Archivos de la etiqueta: Internet

16Ene/24

Resolución del Parlamento Europeo, de 20 de octubre de 2020

Parlamento Europeo, Resolución, , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un régimen de responsabilidad civil en materia de inteligencia artificial (2020/2014(INL))

(2021/C 404/05)

El Parlamento Europeo,

— Visto el artículo 225 del Tratado de Funcionamiento de la Unión Europea,

— Vistos los artículos 114 y 169 del Tratado de Funcionamiento de la Unión Europea,

— Vista la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos (1),

— Vista la Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior («Directiva sobre las prácticas comerciales desleales») (2) y la Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores (3), así como otras normas de protección del consumidor,

— Visto el Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios (4),

— Visto el Reglamento (UE) 2018/1488 del Consejo, de 28 de septiembre de 2018, por el que se crea la Empresa Común de Informática de Alto Rendimiento Europea (5),

— Vista la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales (6),

— Vistos el Acuerdo interinstitucional, de 13 de abril de 2016, sobre la mejora de la legislación y las directrices para la mejora de la legislación (7),

— Vista la propuesta de Reglamento del Parlamento Europeo y del Consejo, de 6 de junio de 2018, por el que se establece el programa Europa Digital para el período 2021-2027 (COM(2018)0434),

— Vista la Comunicación de la Comisión, de 25 de abril de 2018, titulada «Inteligencia artificial para Europa» (COM(2018)0237),

— Vista la Comunicación de la Comisión, de 7 de diciembre de 2018, titulada «Plan coordinado sobre la inteligencia artificial» (COM(2018)0795),

— Vista la Comunicación de la Comisión, de 8 de abril de 2019, titulada «Generar confianza en la inteligencia artificial centrada en el ser humano» (COM(2019)0168),

— Visto el Informe de la Comisión al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo, de 19 de febrero de 2020, sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica (COM(2020)0064),

— Visto el Libro Blanco de la Comisión, de 19 de febrero de 2020, sobre la inteligencia artificial

— un enfoque europeo orientado a la excelencia y la confianza (COM(2020)0065),

— Vista su Resolución, de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica (8),

— Vista su Resolución, de 1 de junio de 2017, sobre la digitalización de la industria europea (9),

— Vista su Resolución, de 12 de septiembre de 2018, sobre los sistemas armamentísticos autónomos (10),

— Vista su Resolución, de 12 de febrero de 2019, sobre una política industrial global europea en materia de inteligencia artificial y robótica (11),

— Vista su Resolución, de 12 de febrero de 2020, sobre los procesos automatizados de toma de decisiones: garantizar la protección de los consumidores y la libre circulación de bienes y servicios (12),

— Visto el informe, de 8 de abril de 2019, del Grupo de expertos de alto nivel sobre inteligencia artificial titulado «Directrices éticas para una IA fiable»,

— Visto el informe, de 8 de abril de 2019, del Grupo de expertos de alto nivel sobre inteligencia artificial titulado «Una definición de la inteligencia artificial: principales capacidades y disciplinas científicas»,

— Visto el informe, de 26 de junio de 2019, del Grupo de expertos de alto nivel sobre inteligencia artificial titulado «Recomendaciones estratégicas y de inversión para una IA fiable»,

— Visto el informe, de 21 de noviembre de 2019, del Grupo de expertos sobre responsabilidad y nuevas tecnologías

 —Formación sobre nuevas tecnologías, titulado «Liability for artificial intelligence and other emerging digital technologies» (Responsabilidad civil sobre inteligencia artificial y otras tecnologías digitales emergentes),

— Visto el estudio de evaluación del valor añadido europeo realizado por el Servicio de Estudios Parlamentarios (EPRS) titulado «Civil liability regime for artificial intelligence: European added value assessment» (Régimen de responsabilidad civil en materia de inteligencia artificial: valor añadido europeo) (13),

— Vista el documento informativo de STOA del Servicio de Estudios del Parlamento Europeo, de junio de 2016, sobre reflexiones éticas y jurídicas en materia de robótica (14),

— Visto el estudio de la Dirección General de Políticas Interiores del Parlamento Europeo, de octubre de 2016, para la Comisión de Asuntos Jurídicos, sobre normas de Derecho civil europeo en materia de robótica (15),

— Vistos los artículos 47 y 54 de su Reglamento interno,

— Vistas las opiniones de la Comisión de Mercado Interior y Protección del Consumidor y de la Comisión de Transportes y Turismo,

— Visto el informe de la Comisión de Asuntos Jurídicos (A9-0178/2020),

A. Considerando que el concepto de «responsabilidad civil» desempeña un importante doble papel en nuestra vida cotidiana: por una parte, garantiza que una persona que haya sufrido un daño o perjuicio tenga derecho a reclamar y recibir una indemnización a quien se haya demostrado que es responsable de dicho daño o perjuicio y, por otra parte, proporciona incentivos económicos para que las personas físicas o jurídicas eviten en primer lugar causar daños o perjuicios o consideren en su comportamiento el riesgo de tener que pagar una indemnización;

B. Considerando que cualquier marco jurídico en materia de responsabilidad civil orientado al futuro debe infundir confianza en la seguridad, fiabilidad y coherencia de los productos y servicios, incluidas las tecnologías digitales, a fin de lograr un equilibrio entre la protección eficaz y equitativa de las potenciales víctimas de daños o perjuicios y, al mismo tiempo, ofrecer un margen de maniobra suficiente para posibilitar a las empresas, y en particular a las pequeñas y medianas empresas, el desarrollo de nuevas tecnologías, productos o servicios; que esto ayudará a generar confianza ya crear estabilidad para la inversión; que, en última instancia, el objetivo de cualquier marco de responsabilidad civil debe ser ofrecer seguridad jurídica a todas las partes, ya sea el productor, el operador, la persona afectada o cualquier otro tercero;

C. Considerando que el ordenamiento jurídico de un Estado miembro puede modular sus normas sobre responsabilidad civil para determinados agentes o hacerlas más estrictas para determinadas actividades; que la responsabilidad objetiva significa que una parte puede ser considerada responsable pese a la ausencia de culpa; que, en muchas legislaciones nacionales en materia de responsabilidad civil, la parte demandada es considerada objetivamente responsable si un riesgo que dicha parte haya creado para el público, por ejemplo, mediante automóviles o actividades peligrosas, o un riesgo que no pueda controlar, como el originado por animales, resulta en un daño o perjuicio;

D. Considerando que cualquier legislación futura de la Unión que tenga por objeto la atribución expresa de responsabilidad en lo que se refiere a sistemas de inteligencia artificial (IA) debe ir precedida de un análisis y una consulta con los Estados miembros sobre el cumplimiento de condiciones económicas, jurídicas y sociales por parte del acto legislativo propuesto;

E. Considerando que la cuestión de un régimen de responsabilidad civil en materia de IA debe someterse a un amplio debate público que tenga en cuenta todos los intereses en juego, en particular los aspectos éticos, jurídicos, económicos y sociales, a fin de evitar las confusiones y los temores injustificados que esa tecnología pueda causar entre los ciudadanos; que el estudio cuidadoso de las consecuencias de cualquier nuevo marco normativo para todos los agentes en una evaluación de impacto debe ser un requisito previo para adoptar nuevas medidas legislativas;

F. Considerando que el concepto de sistemas de IA comprende un amplio grupo de tecnologías distintas, incluidos la simple estadística, el aprendizaje automático y el aprendizaje profundo;

G. Considerando que la utilización del término «toma de decisiones automatizada» podría evitar la posible ambigüedad del término IA; que la «toma de decisiones automatizada» implica que un usuario delegue inicialmente una decisión, en su totalidad o en parte, en una entidad mediante la utilización de un programa informático o de un servicio; que dicha entidad, a su vez, utiliza modelos de toma de decisiones ejecutados automáticamente para llevar a cabo una acción en nombre de un usuario o para informar las decisiones del usuario a la hora de realizar una acción;

H. Considerando que ciertos sistemas de IA presentan importantes retos jurídicos para el actual marco de responsabilidad civil y podrían dar lugar a situaciones en las que su opacidad podría hacer extremadamente costoso, o incluso imposible, determinar quién controlaba el riesgo asociado al sistema de IA o qué código, entrada o datos han provocado en última instancia el funcionamiento lesivo; que este factor podría dificultar la identificación de la relación entre el daño o perjuicio y el comportamiento que lo causa, con el resultado de que las víctimas podrían no recibir una indemnización adecuada;

I. Considerando que los retos jurídicos se derivan también de la conectividad entre un sistema de IA y otros sistemas ya sean o no de IA, su dependencia de los datos externos, su vulnerabilidad frente a las violaciones de la ciberseguridad y el diseño de sistemas de IA cada vez más autónomos que usan, entre otras, técnicas de aprendizaje automático y de aprendizaje profundo;

J. Considerando que unas normas éticas firmes para los sistemas de IA combinadas con procedimientos de indemnización sólidos y justos pueden ayudar a abordar estos retos jurídicos y eliminar el riesgo de que los usuarios se muestren reticentes a aceptar la tecnología emergente; que un procedimiento de indemnización justo supone que cada persona que sufra un daño causado por sistemas de IA o que sufra un menoscabo al patrimonio causado por sistemas de IA debe tener el mismo nivel de protección que en aquellos casos en que no haya implicación de un sistema de IA; que el usuario necesita estar seguro de que el posible perjuicio causado por sistemas que utilicen IA está cubierto por un seguro adecuado y de que existe una vía jurídica definida para el resarcimiento;

K. Considerando que la seguridad jurídica es también una condición esencial para el desarrollo dinámico y la innovación de la tecnología basada en la IA, en particular para las empresas emergentes, las microempresas y las pequeñas y medianas empresas, así como para su aplicación práctica en la vida cotidiana; que el papel fundamental de las empresas emergentes, las microempresas y las pequeñas y medianas empresas, en especial en la economía europea, justifica un enfoque estrictamente proporcionado que les permita desarrollarse e innovar;

L. Considerando que la diversidad de los sistemas de IA y la amplia gama de riesgos que la tecnología plantea dificultan los esfuerzos para hallar una solución única adecuada para todo el espectro de riesgos; que, a este respecto, debe adoptarse un enfoque en el que se utilicen experimentos, proyectos piloto y espacios limitados regulatorios para elaborar soluciones proporcionadas y con base empírica que aborden situaciones y sectores específicos cuando sea necesario;

Introducción

1. Considera que el reto relacionado con la introducción de sistemas de IA en la sociedad, el lugar de trabajo y la economía es una de las cuestiones más importantes de la agenda política actual; que las tecnologías basadas en la IA podrían y deberían procurar mejorar nuestras vidas en casi todos los sectores, desde la esfera personal (por ejemplo, sector de los transportes, educación personalizada, asistencia a personas vulnerables, programas de preparación física y concesión de créditos) al entorno de trabajo (por ejemplo, reducción de tareas tediosas y repetitivas) y a los retos mundiales (por ejemplo, la emergencia climática, la asistencia sanitaria, la nutrición y la logística);

2. Cree firmemente que, para aprovechar eficazmente las ventajas e impedir posibles malos usos de los sistemas de IA, así como para evitar la fragmentación normativa en la Unión, es fundamental una legislación uniforme, basada en principios y preparada para el futuro en toda la Unión para todos los sistemas de IA; opina que, si bien son preferibles reglamentaciones sectoriales específicas para la amplia gama de posibles aplicaciones, parece necesario contar con un marco jurídico horizontal y armonizado basado en principios comunes con el fin de garantizar la seguridad jurídica, establecer una igualdad de normas en toda la Unión y proteger eficazmente nuestros valores europeos y los derechos de los ciudadanos;

3. Afirma que el mercado único digital necesita una armonización plena puesto que el ámbito digital se caracteriza por una rápida dinámica transfronteriza y flujos de datos internacionales; considera que la Unión solo alcanzará los objetivos de mantener su soberanía digital y de impulsar la innovación digital en Europa con normas coherentes y comunes en consonancia con una cultura de innovación;

4. Observa que la carrera mundial de la IA ya está en marcha y que la Unión debe asumir el liderazgo en ella explotando su potencial científico y tecnológico; hace especial hincapié en que el desarrollo de tecnología no debe socavar la protección de los usuarios contra el perjuicio que puedan causar dispositivos y sistemas que utilicen IA; alienta la promoción de las normas de la Unión en materia de responsabilidad civil a escala internacional;

5. Cree firmemente que las nuevas normas comunes para los sistemas de IA solo deben adoptar la forma de un reglamento; considera que la cuestión de la responsabilidad civil en caso de daño o perjuicio causado por un sistema de IA es uno de los aspectos clave que deben abordarse en este contexto;

Responsabilidad civil e inteligencia artificial

6. Cree que no es necesaria una revisión completa de los regímenes de responsabilidad civil que funcionan bien, pero que, no obstante, la complejidad, la conectividad, la opacidad, la vulnerabilidad, la capacidad de ser modificados mediante actualizaciones, la capacidad de autoaprendizaje y la autonomía potencial de los sistemas de IA, así como la multitud de agentes involucrados representan un reto importante para la eficacia de las disposiciones del marco de responsabilidad civil de la Unión y nacional; considera que es necesario realizar adaptaciones específicas y coordinadas de los regímenes de responsabilidad civil para evitar situaciones en las que personas que sufran un daño o un menoscabo a su patrimonio acaben sin indemnización;

7. Observa que todas las actividades, dispositivos o procesos físicos o virtuales gobernados por sistemas de IA pueden ser técnicamente la causa directa o indirecta de un daño o un perjuicio, pero casi siempre son el resultado de que alguien ha construido o desplegado los sistemas o interferido en ellos; observa, a este respecto, que no es necesario atribuir personalidad jurídica a los sistemas de IA; opina que la opacidad, la conectividad y la autonomía de los sistemas de IA podrían dificultar o incluso imposibilitar en la práctica la trazabilidad de acciones perjudiciales específicas de los sistemas de IA hasta una intervención humana específica o decisiones de diseño; recuerda que, de conformidad con conceptos de responsabilidad civil ampliamente aceptados, se puede eludir, no obstante, este obstáculo haciendo responsables a las diferentes personas de toda la cadena de valor que crean, mantienen o controlan el riesgo asociado al sistema de IA;

8. Considera que la Directiva sobre responsabilidad por los daños causados por productos defectuosos ha demostrado ser, durante más de treinta años, un medio eficaz para obtener una indemnización por un daño causado por un producto defectuoso, pero que, no obstante, debe revisarse para adaptarla al mundo digital y abordar los retos que plantean las tecnologías digitales emergentes, para así garantizar un elevado nivel de protección efectiva de los consumidores y de seguridad jurídica para los consumidores y las empresas, a la vez que se evitan elevados costes y riesgos para las pymes y las empresas emergentes; insta a la Comisión a que evalúe si la Directiva sobre responsabilidad por los daños causados por productos defectuosos debe transformarse en un reglamento, a que aclare la definición de «productos», determinando para ello si el contenido digital y los servicios digitales entran dentro de su ámbito de aplicación, y a que considere la posibilidad de adaptar conceptos como «daño», «defecto» y «productor»; opina que, en aras de la seguridad jurídica en toda la Unión, tras la revisión de la Directiva, el concepto de «productor» debe incluir a fabricantes, desarrolladores, programadores, prestadores de servicios y operadores finales; pide a la Comisión que considere la posibilidad de revertir las normas que rigen la carga de la prueba para los daños ocasionados por las tecnologías digitales emergentes en casos claramente definidos y tras una adecuada evaluación; señala la importancia de garantizar que el acto de la Unión actualizado se limite a problemas claramente identificados para los que ya existen soluciones viables y, al mismo tiempo, permita la inclusión de futuros avances tecnológicos, incluidos los avances basados en programas informáticos libres y de código abierto; señala que la Directiva sobre responsabilidad por los daños causados por productos defectuosos debe seguir utilizándose en relación con las reclamaciones por responsabilidad civil contra el productor de un sistema de IA defectuoso, cuando el sistema de IA cumpla los requisitos para ser considerado un producto con arreglo a dicha Directiva; subraya que cualquier actualización del marco de responsabilidad por los productos debe ir de la mano de la actualización de la Directiva 2001/95/CE del Parlamento Europeo y del Consejo, de 3 de diciembre de 2001, relativa a la seguridad general de los productos (16), a fin de garantizar que los sistemas de IA incorporen los principios de seguridad y protección desde el diseño;

9. Considera que la legislación vigente de los Estados miembros en materia de responsabilidad subjetiva ofrece, en la mayoría de los casos, un nivel de protección suficiente a las personas que sufren perjuicios causados por un tercero interferidor como un pirata informático o a las personas que sufren menoscabo al patrimonio por ese tercero, ya que esta interferencia por regla general constituye una acción de responsabilidad civil subjetiva; observa que solo en casos específicos, incluidos aquellos en los que el tercero no sea rastreable o sea insolvente, parece necesario añadir normas en materia de responsabilidad civil para complementar la legislación nacional en materia de responsabilidad civil existente;

10. Considera, por consiguiente, que el presente informe debe centrarse en las reclamaciones por responsabilidad civil contra el operador de un sistema de IA; afirma que la responsabilidad civil del operador se justifica por el hecho de que controla un riesgo asociado al sistema de IA, comparable al del propietario de un automóvil; considera que, debido a la complejidad y conectividad de un sistema de IA, el operador será, en muchos casos, el primer punto de contacto visible para la persona afectada;

Responsabilidad civil del operador

11. Opina que las normas en materia de responsabilidad civil que afecten al operador deben cubrir todas las operaciones de los sistemas de IA, independientemente de dónde se lleve a cabo la operación y de que esta sea física o virtual; observa que las operaciones en espacios públicos que exponen a muchas personas a un riesgo constituyen, sin embargo, casos que requieren una consideración más profunda; considera que a menudo las víctimas potenciales de daños o perjuicios no son conscientes de la operación y no suelen disponer de derechos a reclamar por responsabilidad contractual contra el operador; señala que, si se produce un daño o perjuicio, esas personas solo tendrían una pretensión por responsabilidad subjetiva y podrían tener dificultades para demostrar la culpa del operador del sistema de IA, por lo que podrían fracasar las correspondientes demandas por responsabilidad civil;

12. Considera adecuado que por «operador» se entienda tanto al operador final como al operador inicial, siempre que a este último no se le aplique la Directiva sobre responsabilidad por los daños causados por productos defectuosos; señala que por «operador final» debe entenderse la persona física o jurídica que ejerce un grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA y se beneficia de su funcionamiento; afirma que por «operador inicial» debe entenderse la persona física o jurídica que define, de forma continuada, las características de la tecnología, proporciona datos y un servicio de apoyo final de base esencial y, por tanto, ejerce también un grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA; considera que por «ejercicio del control» se entiende cualquier acción del operador que influya en el funcionamiento del sistema de IA y, por consiguiente, en la medida en que expone a terceros a sus potenciales riesgos; considera que esas acciones podrían afectar al funcionamiento de un sistema de IA desde el inicio al fin, al determinar la entrada, la salida o los resultados, o podrían cambiar las funciones o procesos específicos dentro del sistema de IA;

13. Señala que podrían darse situaciones en las que haya más de un operador, por ejemplo, un operador final y un operador inicial; considera que, en ese caso, todos los operadores deben ser responsables civiles solidarios, aunque teniendo al mismo tiempo derecho a reclamar en la vía de regreso unos de otros de forma proporcional; opina que los porcentajes de responsabilidad deben venir determinados por los respectivos niveles de control que tengan los operadores sobre el riesgo relacionado con la operación y el funcionamiento del sistema de IA; considera que debe mejorarse la trazabilidad de los productos con el fin de identificar mejor a los que intervienen en las distintas fases;

Normas en materia de responsabilidad civil diferentes para riesgos diferentes

14. Reconoce que el tipo de sistema de IA sobre el que el operador ejerce control es un factor determinante en lo que respecta a la responsabilidad; observa que un sistema de IA que conlleve un alto riesgo inherente y actúe de manera autónoma potencialmente pone en peligro en mucha mayor medida al público en general; considera que, habida cuenta de los retos jurídicos que plantean los sistemas de IA para los regímenes de responsabilidad civil existentes, parece razonable establecer un régimen común de responsabilidad objetiva para los sistemas de IA autónomos de alto riesgo; subraya que este enfoque basado en el riesgo, que puede incluir varios niveles de riesgo, debe basarse en criterios claros y una definición adecuada de «alto riesgo», así como ofrecer seguridad jurídica;

15. Cree que un sistema de IA presenta un alto riesgo cuando su funcionamiento autónomo conlleva un potencial significativo de causar daño a una o más personas, de forma aleatoria y yendo más allá de lo que cabe esperar razonablemente; considera que, a la hora de determinar si un sistema de IA es de alto riesgo, también debe tenerse en cuenta el sector en el que cabe esperar que surjan riesgos importantes y la naturaleza de las actividades realizadas; considera que la magnitud del potencial depende de la relación entre la gravedad del posible daño, la probabilidad de que el riesgo cause un daño o un perjuicio y el modo en que se utiliza el sistema de IA;

16. Recomienda que todos los sistemas de IA de alto riesgo se enumeren de forma exhaustiva en un anexo del Reglamento propuesto; reconoce que, dado el rápido desarrollo tecnológico y los conocimientos técnicos necesarios, la Comisión debe revisar dicho anexo sin demoras injustificadas y, a más tardar, cada seis meses y, en caso necesario, modificarlo mediante un acto delegado; cree que la Comisión debe cooperar estrechamente con un comité permanente de nueva creación, similar al Comité Permanente sobre Precursores o al Comité Técnico sobre Vehículos de Motor ya existentes, que incluyen a expertos nacionales de los Estados miembros y a las partes interesadas; considera que la composición equilibrada del Grupo de expertos de alto nivel sobre la inteligencia artificial podría servir de ejemplo para la formación del grupo de partes interesadas, con la suma de expertos en ética, antropólogos, sociólogos y especialistas en salud mental; opina también que el Parlamento Europeo debe nombrar expertos consultivos para asesorar al comité permanente de nueva creación;

17. Señala que el desarrollo de tecnologías basadas en la IA es muy dinámico y está en continua aceleración; subraya que, a fin de garantizar una protección adecuada a los usuarios, se necesita un enfoque acelerado para analizar los potenciales riesgos de nuevos dispositivos y sistemas que utilicen los sistemas de IA que surjan en el mercado europeo; recomienda una simplificación en la mayor medida posible de todos los procedimientos en este sentido; propone, además, que la evaluación por parte de la Comisión de si un sistema de IA presenta un alto riesgo debe comenzar al mismo tiempo que la evaluación de la seguridad de los productos a fin de evitar una situación en la que un sistema de IA de alto riesgo ya esté aprobado para su comercialización pero aún no esté clasificado como de alto riesgo y, por tanto, funcione sin cobertura de seguro obligatoria;

18. Señala que la Comisión debe evaluar de qué manera la autoridad investigadora podría acceder a los datos recogidos, registrados o almacenados en sistemas de IA de alto riesgo y hacer uso de ellos a efectos de recabar pruebas en caso de daño o perjuicio causado por dicho sistema, y cómo podría mejorarse la trazabilidad y auditabilidad de dichos datos, teniendo en cuenta al mismo tiempo los derechos fundamentales y el derecho a la intimidad;

19. Afirma que, en consonancia con los sistemas de responsabilidad objetiva de los Estados miembros, la propuesta de Reglamento debe ser de aplicación a las violaciones de derechos importantes, jurídicamente protegidos, a la vida, la salud, la integridad física y la propiedad, y establecer los importes y el alcance de la indemnización, así como el plazo de prescripción; opina que el Reglamento propuesto debe incluir también los daños inmateriales significativos que den lugar a una pérdida económica comprobable por encima de un umbral, armonizado en el Derecho de la Unión en materia de responsabilidad civil, que equilibre el acceso a la justicia de las personas afectadas y los intereses de otras personas interesadas; insta a la Comisión a que revalúe y ajuste en el Derecho de la Unión los umbrales relativos a los daños y perjuicios; considera que la Comisión debe analizar en profundidad las tradiciones jurídicas de todos los Estados miembros y sus legislaciones nacionales vigentes que conceden una indemnización por daños inmateriales, a fin de evaluar si la inclusión de los daños inmateriales en actos legislativos específicos sobre IA es necesaria y si contradice el marco jurídico vigente de la Unión o socava el Derecho nacional de los Estados miembros;

20. Precisa que todas las actividades, dispositivos o procesos gobernados por sistemas de IA que ocasionen un daño o perjuicio pero no estén incluidos en el anexo del Reglamento propuesto deben seguir estando sujetos a la responsabilidad subjetiva; cree, no obstante, que la persona afectada debe poder acogerse a una presunción de culpa del operador, quien debe poder quedar eximido de culpa demostrando que ha observado el deber de diligencia;

21. Considera que un sistema de IA que aún no haya sido evaluado por la Comisión y el comité permanente de nueva creación y que, por lo tanto, todavía no esté clasificado como de alto riesgo ni incluido en la lista que figura en el anexo del Reglamento propuesto, debe, no obstante, quedar sujeto, como excepción al sistema previsto en el apartado 20, a una responsabilidad objetiva si ha causado incidentes reiterados que den lugar a un daño o un perjuicio grave; señala que, de ser ese el caso, la Comisión también debe evaluar, sin demora indebida, la necesidad de revisar dicho anexo para añadir el sistema de IA en cuestión a la lista; opina que, si, a raíz de dicha evaluación, la Comisión decide incluir dicho sistema de IA en la lista, dicha inclusión debe tener efecto retroactivo a partir del momento del primer incidente probado causado por dicho sistema que haya ocasionado un daño o un perjuicio grave;

22. Pide a la Comisión que evalúe la necesidad de disposiciones jurídicas a escala de la Unión en materia de contratos para evitar la inclusión de cláusulas contractuales de exención de la responsabilidad, también en las relaciones entre empresas y entre empresas y la administración;

Seguros y sistemas de IA

23. Considera que la cobertura de la responsabilidad civil es uno de los factores clave que define el éxito de las nuevas tecnologías, productos y servicios; observa que una cobertura de la responsabilidad civil adecuada es también esencial para garantizar que el público pueda confiar en la nueva tecnología, a pesar de las posibilidades de sufrir un daño o de hacer frente a demandas judiciales por parte de las personas afectadas; observa, al mismo tiempo, que este sistema regulador se centra en la necesidad de explotar y potenciar las ventajas de los sistemas de IA, a la vez que se establecen sólidas salvaguardias;

24. Opina que, sobre la base del potencial significativo para causar un daño o un perjuicio y teniendo en cuenta la Directiva 2009/103/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, relativa al seguro de la responsabilidad civil que resulta de la circulación de vehículos automóviles, así como al control de la obligación de asegurar esta responsabilidad (17), todos los operadores de sistemas de IA de alto riesgo enumerados en el anexo del Reglamento propuesto deben ser titulares de un seguro de responsabilidad civil; considera que ese régimen de seguro obligatorio para los sistemas de IA de alto riesgo debe cubrir los importes y el alcance de la indemnización establecidos por el Reglamento propuesto; es consciente de que actualmente dicha tecnología es todavía muy inusual, ya que presupone un alto grado de toma de decisiones autónoma, y de que, por consiguiente, los debates actuales están orientados sobre todo al futuro; cree, no obstante, que la incertidumbre relacionada con los riesgos no debe hacer que las primas de seguro sean prohibitivamente elevadas y convertirse así en un obstáculo para la investigación y la innovación;

25. Cree que un mecanismo de indemnización a escala de la Unión, financiado con fondos públicos, no es la manera adecuada de colmar posibles lagunas en materia de seguros; considera que la falta de datos sobre los riesgos asociados a los sistemas de IA, unida a la incertidumbre sobre su evolución en el futuro, dificulta al sector de los seguros elaborar productos de seguro nuevos o adaptados; considera que es probable que dejar el desarrollo de un seguro obligatorio plenamente al mercado resulte en un enfoque de «talla única» con primas desproporcionadamente elevadas y los incentivos equivocados, alentando a los operadores a optar por el seguro más barato en lugar de por la mejor cobertura, lo que podría convertirse en un obstáculo para la investigación y la innovación; considera que la Comisión debe colaborar estrechamente con el sector de los seguros para estudiar la forma de poder utilizar datos y modelos innovadores para crear pólizas de seguro que ofrezcan una cobertura adecuada a un precio asequible;

Aspectos finales

26. Pide a la Comisión que le someta, sobre la base del artículo 225 del Tratado de Funcionamiento de la Unión Europea, una propuesta de Reglamento sobre la responsabilidad civil por el funcionamiento de los sistemas de inteligencia artificial, siguiendo las recomendaciones que se recogen en el anexo;

27. Considera que la propuesta solicitada carece de repercusiones financieras;

28. Encarga a su presidente que transmita la presente Resolución y las recomendaciones que se recogen en el anexo a la Comisión y al Consejo.

ANEXO A LA RESOLUCIÓN:

RECOMENDACIONES DETALLADAS PARA LA ELABORACIÓN DE UN REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO RELATIVO A LA RESPONSABILIDAD CIVIL POR EL FUNCIONAMIENTO DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL

A. PRINCIPIOS Y OBJETIVOS DE LA PROPUESTA SOLICITADA

El presente informe aborda un aspecto importante de la digitalización que viene configurado por las actividades transfronterizas, la competencia mundial y consideraciones sociales básicas. Los siguientes principios deben servir de orientación:

1. Un mercado único digital genuino requiere una armonización completa mediante un reglamento.

2. Los nuevos retos jurídicos que plantea el desarrollo de sistemas de inteligencia artificial (IA) deben abordarse estableciendo la máxima seguridad jurídica a lo largo de la cadena de responsabilidad, en particular para el productor, el operador, la persona afectada y cualquier otro tercero.

3. No debe haber una sobrerregulación y debe evitarse la carga burocrática, ya que, de lo contrario, se obstaculizaría la innovación europea en materia de IA, especialmente en caso de que la tecnología, los productos o los servicios sean desarrollados por pymes o empresas emergentes.

4. Las normas de responsabilidad civil para la IA deben tratar de lograr un equilibrio entre la protección del público, por una parte, y los incentivos empresariales para invertir en innovación, especialmente en sistemas de IA, por otra.

5. En lugar de sustituir los regímenes de responsabilidad civil existentes, que funcionan correctamente, deben realizar algunos ajustes necesarios mediante la introducción de ideas nuevas y orientadas al futuro.

6. La futura propuesta de Reglamento y la Directiva sobre responsabilidad por los daños causados por productos defectuosos constituyen los dos pilares de un marco común de responsabilidad civil para los sistemas de IA y requieren una estrecha coordinación y concertación entre todos los agentes políticos, a nivel nacional y de la Unión.

7. Los ciudadanos deben tener derecho al mismo nivel de protección y de derechos, independientemente de si el daño es causado por un sistema de IA o no, o de si tiene lugar física o virtualmente, de tal forma que aumente su confianza en la nueva tecnología.

8. En la futura propuesta de Reglamento deben tenerse en cuenta tanto el daño material como el daño inmaterial. Sobre la base, entre otros documentos, de su Informe de 19 de febrero de 2020 sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica, se pide a la Comisión Europea que analice en profundidad las tradiciones jurídicas de todos los Estados miembros, así como las disposiciones legislativas vigentes que conceden una indemnización por daños inmateriales, a fin de evaluar si la inclusión de los daños inmateriales en la futura propuesta de Reglamento es jurídicamente sólida y necesaria desde el punto de vista de la persona afectada. De acuerdo con la información actualmente disponible, el Parlamento considera que debe incluirse el daño inmaterial significativo si la persona afectada sufre una pérdida económica apreciable, es decir, una pérdida económica comprobable.

B. TEXTO DE LA PROPUESTA SOLICITADA

Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la responsabilidad civil por el funcionamiento de los sistemas de inteligencia artificial

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, en particular, su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1) El concepto de «responsabilidad civil» desempeña un importante doble papel en nuestra vida cotidiana: por una parte, garantiza que una persona que haya sufrido un daño o perjuicio tenga derecho a reclamar una indemnización a quien se haya considerado responsable de dicho daño o perjuicio y, por otra parte, proporciona incentivos económicos para que las personas eviten en primer lugar causar daños o perjuicios. Cualquier marco en materia de responsabilidad civil debe aspirar a infundir confianza en la seguridad, fiabilidad y coherencia de los productos y servicios, incluidas las tecnologías digitales emergentes, como la inteligencia artificial (IA), el internet de las cosas o la robótica, a fin de lograr un equilibrio entre la protección eficaz de las potenciales víctimas de un daño o un perjuicio y, al mismo tiempo, ofrecer un margen de maniobra suficiente para posibilitar el desarrollo de nuevas tecnologías, productos o servicios.

(2) En particular al principio del ciclo de vida de los nuevos productos y servicios, tras haber sido probados previamente, existe cierto nivel de riesgo para el usuario, así como para terceras personas, de que algo no funcione correctamente. Este proceso de prueba y error también es, al mismo tiempo, un factor clave para el progreso técnico, sin el cual la mayor parte de nuestras tecnologías no existirían. Hasta ahora, los riesgos asociados a nuevos productos y servicios se han visto atenuados adecuadamente por la sólida legislación en materia de seguridad de los productos y las normas sobre responsabilidad civil.

(3) El auge de la IA plantea, sin embargo, un reto importante para los actuales marcos de responsabilidad civil. La utilización de sistemas de IA en nuestra vida cotidiana lleva a situaciones en las que su opacidad (el elemento «caja negra») y el gran número de agentes que intervienen en su ciclo de vida podrían hacer extremadamente costoso, o incluso imposible, determinar quién controlaba el riesgo asociado al uso del sistema de IA en cuestión o qué código o entrada ha provocado en última instancia el funcionamiento lesivo. Esta dificultad se ve agravada por la conectividad entre un sistema de IA y otros sistemas ya sean o no de IA, por su dependencia de los datos externos, por su vulnerabilidad frente a las violaciones de la ciberseguridad y por la creciente autonomía de los sistemas de IA debido a las capacidades de aprendizaje automático y de aprendizaje profundo. Además de estas características complejas y las posibles vulnerabilidades, los sistemas de IA también podrían utilizarse para causar daños graves, por ejemplo, poniendo en peligro la dignidad humana y los valores y libertades europeos mediante el seguimiento de las personas contra su voluntad, la introducción de sistemas de crédito social o la toma de decisiones sesgadas en materia de seguro de enfermedad, concesión de crédito, autos judiciales, contratación o empleo o mediante la construcción de sistemas armamentísticos autónomos letales.

(4) Es importante señalar que las ventajas del despliegue de sistemas de IA compensarán con creces sus desventajas. Ayudarán a combatir el cambio climático de manera más eficaz, a mejorar los exámenes médicos y las condiciones de trabajo, a integrar mejor a las personas con discapacidad y las personas mayores en la sociedad y a ofrecer cursos de educación a medida para todo tipo de estudiantes. Para aprovechar las distintas oportunidades tecnológicas e impulsar la confianza de los ciudadanos en el uso de los sistemas de IA, al mismo tiempo que se evitan situaciones perjudiciales, la mejor manera de avanzar son unas normas éticas firmes combinadas con procedimientos de indemnización justos y sólidos.

(5) También es necesario un régimen de responsabilidad civil adecuado para contrarrestar la infracción de las normas de seguridad. No obstante, el régimen de responsabilidad civil establecido en el presente Reglamento debe tener en cuenta todos los intereses en juego. El estudio cuidadoso de las consecuencias de cualquier nuevo marco normativo  para las pequeñas y medianas empresas (pymes) y las empresas emergentes es un requisito previo a la adopción de cualquier nueva medida legislativa. El papel fundamental que esas empresas desempeñan en la economía europea justifica un enfoque estrictamente proporcionado para permitirles desarrollarse e innovar. Por otra parte, las víctimas de daños o perjuicios causados por sistemas de IA deben tener derecho a resarcimiento y a la plena indemnización de los daños o perjuicios que hayan sufrido.

(6) Cualquier cambio necesario del marco jurídico vigente debe comenzar con la aclaración de que los sistemas de IA no tienen personalidad jurídica ni conciencia humana, y que su única función es servir a la humanidad. Muchos sistemas de IA tampoco son tan diferentes de otras tecnologías basadas, a veces, en programas informáticos aún más complejos. En última instancia, la gran mayoría de los sistemas de IA se utiliza para efectuar tareas triviales, sin riesgo o con riesgos mínimos para la sociedad. La utilización del término «toma de decisiones automatizada» podría evitar la posible ambigüedad del término IA. Ese término describe una situación en la que un usuario delega inicialmente una decisión, en su totalidad o en parte, en una entidad mediante un programa informático o un servicio. Esa entidad, a su vez, utiliza modelos de toma de decisiones ejecutados automáticamente para llevar a cabo una acción en nombre de un usuario o para informar la decisión del usuario a la hora de realizar una acción;

(7) Sin embargo, existen también sistemas de IA que se desarrollan y despliegan de manera crítica y se basan en tecnologías como redes neuronales y procesos de aprendizaje profundo. Su opacidad y autonomía podrían dificultar la trazabilidad de acciones específicas hasta decisiones humanas específicas en su diseño o en su funcionamiento. Un operador de un sistema de IA de este tipo podría, por ejemplo, argumentar que la actividad, el dispositivo o el proceso físico o virtual que causa el daño o perjuicio se encontraba fuera de su control debido a que fue causado por un funcionamiento autónomo de su sistema de IA. Además, el mero funcionamiento de un sistema de IA autónomo no debe constituir un motivo suficiente para admitir una demanda por responsabilidad civil. Por consiguiente, puede haber casos de responsabilidad civil en los que la atribución de la responsabilidad puede ser injusta o ineficiente, o en los que una persona que sufra un daño o perjuicio causado por un sistema de IA no pueda demostrar la culpa del productor, de un tercero interferidor o del operador y acabe sin indemnización alguna.

(8) No obstante, debe quedar siempre claro que la persona que cree el sistema de IA, lo mantenga, lo controle o interfiera en él debe ser responsable del daño o perjuicio que cause la actividad, el dispositivo o el proceso. Esto se desprende de conceptos de justicia en materia de responsabilidad civil ampliamente aceptados y de carácter general en virtud de los cuales la persona que crea o mantiene un riesgo para el público es responsable si dicho riesgo causa un daño o un perjuicio y, por lo tanto, debe minimizar ex ante o indemnizar ex post dicho riesgo. Por consiguiente, el auge de los sistemas de IA no implica la necesidad de revisar completamente las normas en materia de responsabilidad civil en toda la Unión. Unos ajustes concretos de la legislación vigente y la introducción de nuevas disposiciones bien ponderadas y orientadas serían suficientes para hacer frente a los retos que plantea la IA, a fin de evitar la fragmentación normativa y garantizar la armonización de la legislación en materia de responsabilidad civil en toda la Unión en relación con la IA.

(9) La Directiva 85/374/CEE del Consejo sobre responsabilidad por los daños causados por productos defectuosos (3) ha demostrado ser durante más de treinta años un medio eficaz para obtener una indemnización por los perjuicios causados por un producto defectuoso. Por lo tanto, también debe utilizarse en relación con las reclamaciones por responsabilidad civil presentadas contra el productor de un sistema de IA defectuoso por una parte que sufra un daño o perjuicio. En consonancia con los principios de mejora de la legislación de la Unión, todo ajuste legislativo necesario debe debatirse durante la revisión necesaria de dicha Directiva. La legislación vigente de los Estados miembros en materia de responsabilidad subjetiva también ofrece, en la mayoría de los casos, un nivel de protección suficiente a las personas que sufren un daño o un perjuicio causado por un tercero interferidor, ya que esta interferencia por regla general constituye una acción de responsabilidad subjetiva en la que el tercero utiliza el sistema de IA para causar daños. Por consiguiente, el presente Reglamento debe centrarse en las reclamaciones contra el operador de un sistema de IA.

(10) En el marco del presente Reglamento, la responsabilidad civil del operador se basa en el hecho de que ejerce un grado de control sobre un riesgo asociado al funcionamiento y la operación de un sistema de IA, comparable al del propietario de un vehículo. Cuanto mayor sea el grado de sofisticación y de autonomía de un sistema, mayor será el impacto de la definición y la alteración de los algoritmos, por ejemplo a través de actualizaciones constantes. Dado

que a menudo podría considerarse, de manera significativa, que hay más de una persona «operando» el sistema de IA, con arreglo al presente Reglamento el término «operador» debe entenderse que comprende tanto al operador final como al final. Aunque en general el operador final parece ser la persona que decide «principalmente» el uso del sistema de IA, el operador inicial podría, de hecho, tener un grado de control más elevado sobre los riesgos operativos. Si el operador inicial también tiene la condición de «productor» en el sentido del artículo 3 de la Directiva sobre responsabilidad por los daños causados por productos defectuosos, debe aplicársele dicha Directiva. Si solo hay un operador y dicho operador es también el productor del sistema de IA, el presente Reglamento debe prevalecer sobre la Directiva sobre responsabilidad por los daños causados por productos defectuosos.

(11) Si un usuario, es decir, la persona que utiliza el sistema de IA, está involucrado en el incidente que causa el daño, solo debe ser considerado responsable en virtud del presente Reglamento si el usuario también tiene la condición de operador. En caso contrario, el grado de contribución manifiestamente imprudente o dolosa del usuario al riesgo podría conducir a la responsabilidad subjetiva del usuario ante el demandante. Los derechos del consumidor aplicables del usuario no deben verse afectados.

(12) El presente Reglamento debe permitir a la persona afectada presentar demandas por responsabilidad civil a lo largo de la cadena de responsabilidad y de todo el ciclo de vida de un sistema de IA. También debe abarcar todos los sistemas de IA, independientemente del lugar de operación y de si esta es de carácter físico o virtual. Sin embargo, la mayoría de las demandas por responsabilidad civil en virtud del presente Reglamento deben abordar casos de responsabilidad ante terceros en los que un sistema de IA funciona en un espacio público y expone a numerosas personas a un riesgo. En este tipo de situaciones, las personas afectadas a menudo no estarán al tanto del sistema de IA que se utiliza ni tendrán una relación contractual o jurídica con el operador. Por consiguiente, la utilización del sistema de IA los coloca en una situación en la que, en caso de daño o perjuicio, solo pueden pretender reclamar la responsabilidad subjetiva del operador del sistema de IA, al tiempo que se enfrentan a graves dificultades para demostrar la culpa del operador.

(13) El tipo de sistema de IA sobre el que el operador ejerce el control es un factor determinante. Un sistema de IA que implique un alto riesgo puede poner en peligro al usuario o al público en un grado mucho más elevado y de manera aleatoria y yendo más allá de lo que cabe esperar razonablemente. Esto significa que, al inicio del funcionamiento autónomo del sistema de IA, la mayoría de las personas potencialmente afectadas no son ni conocidas ni identificables (por ejemplo, las personas que se encuentren en una plaza pública o en una casa vecina), a diferencia de lo que ocurre en el caso del funcionamiento de un sistema de IA en el que participan personas concretas, que han dado regularmente su consentimiento previo para su despliegue, por ejemplo, una intervención quirúrgica en un hospital o una demostración comercial en una tienda pequeña. La definición de la importancia del potencial de un sistema de IA de alto riesgo de causar daños o perjuicios depende de la interacción entre la finalidad de uso para la que se comercializa el sistema de IA, la forma en que se usa el sistema de IA, la gravedad del daño o perjuicio potencial, el grado de autonomía de la toma de decisiones que puede resultar en daños y de la probabilidad de que el riesgo se materialice. El grado de gravedad debe determinarse sobre la base de factores relevantes como la magnitud del daño potencial resultante del funcionamiento en las personas afectadas, incluido, en particular, el efecto en los derechos fundamentales, el número de personas afectadas, el valor total del posible perjuicio y el daño a la sociedad en su conjunto. La probabilidad del daño o perjuicio debe determinarse sobre la base de factores relevantes como el papel de los cálculos algorítmicos en el proceso de toma de decisiones, la complejidad de la decisión y la reversibilidad de los efectos. En última instancia, la forma de uso debe depender de factores relevantes como el contexto y el sector en el que opera el sistema de IA, si puede tener efectos jurídicos o fácticos sobre derechos importantes de la persona afectada jurídicamente protegidos y de si los efectos pueden evitarse razonablemente.

(14) En un anexo al Reglamento presente deben enumerarse exhaustivamente todos los sistemas de IA de alto riesgo. Habida cuenta de la rápida evolución técnica y del mercado a escala mundial, así como de los conocimientos técnicos que se necesitan para una revisión adecuada de los sistemas de IA, deben delegarse en la Comisión poderes para adoptar actos delegados con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea con el fin de modificar el presente Reglamento en lo que se refiere a los tipos de sistemas de IA que entrañan un alto riesgo y los sectores críticos en los que se usan. Sobre la base de las definiciones y disposiciones recogidas en el presente Reglamento, la Comisión debe revisar el anexo en el plazo más breve posible y, en todo caso cada seis meses y, si procede, modificarlo mediante actos delegados. La evaluación por parte de la Comisión de si un sistema de IA presenta un riesgo elevado debe comenzar al mismo tiempo que la evaluación de la seguridad de los productos a fin de evitar una situación en la que un sistema de IA de alto riesgo ya esté aprobado para su comercialización pero aún no esté clasificado como de alto riesgo y, por tanto, funcione sin cobertura de seguro obligatoria. Para que las empresas y los organismos de investigación dispongan de seguridad suficiente en términos de planificación e inversión, los cambios en los sectores críticos solo deben realizarse cada doce meses. Debe instarse a los operadores a que informen a la Comisión de si están trabajando en una nueva tecnología, productos o servicios que se inscriban en uno de los sectores críticos existentes previstos en el anexo y que posteriormente podrían clasificarse como sistema de IA de alto riesgo.

(15) Reviste especial importancia que la Comisión lleve a cabo consultas periódicas adecuadas con todas las partes interesadas pertinentes durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional, de 13 de abril de 2016, sobre la mejora de la legislación (4). La Comisión debe ser apoyada en su revisión periódica por un comité permanente denominado «Comité técnico — sistemas de IA de alto riesgo» (TCRAI, por sus siglas en inglés), de conformidad con el presente Reglamento. Este comité permanente debe incluir representantes de los Estados miembros, así como una selección equilibrada de las partes interesadas, incluidas asociaciones de consumidores, asociaciones que representan a las personas afectadas, representantes de empresas de distintos sectores y tamaños, así como investigadores y científicos. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión y del Comité mencionado anteriormente que se ocupen de la preparación de actos delegados.

