmos hash más utilizados son el MD5 ó SHA-1. El extracto conseguido, cuya longitud oscila entre 128 y 160 bits ( según el algoritmo utilizado) se somete a continuación a cifrado mediante la clave secreta del autor. El algoritmo más utilizado en este procedimiento de encriptación asimétrica es el RSA. De esta forma obtenemos un estracto final cifrado con la clave privada del autor el cuál se añadirá al final del texto o mensaje para que se pueda verificar la autoria e integridad del documento por aquella persona interesada que disponga de la clava pública del autor.

Algoritmo de encriptación RSA:

Este algoritmo de encriptación tiene la siguiente estructura:

-          m = mensaje en claro ( sin cifrar )

-          e = exponente público ( clave pública = exponente público y módulo público)

-          n = módulo público ( clave pública = exponente público y módulo público)

-          c = mensaje cifrado

-          d = exponente privado ( clave privada = exponente privado )

La forma de generar las claves (pública y secreta) y la relación entre d, e y n es donde reside la fortaleza de este algoritmo. Así para generar la clave pública (e y n) elegimos primero dos números primos p y q y calculamos el módulo público ( n = p * q ). Después elegimos un número e como exponente público ( e, según la aritmética modular debe ser primo relativo con ( p-1 )* ( q-1 ) . Posteriormente calculamos nuestra clave secreta para lo cual hay que averiguar ( p-1 ) y (q-1 ), es decir, tiene que factorizar el exponente público n, y para números muy grandes, el proceso de factorización es computacionalmente inasequible.

Validez de la firma digital

Es necesario la clave pública del autor para poder verificar la validez del documento o fichero. El procedimiento sería el siguiente: el software del receptor previa introducción en el mismo de la clave publica del remitente ( obtenida a  través de una autoridad de certificación ) descifraría el extracto cifrado del autor, a continuación calcularía el extracto hash que le correspondería al texto del mensaje, y si el resultado coincide con el extracto anteriormente descifrado se consideraría válida, en caso contrario significaría que el documento ha sufrido una modificación posterior y por tanto, no es válido.

Hasta este momento hemos conseguido la autenticación del documento, su integridad y la imposibilidad de repudio del mismo por parte del autor. A través de otros mecanismos como por ejemplo los que utiliza el SET ( Secure Electronic Protocol ) se conseguiría obtener los servicios de seguridad que la ISO destaca como primordiales para la seguridad en las redes telemáticas. Sin embargo existe un punto dëbil. Si todos estos mecanismos de seguridad están utilizando el procedimiento de encriptación asimétrico, habrá que garantizar tanto al emisor como al receptor la autenticación de las partes, es decir, que estas son quienes dicen ser, y sólo a través de autoridad de certificación podrá corregir dicho error, certificando e identificando a una persona con una determinada clave pública.

Puntos a tener en cuenta en la aplicación de la ley de firma electrónica

Los ocho puntos a tener en cuenta en la ley de firma electrónica son los siguientes:

1.      Diferencia entre firma electrónica y firma digital: El Real Decreto Ley distingue entre firma electrónica y firma electrónica avanzada. Por firma electrónica se entiende aquel conjunto de datos en forma electrónica, anejos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como madei para identificar formalmente al autor o a los autores del documento que la recoge. La firma electrónica avanzada será aquella firma electrónica que permite la identificación del signatario y ha sido creada por medios que este mantiene bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de estos. En esta última ha de intervenir la figura de la autoridad de certificación.

2.      Autoridad de Certificación:

a)      ¿ Qué son los certificados? Los certificados son documentos  digitales que dan fe de la pertenencia de una clave pública a un individuo o entidad. Permiten verificar la exigencia de que una clave pública dada pertenece a un individuo en concreto. Los certificados ayudan a impedir suplantaciones, es decir, que alguien utilice una clave falsa para hacerse pasar por otro.

En su forma más simple, los certificados contienen una clave pública y un nombre. Normalmente un certificado también contiene una fecha de expiración, el nombre de la autoridad de certificación que emitió el certificado, un número de serie, y quizá otra información. Lo más importante, contiene la firma digital del usuario certificado. El formato más aceptado para los certificados es el definido en el estándar internacional ITU-T X.509. Si se sigue este estándar los certificados se pueden leer o escribir con cualquier aplicación que cumpla con X.509.

b)      ¿ Cómo se utilizan los certificados?  Los certificados se utilizan típicamente para garantizar la legitimidad de una clave pública. quien verifique una firma también puede garantizar el certificado del que firma, para asegurarse que no lo han falsificado. Estos pasos, no obstante, se pueden llevar a cabo con mayor o menor rigor dependiendo del contexto.

El uso más seguro de la autenticación implica adjuntar uno o más certificados con cada mensaje firmado. El destinatario del mensaje podría verificar el certificado utilizando la clave pública de la autoridad de certificación y, una vez seguro de la clave pública del emisor, verificar la firma del mensaje. Incluso podría haber dos o más certificados adjuntados al mensaje, formando una cadena jerárquica en la que un certificado testifica de la autenticidad del certificado anterior. Al final de una jerarquía certificada está una autoridad de certificación al más alto nivel, que se verifica sin ningún certificado de otra autoridad de certificación. La clave pública de la autoridad de certificación de más alto nivel debe ser conocida independientemente, por ejemplo, publicándola en todas partes.

Cuanto más familiar es el emisor para el receptor, menor es la necesidad de adjuntar y verificar certificados, si un usuario envía mensajes a otro todos los días, el usuario emisor puede adjuntar una cadena de certificados que el receptor verifique el primer día. Después el receptor almacena la clave pública del emisor y a partir de aquí ya no son necesarios certificados ni verificaciones. Si el receptor conoce la compañía del emisor bastará con un certificado ( emitido por esa compañía ). En caso contrario harán falta dos certificados ( el segundo para certificar a la compañía emisora del primer certificado). Una buena regla a seguir es adjuntar una cadena de certificados suficiente para que el emisor del certificado de más alto nivel sea conocido y confiable para el receptor. Si hay múltiples destinatarios se incluirán los certificados que cada destinatario pudiera necesitar.

En los estándares de criptografía de clave pública ( PKCS ) cada firma apunta al certificado que valida la clave pública del firmante. En especial, cada firma contiene el nombre del emisor del certificado y el número de serie del certificado. Así, aunque no se adjunta ningún certificado con el mensaje, el verificador puede utilizar la cadena de certificación para comprobar la validez de la clave pública.

c)      ¿ Quién emite los certificados y cómo? La autoridad de certificación  que emite los certificados puede ser cualquier administración central de confianza que quiera garantizar la identidad y la clave asociada a determinadas personas. Una compañía podría emitir certificados a sus empleados, una universidad a sus estudiantes, una ciudad a sus ciudadanos etc. para impedir certificados falsos, las claves públicas de la autoridad de certificación deben ser fiables: una autoridad de certificación debe publicar su clave pública o proporcionar un certificado de una autoridad de certificación de más alto nivel que la valide. La última solución da lugar a una jerarquía de autoridades de certificación.

La emisión de un certificado se lleva a cabo de la siguiente manera: el usuario genera su propia pareja de claves ( clave pública y clave privada ) y envía su clave pública  a la agencia de certificación adecuada junto con alguna prueba de su identificación. La agencia de certificación comprueba la identificación, se asegura  que la solicitud proviene realmente del usuario y le envía un certificado, ligando al usuario con su clave pública. Además se le envía al usuario una jerarquía de certificados que verifican la clave pública de la autoridad de certificación. El usuario puede presentar esta cadena de certificados cuando quiera para demostrar la legitimidad de su clave pública.

Ya que la autoridad de certificación debe comprobar la identidad, las empresas encuentran conveniente actuar como autoridades de certificación para sus miembros y empleados por razones de cercanía y confianza. También hay autoridades de certificación que emiten certificados a individuos no directamente relacionados con ellas, cobrando por estos servicios en algunos casos.

La credibilidad de un certificado dependerá  de los requisitos exigidos por la autoridad de certificación. Una autoridad de certificación podría solicitar el permiso de conducir, otra el formulario de solicitud de certificado validado por un notario, incluso otra podría exigir y comprobar las huellas dactilares del solicitante. Se deben publicar los requisitos de identificación y procedimientos adoptados por cada autoridad de certificación,  para que el verificador pueda evaluar la fiabilidad de cada certificado. Menores requisitos de identificación producen cerificados con menor garantía y fiabilidad. Así las autoridades de certificación se pueden considerar de garantía alta, media y baja.

d)      ¿ Cómo almacenar la clave privada de una autoridad de certificación? Es extremadamente importante que las claves privadas de las autoridades de certificación se almacenen de forma segura, porque si resultan comprometidas se podrían realizar falsificaciones indetectables. Una forma de alcanzar la seguridad deseada es almacenar la clave en un dispositivo resistente a intromisiones. El dispositivo destruirá su contenido si se abre, y debería estar protegido contra ataques que aprovechen la radiación electromagnética. Ni siquiera los empleados de la autoridad de certificación deberían tener acceso a modificar su propia clave privada, teniendo sólo la capacidad de utilizarla en procesos de emisión de certificados.

Existe diferentes formas de controlar el uso de la clave privada de una autoridad de certificación por ejemplo, se podría activar con un conjunto de llaves físicas que contienen información digital  ( claves). Las claves utilizan tecnología de secreto compartido de forma que hacen falta las llaves de varias personas para activar la clave privada  ( esto evita que algún empleado de la autoridad de certificación pueda producir por sí sólo certificados falsos.

Nótese que aunque se destruya el dispositivo de firma de certificados ( por ejemplo en un incendio) la seguridad no se compromete. Los certificados firmados anteriormente por el dispositivo  siguen siendo válidos, siempre que el verificador utilice la clave pública correcta. Además, algunos dispositivos permiten restablecer una clave privada concreta.

e)      ¿ Son susceptibles a  ataques las autoridades de certificación? Se debe proteger a la autoridad de certificación de todos los ataques que se pueda. Es obligación de una autoridad de certificación tomar precauciones extremas para impedir el acceso ilegítima a la clave privada.

Las autoridades de certificación deben utilizar claves largas y cambiarlas con regularidad para protegerse de ataques por la fuerza bruta. Las autoridades de certificación de más alto nivel necesitan claves especialmente largas ya que la clave pública estará escrita en el software o hardware de los posibles verificadores, y sería muy costoso cambiarla.

Si un asaltante descubre una clave privada obsoleta de una autoridad de certificación puede crear graves problemas. Aunque la clave haya expirado hace tiempo el asaltante puede falsificar un certificado fechado hace quince años, dando fe a una clave pública falsa de otra persona y pudiendo falsificar documentos con una firma falsa de hace quince años.

Hay otros ataques que no implican el compromiso de la clave privada de la autoridad de certificación como por ejemplo la suplantación. Consiste en que un usuario firme mensajes como si fuera otro. Para llevar a cabo este ataque el atacante genera una pareja de claves y envía la clave pública a una autoridad de certificación suplantando a otra persona. Si consigue engañar a la autoridad de certificación y adquirir dicho certificado podrá suplantar digitalmente la identidad de la otra persona mientras que el cerificado tenga vida.