(16) El presente Reglamento debe cubrir los daños o perjuicios a la vida, la salud, la integridad física, la propiedad y los daños morales significativos que den lugar a una pérdida económica comprobable por encima de un umbral, armonizado en el Derecho de la Unión en materia de responsabilidad civil, que equilibre el acceso a la justicia de las personas afectadas con los intereses de otras personas implicadas. La Comisión debe reevaluar y ajustar en el Derecho de la Unión los umbrales relativos a los perjuicios. Por daño moral significativo debe entenderse un daño como consecuencia del cual la persona afectada sufre un perjuicio considerable, un menoscabo objetivo y demostrable de sus intereses personales y una pérdida económica calculada teniendo en cuenta, por ejemplo, las cifras medias anuales de ingresos anteriores y otras circunstancias pertinentes. El presente Reglamento también debe determinar el importe y el alcance de la indemnización, así como el plazo de prescripción para presentar demandas en materia de responsabilidad civil. El presente Reglamento debe establecer un límite máximo de indemnización significativamente inferior que el recogido en la Directiva sobre responsabilidad por los daños causados por productos defectuosos, ya que el Reglamento solo se refiere al daño o perjuicio de una sola persona resultante de una única utilización de un sistema de IA, mientras que dicha Directiva se refiere a una serie de productos o, incluso, a una línea de productos con el mismo defecto.

(17) Todas las actividades, dispositivos o procesos físicos o virtuales gobernados por los sistemas de IA que no se incluyan en la lista del anexo del presente Reglamento como sistemas de IA de alto riesgo deben seguir estando sujetos a la responsabilidad subjetiva, a menos que estén en vigor leyes nacionales o legislación en materia de protección de los consumidores más estrictas. Deben seguir aplicándose las legislaciones nacionales de los Estados miembros, incluida cualquier jurisprudencia pertinente, en relación con el importe y el alcance de la indemnización, así como el plazo de prescripción. No obstante, una persona que sufra un daño o perjuicio causado por un sistema de IA y que no se incluya en la lista como sistema de IA de alto riesgo debe acogerse a la presunción de culpa del operador.

(18) La diligencia debida que cabe esperar de un operador debe ser acorde con i) la naturaleza del sistema de IA; ii) el derecho jurídicamente protegido potencialmente afectado; iii) el daño o perjuicio potencial que podría causar el sistema de IA; y iv) la probabilidad de dicho perjuicio. Por consiguiente, debe tenerse en cuenta que el operador podría tener un conocimiento limitado de los algoritmos y datos utilizados en el sistema de IA. Se debe suponer que el operador ha prestado la debida atención que cabe esperar razonablemente de él al seleccionar un sistema de IA adecuado si ha seleccionado un sistema de IA que ha sido certificado conforme a un sistema similar al sistema de etiquetado voluntario previsto por la Comisión (5). Se debe suponer que el operador ha prestado la debida atención que cabe esperar razonablemente de él durante el funcionamiento del sistema de IA, si el operador puede demostrar que ha supervisado real y periódicamente el sistema de IA durante su funcionamiento y si ha informado al fabricante sobre posibles irregularidades durante el mismo. Se debe suponer que el operador ha prestado la debida atención que cabe esperar razonablemente de él en lo que se refiere al mantenimiento de la fiabilidad operativa si ha instalado todas las actualizaciones disponibles proporcionadas por el productor del sistema de IA. Dado que el grado de sofisticación de los operadores puede variar en función de si son meros consumidores o profesionales, los deberes de diligencia deben adaptarse en consecuencia.

(19) Para que el operador pueda demostrar que no es responsable o para permitir que la persona afectada pueda demostrar la existencia de culpa, los productores han de tener el deber de colaborar con las dos partes interesadas, también mediante la facilitación de información bien documentada. Tanto los productores establecidos en la Unión como fuera de ella deben tener, además, la obligación de designar a un representante en materia de responsabilidad civil de la IA en la Unión como punto de contacto para responder a todas las solicitudes de los operadores, de modo similar a los delegados de protección de datos de conformidad con el artículo 37 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (6), a los representantes del fabricante definidos en el artículo 3, punto 41, del Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo (7), o al representante autorizado mencionado en el artículo 4, apartado 2, y en el artículo 5 del Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (8).

(20) El legislador debe tener en cuenta los riesgos en materia de responsabilidad civil relacionados con los sistemas de IA durante todo su ciclo de vida, desde el desarrollo, pasando por su uso hasta el fin de su vida útil, incluida la gestión de residuos y del reciclado. La inclusión de sistemas de IA en un producto o servicio representa un riesgo financiero para las empresas y, por consiguiente, va a tener un fuerte impacto en la capacidad y las opciones de las pymes, así como de las empresas emergentes, en materia de seguros y de financiación de sus proyectos de investigación ydesarrollo basados en nuevas tecnologías. El objetivo de la responsabilidad civil, por lo tanto, no es solo salvaguardar importantes derechos de las personas que están jurídicamente protegidos sino también determinar si las empresas, en particular las pymes y las empresas emergentes, son capaces de reunir capital, innovar, investigar y, en última instancia, ofrecer productos y servicios nuevos, así como si los clientes confían en esos productos y servicios y están dispuestos a usarlos a pesar de los riesgos potenciales y de las demandas judiciales que se presenten en relación con dichos productos o servicios.

(21) El seguro puede garantizar que las víctimas perciban una indemnización efectiva y mutualizar los riesgos de todas las personas aseguradas. Uno de los factores en los que las compañías de seguros basan su oferta de productos y servicios de seguros es la evaluación de riesgos basada en el acceso a datos históricos suficientes en relación con las reclamaciones. Un acceso deficiente a datos de calidad elevada o una cantidad insuficiente de este tipo de datos podría ser una de las razones por las que en un principio resulta difícil crear productos de seguro para las tecnologías nuevas y emergentes. Sin embargo, un mayor acceso y la optimización del uso de los datos generados por las nuevas tecnologías, combinados con la obligación de facilitar información bien documentada, aumentaría la capacidad de las aseguradoras para modelar el riesgo emergente y fomentar el desarrollo de una cobertura más innovadora.

(22) Debido a la ausencia de datos históricos sobre las reclamaciones, debe investigarse cómo y en qué condiciones es asegurable la responsabilidad, con vistas a establecer un vínculo entre el seguro y el producto y no con la persona responsable. Ya existen productos de seguro que se desarrollan por ámbito y cobertura a medida que se desarrolla la tecnología. Numerosas compañías de seguros se especializan en determinados segmentos del mercado (por ejemplo, las pymes) o en brindar cobertura a determinados tipos de productos (por ejemplo, los aparatos eléctricos), lo que significa que, por lo general, el asegurado tendrá a su disposición un producto de seguro. Sin embargo, es difícil concebir una solución de «talla única» y el mercado de los seguros necesitará tiempo para adaptarse. La Comisión debe colaborar estrechamente con el mercado de los seguros para desarrollar productos de seguro innovadores que podrían colmar esa laguna en la materia. En casos excepcionales, como en el caso de que se produzcan daños colectivos, en los que la indemnización exceda de modo significativo los importes máximos establecidos en el presente Reglamento, debe alentarse a los Estados miembros a crear un fondo especial de indemnización para un período de tiempo limitado que responda a las necesidades específicas de esos casos. También podrían crearse fondos especiales de indemnización para cubrir aquellos casos excepcionales en los que un sistema de IA, que aún no esté clasificado como sistema de IA de alto riesgo y que, por tanto, todavía no está asegurado, cause daños o perjuicios. A fin de garantizar la seguridad jurídica y cumplir la obligación de informar a todas las personas potencialmente afectadas, la existencia del fondo especial de indemnización, así como las condiciones para acogerse a él, deben hacerse públicas de manera clara y exhaustiva.

(23) Reviste gran importancia que los posibles cambios al presente Reglamento que se introduzcan en el futuro vayan acompañados de la necesaria revisión de la Directiva sobre responsabilidad por los daños causados por productos defectuosos a fin de revisarla de manera integral y coherente y garantizar los derechos y obligaciones de todas las partes interesadas a lo largo de la cadena de responsabilidad civil. La introducción de un nuevo régimen de responsabilidad civil en relación con el operador de sistemas de la IA requiere que las disposiciones del presente Reglamento y la revisión de la Directiva sobre responsabilidad por los daños causados por productos defectuosos se coordinen estrechamente, tanto en términos de fondo como de enfoque, de modo que, juntas, constituyan un marco de responsabilidad civil coherente para los sistemas de IA, que equilibre los intereses del productor, del operador, del consumidor y de la persona afectada en lo que respecta al riesgo de responsabilidad civil y los regímenes de indemnización relevantes. Por lo tanto, adaptar y racionalizar las definiciones de sistemas de IA, operador final e inicial, productor, defecto, producto y servicio en todas las disposiciones legislativas parece necesario y debe contemplarse al mismo tiempo.

(24) Los objetivos que persigue el presente Reglamento, a saber, la adopción de un enfoque orientado hacia el futuro y unificado a escala de la Unión que establezca normas europeas comunes para los ciudadanos y empresas europeos y que garantice la coherencia de los derechos y la seguridad jurídica en el conjunto de la Unión, a fin de evitar la fragmentación del mercado único digital, lo que obstaculizaría el objetivo de mantener la soberanía digital, de fomentar la innovación digital en Europa y de garantizar un nivel elevado de protección de los derechos de los ciudadanos y los consumidores, exigen una armonización plena de los regímenes de responsabilidad civil aplicables a los sistemas de IA. Los Estados miembros no pueden lograr los objetivos perseguidos en la medida adecuada, debido a la velocidad de los cambios de carácter tecnológico, al desarrollo transfronterizo así como al uso de los sistemas de IA y, en última instancia, a los enfoques legislativos contradictorios en el conjunto de la Unión, sino que, debido a la dimensión o a los efectos de la acción, esos objetivos pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de conformidad con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos,

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I. DISPOSICIONES GENERALES

Artículo 1. Objeto

El presente Reglamento establece normas en relación con las demandas por responsabilidad civil de las personas físicas y jurídicas contra los operadores de sistemas de IA.

Artículo 2. Ámbito de aplicación

1. El presente Reglamento se aplica en el territorio de la Unión a aquellos casos en que una actividad física o virtual, un dispositivo o un proceso gobernado por un sistema de IA haya causado daños o perjuicios a la vida, la salud, la integridad física de una persona física y los bienes de una persona física o jurídica, o bien haya causado daños morales considerables que den lugar a una pérdida económica comprobable.

2. Todo acuerdo celebrado entre un operador de un sistema de IA y una persona física o jurídica que sufra un daño o perjuicio como consecuencia de un sistema de IA, que eluda o limite los derechos y obligaciones establecidos en el presente Reglamento, celebrado bien antes o después de haberse causado el daño o perjuicio, será considerado nulo por lo que respecta a los derechos y obligaciones estipulados en virtud del presente Reglamento.

3. El presente Reglamento se entiende sin perjuicio de cualquier otra demanda en materia de responsabilidad civil derivada de las relaciones contractuales, así como de la normativa sobre responsabilidad por los daños causados por productos defectuosos, la protección de los consumidores, la lucha contra la discriminación y la protección laboral y del medio ambiente, entre el operador y la persona física o jurídica que haya sufrido un daño o perjuicio a causa del sistema de IA y de que se pueda presentar contra el operador de conformidad con el Derecho de la Unión o nacional

Artículo 3. Definiciones

A efectos del presente Reglamento, se entenderá por:

a) «sistema de inteligencia artificial»: todo sistema basado en programas informáticos o incorporado en dispositivos físicos que muestra un comportamiento que simula la inteligencia, entre otras cosas, mediante la recopilación y el tratamiento de datos, el análisis y la interpretación de su entorno y la actuación, con cierto grado de autonomía, para lograr objetivos específicos;

b) «autónomo»: todo sistema de inteligencia artificial que funciona interpretando determinados datos de entrada y utilizando un conjunto de instrucciones predeterminadas, sin limitarse a ellas, a pesar de que el comportamiento del sistema esté limitado y orientado a cumplir el objetivo que se le haya asignado y otras decisiones pertinentes de diseño tomadas por su desarrollador;

c) «alto riesgo»: el potencial significativo en un sistema de IA que funciona de forma autónoma para causar daños o perjuicios a una o más personas de manera aleatoria y que excede lo que cabe esperar razonablemente; la magnitud del potencial depende de la relación entre la gravedad del posible daño o perjuicio, el grado de autonomía de la toma de decisiones, la probabilidad de que el riesgo se materialice y el modo y el contexto en que se utiliza el sistema de IA;

d) «operador»: tanto el operador final como el inicial, siempre que la responsabilidad civil de este último no esté ya cubierta por la Directiva 85/374/CEE;

e) «operador final»: toda persona física o jurídica que ejerce un grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA y se beneficia de su funcionamiento;

f) «operador inicial»: toda persona física o jurídica que define, de forma continuada, las características de la tecnología y proporciona datos y un servicio de apoyo final de base esencial y, por tanto, ejerce también grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA;

g) «control»: toda acción de un operador que influya en el funcionamiento de un sistema de IA y, por consiguiente, la medida en que el operador expone a terceros a los potenciales riesgos asociados a la operación y al funcionamiento del sistema de IA; esa acción puede afectar al funcionamiento en cualquier fase al determinar la entrada, la salida o resultados o pueden cambiar funciones o procesos específicos dentro del sistema de IA; el grado en que estos aspectos del funcionamiento del sistema de IA están determinados por la acción depende del nivel de influencia que el operador tenga sobre el riesgo relacionado con la operación y el funcionamiento del sistema de IA;

h) «persona afectada»: toda persona que sufre daños o perjuicios por una actividad física o virtual, un dispositivo o un proceso gobernado por un sistema de IA, y que no sea su operador;

i) «daño o perjuicio»: impacto adverso que afecta a la vida, la salud, la integridad física de una persona física, los bienes de una persona física o jurídica o bien que produce daños morales significativos que resultan en una pérdida económica comprobable;

j) «productor»: el productor tal como se define en el artículo 3 de la Directiva 85/374/CEE.

CAPÍTULO II. SISTEMAS DE IA DE ALTO RIESGO

Artículo 4. Responsabilidad objetiva de los sistemas de IA de alto riesgo

1. El operador de un sistema de IA de alto riesgo será objetivamente responsable de cualquier daño o perjuicio causado por una actividad física o virtual, un dispositivo o un proceso gobernado por dicho sistema de IA.

2. En el anexo al presente Reglamento se enumerarán todos los sistemas de IA de alto riesgo y los sectores críticos en los que se utilizan. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 13 bis para modificar la lista exhaustiva:

a) mediante la inclusión de nuevos tipos de sistemas de IA de alto riesgo y de los sectores críticos en los que se han desplegado;

b) suprimiendo los tipos de sistemas de IA que ya no se considera que presentan un alto riesgo; o

c) modificando los sectores críticos para los sistemas de IA de alto riesgo existentes. Todo acto delegado por el que se modifique el anexo entrará en vigor seis meses después de su adopción. Al determinar la inclusión en el anexo de nuevos sistemas de IA de alto riesgo o sectores críticos mediante actos delegados, la Comisión tendrá plenamente en cuenta los criterios establecidos en el presente Reglamento, en particular los recogidos en el artículo 3, letra c).

3. Los operadores de un sistema de IA de alto riesgo no podrán eludir su responsabilidad civil alegando que actuaron con la diligencia debida o que el daño o perjuicio fue causado por una actividad, un dispositivo o un proceso autónomos gobernados por su sistema de IA. Los operadores no serán responsables si el daño o perjuicio ha sido provocado por un caso de fuerza mayor.

4. El operador final de un sistema de IA de alto riesgo garantizará que las operaciones de dicho sistema de IA estén cubiertas por un seguro de responsabilidad civil adecuado en relación con los importes y el alcance de la indemnización previstos en los artículos 5 y 6 del presente Reglamento. El operador inicial garantizará que sus servicios estén cubiertos por un seguro de responsabilidad empresarial o de responsabilidad civil de productos adecuado en relación con los importes y el alcance de la indemnización previstos en los artículos 5 y 6 del presente Reglamento. Si se considera que los regímenes de seguro obligatorio del operador final o inicial ya vigentes con arreglo a otra legislación de la Unión o nacional o los fondos voluntarios existentes de seguros de empresas cubren el funcionamiento del sistema de IA o el servicio prestado, la obligación de suscribir un seguro en relación con el sistema de IA o el servicio prestado con arreglo al presente Reglamento se considerará cumplida siempre que el correspondiente seguro obligatorio existente o los fondos voluntarios existentes de seguros de empresas cubran los importes y el alcance de la indemnización previstos en los artículos 5 y 6 del presente Reglamento.

5. El presente Reglamento prevalecerá sobre los regímenes nacionales de responsabilidad civil en caso de clasificación divergente por responsabilidad objetiva de los sistemas de IA.

Artículo 5. Importe de la indemnización

1. Un operador de un sistema de IA de alto riesgo que haya sido considerado responsable de un daño o perjuicio con arreglo al presente Reglamento indemnizará:

a) hasta un importe máximo de dos millones de euros en caso de fallecimiento o de daños causados a la salud o a la integridad física de una persona afectada como resultado del funcionamiento de un sistema de IA de alto riesgo;

b) hasta un importe máximo de un millón de euros en caso de daños morales significativos que resulten en una pérdida económica comprobable o en daños a bienes, también cuando distintos bienes propiedad de una persona afectada resulten dañados como resultado de un único funcionamiento de un único sistema de IA de alto riesgo; cuando la persona afectada también disponga de un derecho a reclamar por responsabilidad contractual contra el operador, no se abonará ninguna indemnización en virtud del presente Reglamento si el importe total de los perjuicios materiales o el daño moral es de un valor inferior a [500 euros] (9).

2. Cuando la indemnización combinada que deba abonarse a varias personas que sufran daños o perjuicios causados por el mismo funcionamiento de un mismo sistema de IA de alto riesgo supere los importes totales máximos previstos en el apartado 1, los importes que deban abonarse a cada persona se reducirán proporcionalmente de forma que la indemnización combinada no supere los importes máximos establecidos en el apartado 1.

Artículo 6. Alcance de la indemnización

1. Dentro de los límites para el importe establecidos en el artículo 5, apartado 1, letra a), la indemnización que abonará el operador considerado responsable en caso de daños físicos seguidos de la muerte de la persona afectada se calculará sobre la base de los costes del tratamiento médico que haya seguido la persona afectada antes de su muerte, así como del perjuicio económico sufrido antes del fallecimiento como consecuencia del cese o la reducción de la capacidad de generar ingresos o el aumento de sus necesidades mientras durase el daño antes del fallecimiento. El operador será además responsable de reembolsar los gastos funerarios de la persona afectada fallecida a la parte responsable de sufragar dichos gastos.

Si en el momento del incidente que causó el daño que condujo a su muerte, la persona afectada mantenía una relación con un tercero y tenía la obligación jurídica de asistir a ese tercero, el operador responsable indemnizará al tercero mediante el pago de una pensión alimenticia proporcional a la que la persona afectada se habría visto obligada a pagar, durante un período equivalente a la esperanza de vida media de una persona de su edad y teniendo en cuenta su estado general. El operador también indemnizará al tercero si, en el momento del incidente que provocó la muerte, el tercero había sido concebido, pero todavía no había nacido.

2. Dentro de los límites para el importe establecidos en el artículo 5, apartado 1, letra b), la indemnización que pagará el operador considerado responsable en caso de daño para la salud o para la integridad física de la persona afectada incluirá el reembolso de los gastos del tratamiento médico correspondiente, así como el pago del perjuicio económico sufrido por la persona afectada como consecuencia de la suspensión temporal, la reducción o el cese definitivo de su capacidad de generar ingresos o del aumento consiguiente de sus necesidades acreditado mediante certificado médico.

Artículo 7. Plazo de prescripción

1. Las demandas por responsabilidad civil presentadas de conformidad con lo dispuesto en el artículo 4, apartado 1, relativas a daños a la vida, la salud o la integridad física estarán sujetas a un plazo de prescripción especial de treinta años a partir de la fecha en que se produjo el daño.

2. Las demandas por responsabilidad civil presentadas de conformidad con lo dispuesto en el artículo 4, apartado 1, relativas a perjuicios materiales o daños morales considerables que resulten en una pérdida económica comprobable estarán sujetas a un plazo de prescripción especial de:

a) diez años a partir de la fecha en que se produjo el menoscabo a los bienes o la pérdida económica comprobable resultante del daño moral significativo, respectivamente, o

b) treinta años a partir de la fecha en que tuvo lugar la operación del sistema de IA de alto riesgo que causó posteriormente el menoscabo a los bienes o el daño moral.

De los plazos contemplados en el párrafo primero, será aplicable aquel que venza antes.

3. El presente artículo se entenderá sin perjuicio de la legislación nacional que regule la suspensión o la interrupción de los plazos de prescripción.

CAPÍTULO III. OTROS SISTEMAS DE IA

Artículo 8. Responsabilidad subjetiva para otros sistemas de IA

1. El operador de un sistema de IA que no constituya un sistema de IA de alto riesgo, tal y como se define en el artículo 3, letra c), y en el artículo 4, apartado 2, y que, en consecuencia, no figure en el anexo del presente Reglamento, estará sujeto a responsabilidad subjetiva respecto de todo daño o perjuicio causado por una actividad física o virtual, un dispositivo o un proceso gobernados por el sistema de IA.

2. El operador no será responsable si puede demostrar que no tuvo culpa en el daño o perjuicio causado, basándose en uno de los siguientes motivos:

a) el sistema de IA se activó sin su conocimiento, al tiempo que se tomaron todas las medidas razonables y necesarias para evitar dicha activación fuera del control del operador, o

b) se observó la diligencia debida a través de la realización de las siguientes acciones: la selección de un sistema de IA adecuado para las tareas y las capacidades pertinentes, la correcta puesta en funcionamiento del sistema de IA, el control de las actividades y el mantenimiento de la fiabilidad operativa mediante la instalación periódica de todas las actualizaciones disponibles.

El operador no podrá eludir su responsabilidad alegando que el daño o perjuicio fue causado por una actividad, un dispositivo o un proceso autónomos gobernados por su sistema de IA. El operador no será responsable si el daño o perjuicio ha sido provocado por un caso de fuerza mayor.

3. Cuando el daño o perjuicio haya sido causado por un tercero que haya interferido en el sistema de IA por medio de una modificación de su funcionamiento o sus efectos, el operador será, no obstante, responsable del pago de una indemnización en caso de que dicho tercero esté ilocalizable o sea insolvente.

4. A petición del operador o de la persona afectada, el productor de un sistema de IA tendrá la obligación de cooperar con ellos y de facilitarles información en la medida que lo justifique la relevancia de la demanda, a fin de permitir que se determinen las responsabilidades.

Artículo 9. Disposiciones nacionales sobre indemnización y plazo de prescripción

Las demandas por responsabilidad civil presentadas de conformidad con el artículo 8, apartado 1, estarán sujetas, en relación con los plazos de prescripción, así como con los importes y el alcance de la indemnización, a la legislación del Estado miembro en el que se haya producido el daño o perjuicio.

CAPÍTULO IV. IMPUTACIÓN DE LA RESPONSABILIDAD CIVIL

Artículo 10. Negligencia concurrente

1. Si el daño o perjuicio es causado por una actividad física o virtual, un dispositivo o un proceso gobernados por un sistema de IA o por la actuación de una persona afectada o de una persona de la que la persona afectada sea responsable, el alcance de la responsabilidad civil del operador con arreglo al presente Reglamento se reducirá en consecuencia. El operador no será responsable si la persona afectada o la persona de la que esta es responsable es la única a la que se le puede achacar el daño o perjuicio causado.

2. Un operador considerado responsable podrá utilizar los datos generados por el sistema de IA para demostrar la negligencia concurrente de la persona afectada, de conformidad con el Reglamento (UE) 2016/679 y otras leyes en materia de protección de datos relevantes. La persona afectada también podrá usar esos datos con fines probatorios o aclaratorios en la demanda por responsabilidad civil.

Artículo 11. Responsabilidad solidaria

En caso de que haya más de un operador de un sistema de IA, estos serán responsables solidarios. Si un operador final es también el productor del sistema de IA, el presente Reglamento prevalecerá sobre la Directiva sobre responsabilidad por los daños causados por productos defectuosos. Si el operador inicial también tiene la condición de productor en el sentido del artículo 3 de la Directiva sobre responsabilidad por los daños causados por productos defectuosos, deberá aplicársele dicha Directiva. Si solo hay un operador y dicho operador es también el productor del sistema de IA, el presente Reglamento prevalecerá sobre la Directiva sobre responsabilidad por los daños causados por productos defectuosos.

Artículo 12. Indemnización por la vía de regreso

1. El operador no estará facultado para ejercitar una acción en la vía de regreso a menos que a la persona afectada se le haya abonado la totalidad de la indemnización a la que esa persona tenga derecho a recibir en virtud del presente Reglamento.

2. El operador que sea considerado responsable solidario con otros operadores en relación con una persona afectada y haya indemnizado íntegramente a esa persona afectada, de conformidad con el artículo 4, apartado 1, o el artículo 8, apartado 1, podrá recuperar parte de la indemnización de otros operadores, en proporción a su responsabilidad.

Los porcentajes de responsabilidad se basarán en los respectivos niveles de control por parte de los operadores sobre el riesgo relacionado con la operación y el funcionamiento del sistema de IA. Si no puede obtenerse de un operador responsable solidariamente la contribución que le sea atribuible, el déficit será asumido por los demás operadores. En la medida en que un operador solidariamente responsable indemnice a la persona afectada y solicite un ajuste de los anticipos a los demás operadores responsables, el operador quedará subrogado en el crédito de la persona afectada frente a los demás operadores. No se invocará la subrogación de créditos en perjuicio de la demanda inicial.

3. En caso de que el operador de un sistema de IA defectuoso indemnice íntegramente a la persona afectada por daños o perjuicios con arreglo a lo dispuesto en el artículo 4, apartado 1, o en el artículo 8, apartado 1, del presente Reglamento, podrá ejercitar una acción de resarcimiento frente al productor del sistema de IA defectuoso de conformidad con la Directiva 85/374/CEE y las disposiciones nacionales en materia de responsabilidad por los daños causados por productos defectuosos.

4. En caso de que el asegurador del operador indemnice a la persona afectada por daños o perjuicios con arreglo a lo dispuesto en el artículo 4, apartado 1, o en el artículo 8, apartado 1, el asegurador del operador se subrogará en el crédito que la persona afectada tenga frente a otra persona por responsabilidad civil por el mismo daño hasta el importe con el que el asegurador del operador haya indemnizado a la persona afectada.

CAPÍTULO V. DISPOSICIONES FINALES

Artículo 13. Ejercicio de la delegación

1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Los poderes para adoptar actos delegados mencionados en el artículo 4, apartado 2, se otorgan a la Comisión por un período de cinco años a partir de [fecha de aplicación del presente Reglamento].

3. La delegación de poderes mencionada en el artículo 4, apartado 2, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.

4. Antes de la adopción de un acto delegado, la Comisión consultará al Comité técnico permanente — sistemas de IA de alto riesgo (Comité TCRAI), de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6. Los actos delegados adoptados en virtud del artículo 4, apartado 2, entrarán en vigor únicamente si, en un plazo de dos meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 14. Revisión

A más tardar el 1 de enero de 202X [tres años después de la fecha de aplicación del presente Reglamento], y posteriormente cada tres años, la Comisión presentará al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo un informe detallado en el que se revise el presente Reglamento a la luz del desarrollo ulterior de la inteligencia artificial.

Al elaborar el informe a que se refiere el párrafo primero, la Comisión solicitará la información pertinente a los Estados miembros sobre la jurisprudencia, los acuerdos judiciales y las estadísticas sobre accidentes, tales como el número de accidentes, los daños sufridos, las aplicaciones de IA involucradas o las indemnizaciones abonadas por las compañías de seguros, así como una evaluación de la cantidad de demandas presentadas por las personas afectadas, ya sea de forma individual o colectiva, y de los plazos dentro de los cuales se tramitaron esas demandas en los tribunales.

El informe de la Comisión irá acompañado, en su caso, de propuestas legislativas destinadas a suplir las lagunas identificadas en el informe.

Artículo 15. Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. Será aplicable a partir del 1 de enero de 202X.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en ,

Por el Parlamento Europeo, El Presidente

Por el Consejo, El Presidente

—————————————–

(1) DO L 210 de 7.8.1985, p. 29.

(2) DO L 149 de 11.6.2005, p. 22.

(3) DO L 304 de 22.11.2011, p. 64.

(4) DO L 117 de 5.5.2017, p. 1.

(5) DO L 252 de 8.10.2018, p. 1.

(6) DO L 136 de 22.5.2019, p. 1.

(7) DO L 123 de 12.5.2016, p. 1.

(8) DO C 252 de 18.7.2018, p. 239.

(9) DO C 307 de 30.8.2018, p. 163.

(10) DO C 433 de 23.12.2019, p. 86.

(11) Textos Aprobados, P8_TA(2019)0081.

(12) Textos Aprobados, P9_TA(2020)0032.

(13) https://www.europarl.europa.eu/RegData/etudes/STUD/2020/654178/EPRS_STU(2020)654178_EN.pdf

(14) https://www.europarl.europa.eu/RegData/etudes/STUD/2016/563501/EPRS_STU(2016)563501(ANN)_EN.pdf

(15) https://www.europarl.europa.eu/RegData/etudes/STUD/2016/571379/IPOL_STU(2016)571379_EN.pdf

(16) DO L 11 de 15.1.2002, p. 4.

(17) DO L 263 de 7.10.2009, p. 11.

———————————–

(1) DO…

(2) DO…

(3) Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos (DO L 210 de 7.8.1985, p. 29).

(4) DO L 123 de 12.5.2016, p. 1.

(5) Véase la página 24 del Libro Blanco de la Comisión, de 19 de febrero de 2020, titulado «Inteligencia artificial — Un enfoque europeo orientado a la excelencia y la confianza» (COM(2020)0065).

(6) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(7) Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican los Reglamentos (CE) nº 715/2007 y (CE) nº 595/2009 y por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1).

(8) Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) nº 765/2008 y (UE) nº 305/2011 (DO L 169 de 25.6.2019, p. 1).

(9) Pendiente de revisión por parte de la Comisión Europea tal y como se establece en el apartado 19 de la resolución.

23Mar/22

Resolución Legislativa n° 002-2021-2022-CR de 22 de octubre de 2021

Perú, Resolución legislativa, , , ,

Resolución Legislativa n° 002-2021-2022-CR de 22 de octubre de 2021. Señala en el ítem 54 que el acceso a internet se enmarca dentro de las propuestas legislativas a ser presentadas por la Agenda Legislativa para el periodo anual de sesiones 2020-2021.

RESOLUCIÓN LEGISLATIVA DEL CONGRESO 002-2021-2022-CR

LA PRESIDENTA DEL CONGRESO DE LA REPÚBLICA

POR CUANTO:

EL CONGRESO DE LA REPÚBLICA;

Ha dado la Resolución Legislativa del Congreso siguiente:

RESOLUCIÓN LEGISLATIVA DEL CONGRESO POR LA QUE SE APRUEBA LA AGENDA LEGISLATIVA PARA EL PERÍODO ANUAL DE SESIONES 2021-2022

CONSIDERANDO:

Que el segundo párrafo del artículo 29 del Reglamento del Congreso de la República establece que, al inicio del período anual de sesiones, los grupos parlamentarios y el Consejo de Ministros presentan una propuesta detallando los temas o proyectos de ley que consideren necesario debatir y aprobar durante dicho período.

Que la Agenda Legislativa es un instrumento concertado de planificación del trabajo parlamentario en materia legislativa y que el debate de los proyectos de ley ahí contenidos tiene prioridad, tanto en las comisiones como en el Pleno del Congreso.

Que la presidenta del Congreso de la República ha realizado las coordinaciones correspondientes con los portavoces de los grupos parlamentarios y la Presidencia del Consejo de Ministros a fin de definir los temas que deben incluirse en la Agenda Legislativa para el Período Anual de Sesiones 2021-2022.

Que el Consejo Directivo, en su sesión del 4 de octubre de 2021, aprobó el proyecto de Agenda Legislativa para el Período Anual de Sesiones 2021-2022.

Que, de conformidad con el artículo 29 del Reglamento del Congreso de la República, corresponde al Pleno del Congreso aprobar la Agenda Legislativa.

HA RESUELTO:

Artículo 1. Aprobación de la Agenda Legislativa para el Período Anual de Sesiones 2021-2022

Aprobar la Agenda Legislativa para el Período Anual de Sesiones 2021-2022 en los términos siguientes:

AGENDA LEGISLATIVA PARA EL PERÍODO ANUAL DE SESIONES 2021-2022

ACUERDO NACIONAL

OBJETIVOS         POLÍTICAS DE ESTADO   TEMAS/PROYECTOS                                      DE LEY

OBJETIVOS.-       I DEMOCRACIA Y ESTADO DE DERECHO

                               II EQUIDAD Y JUSTICIA SOCIAL

                               III COMPETIVIDAD DEL PAÍS

                               IV ESTADO EFICIENTE, TRANSPARENTE

                               Y DESCENTRALIZADO

I DEMOCRACIA Y ESTADO DE DERECHO (Objetivos)

I.1. FORTALECIMIENTO DEL RÉGIMEN DEMOCRÁTICO Y DEL ESTADO DE DERECHO (Políticas de Estado)

I.1.1. Defensa del principio constitucional de balance y equilibrio de poderes. Fortalecimiento de la seguridad jurídica y la institucionalidad (Temas/Proyectos de Ley)

I.1.2. Reformas constitucionales (Temas/Proyectos de Ley)

I.1.3. Reformas del Reglamento del Congreso (Temas/Proyectos de Ley)

I.1.4. Elección de altos funcionarios del Estado (Temas/Proyectos de Ley)

I.2. DEMOCRATIZACIÓN DE LA VIDA POLÍTICA Y FORTALECIMIENTO DEL SISTEMA DE PARTIDOS (Políticas de Estado)

I.2.5. Modificación de la Ley de Organizaciones Políticas (Temas/Proyectos de Ley)

I.2.6. Modificaciones a las leyes electorales (Temas/Proyectos de Ley)

I.3. AFIRMACIÓN DE LA IDENTIDAD NACIONAL (Políticas de Estado)

I.3.7. Protección del patrimonio cultural (Temas/Proyectos de Ley)

I.3.8. Defensa de los pueblos originarios y comunidades campesinas (Temas/Proyectos de Ley)

I.3.9. Defensa de nuestra diversidad cultural. Promoción y preservación de las lenguas originarias (Temas/Proyectos de Ley)

I.3.10. Ley General de Museos (Temas/Proyectos de Ley)

I.5. GOBIERNO EN FUNCIÓN DE OBJETIVOS CON PLANEAMIENTO ESTRATÉGICO, PROSPECTIVA NACIONAL Y PROCEDIMIENTOS TRANSPARENTES (Políticas de Estado)

I.5.11. Regulación de requisitos para ser ministro de Estado (Temas/Proyectos de Ley)

I.5.12. Transparencia en la gestión pública (Temas/Proyectos de Ley)

I.5.13. Modificación del régimen tributario (Temas/Proyectos de Ley)

I.5.14. Inversión pública (Temas/Proyectos de Ley)

I.7. ERRADICACIÓN DE LA VIOLENCIA Y FORTALECIMIETO DEL CIVISMO Y DE LA SEGURIDAD CIUDADANA (Políticas de Estado)

I.7.15. Leyes que fortalezcan la seguridad ciudadana. Lucha contra el crimen organizado (Temas/Proyectos de Ley)

I.7.16. Acción contra los delincuentes extranjeros y la problemática migratoria (Temas/Proyectos de Ley)

I.7.17. Medidas de apoyo a las tareas de la Policía Nacional del Perú (Temas/Proyectos de Ley)

I.7.18. Apoyo a la labor de los Bomberos Voluntarios (Temas/Proyectos de Ley)

I.8. DESCENTRALIZACIÓN POLÍTICA, ECONÓMICA Y ADMINISTRATIVA PARA PROPICIAR EL DESARROLLO INTEGRAL ARMÓNICO Y SOSTENIDO DEL PERÚ (Políticas de Estado)

I.8.19. Fortalecimiento del proceso de descentralización (Temas/Proyectos de Ley)

I.8.20. Financiamiento de los gobiernos regionales y locales (Temas/Proyectos de Ley)

I.10. REDUCCIÓN DE LA POBREZA (Políticas de Estado)

I.19.21. Lucha contra la pobreza. Seguimiento al Programa Hambre Cero (Temas/Proyectos de Ley)

I.11. PROMOCIÓN DE LA IGUALDAD DE OPORTUNIDADES (Políticas de Estado)

I.11.22. Leyes para atender los problemas de las personas con discapacidad (Temas/Proyectos de Ley)

I.12. ACCESO UNIVERSAL A UNA EDUCACIÓN PÚBLICA GRATUITA Y DE CALIDAD Y PROMOCIÓN Y DEFENSA DE LA CULTURA Y DEL DEPORTE (Políticas de Estado)

I.12.23. Reforma magisterial y Derrama Magisterial (Temas/Proyectos de Ley)

I.12.24. Leyes para mejorar la educación y promover la educación técnica (Temas/Proyectos de Ley)

I.12.25. Leyes para ampliar el ingreso a las universidades (Temas/Proyectos de Ley)

I.12.26. Bachillerato automático (Temas/Proyectos de Ley)

I.12.27. Modificaciones a la Ley Universitaria (Temas/Proyectos de Ley)

I.12.28. Licenciamiento de universidades (Temas/Proyectos de Ley)

I.12.29. Leyes para promover el deporte (Temas/Proyectos de Ley)

II. EQUIDAD Y JUSTICIA SOCIAL (Objetivos)

II.13. ACCESO UNIVERSAL A LOS SERVICIOS DE SALUD Y A LA SEGURIDAD SOCIAL (Políticas de Estado)

II.13.30. Leyes de reforma y modernización del sistema de salud (Temas/Proyectos de Ley)

II.13.31. Leyes que contribuyan con la superación de la pandemia del covid-19 (Temas/Proyectos de Ley)

II.13.32. Leyes para atender la situación de los profesionales de la salud (Temas/Proyectos de Ley)

II.13.33. Leyes sobre infraestructura de salud (Temas/Proyectos de Ley)

II.13.34. Reforma de las leyes que regulan los regímenes de pensiones (Temas/Proyectos de Ley)

II.14. ACCESO AL EMPLEO PLENO, DIGNO Y PRODUCTIVO (Políticas de Estado)

II.14.35. Modernización de la normativa laboral y reconocimiento de los derechos laborales (Temas/Proyectos de Ley)

II.14.36. Regulación de contratos de trabajo y derechos individuales (Temas/Proyectos de Ley)

II.14.37. Leyes que regulan las relaciones colectivas de trabajo (Temas/Proyectos de Ley)

II.14.38. Incorporación de jóvenes al mercado laboral (Temas/Proyectos de Ley)

II.14.39. Regulación del trabajo vía plataformas digitales y del teletrabajo (Temas/Proyectos de Ley)

II.15. PROMOCIÓN DE LA SEGURIDAD ALIMENTARIA Y NUTRICIÓN (Políticas de Estado)

II.15.40. Seguridad alimentaria (Temas/Proyectos de Ley)

II.16. FORTALECIMIENTO DE LA FAMILIA, PROMOCIÓN Y PROTECCIÓN DE LA NIÑEZ, LA ADOLESCENCIA Y LA JUVENTUD (Políticas de Estado)

II.16.41. Defensa de la mujer y la familia (Temas/Proyectos de Ley)

III. COMPETITIVIDAD DEL PAÍS (Objetivos)

III.17. AFIRMACIÓN DE LA ECONOMÍA SOCIAL DE MERCADO (Políticas de Estado)

III.17.42. Mejora de los organismos reguladores (Temas/Proyectos de Ley)

III.17.43. Apoyo a las asociaciones de defensa de los consumidores y usuarios (Temas/Proyectos de Ley)

III.17.44. Medidas a favor de los consumidores (Temas/Proyectos de Ley)

III.17.45. Promoción de la libre competencia (Temas/Proyectos de Ley)

III.18. BUSQUEDA DE LA COMPETITIVIDAD, PRODUCTIVIDAD Y FORMALIZACIÓN DE LA ACTIVIDAD ECONÓMICA (Políticas de Estado)

III.18.46. Leyes de apoyo a las micro y pequeñas empresas (Temas/Proyectos de Ley)

III.18.47. Leyes de apoyo a los emprendedores (Temas/Proyectos de Ley)

III.18.48. Leyes para promover la formalización de la actividad empresarial (Temas/Proyectos de Ley)

III.18.49. Leyes de promoción del turismo (Temas/Proyectos de Ley)

III.18.50. Promoción de la inversión en el sector energía y minas (Temas/Proyectos de Ley)

III.18.51. Leyes de apoyo a la actividad empresarial (Temas/Proyectos de Ley)

III.19. DESARROLLO SOSTENIBLE Y GESTIÓN AMBIENTAL (Políticas de Estado)

III.19.52. Leyes sobre protección del medio ambiente y desarrollo sostenible (Temas/Proyectos de Ley)

III.20. DESARROLLO DE LA CIENCIA Y LA TECNOLOGÍA (Políticas de Estado)

III.20.53. Promoción de la ciencia, innovación y tecnología (Temas/Proyectos de Ley)

III.21. DESARROLLO EN INFRAESTRUCTURA Y VIVIENDA (Políticas de Estado)

III.21.54. Acceso a Internet (Temas/Proyectos de Ley)

III.21.55. Inversión en vivienda y saneamiento (Temas/Proyectos de Ley)

III.21.56. Fomento a la inversión en infraestructura (Temas/Proyectos de Ley)

III.23. POLÍTICA DE DESARROLLO AGRARIO Y RURAL (Políticas de Estado)

III.23.57. Modernización del agro (Temas/Proyectos de Ley)

III.23.58. Fomento a las actividades agropecuarias (Temas/Proyectos de Ley)

III.23.59. SECIGRA.Agrario (Temas/Proyectos de Ley)

III.23.60. Modernización de las entidades estatales vinculadas al agro  (Temas/Proyectos de Ley)

IV. ESTADO EFICIENTE, TRANSPARENTE Y DESCENTRALIZADO (Objetivos)

IV.24. AFIRMACIÓN DE UN ESTADO EFICIENTE Y TRANSPARENTE (Políticas de Estado)

IV.24.61. Modernización de la gestión del Estado y la administración pública (Temas/Proyectos de Ley)

IV.25. CAUTELA DE LA INSTITUCIONALIDAD DE LAS FUERZAS ARMAS Y SU SERVICIO A LA DEMOCRACIA (Políticas de Estado)

IV.25.62. Legislación vinculada a las Fuerzas Armadas (Temas/Proyectos de Ley)

IV.26. PROMOCIÓN DE LA ÉTICA Y LA TRANSPARENCIA Y ERRADICACIÓN DE LA CORRUPCIÓN, EL LAVADO DE DINERO, LA EVACIÓN TRIBUTARIA Y EL CONTRABANDO EN TODAS SUS FORMAS (Políticas de Estado)

IV.26.63. Leyes para la lucha contra la corrupción (Temas/Proyectos de Ley)

IV.26.64. Ampliación de la participación de las instituciones públicas y de la sociedad civil en la lucha contra la corrupción (Temas/Proyectos de Ley)

IV.26.65. Leyes para sancionar a quienes incurran en actos de corrupción  (Temas/Proyectos de Ley)

IV.28. PLENA VIGENCIA DE LA CONSTITUCIÓN Y DE LOS DERECHOS HUMANOS Y ACCESO A LA JUSTICIA E INDEPENDENCIA JUDICIAL (Políticas de Estado)

IV.28.66. Modernización de los órganos del sistema de justicia. Reforma de leyes, códigos y procesos (Temas/Proyectos de Ley)

IV.29. ACCESO A LA INFORMACIÓN, LIBERTAD DE EXPRESIÓN Y LIBERTAD DE PRENSA (Políticas de Estado)

IV.29.67. Fortalecimiento de la libertad de expresión e información (Temas/Proyectos de Ley)

IV.30. ELIMINACIÓN DEL TERRORISMO Y AFIRMACIÓN DE LA RECONCILIACIÓN NACIONAL (Políticas de Estado)

IV.30.68. Lucha contra el terrorismo y el narcotráfico (Temas/Proyectos de Ley)

IV.32. GESTIÓN DEL RIESGO DE DESASTRES (Políticas de Estado)

Iv.32.69. Gestión del riesgo de desastres (Temas/Proyectos de Ley)

IV.33. POLÍTICA DE ESTADO SOBRE LOS RECURSOS HÍDRICOS (Políticas de Estado)

IV.33.70. Gestión del agua (Temas/Proyectos de Ley)

IV.34. ORDENAMIENTO Y GESTIÓN TERRITORIAL (Políticas de Estado)  

IV.34.71. Demarcación y ordenamiento territorial  (Temas/Proyectos de Ley)    

Artículo 2. Derecho de iniciativa legislativa y prioridad de los proyectos de ley remitidos con carácter de urgencia

La aprobación de la Agenda Legislativa para el Período Anual de Sesiones 2021-2022 no limita el derecho constitucional de iniciativa legislativa ni impide que se dictaminen y debatan otros temas o proyectos de ley no contenidos en ella. Tampoco interfiere con el derecho del Poder Ejecutivo de enviar proyectos de ley con carácter de urgencia, los cuales, de conformidad con el artículo 105 de la Constitución Política del Perú, tienen preferencia en el Congreso.

Artículo 3. Elaboración anual de la Agenda Legislativa

Los temas de la Agenda Legislativa que queden pendientes de debate y aprobación podrán ser considerados para la elaboración de la Agenda Legislativa del siguiente período anual de sesiones.

Comuníquese, publíquese y archívese.

Dada en el Palacio del Congreso, en Lima, a los veintidós días del mes de octubre de dos mil veintiuno.