Algunas autoridades de certificación exigen muy poca identificación con lo que es normal que algunas entidades cuya actividad es bastante delicada,  por ejemplo bancos, no aceptan mensajes autenticados con certificados de poca garantía. Cada autoridad de certificación debe publicar sus requisitos y políticas de autenticación, pudiendo adjuntarse al certificado su nivel de fiabilidad.

Otro posible ataque es el soborno de un empleado de la autoridad de certificación. Este ataque se puede impedir exigiendo la cooperación de dos o más empleados para generar un certificado. Nótese que un empleado corrupto podría emitir certificados digitales falsos, pero no podría revelar la clave privada de la autoridad de certificación si está almacenada apropiadamente.

Todos estos ataques a autoridades de certificación no amenazan directamente a la privacidad de los mensajes entre usuarios, sino a la identidad de los emisores de los mensajes. Si se podría comprometer el contenido de dichos mensajes si se realizase un ataque a un centro de distribución de claves secretas en un criptosistema de clave secreta.

f)        ¿ Qué pasa si se compromete o pierde la clave de una autoridad de certificación? Si la clave de una autoridad de certificación se pierde o se destruye ( pero no está comprometida) los certificados firmados con la clave antigua son válidos si quien verifica sabe la clave pública de la autoridad de certificación. En algunos diseños de dispositivos de firma certificadas se tienen copias de seguridad cifradas de la clave privada de la autoridad de certificación, de forma que si se pierde se puede recuperar cargando la copia de seguridad en el dispositivo. En algunos casos si se destruye el dispositivo el fabricante puede suministrar otro con la misma información.

Es mucho más peligroso que la clave de la autoridad de certificación esté comprometida. un asaltante que descubra la clave privada de una autoridad de certificación puede emitir certificados falsos y no se podría detectar la falsificación ; por esta razón se deben tomar las precauciones posibles para evitar que la clave de una autoridad de certificación resulte comprometida.

Si la clave privada de una autoridad de certificación queda comprometida, la entidad debe dejar inmediatamente de emitir certificados hasta que la clave antigua se cambie por una nueva. Si se sospecha que se ha emitido algún certificado falso se deben volver a emitir todos los certificados con la nueva clave, estas medidas se podrían relajar si el certificado se emite junto con un estampillado digital. Nótese que el compromiso de una clave de la autoridad de certificación no invalida las claves de los usuarios, sino sólo los certificados que los autentican. Podría ser catastrófico que la clave de una autoridad de certificación de alto nivel resultara comprometida, ya que figura en las aplicaciones que verifican certificados.

g)      ¿ Qué son las listas de certificados revocados? Una lista de revocación de certificados ( CRL ) es una lista de certificados que se han rechazado antes de la fecha prevista de expiración. Hay varias razones por las que se podría rechazar un certificado y situarlo en una CRL, por ejemplo, si se ha descubierto que la clave especificada en el certificado está comprometida, o si se ha retirado al usuario el derecho a usar la clave.

Cuando se verifica una firma se debe acceder a la CRL pertinente para asegurarse que el certificado del que firma no se ha rechazado, si vale la pena o no dedicar este tiempo de comprobación de la validez del certificado depende de la importancia del documento firmado.

Cada autoridad de certificación mantiene una CRL con los cerificados que emitió que aún no ha expirado pero que han sido revocados. Las CRL solo listan certificados en vigor y no contienen en ningún caso los caducados. Cuando llega la fecha de expiración de un certificado revocado , este certificado se borra automáticamente de la CRL. Aunque las CRL se mantiene de forma distribuida podría haber depósitos situados en nodos de la red. Con este planteamiento cada emisor debe tener una lista con todos los certificados emitido por el que haya revocado.

3.      Que es un Certificado

      Según el RDL se entiende por Certificado "la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad". A su vez la ley define otro tipo de certificado, Certificado Reconocido " es el certificado que contiene la información descrita en el artículo 8 y es expedido por un prestador de servicios de certificación que cumple los requisitos enumerados en el artículo 12 ". Con esta distinción se quiere diferenciar los certificados genéricos de aquellos otros que son oficiales o capaces para ser utilizados en cualquier transacción electrónica de e-commerce. De esta forma un certificado reconocido producido por un dispositivo seguro de creación de firma, produciría los efectos jurídicos señalados en el artículo 3 cuando vaya unido a una firma electrónica avanzada.

Dentro de los servicios de certificación de estas Autoridades se encuentran la emisión de distintos tipos de certificados. Por poner un ejemplo podemos citar los tipos de certificado de la ACE (Agencia de Certificación Electrónica, constituida por Telefónica en un 40% y con la participación de la banca representada por CECA, SERMEPA, y 4B con un 20% respectivamente).

En los servicios de certificación X509 de ACE se ofrecen distintos tipos de certificados:

a)      Certificado de Navegador, Intranets/Extranets. Este tipo de certificados permiten firmar digitalmente los documentos, garantizando la autenticidad y el no repudio de los mismos. Además da la posibilidad de cifrar la información (encriptación) de tal forma que sólo el receptor pueda descifrarlos y tener acceso a su contenido, garantizando su integridad y confidencialidad. Por ultimo otorgaría también la facultad de securizar y autentificar la identidad en el control de acceso de los usuarios de Intranets/Extranets.

b)      Certificado de Servidor Seguro. Garantizan la identidad del servidor y posibilitan las comunicaciones seguras y  privadas con clientes, socios, proveedores u otras personas.

c)      Certificado de firma de Software. Garantizan la identidad del fabricante y la integridad del contenido.

A su vez ACE dispone de cuatro categorías distintas de certificados dependiendo de la naturaleza de la entidad que realiza la validación de las peticiones y por el tipo de verificación de los datos del suscriptor del certificado.

a)      Categoría 0: No existe validación de datos para la identificación del suscriptor por lo que se recomienda su utilización para control de acceso a Intranets y Extranets. La validez de la firma de documentos no está garantizada para terceros, es decir sería la definición antes apuntada de certificado genérico, pues no ha existido un procedimiento seguro de generación de firma ya que no se identificaron de forma consistente los datos de los suscriptores.

b)      Categoría 1: La validación realizada por ACE o por alguna de las Entidades Registro Colaboradoras privadas.

c)      Categoría 2. La validación del suscriptor la realiza una entidad de carácter público como una Cámara Oficial de Comercio, un ayuntamiento o un Colegio Oficial que se ha constituido como Entidad de Registro Colaboradora pública.

d)      Categoría 3. En esta categoría interviene, en fase de validación de datos, un fedatario público como un Notario  homologado como Entidad Registro Colaboradora.

Las tarifas de precios de estos certificados no es desorbitante, sino al contrario, facilita el comercio electrónico estableciendo un precio entre los 12 y 16 euros según el certificado y según la Entidad que lo verifique.

Con respecto al certificado de navegador necesario para poder firmar electrónicamente contratos u ofertas de compra de determinados productos o servicios, vemos que podemos conseguir el efecto de no repudio, que no se producía con el pago a través de SSL (Según la ley del comercio minorista, en su artículo 46 establece la posibilidad que tiene el titular de una tarjeta de crédito de anular el cargo producido en su cuenta cuando la tarjeta no hubiese sido presentada directamente o identificada electrónicamente). Se podría pensar que el certificado está en el navegador y que por tanto podría ser usurpado del mismo consiguiendo así la firma digital del usuario, para ello se establecen distintos mecanismos de seguridad que llevan a securizar de forma eficiente el certificado en el navegador. No obstante podemos decir que ACE esta suscribiendo acuerdos con importantes  compañías del sector informático, como BULL, para mejorar la seguridad en la administración por el suscriptor del certificado. Este tipo de acuerdos, hace pensar en la posibilidad de que se integre el certificado en una smartcard de forma que exista mayor seguridad en la Infraestructura de Calve Pública. También recientemente a suscrito un acuerdo con FESTE (Federación Española para la seguridad en las Telecomunicaciones Electrónicas, autoridad de certificación avalada por los notarios y corredores de comercio, es decir, por los fedatarios de las operaciones mercantiles) estableciendo las bases para ser una entidad de certificación multiservicio consiguiendo responder a  casi todas las situaciones que pueden presentarse en el e-commerce.

4.      Valoración de la seguridad en una Infraestructura de Clave Pública

Para evaluar la seguridad de una infraestructura de clave pública debemos hacernos tres preguntas:

¿Que sé?, ¿Que tengo? y ¿Quién soy?

Con respecto al certificado de navegador seguro, sabría un PIN para acceder a mi clave privada instalada en el navegador (¿que se?). Si exportase la clave a un disquete tendría el disquete en mi posesión (que tengo) aunque lo ideal sería que pudiese disponer de una smartcard o tarjeta chip en la que introducir mi certificado de forma que el nivel de seguridad aumente en el sentido que nadie puede poseer esta misma tarjeta y además conocer el PIN. Con respecto a la última pregunta ¿Quién soy?, nos encontraríamos con el nivel más alto de seguridad si además de tener tarjeta y el PIN añadimos cualquier parte del cuerpo que sea capaz de identificarme como por ejemplo la huella dactilar o el iris del ojo. Sería utilizar por tanto procedimientos biométricos que aportarían una mayor confianza a la Infraestructura de clave pública.

5.      Efectos jurídicos de la Firma Electrónica

Los efectos jurídicos de la Firma Electrónica son los descritos por el artículo 3 del RDL. En concreto señala los efectos jurídicos para la firma avanzada, estableciendo que siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá  los siguientes efectos jurídicos:

a)      Respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel.

b)      Será admisible como prueba en juicio, valorándose ésta según los criterios de apreciación establecidos en las normas procesales.

A parte de establecer los efectos jurídicos, establece una presunción para la adquisición de los efectos jurídicos antes nombrados. Señala dos requisitos que se presumen necesarios para que una firma avanzada tenga efectos jurídicos:

a)      Debe ser emitida con un certificado reconocido. 

b)      El certificado reconocido debe ser expedido por un prestador de servicios de certificación acreditado.

c)      El dispositivo de creación de firma deberá encontrarse certificado con arreglo a lo establecido en el artículo 21, es decir, por entidades de evaluación acreditadas, las cuales aplicarán las normas técnicas cuyos números de referencia hayan sido publicados en el Diario Oficial de las Comunidades Europeas o en el Boletín Oficial del Estado. Se reconoce por tanto, la eficacia de los certificados sobre dispositivos seguros de creación de firma expedidos por Estados miembros de la Unión Europea.

No obstante y a pesar de establecerse estos requisitos para obtener los mencionados efectos jurídicos, se señala en el apartado 2 del Art. 3 que aunque no reúna los requisitos señalados no será motivo de denegación de estos efectos jurídicos por el mero hecho de presentarse en forma electrónica.

6.      Como obtener un certificado recocido

Un Certificado se puede obtener bien directamente de la Autoridad de Certificación, o a través de otras empresas que se hayan constituido como Entidades colaboradoras en el registro de cerificados.

Para la emisión de un certificado es preciso la identificación del usuario frente a la Autoridad de Registro o una Entidad colaboradora en el Registro. Según el certificado solicitado se deberá presentar la documentación requerida, como por ejemplo el DNI, las escrituras de constitución de la Sociedad o cualquier otro documento oficial necesario.

La Autoridad de Registro y las ECR se encargan por tanto de identificar de manera inequívoca a los usuarios para que, posteriormente, éstos puedan obtener los certificados.

 El procedimiento es el siguiente:

a)      El usuario presenta la documentación bien de forma on-line o físicamente según el nivel de seguridad, se verifica la identidad y se proporciona un ID o identificador y un Password.

b)      Usuario procede con el ID y la Pasword a realizar la solicitud on-line a la Autoridad de Certificación (como por ejemplo ACE) y ésta tras verificar los datos que el solicitante le proporciona ( ID, Password) emite el certificado.

c)      La solicitud se realiza por tanto de forma on-line y las claves se generan automáticamente en el mismo ordenador desde el que se realiza la solicitud. La clave pública se enviaría posteriormente a la Autoridad de Certificación (también de forma automática).

d)      El usuario podrá a partir de entonces firmar a través de su clave privada que está guardada de forma segura en el disco duro del ordenador. Para la firma será requerido un PIN o password de acceso a la clave privada  firmándose el documento y adjutando a su vez el certificado de clave pública que está convenientemente firmado por la autoridad de certificación, en este caso ACE.

Sin embargo puede surgir el problema de la movilidad de mi clave privada y certificado, para ello se establece la posibilidad de exportarse a un disquete. No obstante, la forma ideal será la incorporación del mismo en una smartcard cumpliéndose entonces las dos primeras preguntas que nos hacemos para valorar la seguridad de un criptosistema de clave pública; ¿Qué sé? el PIN o Password y ¿qué tengo? la smartcard. Recientemente la empresa RSA Security de la mano de una consultora española ha presentado sus productos en Madrid para la implantación en la empresa española y crear una infraestructura de clave pública, bien privada para el organigrama interno de la empresa o bien publica para el comercio entre empresas o e-business. De entre los distintos productos que presentó llamaba la atención un producto llamado TOKEN que consistía en la introducción tanto en el disco duro del ordenador como en la smartcard de una clave aleatoria que cambiaba cada minuto reforzándose por tanto el sistema de seguridad, ya que no solo necesitabas saber el PIN y estar en el ordenador de la persona sino que necesitabas el TOKEN, especie de aparato parecido al busca personas, en el que te aparece en una pantalla digital la password que debes introducir tras el PIN.

Por último destacar la posibilidad de revocación de los certificados en caso de perdida o sustracción, de forma que si tienes algún problema siempre puedes revocarlo y dejarlo sin efecto evitando así, que otras personas puedan firmar por ti y vincularte a una determinada relación contractual. La revocación de certificados permite que un certificado que es válido y está en vigor, deje de serlo. La petición de revocación puede iniciarla la Autoridad de Registro (AR o RA Registration Authority) o el propio usuario. Si la petición la realiza la RA se informa al usuario de que su certificado ha sido revocado. Si la petición la realiza el usuario la RA debe verificar la identidad del usuario. Los casos en que puede existir revocación pueden ser distintos, ya sea bien porque los datos han dejado de ser válidos, la clave privada ha sido comprometida o bien porque el certificado ha dejado de tener validez dentro del contexto para el que había sido emitido.

7.      Equivalencia de Certificados u homologación en la UE

Con respecto a la equivalencia de certificados de Estados que no sean miembros de la Unión Europea el artículo 10 establece una serie de requisitos o condiciones:

a)      Que el prestador de servicios reúna los requisitos establecidos en la normativa comunitaria sobre firma electrónica y haya sido acreditado conforme a un sistema voluntario establecido en un Estado miembro de la Unión Europea.

b)      Que el certificado esté garantizado por un prestador de servicios de la Unión Europea que cumpla con los requisitos establecidos en la normativa comunitaria sobre firma electrónica.

c)      Que el certificado o el prestador de servicios estén reconocidos en virtud de un acuerdo bilateral o multilateral entre la Comunidad Europea y terceros países u organizaciones internacionales.

8.      Las Autoridades de Fechado Digital o Time Stamping Authorities.

Las autoridades de fechado digital vinculan un instante de tiempo a un documento electrónico avalando con su firma la existencia del documento en el instante referenciado. Esta autoridad puede ser individual, es decir prestar exclusivamente estos servicios o puede ser parte de una gama de servicios relacionados con las Autoridades de Certificación. Las autoridades de fechado digital (TSA Time Stamping Authority) proporcionan una prueba de existencia de una cierta información en un momento dado. El mecanismo de fechado digital proporciona una semántica del tipo "antes de": corrobora la evidencia de que el documento existía antes del instante de sellado, y garantiza que no se ha modificado con posterioridad.

Por tanto, permiten al verificador determinar fehacientemente si la firma digital fue ejecutada dentro del período de validez del certificado, previenen fechados fraudulentos antes o después del fecha consignada e impiden alterar el contenido del documento posteriormente al instante de firma.

Para concluir quisiera resaltar el momento al que estamos asistiendo, donde los antiguos métodos de comercio están siendo llevados a la era de las nuevas teologías. Conceder efectos jurídicos a la firma electrónica significa poder trasladar al espacio electrónico la eficacia de los negocios jurídicos tradicionales, en definitiva supone un paso más hacia la escalada mundial por alcanzar un mercado global donde todos los operadores puedan libremente comerciar entre sí con seguridad jurídica. Paso, en el que se ven involucrados todos los gobiernos mundiales, en donde la Unión Europea juega un importante papel. Es por tanto de elogiar el esfuerzo realizado por el legislador español en la redacción del actual Real Decreto Ley sobre Firma Electrónica, ya que con ello sienta las bases para que el comercio electrónico comience su andadura.

Acuerdos del Ministerio de Ciencia y Tecnología con la Fábrica Nacional de Moneda y Timbre sobre firma electrónica

            El Ministerio de Ciencia y Tecnología y la Oficina Española de Patentes y Marcas han concretado los primeros convenios de utilización de firma electrónica para ciudadanos y empresas. La provisión de estos servicios se realizará a través de la Fábrica Nacional de Moneda y Timbre con quien se han firmado ambos acuerdos.

            Gracias a otro de los acuerdos alcanzado entre la Oficina Española de Patentes y Marcas y la Fábrica Nacional de Moneda y Timbre también se podrá completar el registro de Patentes o marcas ante la Oficina Española de Patentes y Marcas.

            El servicio de actividad certificadora ofrecido por la Fábrica Nacional de Moneda y Timbre al Ministerio de Ciencia y Tecnología y a la Oficina Española de Patentes y Marcas no tendrá carácter exclusivo. Esto significa que el Ministerio tendrá en consideración todas las autoridades de certificación que puedan ofrecer este servicio con la adecuada cobertura técnica y legal.

            Este procedimiento totalmente gratuito se puede solicitar desde la página web de la Fábrica Nacional de Moneda y Timbre, a través del apartado “obtener certificados emitidos por la Fabrica Nacional de Moneda y Timbre, dentro de este se deberá escoger el certificado FNMT Clase 2 CA, que proporciona el nivel de seguridad más alto y es el adecuado para la realización de las gestiones ante el Ministerio de Ciencia y Tecnología y la Oficina Española de Patentes y Marcas.

· El artículo 88 de la Ley 37/1992 de 28 de diciembre, del IVA desarrollado en artículo 9 bis del Real Decreto 2402/1985. de 18 de Diciembre, establecen la posibilidad de que se realice la facturación por medios telemáticos en las condiciones que se desarrollen reglamentariamente.

· Con el fin de establecer un marco normativo adecuado para regular los requisitos para llevar a cabo la facturación telemática, se dicta la Orden de 22 de marzo de 1996.

· Mediante esta normativa se dota a la facturación telemática de los mismos efectos y transcendencia que la reproducida en soporte papel.

· El sistema de facturación descrito en esta Orden, esta basado el la creación por parte de un Promotor, de un sistema de intercambio de facturación por medios telemáticos. Por lo tanto, se está dando validez a la factura telemática eleborado dentro de un sistema cerrado de usuarios que cumplen una serie de caracteristicas y que han decidido adherirse a este sistema concreto.

· Dejando de lado las numerosas exigencias técnicas que deben cumplir los usuarios de estos sistemas y que están previstas en esta Orden, la conclusión que se extrae de la lectura de esta norma es que, todavia no se ha dado entrada a la facturación telemática en entornos con usuarios ilimitados, como Internet, por lo que, hoy por hoy no es práctico implantar un sistema de facturación telemática en lo que se refiere a los Virtual Mall dirigidos al público en general.

Asociación Española de Derecho de la propiedad Intelectual

En las últimas semanas el Consejo Europeo ha alcanzado un acuerdo político, pendiente únicamente del dictamen del Parlamento Europeo, en relación con la Propuesta de Directiva presentada en su día por la Comisión, que modifica la Sexta Directiva Europea (Directiva 77/388/CEE) respecto del régimen del IVA aplicable a algunos servicios prestados por vía electrónica y a determinados servicios de radiodifusión y televisión.

Las modificaciones incorporadas a la Sexta Directiva mediante esta nueva normativa (aprobada con más de un año de retraso respecto de las previsiones iniciales debido a la conocida falta de consenso entre los Estados Miembros) deberán ser traspuestas a las legislaciones internas de los Estados Miembros antes de 1 de julio de 2003, para lo cual, entre otras cosas, se vislumbra como cuestión fundamental la consecución de un mayor acercamiento en las posturas y criterios adoptados por varios Estados Miembros, como es el caso del Reino Unido, claramente opuestos a las soluciones que hasta el momento han sido acordadas.

Es de reseñar que el texto final acordado por el Consejo, aún presentando algunas modificaciones significativas respecto de la Propuesta original presentada por la Comisión, de 7 de junio de 2000, recoge la mayoría de los criterios e ideas planteados en la polémica Propuesta y, en particular, fija las reglas para la localización a efectos del IVA de determinadas prestaciones de servicios efectuadas por vía electrónica y el suministro de servicios relacionados con la informática.

La implantación efectiva de las medidas recogidas en la nueva Directiva supondrá la obligación para empresarios no comunitarios de registrarse en un Estado Miembro de la Unión Europea, a efectos del IVA, con carácter previo a la prestación de determinados servicios por vía electrónica a residentes comunitarios.

Como es conocido, la normativa vigente del IVA permite que determinados servicios prestados por vía electrónica por empresarios no comunitarios a particulares residentes en el espacio europeo no estén sujetos al IVA, lo que crea una notoria distorsión y coloca a los proveedores comunitarios de dichos servicios en una situación de desventaja competitiva frente a los no establecidos en la UE, al verse únicamente los primeros obligados a repercutir el correspondiente IVA por sus prestaciones de servicios a sus clientes particulares comunitarios. Por otra parte, tratándose de clientes particulares no residentes en la UE, dicha normativa también exige a los operadores comunitarios la inclusión del IVA en su facturación por dichos servicios, impuesto que, lógicamente, no resulta aplicable cuando estamos ante relaciones entre operadores y clientes ambos no comunitarios.

La nueva Directiva pretende acabar con estas distorsiones, estableciéndose para ello como principios generales aplicables a las operaciones incluidas en su ámbito de aplicación su sujeción al IVA cuando estos servicios sean consumidos en la UE, así como la no aplicación de dicho impuesto cuando el destinatario no sea comunitario, sea cual sea su condición (empresario o particular).