MARÍA DEL CARMEN ALVA PRIETO, Presidenta del Congreso de la República

LADY MERCEDES CAMONES SORIANO, Primera Vicepresidenta del Congreso de la República

06Dic/21

Ley n° 31207 de 31 de mayo de 2021

Ley, Perú, , , , , , , , , , , ,

Ley n° 31207 de 31 de mayo de 2021, que garantiza la velocidad mínima de conexión a Internet y monitoreo de la prestación del servicio de Internet a favor de los usuarios.

LA PRESIDENTA A. I. DEL CONGRESO DE LA REPÚBLICA

POR CUANTO:

EL CONGRESO DE LA REPÚBLICA;

Ha dado la Ley siguiente:

LEY QUE GARANTIZA LA VELOCIDAD MÍNIMA DE CONEXIÓN A INTERNET Y MONITOREO DE LA PRESTACIÓN DEL SERVICIO DE INTERNET A FAVOR DE LOS USUARIOS

Artículo 1. Objeto de la Ley

La presente ley tiene como objeto garantizar y promover la óptima prestación del servicio de internet, así como la efectiva calidad, velocidad y monitoreo de la prestación contratada por los proveedores del servicio de internet.

Artículo 2. Objetivos y principios

Los objetivos y principios de la presente ley son los siguientes:

a) Fomentar la competencia efectiva en los mercados de telecomunicaciones para potenciar al máximo los beneficios para las empresas y los consumidores, principalmente en términos de bajada de los precios, calidad de los servicios e innovación, teniendo debidamente en cuenta la variedad de condiciones en cuanto a la competencia y los consumidores que existen en las distintas áreas geográficas, y velando por que no exista falseamiento ni restricción de la competencia en la explotación de redes o en la prestación de servicios de comunicaciones electrónicas, incluida la transmisión de contenidos.

b) Desarrollar la economía y el empleo digital, promover el desarrollo del sector de las telecomunicaciones y de todos los nuevos servicios digitales que las nuevas redes rápidas permiten, impulsando la cohesión social y territorial, mediante la mejora y extensión de las redes, así como la prestación de los servicios de comunicaciones electrónicas y el suministro de los recursos asociados a ellas.

c) Promover el despliegue de redes y la prestación de servicios de comunicaciones electrónicas, fomentando la conectividad y la interoperabilidad extremo a extremo y su acceso, en condiciones de igualdad y no discriminación.

d) Promover el desarrollo de la industria de productos y equipos de telecomunicaciones.

e) Contribuir al desarrollo del mercado interior de servicios de comunicaciones electrónicas en el Perú.

f) Promover la inversión eficiente en materia de infraestructuras incluyendo, cuando proceda, la competencia basada en infraestructuras, fomentando la innovación y teniendo debidamente en cuenta los riesgos en que incurren las empresas inversoras.

g) Hacer posible el uso eficaz de los recursos limitados de telecomunicaciones, como la numeración y el espectro radioeléctrico, y la adecuada protección de este último, y el acceso a los derechos de ocupación de la propiedad pública y privada.

h) Fomentar, en la medida de lo posible, la neutralidad tecnológica en la regulación y garantizar el cumplimiento de las obligaciones de servicio público en la explotación de redes y la prestación de servicios de comunicaciones electrónicas.

i) Defender los intereses de los usuarios, asegurando su derecho al acceso a los servicios de comunicaciones electrónicas en condiciones adecuadas de elección, precio y buena calidad, promoviendo la capacidad de los usuarios finales para acceder y distribuir la información o utilizar las aplicaciones y los servicios de su elección, en particular a través de un acceso abierto a internet.

j) Salvaguardar y proteger en los mercados de telecomunicaciones, la satisfacción de las necesidades de grupos sociales específicos, las personas con discapacidad, las personas mayores, las personas en situación de dependencia y usuarios con necesidades sociales especiales, atendiendo a los principios de igualdad de oportunidades y no discriminación.

k) Facilitar el acceso de los usuarios con discapacidad a los servicios de comunicaciones electrónicas y al uso de equipos terminales.

l) Las leyes o normas emitidas por el Poder Ejecutivo deberán prevalecer sobre cualquier ordenanza o disposición emitida por gobiernos regionales o municipalidades provinciales, distritales o de centro poblado, que puedan limitar o contravenir cualquier iniciativa o inversión que busque mejorar la calidad del servicio de internet para los usuarios.

Artículo 3. Promoción del servicio y acceso a la información

Créanse los instrumentos o espacios que faciliten el acceso a la información de los usuarios respecto a la velocidad y calidad de la prestación de servicio de internet sin discriminación.

Artículo 4. Registro y monitoreo

Créase el Registro Nacional de Monitoreo y Vigilancia del Servicio de Internet (RENAMV), que estará a cargo el Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL), ente que establecerá la medición de la velocidad del servicio de internet, el cual será publicado mensualmente en su página web oficial y/o en aplicativos para dispositivos electrónicos como teléfonos celulares inteligentes, tabletas y otros dispositivos electrónicos de uso personal.

Artículo 5. Infraestructura

El Estado, como promotor de la inversión pública y privada, deberá facilitar las condiciones básicas para el desarrollo de infraestructura que coadyuven al buen funcionamiento de los servicios de internet, priorizando las zonas rurales, zonas de fronteras y comunidades indígenas.

El Ministerio de Transportes y Comunicaciones, a través del Programa Nacional de Telecomunicaciones (PRONATEL), es el ente encargado de fortalecer el acceso inmediato y oportuno de los servicios de comunicaciones para zonas de pobreza y extrema pobreza.

Artículo 6. Modificaciones normativas

Modifícanse el artículo 5 de la Ley 29904, Ley de Promoción de la Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica, con el siguiente texto:

“Artículo 5. Velocidad mínima para el acceso a internet de banda ancha

El Ministerio de Transportes y Comunicaciones determina y actualiza anualmente la velocidad mínima para que una conexión sea considerada como acceso a internet de banda ancha, que será aplicable con independencia de la ubicación geográfica de los usuarios.

Los prestadores de servicios de internet deberán garantizar el 70% de la velocidad mínima ofrecida en los contratos con los consumidores o usuarios, y establecidas en sus planes (postpago, prepago y otros) publicitados en los diferentes medios de comunicación.

El Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL), a través del Registro Nacional de Monitoreo y Vigilancia del Servicio de Internet (RENAMV), vigila y actualiza periódicamente la velocidad de internet y otras características técnicas de las conexiones a internet de banda ancha.”

Artículo 7. Incorporación del numeral 66.8 al artículo 66 de la Ley 29571, Código de Protección y Defensa del Consumidor, con el siguiente texto:

“Artículo 66. Garantía de protección a los usuarios de servicios públicos regulados

[…]

66.8 El usuario de los servicios públicos de internet tiene los siguientes derechos:

a) La defensa de sus intereses, asegurándose su derecho al acceso a los servicios de comunicaciones electrónicas en condiciones adecuadas de elección, precio y calidad, promoviendo su capacidad a acceder, distribuir la información o utilizar las aplicaciones los servicios de sus elecciones, en particular a través de un acceso abierto a internet.

b) Tener a su disposición herramientas de medición de las velocidades del servicio de internet de bajada y de subida por la banda ancha. Estos aplicativos proporcionados por las empresas de telecomunicaciones son accesibles vía web. Estos registros se utilizan en procedimiento y son considerados medios probatorios.

c) Obtener una velocidad mínima garantizada del servicio de internet de banda ancha que contratan. Dicha velocidad no puede ser menor al 70% de la velocidad de bajada y de subida contratada en áreas urbanas y rurales.

d) A que, en la publicidad de los productos de telecomunicaciones, se consigne con claridad y en forma destacada la velocidad mínima garantizada del servicio de internet, la cantidad de megas por mes adquirida y la cantidad de los canales que incluyen el servicio de cable que ofrece”.

Artículo 8. Dación de cuenta

El titular del pliego del Ministerio de Transportes y Comunicaciones debe informar a la Comisión de Transportes y Comunicaciones del Congreso de la República la implementación de la universalización del acceso de internet cada primera semana del mes de junio.

DISPOSICIONES COMPLEMENTARIAS FINALES

PRIMERA.

El Poder Ejecutivo, a través del Ministerio de Transportes y Comunicaciones y el Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL) serán los encargados de adecuar, supervisar, fiscalizar y actualizar el Reglamento General de Calidad de los servicios Públicos de Telecomunicaciones y verificará el cumplimiento de lo dispuesto en la presente ley. Asimismo, el OSIPTEL establecerá los mecanismos para la prestación de los servicios de internet, estableciendo la simetría y la asimetría máxima entre la relación de carga y descarga (3:1 “3 de descarga, 1 de carga” y 1:3 “1 de descarga, 3 de carga”), declarándose de forma explícita toda esta información en los contratos de los usuarios.

SEGUNDA.

En un plazo no mayor de sesenta (60) días calendario, computados desde la publicación de la presente ley, el Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL) adecuará la Resolución 05-2016-CD/OSIPTEL o emitirá las normas de carácter reglamentario que sean necesarias para garantizar el cumplimiento de las disposiciones de la presente ley.

POR TANTO:

Habiendo sido reconsiderada la Ley por el Congreso de la República, insistiendo en el texto aprobado en sesión del Pleno realizada el día diecinueve de marzo de dos mil veintiuno, de conformidad con lo dispuesto por el artículo 108 de la Constitución Política del Perú, ordeno que se publique y cumpla.

En Lima, a los treinta y un días del mes de mayo de dos mil veintiuno.

MIRTHA ESTHER VÁSQUEZ CHUQUILIN, Presidenta a. i. del Congreso de la República

LUIS ANDRÉS ROEL ALVA, Segundo Vicepresidente del Congreso de la República

28Abr/21

Resolución AG/RES. 2004 (XXXIV-O/04) de 8 de junio de 2004

O.E.A., Resolución, , , , , , , , , , , , ,

Resolución AG/RES. 2004 (XXXIV-O/04) de 8 de junio de 2004. Adopción de una Estrategia Interamericana Integral de Seguridad Cibernética: Un enfoque multidimensional y multidisciplinario para la creación de una cultura de Seguridad Cibernética.

AG/RES. 2004 (XXXIV-O/04)

ADOPCIÓN DE UNA ESTRATEGIA INTERAMERICANA INTEGRAL PARA COMBATIR LAS AMENAZAS A LA SEGURIDAD CIBERNÉTICA:

UN ENFOQUE MULTIDIMENSIONAL Y MULTIDISCIPLINARIO PARA LA CREACIÓN DE UNA CULTURA DE SEGURIDAD CIBERNÉTICA

 (Aprobada en la cuarta sesión plenaria, celebrada el 8 de junio de 2004)

LA ASAMBLEA GENERAL,

VISTO el informe anual del Consejo Permanente a la Asamblea General (AG/doc.4265/04 add. 5 corr. 1), en particular la sección sobre los temas encomendados a la Comisión de Seguridad Hemisférica, y específicamente las recomendaciones sobre una Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética;

RECORDANDO su resolución AG/RES. 1939 (XXXIII-O/03),Desarrollo de una estrategia interamericana para combatir las amenazas a la seguridad cibernética”;

TENIENDO PRESENTE que el Comité Interamericano contra el Terrorismo (CICTE), en su cuarto período ordinario de sesiones, celebrado en Montevideo, Uruguay, del 28 al 30 de enero de 2004, adoptó la Declaración de Montevideo (CICTE/DEC. 1/04 rev. 3), en la que declara su compromiso de identificar y combatir las amenazas terroristas emergentes, independientemente de sus origen o motivación, tales como las amenazas a la seguridad cibernética;

OBSERVANDO CON SATISFACCIÓN:

Que la Conferencia de la OEA sobre Seguridad Cibernética, celebrada en Buenos Aires, Argentina, del 28 al 29 de julio de 2003, en cumplimiento de la resolución AG/RES. 1939 (XXXIII-O/03), demostró la gravedad de las amenazas en el ámbito de seguridad cibernética a los sistemas de información esenciales, las estructuras de información esenciales y las economías en todo el mundo y subrayó que una acción eficaz para abordar este problema debe contar con cooperación intersectorial y coordinación entre una amplia gama de entidades gubernamentales y no gubernamentales;

Que el CICTE, en su cuarto período ordinario de sesiones, celebrado en Montevideo, Uruguay, del 28 al 30 de enero de 2004, consideró el documento “Marco para el establecimiento de una Red Interamericana CSIRT de vigilancia y alerta” (CICTE/INF.4/04) y decidió celebrar una reunión de expertos gubernamentales en materia de seguridad cibernética en marzo de 2004 en Ottawa, Canadá, a fin de preparar sus recomendaciones para el proyecto de Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética, en cumplimiento de la resolución AG/RES. 1939 (XXXIII-O/03); y

Las recomendaciones formuladas por el CICTE (CICTE/REGVAC/doc.2/04), la CITEL (CPP.I-TEL/doc.427/04 rev. 2) y la Reunión de Ministros de Justicia o Ministros o Procuradores Generales de las Américas (REMJA) y su Grupo de Expertos Gubernamentales en Materia de Delito Cibernético (CIBER-III/doc.4/03);

ACOGIENDO CON BENEPLÁCITO el proyecto de Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética: Un enfoque multidimensional y multidisciplinario para crear una cultura de seguridad cibernética, recomendado a la Asamblea General por el Consejo Permanente como un esfuerzo conjunto de los Estados Miembros y sus expertos con los conocimientos técnicos especializados del CICTE, la CITEL y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA (CP/doc…/04);

RECONOCIENDO:

La urgente necesidad de incrementar la seguridad de las redes y sistemas de información comúnmente denominados Internet, a fin de abordar las vulnerabilidades y proteger a los usuarios, la seguridad nacional y las infraestructuras esenciales frente a las graves y perjudiciales amenazas que representan aquellos que podrían llevar a cabo ataques en el espacio cibernético con fines maliciosos o delictivos;

La necesidad de crear una red interamericana de alerta y vigilancia para diseminar rápidamente información sobre seguridad cibernética y responder a crisis, incidentes y amenazas a la seguridad de las computadoras y recuperarse de los mismos;

La necesidad de desarrollar redes y sistemas de Internet dignos de confianza y fiables, mejorando de ese modo la confianza del usuario en dichas redes y sistemas;

REITERANDO la importancia de desarrollar una estrategia global para la protección de la infraestructura de información que adopte un enfoque integral, internacional y multidisciplinario;

CONSIDERANDO:

Las resoluciones 55/63 y 56/121 de la Asamblea General de las Naciones Unidas sobre la lucha contra la utilización de la tecnología de la información con fines delictivos, la resolución 57/239 relativa a la creación de una cultura mundial de seguridad cibernética y la resolución 58/199 sobre la creación de una cultura mundial de seguridad cibernética y la protección de las infraestructuras de información esenciales; y

Que en su XII Reunión, el Comité Directivo Permanente de la Comisión Interamericana de Telecomunicaciones (COM/CITEL), señaló que la “creación de una cultura de ciberseguridad para proteger la infraestructura de las telecomunicaciones aumentando la conciencia entre todos los participantes de las Américas en las redes y sistemas de información relacionados con el riesgo de dichos sistemas y desarrollando las medidas necesarias para hacer frente a los riesgos de seguridad respondiendo rápidamente a los ciber-incidentes” es parte de los mandatos de la CITEL,

RESUELVE:

1. Adoptar el proyecto de Estrategia Interamericana Integral de Seguridad Cibernética que se adjunta como anexo.

2. Instar a los Estados Miembros a implementar dicha Estrategia.

3. Instar a los Estados Miembros a establecer o identificar grupos nacionales de “vigilancia y alerta”, también conocidos como “Equipos de Respuesta a Incidentes de Seguridad en Computadoras” (CSIRT).

4. Dar renovado énfasis a la importancia de lograr sistemas seguros de información de Internet en todo el Hemisferio.

5. Solicitar al Consejo Permanente que, por medio de la Comisión de Seguridad Hemisférica, siga abordando esta cuestión y continúe facilitando las medidas de coordinación para implementar dicha Estrategia, en particular los esfuerzos de los expertos gubernamentales, el Comité Interamericano contra el Terrorismo (CICTE), la Comisión Interamericana de Telecomunicaciones (CITEL) y el Grupo de Expertos en Materia de Delito Cibernético de la Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA) y otros órganos pertinentes de la OEA.

6. Instar a los Estados Miembros y a los órganos, organismos y entidades de la OEA a que coordinen sus esfuerzos para incrementar la seguridad cibernética.

7. Solicitar a las Secretarías del CICTE y la CITEL y al Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA que asistan a los Estados Miembros, cuando lo soliciten, en la implementación de las respectivas partes de la Estrategia y presenten un informe conjunto al Consejo Permanente, por medio de la Comisión de Seguridad Hemisférica, sobre el cumplimiento de esta resolución, antes del trigésimo quinto período ordinario de sesiones de la Asamblea General.

8. Respaldar la celebración de la segunda Reunión de Practicantes Gubernamentales en Materia de Seguridad Cibernética que convocará el CICTE para el seguimiento oportuno de las recomendaciones sobre el Establecimiento de la Red Interamericana de Alerta y Vigilancia, que figuran en el documento CICTE/REGVAC/doc.2/04 y que forman parte de la Estrategia.

9. Estipular que esa Reunión de Practicantes Gubernamentales en Materia de Seguridad Cibernética se celebre con los recursos asignados en el programa-presupuesto de la Organización y otros recursos, y solicitar que la Secretaría General y la Secretaría del CICTE proporcionen el apoyo administrativo y técnico necesario para esta reunión.

10. Instar a los Estados Miembros a implementar, según corresponda, las recomendaciones de la Reunión Inicial del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA (REMJA-V/doc.5/04) y las recomendaciones relativas a seguridad cibernética de la Quinta Reuníón de la REMJA (REMJA-V/doc.7/04 rev. 4) como medio de crear un marco para promulgar leyes que protejan los sistemas de información, impidan el uso de computadoras para facilitar actividades ilícitas y sancionen el delito cibernético.

11. Solicitar al Consejo Permanente que informe a la Asamblea General en su trigésimo quinto período ordinario de sesiones sobre la implementación de esta resolución.

ANEXO A. UNA ESTRATEGIA INTERAMERICANA INTEGRAL DE SEGURIDAD CIBERNÉTICA: UN ENFOQUE MULTIDIMENSIONAL Y MULTIDISCIPLINARIO  PARA LA CREACIÓN DE UNA CULTURA DE SEGURIDAD CIBERNÉTICA.

INTRODUCCIÓN

La Internet y las redes y tecnologías relacionadas se han convertido en instrumentos indispensables para los Estados Miembros de la OEA.  La Internet ha impulsado un gran crecimiento en la economía mundial y ha aumentado la eficacia, productividad y creatividad en todo el Hemisferio. Individuos, empresas y gobiernos cada vez utilizan más las redes de información que integran la Internet para hacer negocios; organizar y planificar actividades personales, empresariales y gubernamentales; transmitir comunicaciones; y realizar investigaciones. Asimismo, en la Tercera Cumbre de las Américas, en la ciudad de Quebec, Canadá, en 2001, nuestros líderes se comprometieron a seguir aumento la conectividad en las Américas.

Lamentablemente, la Internet también ha generado nuevas amenazas que ponen en peligro a toda la comunidad mundial de usuarios de Internet.  La información que transita por Internet puede ser malversada y manipulada para invadir la privacidad de los usuarios y estafar a los negocios.  La destrucción de los datos que residen en las computadoras conectadas por Internet puede obstaculizar las funciones del gobierno e interrumpir el servicio público de telecomunicaciones y otras infraestructuras críticas.  Estas amenazas a nuestros ciudadanos, economías y servicios esenciales, tales como las redes de electricidad, aeropuertos o suministro de agua, no pueden ser abordadas por un solo gobierno ni tampoco pueden combatirse utilizando una sola disciplina o práctica.  Como reconoce la Asamblea General en la resolución AG/RES. 1939 (XXXIII-O/03) (Desarrollo de una Estrategia Interamericana para Combatir las Amenazas a la Seguridad Cibernética), es necesario desarrollar una estrategia integral para la protección de las infraestructuras de información que adopte un enfoque integral, internacional y multidisciplinario. La OEA está comprometida con el desarrollo e implementación de esta estrategia de seguridad cibernética y en respaldo a esto, celebró una Conferencia sobre Seguridad Cibernética (Buenos Aires, Argentina, del 28 al 29 de julio de 2003) que demostró la gravedad de las amenazas a la seguridad cibernética para la seguridad de los sistemas de información esenciales, las insfraestructuras esenciales y las economías en todo el mundo, y que una acción eficaz para abordar este problema debe contar con la cooperación intersectorial y la coordinación entre una amplia gama de entidades gubernamentales y no gubernamentales.(1)

De forma similar, en la Conferencia Especial sobre Seguridad (Ciudad de México, México, del 28 al 20 de octubre de 2003) los Estados Miembros consideraron el tema de la seguridad cibernética y acordaron lo siguiente:

“Desarrollaremos una cultura de seguridad cibernética en las Américas adoptando medidas de prevención eficaces para prever, tratar y responder a los ataques cibernéticos, cualquiera sea su origen, luchando contra las amenazas cibernéticas y la delincuencia cibernética, tipificando los ataques contra el espacio cibernético, protegiendo la infraestructura crítica y asegurando las redes de los sistemas. Reafirmamos nuestro compromiso de desarrollar e implementar una estrategia integral de la OEA sobre seguridad cibernética, utilizando las contribuciones y recomendaciones elaboradas conjuntamente por los expertos de los Estados Miembros y por el Grupo de Expertos Gubernamentales de la REMJA en Materia de Delito Cibernético, el CICTE, la Comisión Interamericana de Telecomunicaciones (CITEL) y otros órganos apropiados, teniendo en cuenta el trabajo que desarrollan los Estados Miembros coordinado con la Comisión de Seguridad Hemisférica.”(2)

Los estados del Hemisferio, reunidos en el cuarto período ordinario de sesiones del Comité Interamericano contra el Terrorismo (CICTE) (Montevideo, Uruguay, del 28 al 30 de enero de 2004), una vez más declararon su compromiso de combatir el terrorismo, incluidas las amenazas a la seguridad cibernética, la cual identificaron como una de las amenazas terroristas emergentes.(3)  en esa ocasión, el CICTE también consideró el documento “Marco para establecer una Red Interamericana CSIRT de Vigilancia y Alerta”.(4)  en esa ocasión el CICTE también decidió celebrar, en Ottawa, Canádá, en marzo de 2004, una reunión de expertos o practicantes gubernamentales para considerar ese Marco y elaborar recomendaciones, como aporte del CICTE a la Estrategia Interamericana Integral de Seguridad Cibernética.

La Estrategia Interamericana Integral de Seguridad Cibernética se basa en los esfuerzos y conocimientos especializados del Comité Interamericano contra el Terrorismo (CICTE), la Comisión Interamericana de Telecomunicaciones  (CITEL), y la Reunión de Ministros de Justicia o Ministros o Procuradores Generales de las Américas (REMJA).  La Estrategia reconoce la necesidad de que todos los participantes en las redes y sistemas de información sean conscientes de sus funciones y responsabilidades con respecto a la seguridad a fin de crear una cultura de seguridad cibernética.

La Estrategia también reconoce que un marco eficaz para la protección de las redes y sistemas de información que integran la Internet y para responder a incidentes y recuperarse de los mismos dependerá en igual medida de que:

Se proporcione información a los usuarios y operadores para ayudarles a asegurar sus computadoras y redes contra amenazas y vulnerabilidades, y a responder ante incidentes y a recuperarse de los mismos;

Se fomenten asociaciones públicas y privadas con el objetivo de incrementar la educación y la concientización, y se trabaje con el sector privado –el cual posee y opera la mayoría de las infraestructuras de información de las que dependen las naciones—para asegurar esas infraestructuras;

Se identifiquen y evalúen normas técnicas y prácticas óptimas para asegurar la seguridad de la información transmitida por Internet y otras redes de comunicaciones, y se promueva la adopción de las mismas; y

Se promueva la adopción de políticas y legislación sobre delito cibernético que protejan a los usuarios de Internet y prevengan y disuadan el uso indebido e ilícito de computadoras y redes informáticas, respetando a su vez la privacidad de los derechos individuales de los usuarios de Internet.

Los Estados Miembros de la OEA están comprometidos, en el marco de este proyecto de Estrategia Interamericana Integral de Seguridad Cibernética, a fomentar una cultura de seguridad cibernética que disuada el uso indebido de la Internet y los sistemas de información asociados e impulse el desarrollo de redes de información que sean de confianza y fiables.  Este compromiso se llevará a cabo por medio de las acciones de los Estados Miembros y las iniciativas que emprenderán el CICTE, la CITEL, y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA que se describen a continuación.

CICTE: Formación de una Red Interamericana de Vigilancia y Alerta para la rápida divulgación de información sobre seguridad cibernética y la respuesta a crisis, incidentes y amenazas a la seguridad informática

Dada la rápidamente cambiante naturaleza de la tecnología, el descubrimiento diario de nuevas vulnerabilidades en el software y hardware, y el creciente número de incidentes de seguridad, la seguridad cibernética es imposible sin un suministro constante y fiable de información sobre amenazas y vulnerabilidades y sobre cómo responder ante estos incidentes y recuperarse de los mismos. Por lo tanto, en respaldo a la Estrategia Interamericana Integral de Seguridad Cibernética, el CICTE formulará planes para la creación de una red hemisférica que funcione 24 horas al día, 7 días a la semana, de Equipos de Respuesta a Incidentes de Seguridad en Computadoras (CSIRT) con la capacidad y el mandato de divulgar correcta y rápidamente información relacionada con la seguridad cibernética y proporcionar orientación y apoyo técnico en el caso de un incidente cibernético.  Estos equipos podrían empezar simplemente como puntos nacionales de contacto ubicados en cada Estado encargados de recibir información relacionada con la seguridad informática que se transformarían en CSIRT en el futuro. Las características principales de la iniciativa para crear esta red hemisférica se esbozan más abajo y se describen en detalle en el documento “Recomendaciones del Taller para Practicantes en Materia de Seguridad Cibernética del CICTE sobre la Estrategia Integral de Seguridad Cibernética de la OEA: Marco para establecer una Red Interamericana CSIRT de Vigilancia y Alerta” (CICTE/REGVAC/doc.2/04).(5) El CICTE creará, junto con los Estados Miembros, esta red hemisférica utilizando el plan de acción que se presenta en ese documento (CICTE/REGVAC/ doc.2/04, Sección IV, páginas 4-6).

Principios

Los grupos de “vigilancia y alerta” que participarán en la iniciativa del CICTE compartirán los siguientes principios comunes:

Locales – La red hemisférica debe ser manejada y controlada por los puntos nacionales de contacto en cada país participante nombrados por los gobiernos.

Sistémicos – La red hemisférica requiere un personal capacitado, la distribución periódica de información relativa a las amenazas y vulnerabilidades vigentes, una reevaluación constante, la implementación de las mejores prácticas y la apropiada interacción con las personas encargadas de formular políticas.

Permanentes – Debido a la evolución diaria inherente a la Internet, el programa deberá actualizarse y mantenerse con regularidad, y el personal deberá ser capacitado periódicamente.

Responsables – Deben entenderse y seguirse las reglas establecidas con respecto a cuestiones tales como el manejo y el suministro de la información, ya que de otra manera los usuarios perderían la confianza y los esfuerzos para proteger el sistema se verán perjudicados e incluso serán contraproducentes.

Basados en disposiciones ya existentes – Hay un número de entidades que ya existen en el Hemisferio y que proporcionan servicios de seguridad cibernética en mayor o menor medida. Un sistema nuevo deberá basarse en esas instituciones ya existentes, a fin de evitar duplicaciones y promover una participación activa.

Creación de la red hemisférica

La creación de una red hemisférica de CSIRT requerirá una serie de medidas progresivas que dependerán de la participación activa de los Estados Miembros:

Identificación de organizaciones CSIRT existentes – Debe realizarse un censo de CSIRT en el Hemisferio a fin de identificar lagunas en la cobertura de los CSIRT que actualmente existen en el Hemisferio y prevenir la duplicación de esfuerzos.

Establecimiento de un modelo de servicio – Los CSIRT nacionales deberán ser designados por sus gobiernos respectivos y será certificados y autorizados de acuerdo con las normas internacionales de la comunidad de servicios informáticos.  También deberá establecerse un conjunto mínimo de normas para la cooperación y el intercambio de información entre los CSIRT, como las que se enumeran en el documento CICTE/REGVAC/doc.2/04.

Cuestiones de confianza – Dado que gran parte de la información que tienen que intercambiar los CSIRT es de propiedad exclusiva, o es de carácter delicado por otros motivos, debe crearse confianza entre los participantes como un elemento esencial de la red hemisférica.  Para establecer relaciones de confianza, los CSIRT deberán contar con los atributos y capacidades que se describen en el documento CICTE/REGVAC/doc.2/04, los cuales incluyen una infraestructura segura para el manejo de información delicada; la capacidad para comunicarse sin riesgos con los interesados; y procedimientos de protección contra la fuga de información.  Los Estados Miembros mantendrán en todo momento el derecho a determinar el tipo de información que intercambiarían a través de sus CSIRT designados.

Creación de conciencia pública – Los CSIRT nacionales deberán asegurar que el público sabe cómo notificar un incidente cibernético y a quién notificarlo.

Extensión de la red – Los Estados Miembros considerarán, cuando proceda, extender las capacidades de la red hemisférica, a fin de ayudar a los Estados que así lo soliciten en la elaboración de sus planes concretos, la obtención de financiamiento y la creación de proyectos de desarrollo de capacidades.

Mantenimiento de la red – El Grupo de Practicantes Gubernamentales en Materia de Seguridad Cibernética se reunirá periódicamente, en la medida necesaria y cuando lo convoque el CICTE, teniendo en cuenta los recursos disponibles.

CITEL:  Identificación y adopción de normas técnicas para una arquitectura segura de Internet

La IV Reunión del Comité Consultivo Permanente I: Normalización de las Telecomunicaciones, celebrada en Quito, Ecuador, del 16 al 19 de marzo de 2004, adoptó la Resolución adjunta CCP.I/RES.49 (IV-04)(6)Seguridad cibernética“, tras llevar a cabo un taller conjunto con la Unión Internacional de Telecomunicaciones (UIT) que abordó cuestiones clave de seguridad cibernética en lo que concierne a la CITEL. Dicha resolución, que incluye la contribución de la CITEL a la Estrategia Interamericana Integral sobre Seguridad Cibernética, se reproduce más adelante y proporciona orientación para la futura labor de la CITEL en esa área:

Una estrategia eficaz de seguridad cibernética deberá reconocer que la seguridad de la red de los sistemas de información que comprenden la Internet requiere una alianza entre el gobierno y la industria. Tanto las industrias de telecomunicaciones y de tecnología de la información como los gobiernos de los Estados Miembros de la OEA están buscando soluciones integrales de seguridad cibernética eficaces en función de costos. Las capacidades de seguridad en los productos de computación son imprescindibles como elementos de la seguridad global de la red. Sin embargo, a medida de que se produzcan más tecnologías y se las integren en las redes existentes, su compatibilidad e interoperabilidad – o la falta de estas – determinarán su eficacia. La seguridad deberá desarrollarse de una manera tal que promueva la integración de capacidades de seguridad aceptables con la arquitectura general de la red. Para lograr semejantes soluciones integradas de seguridad cibernética con base en la tecnología, deberá diseñarse la seguridad de la red alrededor de normas internacionales desarrolladas en un proceso abierto.

El desarrollo de normas para la arquitectura de seguridad en Internet requerirá un proceso de múltiples pasos para asegurar que se logre un nivel adecuado de consenso, planificación y aceptación entre las diferentes entidades gubernamentales y privadas que deberán cumplir un papel en la promulgación de semejantes normas. Aprovechando el trabajo de organizaciones de normalización como el Sector de Normalización de la Unión Internacional de Telecomunicaciones (UIT-T), la CITEL está identificando y evaluando las normas técnicas para poder recomendar su aplicabilidad a la región de las Américas, teniendo presente que el desarrollo de las redes en algunos de los Estados Miembros de la OEA ha sufrido algunos retrasos, lo que implica que, para tales países, el logro de un cierto grado de calidad para sus redes será importante para poder llevar a cabo plenamente sistemas para intercambio de información adecuadamente seguros. La CITEL está estableciendo enlaces, además, con otras entidades de normalización y foros de la industria para obtener la participación y los aportes de dichas partes.

La identificación de las normas de seguridad cibernética será un proceso de múltiples pasos. Una vez que la evaluación por la CITEL de las normas técnicas vigentes se complete, recomendará la adopción de normas especialmente importantes para la región. Además, en forma oportuna y permanente, identificará los obstáculos que impidan la aplicación de dichas normas de seguridad en las redes de la región, y la posible acción apropiada que puedan considerar los Estados Miembros.

El desarrollo de las normas técnicas no es un emprendimiento que sea igual para todos. La CITEL evaluará los enfoques regionales a la seguridad de redes, las estrategias de despliegue, el intercambio de información y la difusión a los sectores público y privado. Como parte de este esfuerzo, la CITEL identificará los recursos para las mejores prácticas en la comunicación en redes y la protección de la infraestructura con base en las tecnologías. Este proceso requerirá que la CITEL revise los objetivos, el alcance, la pericia, los marcos técnicos y los lineamientos asociados con los recursos disponibles, para poder determinar su aplicabilidad dentro de la región de las Américas, con el fin de decidir cuáles serán los más apropiados. La CITEL continuará trabajando con los Estados Miembros para asistirles para la aplicación más apropiada y eficaz.

La contribución de la CITEL a la Estrategia Interamericana Integral de Seguridad Cibernética adoptará un enfoque prospectivo y buscará fomentar el intercambio de información entre los Estados Miembros para así promover las redes seguras. Identificará y evaluará los asuntos técnicos relativos a las normas requeridas para la seguridad de las redes futuras de comunicaciones en la región, así como las existentes. Esta función aprovechará primordialmente del trabajo del UIT-T. Otras entidades de normalización existentes, a través de la CITEL, serán consideradas según sean apropiadas. en último término, la CITEL resaltará las normas de seguridad de especial importancia y recomendará que los Estados Miembros adopten dichas normas. También es importante enfatizar el papel crucial de la CITEL en la promoción de programas de aumento de la capacidad y capacitación, con el fin de llevar adelante el proceso de propagación de información técnica y práctica relacionada con los asuntos de la seguridad cibernética.

La CITEL reconoce que, aunque la primera prioridad deberá enfocarse en las políticas públicas que llevarán los beneficios de las tecnologías de las telecomunicaciones y la información a todos los ciudadanos de los Estados Miembros de la OEA, el fortalecimiento de la alianza privada- pública que redundará en la adopción amplia de un marco de normas técnicas que ayudarán a asegurar la Internet, requerirá de la comunicación y cooperación entre y dentro de las comunidades involucradas en esta asociación. La CITEL fomentará la cooperación entre los Estados Miembros en los aspectos relativos a la seguridad de redes, mediante la asistencia a las administraciones a que adopten políticas y prácticas que incentiven a los proveedores de servicios y redes a aplicar las normas técnicas para la seguridad de sus redes. La nueva edición del Libro Azul “Políticas de Telecomunicaciones para las Américas”, publicación conjunta de la CITEL y la UIT, incluirá un capítulo sobre la seguridad cibernética.  La CITEL también fomentará un diálogo dentro de las comunidades técnicas y gubernamentales pertinentes con relación al trabajo sobre la seguridad cibernética y de redes mediante seminarios conjuntos con la UIT sobre normas de seguridad. Las acciones de la CITEL podrán también incluir materias relativas a las políticas de telecomunicaciones, prácticas, regulaciones, aspectos económicos y responsabilidades de los usuarios, todo ello en el marco jurídico dentro del cual operan los servicios de telecomunicaciones, y dentro de las funciones y responsabilidades de la CITEL.

REMJA: Asegurar que los Estados Miembros de la OEA cuentan con los instrumentos jurídicos necesarios para proteger a los usuarios de Internet y las redes de información

Los delincuentes, como los “piratas informáticos”, los grupos delictivos organizados y los terroristas cada vez explotan más la Internet para fines ilícitos e ingenian nuevos métodos para utilizar la Internet como un medio para cometer y facilitar delitos.  Estas actividades ilícitas, a las que normalmente nos referimos como “delitos cibernéticos,” impiden el crecimiento y desarrollo de la Internet, fomentando el temor de que la Internet no es un medio seguro ni de confianza para realizar transacciones personales, gubernamentales o de negocios.  Por consiguiente, la contribución de la REMJA a la Estrategia Interamericana Integral de Seguridad Cibernética, por medio de las iniciativas del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético (el Grupo de Expertos), se centrará en asistir a los Estados Miembros a combatir el delito cibernético, asegurando que las autoridades policiales y judiciales cuenten con los instrumentos jurídicos necesarios para investigar y enjuiciar dichos delitos. Esta decisión fue adoptada por la REMJA en su reunión celebrada del 28 al 30 de abril de 2004 en Washington, D.C., Estados Unidos.(7)

Redacción y promulgación de legislación en materia de delito cibernético y mejoramiento de la cooperación internacional en asuntos relacionados con delitos cibernéticos

Si no cuentan con leyes y reglamentos adecuados, los Estados Miembros no pueden proteger a sus ciudadanos de los delitos cibernéticos.  Además, los Estados Miembros que carecen de leyes y mecanismos de cooperación internacional en materia de delito cibernético corren el riesgo de convertirse en refugios para los delincuentes que cometen estos delitos.  Por consiguiente, el Grupo de Expertos proporcionará asistencia técnica a los Estados Miembros para la redacción y promulgación de leyes que tipifiquen el delito cibernético, protejan los sistemas de información y eviten el uso de las computadoras para facilitar actividades delictivas.  El Grupo de Expertos también promoverá mecanismos jurídicos que fomenten la cooperación en asuntos relacionados con delitos cibernéticos entre los investigadores y las autoridades policiales y judiciales que investigan y procesan casos de delitos cibernéticos.  Estas iniciativas de respaldo a la Estrategia Interamericana Integral de Seguridad Cibernética se emprenderán en el marco de las recomendaciones formuladas por el Grupo de Expertos (Tercera Reunión del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético, OEA/Ser.K/XXXIV, CIBER-III/doc.4/03). (8)

Para llevar a cabo esta iniciativa, el Grupo de Expertos creará material de capacitación, proporcionará asistencia técnica y llevará a cabo talleres regionales para asistir en la formulación de políticas gubernamentales y leyes que ayuden a generar confianza en los sistemas de información y en la Internet, mediante la tipificación como delito del uso indebido de computadoras y redes informáticas.  La capacitación en colaboración que proporcionará el Grupo de Expertos a los Estados Miembros se centrará en la modernización de las leyes y reglamentos para hacer frente al desafío que representa la lucha contra el delito cibernético.  Uno de los objetivos principales de estas sesiones de capacitación será el esbozo de las leyes penales y protecciones de la privacidad que sean necesarias para ayudar a hacer más seguros sus sistemas de información y promover la confianza entre los usuarios de esos sistemas.  Específicamente, los talleres se concentrarán en la promulgación de distintas categorías de leyes:

Leyes substantivas sobre delitos cibernéticos – Todos los Estados Miembros deberán establecer prohibiciones de carácter penal y jurídico a los ataques contra la confidencialidad, integridad y seguridad de los sistemas informáticos. Comportamientos tales como el acceso a computadoras sin autorización, la intercepción ilícita de datos, la interferencia con la disponibilidad de sistemas informáticos, y el robo y sabotaje de datos deberán considerarse ilícitos de conformidad con la ley de cada Estado Miembro de la OEA.

Leyes procesales para la recopilación de pruebas electrónicas – Además, todos los países deberán contar con procedimientos claros acordes con las normas internacionales para el acceso del gobierno a las comunicaciones y los datos almacenados cuando sea necesario para la investigación de un delito. Es igualmente importante que se asegure a las empresas y consumidores que el gobierno no va a vigilar de forma injustificada sus comunicaciones, y que se asegure a los consumidores que los datos que suministran a los comerciantes no van a ser utilizados indebidamente.

Los talleres se centrarán en la necesidad de redactar dichas leyes de un manera que sea “neutral con respecto a la tecnología” (por ejemplo, dichas leyes deberán contemplar tipos de delitos o tipos de comportamiento en vez de ser redactadas solamente para contemplar un tipo particular de tecnología) para prevenir que las leyes recién promulgadas se vuelvan rápidamente obsoletas o irrelevantes.

La naturaleza sin fronteras de las redes mundiales significa que un único acto delictivo relacionado con una computadora puede afectar o dirigirse a computadoras en varios países. Durante sus talleres regionales, el Grupo de Expertos también proporcionará capacitación sobre cómo responder a estos desafíos en el marco de la cooperación internacional y facilitar el intercambio de información relativa a las investigaciones sobre casos de delitos cibernéticos.  Se pondrá especial énfasis en el establecimiento de relaciones entre los expertos en materia de delito cibernético en el Hemisferio a fin de facilitar la cooperación internacional y proporcionar un acceso fácil a los conocimientos especializados y recursos de la región para combatir el delito cibernético.

Tras la celebración de los talleres, el Grupo de Expertos asistirá nuevamente a los Estados Miembros proporcionando consultas jurídicas para respaldar a los ministerios del gobierno y legislaturas en la redacción de leyes, reglamentos y políticas.  Puede requerirse asistencia de los expertos a nivel bilateral para respaldar a los gobiernos en la formulación de leyes y políticas que consagren los conceptos centrales de las leyes en materia de delito cibernético, autoridades de investigación y privacidad.

CONCLUSIONES Y ESTRATEGIA DE SEGUIMIENTO

Cada una de las iniciativas del CICTE, la CITEL, y la REMJA que se describen arriba representa un pilar de este proyecto de Estrategia Interamericana Integral de Seguridad Cibernética. De forma conjunta, los esfuerzos multidisciplinarios concertados de estos órganos apoyarán el crecimiento, desarrollo y protección de la Internet y los sistemas de información relacionados, y protegerán a los usuarios de esas redes de información.  Estas iniciativas pueden ir cambiando con el paso del tiempo y requerir nuevos enfoques, pero su objetivo seguirá siendo el mismo: la creación y apoyo de una cultura de seguridad cibernética.  Considerando que la Estrategia es dinámica, debe emprenderse un examen periódico a fin de asegurar su continua aplicabilidad y eficacia. Esto puede lograrse a través de las siguientes acciones:

1. Coordinación y cooperación permanentes entre las Secretarías del CICTE, la CITEL y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA.

2. Fortalecimiento de la coordinación entre las autoridades y entidades nacionales, incluidos los CSIRT nacionales, que trabajan en cuestiones relacionadas con la seguridad cibernética.

3. Establecimiento de una sitio Web conjunto en el que pueda introducirse la información pertinente sobre seguridad cibernética generada por el CICTE, la CITEL y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la REMJA, a fin de permitir un fecundo intercambio de ideas y facilitar el intercambio de información.

4. Los Estados Miembros deberán llevar a cabo, junto con el CICTE, la CITEL y el Grupo de Expertos Gubernamentales de la REMJA en Materia de Delito Cibernético, un programa interamericano de concientización del público acerca de la seguridad y la ética cibernéticas en el que se destaquen: las ventajas y responsabilidades del uso de redes de información; las mejores prácticas de seguridad y protección; las posibles consecuencias negativas del uso indebido de las redes; cómo reportar un incidente cibernético y a quién; e información técnica y práctica relacionada con la seguridad cibernética.

5. Exámenes periódicos de las iniciativas y programas en materia de seguridad cibernética del CICTE, la CITEL y el Grupo de Expertos Gubernamentales de la REMJA en Materia de Delito Cibernético, y sobre la implementación de la Estrategia, que realizarán estos tres órganos, con un informe conjunto de progreso para la Asamblea General.

ANEXO I. COMITÉ INTERAMERICANO CONTRA EL TERRORISMO (CICTE)

TALLER PARA PRACTICANTES EN MATERIA DE SEGURIDAD CIBERNÉTICA 9-30 de marzo de 2004. Ottawa, Canadá                                                                                                                      

OEA/Ser.L/X.5 CICTE/REGVAC/doc.2/04 8 abril 2004. Original: inglés

RECOMENDACIONES DEL TALLER PARA PRACTICANTES EN MATERIA DE SEGURIDAD CIBERNÉTICA DEL CICTE SOBRE LA ESTRATEGIA INTEGRAL DE SEGURIDAD CIBERNÉTICA DE LA OEA: MARCO PARA ESTABLECER UNA RED INTERAMERICANA CSIRT DE VIGILANCIA Y ALERTA

I. OBJETIVOS

Crear una red hemisférica, que funcione 24 horas al día, 7 días a la semana, de puntos nacionales de contacto entre equipos de respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con el mandato y la capacidad de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la seguridad cibernética.

Estos equipos podrían comenzar simplemente como puntos de contacto oficiales en cada uno de los Estados y estarían a cargo de recibir información sobre seguridad cibernética. en el futuro se convertirían en un CSIRT.         

Los intrusos ahora tienen medios cada vez más complejos para lanzar ataques muy automatizados que se desplazan rápidamente a través de Internet, empleando técnicas que tienen por fin encubrir el origen de tales ataques y dificultar su rastreo. Por tanto, reviste importancia creciente la colaboración mundial y la capacidad de respuesta en tiempo real entre los equipos. Dicha colaboración debe permitir lo siguiente:

1. El establecimiento de CSIRT en cada uno de los Estados Miembros;

2. El fortalecimiento de los CSIRT hemisféricos;

3. La identificación de los puntos de contacto nacionales;

4. La identificación de los servicios críticos;

5. El diagnóstico rápido y preciso del problema;

6. El establecimiento de protocolos y procedimientos para el intercambio de información;

7. La pronta diseminación regional de advertencias sobre ataques;

8. La pronta diseminación regional de advertencias sobre vulnerabilidades genéricas;

9. La difusión de un alerta regional sobre actividades sospechosas y la colaboración para analizar y diagnosticar tales actividades;

10. El suministro de información sobre medidas para mitigar y remediar los ataques y amenazas;

11. La reducción de duplicaciones de análisis entre los equipos;

12. El fortalecimiento de la cooperación técnica y la capacitación en materia de seguridad cibernética para establecer los CSIRTs nacionales;

13. La utilización de los mecanismos subregionales existentes.

La colaboración refuerza los conocimientos técnicos existentes entre los equipos para limitar mejor los perjuicios y permitir que continúen funcionando los servicios de importancia crítica.