Entre los servicios que, siendo prestados por vía electrónica de forma no gratuita, resultan afectados por la nueva Directiva, se incluyen:

-          El suministro de programas informáticos;

-          El tratamiento de datos, incluyendo la recepción y la creación de sitios web o servicios similares;

-          El suministro de servicios culturales, deportivos, científicos, docentes, artísticos, juegos, y,

-          El suministro de información, incluyendo la puesta a disposición de bases de datos.

Por el contrario, tal y como estaba previsto, las denominadas transacciones off-line, esto es, las entregas físicas de bienes en virtud de pedidos realizados a través de Internet, quedan fuera del ámbito de aplicación de la nueva Directiva, al resultarles aplicables las reglas tradicionales aplicables a operaciones intracomunitarias (entregas y adquisiciones intracomunitarias), o, en su caso, las particulares del régimen especial de ventas a distancia.

Por lo que se refiere a los aspectos formales establecidos para la puesta en práctica del nuevo sistema, tal y como se ha indicado, los proveedores no comunitarios de estos servicios vendrán obligados a registrarse en un único Estado Miembro de la UE a efectos del IVA (sistema de registro único). En este sentido, la principal modificación respecto del texto inicialmente concebido por la Comisión consiste en que el empresario no comunitario registrado deberá repercutir el tipo de IVA correspondiente según el Estado Miembro de residencia de cada particular comunitario al que preste los servicios por vía electrónica. De esta manera, se pretenden evitar las importantes distorsiones que se hubieran planteado en el caso de que se hubiera optado por la alternativa consistente en la aplicación del tipo de IVA correspondiente al Estado de registro del operador no comunitario, como consecuencia de las diferencias todavía existentes en el espacio europeo en cuanto a tipos de IVA.

De manera equivalente, la prestación de estos servicios bajo la nueva Directiva por un empresario comunitario a particulares no establecidos en la UE se localizará, a efectos del impuesto, en el lugar donde reside el destinatario, quedando por tanto no sujeto a IVA.

la fiabilidad y, sobre todo, agilidad suficiente para no entorpecer el desarrollo de este comercio, interrogante que no ha sido resuelto en el texto aprobado y que por tanto exigirá en los próximos meses un rápido desarrollo, para el cumplimiento de los plazos acordados hasta el momento.

Asimismo, cabe preguntarse el impacto que pueda tener el registro único en la competitividad de las empresas comunitarias frente a las no comunitarias, en la medida en que las primeras deban continuar estando obligadas a registrarse en todos los Estados Miembros en los que deseen operar.

Otra cuestión que ha quedado pendiente de solución, aún con la aprobación de la nueva Directiva es la referente a los distintos tipos de IVA que se aplican en algunos casos en determinadas entregas de bienes respecto de sus equivalentes prestaciones de servicios por vía electrónica. Un ejemplo de ello es el caso de los libros, períodicos y revistas, a los que el soporte en papel permite gravar con tipos superreducidos (e incluso en algunos Estados, como es el Reino Unido, a tipo cero) mientras que su equivalente electrónico ha de quedar gravado a los tipos normales de IVA en cada Estado.

Es de esperar, por tanto, en los próximos tiempos, un intenso trabajo a nivel comunitario, que sirva para concretar los aspectos todavía no abordados en la presente Directiva, así como para desarrollar los correspondientes mecanismos y sistemas que permitan una aplicación práctica y eficiente de los principios establecidos en la misma, evitando al mismo tiempo, en la medida de lo posible, la generación de efectos negativos para el desarrollo del comercio electrónico.

Colaboración de la oficina de Madrid de Simmons & Simmons para la Asociación Española de Derecho de la Propiedad Intelectual

INTRODUCCIÓN

Acabamos de iniciar un nuevo siglo y milenio, a este cambio temporal acompaña la incorporación y generalización del uso de las nuevas tecnologías de la información que están  revolucionando las comunicaciones y facilitando la globalización.

Como suele suceder, el derecho va a remolque de la realidad cotidiana, y debe adaptarse a él. Como dijo un conocido abogado “el derecho es para la vida y no al revés”.

En todo tipo de documentos con eficacia jurídica, sea electrónico o no, se requiere el  cumplimiento de una serie de requisitos legales:

1- Se trate realmente de la persona que aparece en el documento y de ese modo se vea obligada a cumplirlo (autenticidad).

2- El contenido del documento es el que se ha aceptado y no otro diferente (integridad).

3- Los datos aparecidos no van a ser conocidos por nadie ajeno a las partes (confidencialidad).

4- Una vez perfeccionado el contrato, ninguna de las partes va a negar su compromiso de aceptación (no repudio).

Los tres primeros requisitos se cumplen con la firma electrónica, pero no el último de no repudio.  Para ello es necesaria la figura de una entidad de certificación, como ejemplo tenemos las entidades denominadas por el Proyecto de Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico como “terceros de confianza” y que nosotros denominamos terceras partes confiables.

Su labor sería la de archivar las declaraciones de voluntad que integran los contratos electrónicos. Otra función es la de consignar la fecha y la hora para probar que realmente se dieron esos intercambios.

En la nueva realidad de Internet vemos que no existe personación de las partes, ya que la relación es a distancia y por lo tanto “virtual”. Si queremos realizar negocios jurídicos perdemos el componente necesario de la seguridad.

Esto es algo que no comprenden determinadas agrupaciones como Kriptópolis, que rechazan la tendencia actual a legislar en el campo de las tecnologías de la información y de la comunicación. Pero lo que en el fondo se pretende, es dotar de seguridad en el tráfico para generalizar  el uso de estos instrumentos.

Hasta no hace mucho tiempo, la mayoría de las transacciones y negocios se perfeccionaban personándose ambas partes en un determinado lugar, y mostrando el D.N.I., u otorgando poder a otra persona para que actuase por nuestra cuenta.

Pero en las transacciones por vía telemática las personas están a distancia, y por lo tanto la personación y demostración de la identidad no es posible por el momento.

Lo que se pretende es crear un D.N.I. electrónico  que permita un mayor y normal flujo de operaciones.

El estar utilizando un determinado ordenador no es indicio suficiente para conocer la persona que realmente lo está manipulando. Esto es así porque el protocolo de comunicaciones utilizado en la red de redes es el TCP/IP, a pesar de que cada vez que conectamos a Internet tenemos asignado un número fijo, existen también IP´S dinámicos en cada sesión, extremo que  complica conocer la persona que se encuentra al otro lado del teclado.

Una vez localizado el terminal desde el que se ha realizado el envío, puede suceder que sigamos sin conocer quién lo realizo, puesto que diferentes personas pudieron utilizar ese terminal.

 Para poder actuar con seguridad, es importante crear alguna entidad que ratifique que la persona con la que estamos intercambiando información o realizando cualquier negocio jurídico es la que dice ser y no otra.

Para intentar solventar todas estas situaciones, se crean los prestadores de servicios de certificación o entidades de certificación.

ENTIDADES DE CERTIFICACIÓN

La Directiva 1999/93/CE de 13 de diciembre por la que se establece un marco comunitario para la firma electrónica establece que es proveedor de servicios de certificación “la entidad o persona física o jurídica que expide certificados o presta otros servicios en relación con la firma electrónica”.

Por su parte, el Real Decreto-Ley 14/1999 de 17 de septiembre sobre firma electrónica recoge esta misma  definición.

Las entidades emiten certificados, y estos son “la certificación electrónica que vincula unos datos de verificación de firma a una persona y confirma la identidad de esta”. Tanto la Directiva como el Real Decreto-Ley recogen esta misma idea.

La Directiva 1999/93 no obliga a la previa autorización por las administraciones para comenzar a prestar sus servicios. El Real Decreto-Ley 14/1999 aunque no impone la obligatoriedad, establece en su artículo 6 la posibilidad de establecer sistemas voluntarios de acreditación de los prestadores de servicios de certificación .

Estos sistemas son voluntarios pero importantes, pues aportan una garantía más, y por lo tanto mayor confianza.

Así, a pesar de que no se exige a las entidades de certificación la obtención de autorización previa, es lógico que los clientes pidan ese plus de seguridad y acaben acudiendo a esos certificadores.

Por otro lado, se crea un Registro de Prestadores de Servicio de Certificación para aquellos establecidos en España, cuya inscripción previa es requisito indispensable para comenzar a actuar.

En la solicitud de inscripción se deberá identificar al prestador, y el cumplimiento de los requisitos necesarios para prestar los servicios. También se deberá comunicar cualquier cambio o circunstancia relevantes.

Se han incluido en la norma una serie de requisitos para la validez de los certificados reconocidos, de suma importancia si tenemos en cuenta que la firma electrónica que esté basada en este certificado, y producida por un dispositivo seguro de creación de firma, tiene el mismo valor jurídico que la manuscrita.

Podemos distinguir dos tipos de requisitos según estén basados en el sujeto, o en el documento:

-    Subjetivos: - Identificación y firma electrónica avanzada de la entidad de 

                          certificación.

                        - Identificación del signatario.

                        - Caso de representación, la demostración del documento que acredite las                   

                          facultades del signatario para representar.

-    Objetivos: - Indicación de la expedición como certificado reconocido.

                       - Código identificativo único del certificado

                       - Datos de verificación de firma del signatario.

                       - Limitaciones del uso.

                       - Limitaciones del valor de las transacciones.

                       - Otros requisitos exigirán el consentimiento expreso del signatario.

Los organismos integrantes de los sistemas de acreditación  de las entidades de certificación y certificación de productos de firma electrónica son 3. Sus peculiaridades aparecen en la Orden de 21 de febrero de 2000:

1-     Secretaría General de Comunicaciones del Ministerio de Fomento:

Su competencia es acreditar a los PSC (prestadores de servicios de certificación) y certificar los productos de firma electrónica. Su función es puramente formal, ya que no comprueba en ninguno de los dos casos si se cumple con los requisitos establecidos.

La Secretaría tiene encomendada la función de vigilancia y control. Actuará  de oficio o a petición del Ministerio de Justicia. La inspección podrá tener como resultado la apertura de expediente sancionador.

2-   Entidades de Evaluación:

Como bien dice la palabra, evalúan a las entidades de certificación, y a los productos de firma electrónica con el fin de comprobar el cumplimiento de los requisitos establecidos en el Decreto Ley.

Previamente estos organismos públicos o privados deben ser acreditados por la E.N.A.C. ( Entidad Nacional de Acreditación) en el caso de España, o por otro organismo acreditado para operar de la Unión Europea.

Las obligaciones de estas entidades son:

·        Facilitar información a aquel que lo solicite.

·        Abonar los gastos de gestión.

·        No perjudicar a la ENAC.

·        Una vez concluido el periodo para el que fue creada, cesar en la actividad.

·        Informar de que sus decisiones no vinculan a la Secretaría General de Comunicaciones.

Sus acreditaciones se extinguen Por el paso del tiempo fijado, por la renuncia expresa de la entidad de certificación, o por cese de actividad.

3- Entidad Nacional de Acreditación (ENAC):

Media entre la actividad  certificadora de la Secretaría General  de Comunicaciones y la de evaluación de las Entidades de Evaluación.

Destaca entre las competencias de este órgano la acreditación de las Entidades de Evaluación y productos de firma electrónica.

Las entidades de evaluación acreditadas pueden ser tanto organismos públicos como privados, e independientes con respecto a los prestadores de servicios que quieran acreditarse y también con respecto a fabricantes o importadores de productos de firma electrónica.

En cuanto a los prestadores de servicios de certificación, el artículo 11 del Real Decreto-Ley explica cuales son sus obligaciones, expida o no certificados reconocidos:

-         Comprobar la identidad y demás circunstancias personales de los solicitantes de los certificados. Se exceptúan a aquellos que expidan certificados que no sean reconocidos y que se limiten a constatar circunstancias específicas de los solicitantes de los certificados.

-         Poner a disposición del destinatario los dispositivos de creación y verificación de firma.

-         No almacenar ni copiar datos de creación de firma, salvo que el signatario lo pida.

-         Informar sobre la emisión de los certificados, y sobre el cese de la actividad.

-         Mantener un registro de certificados.

-         Solicitar la inscripción en el registro.

Si además emiten certificados reconocidos, deben cumplir además las obligaciones del artículo 12 del Real Decreto-Ley 14/1999:

-         Realizar operaciones de “time stamping”, es decir, indicar la fecha y hora de expedición.

-         Demostrar la fiabilidad del servicio.

-         Garantizar rapidez y seguridad en la prestación del servicio.

-         Empleo de personal cualificado.

-         Uso de sistemas y productos fiables.

-         Tomar medidas contra la falsificación y garantizar la confidencialidad durante la generación de firma electrónica.

-         Disponer de recursos económicos suficientes para realizar su labor y responder de posibles daños y perjuicios.

-         Guardar la información de los certificados durante 15 años.

-         Informar al solicitante sobre precios y condiciones de uso.

-         Uso de sistemas fiables de almacenaje de certificados.

Procedimiento de acreditación de los PRETADORES DE SERVICIOS DE CERTIFICACIÓN:

El PSC que pretenda la acreditación, deberá presentar una solicitud a la Secretaría General de Comunicaciones adjuntando el informe de una Entidad  de Evaluación acreditada.

Si la Secretaría decide positivamente, emitirá una certificación.

El plazo máximo para decidir será de seis meses (desde la entrada de la solicitud en cualquiera de los registros del Ministerio de Fomento). El silencio se entiende positivo.

La acreditación tendrá una validez de 4 años, y podrá ser renovada por periodos iguales.

La extinción de la acreditación será declarada por la Secretaría General de Comunicaciones y publicada en el Boletín Oficial del Estado.

Procedimiento de certificación de productos de firma electrónica.

Podrán ser certificados los productos de firma electrónica que:

-         Garanticen que los datos utilizados para crear la firma  puedan producirse una sola vez y que asegure su secreto.

-         Exista cierta seguridad de que los datos no puedan ser derivados de la firma o su verificación, y que la firma no sea falsificada.

-         Los datos de creación de firma puedan ser protegidos.

-         Que el dispositivo no altere  los datos o el documento, ni impida que este se muestre al signatario antes del proceso de firma.

En lo referente a los dispositivos de  verificación de la firma,  se exige que:

-         Se verifique de forma fiable.

-         Que el verificador determine el contenido de los datos y pueda detectar que han sido modificados.

-         Que figura correctamente la identidad del signatario o su seudónimo y que se verifica de modo fiable el certificado.

-         Que pueda detectarse cualquier cambio referente a seguridad.

Las solicitudes de certificación pueden presentarse por los fabricantes, importadores o prestadores de servicios. El procedimiento es similar al previsto para la acreditación de las entidades de certificación.

Los certificados tendrán una duración no superior a 5 años, con posibilidad de  renovación.

Se quiere evitar que, una vez las entidades de certificación cesen en su actividad, los signatarios queden desamparados. Por eso el artículo 13 del Real Decreto-Ley establece que deberán informar a los titulares de certificados con una antelación de 2 meses al cese efectivo de la actividad y transferir los que sigan en vigor a otro prestador, o dejarlos sin efecto.

En el supuesto de estar inscrito en el Registro de Prestadores de Servicios de Certificación, deberá comunicarlo al Ministerio de Justicia, explicando el destino que se dará a los certificados.

Como es lógico, las entidades de certificación responden de los daños y perjuicios que hayan provocado. Salvo que el prestador demuestre que actuó diligentemente.

El prestador de servicios de certificación será responsable si en los certificados no se consigna el límite del uso o del importe máximo de las operaciones.

En cuanto a las medidas cautelares, en caso de expediente administrativo por infracciones graves o muy graves, podrán consistir en la orden de cese temporal de la actividad, en la suspensión de la vigencia de los certificados, o en la adopción de otras medidas cautelares.

Papel del notariado como posible entidad de certificación.

Otra cuestión digna de destacar es si, atendiendo a la tradicional figura del notariado, estos pudieran dedicarse a la actividad certificadora.

Si acudimos a la Resolución-Circular de 26 de abril de 2000, De la Dirección General de Registros y del Notariado, sobre el ámbito de aplicación del Real Decreto-Ley 14/1999 veremos que, la mera intervención en el proceso de firma electrónica de un prestador de servicios de certificación, afirmando que una determinada clave pública pertenece al signatario del documento, no reviste carácter de fe pública, por lo que no sustituye la intervención de los fedatarios prevista en nuestras normas

El notario Javier Barreiros Fernández en su “exposición sobre el papel del notariado en el uso de la firma digital”  recoge las siguientes ideas:

Él considera,   al igual que Díaz Fraile (Registrador y Letrado adscrito a la Dirección Ge neneral de los Registros y del Notariado) que la identificación es una potestad del Estado que se puede delegar en los funcionarios públicos pertinentes.

Respecto a las entidades de certificación, recoge la idea de que no añaden verdadera seguridad jurídica a las transacciones electrónicas. Es más bien un instrumento técnico, que pretende facilitar y dar cobertura técnica a las transacciones digitales.

Por ello se deben distinguir dos aspectos de la seguridad contractual:

1-     La seguridad jurídico contractual, que afecta al proceso de formación del contrato, al consentimiento y a los efectos. Estos aspectos dependen de las partes contractuales y la posible seguridad se obtiene con la intervención de funcionarios públicos como los notarios.

2-     Seguridad e integridad de  la comunicación, que es el ámbito propio de las entidades de certificación.

Las entidades de certificación (según Barreiros) no pueden identificarse con los notarios y por lo tanto no puede hablarse de “notarios electrónicos”.

Las funciones notariales son más amplias y refieren a la fijación de la voluntad por los otorgantes, información y consejo, redacción y adecuación a la Ley del documento, funciones que son ajenas a las de las entidades de certificación.

Así pues, las entidades de certificación se dedican a expedir los certificados en los que se basa la firma electrónica, y también pueden prestar otros servicios, como la estampación de fecha y hora en documentos digitales.

Esta función la realizan entre otros los terceros de confianza que aparecen normativizados en el nuevo Proyecto de  Ley de Comercio Electrónico. También  resalta que dichos terceros no podrán alterar ni sustituir las funciones que corresponde realizar a las personas facultadas a dar fe pública.

EXPERIENCIAS PRÁCTICAS Y PROYECTOS EN RELACIÓN A LAS PSC

Camerfirma:

Se trata de una entidad de certificación digital con tecnología española, que las Cámaras de Comercio ponen al servicio de las empresas para comerciar de forma segura en internet.

Camerfirma garantiza la identidad y otras cualificaciones de cualquier persona en su ámbito empresarial que comercialice sus productos o servicios vía red y supera posibles inseguridades en el comercio electrónico.

Proyecto Identrus:

En la Decisión de la Comisión Europea de 31 de agosto de 2001, se autoriza una red mundial para el reconocimiento de las firmas electrónicas y otras operaciones comerciales por vía electrónica. Los acuerdos entre una serie de grandes bancos europeos y no europeos para la creación de esta red permiten a las instituciones financieras participantes funcionar individualmente como autoridades de certificación y en competencia entre ellas, para garantizar la seguridad de las transacciones comerciales por vía electrónica.

La Unión Europea ya había reconocido, en su Directiva de 1999 sobre firma electrónica, que la existencia de servicios  de certificación en redes abiertas era indispensable para el éxito del comercio electrónico en Europa.

Proyecto Imprimatur:

Se trata de un proyecto europeo por el que se intenta establecer un marco seguro para la transmisión telemática de creaciones intelectuales.

Uno de los organismos que aportan seguridad en ese tráfico serían las entidades de certificación. Estas facilitarían la perfección de los contratos, mediante la asignación de firmas digitales a los partícipes (autor, editor-productor, distribuidor, comprador final y entidad de gestión).

CONCLUSIÓN

Parece que la firma digital no va a implantarse, por lo menos por el momento, en las relaciones B&C, pero a nivel empresarial será decisivo para el devenir de las transacciones, de manera que exista la seguridad y confianza necesaria entre las partes.

Pienso que se ha actuado correctamente creando esta figura de las entidades de certificación que solvente la problemática del repudio, y que se regula en diferentes normativas de nuestro ordenamiento jurídico, como es la futura Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico y principalmente la Ley de Firma Electrónica.

INTRODUCCIÓN:

Internet ha sido hasta hace poco un lugar de encuentro donde no existían normas ni fronteras, en el que el intercambio y tráfico de información era el principal objetivo. Como consecuencia de lo anterior, nos encontrábamos con conductas ilícitas que no tenían límite, ya que no existía norma y legislación aplicable que vigilase las conductas perniciosas debido al ámbito global en el que Internet desarrolla su actividad.

Las empresas han decidido usar el marco de las nuevas tecnologías para informar y optimizar las ventas de sus productos y servicios. Esta circunstancia a modificado la principal función que tenía en su origen la red, como canal de comunicación. A nadie se le escapa la necesidad de una regulación que aporte seguridad, para poder de este modo, optimizar, analizar y potenciar los recursos de red. Uno de los elemnetos mas importantes en la optimización de los recursos de red, hace mención al comercio electrónico.

Para  intentar paliar los problemas propios que el desarrollo e impulso de Red traen aparejados, se propuso la autorregulación. Esta idea va a derivar en los actuales códigos de conducta que son recogidos en esta nueva Ley de Comercio Electrónico que veremos a continuación.

De todos modos esta vía no es suficiente para dar seguridad en las transacciones, prueba de ello es que la comercialización por estas nuevas vías no se ha desarrollado como se esperaba: Así se desprende de los datos del “Monitor de las Empresas e Internet”, elaborado por el Instituto de Investigación Social y Estudios de Mercado Opinática para “Cinco Días” en noviembre de2001:

“Entre los frenos más importantes a su desarrollo, citan (directivos) la seguridad y confidencialidad, la escasa tradición en la venta por catálogo o las deficiencias en las infraestructuras de telecomunicaciones”.

En cuanto al comercio electrónico, el 57,3% de las empresas lo usarán en un año.  Sin embargo, Internet se encuentra plenamente integrado en las empresas españolas, con porcentajes próximos  al 100%.

En cuanto a las cifras del comercio electrónico en el que intervienen consumidores, la Asociación Española de Comercio Electrónico realizó una encuesta entre febrero y mayo de 2001. En ella se establece que en el año 2000 la cifra era de 34.000.000.000 de transacciones, y la previsión de 2001 era de 76.500.000.000.