II. PRINCIPIOS

1. Locales – La red hemisférica debe ser manejada y controlada por los puntos nacionales de contacto en cada país participante nombrados por los gobiernos.

2. Sistémicos – La red hemisférica debe ser una operación multifacética que requiera un personal consciente y especializado, la distribución periódica de información relativa a las amenazas y vulnerabilidades vigentes, una reevaluación e implementación constantes de mejores prácticas y una interacción adecuada con las autoridades públicas.

3. Permanentes – Debido a la evolución diaria inherente a la Internet, para que tenga buen resultado todo programa deberá actualizarse y mantenerse con regularidad, y el personal deberá ser capacitado periódicamente. La seguridad en la Internet no se logrará mediante una acción única.

4. Responsables – La “seguridad” en la “ciberseguridad”. Deben entenderse y seguirse reglas establecidas respecto de cuestiones tales como el manejo y el suministro de la información, ya que de otra manera los usuarios perderían la confianza y los esfuerzos para proteger el sistema serán perjudicados e incluso serán contraproducentes.

Basados en disposiciones ya existentes – Hay un número de entidades que ya existen en el hemisferio, entre ellas, CSIRT, compañías consultoras y redes de contactos, que proporcionan servicios de seguridad cibernética en mayor o menor medida. Un sistema nuevo deberá basarse en esas instituciones ya existentes y las relaciones de confianza que ya se han establecido dentro de cada región y entre regiones, a fin de evitar duplicaciones y promover una participación activa.

III. IDENTIFICACIÓN DE ORGANIZACIONES EXISTENTES, ESTABLECIMIENTO DE UN MODELO DE SERVICIO, CUESTIONES DE CONFIANZA, FINANCIAMIENTO, CONCIENCIA PÚBLICA Y EXTENSIÓN DE LA RED

1. Identificación de organizaciones existentes

En todo el mundo hay más de cien organizaciones que usan el nombre CERT (Computer Emergency Response Team: equipo de respuesta a emergencias de computación) o CSIRT (el término genérico de significado equivalente). El Foro de Equipos de Respuesta a Incidentes y de Seguridad (Forum of Incident Response and Security Teams: FIRST), una asociación mundial voluntaria de equipos CSIRT, cuenta con 79 miembros en los Estados Miembros de la OEA, sin embargo la gran mayoría de estos actualmente existen en un Estado Miembro solamente. Dadas las lagunas en la información, llevar a cabo un censo de los CSIRT es el primer paso fundamental para la creación de una red de seguridad cibernética.

2. Establecimiento de un modelo de servicio

Si bien no hay normas internacionales acordadas sobre qué es lo que constituye un CSIRT, hay una serie de documentos y actividades que pueden servir para definir un equipo CSIRT y para la certificación y autorización de tales equipos.

El CERT/CC ha publicado varios documentos que pueden servir de ayuda para la creación de un CSIRT, entre los que se cuentan los siguientes:

Handbook for Computer Security Incident Response Teams (CSIRTs) (Manual para equipos de respuesta a incidentes de seguridad de computadoras (CSIRT)): guía actualizada sobre cuestiones genéricas que deben considerarse al formar un CSIRT;

State of the Practice of Computer Security Incident Response Teams (Estado actual de las prácticas de los equipos de respuesta a incidentes de seguridad de computadoras). Este informe contiene información recogida mediante un estudio piloto de estos equipos, la experiencia propia del CERT/CC, discusiones con otros CSIRT y observaciones de éstos, e investigación y críticas de las publicaciones actuales sobre la respuesta a incidentes; y

Creating a Computer Security Incident Response Team: A Process for Getting Started (Creación de un equipo de respuesta a incidentes de seguridad de computadoras: un método para su comienzo). Éste es un documento en el que se describen los requisitos básicos para crear un CSIRT.

Debería existir un sistema de certificación y autorización de CSIRT nacionales. Los Estados Miembros deberían considerar si la afiliación de sus CSIRT nacionales al FIRST satisfaría los requisitos de certificación y autorización.

Cuando se establece una red regional de CSIRT nacionales cooperantes, debe preverse un conjunto mínimo de normas para la cooperación y el intercambio de información entre los CSIRT, entre las que se contarían las siguientes:

i. designación del CSIRT nacional por el gobierno respectivo;

ii. convenio sobre los principios para compartir información entre los equipos cooperantes;

iii. responsabilidad por recibir información de otros CSIRT nacionales, y por diseminar dicha información entre las entidades idóneas dentro del país;

iv. participación en el intercambio de información entre los otros CSIRT nacionales en la red hemisférica;

v. autorización para diseminar información entre otros CSIRT nacionales; y

vi. prestación de asistencia a otros CSIRT nacionales para incidentes y amenazas.

3. Cuestiones de confianza

Gran parte de la información que tienen que intercambiar los CSIRT es de propiedad exclusiva, o es de carácter delicado por otros motivos, y hay pocos modelos buenos que sirvan para compartir uniformemente datos entre tales equipos. La confianza —el ingrediente esencial cuando se comparte información—, cuando existe, se desarrolla en la práctica entre individuos que se conocen y han trabajado juntos, más bien que institucionalmente entre organizaciones. Para establecer la confianza, todas las partes deben entender y seguir pautas claras sobre la forma en que la información intercambiada será usada o diseminada. Todos los CSIRT nacionales cooperantes deben convenir en las reglas para compartir información, que indiquen cómo tal información puede usarse o diseminarse.

Entre los atributos que los CSIRT requieren para promover la confianza en las comunicaciones y la cooperación respecto de asuntos delicados de seguridad figuran los siguientes:

i. una infraestructura segura para el manejo de información delicada;

ii. la capacidad para comunicarse sin riesgos con los interesados;

iii. la capacidad para reunir expertos y autoridades;

iv. una infraestructura que permita la notificación anticipada a determinadas audiencias;

v. procedimientos de protección contra fuga de información;

vi. una interfaz pública bien conocida para la diseminación de información crítica; y

vii. la capacidad para llegar rápidamente a una gran audiencia.

La creación de una capacidad CSIRT regional requiere la formación de un consenso sobre las reglas para el intercambio de información, incluso qué información puede compartirse, con quién, y cuándo.

4. Financiamiento

Los Estados Miembros considerarán los mecanismos de financiación para establecer y mantener un CSIRT nacional en cada país y participar en la red hemisférica.

5. Conciencia pública

 Los Estados Miembros deben llevar a cabo, junto con la CITEL y el Grupo de Trabajo de la REMJA, un programa interamericano de concientización del público acerca de la seguridad y la ética cibernéticas en el que se destaquen:

i.  las ventajas y responsabilidades del uso de redes de información;

ii. las mejores prácticas de seguridad y protección;

iii. las posibles consecuencias negativas del uso indebido de las redes;

iv. como reportar un incidente cibernético y a quien; y

v. información técnica y práctica relacionada con la seguridad cibernética.

El público incluye a los Estados Miembros, las entidades gubernamentales de todo nivel, el sector privado, el sector académico y la población general.

6. Extensión de la Red

Los Estados Miembros considerarán, cuando proceda, extender las capacidades de la red hemisférica, a fin de ayudar a los Estados que así lo soliciten en la elaboración de planes concretos, la obtención de financiamiento y la creación de proyectos de desarrollo de capacidades.

IV.  Plan de acción

A. Censo

Llevar a cabo un censo para identificar los CSIRT existentes, la diversidad de miembros y los servicios que proporcionan. Esto nos permitirá identificar las lagunas en la cobertura, tanto geográfica como sectorialmente, y establecerá las bases para fijar un conjunto consensual de servicios que ofrecerán los CSIRT miembros.

B. Reglas relativas al intercambio de información

 Establecer reglas relativas al intercambio de información entre los CSIRT, incluido cómo debe protegerse y difundirse la información intercambiada.

C. Establecimiento de los CSIRT nacionales

Cada Estado miembro establecerá los CSIRT nacionales. Entre sus responsabilidades figurarán la implementación de las propuestas pertinentes contenidas en el documento “Recomendaciones del Taller para Practicantes en Materia de Seguridad Cibernética del CICTE sobre la Estrategia Integral de Seguridad Cibernética de la OEA: Marco para Establecer una Red Interamericana CSIRT de Vigilancia y Alerta” (REGVAC/doc.2/04).

D. Punto nacional de contacto

Designar un punto nacional de contacto con capacidad para intercambiar información acerca de amenazas, deficiencias e incidentes, informar sobre el estado de la seguridad cibernética en su jurisdicción y brindar información oportuna a las autoridades de ésta.

E. Compendio de mejores prácticas

Producir un compendio de mejores prácticas basado en las normas y prácticas CSIRT internacionales. Éstas podrían incluir normas y protocolos para llevar a cabo monitoreo en tiempo real y un subsiguiente intercambio de información en toda la red, y podría servir de base para protocolos posteriores de asistencia técnica y pruebas.

F. Asistencia para construir y mantener los CSIRT en los Estados Miembros

Identificar los recursos y capacidades que pueden utilizarse para ayudar a los Estados Miembros a construir y mantener la capacidad de los CSIRT o mejorar las infraestructuras de los CSIRT existentes a fin de participar con eficacia en la red hemisférica y cumplir las reglas de intercambio de información. Se incluirá la asistencia técnica y capacitación de personal necesarias.

G. Conciencia pública

El CICTE, la CITEL y el Grupo de Trabajo de Expertos Gubernamentales en materia de Delito Cibernético de la REMJA trabajarán juntos para llevar a cabo una campaña de concientización a fin de alertar al público en los Estados Miembros de las cuestiones relativas a la seguridad cibernética y la necesidad de proteger sus redes cibernéticas.

H. Seguimiento

Se recomienda que el CICTE convoque de nuevo la Reunión de Expertos en Materia de Seguridad Cibernética (Taller para Practicantes en Materia de Seguridad Cibernética) para elaborar e implementar las recomendaciones formuladas en el documento “Recomendaciones del Taller para Practicantes en Materia de Seguridad Cibernética del CICTE sobre la Estrategia Integral de Seguridad Cibernética de la OEA: Marco para Establecer una Red Interamericana CSIRT de Vigilancia y Alerta” (REGVAC/doc.2/04).

Asimismo, se recomienda que el Grupo de Trabajo encargado de la Elaboración de un Proyecto de Estrategia de Seguridad Cibernética para los Estados Miembros de la OEA, de la Comisión de Seguridad Hemisférica de la OEA, transmita este documento marco a la Asamblea General para su adopción.

ANEXO II. CCP.I/RES. 49 (IV-04)(9) SEGURIDAD CIBERNÉTICA

La IV Reunión del Comité Consultivo Permanente I: Normalización de Telecomunicaciones,

RECONOCIENDO:

a) Que garantizar la seguridad de los sistemas de información en red (seguridad cibernética) es un asunto de prioridad para nuestro hemisferio;

b) Que las redes de información ubicuas y seguras desempeñan un papel importante en la infraestructura crítica de todos los Estados Miembros de la OEA, sus economías y sus sociedades;

c) Que las redes de próxima generación (NGN) que actualmente se están diseñando y normalizando podrán tomar en cuenta tecnologías y técnicas para asegurar su solidez y fortalecer su resistencia contra los ataques cibernéticos,

TENIENDO EN CONSIDERACION:

a) Que la operación segura y eficiente de la infraestructura global de telecomunicaciones es crucial para el bienestar y desarrollo de todos los sectores de la economía y, en consecuencia, de interés vital tanto para los gobiernos como para el sector privado; y

b) El número cada vez más frecuente y la naturaleza insidiosa de los ataques cibernéticos sobre las redes, instituciones y usuarios, que están produciendo todo tipo de daño, especialmente morales, económicos y financieros,

CONSIDERANDO:

a) Que la CITEL, CICTE (el Comité Interamericano contra el Terrorismo de la OEA) y REMJA (la Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas) están trabajando para desarrollar una estrategia a nivel hemisférico para la seguridad cibernética, como lo determinó la Asamblea General de la OEA en la Resolución AG/RES.1939 (XXXIII-O/03);

b) El taller realizado conjuntamente por el Grupo de Trabajo sobre Servicios y Tecnologías de Redes Avanzadas y el Grupo de Trabajo sobre Coordinación de Normas acerca de la seguridad cibernética, en la IV Reunión del CCP.1 en Quito, Ecuador, trató los asuntos claves de la seguridad cibernética vinculados a la CITEL; y

c) Los importantes compromisos realizados por los Jefes del Estado y de Gobierno de la Región, planteados en la Declaración de Nuevo León, incluyendo incentivos para un acceso asequible para todos a las tecnologías de información y comunicaciones,

CONSIDERANDO ADEMÁS:

Que la CITEL, a través de sus alianzas con el sector privado sobre asuntos en sus áreas de responsabilidad, y a través de su Plan de Trabajo para temas de redes avanzadas, y en particular la seguridad cibernética y las NGN, podrá realizar un aporte importante tanto para una mayor concienciación acerca de los temas críticos que puedan tener un impacto potencial en la Región, como para perfeccionar sus planes de trabajo en dichas áreas facilitando discusiones enfocadas y la compartición de información,

RESUELVE:

1. Aprobar el aporte adjunto de la CITEL sobre la Estrategia de Seguridad Cibernética de la OEA y enviarlo al Comité sobre Seguridad Hemisférica de la OEA para su revisión y entrega a la Asamblea General de la OEA en junio de 2004.

2. Solicitar al Relator de la CITEL sobre asuntos de Seguridad Cibernética e Infraestructura Crítica que envíe una copia de esta Resolución al Grupo de Trabajo Conjunto de CICTE/CITEL/REMJA sobre la Seguridad Cibernética.

INVITA:

a)  Al Grupo de Trabajo sobre los Servicios y Tecnologías de Redes Avanzadas y al Grupo de Trabajo sobre Coordinación de Normas a que sigan trabajando en el tema de la seguridad cibernética y que informen al CCP.I acerca de sus logros en dicho tema específico.

b) Al Presidente del CCP.I a enviar una carta al Presidente del Comité sobre Seguridad Hemisférica de la OEA adjuntando una copia de esta Resolución.

ANEXO A LA RESOLUCIÓN CCP.I/RES. 49 (IV-04)

CITEL:  La identificación y adopción de normas técnicas para una arquitectura segura de Internet

Una estrategia eficaz de seguridad cibernética deberá reconocer que la seguridad de la red de los sistemas de información que comprenden la Internet requiere una alianza entre el gobierno y la industria. Tanto las industrias de telecomunicaciones y de tecnología de la información como los gobiernos de los Estados Miembros de la OEA están buscando soluciones integrales de seguridad cibernética eficaces en función de costos. Las capacidades de seguridad en los productos de computación son imprescindibles como elementos de la seguridad global de la red. Sin embargo, a medida de que se produzcan más tecnologías y se las integren en las redes existentes, su compatibilidad e interoperabilidad – o la falta de estas – determinarán su eficacia. La seguridad deberá desarrollarse de una manera tal que promueva la integración de capacidades de seguridad aceptables en la arquitectura general de la red. Para lograr semejantes soluciones integradas de seguridad cibernética con base en la tecnología, deberá diseñarse la seguridad de la red alrededor de normas internacionales desarrolladas en un proceso abierto.

El desarrollo de normas para la arquitectura de seguridad en Internet requerirá un proceso de múltiples pasos para asegurar que se logre un nivel adecuado de consenso, planificación y aceptación entre las diferentes entidades gubernamentales y privadas que deberán cumplir un papel en la promulgación de semejantes normas. Aprovechando el trabajo de organizaciones de normalización como el Sector de Normalización de la Unión Internacional de Telecomunicaciones (UIT-T), la CITEL está identificando y evaluando las normas técnicas para poder recomendar su aplicabilidad a la región de las Américas, teniendo presente que el desarrollo de las redes en algunos de los Estados Miembros de la OEA ha sufrido algunos retrasos, lo que implica que, para tales países, el logro de un cierto grado de calidad para sus redes será importante para poder llevar a cabo plenamente sistemas para intercambio de información adecuadamente seguros. Para agilizar su trabajo, la CITEL y el UIT-T organizaron un taller conjunto sobre Seguridad Cibernética en marzo del 2004. La CITEL está estableciendo enlaces, además, con otras entidades de normalización y foros de la industria para obtener la participación y los aportes de dichas partes.

La identificación de las normas de seguridad cibernética será un proceso de múltiples pasos. Una vez que la evaluación por la CITEL de las normas técnicas vigentes se complete, recomendará la adopción de normas especialmente importantes para la región. Además, en forma oportuna  y permanente, identificará los obstáculos que impidan la aplicación de dichas normas de seguridad en las redes de la región, y la posible acción apropiada que puedan considerar los Estados Miembros.

El desarrollo de las normas técnicas no es un emprendimiento que sea igual para todos. La CITEL evaluará los enfoques regionales a la seguridad de redes, las estrategias de despliegue, el intercambio de información y la difusión a los sectores público y privado. Como parte de este esfuerzo, la CITEL identificará los recursos para las mejores prácticas en la comunicación en redes y la protección de la infraestructura con base en las tecnologías. Este proceso requerirá que la CITEL revise los objetivos, alcances, pericia, marcos técnicos y lineamientos asociados con los recursos disponibles, para poder determinar su aplicabilidad dentro de la región de las Américas, con el fin de decidir cuáles serán los más apropiados. La CITEL continuará trabajando con los Estados Miembros para asistirles para la aplicación más apropiada y eficaz.

La contribución de la CITEL a la estrategia de seguridad cibernética adoptará un enfoque prospectivo y buscará fomentar el intercambio de información entre los Estados Miembros para así promover las redes seguras. Identificará y evaluará los asuntos técnicos relativos a las normas requeridas para la seguridad de las redes futuras de comunicaciones en la región, así como las existentes. Esta función aprovechará primordialmente del trabajo del UIT-T. Otras entidades de normalización existentes, a través de la CITEL, serán consideradas según sean apropiadas. en último término, la CITEL resaltará las normas de seguridad de especial importancia y recomendará que los Estados Miembros adopten dichas normas. También es importante enfatizar el papel crucial de la CITEL en la promoción de programas de aumento de la capacidad y capacitación, con el fin de llevar adelante el proceso de propagación de información técnica y práctica relacionada con los asuntos de la seguridad cibernética.

La CITEL reconoce que, aunque la primera prioridad deberá enfocarse en las políticas públicas que llevarán los beneficios de las tecnologías de las telecomunicaciones y la información a todos los ciudadanos de los Estados Miembros de la OEA, el fortalecimiento de la alianza privada / pública que redundará en la adopción amplia de un marco de normas técnicas que ayudarán a asegurar la Internet, requerirá de la comunicación y cooperación entre y dentro de las comunidades involucradas en esta asociación. La CITEL fomentará la cooperación entre los Estados Miembros en los aspectos relativos a la seguridad de redes, mediante la asistencia a las Administraciones a que adopten políticas y prácticas que incentiven a los proveedores de servicios y redes a aplicar las normas técnicas para la seguridad de sus redes. La nueva edición del Libro Azul “Políticas de Telecomunicaciones para las Américas”, publicación conjunta de la CITEL y la UIT, incluirá un capítulo sobre la seguridad cibernética.  La CITEL también fomentará un diálogo dentro de las comunidades técnicas y gubernamentales pertinentes con relación al trabajo sobre la seguridad cibernética y de redes mediante seminarios conjuntos con la UIT sobre normas de seguridad. Las acciones de la CITEL podrán también incluir materias relativas a las políticas de telecomunicaciones, prácticas, regulaciones, aspectos económicos y responsabilidades de los usuarios, todo ello en el marco jurídico dentro del cual operan los servicios de telecomunicaciones, y dentro de las funciones y responsabilidades de la CITEL.

ANEXO III. REUNIÓN DE MINISTROS DE JUSTICIA O DE MINISTROS O PROCURADORES GENERALES DE LAS AMERICAS  (REMJA)                                               

OEA/Ser.K/XXXIV. CIBER-III/doc.4/03.  24 junio de 2003. Original: español                                                                                                                                                                      

Tercera Reunión del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético 23 y 24 de junio de 2003. Washington, D.C.                                    

RECOMENDACIONES  DE LA REUNIÓN INICIAL DEL GRUPO DE EXPERTOS GUBERNAMENTALES EN MATERIA DE DELITO CIBERNÉTICO*

Los expertos gubernamentales en materia de delito cibernético de los Estados Miembros de la OEA, se reunieron en la sede de esta Organización, en Washington D.C., Estados Unidos de América, durante los días 23 y 24 de junio de 2003, en cumplimiento de lo acordado en la Cuarta Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA-IV) y de la resolución de la Asamblea General de la OEA AG/RES. 1849 (XXXII-O/02).

Teniendo en cuenta el mandato que le fue asignado por la REMJA-IV, al finalizar sus deliberaciones en el marco de esta reunión inicial, el Grupo de Expertos Gubernamentales acordó formular las siguientes recomendaciones en relación con las áreas en las cuales se requieren mayores avances con el fin de fortalecer y consolidar la cooperación hemisférica en el combate contra el Delito Cibernético:

Que, de acuerdo con la recomendación formulada por este Grupo y adoptada por la REMJA-III, los Estados que aún no lo han hecho, en el menor plazo posible, identifiquen o, si fuere necesario, creen o establezcan  unidades o entidades encargadas específicamente de dirigir y desarrollar  la investigación y persecución de las diversas modalidades de delitos cibernéticos  y les asignen los  recursos humanos, financieros y técnicos necesarios para el cumplimiento de sus responsabilidades en forma eficaz, eficiente y oportuna.

Que los Estados que aún no lo hayan hecho, a la mayor brevedad posible, examinen sus sistemas jurídicos  para determinar  si éste se aplica en forma adecuada  a los delitos cibernéticos y  a la obtención y mantenimiento en custodia segura  de indicios y/o pruebas electrónicas.

Que los Estados que aún no lo hayan hecho, adopten la legislación que específicamente se requiera para tipificar las diversas modalidades de delitos cibernéticos, así como para dictar las medidas procesales que aseguren la obtención y mantenimiento en custodia segura de indicios y/o pruebas electrónicas y la investigación y persecución de tales delitos en forma efectiva, eficaz y oportuna.

Que, con el fin de asistir a los Estados en la elaboración o mejoramiento y adopción de la legislación en materia de delito cibernético,  se realicen reuniones técnicas, en el marco de la OEA, sobre redacción de legislación en este campo, en las cuales se consideren los desarrollos específicos que se deben dar, entre otras,  en las áreas substantiva, procesal y de asistencia judicial mutua, para facilitar la armonización de las legislaciones nacionales y contar con el marco jurídico que permita y garantice la efectiva, eficiente y oportuna cooperación hemisférica en el combate contra las diversas modalidades de delitos cibernéticos.

Que, con base en la información que le suministren los Estados, la Secretaría General de la OEA elabore y mantenga actualizado un directorio con los puntos de contacto de cada uno de los Estados que integran el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético, así como un directorio de las autoridades responsables de la investigación y persecución del Delito Cibernético.

Que los Estados que aún no lo han hecho, adopten todas las decisiones que se requieran con el fin de vincularse, a la mayor brevedad posible, a la “Red de Emergencia de 24 horas/7 días”, habiendo tomado los pasos a que se refiere el párrafo 1, si fuere necesario.

Que, teniendo en cuenta los progresos dados a través de la página de la OEA en Internet, se avance en la consolidación de un sistema integral de información sobre los desarrollos dados en materia de combate contra el delito cibernético, con una parte pública y otra con acceso restringido para las autoridades gubernamentales con responsabilidades en este campo, en relación con información sensible. Asimismo que, con base en la información que provean los Estados, la  Secretaría General compile y publique en la página en Internet de la OEA las legislaciones en la materia e identifique las áreas temáticas comunes entre estas.

Que los Estados incorporen la formación específica en materia de delito cibernético y el manejo de pruebas electrónicas como parte de los programas de capacitación dirigidos a jueces, fiscales y autoridades de policía judicial y que para el desarrollo de éstos, los Estados Miembros de la OEA y los Observadores Permanentes ante esta Organización se presten la más amplia asistencia y cooperación técnica mutua entre ellos.

Que se continúe fortaleciendo el intercambio de información y la cooperación con otras organizaciones e instancias internacionales en materia de delito cibernético como las Naciones Unidas, el Consejo de Europa, la Unión Europea, el Foro de Cooperación Económica del Pacífico Asiático, la OCDE, el G-8 y el Commonwealth, de manera que los Estados Miembros de la OEA puedan conocer y aprovechar los desarrollos dados en dichos ámbitos.

Que el Grupo de Expertos Gubernamentales en materia de Delito Cibernético se reúna por lo menos una vez al año, en el ámbito de la OEA, y que en el marco de las próximas reuniones:

a) Examine los resultados de las reuniones técnicas a que se refiere el párrafo 4 y, teniendo en cuenta sus resultados, considere, si fuere el caso, los ajustes que se deben adoptar en futuros encuentros de esta naturaleza, así como otras acciones que se deban realizar para facilitar la adopción y aplicación de la legislación antes mencionada.

b) Prepare recomendaciones para identificar y describir los diversos tipos de delitos cibernéticos.

c) Prepare recomendaciones para identificar y describir las facultades de investigación que los Estados deben poseer para investigar los delitos cibernéticos. Estas facultades de investigación deben:

i.) Aplicarse no sólo a las investigaciones de delitos cibernéticos, sino también a la recolección y custodia segura de indicios y/o pruebas en forma electrónica de cualquier otro delito.

ii.) Asegurar un adecuado equilibrio entre el ejercicio fundado y motivado de  dichas facultades y la necesidad de garantizar las normas del debido proceso,  en el marco del respeto de los derechos humanos y las libertades fundamentales.

iii.) Ser aplicables, en la forma permitida por la legislación nacional, tanto para responder a las solicitudes internacionales de cooperación como a las investigaciones nacionales.

iv.) Permitir el rastreo de comunicaciones de presuntos delincuentes, a través de redes electrónicas que comprendan a proveedores de servicios múltiples, para determinar el curso, origen o destino de las comunicaciones.

d) Recomiende medidas para evitar la creación de “paraísos de los delitos cibernéticos”, de conformidad con la ley de cada Estado y los tratados internacionales.

e) Los Estados informen sobre las medidas que han tomado entre una y otra reunión.

Washington D.C., Estados Unidos de América, 24 de Junio de 2003.

ANEXO IV. QUINTA REUNIÓN DE MINISTROS DE JUSTICIA O DE MINISTROS O PROCURADORES GENERALES DE LAS AMÉRICAS  28 al 30 de abril de 2004. Washington, D.C.                                                                            

OEA/Ser.K/XXXIV.5. REMJA-V/doc.7/04 rev. 4. 30  abril 2004.                                                           Original: español

CONCLUSIONES Y RECOMENDACIONES DE LA REMJA V **

CONCLUSIONES Y RECOMENDACIONES DE LA REMJA V

Al finalizar los debates sobre los diferentes puntos comprendidos en su agenda, la Quinta Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA V), convocada en el marco de la OEA, adoptó las siguientes conclusiones y recomendaciones para ser transmitidas, a través del Consejo Permanente, al trigésimo cuarto período ordinario de sesiones de la Asamblea General de la OEA.

I. COOPERACIÓN HEMISFÉRICA CONTRA LA DELINCUENCIA TRANSNACIONAL ORGANIZADA Y CONTRA EL TERRORISMO

La REMJA V reafirma que el daño que infringen y la amenaza que representan las diversas manifestaciones de la criminalidad transnacional organizada y el terrorismo,  para nuestros ciudadanos, para nuestras democracias y  para el desarrollo económico y social de nuestros Estados, hacen necesario y urgente continuar fortaleciendo y perfeccionando la cooperación jurídica y judicial mutua a nivel hemisférico, así como, si no lo han hecho, adoptar  legislación, procedimientos y mecanismos nuevos que les permitan combatir de manera eficaz estos delitos.

Al respecto, destaca que, de acuerdo con la “Declaración sobre la Seguridad en las Américas”, aprobada en la Ciudad de México, el 28 de octubre de 2003, el terrorismo y la delincuencia organizada transnacional hacen parte de las nuevas amenazas, preocupaciones y otros desafíos de naturaleza diversa que afectan la seguridad de los Estados del Hemisferio y que en ella se reafirma “que las Reuniones de Ministros de Justicia o Ministros o Procuradores Generales de las Américas  (REMJA) y otras reuniones de autoridades en materia de justicia penal son foros importantes y eficaces para la promoción y el fortalecimiento del entendimiento mutuo, la confianza, el diálogo y la cooperación en la formulación de políticas en materia de justicia penal y de respuestas para hacer frente a las nuevas amenazas a la seguridad”.

Considerando que, si bien la comunidad internacional ha avanzado en la elaboración de normas para combatir estas formas de delincuencia, subsisten diferencias en la forma en que los Estados tipifican las conductas delictivas, lo cual puede crear impedimentos para una más efectiva cooperación internacional.

La REMJA V reconoce la conveniencia de que el tema de la Delincuencia Organizada Transnacional continúe siendo tratado por las diferentes entidades de la OEA que lo han venido haciendo en el marco de sus respectivas competencias, tales como la CICAD, el Comité Consultivo de la CIFTA, la CIM, el Instituto Interamericano del Niño, la REMJA y el MESICIC.

La REMJA V  reafirma que las medidas realizadas por los Estados Parte para combatir el terrorismo deberán llevarse a cabo respetando plenamente el Estado de derecho, los derechos humanos y las libertades fundamentales, sin menoscabar los derechos y las obligaciones de los Estados y las personas conforme al Derecho Internacional, el Derecho Internacional de los Derechos Humanos y el Derecho Internacional de los Refugiados.

La REMJA V expresa satisfacción ante el hecho de que en el período que siguió a la REMJA-IV, los Estados Miembros de la OEA hayan adoptado importantes medidas para reforzar la aplicación hemisférica de los instrumentos de las Naciones Unidas de lucha contra el terrorismo y la delincuencia transnacional organizada, de modo de hacer frente en forma eficaz a esos crímenes.  en especial, en el intervalo comprendido entre la REMJA-IV y la REMJA-V, numerosos Estados Miembros de la OEA se convirtieron en Partes del Convenio para la Represión de la Financiación del Terrorismo de 1999, así como de instrumentos universales anteriores de lucha contra el terrorismo.  Análogamente, numerosos Estados Miembros de la OEA se convirtieron en Partes de la Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional de 2000 y sus tres Protocolos Complementarios  o adoptaron importantes medidas encaminadas a adquirir esa condición.  La REMJA-V reconoce este notable avance en la lucha contra el terrorismo y la delincuencia transnacional organizada.

La REMJA V toma nota también con satisfacción de que se ha acelerado en gran medida la adhesión a instrumentos regionales de lucha contra el terrorismo y la delincuencia organizada.  La Convención Interamericana contra el Terrorismo de 2002 entró en vigor el 10 de julio de 2003 y ha sido ratificada por ocho (8) Estados Miembros de la OEA; y  la Convención Interamericana contra la Fabricación y el Tráfico Ilícitos de Armas de Fuego, Municiones, Explosivos y Otros Materiales Relacionados (CIFTA) ha sido ratificada por veintidós (22) Estados Miembros de la OEA.

La REMJA V expresa asimismo su satisfacción por los avances registrados con el propósito de fortalecer y consolidar la cooperación entre los Estados de las Américas para combatir el terrorismo, a través del Trabajo del Comité Interamericano contra el Terrorismo (CICTE) y de sus puntos de contacto nacionales.

Al mismo tiempo quedan tareas por hacer en cuanto a determinación de mecanismos de eficaz aplicación de normas hemisféricas y mundiales de lucha contra el terrorismo y la delincuencia organizada, y tomamos nota con alarma del incremento de los ataques terroristas a nivel mundial y las actividades de otras organizaciones criminales.  en consecuencia recomendamos:

A. COOPERACIÓN HEMISFÉRICA CONTRA LA DELINCUENCIA TRANSNACIONAL ORGANIZADA

1. Que con respecto a la lucha contra la delincuencia transnacional organizada, los Estados Miembros que aún no lo hayan hecho firmen y ratifiquen, ratifiquen, o adhieran, según sea el caso, e implementen, a la brevedad posible:

a. La Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional, el Protocolo para prevenir, reprimir y sancionar la trata de personas, especialmente mujeres y niños, y el Protocolo contra el tráfico ilícito de migrantes por tierra, mar y aire. Instamos a los Estados Miembros a completar sus procesos internos para determinar si han de suscribir y ratificar el Protocolo contra la fabricación y el tráfico ilícitos de armas de fuego, sus piezas y componentes y municiones.        

b. La Convención Interamericana contra la Fabricación y el Tráfico Ilícitos de Armas de Fuego, Municiones, Explosivos y Otros Materiales Relacionados (CIFTA) que, entre otras cosas, establece un régimen eficaz de penalización del tráfico ilícito de armas de fuego que ayudará a la lucha contra la delincuencia transnacional organizada y contra el terrorismo y que, además, crea un mecanismo de seguimiento hasta la fuente de las armas de fuego que puedan ser  objeto de tráfico ilícito.

2. Que los Estados Miembros que son Parte o signatarios de la Convención contra la Delincuencia Organizada Transnacional y sus dos protocolos en vigor trabajen conjuntamente en la Primera Conferencia de las Partes, que tendrá lugar entre el 28 de junio y el 9 de julio de 2003, para facilitar la aplicación de esos importantes instrumentos internacionales.

3. Recomendar a la Asamblea General de la OEA que convoque a un grupo de expertos que considere la posibilidad de la elaboración de un Plan de Acción Hemisférico contra la Delincuencia Transnacional Organizada, como un plan integrado que recoja el esfuerzo que cada área de la OEA viene desarrollando en los diferentes aspectos del problema, de conformidad con la Declaración sobre Seguridad en las Américas.

4. Que los Estados Miembros consideren –cuando sea apropiado- la armonización de sus respectivos ordenamientos jurídicos con las obligaciones asumidas en esta materia. A tal fin, se recomienda que la Asamblea General de la OEA encomiende al Comité Jurídico Interamericano la realización de un estudio sobre el punto antes mencionado, y que le informe a la entidad que la Asamblea General atribuya la responsabilidad de considerar la posibilidad de elaborar un Plan de Acción Hemisférico contra la Delincuencia Organizada Transnacional.

5. Que los Estados Miembros promuevan una mayor interrelación entre las autoridades de aplicación de la ley para que determinen líneas de acción comunes en la investigación y enjuiciamiento de estos delitos.

6. Instar a los Estados a la realización de seminarios y jornadas de capacitación tanto a nivel regional como nacional, referidos a los diferentes aspectos de la delincuencia transnacional organizada.

B. COOPERACIÓN HEMISFÉRICA CONTRA EL TERRORISMO

1. Que con respecto a la lucha contra el terrorismo, los Estados Miembros que aún no lo hayan hecho firmen y ratifiquen, ratifiquen, o adhieran, según sea el caso, e implementen, a la brevedad posible:

a. Las doce convenciones de las Naciones Unidas contra el terrorismo.

b. La Convención Interamericana contra el Terrorismo.

2. Que los Estados Miembros dispongan de capacidad suficiente para tomar acciones de aplicación de la ley con respecto a situaciones en las cuales aún no se ha realizado un ataque terrorista y en que una oportuna investigación y persecución pueda prevenir la realización de esos ataques, y adoptar medidas inmediatas que confieran capacidad suficiente para la persecución de dichas conductas y hacer efectiva la cooperación mutua al respecto.

3. Que cada Estado Miembro fortalezca su capacidad para facilitar el intercambio de información entre los servicios de seguridad y los organismos de aplicación de la ley para prevenir ataques y lograr el encauzamiento de terroristas, de conformidad con las leyes nacionales y los instrumentos internacionales aplicables.

4. Que, en aplicación del artículo 7 de la Convención Interamericana contra el Terrorismo, los Estados Miembros promuevan las más amplias medidas de cooperación, especialmente medidas que garanticen la eficaz colaboración entre los organismos de aplicación de la ley, los servicios de inmigración y entidades conexas y sometan a mejores controles a sus documentos de viaje y de identidad.

5. Tomar nota de la labor de la Comisión Interamericana de Derechos Humanos en la esfera del terrorismo y de los derechos humanos. Recomienda que las autoridades responsables de la elaboración de leyes contra el terrorismo sigan reuniéndose e intercambiando mutuamente prácticas modelo y experiencias nacionales sobre este tema.

6. Recomendar que la Red Hemisférica de Intercambio de Información para la Asistencia Judicial Mutua en Materia Penal comprenda información sobre legislación y, según sea apropiado, políticas antiterroristas vigentes en los Estados Miembros.

7. Recomendar que, para ayudar a la prevención de actos de terrorismo, deben tomarse medidas para evitar la discriminación contra miembros de la sociedad.

II. ASISTENCIA JUDICIAL MUTUA EN MATERIA PENAL Y EXTRADICIÓN

A. REUNIÓN DE AUTORIDADES CENTRALES Y OTROS EXPERTOS EN ASISTENCIA JUDICIAL MUTUA EN MATERIA PENAL

La REMJA V recomienda:

1. Expresar su satisfacción por la realización de la “Reunión de Autoridades Centrales y Otros Expertos en Materia de Asistencia Judicial Mutua en Materia Penal”, celebrada en cumplimiento de las recomendaciones de la REMJA IV, en Ottawa, Canadá, entre los días 30 de abril y 2 de mayo de 2003, y adoptar en su integridad las recomendaciones formuladas, las cuales se encuentran publicadas en el documento OEA/Ser.K/XXXIV.5 REMJA-V/doc.4.

2. Respaldar, conforme a la recomendación 6 de esa reunión, la continua celebración de reuniones de las Autoridades Centrales y otros Expertos sobre asistencia judicial mutua en materia penal del Hemisferio, por lo menos una vez entre una REMJA y la siguiente, con el apoyo y la coordinación del Grupo de Trabajo sobre Asistencia Judicial Mutua, y la consideración, en su siguiente reunión, del avance logrado en cuanto a la aplicación de las recomendaciones de la reunión de Ottawa e, inter alia, los temas a los que se refiere la arriba mencionada recomendación 6, conforme al orden de prioridades que definan.

3. Decide que, en la próxima reunión de autoridades centrales y otros expertos, se inicie la consideración de acciones para fortalecer la cooperación jurídica hemisférica en materia de extradición, incluyendo la extradición temporal cuando proceda de acuerdo con la legislación nacional, y proceda a la preparación de las secciones relativas a la cooperación jurídica y judicial mutua de un plan de acción hemisférico para el combate contra la delincuencia transnacional organizada y contra el terrorismo, incluyendo medidas de administración de casos por el Estado requirente  para no sobrecargar al Estado requerido.

4. Decide que la próxima reunión de autoridades centrales y otros expertos continúe fortaleciendo y haciendo más efectivos los mecanismos de asistencia judicial mutua en materia penal y la cooperación hemisférica en materia de extradición. A tal efecto la reunión de autoridades centrales y otros expertos, podrá solicitar insumos a las siguientes entidades en relación con las áreas de su competencia: CICTE, CICAD, Comité Consultivo de la CIFTA, CIM, MESICIC, Instituto Interamericano del Niño y al Comité Jurídico Interamericano.

B. RED HEMISFÉRICA DE INTERCAMBIO DE INFORMACIÓN PARA LA ASISTENCIA JUDICIAL MUTUA EN MATERIA PENAL

Considerando la utilidad e importancia de la Red Hemisférica de Intercambio de Información para la Asistencia Judicial Mutua en Materia Penal, la REMJA V formula las siguientes recomendaciones:

1. Decide adoptar la Red Hemisférica de Intercambio de Información para la Asistencia Judicial Mutua en Materia Penal e insta a todos los Estados Miembros a implementar su componente público y darle difusión entre los usuarios más interesados.

2. Establece, que como la red, bajo la orientación de un grupo formado por Argentina, Bahamas, Canadá y El Salvador y administrado por la Secretaría General de la OEA, comprende datos referentes a todos los Estados Miembros de la OEA, en el sitio público en “Internet” debe seguir publicándose información referente a asistencia judicial mutua en materia penal.

3. Que los Estados que hasta ahora no lo hayan hecho, identifiquen a una persona de contacto para que proporcione y actualice la información que se proporciona a través de la red.

4. Expresar satisfacción con respecto a la elaboración del proyecto piloto de AJM de correo electrónico seguro, y recomienda que todos los Estados adopten las medidas apropiadas para evaluarlo y que el mismo siga funcionando y se amplíe de modo de abarcar a otros Estados.

5. Examinar la posibilidad de intercambiar información, en las áreas y metodologías de mutuo interés, con la “Fiscalía Virtual de Iberoamérica”.

III. POLÍTICAS PENITENCIARIAS Y CARCELARIAS

Dada la importancia y conveniencia de continuar y consolidar el proceso de intercambio de información y de experiencias y de cooperación mutua en relación con las políticas penitenciarias y carcelarias de los Estados Miembros de la OEA, la REMJA V recomienda:

1. Expresar su satisfacción por los resultados y adoptar el informe de la Primera Reunión de Autoridades Responsables de las Políticas Penitenciarias y Carcelarias de los Estados Miembros de la OEA (documento OEA/Ser.K/XXXIV.5 REMJA-V/doc.6/04), celebrada en la sede de la OEA, durante los días 16 y 17 de Octubre de 2003, en cumplimiento de lo acordado en la REMJA-IV.

2. Respaldar la realización de reuniones periódicas de las autoridades responsables de las políticas penitenciarias y carcelarias de los Estados Miembros de la OEA y la creación de un sistema de información a través de “Internet” en relación con dichas políticas, de acuerdo con las recomendaciones formuladas en la primera reunión de tales autoridades.

3. Que los Estados, a través de su participación en las reuniones de autoridades penitenciarias y carcelarias, promuevan estrategias y políticas penitenciarias, basadas en el respeto a los derechos humanos, que contribuyan al deshacinamiento carcelario. Con este fin, los Estados incentivarán la modernización de la infraestructura carcelaria y la profundización de las funciones de rehabilitación y reinserción social del individuo, a través del mejoramiento de las condiciones de privación de la libertad y el estudio de nuevos estándares penitenciarios.

IV. DELITO CIBERNÉTICO

En relación con esta materia, la REMJA V recomienda:

1. Expresar su satisfacción por los resultados de la Reunión Inicial del Grupo de Expertos Gubernamentales en Materia de Delito Cibernético, celebrada en la sede de la OEA, durante los días 23 y 24 de junio de 2003,  en cumplimiento de lo acordado en la REMJA-IV.

2. Adoptar las recomendaciones formuladas por el Grupo de Expertos Gubernamentales (documento OEA/Ser.K/XXXIV.5 REMJA-V/doc.5/04) y solicitarle que, a través de su Presidencia, informe a la próxima REMJA sobre los avances dados en relación con las mismas.

3. Respaldar que las recomendaciones formuladas por el Grupo de Expertos Gubernamentales en su reunión inicial sirvan como la contribución de las REMJA para el desarrollo de la Estrategia Interamericana para Combatir las Amenazas a la Seguridad Cibernética a que se refiere la resolución de la Asamblea General de la OEA AG/RES. 1939 /XXXIII-O/03), así como solicitar al Grupo que, a través de su Presidencia, continúe apoyando el proceso de elaboración de dicha Estrategia.

4. Que se dispense capacitación internacional en relación con el delito cibernético a los Estados de la OEA que la soliciten, y que los Estados de la OEA en general consideren la posibilidad de asignar recursos que garanticen el suministro de esa capacitación.

5. Que los Estados Miembros participen en las reuniones técnicas del Grupo de Expertos Gubernamentales sobre Delito Cibernético, a fin de que a nivel hemisférico se logre una clara comprensión sobre los futuros desafíos.

6. Que los Estados Miembros, en el contexto del Grupo de Expertos, examinen mecanismos que faciliten una amplia y eficiente cooperación mutua para combatir el Delito Cibernético y estudien, según sea posible, el desarrollo de la capacidad técnica y jurídica para unirse a la red 24/7 establecida por el G-8 para ayudar a realizar las investigaciones sobre delitos cibernéticos.

7. Que en la medida de lo posible, los Estados Miembros dispongan lo necesario para que las diferencias en la descripción de los delitos no vayan en detrimento de la eficiencia de la cooperación a través de la asistencia jurídica y judicial mutua y la extradición.

8. Que los Estados Miembros evalúen la conveniencia de la aplicación de los principios de la Convención del Consejo de Europa sobre la Delincuencia Cibernética (2001) y que consideren la posibilidad de adherirse a dicha Convención.

9. Que los Estados Miembros examinen y, si corresponde, actualicen, la estructura y la labor de entidades u organismos internos encargados de hacer cumplir las leyes, de modo de adaptarse a las cambiantes características de los delitos cibernéticos, incluso examinando la relación entre los organismos que combaten ese tipo de delitos y los que proporcionan la asistencia policial o judicial mutua tradicional.

V. CORRUPCIÓN: SEGUIMIENTO DE LOS COMPROMISOS DE LA DECLARACIÓN DE NUEVO LEÓN

En las Declaraciones de Nuevo León y de la Ciudad de Québec, así como en anteriores REMJA, se reconoce la seriedad del problema de la corrupción en nuestras sociedades.

Tomamos nota con aprobación del hecho de que a partir de la REMJA-IV, la mayor parte de los Estados Miembros suscribieron la Convención de las Naciones Unidas contra la Corrupción y algunos Estados Miembros adicionales se convirtieron en Partes de la Convención Interamericana contra la Corrupción, pero hoy procuramos reforzar nuestros esfuerzos para promover eficazmente la lucha contra la corrupción.

En consecuencia, la REMJA-V recomienda que los Estados Miembros:

1. Que aún no lo hayan hecho, adopten a la brevedad posible las medidas necesarias para alcanzar los siguientes objetivos:

a. Firmar y ratificar, ratificar, o adherir, según sea el caso, e implementar la Convención de las Naciones Unidas contra la Corrupción de 2003.

b. Firmar y ratificar, ratificar, o adherir, según sea el caso, e implementar la Convención Interamericana contra la Corrupción de 1996.