Por eso es necesaria esta Ley y el resto de normativa sobre nuevas tecnologías, para que exista un escenario reglado, donde tengamos seguridad a la hora de realizar nuestras operaciones por red. Esta Ley tiene en especial consideración al consumidor, que es la parte debil y el sujeto que a la postre va a decidir contratar a través de Internet. Sobre todo si tenemos en cuenta que los españoles no somos muy propensos a introducir los datos bancarios de un modo poco seguro.

ANTECEDENTES

La Directiva 2000/31/CE exigía la elaboración de una normativa que regulase el comercio electrónico a los diferentes miembros de la Unión. Pocos han sido los que “han cumplido sus deberes” en el plazo señalado. España, aunque aún sin una norma en firme, es de los países punteros, puesto que otros estados aún no han comenzado a legislar y pueden ser apercibidos por las instituciones europeas.

Antes de entrar de lleno en esta Ley, es interesante ver como se regulaban las diferentes materias, y saber el por qué se ha regulado de este modo. Sobre todo es importante conocer si se han solucionado los problemas en materia de contratación, que llevaban a confundir qué legislación era de aplicabilidad en la resolución de conflictos.

1º OBLIGACIONES Y RESPONSABILIDAD DE LOS I.S.P:

La norma los recoge como prestadores de servicios de la sociedad de la información,  aunque ellos no cometían directamente ningún ilícito, podían conocerlo y ampararlo. De aquí la necesaria regulación de sus acciones u omisiones.

2º CÓDIGOS DE CONDUCTA:

Desde el principio se ha propuesto como el medio de autoregular los intercambios a través de internet. El nuevo proyecto no podía ser ajeno a esta tendencia.

3º INTERVENCIÓN DE TERCEROS DE CONFIANZA:

Se ha pretendido equiparar el documento electrónico al manuscrito, con la firma electrónica se conseguían superar positivamente los criterios de autenticidad, integridad y confidencialidad. Pero no la del repudio. Por ello se introduce el criterio de las terceras partes confiables o fedatarios electrónicos.

4º ACEPTACIÓN EN LAS VENTAS A DISTANCIA Y LUGAR DE CELEBRACIÓN DEL CONTRATO:

Hasta hace poco veíamos como el momento de la aceptación en este tipo de ventas era  tratado dediferente modo en el Código Civil y en el Código de Comercio.

El artículo 1262 del Código Civil establecía que la aceptación  hecha por carta (a distancia)  “no obliga al que  hizo la oferta sino desde que llegó a su conocimiento”. El lugar de celebración se presumía que era el de la oferta.

Mientras en el artículo 54 del Código de comercio se decía que estos contratos se perfeccionaban desde que se contestaban aceptando.

Por lo tanto, en un caso se perfeccionaba el negocio por el conocimiento de la aceptación, y en el otro por la mera contestación en sentido positivo. Ambas legislaciones son modificadas por el nuevo Proyecto de Ley,  de este modo se unifican criterios.

5º ARBITRAJE:

Con el fin de evitar  el coste económico y de tiempo que supone la resolución judicial de los conflictos, esta norma también acoge en su clausulado esta institución.

6º CONCEPTO DE CONSUMIDOR:

Otro aspecto conflictivo era el de la definición que se manejaba de consumidor.

El artículo 1 de la Ley 26/1984, de16 de julio, Para la Defensa de Consumidores y Usuarios dice: “ A los efectos de esta Ley,  son consumidores o usuarios las personas físicas o jurídicas que adquieren, utilizan o disfrutan como destinatarios finales, bienes muebles o inmuebles...

...No tendrán la consideración de consumidores o usuarios finales...quienes sin instituirse en destinatarios finales...con el fin de integrarlos en procesos de producción, transformación, comercialización o prestación a un tercero.

La Directiva 1997/7/C.E. recoge: “Toda persona física que, en los contratos contemplados en la presente Directiva, actúe con propósito ajeno a su actividad profesional”.

7º LEY DE ORDENACIÓN DEL COMERCIO MINORISTA Y R.D. SOBRE CONTRATACIÓN ELECTRÓNICA, CON CONDICIONES GENERALES DE CONTRATACIÓN:

Como veremos más adelante, la nueva Ley aclara el horizonte, pero actualmente no soluciona el conflicto entre estas normas.

El principal problema era el del desistimiento después de tener el producto en nuestras manos. Puesto que ambas normas entraban en importantes contradicciones:

-         El ámbito de aplicación para la Ley era el de las relaciones B2C (es decir, en la contratación de comerciantes con consumidores), y se discutía si también era el de B2B (entre comerciantes o empresarios).

Por otro lado el Reglamento se aplicaba a esos dos casos (B2C y B2B), pero que contengan  condiciones generales de contratación en la contratación electrónica.

También la Directiva 1997/7/C.E.  decide sobre este tema,y como se refiere a materia de consumidores, regula el B2C.

-    En la Ley son 7 los días para poder desistir,  mientras que el Real Decreto concreta más, diciendo que son “hábiles”.

-         El Real Decreto permite la renuncia a este derecho a desistir, mientras que la Ley y Directiva no lo acepta (puesto que la intención es proteger a la parte débil, el consumidor).

-         La Ley dice que los gastos de devolución y los perjuicios se deben abonar por el

destinatario que desiste. Algo que no admite el Reglamento.

-    Excepciones a la devolución: El Real Decreto  lo establece en los casos en que por su naturaleza es imposible llevarlo a cabo.

      La Ley suma a ese supuesto los siguientes:- Se trate de objetos de copiado

       inmediato e higiene personal.

      - Productos sujetos a fluctuaciones en su valor.

Lo que debo dilucidar es que norma es aplicable  ante un caso práctico y como afecta la aprobación este  nuevo texto legal a esta normativa. En lo referente a la primera cuestión,  la norma de rango superior tiene preferencia sobre la inferior, por lo tanto aplicamos la Ley. La segunda pregunta la trataremos más adelante.

8º SPAMING:

Son las comunicaciones comerciales no solicitadas, con las que nos bombardean en nuestro correo electrónico. Se barajaron varias opciones, desde la prohibición hasta la permisión con creación de “listas de robinsones” o de exclusión ( si solicitamos incluirnos en estos listados, podemos recoger nuestra voluntad negativa a recibir publicidad vía correo electrónico).

LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO

El objeto es el siguiente:

-         Obligaciones y responsabilidad de los prestadores de servicios de la sociedad de la información.

-         Comunicaciones comerciales por vía electrónica.

-         Contratación por vía electrónica.

-         Códigos de conducta

-         Entidades de certificación.

-         Solución judicial y extrajudicial de conflictos.

-         Información y control.

-         Infracciones y sanciones.

Prestadores de servicios:

Hay tres tipos de  prestadores de servicios según su localización territorial, estos son:

-         Establecidos en España.

-         Erradicados fuera de España, pero dentro de la Unión Europea o en el Espacio Económico Europeo. Siempre que el destinatario se encuentre en España y afecte a determinadas materias.

-         Situados fuera de la Unión o del Espacio Económico Europeo, pero prestan sus servicios específicamente al territorio español.

Estos prestadores no van a requerir para actuar de autorización previa alguna. Por otro lado es lógico ya que se aplica uno de los grandes principios del ordenamiento comunitario: La libre prestación de servicios (del mismo modo que lo son la libre circulación de personas, mercancias o trabajadores).

Los prestadores de servicios o I.S.P. no serán en principio responsables si desconocen el ilícito o lesión que se causa, salvo que hubieran podido prever o hubieran sido avisados y no hubieran  retirado los contenidos o bloqueado su acceso.

Esta solución parece valida, puesto que muchos de estos actores solamente dan cauce para que los contenidos sean puestos a disposición del público a través de la red, pero no son ellos los que los ponen o “cuelgan”. Además es extremadamente complicado controlar una por una las millones de páginas que pueden estar gestionando.

Entre las diferentes conductas de estas entidades están la de proveer de acceso, almacenar datos, facilitadores de enlaces, facilitadores a instrumentos de búsqueda, etc.

Comunicaciones comerciales por vía electrónica o spam:

Se prohibe el spam por correo electrónico o equivalente. Siempre que no haya sido solicitado o autorizado (en este caso debe aparecer con la denominación expresa de “publicidad”).

Por lo tanto se desprecia la posibilidad de establecer listados de robinsones, con el consiguiente perjuicio para las empresas al reducir los ingresos por no incluir publicidad.

El consentimiento a recibir este tipo de publicidad puede ser revocado

Contratación por vía electrónica:

Se sigue el criterio establecido tanto en la Ley de Firma Electrónica, como en las decisiones judiciales (Sentencia del Tribunal Supremo, de 3 de noviembre de 1997). Puesto que se ratifica la validez de la contratación realizada por vía telemática, al igual que los dispositivos electrónicos donde se almacenan.

Por lo tanto la discusión sobre la Validez de las clausulas Clip-Wrap (aceptación del clausulado con le mera selección por el destinatario de un símbolo o icono on-line) se salda del modo más lógico, considerar que no es sino una extensión de la contratación tradicional.

En cuanto a la prueba, remite a la Ley de Firma Electrónica, en la cual se reconoce el valor probatorio.

El oferente está obligado a confirmar la recepción de la aceptación mediante acuse de recibo o por confirmación electrónica equivalente en un plazo de 24 horas.

Sin embargo no será necesaria dicha confirmación si existe pacto en contrario, o el acuerdo se ha realizado mediante correo electrónico o equivalente

No será necesaria la confirmación si:

-         Existe pacto y ninguno sea consumidor.

-         Uso de correo electrónico o equivalente (salvo que el fin sea eludir la obligación).

Lugar de celebración del contrato:

Resuelve la situación anterior de incertidumbre.:

Si una parte es consumidor, en el lugar de su residencia actual.

Si es una relación B2B, a falta de pacto, el lugar de establecimiento de I.S.P..

Códigos de conducta:

La Ley es muy vaga, se usan expresiones como “la Administración General del Estado impulsará, ...podrán tratar,... procurarse.”

Tratarán principalmente la detección y retirada de contenidos ilícitos y protección frente al spam, así como a la posibilidad de acudir al arbitraje.

Se establece que el Gobierno aprobará un distintivo para identificar a los I.S.P. que respeten estos códigos.

Entidades de certificación

El texto las nombra terceros de confianza. Se trata de entidades de certificación que dan fe de las comunicaciones. La inclusión de este criterio era exigido por parte de la doctrina (Jose María Anguiano, Socio-Director de Nuevas Tecnologías del despacho Garrigues & Andersen), puesto que era el modo de evitar el repudio en la contratación on-line.

El repudio en este tipo de contratación consiste en que, como las partes no se encuentran presentes, debemos buscar un mecanismo que asegure que el que emite la última comunicación no niege que dió su voluntad.

Para ofrecer una solución, el tercero archiva las declaraciones de voluntad de las partes para evitar el repudio. Además se consignará la fecha y hora de las comunicaciones.

Solución extrajudicial de conflictos:

Se sigue la tendencia a descongestionar los tribunales y la necesidad de resolver más rápidamente las controversias. Por ello las partes podrán someter sus conflictos a arbitraje, además podrá hacerse uso de medios electrónicos.

Infracciones y sanciones:

Las sanciones van desde 3.000 € (500.000 ptas.) a los 600.000 € (100.000.000 ptas.).

Una novedad son las multas coercitivas, consiste en que, caso de incumplimiento, se aplica una multa cada x días. En este caso cada día.

Harmonización  del momento del consentimiento en ventas a distancia:

Con esta norma (Disposición Fínal Primera) se armoniza el Código Civil y el Código de Comercio en lo relativo a venta a distancia. En ambos casos se establece que habrá consentimiento desde que el oferente conozca la aceptación o desde que, habiéndosela remitido al aceptante, no pueda ignorarla sin faltar a la buena fe. Si el consentimiento se realiza por medio de dispositivos automáticos, habrá consentimiento desde la aceptación.

Modificación del Real Decreto 1906/1999, de 17 de diciembre, Sobre Contratación Telefónica o Electrónica con Condiciones Generales

Se ofrece el plazo de un año para que el Gobierno adapte su contenido a lo dispuesto en esta Ley. Esperemos que el legislador unifique las contradicciones que hay entre las normas.

Concepto de consumidor:

Persona física o jurídica en los términos establecidos en el artículo 1 de la Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios

CONCLUSIONES

Esta Ley tiene una serie de importantes aciertos:

Armoniza el Código Civil y el de Comercio en cuanto al momento del consentimiento en la celebración de contratos a distancia, toma el concepto de consumidor de la Ley General de Defensa de los Consumidores y Usuarios.

Introduce el criterio de los terceros de confianza para evitar el repudio en la contratación.

Después de los diferentes vaivenes en cuanto a la aceptación del spam, finalmente se ha optado por su prohibición salvo consentimiento.

Se aclaran las obligaciones y responsabilidad de los  I.S.P.

Respecto a la contratación, reconoce la validez del uso de los medios electrónicos, y su valor probatorio (como ya establecía la Ley de Firma Electrónica y los tribunales).

También soluciona el lugar de conclusión del contrato y se viene a recoger expresamente la institución del arbitraje.

Por el contrario no se ha aprovechado esta oportunidad para resolver el problema fundamental, que es la armonización de la legislación en materia de contratación. Claro que la Disposición Final Segunda exhorta a la adecuación de la regulación reglamentaria sobre contratación telefónica o electrónica con condiciones generales de contratación, pero mucho nos tememos que las dudas van a continuar.

Para concluir este breve informe, creemos que pese a las críticas que se han vertido sobre la excesiva protección que se ofrece a los usuarios,  consideramos que en absoluto es un problema. Si lo que pretendemos es que el comercio electrónico despegue, será necesario dotar de la mayor seguridad a los principales actores e intervinientes en las diversas transacciones telemáticas.

El pasado 6 de marzo de 1998, se aprobó la Ley de Protección Jurídica de Bases de Datos, por la que se transpuso al ordenamiento español la Directiva 96/9/CE sobre la protección jurídica de las dases de datos, con la que se pretende armonizar la legislación en materia de protección de Bases de Datos, dada la disparidad de criterios que se seguían en todos los estados miembros de la Comunidad Europea.

La nueva Ley, se incorpora al Texto refundido de la Ley de Propiedad Intelectual, por razones de economía y eficacia legislativa, tal y como se refleja en su exposición de motivos.

La norma se divide en tres capítulos dedicados a los derecho de autor, el denominado derecho sui generis y en otras disposiciones. La diferenciación que se realiza entre derecho de autor y el derecho sui generis, viene motivado por la distinción que ya aparecía en la Directiva 96/9/CE. Esta diferenciación se hace necesaria de cara a la independencia y la clara distinción entre ambos derechos.

Concepto de derecho sui generis.

El derecho sui genereis protegerá la inversión sustancial, evaluada de forma cualitativa o cuantitativa, que realice el fabricante de la base de datos, ya sea de medios financieros, empleo de tiempo, esfuerzo, u otros de similar naturaleza, para la obtención, verificación o presentación de su contenido. Es por tanto un derecho claramente diferenciado del derecho de autor, que protegerá la forma de estructura el contenido de una base de datos, y no el propio contenido.

Se considerará fabricante, a aquella persona jurídica o natural que tome la iniciativa y asuma el riesgo de la inversión sustancial orientada a la obtención, verificación y presentación del contenido de la base de datos.

Contenido del derecho sui generis.

Este derecho se plasma en la, posibilidad que tiene el fabricante para prohibir la extracción y/o reutilización de la totalidad o de un parte sustancial del contenido de la base de datos, siempre medida desde un punto de vista cualitativo o cuantitativo. Este derecho es transmisible en todas las formas previstas para transmisiones inter vivos o mortis causa.

Derechos y obligaciones de los legítimos usuarios, respecto de los derechos del fabricante.

El fabricante no podrá prohibir al legítimo usuario, la extracción y o reutilización de partes no sustanciales del contenido de la base de datos con independencia del fin a que se destine.

Los legítimos usuarios, no podrán:

- Realizar actos contrarios a una explotación normal de una base de datos o que lesionen injustificadamente los intereses del fabricante.
- Realizar actos que perjudiquen al titular de los derechos de autor.

Serán considerados nulos de pleno derecho aquellos actos de disposición contrarios a los derechos de los usuarios legítimos.

Excepciones al derecho sui generis.

Los legítimos usuarios podrán extraer y reutilizar una parte sustancial del contenido de la base de datos, en los siguientes casos:

- La extracción sea para fines privados. La base de datos no puede ser electrónica.

- La extracción tenga fines educativos o de investigación científica en la medida en que este justificada por el objetivo no comercial de que se persiga y siempre que se indique la fuente.

- Extracciones y/o reutilizaciones con fines de seguridad pública o a efectos de un procedimiento administrativo o judicial.

Plazo de duración del derecho sui generis.

El derecho sui generis que protege al fabricante de la base de datos, se extiende por un periodo de quince años a contar desde el 1 de enero del año siguiente a la fecha en que haya terminado el proceso de fabricación.

Para la bases de datos que se hayan fabricado antes del 1 de enero de 1998, la protección comenzará a partir de esa fecha.

Si se produjera una modificación sustancial, evaluada de forma cuantitativa o cualitativa del contenido de una base de datos, permitirá a esa nueva inversión un plazo de protección propio de quince años.

Carlos Sáez
Asociación Española de Derecho de la Propiedad Intelectual

Incidencia de la ley 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal, en los ficheros dedicados a la prestación de servicios de solvencia patrimonial y crédito

En el sector de la información comercial existe un tipo de ficheros que se limita a recoger incidencias que han sido previamente publicadas en boletines oficiales y que se denominan ficheros de incidencias judiciales.

INCLUIDOS EN LA NUEVA LEY

Del texto del Proyecto de la nueva LORTAD podemos decir que ya no hay dudas acerca de su inclusión, ya que el artículo 2, al enumerar los ficheros que quedan excluidos de su ámbito así como los que han de regirse por disposiciones específicas, no hace mención alguna a los ficheros de informática jurídica.

ARTÍCULO

No obstante, el problema de la actualización de los datos contenidos en los ficheros de incidencias judiciales sigue patente. La Agencia exige a los responsables de los ficheros mantener actualizada de oficio la información permanentemente, pero como ya se expuso, en la práctica resulta materialmente imposible.

Una posibilidad que aquí planteamos ahora es la de invertir la responsabilidad de la actualización de los datos utilizando el artículo 5.4 del Proyecto, referido a la obligación de información expresa, precisa e inequívoca por parte del responsable del fichero al efectado/interesado en el plazo máximo de tres meses, contados desde el momento del registro de los datos, en los supuestos en que los datos de carácter personal no hayan sido recabados directamente del interesado.

Al ser ésta una obligación que ha de cumplir el responsable de cualquier fichero, sería el afectado/interesado el que, al ser informado de la inclusión de sus datos en un fichero, debería solicitar la rectificación o cancelación de los mismos, ya que probablemente este método de actualización sería más rápido y eficaz. No obstante, este deber del afectado no se contempla expresamente por lo que en principio la información deberá seguir siendo actualizada de oficio por parte del responsable tal y como establece el artículo 4.4 del Proyecto.

Además, el Proyecto no establece distinción entre ficheros automatizados y no automatizados, por lo que ambos quedan dentro del ámbito de la futura nueva LORTAD. Así, en su artículo 3, define los ficheros como todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Además, la Disposición Adicional Primera del Proyecto establece un plazo de doce años a contar desde el 24 de octubre de 1995 para adecuar los ficheros y tratamientos no automatizados a la Ley Orgánica 5/1992.

A tenor del punto expuesto anteriormente, podemos destacar aquí, y respecto a la obligación de información y notificación a los afectados, que el texto del Proyecto de la LORTAD establece que cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

Esto afecta a los ficheros de solvencia patrimonial cuyos datos provienen de fuentes tales como Boletines (incidencias judiciales) y Registros Públicos (Mercantil, Propiedad, etc.), con la consiguiente obligación de actualización que ya estudiamos.

En los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, se notificará al afectado obligatoriamente en el plazo de 30 días, y obviamente siempre que los datos hayan sido obtenidos del acreedor o por quien actúe por su cuenta o interés. La notificación en 30 días excluye ya la obligación de comunicar la primera cesión.

Esta obligación de comunicación de la primera cesión ya existía en el articulado de la LORTAD, concretamente en su artículo 25, si bien no ha tenido hasta la fecha consecuencias prácticas.

Entendemos que la obligación de información impuesta al responsable del fichero puede materializarse de varias maneras: (i) Notificando al afectado su inclusión en un fichero en el plazo de tres meses, o bien, (ii) Informando al afectado en el momento en que se efectúe la primera cesión de sus datos, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario, siempre que ésta se produzca con anterioridad a los tres meses antes referidos.

El artículo 29 del Proyecto mantiene el mismo desarrollo del actual artículo 28 de la LORTAD. Ya vimos en el informe anterior que respecto a este artículo la Agencia de Protección de Datos mantenía una postura totalmente opuesta a la de este Despacho, al considerar que se distinguen dos tipos de ficheros: (i) Ficheros de solvencia patrimonial procedentes de fuentes y registros accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento, (ii) Ficheros de cumplimiento e incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. Por nuestra parte, lo que este artículo distingue son tres tipos de fuentes de información y no dos tipos de ficheros, además de que el plazo de 30 días para notificar al afectado no debería considerarse para todos los ficheros, al contrario de lo que defiende la Agencia.

Destacamos ahora que en la redacción del nuevo artículo 29 expresamente se establece el plazo de 30 días para la notificación al afectado sólo en los supuestos de ficheros de cumplimiento e incumplimiento de obligaciones dineraria, manteniéndose el plazo genérico de tres meses para los demás.

Sobre la posibilidad de utilizar los datos indistintamente de su fuente de origen e indistintamente del fichero del que provengan, el Proyecto no establece nada nuevo por lo que seguimos considerando necesario que se establezca un criterio claro en el sentido de permitir la utilización de las fuentes de información reguladas en el artículo 29 sin más restricciones, con independencia de que el responsable lo sea de uno u otro tipo de fichero.