2. Cooperen para reforzar el Mecanismo de Seguimiento de la Implementación de la Convención Interamericana contra la Corrupción, a través de medidas prácticas que lo hagan más eficaz, incluyendo lo relativo a la necesidad de incrementar los recursos económicos y perfeccionar los recursos humanos y la aceleración del proceso de evaluación en la Primera Ronda.

3. Antes de la realización de la REMJA VI, cada Estado Miembro, con apego a su legislación nacional y a las normas internacionales aplicables, adoptará medidas legales internas que nieguen acogida a funcionarios corruptos, a quienes los corrompen y a sus bienes e intercambiarán información sobre las medidas que hayan adoptado.

4. Con apego a sus legislaciones nacionales y a las normas internacionales aplicables, revisen  sus regímenes legales de extradición y suministro de asistencia judicial mutua en relación con delitos de corrupción, incluida su capacidad de disponer el decomiso o la confiscación de activos derivados de actividades criminales a pedido de otros países que tengan diferentes modalidades de realización del decomiso o  confiscación, a fin de reforzarlos.

5. Adopten, conforme a los principios fundamentales de su legislación interna, las medidas legislativas y de otro género que sean necesarias para que sus autoridades competentes puedan devolver los bienes decomisados o confiscados al Estado requirente, en caso de apropiación fraudulenta de fondos públicos o lavado de fondos públicos que hayan sido objeto de apropiación fraudulenta.

6. Apoyen los trabajos de la reunión de los Estados Parte de la Convención Interamericana contra la Corrupción que tendrá lugar en Managua, Nicaragua, en julio de 2004, la cual deberá considerar “medidas concretas adicionales para aumentar la transparencia y combatir la corrupción”.

VI. TRATA DE PERSONAS, ESPECIALMENTE MUJERES Y NIÑOS

Teniendo en cuenta que la trata de personas es un grave delito, que debe ser tipificado, prevenido y combatido, que sus víctimas se encuentran en una condición de vulnerabilidad lo cual exige una mayor atención internacional y la debida asistencia y protección, amparando sus derechos humanos y que para lograr estos fines se requiere de la cooperación integral por parte de todos los Estados.

Reconociendo que existe un importante conjunto de instrumentos internacionales para garantizar la protección de las mujeres, niños, niñas y adolescentes, como son la Convención sobre los Derechos Humanos del Niño, la Convención sobre todas las formas de Discriminación contra la Mujer, la Convención Interamericana para Prevenir, Sancionar y Erradicar la Violencia contra la Mujer, la Convención nº 182 de la OIT sobre las peores formas de trabajo infantil, el Protocolo Opcional de la Convención sobre los Derechos del Niño en relación con la venta de niños, la prostitución y la pornografía infantiles, la Convención Interamericana sobre el Tráfico Internacional de Menores y el Protocolo para Prevenir, Reprimir y Sancionar la Trata de Personas, Especialmente Mujeres y Niños.

Teniendo presente que el Protocolo para Prevenir, Reprimir y Sancionar la Trata de Personas, Especialmente Mujeres y Niños, complementario de la Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional, especifica las acciones que  configuran el delito de trata de personas.

Decididos a superar los obstáculos en la lucha contra este delito transnacional.

La REMJA V recomienda:

1. Que los Estados Miembros que aún no lo hayan hecho firmen y ratifiquen, ratifiquen, o adhieran, según sea el caso, e implementen, a la brevedad posible, el Protocolo para Prevenir, Reprimir y Sancionar la Trata de Personas, Especialmente Mujeres y Niños, que complementa la  Convención de las Naciones Unidas contra la Delincuencia Organizada Trasnacional.

2. Instar a los Estados Miembros a completar sus procesos internos para determinar si han de suscribir y ratificar:

a. El Protocolo contra el Tráfico Ilícito de Migrantes por Tierra, Mar y Aire, y

b. La Convención Interamericana sobre el Tráfico Internacional de Menores.

3. La realización de una Reunión de autoridades nacionales en esta materia, incluyendo la participación, entre otros, de la CIM, el IIN, las Naciones Unidas, la OIM y otros organismos internacionales relacionados, con el propósito de estudiar mecanismos de cooperación integral entre los Estados para asegurar la protección y asistencia a las víctimas, la prevención del delito y la persecución a sus autores. Asimismo, la reunión facilitará el intercambio de información y experiencias, el diálogo político y la cooperación entre los países de origen, tránsito y destino de la trata de personas, así como el establecimiento o mejoramiento de registros estadísticos en la materia.

4. Mantener el tema de la Trata de Personas como punto del temario en futuros debates de la REMJA.

VII. VIOLENCIA CONTRA LA MUJER

La REMJA V:

1. Insta a los Estados Miembros a completar sus procesos internos para determinar si han de suscribir y ratificar la Convención Interamericana para Prevenir, Sancionar y Erradicar la Violencia contra la Mujer (Convención de Belem do Pará).

2. Alienta a los Estados Parte de la Convención Interamericana para Prevenir, Sancionar y Erradicar la Violencia contra la Mujer (Convención de Belem do Pará) a analizar el modo más apropiado de crear un mecanismo de seguimiento de la Convención.

VIII. GÉNERO Y JUSTICIA

La REMJA V, habiendo escuchado la presentación de la CIM (Comisión Interamericana de Mujeres), toma nota de las recomendaciones sobre genero y justicia formuladas a la REMJA V por la Segunda Reunión de Ministras o Ministros o Autoridades al más alto nivel Responsables de las Políticas de las Mujeres en los Estados Miembros y las refiere a los Estados Miembros para mayor consideración.

IX. CENTRO DE ESTUDIOS DE JUSTICIA DE LAS AMÉRICAS (CEJA)

En cumplimiento de los mandatos de la Segunda y Tercera Cumbres de las Américas, de las resolución de la Asamblea General de la OEA AG/RES. 1 (XXVI-E/99) y de las conclusiones y recomendaciones de las REMJA II y III, que impulsaron la creación de un Centro de Estudios que contribuya al mejoramiento de las políticas de Justicia y al desarrollo institucional de los sistemas judiciales en la región.

Y habiendo oído el informe del Centro de Estudios de Justicia de las Américas, la REMJA-V decide:

1. Expresar su agradecimiento al Consejo Directivo y al Director Ejecutivo por la orientación e iniciativa que han puesto de manifiesto al guiar y elaborar los pasos iniciales del trabajo del Centro en la esfera de la justicia penal, y dar forma concreta a la visión de un centro regional de expertos en el sector de la justicia establecido por los Jefes de Estado y de Gobierno en Santiago de Chile.

2. Felicitar al Centro por la exitosa puesta en marcha de sitios y publicaciones en Internet que están siendo ampliamente consultados en la región, y por la elaboración de un importante estudio comparado de normas y prácticas de procedimiento penal en la región que contribuirán a mejorar el desempeño del sistema de justicia.

3. Expresar satisfacción por los esfuerzos realizados para hacer efectiva la participación de  los Estados Miembros en programas y actividades del Centro, pese a la diversidad de intereses e instituciones que intervienen y la escasez de financiamiento.

4. Solicitar al Centro que, de conformidad con los objetivos establecidos en su Estatuto, incluya en sus planes de trabajo las conclusiones y recomendaciones de la REMJA. Para este fin, los Estados Miembros proveerán los recursos que sean necesarios.

5. Solicitar al Centro que organice un grupo o proceso de trabajo, incluyendo los Estados Miembros y otros donantes, a fin de elaborar, para que sea considerado por la REMJA VI, un plan de financiamiento del Centro de acuerdo con el mandato de la Tercera Cumbre de las Américas. Este proceso debe ser desarrollado sin perjuicio de las contribuciones voluntarias que con este objeto los Estados Miembros deban entregar, de acuerdo a lo establecido en el Estatuto del Centro, aprobado por la Asamblea General de la Organización de los Estados Americanos.

6. Aprobar la renovación del mandato del Director Ejecutivo del Centro acordada por su  Consejo Directivo, de acuerdo con su Estatuto, en sesión ordinaria celebrada el 5 de enero de 2004, en Santiago de Chile.

7. Solicitar al Centro que siga apoyando los esfuerzos que se realizan para  fortalecer los sistemas de Justicia internos con miras al mejoramiento de los marcos nacionales en el ámbito de la cooperación y asistencia judicial mutua en el Hemisferio.

X. PRÓXIMA REUNIÓN

La REMJA V recomienda que la Sexta Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA VI) se realice en el año 2006 y que la Asamblea General de la OEA encargue al Consejo Permanente de la Organización de fijar la fecha y sede de la misma.

ANEXO V. CUARTO PERÍODO ORDINARIO DE SESIONES, 28-30 de enero de 2004.  Montevideo, Uruguay                             

MARCO PARA ESTABLECER UNA RED INTERAMERICANA CSIRT DE VIGILANCIA Y ALERTA (Presentado por la Embajadora Margarita Escobar, Presidenta del Grupo de Trabajo de la Comisión de Seguridad Hemisférica de la OEA, en la tercera sesión plenaria celebrada el día 29 de enero de 2004)

Objetivo: Crear una red hemisférica, que funcione 24 horas al día, 7 días a la semana, de puntos nacionales de contacto entre equipos de respuesta a incidentes de seguridad en computadoras (Computer Security Incident Response Teams: CSIRT) con responsabilidad nacional (CSIRT nacionales), en los Estados Miembros de la OEA, con la capacidad y a cargo de responder debida y rápidamente a las crisis, incidentes y peligros relacionados con la seguridad cibernética.

Dado que los intrusos emplean instrumentos de ataque cada vez más sofisticados, lanzan ataques muy automatizados que se desplazan a la velocidad de la Internet, y emplean intencionalmente técnicas de ataque que hacen difícil entender la naturaleza y origen de tales ataques, la colaboración mundial en tiempo real entre los equipos de respuesta tiene una importancia creciente. Dicha colaboración permitiría lo siguiente:

·                un diagnóstico rápido y preciso del problema;

·                la pronta diseminación mundial de advertencias sobre ataques;

·                la pronta diseminación mundial de advertencias sobre vulnerabilidades genéricas;

·                un alerta mundial sobre actividades sospechosas, y la colaboración para investigar y diagnosticar tales actividades;

·                el suministro de información sobre medidas para mitigar y remediar los ataques y amenazas; y

·                una reducción de duplicaciones de análisis entre los equipos.

La colaboración refuerza los conocimientos técnicos existentes entre los equipos para limitar los perjuicios y permitir que continúen funcionando los servicios de importancia crítica.

Principios:

Locales – El programa debe ser manejado y controlado por entidades locales de cada país participante, designadas por su Gobierno.

Sistémicos – El sistema debe ser una operación multifacética que requiere un personal consciente y especializado, una distribución regular de la información relativa a las amenazas y vulnerabilidades vigentes, una reevaluación e implementación constantes de las mejores prácticas, y una interacción adecuada con las autoridades públicas.

Permanentes – Debido a la evolución diaria inherente de la Internet, para que tenga buen resultado un programa deberá actualizarse y mantenerse con regularidad. La seguridad en la Internet no se logrará mediante una acción única.

Responsables – La “seguridad” en la ciberseguridad. Deben entenderse y seguirse reglas estrictas respecto de cuestiones tales como el manejo de la información, ya que de otra manera los usuarios perderían la confianza, y los esfuerzos para proteger el sistema serán perjudicados e incluso serán contraproducentes.

Basados en disposiciones ya existentes – Hay un número de entidades preexistentes en el hemisferio que proporcionan servicios de seguridad cibernética en mayor o menor medida. Un sistema nuevo deberá basarse en esas instituciones ya existentes a fin de evitar duplicaciones y promover una participación activa.

Identificación de organizaciones existentes

En todo el mundo, hay más de cien organizaciones que usan el nombre CERT (Computer Emergency Response Team: equipo de respuesta a emergencias de computación), o CSIRT (el término genérico de significado equivalente). Muchas de ellas, pero no todas, tienen una cierta relación con el Centro de Coordinación CERT (CERT/CC) en la Universidad de Carnegie Mellon, en donde se creó el primer “CERT”. Incluso los CSIRT relacionados con el CERT/CC tienen diferentes métodos de respuesta a los incidentes, dependiendo de diversos factores tales como la uniformidad, cuestiones geográficas y técnicas, la autoridad, los servicios suministrados, y los recursos. en los Estados Unidos, el Departamento de Seguridad de la Patria, División de Ciberseguridad Nacional, ha creado el US-CERT, para que sea el “Equipo de emergencias informáticas”, con responsabilidad nacional en los Estados Unidos. en el Canadá, la División de Ciberprotección, dentro de la organización de Seguridad Pública y Preparación para Emergencias-Canadá (PSEPC) cumple una función similar de responsabilidad nacional.

El Foro sobre Equipos de Respuesta a Incidentes (Forum on Incident Response Teams: FIRST), una asociación mundial voluntaria de equipos CSIRT, cuenta con 79 miembros en los Estados Miembros de la OEA, 68 de ellos en los EE.UU. De los restantes, seis son del Canadá, dos del Brasil, con sendos miembros en Chile, México y Perú. Además, algunas compañías, tales como ATT, Symantec, y Visa, ofrecen servicios CSIRT a sus clientes de todo el mundo, y puede haber otros CSIRT en la región, tales como Ar-CERT en la Argentina, que no forman parte de la red FIRST.

Dadas las lagunas en la información, llevar a cabo un censo de los CSIRT es el primer paso para la creación de una red de seguridad cibernética.

Establecimiento de un modelo de servicio

Si bien no hay normas internacionales acordadas sobre qué es lo que constituye un CSIRT, hay una serie de documentos y actividades que pueden servir para definir un equipo CSIRT, y que están relacionados con la certificación y autorización de tales equipos.

El CERT/CC ha publicado varios documentos que pueden servir de ayuda para la creación de un CSIRT, entre los que se cuentan los siguientes:

·                Handbook for Computer Security Incident Response Teams (CSIRTs) (Manual para equipos de respuesta a incidentes de seguridad de computadoras (CSIRT)): guía actualizada sobre cuestiones genéricas que deben considerarse al formar un CSIRT;

·                State of the Practice of Computer Security Incident Response Teams (Estado actual de las prácticas de los equipos de respuesta a incidentes de seguridad de computadoras). Este informe contiene información recogida mediante un estudio piloto de estos equipos, la experiencia propia del CERT/CC, discusiones con otros CSIRT y observaciones de éstos, e investigación y críticas de las publicaciones actuales sobre la respuesta a incidentes; y

·                Creating a Computer Security Incident Response Team:  A Process for Getting Started (Creación de un equipo de respuesta a incidentes de seguridad de computadoras: un método para su comienzo). Éste es un documento en el que se describen los requisitos básicos para crear un CSIRT.

Además, el Departamento de Defensa de los Estados Unidos (US DoD) ha creado un programa de certificación y autorización de proveedores de servicios de defensa de redes de computadoras dentro de dicho Departamento. Ese programa puede usarse de punto de partida para establecer criterios para la certificación de equipos CSIRT nacionales.

Cuando se establece una red regional de CSIRT nacionales cooperantes, debe preverse un conjunto mínimo de normas y servicios, entre los que se contarían los siguientes:

·                designación de responsabilidad por el Gobierno del CSIRT nacional;

·                convenio sobre los principios para compartir información entre los equipos cooperantes;

·                responsabilidad por recibir información de otros CSIRT nacionales, y por diseminar dicha información entre las entidades idóneas dentro del país;

·                autorización para diseminar información entre otros CSIRT nacionales; y

·                proporcionar asistencia de coordinación a otros CSIRT nacionales para incidentes y amenazas.

Cuestiones de confianza

Gran parte de la información que tienen que intercambiar los CSIRT es de propiedad exclusiva, o es de carácter delicado por otros motivos, y hay pocos modelos buenos que sirvan para compartir uniformemente datos entre tales equipos. La confianza—el ingrediente esencial cuando se comparte información—, cuando existe, se desarrolla entre individuos que se conocen y han trabajado juntos, más bien que institucionalmente entre organizaciones. Para establecer la confianza, todas las partes deben entender y seguir pautas claras sobre la forma en que la información intercambiada será usada o diseminada. Todos los CSIRT nacionales cooperantes deben convenir en los principios para compartir información que indiquen cómo tal información puede usarse o diseminarse.

Las normas de divulgación de la vulnerabilidad describen las circunstancias en las cuales se disemina información sobre tal vulnerabilidad, y entre quiénes. en tales normas debe establecerse un equilibrio entre la necesidad de diseminar información procesable entre las audiencias debidas y la necesidad de minimizar las posibilidades de que un intruso pudiera obtener tal información antes de contar con parches o soluciones improvisadas.

Entre los atributos de los CSIRT necesarios para promover la confianza en las comunicaciones y la cooperación respecto de asuntos delicados de seguridad figuran los siguientes:

·                una infraestructura segura para el manejo de información delicada;

·                la capacidad para comunicarse sin riesgos con los interesados;

·                la capacidad para reunir expertos y autoridades;

·                una infraestructura que permita la notificación anticipada a determinadas audiencias;

·                procedimientos de protección contra fugas de información;

·                una interfaz pública bien conocida para la diseminación de información crítica; y

·                la capacidad para llegar rápidamente a una gran audiencia.

La creación de una capacidad CSIRT regional requiere la formación de un consenso sobre los principios para el intercambio de información, incluso qué información puede compartirse, con quién, y cuándo.

Financiamiento

No es barato financiar los CSIRT. Además de suministrar equipos y personal especializado permanentemente, los administradores de dichos equipos tienen que proporcionar asistencia técnica periódica y organizar ejercicios regulares para mantener sus operaciones a punto. Los Estados Miembros y la Organización deberán considerar cuidadosamente los mecanismos de financiación de los CSIRT y probablemente tengan que establecer un orden de prioridades de su cobertura, o buscar fuentes estables de financiación externa.

Cabe señalar que en octubre de 2002 los líderes de la APEC pidieron la creación de una capacidad regional CSIRT 24/7 para octubre de 2003. Tanto la APEC como el Gobierno de Australia convinieron en financiar proyectos de creación de capacidad CSIRT en las economías de cuatro miembros. en su informe más reciente sobre el proyecto, funcionarios de la APEC admitieron que hay dificultades para atraer candidatos aceptables y para obtener fondos adecuados para cubrir el costo del proyecto.

Conciencia pública

El apoyo del Gobierno y la industria para los programas (y financiación) de los CSIRT está directamente relacionado con la conciencia que tiene el público del problema de la ciberseguridad y sus posibles repercusiones en objetivos sumamente deseables en materia de desarrollo. Si los sistemas de una economía interconectada no se protegen debidamente, las redes e infraestructuras de todas las economías interconectadas son vulnerables. Los participantes en una red, ya sea como creadores, propietarios, explotadores o usuarios individuales, deben tener conciencia de las amenazas a la red y de sus vulnerabilidades, y asumir la responsabilidad de su protección según la posición que ocupen y la función que cumplan. La Organización, trabajando con los Estados Miembros y los CSIRT, debe llevar a cabo un programa de concientización del público acerca de la seguridad y la ética cibernéticas en el que se destaquen:

(1) las ventajas y responsabilidades del uso de redes de información;

(2) las mejores prácticas de seguridad y protección; y

(3) las posibles consecuencias negativas del uso indebido de las redes. Existen varias organizaciones y sitios en línea con datos útiles para dicho fin, y la Organización debe hacer uso de ellos.

Extensión de la red

Si bien la conciencia del público es un elemento esencial de esta propuesta, establecer una capacidad regional de CSIRT requerirá compromisos políticos en donde éstos puedan no existir. El grupo de trabajo deberá proponer un proyecto de resolución sobre la seguridad cibernética para su aprobación por la Comisión de Seguridad Hemisférica y transmitirlo a la Asamblea General con el mismo fin, que comprometa a los Estados Miembros a establecer equipos CSIRT en sus países, y a implementar las recomendaciones que pudiera presentar el grupo y aprobar la Comisión. Así se aplicará la voluntad política de los Estados Miembros al logro de una cobertura regional de los CSIRT, y se proporcionará a la Organización el marco institucional necesario para proceder. Con esta resolución, el grupo de trabajo puede asistir a los Estados a formular planes concretos y, suponiendo una financiación adecuada, a organizar proyectos para crear capacidad en sus respectivos países. Hasta el momento, ningún Estado ha ofrecido financiar este proyecto.

Plan de acción

Acción 1: Llevar a cabo un censo para identificar los CSIRT existentes, su variedad de miembros y los servicios que proporcionan. Esto nos permitirá identificar las lagunas en la cobertura, tanto geográfica como sectorialmente, y establecerá las bases para fijar un conjunto consensual de servicios que ofrecerán los CSIRT miembros. Se adjunta un posible cuestionario de censo.

Acción 2: Establecer un consenso para un conjunto mínimo de servicios que ofrecerán todos los CSIRT miembros. Eso ayudará a formar una doctrina de operación hemisférica uniforme, y servirá de base para las actividades subsiguientes de asistencia técnica.

Acción 3: Redactar una resolución para presentarla a la Comisión de Seguridad Hemisférica y la Asamblea General, pidiendo a los Estados Miembros que creen equipos CSIRT y que implementen las otras propuestas que figuren en el informe del grupo de trabajo. De los 11 CSIRT no estadounidenses que son miembros de la red FIRST, seis son estatales, cuatro son privados, y uno es dirigido por una universidad.

Acción 4: Producir un compendio de mejores prácticas basado en los servicios y normas CSIRT consensuales, acordes con las prácticas similares en Europa y Asia. Incluiría normas y protocolos para llevar a cabo monitoreo en tiempo real y un subsiguiente intercambio de información en toda la red, y servirán de base para protocolos consiguientes de pruebas y asistencia técnica.

Acción 5: Establecer un sistema de asistencia técnica e intercambio de información permanente para los CSIRT. Algunos países necesitarán asistencia para crear capacidad, o asistencia técnica para crear una capacidad de coordinación de la protección informática, o mejorar las capacidades existentes a fin de cumplir con las normas requeridas. Será necesario obtener financiamiento.

Al finalizarse la acción 1, realizar una reunión interamericana de representantes de los CSIRT existentes, a fin de adelantar las acciones y las cuestiones de compartimiento de información, la identificación de lagunas en la cobertura y asistencia técnica, la capacidad de interfuncionamiento, y la intercomunicación. Podrían asistir representantes del Grupo de Trabajo de Seguridad Cibernética de la OEA a fin de proporcionar información normativa cuando ello sea necesario, y asegurarse de que se aborden las cuestiones descritas en el presente documento. Esa reunión también sería un paso importante para enfrentar la cuestión de la confianza y, como sería a nivel técnico, no dependería de las acciones de la Asamblea General.

————————————————————————-

(1). Informe de la Conferencia sobre Seguridad Cibernética, documento OEA/Ser.L/X.5, CICTE/CS/doc.2/03.

(2). Declaración sobre Seguridad en las Américas, documento CES/DEC.1/04 rev. 1.

(3). Declaración de Montevideo, OEA/Ser.L/X.2.4, CICTE/DEC. 1/04 rev. 3.

(4). Anexo V, documento OEA/Ser.L/X.2.4, CICTE/INF.4/04.

(5). Anexo I.

(6). Anexo II.

(7). Anexo IV, documento OEA/Ser.K/XXXIV.5/REMJA-V/doc.7/04 rev. 4.

(8). Anexo III.

(1). CCP.I-TEL/doc.427/04 rev. 2

* El presente documento fue aprobado en su integridad por el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético, en la sesión celebrada el día 24 de Junio de 2003.

** Las presentes “Conclusiones y Recomendaciones de la REMJA V” fueron aprobadas por consenso en la sesión plenaria celebrada el día 30 de abril de 2004, en el marco de la Quinta Reunión de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA V) celebrada en la sede de la OEA en Washington D.C., Estados Unidos de América.

02Mar/21

Decreto Supremo nº 029-2021-PCM, de 18 de febrero de 2021

Decreto Supremo, Peru, , , , , , , , , , , , , , , , , , , , , , ,

Decreto Supremo nº 029-2021-PCM, de 18 de febrero de 2021, que aprueba el Reglamento del Decreto Legislativo n° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo

DECRETO SUPREMO nº 029-2021-PCM

EL PRESIDENTE DE LA REPÚBLICA

CONSIDERANDO:

Que, a través del Decreto de Urgencia nº 006-2020, Decreto de Urgencia que crea el Sistema Nacional de Transformación Digital, se crea el referido sistema como un Sistema Funcional del Poder Ejecutivo, conformado por un conjunto de principios, normas, procedimientos, técnicas e instrumentos mediante los cuales se organizan las actividades de la administración pública y se promueven las actividades de las empresas, la sociedad civil y la academia orientadas a alcanzar los objetivos del país en materia de transformación digital;

Que, el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento, tiene por objeto establecer las medidas que resulten necesarias para garantizar la confianza de las personas en su interacción con los servicios digitales prestados por entidades públicas y organizaciones del sector privado en el territorio nacional;

Que, el Decreto Legislativo nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, establece el marco de gobernanza del gobierno digital para la adecuada gestión de la identidad digital, servicios digitales, arquitectura digital, interoperabilidad, seguridad digital y datos, así como el régimen jurídico aplicable al uso transversal de tecnologías digitales en la digitalización de procesos y prestación de servicios digitales por parte de las entidades de la Administración Pública en los tres niveles de gobierno;

Que, conforme a lo dispuesto en el artículo 8 del Decreto Legislativo nº 1412, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es el ente rector en materia de gobierno digital, el cual comprende tecnologías digitales, identidad digital, interoperabilidad, servicio digital, datos, seguridad digital y arquitectura digital; dictando para tal efecto las normas y procedimientos en dicha materia;

Que, asimismo, la Primera Disposición Complementaria Final del referido Decreto Legislativo dispone que la Presidencia del Consejo de Ministros, mediante Decreto Supremo, aprueba el Reglamento de la Ley de Gobierno Digital;

Que, el artículo 47 del Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado mediante Decreto Supremo nº 022-2017-PCM, establece que la Secretaría de Gobierno Digital es el órgano de línea, con autoridad técnico normativa a nivel nacional, responsable de formular y proponer políticas nacionales y sectoriales, planes nacionales, normas, lineamientos y estrategias en materia de Informática y de Gobierno Electrónico;

Que, mediante Decreto Supremo nº 004-2019-JUS se aprobó el Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General, a través del cual se establecen las normas comunes para las actuaciones de la función administrativa del Estado y se regula los procedimientos administrativos desarrollados en las entidades, incluyendo el procedimiento administrativo electrónico y el uso de la casilla única electrónica;

Que, asimismo, los numerales 20.4 del artículo 20 y 30.4 del artículo 30 del Texto Único Ordenado de la Ley nº 27444 disponen que mediante Decreto Supremo refrendado por la Presidencia del Consejo de Ministros, se aprueban los criterios, condiciones, mecanismos y plazos para la implementación de la casilla única electrónica, y los lineamientos para establecer las condiciones y uso de las tecnologías y medios electrónicos en los procedimientos administrativos, junto a sus requisitos, respectivamente;

De conformidad con el inciso 8) del artículo 118 de la Constitución Política del Perú, la Ley nº 29158, Ley Orgánica del Poder Ejecutivo, el Decreto Legislativo nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y el Decreto Supremo nº 004-2019-JUS, que aprueba el Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General;

DECRETA:

Artículo 1. Aprobación

Apruébase el Reglamento del Decreto Legislativo nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, el mismo que consta de ocho (08) Títulos, veintiún (21) Capítulos, ciento veintiún (121) Artículos, cincuenta y dos (52) Disposiciones Complementarias Finales, cuatro (04) Disposiciones Complementarias Transitorias, seis (06) Disposiciones Complementarias Modificatorias, una (01) Disposición Complementaria Derogatoria y un (01) Anexo, el mismo que forma parte integrante del presente Decreto Supremo.

Artículo 2. Publicación

Publícase el presente Decreto Supremo y el Reglamento, aprobado mediante el artículo precedente, en la Plataforma Digital Única para Orientación al Ciudadano (www.gob.pe), y en los portales institucionales de los ministerios cuyos titulares lo refrendan, el mismo día de su publicación en el Diario Oficial El Peruano.

Artículo 3. Financiamiento

La implementación de lo establecido en el presente Decreto Supremo se financia con cargo al presupuesto institucional de las entidades involucradas, sin demandar recursos adicionales al Tesoro Público.

Artículo 4. Refrendo

El presente Decreto Supremo es refrendado por la Presidenta del Consejo de Ministros, el Ministro de Economía y Finanzas, el Ministro de Justicia y Derechos Humanos, el Ministro del Interior, la Ministra de Defensa y el Ministro de Cultura.

Dado en la Casa de Gobierno, en Lima, a los dieciocho días del mes de febrero del año dos mil veintiuno.

FRANCISCO RAFAEL SAGASTI HOCHHAUSLER. Presidente de la República

VIOLETA BERMÚDEZ VALDIVIA. Presidenta del Consejo de Ministros

WALDO MENDOZA BELLIDO. Ministro de Economía y Finanzas

EDUARDO VEGA LUNA. Ministro de Justicia y Derechos Humanos

JOSÉ MANUEL ANTONIO ELICE NAVARRO. Ministro del Interior

NURIA ESPARCH FERNÁNDEZ. Ministra de Defensa

ALEJANDRO ARTURO NEYRA SÁNCHEZ. Ministro de Cultura

REGLAMENTO DEL DECRETO LEGISLATIVO nº 1412, DECRETO LEGISLATIVO QUE APRUEBA LA LEY DE GOBIERNO DIGITAL, Y ESTABLECE DISPOSICIONES SOBRE LAS CONDICIONES, REQUISITOS Y USO DE LAS TECNOLOGÍAS Y MEDIOS ELECTRÓNICOS EN EL PROCEDIMIENTO ADMINISTRATIVO

TÍTULO I.- DISPOSICIONES GENERALES

Artículo 1. Objeto

El presente Reglamento tiene por objeto:

1.1 Regular las actividades de gobernanza y gestión de las tecnologías digitales en las entidades de la Administración Pública en materia de Gobierno Digital, que comprende la identidad digital, interoperabilidad, servicios digitales, datos, seguridad digital y arquitectura digital, así como establecer el marco jurídico aplicable al uso transversal de tecnologías digitales en la digitalización de procesos y prestación de servicios digitales en los tres niveles de gobierno, conforme lo señalado en el Decreto Legislativo nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital (en adelante la Ley), con observancia de los deberes y derechos fundamentales previstos en la Constitución Política del Perú y en los tratados internacionales de derechos humanos y otros tratados internacionales ratificados por el Perú; y,

1.2 Establecer las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, y los criterios, condiciones, mecanismos y plazos de implementación de la casilla única electrónica, conforme lo establecido en los numerales 20.4 del artículo 20 y 30.4 del artículo 30 del Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo nº 004-2019-JUS (en adelante el TUO de la Ley nº 27444).

Artículo 2. Ente Rector

2.1 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, ejerce la rectoría del Sistema Nacional de Transformación Digital en el país y en las materias de Gobierno, Confianza y Transformación Digital, siendo la autoridad técnico-normativa a nivel nacional en dichas materias. Asimismo, es el Líder Nacional de Gobierno Digital responsable del proceso de transformación digital en el país y dirección estratégica del Gobierno Digital en el Estado Peruano, conforme a lo dispuesto en el artículo 8 del Decreto Supremo nº 033-2018-PCM, Decreto Supremo que crea la Plataforma Digital Única del Estado Peruano y establecen disposiciones adicionales para el desarrollo del Gobierno Digital, para lo cual en el ejercicio de sus funciones articula acciones con las entidades de la Administración Pública, la sociedad civil, los ciudadanos la academia y el sector privado.

2.2 La materia de Gobierno Digital comprende los ámbitos de tecnologías digitales, identidad digital, interoperabilidad, servicios digitales, datos, seguridad digital y arquitectura digital, los cuales se relacionan entre sí con la finalidad de mejorar la prestación de servicios centrados en los ciudadanos, la gestión interna de las entidades de la Administración Pública y la relación entre éstas en la prestación interadministrativa de servicios públicos de manera segura para fortalecer la confianza y satisfacer las necesidades de los ciudadanos y personas en general en el entorno digital, orientado a la transformación digital del Estado.

Artículo 3. Gobernanza digital

3.1 La gobernanza digital es el conjunto de roles, estructuras, procesos, herramientas y normas para articular, dirigir, evaluar y supervisar el uso y adopción de las tecnologías digitales y datos en el Estado Peruano y el proceso de transformación digital en el país, de conformidad con el artículo 3 de la Ley. El gobierno digital es el uso estratégico de las tecnologías digitales y datos en la Administración Pública para la creación de valor público, de conformidad con lo establecido en el artículo 6 de la Ley.

3.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es la entidad responsable de ejercer la gobernanza digital del uso transversal y adopción estratégica de las tecnologías digitales y datos en el Estado Peruano, del proceso de transformación digital en el país, y de los marcos de identidad digital, interoperabilidad, servicios digitales, datos, gobernanza, gestión y reestructuración de modelos de datos, seguridad digital y arquitectura digital del Estado Peruano. Asimismo, emite las normas, lineamientos, especificaciones, guías, directivas y estándares para su aplicación por parte de las entidades de la Administración Pública.

3.3 La Secretaría de Gobierno Digital establece los mecanismos de articulación de la gobernanza digital con las entidades de la Administración Pública, los ciudadanos, la sociedad civil, la academia y el sector privado, desde un enfoque multidisciplinario, sistémico, holístico e integral en base a los desafíos de una sociedad digital, con pleno respeto de los derechos de los ciudadanos y personas en el entorno digital.

Artículo 4. Mecanismos de articulación de la Gobernanza Digital

4.1 El Comité de Alto Nivel por un Perú Digital, Innovador y Competitivo, en el marco de la Ley, es el mecanismo de articulación multisectorial para la promoción de acciones relacionadas con el desarrollo del gobierno digital y la integración de la sociedad civil, el sector privado, la academia y los ciudadanos en una sociedad digital.

4.2 El Comité de Gobierno Digital es el mecanismo de gobernanza a nivel institucional en las entidades públicas y su actuar se rige de conformidad con lo establecido en el Decreto de Urgencia nº 006-2020, Decreto de Urgencia que crea el Sistema Nacional de Transformación Digital y sus normas reglamentarias. El Comité de Gobierno Digital coordina y remite el portafolio de proyectos definido en el Plan de Gobierno Digital a la Comisión de Planeamiento Estratégico de la entidad o la que haga sus veces, para su evaluación, priorización e incorporación en sus instrumentos de gestión, tales como, el plan estratégico institucional, plan anual de contrataciones y plan operativo institucional.

4.3 El Laboratorio de Gobierno y Transformación Digital del Estado es el mecanismo de gobernanza e innovación abierta para co-crear, producir, innovar, prototipar y diseñar plataformas digitales, soluciones tecnológicas y servicios digitales con las entidades públicas, fomentar el desarrollo del talento digital, el uso de tecnologías emergentes, disruptivas y el impulso de una sociedad digital, de la información y el conocimiento con la colaboración de la academia, el sector privado, la sociedad civil y los ciudadanos.

Artículo 5. Opinión técnica previa de proyectos de tecnologías digitales de carácter transversal

5.1 Los titulares de las entidades de la Administración Pública solicitan opinión a la Secretaría de Gobierno Digital, sobre los proyectos de tecnologías digitales de carácter transversal en materia de interoperabilidad, seguridad digital, identidad digital, datos y gobernanza de datos, arquitectura digital, servicios digitales y tecnologías de la información aplicables a la materia de Gobierno Digital y transformación digital, identificando a las entidades involucradas en su gestión e implementación. Los proyectos definidos son incorporados en los portafolios de proyectos de los Planes de Gobierno Digital e instrumentos de gestión (PEI, POI) de las entidades responsables e involucradas. La Secretaría de Gobierno Digital incorpora dichos proyectos en la Agenda Digital Perú o documento equivalente vigente y supervisa la implementación.

5.2 La Secretaría de Gobierno Digital emite opinión técnica previa a fin de validar técnicamente si los proyectos referidos en el numeral 5.1, cumplen con lo establecido en la Ley, el Reglamento y normas complementarias, así como con los criterios de: accesibilidad, usabilidad, estandarización y escalabilidad, cuando corresponda.

5.3 En el caso de aquellos servicios digitales provistos a través de ventanillas únicas, así como para la implementación de ventanillas únicas digitales, la Secretaría de Gobierno Digital emite opinión previa a fin de validar técnicamente si dichos servicios cumplen con lo establecido en la Ley, el Reglamento y normas complementarias, así como con los criterios de: accesibilidad, usabilidad, estandarización y escalabilidad.

5.4 La opinión técnica previa favorable de la Secretaría de Gobierno Digital a la que hace referencia los numerales 5.2 y 5.3 habilita a la entidad proponente continuar con la implementación del proyecto de tecnologías digitales correspondiente.

5.5 El plazo para la emisión de la referida opinión técnica es de quince (15) días hábiles. Este plazo se computa desde la fecha de cumplimiento en la presentación de la documentación requerida por la Secretaría de Gobierno Digital, pudiendo ser ampliado por un periodo similar dependiendo de la complejidad y alcance del proyecto. La Secretaría de Gobierno Digital emite los lineamientos que contienen los procedimientos y documentación para la emisión de la opinión técnica previa de proyectos de tecnologías digitales de carácter transversal.

5.6 La Secretaría de Gobierno Digital brinda asistencia técnica y acompañamiento a las entidades públicas en el proceso de formulación o diseño de proyectos de tecnologías digitales de carácter transversal de mediana o alta complejidad, a fin de asegurar una base de conocimiento y mejores prácticas.

Artículo 6. Opinión técnica vinculante

6.1 La Secretaría de Gobierno Digital emite opinión técnica vinculante cuando considera necesario aclarar, interpretar o integrar las normas que regulan la materia de gobierno digital.

6.2 La opinión técnica vinculante se emite en el marco de una consulta formulada por una entidad o de oficio. Se formaliza mediante un informe técnico en el cual se califica a la opinión técnica como vinculante determinando si sus efectos son generales o de alcance al caso en particular.

6.3 La opinión técnica vinculante de efectos generales adquiere carácter obligatorio para todas las entidades desde su publicación en la página institucional de la Presidencia del Consejo de Ministros.

6.4 La recurrencia de interpretaciones divergentes acerca del alcance de una determinada norma o la reiteración de consultas similares sobre esta, son criterios para que la Secretaría de Gobierno Digital considere calificar a una opinión técnica como vinculante.

Artículo 7. Opinión técnica especializada

7.1 La Secretaría de Gobierno Digital, en su calidad de autoridad técnico normativa del Sistema Nacional de Transformación Digital y en el marco de sus competencias, emite opinión técnica especializada sobre consultas vinculadas a la materia de Gobierno Digital que comprende los ámbitos de tecnologías digitales, identidad digital, interoperabilidad, servicio digital, datos y gobernanza de datos, seguridad digital y arquitectura digital, incluyendo consultas en materia de tecnologías emergentes, tecnologías disruptivas, tendencias tecnológicas, y riesgos tecnológicos existentes.

7.2 La emisión de la opinión técnica especializada se emite en el marco de una consulta formulada por una entidad. Constituye una instancia consultiva de soporte a la adopción de decisiones individuales de cada entidad en el marco de sus competencias.

Artículo 8. Gestión de las tecnologías digitales

Las unidades de organización de tecnologías de la información o las que hagan sus veces en las entidades públicas son responsables de la planificación, implementación, ejecución y supervisión del uso y adopción de las tecnologías digitales como habilitantes de la implementación de la cadena de valor, soluciones de negocio, modelos de negocio o similares priorizadas en el marco de los instrumentos de gestión de la entidad, con el propósito de permitir alcanzar sus objetivos estratégicos, crear valor público y cumplir con lo establecido por el Comité de Gobierno Digital institucional.

TÍTULO II.- IDENTIDAD DIGITAL

CAPÍTULO I.- MARCO DE IDENTIDAD DIGITAL DEL ESTADO PERUANO

Artículo 9. Marco de Identidad Digital del Estado Peruano

9.1 El Marco de Identidad Digital del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector de la identidad digital en el país, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para la aplicación de la identidad digital por parte de las entidades de la Administración Pública a fin de garantizar la identificación y autenticación de los ciudadanos y personas en general cuando acceden a los servicios digitales.

9.2 El Marco de Identidad Digital del Estado Peruano y sus normas de desarrollo, son revisadas y aplicadas en la utilización, implementación, digitalización de procesos y prestación de servicios digitales brindados por las entidades de la Administración Pública a los ciudadanos y personas en general.

9.3 El Marco de Identidad Digital del Estado Peruano comprende la gestión de la identidad digital en los siguientes ámbitos:

a) Ámbito de la interacción de los peruanos con servicios digitales provistos por las entidades de la Administración Pública.

b) Ámbito de la interacción de los extranjeros con servicios digitales provistos por las entidades de la Administración Pública.

9.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los ámbitos establecidos en función de la necesidad pública, cambio tecnológico, importancia estratégica o normativa expresa que lo demande; la misma que se hace efectiva mediante Decreto Supremo refrendado por la Presidencia del Consejo de Ministros.

9.5 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, promueve el reconocimiento transfronterizo de la identidad digital de los peruanos en coordinación con las entidades nacionales competentes.

Artículo 10. Principios del Marco de Identidad Digital del Estado Peruano

La aplicación del Marco de Identidad Digital del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos:

a) Inclusión. Toda persona natural que tiene asignado un código único de identificación (CUI) o código único de extranjero (CUE) que necesite interactuar con las entidades de la Administración Pública tiene derecho a una identidad digital.

b) Identificador único. Toda persona natural que accede a un servicio digital provisto por una entidad de la Administración Pública utiliza su respectivo identificador único que le permite distinguirse de otros.

c) No discriminación. No se niega validez, ni efectos jurídicos, ni fuerza ejecutoria a la verificación de la identidad de una persona natural realizada a través de los servicios de autenticación establecidos en el Marco de Identidad Digital del Estado Peruano por la sola razón de que se presta en forma electrónica.

d) Equivalencia funcional de la verificación de la identidad. Cuando se requiera la verificación de la identidad de una persona natural, ese requisito se da por cumplido si se utiliza los servicios de autenticación establecidos en el Marco de Identidad Digital del Estado Peruano.

Artículo 11. Modelo de Identidad Digital del Estado Peruano

11.1 El Modelo de Identidad Digital es la representación holística y sistémica de los componentes que comprende el Marco de Identidad Digital del Estado Peruano, atendiendo los principios establecidos en el artículo 10 del presente Reglamento y la Ley.

11.2 El Modelo de Identidad Digital del Estado Peruano comprende los siguientes componentes:

a) Principios

b) Ciudadanos digitales

c) Gestores de la identidad digital

d) Plataforma Nacional de Identificación y Autenticación de la Identidad Digital (ID GOB.PE)

e) Atributos de identidad digital

f) Proveedores de atributos de identidad complementarios

g) Credenciales de autenticación

Artículo 12. Ciudadano Digital

12.1 Los ciudadanos digitales son aquellas personas naturales que cumplen, como mínimo, con los siguientes requisitos obligatorios:

a) Tienen atributos de identidad inherentes.

b) Cuentan con una casilla única electrónica.

c) Cuentan con credenciales de autenticación emitidas, entregadas y/o habilitadas dentro del marco del presente Reglamento.

12.2 Los ciudadanos digitales tienen las siguientes obligaciones:

a) Desenvolverse en el entorno digital de acuerdo con las normas del derecho común y buenas costumbres.

b) Facilitar a las entidades públicas información oportuna, veraz, completa y adecuada, asumiendo responsabilidad sobre ello.

c) Resguardar, custodiar y utilizar sus credenciales de autenticación de manera diligente y manteniendo el control de éstas.

d) No afectar la disponibilidad de los servicios digitales, ni alterarlos, ni hacer uso no autorizado o indebido de los mismos.

e) Respetar las políticas de seguridad y privacidad de la información establecida por los servicios digitales.

f) Ejercer la responsabilidad sobre el uso de sus datos y acciones en su interacción con las entidades públicas en el entorno digital.

g) Otros que establezca la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

12.3 Los ciudadanos digitales tienen los siguientes derechos:

a) Derecho fundamental a la igualdad, garantizando su libre, igualitario y no discriminado acceso, con especial incidencia en las poblaciones vulnerables, en atención a lo previsto en el artículo 2 numeral 2 de la Constitución Política del Perú.

b) Derecho fundamental a la protección de los datos personales, previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, y conforme a lo establecido en la Ley nº 29733, Ley de Protección de Datos Personales y su Reglamento.

c) Derecho fundamental de acceder a la información considerando lo establecido sobre el secreto bancario y la reserva tributaria de acuerdo con lo previsto en el artículo 2 numeral 5 de la Constitución Política del Perú y el artículo 85 del Código Tributario.

d) Derecho fundamental al honor y a la buena reputación, intimidad personal y familiar, en atención a lo previsto en el artículo 2 numeral 7 de la Constitución Política del Perú.

e) Los demás derechos fundamentales previstos en la Constitución Política del Perú y en los tratados internacionales de derechos humanos ratificados por el Perú, atendiendo a cada situación en particular.

f) Derecho a relacionarse por canales digitales y haciendo uso de medios electrónicos con las entidades de la Administración pública, conforme al marco legal.

g) Derecho a elegir la modalidad de relacionarse con la Administración pública por medios tradicionales o digitales, siempre que la norma de la materia lo permita; ello sin perjuicio de que se establezca la obligatoriedad del uso de un canal digital en una disposición legal.

h) Derecho a no aportar datos ni presentar documentos que poseen las entidades públicas.

Artículo 13. Gestores de la Identidad Digital

13.1 Los Gestores de la Identidad Digital (GID) son las entidades que proveen servicios de identificación y autenticación de personas naturales en el entorno digital, y están constituidas por:

a) El Registro Nacional de Identificación y Estado Civil (RENIEC) que gestiona el otorgamiento, el registro y la acreditación de la identidad digital nacional de los peruanos.

b) La Superintendencia Nacional de Migraciones (MIGRACIONES) que gestiona el otorgamiento, el registro y la acreditación de la identidad digital de los extranjeros.

13.2 Para la gestión de la identidad digital los GID tienen las siguientes obligaciones:

a) Llevar a cabo el registro y la recopilación de los atributos inherentes de identidad digital, realizar actividades de comprobación y verificación de la identidad digital, y efectuar la vinculación de las credenciales de autenticación de la identidad digital.

b) Mantener actualizados los atributos inherentes de la identidad digital.

c) Administrar las credenciales de autenticación de la identidad digital de conformidad con las disposiciones establecidas en la Ley, su Reglamento y normas complementarias, en particular para:

(i) la emisión, entrega y activación;

(ii) la suspensión, revocación y reactivación; y

(iii) la renovación y sustitución.

d) Autenticar a los ciudadanos digitales mediante los mecanismos de autenticación establecidos en el presente Capítulo.

e) Garantizar la disponibilidad, continuidad y el funcionamiento adecuado de sus servicios.

f) Divulgar información acerca de sus servicios de autenticación en sus canales digitales.

g) Brindar asistencia técnica a los Proveedores Públicos de Servicios Digitales para garantizar su integración con sus servicios de autenticación, en coordinación con la Secretaría de Gobierno Digital.

h) Coordinar con la Secretaría de Gobierno Digital y proporcionarle las herramientas e instrumentos para la supervisión y promoción de los servicios de autenticación de la identidad digital.

i) Publicar datos en formatos abiertos sobre el uso de los servicios de autenticación de la Plataforma ID GOB.PE en la Plataforma Nacional de Datos Abiertos.

13.3 En caso se produzca una falla de seguridad, caída del servicio o una pérdida de integridad que repercuta de manera considerable en el sistema de información de gestión de la identidad digital, en particular, en los atributos que se administran en él, los GID tienen las siguientes obligaciones:

a) Comunicar al Centro Nacional de Seguridad Digital la falla de seguridad o pérdida de integridad que se haya producido, conforme lo establecido en el artículo 107 del presente Reglamento.

b) Subsanar la falla de seguridad o la pérdida de integridad.

c) Suspender las credenciales de autenticación de la identidad digital que resulten afectadas hasta que se subsane la falla de seguridad o la pérdida de integridad.

d) Restablecer las credenciales de autenticación de la identidad digital que hayan resultado afectadas.

e) Revocar las credenciales de autenticación de la identidad digital que hayan resultado afectadas si la falla o la pérdida no puede subsanarse.

f) Atender las disposiciones del Título VII del presente Reglamento en lo que corresponda.

13.4 Para la gestión de la identidad digital en el país la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, desarrolla servicios de autenticación de la identidad digital en el marco de lo establecido en el presente Reglamento, para lo cual:

a) Hace uso de los servicios de información publicados en la Plataforma de Interoperabilidad del Estado (PIDE).

b) Es un Gestor de la Identidad Digital para la autenticación de la identidad digital de personas naturales.

Artículo 14. Plataforma Nacional de Identificación y Autenticación de la Identidad Digital

14.1 Créase la Plataforma Nacional de Identificación y Autenticación de la Identidad Digital (ID GOB.PE) como la plataforma digital que permite autenticar en línea la identidad de una persona natural que tiene asignado un CUI o CUE. La gobernanza y gestión de la Plataforma ID GOB.PE está a cargo de la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

14.2 La Plataforma ID GOB.PE está conformada, como mínimo, por dos (02) servicios:

a) El servicio de autenticación para peruanos gestionado por el RENIEC como Gestor de la Identidad Digital para los peruanos.

b) El servicio de autenticación para extranjeros gestionado por MIGRACIONES como Gestor de la Identidad Digital para los extranjeros.

14.3 La Plataforma ID GOB.PE proporciona el servicio de autenticación a todos los Proveedores Públicos de Servicios Digitales considerando los niveles de confianza en la autenticación definidos en el artículo 15 del presente Reglamento. Asimismo, puede ser utilizada para el ejercicio del voto electrónico no presencial en los procesos electorales organizados por la Oficina Nacional de Procesos Electorales.

14.4 Los servicios de autenticación de la Plataforma ID GOB.PE utilizan protocolos seguros, interoperables, flexibles y reconocidos por estándares internacionales.

14.5 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece las condiciones de uso, protocolos de integración y gestión de indicadores de la Plataforma ID GOB.PE. Asimismo, emite las normas y disposiciones con respecto a la adopción de la Plataforma ID GOB.PE por parte de las entidades de la Administración Pública, así como también establece otros servicios de autenticación de la identidad digital.

Artículo 15. Niveles de Confianza en la Autenticación

Los niveles de confianza en la autenticación (NCA) con la Plataforma ID GOB.PE son:

a) Nivel 1: Provee un nivel de confianza básico respecto de la identidad de un ciudadano digital autenticado. Para este nivel se requiere el uso de por lo menos un (01) factor de autenticación.

b) Nivel 2: Provee un nivel de confianza razonable respecto de la identidad de un ciudadano digital autenticado. Para este nivel se requiere el uso de dos (02) factores de autenticación diferentes entre sí.

c) Nivel 3: Provee un alto nivel de confianza respecto de la identidad de un ciudadano digital autenticado. Para este nivel se requiere el uso de dos (02) factores de autenticación diferentes entre sí, debiendo uno de ellos estar basado en un módulo criptográfico resistente a manipulaciones.

Artículo 16. Eficacia jurídica y carga de la prueba

16.1 La eficacia jurídica de la autenticación realizada con la Plataforma ID GOB.PE es condicionada y proporcional al nivel de confianza empleado en la autenticación.

16.2 En caso de controversia con relación a autenticaciones realizadas con la Plataforma ID GOB.PE, con niveles 1 o 2 de confianza, la carga de la prueba recae en el correspondiente gestor de la identidad digital; sin embargo, cuando la controversia, sea por autenticaciones con nivel 3 de confianza, la carga de la prueba recae en quien la niegue. En caso de no utilizarse la Plataforma ID GOB.PE, la carga probatoria recae en el Proveedor Público del Servicio Digital.

Artículo 17. Atributos de Identidad Digital

17.1 Los atributos de identidad digital son aquellos datos que en conjunto individualizan y caracterizan a un ciudadano digital.

17.2 Los atributos de identidad digital se clasifican en inherentes y complementarios.

17.3 Los atributos inherentes son aquellos atributos que permiten distinguir a un ciudadano digital como distinto de otros dentro del contexto del Estado Peruano y son un requisito para ser un ciudadano digital.

17.4 Los atributos inherentes son:

a) Código único de identificación (CUI) para peruanos o código único de extranjero (CUE) para extranjeros (obligatorio).

b) Nombres y apellidos (obligatorio).

c) Fecha de nacimiento (obligatorio).

d) Lugar de nacimiento (obligatorio).

e) Nacionalidad (obligatorio).

f) Dirección (opcional).

g) Dirección de correo electrónico personal y/o número de teléfono celular (obligatorio).

17.5 Los atributos inherentes de los peruanos son administrados por el Registro Nacional de Identificación y Estado Civil, y los atributos inherentes de los extranjeros son administrados por la Superintendencia Nacional de Migraciones.

17.6 Los atributos complementarios son aquellos atributos que en conjunto con los atributos inherentes permiten la caracterización de una persona desde una determinada perspectiva. Los atributos complementarios son gestionados por los Proveedores de Atributos de Identidad Complementarios señalados en el artículo 18 del presente Reglamento.

17.7 El Ministerio de Relaciones Exteriores, en el marco de sus funciones y competencias, provee información sobre los atributos de identidad de un extranjero contenidos en el Carné de Identidad, Carné de Solicitante de Refugio u otros documentos similares a la Superintendencia Nacional de Migraciones, a través de servicios de información interoperables, para su inscripción en el Registro de Información de Migraciones (RIM).

Artículo 18. Proveedores de Atributos de Identidad complementarios

18.1 Los Proveedores de Atributos de Identidad (PAI) son todas las entidades de la Administración Pública que gestionan algún atributo de identidad complementario.

18.2 Los PAI son responsables de mantener la veracidad, la exactitud y la vigencia de los valores de los atributos de identidad complementarios.

18.3 Los PAI proveen atributos de identidad a los proveedores públicos de servicios digitales (PPSD) a través de la Plataforma de Interoperabilidad del Estado. Dicha provisión no requiere el consentimiento del ciudadano digital, siendo de aplicación las limitaciones al consentimiento para el tratamiento de datos personales contenidos en el numeral 1 del artículo 14 de la Ley nº 29733, Ley de Protección de Datos Personales. Asimismo, los PAI actúan bajo el principio de divulgación de información mínima y salvaguardando lo dispuesto en la Ley nº 27806, Ley de Transparencia y Acceso a la Información Pública y otras normas aplicables.

Artículo 19.- Credenciales de Autenticación

19.1 Una credencial de autenticación es aquella representación de la identidad digital utilizada por un ciudadano digital para demostrar que es quien dice ser ante la Plataforma ID GOB.PE.

19.2 Una persona natural, peruana o extranjera, puede solicitar la emisión, entrega o activación de una credencial de autenticación a los Gestores de la Identidad Digital. Asimismo, las credenciales de autenticación pueden ser emitidas, entregadas o activadas por los Gestores de la Identidad Digital previa autenticación efectuada por la Plataforma IDGOBPERÚ con un NCA igual o mayor que el de la credencial de autenticación solicitada.

19.3 Las credenciales de autenticación son un requisito para ser un ciudadano digital.

CAPÍTULO II.- DOCUMENTO NACIONAL DE IDENTIDAD DIGITAL

Artículo 20. Documento Nacional de Identidad Digital

20.1 El Documento Nacional de Identidad digital (DNId) es el Documento Nacional de Identidad emitido por el RENIEC en dispositivos digitales, que permite acreditar la identidad de su titular en entornos presenciales y/o no presenciales. Además, puede permitir a su titular la creación de firmas digitales dentro del marco de la Ley nº 27269, Ley de Firmas y Certificados Digitales, su Reglamento y normas modificatorias y complementarias. Asimismo, el DNId puede ser utilizado para el ejercicio del voto electrónico primordialmente no presencial en los procesos electorales.

20.2 El DNId se constituye como una de las credenciales de autenticación de la identidad digital nacional que puede ser utilizada por su titular para demostrar que es quién dice ser en la Plataforma ID GOB.PE.

Artículo 21. Lineamientos para el Documento Nacional de Identidad Digital

El RENIEC es responsable de establecer los requisitos, características, lineamientos y procedimientos del DNId, teniendo en consideración tecnologías que garanticen su seguridad y la verificabilidad de su autenticidad e integridad.

Artículo 22. Uso y validez del Documento Nacional de Identidad Digital

22.1 Los funcionarios y servidores públicos al servicio de las entidades de la Administración Pública pueden hacer uso del DNId para el ejercicio de sus funciones en los actos de administración, actos administrativos, procedimientos administrativos y servicios digitales. El DNId sólo otorga garantía sobre la identificación de la persona natural, mas no sobre el cargo, rol, atribuciones o facultades que ostenta un funcionario o servidor público; quien es el responsable de gestionar en su entidad las autorizaciones de acceso y asignación de roles, atribuciones o facultades para hacer uso del indicado DNId en los sistemas de información que hagan uso de este.

22.2 Para efectos de identificación, ninguna persona, autoridad o funcionario puede exigir la presentación del Documento Nacional de Identidad en formato electrónico o convencional cuando su titular disponga del mismo en formato digital, siempre que se tenga al alcance un mecanismo seguro de verificación de su validez.

22.3 El tiempo de coexistencia del Documento Nacional de Identidad en formato digital, electrónico y convencional es definido por el RENIEC, los cuales pueden ser usados en la Plataforma ID GOB.PE.

TÍTULO III.- SERVICIOS DIGITALES

CAPÍTULO I.- MARCO DE SERVICIOS DIGITALES DEL ESTADO PERUANO

Artículo 23. Marco de Servicios Digitales del Estado Peruano

23.1 El Marco de Servicios Digitales del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector de servicios digitales, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para su aplicación por parte de las entidades de la Administración Pública a fin de garantizar el diseño, seguridad, escalabilidad, interoperabilidad, integridad, accesibilidad, usabilidad, omnicanalidad de los servicios digitales y el adecuado uso de las tecnologías digitales.

23.2 El Marco de Servicios Digitales del Estado Peruano comprende la interacción de los ciudadanos y personas en general con los servicios digitales provistos de forma total o parcial a través de Internet u otra red equivalente por las entidades de la Administración Pública.

23.3 El Marco de Servicios Digitales del Estado Peruano y sus normas de desarrollo, son revisadas y aplicadas en el diseño, construcción, despliegue y operación de los servicios digitales prestados por las entidades de la Administración Pública a los ciudadanos y personas en general.

Artículo 24. Principios del Marco de Servicios Digitales del Estado Peruano

La aplicación del Marco de Servicios Digitales del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, los principios del procedimiento administrativo establecidos en el TUO de la Ley nº 27444, y con los siguientes principios específicos:

a) Centrados en los ciudadanos. Los servicios digitales se co-crean y co-diseñan con la participación de los ciudadanos y personas en general a fin de atender y satisfacer sus demandas y/o necesidades.

b) Accesibilidad. Los servicios digitales cuentan con las características necesarias para que sean accesibles por todas las personas, en especial por las personas en situación de discapacidad.

c) Pensados para dispositivos móviles. Los servicios digitales están configurados para poder ser utilizados con un dispositivo móvil, teléfono inteligente o similar.

d) Escalabilidad. Los servicios digitales aseguran y mantienen niveles razonables de calidad ante el incremento de la demanda.

e) Innovación abierta y mejora continua. En base a las necesidades de las personas, se garantiza la mejora continua de los servicios digitales, así como el despliegue de estrategias de innovación abierta.

f) Conservación de la información. Se garantiza que las comunicaciones y documentos generados en entornos digitales, se conservan en las mismas o mejores condiciones que aquellas utilizadas por los medios tradicionales, de acuerdo con la normatividad de la materia.

g) Seguridad desde el diseño. Los servicios digitales se diseñan y desarrollan preservando la disponibilidad, integridad, confidencialidad de la información que gestiona y, cuando corresponda, la autenticidad y no repudio de la información proporcionada.

h) Interculturalidad. Los servicios digitales se desarrollan bajo un enfoque intercultural considerando las necesidades culturales y sociales de los grupos étnico-culturales del país.

Artículo 25. Proveedores Públicos de Servicios Digitales

25.1 Los proveedores públicos de servicios digitales (PPSD) son todas las entidades de la Administración Pública que proveen servicios digitales.

25.2 Los PPSD tienen las siguientes obligaciones:

a) No solicitar al ciudadano digital otras credenciales de autenticación que no sean las emitidas y/o habilitadas dentro del marco del presente Reglamento.

b) Adoptar medidas que garanticen el respeto de las normas de procedimiento aplicables y la eficacia de los actos realizados mediante los servicios digitales.

c) Determinar el NCA pertinente por cada operación o servicio digital prestado, de acuerdo con la sensibilidad y nivel de riesgo, considerando los criterios establecidos en el artículo 106 del Título VII del presente Reglamento.

d) Gestionar adecuadamente los atributos de identidad digital obtenidos y destinarlos únicamente para los fines para los cuales fueron obtenidos.

e) Determinar los privilegios para el acceso a la información, los recursos y los servicios asociados a la identidad digital que le corresponde a un ciudadano digital después de una autenticación exitosa mediante la Plataforma ID GOB.PE.

f) Notificar y/o comunicar al ciudadano y persona en general el inicio, estado y/o resultado de su trámite a su Casilla Única Electrónica, cuando corresponda.

g) Diseñar el servicio digital a fin de que la información entregada al ciudadano y persona en general tenga un alcance acorde al ámbito de acción que tiene la entidad, y de conformidad con la Ley nº 27806, Ley de Transparencia y Acceso a la Información Pública, y sus modificatorias.

h) Utilizar los identificadores únicos fundamentales, vocabularios básicos y vocabularios extendidos para la prestación de sus servicios digitales previstos en el presente Reglamento.

i) Garantizar que solo el ciudadano o representante legal facultado que forma parte de un procedimiento o proceso tenga acceso a los documentos que formen parte del expediente electrónico.

j) Priorizar la prestación de servicios, tramitación de procedimientos, y desarrollo de reuniones o sesiones a su cargo haciendo uso de tecnologías digitales y canales digitales.

k) Contar con una infraestructura tecnológica que permita asegurar la disponibilidad de los servicios digitales las 24 horas de los 365 días del año.

l) No solicitar al ciudadano pago por acceder a consultar digitalmente sus propios datos o información pública, salvo aquellos casos establecidos en una disposición legal.

25.3 Los PPSD otorgan las garantías para la prestación de servicios digitales, establecidos en el artículo 18 de la Ley, asegurando que los mismos:

a) Se integran con la Plataforma ID GOB.PE para autenticar en línea la identidad de un ciudadano digital, conforme a las disposiciones establecidas en el Capítulo I del Título II del presente Reglamento.

b) Se diseñan, implementan y prestan conforme a las disposiciones de seguridad digital establecidas en el Título VII del presente Reglamento y el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

c) Se diseñan, implementan y prestan conforme a las disposiciones de interoperabilidad establecidas en el Título VI del presente Reglamento.

d) Se diseñan, implementan y prestan conforme a las disposiciones de arquitectura digital establecidas en el Título VIII del presente Reglamento.

e) Se diseñan o rediseñan considerando aspectos de accesibilidad, usabilidad y simplicidad, centradas en la experiencia de los usuarios, así como normas técnicas y estándares ampliamente reconocidos y habilidades blandas.

f) Se integran a la Plataforma de Pagos Digitales del Estado Peruano u otros mecanismos para realizar los pagos de derechos de tramitación conforme a las disposiciones establecidas en el artículo 89 del presente Reglamento.

g) Se diseñan, implementan y prestan atendiendo las condiciones para el tratamiento de datos personales conforme a las normas sobre la materia.

h) Garantizan la conservación de las comunicaciones y documentos electrónicos generados en su prestación, de acuerdo con las normas sobre la materia.

Artículo 26. Tipos de Servicios digitales

26.1 El servicio digital, definido en el artículo 3 de la Ley, puede ser clasificado por su nivel de complejidad y necesidad de apersonamiento del ciudadano.

26.2 Los servicios digitales, de acuerdo con su complejidad, son clasificados en cuatro (04) tipos:

a) Servicio digital informativo. Son aquellos de carácter netamente informativo y unidireccional.

b) Servicio digital cercano. Son aquellos que permiten comunicaciones bidireccionales básicas.

c) Servicio digital optimizado. Son aquellos que permiten comunicación bidireccional avanzada, y su utilización requiere como mínimo la autenticación de la identidad del ciudadano mediante la plataforma ID GOB.PE y un bloque básico de interoperabilidad técnica establecido en el artículo 86 del presente Reglamento.

d) Servicio digital conectado. Son aquellos que utilizan al menos tres (03) bloques básicos de interoperabilidad técnica establecidos en el artículo 86 del presente Reglamento.

26.3 Los servicios digitales, de acuerdo con la necesidad de apersonamiento del ciudadano, son clasificados en tres (03) tipos:

a) Servicio digital no presencial. Es aquel servicio provisto de forma total a través de Internet u otra red equivalente, que se caracteriza por ser no presencial (no requiere el apersonamiento del ciudadano digital en la sede de atención de la entidad) y automático (no requiere intervención humana directa para su atención) o semiautomático (requiere intervención humana para su atención). Puede ser sincrónico o asincrónico.

b) Servicio digital semipresencial. Es aquel servicio provisto de forma parcial a través de Internet u otra red equivalente, que se caracteriza por ser semipresencial (requiere que el ciudadano digital se apersone a la sede de atención de la entidad en alguna etapa del servicio, o viceversa).

c) Servicio digital presencial. Es aquel servicio provisto de forma parcial a través de equipamiento tecnológico, diseñado para el autoservicio.

26.4 Las entidades públicas determinan los tipos de servicios digitales que le corresponde proveer en base a su complejidad o la necesidad de apersonamiento del ciudadano.

Artículo 27. Ciclo de vida de la implementación de los servicios digitales

27.1 Las entidades públicas consideran las siguientes etapas en el ciclo de vida de la implementación de los servicios digitales:

a) Alineamiento a los objetivos estratégicos. Comprende el alineamiento y priorización del servicio digital con los objetivos estratégicos institucionales en el marco del Sistema Nacional de Planeamiento.

b) Concepción, co-creación y diseño- Comprende la investigación para la identificación de las necesidades del ciudadano y personas en general, su priorización, la definición de la arquitectura lógica, el diseño, el prototipado de la solución, la realización de pruebas de concepto y las pruebas de usabilidad.

c) Construcción e integración. Comprende el uso de herramientas, técnicas, metodologías, estándares, normas técnicas y marcos de referencia ampliamente reconocidos para la construcción del servicio digital y su integración con los bloques básicos para la interoperabilidad técnica definidos en el Título VI del presente Reglamento, en lo que corresponda.

d) Operación. Comprende el uso de marcos de referencia y estándares ampliamente reconocidos para la provisión de servicios digitales seguros y de valor para el ciudadano y personas en general.

e) Mejora continua. Comprende el desarrollo de acciones periódicas, en base a las necesidades del ciudadano y personas en general, así como los avances tecnológicos, para el mejoramiento continuo de la calidad del servicio digital. Esta etapa se basa en el uso de métodos cuantitativos y cualitativos para perfeccionar la calidad y la eficiencia de los servicios digitales, así como de otros productos de la cadena de valor.

27.2 En la formulación y evaluación de los proyectos de tecnologías digitales se aplican las normas técnicas, parámetros, metodologías, estándares o similares que establezca la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

Artículo 28. Innovación de los servicios digitales

28.1 Las entidades de la Administración Pública implementan servicios digitales innovadores, haciendo énfasis en la generación de valor para los ciudadanos y personas en general, siempre que se encuentren dentro de sus competencias, atribuciones y funciones.

28.2 Todo servicio digital es supervisado permanentemente por la entidad proveedora de este, a fin de identificar, analizar, desarrollar y verificar mejoras adicionales para su prestación.

28.3 Las entidades públicas incorporan mecanismos para recolectar la percepción de los ciudadanos acerca del servicio digital utilizado, como mínimo, implementan procesos ágiles de investigación, encuestas en línea accesibles desde su sede o servicio digital. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite lineamientos o guías sobre mecanismos para evaluar la percepción o nivel de satisfacción del servicio digital.

Artículo 29. Inclusión digital y centros de ciudadanía digital

29.1 Las entidades de la Administración Pública garantizan que los ciudadanos o personas en general puedan relacionarse con ellas a través de canales digitales, para lo cual ponen a su disposición la sede digital y los centros de ciudadanía digital que sean necesarios, así como los sistemas de información, plataformas, aplicativos, servicios y contenidos digitales que en cada caso se determinen. Los centros de ciudadanía digital son los centros de acceso público de gobierno digital previstos en la Ley nº 29904, Ley de Promoción de Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica y su Reglamento.

29.2 Las entidades públicas implementan, en función a sus recursos y capacidades, y conforme a las proyecciones o actividades establecidas en sus instrumentos de gestión, centros de ciudadanía digital a fin de proveer espacios para el acceso a sus servicios y contenidos digitales, siguiendo los lineamientos y normas emitidas por la Presidencia del Consejo Ministros, a través de la Secretaría de Gobierno Digital.

Artículo 30. Fecha y hora oficial

Las entidades de la Administración Pública garantizan que todos los sistemas de cómputo y sus respectivas bases de datos están sincronizados con servidores de tiempo que permitan acceder a la fecha y hora cierta para obtener la fecha y hora oficial del Perú, salvo excepciones establecidas por norma expresa o remisión de informe técnico dirigido a la Secretaría de Gobierno Digital.

CAPÍTULO II.- PLATAFORMA DIGITAL ÚNICA DEL ESTADO PERUANO PARA ORIENTACIÓN AL CIUDADANO – GOB.PE

Artículo 31. Estructura funcional de la Plataforma Digital GOB.PE

31.1 La Plataforma Digital Única del Estado Peruano para Orientación al Ciudadano (Plataforma GOB.PE) es la plataforma digital que provee, como mínimo, las siguientes funcionalidades:

a) Acceder a información del Estado Peruano presentada de manera centralizada.

b) Acceder a la información institucional, catálogo digital de trámites y servicios que prestan todas las entidades públicas, así como a sus sedes digitales.

c) Realizar trámites, acceder a servicios digitales y hacer su seguimiento, incorporando mecanismos de seguridad y, cuando corresponda, mecanismos de no repudio.

d) Realizar reclamos y hacer su seguimiento mediante la plataforma Libro de Reclamaciones o la que haga sus veces, así como realizar denuncias.

e) Presentar solicitudes, escritos u otro tipo de documento en soporte digital dirigida a una entidad pública a través de la Plataforma Única de Recepción Documental del Estado Peruano.

f) Autenticar la identidad digital mediante la Plataforma ID GOB.PE.

g) Acceder a un entorno personalizado.

h) Acceder a una carpeta ciudadana.

i) Acceder a la casilla única electrónica para la recepción de notificaciones digitales y revisión de la bandeja de comunicaciones.

j) Acceder a información personal y familiar, así como a datos de educación, trabajo, electoral, tributaria conforme a los acuerdos establecidos con las entidades competentes proveedoras de dicha información, y, a través de la Plataforma de Interoperabilidad del Estado (PIDE), a datos personales de salud conforme a lo establecido en el marco legal vigente.

31.2 El acceso a las funcionalidades citadas en los literales del f) al j) del numeral 31.1 requieren la autenticación de la identidad digital del ciudadano digital titular de la información y sus datos o del representante legal que tiene la facultad de acceder a dicha información según corresponda.

31.3 La plataforma GOB.PE no almacena información o datos personales de salud provista por el Ministerio de Salud o instituciones prestadoras de servicios de salud.

31.4 Las entidades públicas despliegan obligatoriamente los servicios de información necesarios para la implementación de la estructura funcional de la Plataforma GOB.PE.

31.5 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, define el diseño y conduce el desarrollo e implementación de la estructura funcional de la plataforma GOB.PE. Asimismo, mediante Resolución de Secretaría de Gobierno Digital amplía o modifica la estructura funcional de la Plataforma GOB.PE en función de la necesidad pública, importancia estratégica o normativa expresa que lo demande.

Artículo 32. Sede digital

32.1 La sede digital es una sede de la entidad, cuya dirección electrónica está bajo el dominio en Internet de la Plataforma GOB.PE. Su contenido a nivel de titularidad, gestión y administración corresponde a cada entidad de la administración pública. A través de la sede digital los ciudadanos y personas en general pueden acceder al catálogo digital de trámites y servicios, realizar trámites y otras actividades conforme a lo establecido en el artículo 20 de la Ley.

32.2 Las entidades de la Administración Pública son responsables de la integridad, veracidad y actualización de la información, contenidos digitales y servicios digitales que presten a través de su respectiva sede digital.

Artículo 33. Catálogo digital de trámites y servicios

33.1 El catálogo digital de trámites y servicios es un canal informativo, que forma parte de la sede digital de las entidades públicas, para el acceso a información de trámites y servicios que prestan, en cumplimiento del artículo 1 del Decreto Supremo nº 033-2018-PCM, Decreto Supremo que crea la Plataforma Digital Única del Estado Peruano y establece disposiciones adicionales para el desarrollo del gobierno digital.

33.2 Para el caso de la información de los procedimientos administrativos, servicios prestados en exclusividad y servicios no exclusivos, el Catálogo digital de trámites y servicios integra información del Sistema Único de Trámites o instrumentos de gestión de las entidades de la Administración Pública aprobados. El catálogo contiene como mínimo la siguiente información: descripción, requisitos, etapas, plazo, autoridad que lo aprueba, tipo de procedimiento y tasa.

Artículo 34. Catálogo Oficial de Aplicativos Móviles del Estado Peruano

34.1 Créase el Catálogo Oficial de Aplicativos Móviles del Estado Peruano, bajo la cuenta oficial GOB.PE, en las tiendas de distribución de aplicativos móviles. Es gestionado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

34.2 Las entidades públicas desarrollan sus aplicativos móviles en base a los lineamientos y directivas técnicas para el diseño, construcción y registro emitidos por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

34.3 Asimismo, las entidades coordinan con la Secretaría de Gobierno Digital el registro de un aplicativo móvil nuevo o existente en el Catálogo Oficial de Aplicativos Móviles del Estado Peruano. La Secretaría de Gobierno Digital supervisa de oficio o a pedido de una entidad un aplicativo móvil a fin de verificar el cumplimiento de los lineamientos emitidos, en caso lo requiera puede solicitar opinión a otras entidades vinculadas.

TÍTULO IV.- CONDICIONES, REQUISITOS Y USO DE LAS TECNOLOGÍAS Y MEDIOS ELECTRÓNICOS EN EL PROCEDIMIENTO ADMINISTRATIVO

CAPÍTULO I.- DOCUMENTO ELECTRÓNICO

Artículo 35. Documento electrónico

35.1 El documento electrónico es la unidad básica estructurada de información, es susceptible de ser clasificada, transmitida, procesada o conservada utilizando medios electrónicos, sistemas de información o similares. Contiene información de cualquier naturaleza, es registrado en un soporte electrónico o digital, en formato abierto y de aceptación general, a fin de facilitar su recuperación y conservación en el largo plazo. Asimismo, tiene asociado datos que permiten su individualización, identificación, gestión y puesta al servicio del ciudadano.

35.2 El documento electrónico tiene el mismo valor legal que aquellos documentos en soporte papel, de conformidad con lo establecido en el numeral 30.3 del artículo 30 del TUO de la Ley nº 27444.

35.3 El documento electrónico tiene un ciclo de vida que comprende la planificación, producción (creación, emisión, recepción, despacho), conservación, puesta a disposición y/o eliminación, de acuerdo con la legislación en materia de gobierno digital y las normas del Sistema Nacional de Archivos. Asimismo, siempre que sea factible se pueden emitir representaciones imprimibles de un documento electrónico.

Artículo 36. Código de verificación digital

36.1 El Código de Verificación Digital (CVD) es la secuencia alfanumérica que permite verificar la autenticidad de una representación impresa o imprimible mediante el cotejo con el documento electrónico localizado en la sede digital de la entidad. Las entidades implementan el servicio digital para realizar dicha verificación. La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros emite los lineamientos para la gestión y el uso del CVD a fin de garantizar su seguridad e interoperabilidad.

36.2 El CVD es incorporado en las representaciones imprimibles de documentos electrónicos gestionados por una entidad. Lo señalado en el presente numeral se aplica sin perjuicio de lo dispuesto en la Tercera Disposición Complementaria Final del Decreto Supremo nº 026-2016-PCM, Decreto Supremo que aprueba medidas para el fortalecimiento de la infraestructura oficial de firma electrónica y la implementación progresiva de la firma digital en el Sector Público y Privado.

Artículo 37. Representación imprimible

37.1 Es la representación de un documento electrónico susceptible de ser impresa en soporte papel. Es emitida en un formato digital abierto e interoperable con al menos una firma digital de agente automatizado emitido en el marco de la IOFE y un código de verificación digital (CVD). A partir de una representación imprimible pueden generarse múltiples representaciones impresas.

37.2 Las entidades de la Administración Pública remiten representaciones imprimibles de documentos electrónicos a los ciudadanos y personas en general. Dichas representaciones pueden ser enviadas a la casilla única electrónica del ciudadano o persona en general.

37.3 En caso la entidad expida una representación impresa ésta no requiere la aplicación de una firma manuscrita por parte de ningún representante de la entidad, siempre que haya sido generada a partir de una representación imprimible.

37.4 Si una entidad de la Administración Pública solicita a un ciudadano o persona en general un documento electrónico original, se entiende cumplido su mandato con la remisión por parte de este del CVD o representación imprimible, o con la presentación de una representación impresa del mismo.

Artículo 38. Exámenes y auditorías

Los documentos electrónicos firmados con cualquier modalidad de firma electrónica por las entidades públicas son válidos para cualquier revisión, incluyendo exámenes y auditorías, públicas o privadas, pudiendo ser exhibidos, ante los revisores, inspectores, auditores y autoridades competentes, de forma directa, o mediante su presentación en aplicativos que permiten su verificación, sin requerirse copia en papel, salvo que una norma, lo exprese o lo disponga.

CAPÍTULO II.- EXPEDIENTE ELECTRÓNICO

Artículo 39. Expediente electrónico

39.1 El expediente electrónico es el conjunto organizado de documentos electrónicos que respetando su integridad documental están vinculados lógicamente y forman parte de un procedimiento administrativo o servicio prestado en exclusividad en una determinada entidad de la Administración Pública, conforme a lo establecido en el artículo 31 del TUO de la Ley nº 27444. Asimismo, todas las actuaciones del procedimiento se registran y conservan íntegramente y en orden sucesivo en el expediente electrónico.

39.2 El expediente electrónico se gestiona como un documento archivístico digital, cumpliendo las disposiciones técnico normativas emitidas por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, y las normas del Sistema Nacional de Archivos emitidas por el Archivo General de la Nación.

39.3 En caso existan documentos en soporte papel que requieran ser incorporados en el expediente electrónico, las entidades pueden aplicar lo establecido en el artículo 48 del presente Reglamento. La Secretaría de Gobierno Digital en coordinación con el Archivo General de la Nación emite las normas sobre la gestión de expedientes conformados por documentos en soporte papel y documentos electrónicos.

Artículo 40. Estructura del expediente electrónico

40.1 El expediente electrónico tiene como mínimo los siguientes componentes:

a) Número o código único de identificación.

b) Índice digital.

c) Documentos electrónicos.

d) Firma del índice digital.

e) Metadatos del expediente electrónico.

f) Categorización

40.2 Los estándares técnicos de la estructura del expediente electrónico son establecidos por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, teniendo en consideración las normas sobre los procesos de gestión documental definidos en estándares internacionales, normas técnicas, y de archivos definidos por el Archivo General de la Nación.

Artículo 41. Número o código único de identificación

El número o código único de identificación permite la identificación unívoca del expediente electrónico dentro de la entidad, y con ello su ubicación, acceso, control y seguimiento en cada entidad en la que se tramite o archive. Asimismo, es utilizado para el intercambio de información entre entidades o partes interesadas, y respeta los estándares técnicos para la elaboración del expediente electrónico.

Artículo 42. Índice Digital

Es el instrumento que contiene la relación y datos para la identificación de los documentos electrónicos que integran el expediente, los cuales están ordenados en forma cronológica, alfabética, numérica o mixta. El índice digital tiene un código que lo identifica y la fecha en que se genera, así como atributos para registrar la fecha de apertura y cierre del expediente. Asimismo, por cada documento electrónico contiene, como mínimo, los siguientes elementos:

a) Código único del documento.

b) Fecha de producción o fecha de incorporación.

c) Orden del documento dentro del expediente.

d) Resumen hash del documento.

e) Foliado.

Artículo 43. Generación del Índice Digital

43.1 La generación del índice digital comprende, como mínimo, las siguientes operaciones:

a) Asociar un documento electrónico a un expediente electrónico con el fin de permitir su recuperación.

b) Identificar la secuencia, orden, y cuando corresponda, la página de inicio y fin del documento electrónico que se incorpora al expediente electrónico.

c) Firmar digitalmente el índice digital al cierre del expediente electrónico, a fin de garantizar su integridad y autenticidad.

43.2 El índice digital firmado al cierre del expediente utiliza un certificado digital emitido en el marco de la IOFE.

Artículo 44. Metadatos del expediente electrónico

44.1 Los metadatos son los datos que describen el contexto, el contenido y la estructura del expediente electrónico y su gestión a lo largo del tiempo. Cuando se asegura la integridad de los metadatos, estos sirven como evidencia ante algún requerimiento de información de los operadores de justicia, tribunales o autoridades en sus procesos de supervisión, fiscalización e investigación.

44.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece el perfil mínimo de los metadatos que contiene el expediente electrónico.

Artículo 45. Obtención de copias del expediente electrónico

45.1 Las entidades de la Administración Pública expiden una copia de todo o parte del expediente electrónico consignando en ella un Código de Verificación Digital (CVD). Las copias del expediente electrónico son entregadas en soporte digital o son remitidas a la casilla única electrónica, salvo solicitud expresa de emisión en soporte papel y siempre que sea posible, en cuyo caso se aplica lo establecido en los artículos 53 y 90 del TUO de la Ley nº 27444, según corresponda. Dichas copias entregadas o remitidas en soporte digital tienen la misma validez que las copias certificadas o fedateadas en soporte papel, debiendo encontrarse siempre firmadas digitalmente en el marco de la IOFE por la entidad emisora de la copia o por un fedatario institucional.

45.2 En caso el expediente electrónico se encuentre conformado por uno o varios documentos en soporte papel, que no hayan podido ser digitalizados, las copias de dichos documentos atienden lo establecido en los artículos 52 y 138 del TUO de la Ley nº 27444.

CAPÍTULO III.- RECEPCIÓN DOCUMENTAL

Artículo 46. Plataforma Única de Recepción Documental del Estado Peruano

46.1 Créase la Plataforma Única de Recepción Documental del Estado Peruano (MESA DIGITAL PERÚ) como el registro digital que forma parte de la Plataforma GOB.PE, permite la recepción de escritos, solicitudes y documentos electrónicos enviados por los ciudadanos y personas en general a las entidades de la Administración Pública cumpliendo los requisitos de cada trámite, todos los días del año durante las veinticuatro (24) horas, donde los plazos para el pronunciamiento de las entidades se contabilizan a partir del primer día hábil siguiente de haber sido presentados, respetando los plazos máximos para realizar actos procedimentales dispuestos en el artículo 143 del TUO de la Ley nº 27444.

46.2 Para la presentación de escritos, solicitudes y documentos electrónicos correspondientes a procedimientos especiales, tales como, el procedimiento sancionador, trilateral, fiscalizador, a través de la MESA DIGITAL PERÚ, los ciudadanos y personas en general observan el horario de atención establecido en las normas que las regulan, de corresponder.

46.3 Los documentos presentados:

a) Desde las 00:00 horas hasta el término del horario de atención de la entidad de un día hábil, se consideran presentados el mismo día.

b) Después del horario de atención de la entidad hasta las 23:59 horas, se consideran presentados el día hábil siguiente.

c) Los sábados, domingos, feriados o cualquier otro día inhábil, se consideran presentados al primer día hábil siguiente.

46.4 La MESA DIGITAL PERÚ se integra con los sistemas de trámite documentario, sistemas de gestión documental o sistemas de expediente electrónico u otros sistemas de información de las entidades públicas. Asimismo, se integra con los bloques básicos para la interoperabilidad técnica definidos en el artículo 87 del Título VI del presente Reglamento según corresponda.

46.5 La MESA DIGITAL PERÚ envía a la casilla única electrónica del ciudadano o persona en general un cargo de recepción de los escritos, solicitudes y documentos electrónicos presentados, con su firma digital de agente automatizado de la entidad y un sello de tiempo, consignando la fecha, hora, cantidad de folios y canal de presentación, en conformidad con el artículo 135.2 del TUO de la Ley nº 27444. La firma digital y el sello de tiempo son generados en el marco de la Infraestructura Oficial de Firma Electrónica (IOFE). En caso la entidad realice observaciones a la documentación presentada corresponde aplicar lo establecido en el numeral 136.6 del artículo 136 del TUO de la Ley nº 27444, realizando la comunicación a la casilla única electrónica.

46.6 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece las normas para la implementación de la MESA DIGITAL PERÚ.

Artículo 47. Recepción de documentos en original y/o copia vía canal digital

47.1 Para la recepción de cualquier documento en original, independientemente del medio de soporte que lo contenga, que no se encuentre en la relación de documentos originales que pueden ser reemplazados por sucedáneos, conforme a lo establecido en el artículo 49 del TUO de la Ley nº 27444, vía plataformas de recepción documental, mesas de parte digital o similares, las entidades pueden optar, dependiendo de la naturaleza del procedimiento o servicio, por una o alguna combinación de las siguientes alternativas:

a) Recibir un documento escaneado presentado por el ciudadano o persona en general que tenga las firmas manuscritas necesarias, debiendo la entidad firmarlo digitalmente con certificado de agente automatizado y un sello de tiempo, en el marco de la IOFE.

b) Recibir un documento electrónico presentado por el ciudadano o persona en general que utilice alguna de las modalidades de firma electrónica establecidas en el Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado mediante Decreto Supremo nº 052-2008-PCM y modificatorias, debiendo la entidad firmarlo digitalmente, con certificado de agente automatizado y un sello de tiempo, en el marco de la IOFE.

c) Proveer un formulario web a ser completado por el ciudadano o persona en general, a partir del cual la entidad genera un documento electrónico debiendo firmarlo digitalmente, con un certificado de agente automatizado y un sello de tiempo, en el marco de la IOFE.

47.2 En caso la entidad requiera la presentación física del documento original en una unidad de recepción documental de la entidad, luego de la presentación por el canal digital conforme lo establecido en el literal a) del numeral precedente, corresponde al ciudadano o persona en general efectuar la referida presentación en un plazo máximo de dos (02) días hábiles siguientes de la presentación vía canal digital, conforme lo establecido el numeral 136.1 del artículo 136 del TUO de la Ley nº 27444; mientras esté pendiente dicha presentación son aplicables las reglas establecidas en los numerales 136.3.1 y 136.3.2 de dicho cuerpo normativo. De no presentarse oportunamente lo requerido resulta de aplicación lo dispuesto en el numeral 136.4 del TUO de la Ley nº 27444.

47.3 En caso la entidad requiera la presentación de la copia de un documento original o documentos sucedáneos de los originales que se encuentran en soporte papel, el ciudadano o persona en general puede presentar dicho documento escaneado.

47.4 La presentación de documentos en original o copia vía canal digital, señalados en los numerales 47.1 y 47.3 precedentes se sujetan al principio de presunción de veracidad conforme a lo dispuesto en el numeral 1.7 del Artículo IV del Título Preliminar y a los numerales 51.1 del artículo 51, 1 y 4 del artículo 67 del TUO de la Ley nº 27444.

47.5 Las entidades de la Administración Pública envían a la casilla única electrónica del ciudadano o persona en general, un cargo de recepción de los escritos, solicitudes y documentos electrónicos presentados vía canal digital, con su firma digital de agente automatizado y un sello de tiempo, consignando la fecha, hora y canal de presentación, en conformidad con el artículo 135.2 del TUO de la Ley nº 27444. La firma digital y el sello de tiempo son generados en el marco de la IOFE. Asimismo, envían un mensaje al correo electrónico registrado por el ciudadano o persona en general.

47.6 Las plataformas de recepción documental, mesas de parte digital o similares registran, como mínimo, los siguientes metadatos para la recepción: fecha y hora, asunto, tipo y número de documento de identificación, domicilio, dirección de correo electrónico, número de teléfono celular, entidad destinataria y/o dependencia destinataria. La Secretaría de Gobierno Digital emite normas sobre la categorización, indexación y metadatos para la interoperabilidad entre las referidas plataformas o sistemas en el marco del artículo 8 del Decreto Legislativo nº 1310, Decreto Legislativo que aprueba medidas adicionales de Simplificación Administrativa.

47.7 Para la presentación de documentos a través de canales digitales las entidades pueden tomar como referencia los horarios establecidos en el numeral 46.3 del artículo 46 del presente Reglamento.

Artículo 48. Digitalización de documentos en soporte papel presentados en las unidades de recepción documental

48.1 La digitalización de documentos originales en soporte papel, presentados en las unidades de recepción documental de las entidades públicas, se realiza conforme a lo siguiente:

a) Para digitalizar un documento original en soporte papel a soporte digital con valor legal es necesario el uso de una línea de digitalización y producción de microformas certificada, observando las disposiciones legales sobre la materia.

b) Para digitalizar un documento original en soporte papel a soporte digital con valor administrativo para los efectos de la entidad donde se utilizará dicho documento, el fedatario institucional autentica el documento escaneado en soporte digital, previo cotejo con el original, con su firma digital generada en el marco de la IOFE.

48.2 Para digitalizar las copias de un documento en soporte papel, presentados en las unidades de recepción documental, se utilizan equipos de captura de imágenes para su escaneo.

48.3 Para efectos de lo dispuesto en el literal b) del numeral 48.1, cada entidad elabora o actualiza una norma interna en la cual se establecen los requisitos, atribuciones y demás disposiciones relacionadas con el desempeño de las funciones del fedatario institucional en la autenticación de documentos escaneados en soporte digital, atendiendo lo establecido en el artículo 138 del TUO de la Ley nº 27444.

CAPÍTULO IV.- GESTIÓN ARCHIVÍSTICA DIGITAL

Artículo 49. Documento archivístico digital

49.1 Es aquel documento electrónico que contiene información en soporte o medio digital y es conservado de manera segura como evidencia y/o activo de información, respetando su integridad documental. Es producido por una persona natural, persona jurídica o una entidad pública, en el ejercicio de sus actividades, procesos, funciones y/o competencias.

49.2 Las características de un documento archivístico digital son:

a) Autenticidad.

b) Fiabilidad.

c) Integridad.

d) Disponibilidad.

e) Usabilidad.

49.3 El documento archivístico digital tiene como mínimo los siguientes metadatos: código único del documento, nombre del documento, tipo y serie documental, fecha y hora, volumen (tamaño y formato) y nombre del productor.

Artículo 50. Repositorio archivístico digital institucional

50.1 El repositorio archivístico digital institucional cuenta con:

a) Principios y políticas.

b) Procedimientos del documento archivístico digital, como mínimo, para la captura, almacenamiento, preservación y acceso.

c) Metadatos.

d) Infraestructura tecnológica y de seguridad digital.

e) Plan de Capacidad.

50.2 El repositorio archivístico digital institucional es administrado y regulado por el Archivo Central de la entidad pública. Sin perjuicio de ello, las acciones relacionadas a la infraestructura tecnológica y seguridad digital del referido repositorio pueden estar a cargo de la unidad de organización de tecnologías de la información, de otra unidad de organización de la entidad o un tercero, no siendo responsables de la gestión del contenido de dicho repositorio.

50.3 Las entidades de la Administración Pública implementan de manera obligatoria su repositorio archivístico digital institucional para administrar los documentos archivísticos digitales, y garantizar su conservación y acceso durante su ciclo de vida.

50.4 En caso las unidades de organización tengan a su cargo un sistema de información o servicio digital, éstas son responsables de la custodia y acceso al documento archivístico digital contenido en dicho sistema hasta su transferencia al repositorio archivístico digital institucional de la entidad. Los precitados sistemas de información se integran con el repositorio archivístico digital institucional.