En relación con las fuentes y registros accesibles al público, el artículo 28 del Proyecto establece los plazos en los que la información contenida en las mencionadas fuentes pierde su carácter público. Así, aquellas fuentes de acceso público que se publiquen en forma de libro o algún otro soporte físico, perderán su carácter público con la nueva edición que se publique, mientras que aquellos casos en los que se obtenga telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención. Esto significa que los datos incluidos en las citadas fuentes dejarán de ser públicos transcurrido el plazo o publicada la nueva edición, con lo que será necesario actualizarlos con las nuevas ediciones o publicaciones, para así mantener su carácter. Entendemos, aunque el Proyecto nada dice al respecto, que sin estas actualizaciones los datos originales no deberían ser empleados para ulteriores tratamientos puesto que no provendrán de una fuente accesible al público, por lo que sería recomendable deshacerse de ellos.

Al igual que se establece en la legislación vigente, sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que se refieran, cuando sean adversos, a más de 6 años, siempre que respondan con veracidad a la situación actual de aquéllos. En principio, esto no añade nada nuevo ni específico ya que por el principio de calidad de los datos, el responsable tiene la obligación de mantener los datos actualizados permanentemente.

La principal novedad en este punto es la ampliación legal a 10 días de la obligación del responsable del tratamiento de hacer efectivo el derecho de rectificación o cancelación del interesado. En los casos en los que los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien hubieran sido cedidos, para que este último, en caso de continuar con el tratamiento, los cancele igualmente. Todo esto, en el plazo ya citado anteriormente de 10 días.

Aún habiendo sido ampliado el plazo, consideramos que sigue siendo demasiado breve ya que en los ficheros comunes relativos al cumplimiento e incumplimiento de obligaciones dinerarias, las comunicaciones entre los responsables de los mismos y las entidades acreedores que suministran la información, siguen siendo necesarias al ser estas últimas las que han de proceder a la rectificación o cancelación, y en la mayoría de los casos parece que 10 días no son suficientes.

El nuevo texto contempla como novedad la obligación de regular la realización de tratamientos por cuenta de terceros mediante un contrato que ha de constar por escrito (o alguna otra forma que permita acreditar su celebración y contenido), entre el responsable y el encargado del fichero, que expresamente establezca que éste último tratará los datos conforme a las instrucciones del responsable, no aplicando ni utilizando los datos con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

Una vez que se haya cumplido la prestación objeto del contrato, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

El artículo 9 incluye al encargado del tratamiento, junto al responsable del fichero, como obligados a adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal. Al no establecer modificación alguna respecto de la legislación actual, consideramos oportuno aquí remitirnos al REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, publicado en el Boletín Oficial del Estado el día 25 de junio de 1999.

El citado Reglamento tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal.

Las medidas de seguridad que se exigen de acuerdo al Reglamento son de tres tipos: básico, medio y alto. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico, siendo aplicables las de nivel medio a todos aquellos ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la LORTAD, (ficheros de solvencia patrimonial y crédito y ficheros sobre cumplimiento o incumplimiento de obligaciones dinerarias). Los ficheros que contengan datos de ideología, creencia, religión, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines políticos, deberán reunir además de las medidas anteriores, las de nivel alto.

Será el responsable del fichero el encargado de elaborar e implementar la normativa de seguridad, que va desde la elaboración de un documento de obligado cumplimento hasta la designación de un responsable de seguridad encargado de coordinar y controlar las medidas definidas en el documento de seguridad. Todo esto variará según el nivel que haya de ser implementado. Asimismo, el incumplimiento de estas medidas será sancionado.

Las medidas de seguridad de nivel básico deberán implantarse antes del 26 de diciembre de 1999, las de nivel medio antes del 26 de junio del 2000 y las de nivel alto, antes del 26 de junio del 2001. Cómo es lógico, para aquellos ficheros que ya están funcionado en la actualidad y que tecnológicamente no permitan la implantación de alguna de estas medidas, el plazo se amplía a tres años desde la publicación del citado Reglamento.

Las medidas de seguridad que se adopten y cuya implementación es de obligado cumplimiento por parte del encargado, también constarán en el clausulado del contrato al que hemos hecho referencia en al apartado anterior.

Se incluyen como infracciones muy graves las de no atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición, y no atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

Además, se ha introducido un nuevo criterio de valoración para imponer sanciones, consistente en los daños y perjuicios causados a las personas interesadas y a terceras personas.

Las cuantías se han modificado y así, las multas para infracciones leves van de las 100.000 ptas. a los 10 millones, las graves, desde los 5 millones a los 50 y las infracciones muy graves, desde los 10 millones a los 100. Si estas sanciones son aplicadas gradualmente, atenuándolas o agravándolas en cada caso, podríamos encontrarnos con infracciones leves sancionadas con 10 millones frente a sanciones graves con multas inferiores a esa cantidad.

Para concluir, cabe decirse que no se observa en el Proyecto ningún punto más a tener en cuenta respecto a los puntos que ya estudiamos en el primer informe, y por tanto han de considerarse tal cual los expusimos, ya que nada nuevo extraemos de su articulado.

Antes de iniciar el análisis jurídico propiamente dicho, conviene aclarar que cuando hablamos de bases de datos, el bien jurídico a proteger es tanto la información como las formas de recopilar y sistematizar la misma.

Dentro de la protección legal a la información, la legislación española distingue entre la apropiación de la misma mediante el acceso no autorizado a ésta y uso, tratamiento, cesión y difusión de la misma cuando se ha tenido acceso legítimo a ésta.

1.- Acceso no autorizado a la información

Estamos ante los denominados "hackers y crackers". Para empezar, hagamos la distinción entre ellos; los "hackers" son aquellas personas que se introducen en un sistema informático ajeno sin la autorización precisa para ello. Lo hacen aprovechando los descuidos informáticos de los creadores de los sistemas ajenos o saltándose los sistemas de seguridad establecidos por éstos. Sin embargo, el "hacking" consiste en el mero acceso a los sistemas ajenos. El "hacker" cumple sus objetivos cuando burla las medidas de seguridad informática ajena y accede a los programas y/o a las bases de datos del sistema accedido. Si una vez que el acceso se ha producido, el que accede procede a la manipulación, destrucción o inutilización de los mismos con la finalidad de causar un daño, estamos ante un "cracker". Dicho de otra forma, para ser "cracker" es imprescindible ser primero "hacker", pero no pasa igual a la inversa.

Esta distinción entre "hackers" y "crackers" no es baladí si nos atenemos a lo establecido en el artículo 264.2 del código penal, que dice textualmente "la misma pena se impondrá (pena de prisión de uno a tres años y multa de doce a veinticuatro meses) al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos, contenidos en redes, soportes o sistemas informáticos."
Como se puede apreciar lo que se castiga es el daño causado a los datos, programas o documentos electrónicos, pero no se castiga el simple acceso a los mismos.

Este artículo cumple perfectamente el tipo de actividades que han venido sucediendo con relativa frecuencia en los últimos tiempos, como son los casos del acceso a la página web de Moncloa y posterior alteración de la fotografía del presidente del gobierno (alterar) o la inutilización forzada por accesos masivos pactados a determinados portales y webs norteamericanos hace algunas semanas (Yahoo, E-bay....). Sin embargo, como el acceso y visualización no dañan, no quedarían comprendidos dentro de este tipo penal.

Los "hackers" pueden, sin embargo, encontrar su caballo de Troya en la legislación española en el artículo 270, párrafo tercero, que dice textualmente: "Será castigada también con la misma pena (prisión de 6 meses a dos años o multa de 6 a 24 meses), la fabricación, puesta en circulación y tenencia de cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador".

Sin embargo, el encaje específico que andamos buscando lo encontramos en el artículo 278 del código penal, que dice textualmente:"

1.- El que para descubrir un secreto de empresa se apoderase por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.
2.- Se impondrá la pena de prisión de tres a cinco años y multa de doce a veinticuatro meses si se difundieren, revelaren o cedieren a terceros los secretos descubiertos."

Dentro del título X del código penal y considerándolo como un delito contra la intimidad, el artículo 197.1 dice textualmente:

"El que para descubrir sus secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de comercio electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen o de cualquier otra señal de comunicación, será castigado con penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses."

Los accesos no autorizados también se regulan desde el ámbito de la competencia, concretamente en el artículo 13 de la Ley de Competencia desleal, que dice textualmente:

"Se considera desleal la divulgación o explotación, sin autorización de su titular, de secretos industriales o de cualquier otra especie de secretos empresariales a los que haya tenido acceso legítimamente pero con deber de reserva o ilegítimamente a través de espionaje o procedimiento análogo".

2.- Acceso autorizado a la información:

Utilización, cesión o difusión no autorizada.

a.- Protección penal:

Artículo 279 del Código penal:

"La difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien tuviere legalmente obligación de guardar reserva, se castigará con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses. Si el secreto se utilizara en provecho propio, las penas se impondrán en su mitad inferior."

Artículo 280 del Código penal:

"El que con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare alguna de las conductas descritas en los artículos 279 y 280, será castigado con la pena de prisión de uno a tres años y multa de doce a veinticuatro meses."

b.- Protección desde el punto de vista de la Ley de competencia desleal:

Artículo 13 de la Ley de Competencia desleal:

Como ya se vio antes, el artículo 13 de la Ley de Competencia desleal, contempla tanto el acceso legítimo como el acceso ilegítimo a la información.

c.- Protección societaria:

Artículo 127.2 del Texto refundido de la Ley de Sociedades anónimas:

"Los administradores deberán guardar secreto sobre las informaciones de carácter confidencial aún después de cesar en sus funciones."

d.- Protección desde el punto de vista de la Propiedad Intelectual:

Para la correcta protección de algo, conviene plantearse en primer lugar cuál es la naturaleza de aquello que se pretende proteger. Hay en este sentido mucha gente que no tiene claro que es una base de datos desde el punto de vista legal. Pues bien, una base de datos es una creación intelectual del artículo 12 del texto refundido de propiedad intelectual, que dice textualmente:

"1.-También son objeto de propiedad en los términos del libro 1 de la presente ley, las colecciones de obras ajenas, de datos o de otros elementos independientes, como las antologías y las bases de datos, que por la selección o disposición de sus contenidos constituyan creaciones intelectuales, sin perjuicio sobre los derechos que pudieran subsistir sobre sus contenidos.

2.- Se consideran bases de datos las colecciones de obras, datos o de otros elementos independientes, dispuestos de manera sistemática o metódica y accesible individualmente por medios electrónicos o de otra forma.

3.- La protección reconocida a las bases de datos no se aplicará a los programas de ordenador utilizados en la fabricación o funcionamiento de bases de datos accesibles por medios electrónicos."

Una lectura detallada de este artículo permite observar que la protección que se da a las bases de datos desde el punto de vista de la propiedad intelectual no es sobre el contenido de las mismas, los datos, sino sobre la forma de seleccionar y disponer éstos. Si se hace una reflexión sobre qué es lo que más cuesta en la creación de una base de datos, concluiremos rápidamente que no es establecer una forma de selección o disposición de los datos, es decir, un criterio de almacenamiento y acotación de los datos, sino el coste económico o en horas de trabajo necesario para la