Artículo 51. Repositorio archivístico digital nacional

51.1 El Archivo General de la Nación administra el repositorio archivístico digital nacional para conservar y resguardar los documentos archivísticos digitales con valor permanente provenientes de los repositorios archivísticos digitales institucionales de las entidades.

51.2 El Archivo General de la Nación implementa el repositorio archivístico digital nacional de manera progresiva y de acuerdo con sus recursos y capacidades asignadas.

51.3 El Archivo Central de las entidades públicas remite sus documentos archivísticos digitales al Repositorio Archivístico digital nacional en base a los protocolos, lineamientos y disposiciones establecidos por el Archivo General de la Nación en coordinación con la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

Artículo 52. Normas y políticas para la gestión archivística digital

52.1 La producción de documentos archivísticos digitales, la aplicación de los procesos técnicos archivísticos y registro del patrimonio digital producido en el ejercicio de las funciones de cada entidad pública atienden las normas y políticas emitidas por el Archivo General de la Nación.

52.2 Las normas y políticas para la gestión archivística digital son elaboradas por el Archivo General de la Nación en coordinación con la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

CAPÍTULO V.- CASILLA ÚNICA ELECTRÓNICA

Artículo 53. Casilla única electrónica

53.1 La casilla única electrónica es el domicilio digital que sirve para recibir comunicaciones y/o notificaciones remitidas por las entidades de la Administración pública a los ciudadanos y personas en general, conforme se establece en el numeral 20.4 del artículo 20 del TUO de la Ley nº 27444, y al que se refiere el artículo 22 de la Ley.

53.2 La casilla única electrónica acredita la certeza, integridad y fecha y hora cierta de una comunicación y/o notificación realizada por una entidad pública a un ciudadano o persona en general. De darse una controversia referida a la emisión o recepción de una notificación, corresponderá a la entidad responsable de la gestión de la casilla única electrónica acreditar que se produjo dicha emisión o recepción; en cualquier otro caso dicha acreditación recaerá en el emisor.

53.3 La casilla única electrónica está conformada por lo siguiente:

(1) dirección electrónica,

(2) buzón de notificaciones, y

(3) buzón de comunicaciones.

53.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, asigna una casilla única electrónica al ciudadano y persona en general. Asimismo, es responsable de garantizar su disponibilidad, continuidad y funcionamiento, atendiendo a lo establecido en el presente Capítulo, así como también asegura el acceso a las notificaciones y comunicaciones mediante la Plataforma GOB.PE.

Artículo 54. Dirección electrónica

54.1 La dirección electrónica es única y permite identificar a una casilla única electrónica. Asimismo, vincula unívocamente una casilla única electrónica con un ciudadano o persona en general.

54.2 La dirección electrónica está conformada por el Código Único de Domicilio (CUD) y tiene el formato “[email protected]”. El valor del CUD es:

a) Para el caso de los peruanos, el Código Único de Identificación asignado por el Registro Nacional de Identificación y Estado Civil.

b) Para el caso de los extranjeros, el Código Único de Extranjero asignado por la Superintendencia Nacional de Migraciones.

c) Para el caso de personas jurídicas, el Número de Partida Registral, asignado por la Superintendencia Nacional de Registros Públicos.

54.3 Para el caso de entidades públicas, así como de sujetos sin personería jurídica que no cuenten con un valor para el CUD, la Secretaría de Gobierno Digital le asigna un código identificatorio a fin de cumplir lo establecido en la Ley y el presente Reglamento.

Artículo 55. Buzón de notificaciones

55.1 Es aquel buzón donde se depositan las notificaciones de actos administrativos, así como actos de administración emitidos en el marco de cualquier actuación administrativa, remitidas por las entidades de la Administración Pública a los ciudadanos y personas en general.

55.2 En el caso del depósito de una notificación, retorna al emisor una constancia de depósito y envía al correo electrónico personal del destinatario mensajes de alerta de la llegada de la notificación. Asimismo, puede enviar al teléfono celular del destinatario mensajes de texto alertando la llegada de una notificación o realizar alertas mediante llamadas telefónicas.

55.3 Las alertas realizadas al correo electrónico personal, teléfono celular, llamadas telefónicas o similares no constituyen parte del procedimiento de notificación vía casilla única electrónica, tampoco afecta la validez de ésta ni de los actos administrativos o actos de administración que se notifican.

55.4 El buzón de notificaciones almacena las notificaciones recibidas por un periodo no menor a un (01) año.

55.5 El buzón de notificaciones guarda evidencias que permiten demostrar el depósito de una notificación.

Artículo 56. Buzón de comunicaciones

56.1 Es un mecanismo lógico con capacidad de reenviar de forma automatizada las comunicaciones que llegan a la casilla única electrónica hacia el correo electrónico personal del destinatario. Las comunicaciones pueden contener mensajes, documentos y/o avisos. Asimismo, pueden enviar al teléfono celular del destinatario mensajes de texto de alerta de la llegada de la comunicación.

56.2 El buzón de comunicaciones puede almacenar las comunicaciones recibidas de forma temporal.

56.3 El buzón de comunicaciones guarda evidencias que permiten demostrar la llegada de una comunicación.

Artículo 57. Acceso a la casilla única electrónica

57.1 Para el caso de la casilla única electrónica de personas naturales, el titular accede a la misma, a través de la Plataforma GOB.PE, previa autenticación de su identidad ante la plataforma ID GOB.PE. El titular puede delegar a uno o más representantes el acceso a un buzón de la casilla para la recepción de las notificaciones, siempre que exista manifestación expresa de su voluntad mediante la Plataforma GOB.PE, de acuerdo con los formularios que se implementen para tal fin.

57.2 Para el caso de la casilla única electrónica de personas jurídicas, su representante legal accede a la misma, a través de la Plataforma GOB.PE, previa autenticación de su identidad ante la Plataforma ID GOB.PE. El representante legal puede delegar a otros representantes el acceso a un buzón de la casilla única electrónica de la persona jurídica para la recepción de las notificaciones, siempre que exista manifestación expresa de su voluntad mediante la Plataforma GOB.PE, de acuerdo con los formularios que se implementen para tal fin.

57.3 La delegación a la que hace referencia los numerales 57.1 y 57.2 se realiza por cada procedimiento del cual sea parte el ciudadano o persona en general, siendo válida únicamente durante dicho procedimiento y en tanto no se comunique su variación. La designación, así como el término o cambio de la delegación se realiza de acuerdo con los formularios que se implementen para tal fin.

Artículo 58. Plataforma Casilla Única Electrónica del Estado Peruano

58.1 Créase la Plataforma Casilla Única Electrónica del Estado Peruano (CASILLA ÚNICA PERÚ) como la plataforma digital que administra la casilla única electrónica de todos los ciudadanos y personas en general.

58.2 La Plataforma CASILLA ÚNICA PERÚ es gestionada por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

58.3 Las comunicaciones y notificaciones a través de la Plataforma CASILLA ÚNICA PERÚ se realizan entre emisores y destinatarios, donde:

a) Emisores. Son aquellas entidades públicas plenamente identificadas que utilizan la plataforma CASILLA ÚNICA PERÚ para efectuar comunicaciones y/o notificaciones a un ciudadano o persona en general.

b) Destinatarios. Son los ciudadanos o personas en general que acceden a su casilla única electrónica para revisar las comunicaciones y las notificaciones efectuadas por los emisores.

58.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece los protocolos de integración, así como los lineamientos para garantizar su confidencialidad, integridad, autenticidad, no repudio y fecha y hora cierta de las operaciones y transacciones, en conformidad con el marco normativo correspondiente. Asimismo, establece las reglas, criterios, plazos y condiciones para el uso, delegación, suspensión e implementación de la casilla única electrónica, y publica datos en formatos abiertos sobre su uso en la Plataforma Nacional de Datos Abiertos.

58.5 Las entidades de la Administración Pública que no cuenten con ningún mecanismo de notificación, a través de tecnologías y medios digitales o electrónicos, están obligadas a utilizar la Plataforma CASILLA ÚNICA PERÚ para la emisión de comunicaciones y notificaciones digitales a los ciudadanos y personas en general.

58.6 Las entidades de la Administración Pública que cuenten con habilitación legal, mediante una norma con rango de Ley, no están obligadas a utilizar la Plataforma CASILLA ÚNICA PERÚ, salvo que opten hacerlo voluntariamente o sea dispuesto por ley. Asimismo, las notificaciones electrónicas efectuadas por dichas entidades se regulan conforme lo establece la norma con rango de ley que la habilita.

58.7 Las comunicaciones y/o solicitudes sobre procedimientos enmarcados en los contratos de Asociación Público – Privada son notificadas bajo la modalidad prevista en ellos; salvo que, en el marco de dichos contratos, las partes acuerden utilizar la Plataforma CASILLA ÚNICA PERÚ u otra modalidad que así estimen conveniente.

CAPÍTULO VI.- NOTIFICACIÓN DIGITAL

Artículo 59. Notificación digital

59.1 Es aquella modalidad de notificación electrónica que es efectuada a la casilla única electrónica del ciudadano o persona en general para la notificación de actos administrativos, así como actuaciones emitidas en el marco de cualquier actividad administrativa, en concordancia con lo establecido en el artículo 20 del TUO de la Ley nº 27444, y de lo dispuesto en la Tercera Disposición Complementaria Final de la Ley nº 30229, Ley que adecúa el Uso de las Tecnologías de Información y Comunicaciones en el Sistema de Remates Judiciales y en los servicios de notificaciones de las resoluciones judiciales, y que modifica la Ley Orgánica del Poder Judicial, el Código Procesal Civil, el Código Procesal Constitucional y la Ley Procesal del Trabajo.

59.2 Las notificaciones digitales se realizan de manera obligatoria a la casilla única electrónica del ciudadano o persona en general, sin requerir su consentimiento o autorización expresa. Excepcionalmente, y sólo en caso de que una notificación no se pueda realizar de manera digital, se realiza en forma física, atendiendo lo establecido en el artículo 20 del TUO de la Ley nº 27444.

59.3 La notificación digital puede ser remitida a la casilla única electrónica de un tercero, siempre que el ciudadano o persona en general lo haya autorizado expresamente al inicio o durante del procedimiento. La autorización a la que se refiere el presente numeral se realiza por cada procedimiento del cual sea parte el ciudadano o persona en general, siendo válida únicamente durante dicho procedimiento y en tanto no se comunique su variación. La autorización, así como el término o cambio de este se realiza de acuerdo con los formularios que se implementen para tal fin a través de la Plataforma CASILLA ÚNICA PERÚ.

59.4 Las notificaciones digitales tienen la misma validez y eficacia jurídica que las notificaciones realizadas por medios físicos tradicionales, para lo cual cumplen con las siguientes exigencias: oportunidad, suficiencia y debido procedimiento. La notificación digital efectuada forma parte del expediente electrónico.

59.5 Las notificaciones digitales permiten comprobar su depósito en el buzón electrónico de la casilla única electrónica, el cual contiene datos referidos a: la propia notificación, a la fecha del depósito, a quien la recibe y al contexto tecnológico utilizado.

59.6 Las notificaciones digitales se realizan en día y hora hábil conforme a lo establecido en el numeral 18.1 del artículo 18 del TUO de la Ley nº 27444. La notificación digital se considera efectuada y surte efectos al día hábil siguiente a la fecha de su depósito en la casilla única electrónica. Las entidades depositan una copia del documento en el que consta el acto administrativo o actos de administración generados durante el procedimiento en el buzón de notificaciones de la casilla única electrónica. En caso la notificación digital se realice en día u hora inhábiles ésta surte efecto al primer día hábil siguiente a la fecha de su depósito en la casilla única electrónica.

59.7 El cómputo de los plazos expresados en días se inicia a partir del día hábil siguiente de aquel en que la notificación vía casilla única electrónica se considera efectuada, salvo que se señale una fecha posterior en el mismo acto notificado, en cuyo caso el cómputo de plazos es iniciado a partir de esta última.

Artículo 60. Dispensa de la notificación digital

60.1 La entidad queda dispensada de efectuar una notificación digital si y solo sí permite que el ciudadano o persona en general tome conocimiento del acto respectivo mediante el acceso directo y espontáneo a una copia de su expediente electrónico en su sede digital, dejando evidencia y constancia de esta situación en el referido expediente.

60.2 El ciudadano o persona en general accede a la documentación del expediente electrónico o acto que haya sido emitido por la entidad pudiendo descargarlo.

Artículo 61. Régimen de la notificación digital

61.1 Cuando una notificación digital tiene un único destinatario se realiza a la casilla única electrónica del mismo.

61.2 Cuando sean varios los destinatarios de una notificación digital, el acto es notificado a la casilla única electrónica de cada destinatario, salvo sí actúan bajo una misma representación o si han elegido la casilla única electrónica de uno de los destinatarios, en cuyo caso se remite la notificación a dicha casilla.

Artículo 62. Obligaciones de los titulares de la casilla única electrónica

Los ciudadanos y personas en general son los titulares de la casilla única electrónica, y tienen las siguientes obligaciones:

a) Revisar frecuentemente la casilla única electrónica asignada, a efectos de tomar conocimiento de los actos administrativos y actuaciones administrativas que se le notifique.

b) Adoptar las medidas de seguridad en el uso de la casilla única electrónica que se le asigne.

c) Informar a la Secretaría de Gobierno Digital el fin o cese de la delegación del acceso de terceros a la casilla única electrónica asignada conforme a lo establecido en el numeral 57.3 del presente Reglamento.

d) Informar a la Secretaría de Gobierno Digital el cese de la autorización para la remisión de la notificación digital a la casilla única electrónica de un tercero conforme a lo establecido en el numeral 59.3 del presente Reglamento.

e) Cumplir las condiciones establecidas y normas emitidas por la Secretaría de Gobierno Digital para el uso de la casilla única electrónica.

CAPÍTULO VII.- REUNIÓN DIGITAL

Artículo 63. Reuniones digitales

63.1 Las reuniones que lleven a cabo los funcionarios o servidores públicos con los ciudadanos, personas en general u otros funcionarios o servidores públicos, pueden realizarse de manera no presencial, utilizando tecnologías digitales tales como las videoconferencias, audioconferencias, teleconferencias o similares.

63.2 Las entidades de la Administración pública realizan las coordinaciones correspondientes para confirmar la identidad de las personas que participan en una reunión digital, la disponibilidad de tecnologías digitales, el tipo de reunión a realizar y las condiciones o supuestos previstos conforme al ordenamiento jurídico.

Artículo 64. Reunión digital en el marco del procedimiento administrativo

64.1 Las reuniones digitales pueden ser aplicadas en las sesiones o asambleas de órganos colegiados, audiencias como medio de prueba o actividades de fiscalización que realicen las entidades públicas conforme a lo establecido en los artículos 109, 177 y numeral 240.2 del artículo 240 del TUO de la Ley nº 27444 respectivamente, garantizando el principio del debido procedimiento.

64.2 Las partes adoptan las medidas pertinentes para contar con los equipos y condiciones necesarias para la realización de las sesiones, asambleas, audiencias o actividades de fiscalización cuando se realicen a través de reuniones digitales. Las reuniones digitales pueden ser grabadas para posterior revisión, evidencia o en cumplimiento del marco normativo del procedimiento administrativo. Asimismo, cuando corresponda se debe comunicar al ciudadano dicha grabación atendiendo lo establecido en la Ley nº 27933, Ley de Protección de Datos Personales y su Reglamento.

Artículo 65. Acta de reunión digital

65.1 Las actas o acuerdos emitidos como resultado de una reunión digital, en el marco de actividades de coordinación entre entidades de la Administración pública, pueden ser generados como documentos electrónicos firmados con alguna modalidad de firma electrónica establecida en la Ley nº 27269, Ley de Firmas y Certificados Digitales. Las entidades de la Administración pública participantes acuerdan la modalidad de firma a utilizar.

65.2 Las actas o acuerdos emitidos como resultado de una reunión digital a cargo de una entidad de la administración pública, en el marco de un procedimiento administrativo, pueden ser generados como documentos electrónicos firmados conforme a lo siguiente:

a) Acta de reunión firmada por el funcionario, esta se cumple con la firma digital del funcionario más un sello de tiempo, generados en el marco de la IOFE.

b) Acta de reunión firmada por las partes, esta se cumple utilizando la firma digital de las partes, generada en el marco de la IOFE, o alguna modalidad de firma electrónica distinta a la firma digital, de conformidad con la Cuarta Disposición Complementaria Final del Decreto Supremo nº 026-2016-PCM, que aprueba medidas para el fortalecimiento de la Infraestructura Oficial de Firma Electrónica y la implementación progresiva de la firma digital en el sector público y privado.

TÍTULO V.- DATOS

CAPÍTULO I.- MARCO DE GOBERNANZA Y GESTIÓN DE DATOS DEL ESTADO PERUANO

Artículo 66. Marco de Gobernanza y Gestión de Datos del Estado Peruano

66.1 El Marco de Gobernanza y Gestión de Datos del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector en gobierno de datos, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para la aplicación de la gobernanza y gestión de datos por parte de las entidades de la Administración Pública a fin de garantizar un nivel básico y aceptable para la recopilación, producción, procesamiento, analítica, publicación, almacenamiento, distribución y puesta a disposición de los datos gubernamentales, haciendo uso de tecnologías digitales y emergentes.

66.2 El Marco de Gobernanza y Gestión de Datos del Estado Peruano y sus normas de desarrollo, son revisadas y aplicadas en la implementación de iniciativas de gobierno digital y prestación de servicios digitales brindados a los ciudadanos y personas en general, salvo aquellos datos que se rijan por norma expresa.

66.3 El Marco de Gobernanza y Gestión de Datos del Estado Peruano comprende los siguientes niveles:

a) Gobernanza y gestión de datos del Estado Peruano.

b) Gestión de datos sectoriales.

c) Gestión de datos institucionales.

Artículo 67. Principios específicos del Marco de Gobernanza y Gestión de Datos

La aplicación del Marco de Gobernanza y Gestión de Datos se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos:

a) Liderazgo y estrategia. El liderazgo y compromiso de la alta dirección en la gobernanza de datos orienta al uso eficiente de datos para el cumplimiento de los objetivos institucionales.

b) Valoración de datos. Se reconoce a los datos gubernamentales como un activo estratégico para la toma efectiva de decisiones, atención oportuna de solicitudes de información y prestación de servicios.

c) Cultura de datos. Se promueve una cultura impulsada por datos para la toma de decisiones estratégicas basadas en la interpretación, recopilación, organización y análisis de los datos para generar valor público para los ciudadanos.

d) Responsabilidad de todos. La gestión de datos gubernamentales es una responsabilidad compartida entre los propietarios de los datos y los responsables de la recopilación, procesamiento, almacenamiento y distribución.

e) Cumplimiento y riesgo. Los datos gubernamentales son cuidadosamente gestionados como cualquier otro activo, asegurando su protección, seguridad, privacidad, calidad, estandarización, uso apropiado y cumplimiento regulatorio.

f) Calidad de datos. Los datos gubernamentales preservan características de exactitud, actualización y completitud fundamentales para satisfacer las necesidades de digitalización y despliegue del gobierno digital.

Artículo 68. Roles para la gobernanza y gestión de datos

68.1 El Comité de Gobierno Digital es el responsable de la gobernanza y uso estratégico de los datos en la entidad, estableciendo las políticas y directrices institucionales en la materia, en cumplimiento de los lineamientos y normas emitidas por la Secretaría de Gobierno Digital. Asimismo, el Comité impulsa una cultura basada en datos e iniciativas que aseguren la calidad, uso adecuado e interoperabilidad de los datos.

68.2 El Oficial de Gobierno de Datos es el rol responsable de asegurar el uso ético de las tecnologías digitales y datos en la entidad pública, proponer iniciativas de innovación basadas en datos, fomentar una cultura basada en datos, articular y gestionar el uso de datos gubernamentales, y asegurar la calidad e integridad de datos que contribuya a la creación de valor público. Asimismo, es responsable impulsar y coordinar el modelamiento, procesamiento, análisis y desarrollo de servicios de información de datos gubernamentales y datos abiertos con los responsables de los procesos correspondientes, así como de coordinar la implementación del Modelo de Referencia de Datos de la entidad.

68.3 El Oficial de Gobierno de Datos reporta al Comité de Gobierno Digital institucional y, a la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros la implementación y aplicación de las normas en materia de gobernanza y gestión de datos.

68.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite el perfil y responsabilidades del Oficial de Gobierno de Datos en la Administración Pública. El titular de la entidad designa al Oficial de Gobierno de Datos institucional y comunica a la Secretaría de Gobierno Digital dicha designación.

68.5 Los dueños de los procesos o en su defecto los responsables de las unidades de organización de la entidad son los propietarios de los datos que están bajo su responsabilidad, en cumplimiento de sus funciones o responsabilidades, y se encargan de cumplir con la regulación y los estándares de calidad que les aplican, así como coordinar con el Oficial de Gobierno de Datos toda iniciativa de mejora en su proceso basada en datos.

68.6 El Oficial de Datos Personales es el rol responsable de velar por el cumplimiento de las normas en materia de protección de datos personales en su entidad. Dicho rol es ejercido por un funcionario o servidor público designado por la máxima autoridad administrativa de la entidad, el mismo que puede recaer en el titular de la oficina de asesoría jurídica de la entidad o en el titular de la oficina de tecnologías de la información de la misma, o quienes hagan sus veces. El Oficial de Datos Personales actúa como enlace con la Autoridad Nacional de Protección de Datos Personales, coopera y sigue los lineamientos y directivas que emita dicha Autoridad en los ámbitos de su competencia, así como aquellos establecidos en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento. Su designación se realiza en un plazo máximo diez (10) días hábiles posterior a la publicación del presente Reglamento y se comunica de manera inmediata a la Autoridad Nacional de Protección de Datos Personales.

CAPÍTULO II.- INFRAESTRUCTURA NACIONAL DE DATOS

Artículo 69. Infraestructura Nacional de Datos

69.1 La Infraestructura Nacional de Datos comprende el conjunto articulado de políticas, normas, medidas, procesos, tecnologías digitales, datos gubernamentales, repositorios y bases de datos destinadas a promover la adecuada recopilación, producción, procesamiento, analítica, publicación, almacenamiento, distribución y puesta a disposición de los datos que gestionan las entidades de la Administración Pública, así como el Marco de Gobernanza y Gestión de Datos y Estrategia Nacional de Datos que siguen las mismas. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector en gobierno de datos, es responsable de la gobernanza y gestión de la Infraestructura Nacional de Datos, y en el ejercicio de su rectoría establece relaciones de coordinación con los actores correspondientes, conforme a la normatividad vigente en materia de protección de datos personales.

69.2 La Infraestructura Nacional de Datos comprende los siguientes ámbitos:

a) Estadística, a cargo del Instituto Nacional de Estadística e Informática (INEI) quien orienta, promueve y conduce la producción estadística oficial.

b) Espacial o Georreferenciada, a cargo de la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, quien orienta, promueve y coordina el intercambio y uso de datos y servicios de información espacial o georreferenciada.

c) Privados o Personales, a cargo del Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la Autoridad Nacional de Protección de Datos Personales, la que orienta, promueve y conduce la materia de protección de datos personales.

d) Datos Abiertos, a cargo de la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, quien orienta, norma, promueve y conduce la materia de datos abiertos.

69.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los ámbitos establecidos en el numeral precedente en función de la necesidad pública, cambio tecnológico, importancia estratégica o normativa expresa que lo demande; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital. Asimismo, en coordinación con los actores competentes desarrolla las normas complementarias para la adecuada gobernanza y gestión de datos gubernamentales.

Artículo 70. Datos gubernamentales

70.1 Los datos gubernamentales son aquellos datos que las entidades públicas recopilan, producen, procesan, analizan, publican, almacenan, distribuyen y ponen a disposición en el ejercicio de sus funciones y cuando corresponda atendiendo las normas en materia de transparencia, datos personales y datos abiertos. Los datos gubernamentales se organizan en datos maestros y datos complementarios.

70.2 Los datos maestros son un conjunto organizado de datos gubernamentales que representan objetos o elementos claves de las entidades, son utilizados en el ejercicio de sus funciones, procesos o prestación de servicios, están vinculados con su misión y procesos misionales, y tienen asignado un identificador único.

70.3 Los datos complementarios son aquellos que en conjunto con los datos maestros describen los elementos que las entidades públicas utilizan en el ejercicio de sus funciones, procesos o prestación de servicios.

70.4 Las entidades públicas identifican y mantienen sus datos maestros, sus atributos y relaciones, y desarrollan un modelo de referencia de datos; dicho modelo se basa en estándares internacionales reconocidos, vocabularios y términos descriptivos que le dan contexto y facilitan su intercambio, interpretación y reutilización.

Artículo 71. Plataforma Nacional de Datos abiertos

71.1 Las entidades de la Administración Pública publican datos gubernamentales producidos, procesados, almacenados y/o recolectados en plataformas digitales, cuya publicidad no se encuentre excluida por normas específicas en materia de transparencia, en formatos abiertos en la Plataforma Nacional de Datos Abiertos, priorizando aquellos que son de interés nacional o estratégicos para la implementación de políticas de Estado y políticas de gobierno. Para ello la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, coordina con los ministerios rectores de los sectores dicha priorización y publicación obligatoria.

71.2 Las entidades de la Administración Pública implementan mecanismos que permitan que los datos publicados en la Plataforma Nacional de Datos Abiertos sean legibles por las personas y procesables por máquina, conforme a los lineamientos que emita la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

71.3 Las entidades de la Administración Pública aplican herramientas o técnicas de disociación y anonimización de datos personales u otra información que se encuentre excluida por la normativa de transparencia conforme a la normatividad vigente en materia de datos personales, antes de su publicación en la Plataforma Nacional de Datos Abiertos, y cuando corresponda.

71.4 Mediante Resolución de Secretaría de Gobierno Digital se puede disponer la publicación de datos abiertos por parte de las entidades de la Administración Pública para fines de investigación científica, seguridad ciudadana, estadísticas demográficas, educación, diseño de políticas públicas, investigación en salud, iniciativas de gobierno digital, productividad y competitividad, transporte inteligente, análisis económico, comercio o situaciones de emergencia. Asimismo, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, aprueba la Estrategia Nacional de Datos Abiertos.

Artículo 72. Identificadores únicos fundamentales

72.1 Los identificadores únicos fundamentales son un conjunto de códigos o números que permiten distinguir un objeto o elemento de otros, con características y atributos comunes, en el entorno digital. Son de carácter estratégico y transversal, para facilitar la interoperabilidad y estandarización en la Administración pública.

72.2 Se establecen como identificadores únicos fundamentales para la prestación de servicios digitales o trámites, cuando correspondan, los siguientes:

a) Código Único de Identificación de personas naturales, a cargo del RENIEC.

b) Código Único de Identificación de extranjeros, a cargo de MIGRACIONES.

c) Número de Partida Registral de personas jurídicas y Número de la placa única nacional de rodaje del vehículo, a cargo de la Superintendencia Nacional de Registros Públicos (SUNARP).

d) Código de ubicación geográfica (UBIGEO), Clasificador de Actividades Económicas, Código de Ocupaciones y Código de Carreras e Instituciones Educativas de Educación Superior y Técnico Productivas, Clasificador Nacional de Programas e Instituciones de Educación Superior Universitaria, Pedagógica, Tecnológica y Técnico Productiva, a cargo del Instituto Nacional de Estadística e Informática (INEI).

72.3 Las entidades a cargo de los identificadores únicos fundamentales establecen las normas de gestión de estos. Asimismo, aseguran la interoperabilidad entre ellos con la finalidad de prestar servicios digitales centrados en la persona.

72.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite las normas para la adopción de los identificadores únicos fundamentales por parte de las entidades de la Administración Pública, y amplía los establecidos en el numeral 72.2 precedente, en función de la necesidad pública, importancia estratégica o normativa expresa que lo demande.

Artículo 73. Vocabularios

73.1 Los vocabularios son grupos de datos que permiten unificar la interpretación y el significado de un objeto o elemento para hacer posible la interoperabilidad entre sistemas de información.

73.2 Los vocabularios básicos para la prestación de servicios digitales son los relativos a: persona natural, persona jurídica, vehículo, predio y trámite. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, mediante Resolución de Secretaría de Gobierno Digital amplía los vocabularios básicos.

73.3 Los vocabularios forman parte del Modelo de Referencia de Datos establecido en el numeral 118.2 del artículo 118 del presente Reglamento.

Artículo 74. Perfil mínimo de metadatos

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con los responsables de los ámbitos de la Infraestructura Nacional de Datos establece los perfiles mínimos de metadatos en cada uno de sus ámbitos, para asegurar el entendimiento de los datos y garantizar su disponibilidad, accesibilidad, conservación, integración e interoperabilidad.

Artículo 75. Lineamientos para la calidad, uso y aprovechamiento de datos gubernamentales

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite los lineamientos, procedimientos, estándares y estrategias para asegurar la calidad, uso adecuado y aprovechamiento de datos gubernamentales en materia de ciencia de datos, inteligencia artificial, registros distribuidos u otras tecnologías.

Artículo 76. Datos para la producción estadística digital

76.1 Toda entidad pública que disponga de datos gubernamentales sistematizados y digitalizados los publica como datos o conjunto de datos abiertos, a través de la Plataforma Nacional de Datos Abiertos, para fines de producción estadística oficial por parte del Instituto Nacional de Estadística e Informática.

76.2 El Instituto Nacional de Estadística e Informática en función de sus capacidades y recursos realiza actividades estadísticas oficiales a través de Internet; para tal fin puede utilizar los bloques básicos para la interoperabilidad técnica establecidos en el artículo 87 del presente Reglamento, cuando corresponda.

CAPÍTULO III.- DATOS GEORREFERENCIADOS

Artículo 77. Plataforma Nacional de Datos Georreferenciados

77.1 Créase la Plataforma Nacional de Datos Georreferenciados, denominada GEOPERÚ, como la plataforma digital única de integración de datos espaciales o georreferenciados y estadísticos, que armoniza las bases de datos de las entidades de la Administración Pública, para el análisis de datos y la toma de decisiones con enfoque territorial. GEOPERÚ es administrada por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, bajo el dominio www.geoperu.gob.pe.

77.2 GEOPERÚ contiene categorías de información relacionadas, de manera no limitativa, a la cartografía, infraestructura, pobreza, proyectos de inversión pública, programas sociales, salud, educación, economía, agrario, turismo, cultural, ambiental, conflictos sociales, y violencia de género del país. Puede ser usado como plataforma de geovisualización e incorporación de datos georreferenciados para entidades que no posean herramientas.

77.3 Las entidades de la Administración Pública comparten y/o publican datos georreferenciados y servicios de información georreferenciada en la Plataforma GEOPERÚ a fin de garantizar la disponibilidad de los datos necesarios para la toma de decisiones estratégicas. La Secretaría de Gobierno Digital emite los lineamientos para la gestión de la Plataforma GEOPERU y articula esfuerzos con el sector privado, la sociedad civil y la academia para la utilización de la información georreferenciada en beneficio del país.

Artículo 78. Catálogo Nacional de Metadatos Espaciales

78.1 Créase el Catálogo Nacional de Metadatos Espaciales para la búsqueda, evaluación y acceso a los datos, servicios y aplicaciones espaciales producidos y mantenidos por las entidades de la Administración Pública. Es parte de la Infraestructura Nacional de Datos Espaciales del Perú (IDEP) y es administrado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

78.2 Las entidades de la Administración Pública registran los metadatos de sus servicios de información espacial o georreferenciada en el Catálogo Nacional de Metadatos Espaciales. La Secretaría de Gobierno Digital emite los lineamientos para la gestión de metadatos de los servicios de información espacial o georreferenciada.

78.3 Las entidades de la Administración Pública verifican en el Catálogo Nacional de Metadatos Espaciales la existencia de algún tipo de información georreferenciada disponible antes de crear un servicio de información espacial o georreferenciado, o para su reutilización en el desarrollo de nuevos productos espaciales o georreferenciados.

78.4 Asimismo, las entidades son responsables de asegurar la disponibilidad, continuidad y funcionamiento de los servicios de información espacial o georreferenciada que son de su competencia.

TÍTULO VI.- INTEROPERABILIDAD

CAPÍTULO I.- MARCO DE INTEROPERABILIDAD DEL ESTADO PERUANO

Artículo 79. Marco de Interoperabilidad del Estado Peruano

79.1 El Marco de Interoperabilidad del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector de la interoperabilidad, que emite políticas, lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para su aplicación por parte de las entidades de la Administración Pública a fin de garantizar la interoperabilidad de los procesos y sistemas de información en los ámbitos correspondientes.

79.2 El Marco de Interoperabilidad del Estado Peruano y sus normas de desarrollo, son revisadas y aplicadas en la utilización, implementación y prestación de servicios digitales brindados a los ciudadanos y personas en general.

79.3 El Marco de Interoperabilidad del Estado Peruano comprende la gestión de la interoperabilidad en la interacción entre procesos y sistemas de información de las entidades de la Administración Pública.

Artículo 80. Principios específicos del Marco de Interoperabilidad del Estado Peruano

La aplicación del Marco de Interoperabilidad del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos:

a) Cooperación y colaboración. Se promueve la cooperación y colaboración para intercambiar y compartir datos, información, experiencias y recursos a fin de diseñar, implementar y desplegar servicios digitales que permitan alcanzar el bienestar de las personas y el desarrollo sostenible del país.

b) Reutilización. Se promueve la reutilización de datos, información, conocimiento y recursos existentes, evitando duplicar esfuerzos, y permitiendo ahorrar tiempo y dinero.

c) Interoperabilidad desde el diseño. Los sistemas de información que soportan servicios digitales se diseñan atendiendo los objetivos acordados, los requisitos de interoperabilidad y la posible reutilización de datos y servicios.

d) Seguridad. El intercambio de datos, información y recursos entre las entidades de la Administración Pública no afecta su integridad, disponibilidad o confidencialidad.

e) Apertura. Asegurar y dar preferencia al uso de software público o de código abierto, así como al uso de estándares abiertos para el diseño y construcción de los sistemas de información.

f) Enfoque participativo. No se restringe la participación de ninguna entidad de la Administración Pública para el consumo y publicación de los servicios de información disponibles, salvo excepciones establecidas por norma expresa.

g) Independencia tecnológica. Los sistemas de información de las entidades de la Administración Pública se comunican entre sí, independientemente de la plataforma y arquitectura tecnológica en las que fueron implementados.

Artículo 81. Modelo de Interoperabilidad del Estado Peruano

81.1 El Modelo de Interoperabilidad es la representación holística y sistémica de los componentes que comprende el Marco de Interoperabilidad del Estado Peruano, aplicable a todos los sistemas de información de las entidades de la Administración Pública que interoperan entre ellos, atendiendo los principios establecidos en el artículo 80 del presente Reglamento y aquellos establecidos en la Ley.

81.2 El Modelo de Interoperabilidad del Estado Peruano comprende los siguientes componentes:

a) Principios.

b) Procesos de la interoperabilidad.

c) Niveles para la interoperabilidad.

d) Bloques básicos para la interoperabilidad técnica.

e) Servicios digitales conforme a lo establecido en el Título III.

f) Entidades de la Administración pública.

g) Ciudadanos y personas en general.

CAPÍTULO II.- GESTIÓN DEL MARCO DE INTEROPERABILIDAD DEL ESTADO PERUANO

Artículo 82. Gestión del Marco de Interoperabilidad del Estado peruano

La gestión del Marco de Interoperabilidad del Estado Peruano comprende los niveles o perspectivas establecidas en el artículo 28 de la Ley, los cuales se consideran en el diseño de un servicio digital.

Artículo 83. Interoperabilidad a nivel Legal

83.1 Las entidades públicas a solicitud de la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros informan el avance de cumplimiento de las políticas de Estado, políticas de gobierno en materia digital y de interoperabilidad.

83.2 Las iniciativas o acciones de interoperabilidad que promuevan las entidades públicas son realizadas en cumplimiento del Marco de Interoperabilidad del Estado Peruano y normas específicas sobre la materia.

83.3 La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros evalúa y propone acuerdos de interoperabilidad transfronteriza en materia de gobierno digital.

Artículo 84. Interoperabilidad a nivel Organizacional

84.1 Las entidades públicas articulan sus planes y demás instrumentos de gestión con las políticas de Estado y de gobierno en materia digital, de manera que aseguren la implementación y mantenimiento de servicios digitales accesibles, seguros e interoperables.

84.2 Las entidades públicas cuentan con una estructura organizacional y procesos que les permita desarrollar y mantener capacidades para interoperar y reutilizar servicios de información, software u otros recursos.

84.3 Las entidades públicas identifican al dueño del proceso, órgano o unidad orgánica responsable de asegurar la exactitud, actualización y completitud de los datos provistos a través de servicios de información.

84.4 Las entidades proveedoras de servicios de información establecen y suscriben las condiciones de acceso y uso de sus servicios con la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en base a los instrumentos, procedimientos y mecanismos definidos para dicho fin.

84.5 Las entidades consumidoras solicitan el acceso y uso de servicios de información a la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en base a los instrumentos, procedimientos y mecanismos definidos por ésta.

Artículo 85. Interoperabilidad a nivel Semántico

85.1 Los vocabularios a los que hace referencia el artículo 73 del presente Reglamento, son instrumentos para ser usados por todas las entidades públicas en el diseño de sus sistemas de información, bases de datos, formatos electrónicos o iniciativas de interoperabilidad. Estos vocabularios son simples, reutilizables y extensibles.

85.2 Las entidades públicas extienden los vocabularios básicos con los datos maestros y complementarios que resulten necesarios para crear formatos electrónicos destinados al intercambio de datos e información con propósitos específicos, en base a los lineamientos que defina la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, y conforme a lo siguiente:

a) Los Ministerios en coordinación con sus organismos públicos, programas y proyectos elaboran y mantienen vocabularios extendidos que resulten necesarios para la interoperabilidad en su sector y con otros sectores.

b) Los Organismos Constitucionales Autónomos elaboran vocabularios extendidos que resulten necesarios para la adecuada prestación de servicios digitales e interoperabilidad con otras entidades públicas.

c) Los Gobiernos Regionales elaboran vocabularios extendidos que resulten necesarios para la adecuada prestación de servicios digitales en su ámbito territorial; sin perjuicio de ello pueden reutilizar algún otro vocabulario desarrollado.

d) Las demás entidades en función de sus necesidades y contexto elaboran y mantienen vocabularios extendidos para la adecuada prestación de servicios digitales.

85.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, asigna a cada entidad de la Administración Pública, y a todo aquello que requiera ser distinguido, un identificador de objetos (OID) que permita asegurar la interoperabilidad en el Estado Peruano.

Artículo 86. Interoperabilidad a nivel Técnico

86.1 Las entidades públicas utilizan obligatoriamente estándares técnicos abiertos, y excepcionalmente y de forma complementaria, estándares técnicos no abiertos en aquellas circunstancias en las que no se disponga de un estándar técnico abierto que satisfaga la funcionalidad necesaria, y sólo mientras dicha disponibilidad no se produzca.

86.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con las entidades de la Administración Pública promueven las actividades de adopción y normalización con el fin de facilitar la disponibilidad de los estándares técnicos abiertos relevantes para sus necesidades.

86.3 Los criterios para la determinación de un estándar técnico abierto son:

a) Ser mantenido por una organización sin fines de lucro.

b) Haber sido desarrollado dentro de un proceso inclusivo y abierto a todas las partes interesadas.

c) Estar disponible de forma gratuita o a un costo mínimo.

d) No estar sujeto a ningún tipo de pago o tasa, por derechos de propiedad intelectual u otros.

e) Tener múltiples implementaciones, sin favorecer o proveer derechos exclusivos a un vendedor particular o a una marca específica.

86.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, administra y mantiene un Catálogo de Estándares Abiertos que contiene una relación de estándares técnicos para facilitar la interoperabilidad de datos, aplicativos y servicios digitales en el Estado Peruano.

86.5 Los bloques básicos para la interoperabilidad técnica son recursos tecnológicos que forman parte del Marco de Interoperabilidad del Estado Peruano.

Artículo 87. Bloques básicos para la Interoperabilidad técnica

87.1 Son aquellos recursos tecnológicos reutilizables que permiten la definición, diseño, desarrollo y prestación de servicios digitales de forma eficiente, efectiva y colaborativa.

87.2 Los bloques básicos para la interoperabilidad técnica son:

a) Plataforma de Interoperabilidad del Estado (PIDE).

b) Plataforma de Pagos Digitales del Estado Peruano (PÁGALO.PE).

c) Plataforma Nacional de Identificación y Autenticación de la Identidad Digital (ID GOB.PE), creada en el artículo 14 del Título II del presente Reglamento.

d) Plataforma Casilla Única Electrónica del Estado Peruano (CASILLA ÚNICA PERÚ), creada en el artículo 58 del Título IV del presente Reglamento.

e) Plataforma Única de Recepción Documental del Estado Peruano (MESA DIGITAL PERÚ), creada en el artículo 46 del Título IV del presente Reglamento.

f) Plataforma Nacional de Software Público Peruano (PSPP).

g) Plataforma Nacional de Firma Digital (FIRMA PERÚ).

h) Infraestructura Tecnológica y Plataforma como Servicio (NUBE PERÚ).

87.3 Las entidades públicas utilizan de manera obligatoria los bloques básicos para la interoperabilidad técnica en el diseño, construcción y prestación de sus servicios digitales, así como en el desarrollo de sus procesos o procedimientos de gestión interna y actuaciones administrativas provistas a través de Internet, Extranet o Intranet, según corresponda.

87.4 El uso de los bloques básicos para la interoperabilidad técnica por parte de las entidades públicas no requiere la suscripción de convenios de colaboración o similares con las entidades a cargo de un determinado bloque. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, aprueba los instrumentos, acuerdos de nivel de servicio, procedimientos y disposiciones para el uso de los bloques básicos para la interoperabilidad técnica.

87.5 Las entidades a cargo de un determinado bloque básico para la interoperabilidad técnica están obligadas a ponerlos a disposición de todas las entidades de la Administración pública conforme a los instrumentos aprobados por la Secretaría de Gobierno Digital para su uso, sin requerir la suscripción de un convenio de colaboración o documento similar. Asimismo, las referidas entidades suscriben con la Secretaría de Gobierno Digital un acuerdo de nivel de servicio sobre las capacidades de disponibilidad, escalabilidad y seguridad del bloque a su cargo.

87.6 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los bloques básicos para la interoperabilidad técnica establecidos en el numeral 87.2 en función de la necesidad pública, cambio tecnológico, importancia estratégica o normativa expresa que lo demande; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Artículo 88. Plataforma de Interoperabilidad del Estado

88.1 La Plataforma de Interoperabilidad del Estado (PIDE) es una infraestructura tecnológica que facilita la implementación de servicios digitales en la Administración Pública. Se constituye en la capa de intercambio seguro y verificable de datos entre procesos y sistemas de información de las entidades públicas.

88.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, administra la Plataforma de Interoperabilidad del Estado y establece sus condiciones de uso y mecanismos de integración.

88.3 El intercambio de datos e información a través de la Plataforma de Interoperabilidad del Estado se realiza entre entidades consumidoras y proveedoras de servicios de información, donde:

a) Las entidades proveedoras de servicios de información son aquellas entidades que publican un servicio de información en la PIDE en función de la regulación, acuerdos y necesidades de digitalización o transformación digital del Estado.

b) Las entidades consumidoras de servicios de información son aquellas entidades que consumen un servicio de información de la PIDE como parte de la prestación de un servicio digital.

c) Un servicio de información es aquel que provee datos e información que las entidades públicas gestionan en sus sistemas de información e intercambian a través de la PIDE.

88.4 La Plataforma de Interoperabilidad del Estado integra varios servicios de información publicados en ella, que por su ámbito, contenido o naturaleza resulten necesarios para satisfacer de manera ágil y eficiente las necesidades de las entidades consumidoras de servicios de información.

88.5 La Plataforma de Interoperabilidad del Estado puede proveer infraestructura tecnológica como servicio para la implementación de servicios de información de un determinado sector o grupo de entidades en función de la necesidad pública, importancia estratégica o normativa expresa que lo demande. El uso de la referida plataforma es obligatorio por parte de todas las entidades de la Administración Pública de los tres niveles de gobierno, como mínimo, en el intercambio, orquestación, composición, integración de datos, información o conocimiento entre procesos y sistemas de información de dos o más entidades, quedando prohibido el desarrollo, adquisición, contratación de plataformas similares o equivalentes que tengan el mismo fin a partir de la publicación de la presente norma.

88.6 Los servicios de información publicados en la Plataforma de Interoperabilidad del Estado implementan métodos o interfaces entre aplicaciones, en modalidades síncrona o asíncrona respectivamente, para retornar la información firmada digitalmente utilizando un certificado digital de agente automatizado, observando las disposiciones legales sobre la materia y lo establecido en los estándares aprobados por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

88.7 Todas las entidades públicas que pongan a disposición algún servicio de información, aseguran que en su diseño y desarrollo se hayan implementado las medidas y controles que permitan proteger adecuadamente la seguridad de los datos mediante el uso de protocolos seguros de almacenamiento y comunicación, algoritmos de cifrado estándar y otros aspectos pertinentes, de acuerdo con la normatividad vigente y las buenas prácticas que existen en materia de desarrollo de software, seguridad de la información y protección de datos personales.

88.8 Las entidades de la Administración Pública reutilizan los servicios de información publicados en el Catálogo Nacional de Servicios de Información, creado en el artículo 7 del Decreto Legislativo nº 1211, Decreto Legislativo que aprueba Medidas para el fortalecimiento e implementación de servicios públicos integrados a través de ventanillas únicas e intercambio de información entre entidades públicas y modificatoria, de la Plataforma de Interoperabilidad del Estado que puedan satisfacer de forma total o parcial las necesidades de digitalización de sus procesos o servicios, o la mejora y actualización de los ya existentes.

88.9 La publicación y consumo de servicios de información se realiza en base a los procedimientos que defina la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, y las normas vigentes sobre la materia. Las entidades proveedoras de servicios de información suscriben Acuerdos de Nivel de Servicio (ANS) con la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros a fin de garantizar el cumplimiento y disponibilidad del servicio, los cuales son firmados digitalmente. En el caso del consumo de servicios de información las entidades atienden los referidos Acuerdos de Nivel de Servicio.

Artículo 89. Plataforma de Pagos Digitales del Estado Peruano

89.1 La Plataforma de Pagos Digitales del Estado Peruano (PÁGALO.PE) es aquella plataforma digital que permite el pago en línea de los derechos de tramitación, conforme a lo establecido en el artículo 6 del Decreto Legislativo nº 1246, Decreto Legislativo que aprueba diversas medidas de simplificación administrativa.

89.2 La plataforma de pagos digitales PÁGALO.PE comprende funcionalidades que aseguren su acceso a través de la web y dispositivos móviles de forma nativa; y permitan su integración directa con servicios digitales prestados por las entidades de la Administración Pública.

89.3 El Banco de la Nación administra la plataforma de pagos digitales PÁGALO.PE, establece sus condiciones de uso, mecanismos de arquitectura digital, seguridad digital e integración, y publica datos en formatos abiertos sobre el uso de la plataforma PÁGALO.PE en la Plataforma Nacional de Datos Abiertos. Asimismo, la Secretaría de Gobierno Digital emite las normas y disposiciones con respecto a la adopción de la plataforma PÁGALO.PE por parte de las entidades de la Administración Pública.

89.4 La plataforma de pagos digitales PÁGALO.PE admite cualquier modalidad de pago, incluyendo el dinero electrónico, regulado conforme a lo dispuesto en la Ley nº 29985, Ley del Dinero Electrónico y normas reglamentarias.

89.5 La plataforma de pagos digitales PÁGALO.PE permite generar un ticket para el pago en efectivo de los derechos de tramitación en cualquier agente corresponsal del Banco de la Nación a nivel nacional, en caso el ciudadano carezca de medios de pago digitales.

89.6 Las entidades públicas pueden hacer uso de otros mecanismos o plataformas de pago digital seguras regulados por la Superintendencia de Banca, Seguros y AFP para el pago de sus derechos de tramitación, de conformidad con la normatividad del Sistema Nacional de Tesorería.

Artículo 90. Plataforma Nacional de Software Público Peruano

90.1 La Plataforma Nacional de Software Público Peruano (PSPP) es la plataforma digital que facilita el acceso y reutilización del Software Público Peruano (SPP), conforme a lo establecido en el Decreto Supremo nº 051-2018-PCM, Decreto Supremo que crea el Portal de Software Público Peruano y establece disposiciones adicionales sobre el Software Público Peruano y normas complementarias.

90.2 El Catálogo de Software Público Peruano permite buscar, acceder y evaluar un SPP para su reutilización por parte de las entidades públicas, y es mantenido por la Presidencia del Consejo Ministros, a través de la Secretaría de Gobierno Digital.

90.3 Las entidades de la Administración Pública reutilizan los SPP disponibles en el Catálogo de Software Público Peruano que puedan satisfacer de forma total o parcial las necesidades de digitalización de sus procesos o servicios, o la mejora y actualización de los ya existentes.

90.4 La publicación y reutilización de software público peruano a través del PSPP se realiza entre entidades proveedoras y consumidoras de software público, donde:

a) Entidades proveedoras de software público. Son aquellas entidades que publican un software en la PSPP en función de la regulación y necesidades de digitalización o transformación digital del Estado. Son responsables de mantener actualizado la información de los SPP registrados en el Catálogo de Software Público.

b) Entidades consumidoras de software público. Son aquellas entidades que consumen un software de la PSPP como parte de la prestación de un servicio digital o mejoras en su gestión interna.

90.5 La publicación y/o reutilización de software público peruano por parte de las entidades públicas no requiere la suscripción de convenios de colaboración o similares con las entidades titulares de los mismos, y se realiza en base a los procedimientos establecidos por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros y las normas vigentes sobre la materia.

Artículo 91. Plataforma Nacional de Firma Digital

91.1 Créase la Plataforma Nacional de Firma Digital (FIRMA PERÚ) como la plataforma digital que permite la creación y validación de firmas digitales dentro del marco de la IOFE, para la provisión de los servicios digitales prestados por las entidades de la Administración Pública.

91.2 La Plataforma FIRMA PERÚ está conformada por los softwares acreditados de creación y validación de firmas digitales desarrollados o de titularidad de las entidades públicas en el marco de la Infraestructura Oficial de Firma Electrónica (IOFE). La Secretaría de Gobierno Digital establece el listado de softwares que conforman la Plataforma FIRMA PERÚ, los cuales son puestos a disposición por las entidades públicas correspondientes, sin necesidad de suscribir un convenio o similar, de conformidad con lo dispuesto en el artículo 29 de la Ley. Dichas entidades son responsables de asegurar la disponibilidad de los referidos softwares.

91.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía la lista de software que conforman la Plataforma FIRMA PERÚ en función de la necesidad o avance tecnológico, la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

91.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece las condiciones de uso, instrumentos, procedimientos, protocolos de integración y gestión de indicadores de la Plataforma FIRMA PERÚ; así como también emite las normas y disposiciones con respecto a la adopción progresiva de la Plataforma FIRMA PERÚ y el uso de la firma digital por parte de las entidades de la Administración Pública.

Artículo 92. Infraestructura tecnológica y plataforma como servicio

92.1 La infraestructura tecnológica y plataforma tecnológica como servicio (NUBE PERÚ) habilita el acceso a un conjunto de recursos computacionales compartidos (dispositivos de red, servidores y almacenamiento, software) de forma segura, bajo demanda y a través de Internet. Los recursos son adquiridos y liberados con un esfuerzo administrativo exiguo o mínima interacción con el proveedor del servicio.

92.2 Las entidades de la Administración Pública que requieran infraestructura o plataformas tecnológicas para el ejercicio de sus funciones en el ámbito de sus competencias y despliegue de sus servicios digitales utilizan de forma preferente infraestructuras tecnológicas o plataformas provistas por proveedores de servicios en la nube.

92.3 Las entidades de la Administración Pública que cuentan con infraestructura tecnológica o plataforma tecnológica propia, para el ejercicio de sus funciones en el ámbito de sus competencias, pueden:

a) Compartirla con otras entidades públicas de su sector en función de sus necesidades, proyectos y objetivos en común.

b) Ampliar las capacidades de su infraestructura tecnológica o plataforma tecnológica como servicio para compartir con sus proyectos, programas u órganos desconcentrados, en función de sus necesidades y objetivos en común.

92.4 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, dicta las directivas o lineamientos para la determinación, adquisición y uso de las infraestructuras tecnológicas provistas en la modalidad de infraestructura como servicio o plataforma como servicio.

92.5 En el caso de las municipalidades pertenecientes a ciudades principales tipo F y G, conforme a la clasificación realizada por el Ministerio de Economía y Finanzas, en el marco del Programa de Incentivos a la Mejora de la Gestión Municipal, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, provee la infraestructura tecnológica o plataformas tecnológicas como servicio para la prestación de sus servicios digitales, sistemas de información o catálogos de servicios de información geográfica, para lo cual emite las disposiciones que regulen dicha prestación. Asimismo, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, puede proveer la infraestructura tecnológica o plataformas tecnológicas como servicio a las municipalidades no pertenecientes a esta clasificación siempre que lo requieran, manifiesten y sustenten técnicamente conforme a la regulación que se emita para dicho fin.

Artículo 93. Datos maestros para la interoperabilidad

Los datos maestros para la interoperabilidad son datos maestros que son reutilizados por las entidades de la Administración Pública para facilitar la interoperabilidad. Utilizan los identificadores únicos fundamentales establecidos en el artículo 72 del presente Reglamento y son fuente de información básica de persona natural, persona jurídica, vehículo, predio y trámite.

TÍTULO VII.- SEGURIDAD DIGITAL

CAPÍTULO I.- MARCO DE SEGURIDAD DIGITAL DEL ESTADO PERUANO

Artículo 94. Marco de Seguridad Digital del Estado Peruano

94.1 El Marco de Seguridad Digital del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector de la seguridad digital, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para su aplicación por parte de las entidades de la Administración Pública a fin de fortalecer la confianza de los ciudadanos, entidades públicas y personas en general en el entorno digital.

94.2 El Marco de Seguridad Digital del Estado Peruano integra aquellas normas que conforman los ámbitos de defensa, inteligencia, justicia e institucional, establecidos en el artículo 32 de la Ley y se articula y sustenta en las normas, procesos, roles, responsabilidades y mecanismos regulados e implementados a nivel nacional en materia de Seguridad de la Información. La seguridad digital es un ámbito del Marco de Confianza Digital establecido en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

94.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es la encargada de:

(1) definir, articular y dirigir la política, estrategia y planes para el desarrollo de la Seguridad Digital del Estado Peruano,

(2) emitir lineamientos, especificaciones, guías, directivas, normas técnicas y estándares en Seguridad Digital,

(3) supervisar su cumplimiento,

(4) evaluar las necesidades de las entidades, ciudadanos y personas en general en dicho ámbito,

(5) asesorar el Consejo de Seguridad y Defensa Nacional sobre los aspectos relacionados a seguridad digital,

(6) impulsar campañas de sensibilización sobre los riesgos de seguridad digital de la ciudadanía,

(7) promover contenidos digitales para la formación de talento digital en seguridad y,

(8) comunicar al Presidente del Consejo de Ministros los resultados y avances del mismo, a fin de garantizar de manera efectiva la seguridad digital en el país.

Artículo 95. Principios del Marco de Seguridad Digital del Estado Peruano

La aplicación del Marco de Seguridad Digital del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos de la seguridad digital:

a) Seguridad desde el diseño. Los servicios digitales se diseñan y crean atendiendo las necesidades de disponibilidad, integridad y confidencialidad de los datos e información que capturan, procesan y distribuyen.

b) Gestión de riesgos. La gestión de riesgos de seguridad en el entorno digital está integrada en la toma de decisiones, diseño de controles de seguridad en los servicios digitales y procesos de la entidad. Es responsabilidad de la alta dirección dirigirla, mantenerla e incorporarla en la gestión integral de riesgos de la entidad.

c) Colaboración y cooperación. Se promueve el intercambio de información, mejores prácticas y experiencias a fin de identificar y prevenir riesgos de seguridad digital; así como detectar, responder y recuperarse ante incidentes en el entorno digital que afecten la continuidad de las entidades, bienestar de las personas y el desarrollo sostenible del país.

d) Participación responsable. El Estado y la sociedad en su conjunto tienen responsabilidad en la protección de sus datos personales y gestión de riesgos en el entorno digital, en función de sus roles, contexto y su capacidad de actuar, teniendo en cuenta el impacto potencial de sus decisiones con respecto a otros.

e) Protección de datos e información. Se promueve la implementación de medidas y controles de seguridad organizativos, técnicos y legales para preservar la disponibilidad, integridad y confidencialidad de los datos e información que capture, procese, almacene y distribuya una entidad, así como en cualquier otra forma de actividad que facilite el acceso o la interconexión de los datos.

f) Enfoque nacional. La Seguridad Digital es un componente de la seguridad nacional, respalda el funcionamiento del Estado, la sociedad, la competitividad, la economía y la innovación.

g) Enfoque integral. La Seguridad Digital es entendida como un proceso integral y holístico constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con una entidad.

Artículo 96. Modelo de Seguridad Digital

96.1 El Modelo de Seguridad Digital es la representación holística y sistémica de los componentes que comprende el Marco de Seguridad Digital del Estado Peruano, atendiendo los principios establecidos en el artículo 95 del presente Reglamento, aquellos establecidos en la Ley, el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento, y las normas en materia de Seguridad de la Información en el Estado Peruano.

96.2 El Modelo de Seguridad Digital comprende los siguientes componentes:

a) Responsables de los ámbitos del Marco de Seguridad Digital.

b) Centro Nacional de Seguridad Digital.

c) Redes de confianza en Seguridad Digital.

d) Oficial de Seguridad Digital.

e) Sistemas de Gestión de Seguridad de la Información.

f) Ciudadano o persona en general.

g) Autoridad Nacional de Protección de Datos Personales.

Artículo 97. Articulación normativa en materia de Seguridad Digital

Las políticas, lineamientos, directrices y planes en los ámbitos de defensa, inteligencia, justicia e institucional previstos en el artículo 32 de la Ley, se articulan con las políticas, estrategias y planes en materia de Seguridad Digital del Estado Peruano que establezca la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

CAPÍTULO II.- GESTIÓN DEL MARCO DE SEGURIDAD DIGITAL DEL ESTADO PERUANO

Artículo 98. Ámbito de Defensa

98.1 La ciberdefensa es gestionada por el Ministerio de Defensa, quien articula con sus órganos ejecutores el planeamiento y conducción de operaciones militares en y mediante el ciberespacio conforme los objetivos y lineamientos de la Política de Seguridad y Defensa Nacional aprobados por el Consejo de Seguridad y Defensa Nacional (COSEDENA) y de manera articulada con los objetivos de seguridad digital.

98.2 El Comando Conjunto de las Fuerzas Armadas está a cargo de la ciberdefensa de los activos críticos nacionales y recursos claves, cuando la capacidad de protección de sus operadores y/o sector responsable de cada uno de ellos o de la Dirección Nacional de Inteligencia o quien haga sus veces, sean sobrepasadas, y se vea afectada la seguridad nacional.

98.3 La Presidencia del Consejo de Ministros, en su calidad de miembro del Consejo de Seguridad y Defensa Nacional, establece los protocolos de escalamiento, coordinación, intercambio y activación para lo indicado en la Ley nº 30999, Ley de Ciberdefensa. Esta función se ejerce a través de la Secretaría de Gobierno Digital en su calidad de ente rector del Sistema Nacional de Transformación Digital y de seguridad y confianza digital en el país, quien emite los lineamientos y las directivas correspondientes.

Artículo 99. Ámbito de Inteligencia

La inteligencia y contrainteligencia en este ámbito es gestionada, en el marco de sus competencias, por la Dirección Nacional de Inteligencia (DINI), quien articula con la Secretaría de Gobierno Digital Presidencia del Consejo de Ministros y los órganos competentes, el planeamiento y conducción de operaciones de inteligencia para asegurar los activos críticos nacionales.

Artículo 100. Ámbito de Justicia

100.1 Las acciones para garantizar la lucha eficaz contra la ciberdelincuencia es dirigida por el Ministerio del Interior (MININTER) y la Policía Nacional del Perú (PNP), quienes articulan con el Ministerio de Justicia y Derechos Humanos (MINJUSDH), el Instituto Nacional Penitenciario (INPE), el Ministerio Público – Fiscalía de la Nación, el Tribunal Constitucional, Academia de la Magistratura, la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros y el Poder Judicial (PJ), conforme a lo dispuesto en la Ley nº 30096, Ley de Delitos Informáticos, y los convenios aprobados y ratificados por el Estado Peruano en esta materia.

100.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con la División de Investigación de Delitos de Alta Tecnología (DIVINDAT) de la Policía Nacional del Perú y el Ministerio Público – Fiscalía de la Nación proponen los protocolos de colaboración y comunicación para el reporte de casos de violencia sexual contra niños, niñas y adolescentes en el entorno digital, la cual se hace efectiva mediante Resolución de la Secretaría de Gobierno Digital.

Artículo 101. Ámbito Institucional

El ámbito institucional es dirigido, evaluado y supervisado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, quien articula con las entidades de la Administración Pública la implementación de las normas, directivas y estándares de Seguridad Digital, Ciberseguridad y Seguridad de la Información, y supervisa su cumplimiento.

Artículo 102. Articulación de ámbitos

La Secretaría de Gobierno Digital dirige y articula acciones para la gestión de incidentes y riesgos de seguridad digital que afecten a la sociedad con los responsables de los ámbitos de Defensa, Inteligencia y Justicia, conforme lo establece el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento y su Reglamento.

Artículo 103. Adopción de estándares y buenas prácticas

Las entidades de la Administración Pública pueden adoptar normas técnicas peruanas o normas y/o estándares técnicos internacionales ampliamente reconocidos en materia de gestión de riesgos, gestión de incidentes, seguridad digital, ciberseguridad y seguridad de la información en ausencia de normas o especificaciones técnicas nacionales vigentes.

CAPÍTULO III.- EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL

Artículo 104. Equipo de Respuestas ante Incidentes de Seguridad Digital

104.1 Un Equipo de Respuestas ante Incidentes de Seguridad Digital es aquel equipo responsable de la gestión de incidentes de seguridad digital que afectan los activos de una entidad pública o una red de confianza. Su implementación y conformación se realiza en base a las disposiciones que determine la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

104.2 Las entidades de la Administración pública conforman un Equipo de Respuestas ante Incidentes de Seguridad Digital de carácter institucional. Dichos Equipos forman parte de los órganos o unidades orgánicas de Tecnologías de la Información de la entidad o de la unidad de organización especializada en seguridad de la información o similar prevista en su estructura orgánica o funcional. Su conformación es comunicada a la Secretaría de Gobierno Digital mediante los mecanismos dispuestos para tal fin.

104.3 La Secretaría de Gobierno Digital, en su calidad de ente rector de la seguridad digital en el país, emite opinión técnica especializada a pedido de una entidad a fin de revisar o validar aspectos técnicos sobre la conformación de un Equipo de Respuesta ante incidentes de Seguridad Digital, conforme a lo establecido en el presente Reglamento y normas complementarias.

104.4 La red de confianza es el conjunto de entidades públicas e interesados que articulan acciones para el intercambio de información sobre incidentes de seguridad digital, vulnerabilidades, amenazas, medidas de mitigación, herramientas, mejores prácticas o similares en materia de seguridad digital. Se conforman en función de un sector, territorio o para atender un objetivo específico.

104.5 Las entidades públicas pueden conformar una red de confianza en base a las disposiciones establecidas por la Secretaría de Gobierno Digital. Asimismo, la Secretaría de Gobierno Digital en función de los objetivos nacionales, políticas de estado o aspectos estratégicos promueve la conformación de redes de confianza.

Artículo 105. Obligaciones de las entidades en Seguridad Digital

Las entidades públicas tienen, como mínimo, las siguientes obligaciones:

a) Implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI).

b) Comunicar al Centro Nacional de Seguridad Digital los incidentes de seguridad digital atendiendo lo establecido en el artículo 107 del presente Reglamento.

c) Adoptar medidas para la gestión de riesgos e incidentes de seguridad digital que afecten a los activos de la entidad.

d) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes de seguridad digital en su entidad y red de confianza.

e) Asegurar acciones de investigación y cooperación efectiva, eficiente y segura con el Centro Nacional de Seguridad Digital.

f) Proveer los recursos y medidas necesarias para asegurar la efectiva gestión de incidentes de seguridad digital.

g) Requerir a sus proveedores de desarrollo de software el cumplimiento de estándares, normas técnicas y mejores prácticas de seguridad ampliamente reconocidos.

Artículo 106. Criterios para determinar el impacto significativo de un incidente

Para determinar el impacto significativo de un incidente de seguridad digital se consideran, como mínimo, los siguientes criterios:

a) Perjuicio a la reputación.

b) Pérdida u obligación financiera.

c) Interrupción de las operaciones, procesos o actividades de la entidad.

d) Divulgación no autorizada de datos personales o información reservada, secreta o confidencial.

e) Daños personales (físico, psicológico o emocional).

Artículo 107. Comunicación de un incidente

La comunicación de un incidente de seguridad digital se realiza conforme a lo establecido en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento, su Reglamento y normas complementarias.

Artículo 108. Incidentes de Seguridad Digital relativos a Datos Personales

Las entidades públicas comunican y colaboran con la Autoridad Nacional de Protección de Datos Personales ante la identificación de incidentes de seguridad digital que hayan afectado los datos personales, comunicándose en un plazo máximo de 48 horas, a partir de la toma de conocimiento de la brecha de seguridad.

CAPÍTULO IV.- SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Artículo 109. Sistema de Gestión de Seguridad de la Información

109.1 El Sistema de Gestión de Seguridad de la Información (SGSI) comprende el conjunto de políticas, lineamientos, procedimientos, recursos y actividades asociadas, que gestiona una entidad con el propósito de proteger sus activos de información, de manera independiente del soporte en que estos se encuentren. Asimismo, contempla la gestión de riesgos e incidentes de seguridad de la información y seguridad digital, la implementación efectiva de medidas de ciberseguridad, y acciones de colaboración y cooperación.

109.2 El diseño, implementación, operación y mejora del SGSI atiende a las necesidades de todas las partes interesadas de la entidad; asimismo, responde a los objetivos estratégicos, estructura, tamaño, procesos y servicios de la entidad. El SGSI comprende al Equipo de Respuesta ante Incidentes de Seguridad Digital.

109.3 Las entidades de la Administración Pública implementan un SGSI en su institución, teniendo como alcance mínimo sus procesos misionales y aquellos que son relevantes para su operación.

109.4 Se gestiona la implementación de controles y medidas de seguridad a nivel organizacional, técnico y legal, basadas en riesgos, a fin de garantizar la disponibilidad, integridad y confidencialidad de los datos personales que sean tratados, procesados, almacenados y compartidos a una entidad, así como en cualquier otra forma de actividad que facilite el acceso o intercambio de datos.

Artículo 110. Gestión de Riesgos de Seguridad Digital

Las entidades de la Administración Pública gestionan sus riesgos de seguridad digital, conforme a lo establecido en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento y sus normas reglamentarias.

Artículo 111. Roles para la Seguridad de la Información

111.1 El titular de la entidad es responsable de la implementación del SGSI.

111.2 El Comité de Gobierno Digital es responsable de dirigir, mantener y supervisar el SGSI de la entidad.

111.3 El Oficial de Seguridad Digital es el rol responsable de coordinar la implementación y mantenimiento del SGSI en la entidad, atendiendo las normas en materia de seguridad digital, confianza digital y gobierno digital. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite el perfil del Oficial de Seguridad Digital en la Administración Pública.

Artículo 112. Deberes y obligaciones del personal de la entidad

112.1 Las entidades públicas capacitan e informan a su personal sobre sus deberes y obligaciones en materia de seguridad de la información y seguridad digital, siendo estos últimos responsables de su aplicación en el ejercicio de sus funciones y actividades. Asimismo, las entidades fortalecen las competencias de su personal en el uso adecuado, eficiente y seguro de las tecnologías digitales, para lo cual pueden solicitar el soporte de la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital.

112.2 El personal de la entidad que accede a datos e información a través de aplicativos informáticos, sistemas de información o herramientas informáticas usa credenciales que permitan determinar: su identidad en un ámbito determinado, los tipos de derecho o privilegio de uso y accesos asignados, las actividades realizadas, a fin de establecer responsabilidades cuando corresponda.

Artículo 113. Auditorías de Seguridad de la Información

113.1 Las entidades públicas de manera permanente realizan como mínimo una auditoría externa anual a su SGSI. Los resultados de las auditorías constan como información documentada por la entidad.

113.2 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, solicita a las entidades públicas informes de las auditorías realizadas o sobre la aplicación efectiva de las normas en materia de seguridad de la información o seguridad digital, en el marco de sus funciones de supervisión o cuando lo considere necesario para prevenir o resolver incidentes de seguridad digital.

Artículo 114. Seguridad de los servicios digitales

Los servicios digitales se implementan considerando los controles y medidas de seguridad de la información que permitan garantizar su disponibilidad, integridad y confidencialidad, así como atendiendo las disposiciones establecidas en el Decreto de Urgencia nº 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento y sus normas reglamentarias.

Artículo 115. Pruebas para evaluar vulnerabilidades

115.1 Las entidades públicas planifican y realizan pruebas para evaluar vulnerabilidades a los siguientes activos: aplicativos informáticos, sistemas, infraestructura, datos y redes, que soportan los servicios digitales, procesos misionales o relevantes de la entidad. La ejecución de dichas pruebas se realiza, como mínimo, una vez al año. El Centro Nacional de Seguridad Digital solicita a la entidad información sobre las pruebas realizadas o coordina con ella la realización de dichas pruebas.

115.2 Los resultados de las pruebas realizadas constan como información documentada por la entidad. La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, solicita dichos resultados en el marco de sus funciones de supervisión o cuando lo considere necesario para la gestión de un incidente de seguridad digital.

TITULO VIII.- ARQUITECTURA DIGITAL

CAPÍTULO I.- MARCO DE LA ARQUITECTURA DIGITAL DEL ESTADO

Artículo 116. Marco de la Arquitectura Digital del Estado Peruano

116.1 El Marco de la Arquitectura Digital del Estado Peruano es dirigido, supervisado y evaluado por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en su calidad de ente rector en arquitectura digital, que emite lineamientos, especificaciones, guías, directivas, normas técnicas y estándares para su aplicación por parte de las entidades de la Administración Pública que aseguren el alineamiento entre los objetivos estratégicos nacionales e institucionales con el uso optimizado de las tecnologías digitales.

116.2 El alineamiento comprende las inversiones en tecnologías de la información, activos de tecnologías de la información, datos y seguridad digital, para optimizar el uso de recursos y prestación de servicios digitales en el Estado.

116.3 El Marco de la Arquitectura Digital del Estado Peruano comprende las siguientes perspectivas: desempeño, organizacional, datos, aplicaciones, tecnológico y seguridad.

Artículo 117. Principios del Marco de la Arquitectura Digital del Estado Peruano

La aplicación del Marco de la Arquitectura Digital del Estado Peruano se desarrolla de acuerdo con los principios rectores establecidos en el artículo 5 de la Ley, y con los siguientes principios específicos:

a) Neutralidad tecnológica: En la evaluación, adopción o adquisición de tecnología prima la neutralidad, no debiendo orientarse o limitarse a un determinado tipo de tecnología.

b) Valor ganado: Las inversiones en tecnologías de la información generan valor para la entidad mediante la eficiencia en sus procesos, optimización de costos, riesgos y beneficios cuantificables.

c) Reusabilidad: Se promueve la reutilización de componentes, datos, información, activos de tecnologías de la información y soluciones tecnológicas en la entidad.

d) Automatización: Se facilita la automatización de los procesos permitiendo lograr un alto rendimiento, modelando cada uno de ellos hasta elevarlos a un nivel óptimo de calidad.

e) Seguridad de la información: Permite la definición, implementación y la gestión adecuada de la confidencialidad, integridad y disponibilidad de los activos de información independientemente del soporte que los contenga.

Artículo 118. Modelos de referencia de la Arquitectura Digital

118.1 Los modelos de referencia de la Arquitectura Digital permiten un análisis integral de la entidad, desde diferentes perspectivas, para identificar necesidades, problemas y brechas asociadas con los procesos, servicios, sistemas de información, infraestructura tecnológica, gestión de datos y seguridad digital, así como identificar oportunidades de mejora para satisfacer las necesidades de información de la entidad y ciudadano, en el tiempo presente, inmediato y futuro.

118.2 Los modelos de referencia de la Arquitectura Digital son:

a) Modelo de referencia de Desempeño: Permite describir los mecanismos e indicadores utilizados para alinear, evaluar y medir las inversiones en tecnologías de la información, proyectos y servicios de gobierno digital; conforme a los objetivos institucionales y objetivos estratégicos de desarrollo nacional.

b) Modelo de referencia Organizacional: Permite analizar la visión, misión, objetivos estratégicos, estructura, funciones, servicios y procesos establecidos en los instrumentos de gestión y documentos de gestión organizacional de la entidad y el nivel de alineamiento con las disposiciones de gobierno digital, donde se plasma el presente, lo inmediato y el futuro organizacional.

c) Modelo de referencia de Aplicaciones: Permite describir las aplicaciones y sistemas de información que brindan soporte a las funciones, procesos y servicios de la entidad, las cuales se pueden compartir o reutilizar.

d) Modelo de referencia de Datos: Permite describir los datos, su estructura y significado en el contexto de la entidad, para facilitar su descripción, clasificación, calidad, apertura, acceso, reutilización y gestión en general.

e) Modelo de referencia Tecnológico: Permite describir los activos de tecnologías de la información necesarios para gestionar los datos e información y, brindar soporte a las aplicaciones y sistemas de información en la entidad.

f) Modelo de referencia de Seguridad: Permite describir las medidas de seguridad de información en la entidad, para garantizar la confidencialidad, disponibilidad e integridad de sus activos de información, así como fortalecer la confianza en los servicios digitales.

118.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, establece las normas, guías, directivas y lineamientos para la aplicación de los Modelos de referencia de desempeño, organizacional, aplicaciones, datos, tecnológico y seguridad.

118.4 Los modelos de referencia de la Arquitectura Digital pueden ser utilizados para analizar y alinear los sistemas de información, datos, seguridad e infraestructura tecnológica con los objetivos estratégicos institucionales, regionales, sectoriales, o de un sistema funcional o administrativo, con perspectiva futura.

Artículo 119. Plataforma Nacional de Gobierno Digital

119.1 Créase la Plataforma Nacional de Gobierno Digital la cual comprende el conjunto de componentes tecnológicos, lineamientos y estándares para facilitar e impulsar la digitalización de servicios y procesos en las entidades de la Administración pública, promoviendo su colaboración, integración, un uso eficiente de los recursos y el alineamiento con los objetivos estratégicos nacionales.

119.2 La Plataforma Nacional de Gobierno Digital es dirigida, supervisada y evaluada por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

119.3 La referida plataforma comprende, de manera no limitativa, a los bloques básicos de interoperabilidad técnica, la Plataforma GOB.PE, plataforma de Información de la Arquitectura Digital del Estado, Inventario de Activos Digitales del Estado Peruano, así como aquellos recursos, herramientas, instrumentos o servicios digitales a cargo de la Secretaría de Gobierno Digital que faciliten la transformación digital del Estado.

119.4 La Secretaría de Gobierno Digital es la responsable de gestionar los requerimientos de las entidades de la Administración pública sobre el uso de los componentes de la Plataforma Nacional de Gobierno Digital, que incluyen la recepción, habilitación, deshabilitación, renovación u otras acciones necesarias.

Artículo 120. Plataforma Nacional de Gobierno de Datos

120.1 Créase la Plataforma Nacional de Gobierno de Datos (DATOS PERÚ) la cual comprende, de manera no limitativa, la Plataforma Nacional de Datos Abiertos, la Plataforma GEOPERU y las fuentes disponibles en datos espaciales o georreferenciados. Asimismo, implementa tecnologías digitales para la analítica de grandes volúmenes de datos, inteligencia artificial u otras tecnologías emergentes a fin de facilitar la disponibilidad de tableros de gestión y toma de decisiones e intervenciones estratégicas en la Administración Pública.

120.2 La Plataforma Nacional de Gobierno de Datos es administrada por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, que promueve su uso eficiente para el logro de los objetivos estratégicos nacionales, cuyo dominio en Internet es www.datos.gob.pe.

Artículo 121. Roles y Plataforma de Información de la Arquitectura Digital del Estado

121.1 El Comité de Gobierno Digital es el responsable del uso de los modelos de referencia de la arquitectura digital en su entidad y, la actualización de la información en la Plataforma de Información de la Arquitectura Digital del Estado.

121.2 El titular de la entidad en función de sus capacidades, presupuesto y recursos puede designar un Arquitecto Digital como rol responsable de coordinar el uso y documentación de los modelos de referencia de la Arquitectura Digital. Dicha designación se hace de conocimiento a la Secretaría de Gobierno Digital para las coordinaciones y acciones correspondientes.

121.3 Créase la Plataforma de Información de la Arquitectura Digital del Estado como la plataforma que permite:

(i) automatizar la gestión de la arquitectura digital del Estado Peruano,

(ii) almacenar datos para la gestión y evaluación de los proyectos de gobierno digital, y

(iii) proporcionar información para la mejora continua de la arquitectura digital del Estado.

Es administrada por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, cuyo dominio en internet es www.arquitecturadigital.gob.pe.

121.4 La Plataforma de Información de la Arquitectura Digital del Estado contiene información de las entidades, como mínimo, sobre:

a) Visión, misión y objetivos estratégicos.

b) Procesos de la entidad.

c) Proyectos de TI o tecnologías digitales.

d) Aplicaciones, sistemas de información y activos de tecnologías de la información.

e) Inversiones en tecnologías de la información.

f) Información sobre el personal de tecnologías de la información.

121.5 Las entidades de la Administración Pública registran y/o validan la información descrita en el numeral precedente en la Plataforma de Información de la Arquitectura Digital del Estado, para ello toma como referencia la información de su Plan de Gobierno Digital aprobado e instrumentos de gestión institucional.

121.6 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, realiza anualmente la Encuesta Nacional de Activos Digitales del Estado para elaborar y mantener el Inventario de Activos Digitales del Estado Peruano, en concordancia con lo dispuesto en la Ley, el presente Reglamento y las normas en materia de gobierno digital.

DISPOSICIONES COMPLEMENTARIAS FINALES

Primera. Normas complementarias

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros dicta las normas complementarias para la implementación del presente Reglamento.

Segunda. Implementación de la Plataforma ID GOB.PE

La implementación de la plataforma ID GOB.PE se realiza en tres (03) fases:

a) Fase 1: la implementación del servicio de autenticación para peruanos se encuentra a cargo del RENIEC, y se realiza en los siguientes plazos:

i) Con nivel 1 de confianza en la autenticación, en un plazo no mayor a noventa (90) días calendario, contados a partir de la publicación del presente Reglamento.

ii) Con nivel 2 de confianza en la autenticación, en un plazo no mayor a seis (06) meses, contados a partir de la publicación del presente Reglamento.

iii) Con nivel 3 de confianza en la autenticación, en un plazo no mayor a nueve (09) meses, contados a partir de la publicación del presente Reglamento.

b) Fase 2: la implementación del servicio de autenticación para extranjeros, con al menos un nivel de seguridad, se realiza en un plazo no mayor a doce (12) meses, contados a partir de la publicación del presente Reglamento, a cargo de MIGRACIONES.

c) Fase 3: la implementación del servicio de autenticación para personas naturales, con al menos un nivel de seguridad, se realiza en un plazo no mayor a seis (06) meses, contados a partir de la publicación del presente Reglamento, a cargo de la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en un plazo no mayor a noventa (90) días hábiles contados a partir de la publicación del presente Reglamento, mediante Resolución Secretarial, emite las normas, condiciones de uso y protocolos de integración de la Plataforma ID GOB.PE. Así como, las normas y disposiciones con respecto a la adopción de la Plataforma ID GOB.PE por parte de las entidades de la Administración Pública.

El Ministerio de Relaciones Exteriores en un plazo no mayor a noventa (90) días hábiles, contados a partir de la publicación del presente Reglamento, publica en la Plataforma de Interoperabilidad del Estado los servicios de información de los atributos de identidad de un extranjero contenidos en el Carné de Identidad y/o Carné de Solicitante de Refugio para el consumo exclusivo de la Superintendencia Nacional de Migraciones, así como de otras entidades autorizadas expresamente por Relaciones Exteriores. Hasta la publicación de los referidos servicios de información el Ministerio de Relaciones Exteriores remite los atributos de identidad correspondientes a la Superintendencia Nacional de Migraciones, a través de los mecanismos que acuerden y establezcan para dicho fin, para su inscripción en el Registro de Información de Migraciones (RIM).

Tercera. Adecuación de la Plataforma Digital GOB.PE

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en un plazo no mayor a ciento ochenta (180) días calendario, contados a partir de la publicación del presente Reglamento, realiza progresivamente las adecuaciones necesarias a la Plataforma Digital Única del Estado Peruano para Orientación al Ciudadano – GOB.PE, en base a la estructura funcional establecida en el artículo 31 y demás disposiciones del presente Reglamento.

Las entidades públicas en un plazo no mayor a noventa (90) días calendario, contados a partir de la publicación del presente Reglamento, proporcionan los servicios de información que defina la Secretaría de Gobierno Digital para las adecuaciones de la Plataforma GOB.PE

Cuarta. Integración de la Plataforma GOB.PE y la Plataforma ID GOB.PE

En un plazo no mayor de noventa (90) días hábiles, contados a partir de la publicación del presente Reglamento, la Plataforma GOB.PE se integra con la Plataforma ID GOB.PE para verificar la identidad de las personas que requieren acceder y utilizar los servicios digitales prestados a través de la Plataforma GOB.PE, así como acceder a un entorno personalizado conforme a los literales f) y g) del numeral 31.1 del artículo 31 del presente Reglamento.

Quinta. Aplicativos Móviles del Estado Peruano

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite los lineamientos y directivas para el diseño, construcción y registro de aplicativos móviles en el Catálogo Oficial de Aplicativos Móviles en un periodo no mayor a ciento ochenta (180) días hábiles, contados a partir de la publicación del presente Reglamento.

En un plazo no mayor a dos (02) años posterior a la emisión de los referidos lineamientos, las entidades que cuenten con aplicativos móviles existentes a la entrada en vigencia de la presente norma realizan las adecuaciones que correspondan y solicitan su registro en el Catálogo Oficial de Aplicativos Móviles.

Sexta. Registro de aplicativos móviles en las tiendas de distribución

A partir del 01 de julio del 2021 el registro de aplicaciones móviles de las entidades públicas en tiendas de distribución se realiza únicamente a través del Catálogo Oficial de Aplicativos Móviles del Estado Peruano, bajo la cuenta oficial GOB.PE.

Séptima. Normas para procesos técnicos archivísticos en soporte digital

El Archivo General de la Nación en coordinación con la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, dictan las normas para los procesos técnicos archivísticos en soporte digital, en un plazo no mayor a ciento ochenta (180) días hábiles contados a partir de a la publicación del presente Reglamento.

Las referidas normas serán aplicables a los documentos electrónicos que se hayan generado a la entrada en vigencia del presente Reglamento.

Octava. Implementación de la Plataforma Única de Recepción Documental del Estado Peruano

En un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, implementa la Plataforma Única de Recepción Documental del Estado Peruano y establece los lineamientos y requisitos de integración.

Novena. Plazos para la integración con la Plataforma Única de Recepción Documental del Estado Peruano

Las entidades de la Administración Pública, posterior a la implementación de la Plataforma Única de Recepción Documental del Estado Peruano se integran con la misma conforme a los siguientes plazos:

a) Poder Ejecutivo hasta seis (06) meses.

b) Organismos Constitucionales Autónomos hasta seis (06) meses.

c) Gobiernos regionales y universidades públicas hasta seis (06) meses.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dieciocho (18) meses.

f) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta un (01) año.

Las demás entidades en función de sus capacidades y recursos pueden integrar sus sistemas de información con la Plataforma Única de Recepción Documental del Estado Peruano.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima. Plazos para la integración de servicios digitales con las plataformas PIDE, ID GOB.PE y PSPP

Las entidades de la Administración Pública integran sus servicios digitales con las plataformas PIDE, ID GOB.PE y PSPP en lo que corresponda, conforme a los siguientes plazos:

a) Poder Ejecutivo hasta un (01) año, contado desde la publicación del presente Reglamento.

b) Organismos Constitucionales Autónomos hasta un (01) año, contado desde la publicación del presente Reglamento.

c) Gobiernos regionales y universidades públicas hasta dieciocho (18) meses, contado desde la publicación del presente Reglamento.

d) Gobiernos locales Tipo A, Tipo B y Tipo C hasta dieciocho (18) meses, contado desde la publicación del presente Reglamento.

e) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta dieciocho (18) meses.

Las demás entidades en función de sus capacidades y recursos pueden integrar sus servicios digitales con las Plataformas PIDE, ID GOB.PE y PSPP.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Primera. Lineamientos e implementación de la Plataforma Casilla Única Electrónica del Estado Peruano

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, implementa la Plataforma Casilla Única Electrónica del Estado Peruano, en las siguientes fases y plazos:

a) Fase 1: Dirección electrónica y buzón de comunicaciones, conforme a:

i) Personas naturales peruanas en un plazo no mayor a seis (06) meses, posterior a la implementación de la fase 1 a la que se refiere la Segunda Disposición Complementaria Final del presente Reglamento.

ii) Personas naturales extranjeras en un plazo no mayor a seis (06) meses, posterior a la implementación de la fase 2 a la que se refiere la Segunda Disposición Complementaria Final del presente Reglamento.

iii) Personas jurídicas en un plazo no mayor a doce (12) meses, posterior a la implementación del servicio de información al que se refiere la Cuadragésima Sexta Disposición Complementaria Final del presente Reglamento.

b) Fase 2: Buzón de notificaciones, conforme a:

i) Personas naturales peruanos en un plazo no mayor a doce (12) meses, posterior a la culminación de la Fase 1.

ii) Personas naturales extranjeras en un plazo no mayor a doce (12) meses, posterior a la culminación de la Fase 1.

iii) Personas jurídicas en un plazo no mayor a dieciocho (18) meses, posterior a la culminación de la Fase 1.

Asimismo, la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros mediante Resolución de Secretaría de Gobierno Digital, en un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, establece las condiciones, requisitos, uso y gestión de la casilla única electrónica, así como las normas para la adopción e integración de la Plataforma Casilla Única Electrónica por parte de las entidades públicas.

Hasta la culminación de la implementación de la Plataforma Casilla Única Electrónica del Estado Peruano las notificaciones se realizan conforme a lo previsto en el artículo 20 del TUO de la Ley nº 27444.

Décima Segunda. Plazos para la integración de la Plataforma Casilla Única Electrónica del Estado Peruano

Las entidades de la Administración Pública, posterior a la implementación de la Plataforma Casilla Única Electrónica del Estado Peruano, se integran con la misma conforme a los siguientes plazos:

a) Poder Ejecutivo hasta seis (06) meses.

b) Organismos Constitucionales Autónomos hasta seis (06) meses.

c) Gobiernos regionales y universidades públicas hasta un (01) año.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dieciocho (18) meses.

f) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta un (01) año.

Las demás entidades en función de sus capacidades y recursos pueden integrar sus sistemas de información con la Plataforma Casilla Única Electrónica del Estado Peruano.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Tercera. Gestión de la entidad de certificación nacional del Estado peruano y Directiva de la Plataforma Nacional de Firma Digital

En un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, el Registro Nacional de Identificación y Estado Civil (RENIEC) transfiere el acervo documentario, activos físicos, activos lógicos, así como todo aquello que se requiera para la adecuada transferencia de la Entidad de Certificación Nacional para el Estado Peruano a la Presidencia del Consejo de Ministros. La PCM incorpora en sus documentos de gestión los objetivos, acciones y actividades necesarias para la implementación de la presente disposición.

En un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite las normas sobre el uso de la firma digital por parte de las entidades de la Administración Pública, así como la directiva sobre la Plataforma Nacional de Firma Digital.

El RENIEC, en un plazo no mayor a treinta (30) días calendario contados a partir de la publicación del presente Reglamento, pone a disposición de la Presidencia del Consejo de Ministros el software acreditado de validación y generación de firmas digitales de su titularidad, incluyendo como mínimo los ejecutables, los identificadores, la documentación asociada, y todo aquello que sea necesario para iniciar la implementación de la Plataforma FIRMA PERÚ, de conformidad con lo previsto en la Ley y el presente Reglamento.

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros solicita a cualquier entidad de la Administración Pública la entrega del software acreditado de validación y generación de firmas digitales de su titularidad, incluyendo como mínimo los ejecutables, los identificadores, la documentación asociada a fin de dar cumplimiento a lo dispuesto en el presente Reglamento.

Décima Cuarta. Plazos para la integración de la plataforma FIRMA PERÚ

La Secretaría de Gobierno Digital en un plazo no mayor a dos (02) meses, contados a partir de la información entregada por el RENIEC a la que se refiere la Décima Tercera Disposición Complementaria Final, implementa la Plataforma FIRMA PERÚ.

Las entidades de la Administración Pública, posterior a la emisión de la directiva de la Plataforma FIRMA PERÚ, se integran con la misma conforme a los siguientes plazos:

a) Poder Ejecutivo hasta seis (06) meses.

b) Organismos Constitucionales Autónomos hasta seis (06) meses.

c) Gobiernos regionales y universidades públicas hasta un (01) año.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dieciocho (18) meses.

Las demás entidades en función de sus capacidades y recursos pueden integrar sus sistemas de información con la Plataforma FIRMA PERÚ.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Quinta. Registro de tasas en la plataforma PÁGALO.PE

Las entidades de la Administración Pública registran todas las tasas y los pagos por derechos de tramitación de sus servicios y trámites en la plataforma PÁGALO.PE; los cuales deben encontrarse en sus instrumentos de gestión vigente. Los plazos para el registro, a partir de la publicación del presente Reglamento, son:

a) Poder Ejecutivo hasta un (01) año.

b) Organismos Constitucionales Autónomos hasta un (01) año.

c) Gobiernos regionales y universidades públicas hasta un (01) año.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dos (02) años.

f) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta un (01) año.

La aplicación de la presente disposición corresponde a las entidades públicas que efectúan la recaudación de sus ingresos a través del Banco de la Nación, sin perjuicio de lo indicado en el numeral 89.6 del artículo 89 del presente Reglamento.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de registro en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Sexta. Ampliación de la plataforma PÁGALO.PE

En un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, el Banco de la Nación implementa el mecanismo necesario que permite la integración directa de la plataforma PÁGALO.PE con los servicios digitales prestados por las entidades públicas para el pago en línea de sus derechos de tramitación de forma automática y en tiempo real.

Décima Séptima. Integración de los servicios digitales con la plataforma PÁGALO.PE

Las entidades de la Administración Pública, posterior a la implementación del mecanismo al que hace referencia la Décima Sexta Disposición Complementaria Final, integran sus servicios digitales con la plataforma PÁGALO.PE para el pago en línea de sus derechos de tramitación de forma automática y en tiempo real, teniendo en consideración las disposiciones establecidas por el Banco de la Nación, y en los siguientes plazos:

a) Poder Ejecutivo, Organismos Constitucionales Autónomos hasta seis (06) meses.

b) Gobiernos regionales y universidades públicas hasta un (01) año.

c) Gobiernos locales Tipo A y Tipo C hasta dieciocho (18) meses.

d) Gobiernos locales Tipo B hasta dos (02) años.

e) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta dieciocho (18) meses.

Las demás entidades públicas en función de sus capacidades y recursos pueden integrarse con la referida plataforma PÁGALO.PE, sin perjuicio de lo indicado en el numeral 89.6 del artículo 89 del presente Reglamento.

La aplicación de la presente disposición corresponde a las entidades públicas que efectúan la recaudación de sus ingresos a través del Banco de la Nación.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de integración en función de las capacidades y recursos de las entidades; la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Décima Octava. Infraestructura tecnológica y plataforma tecnológica como servicio para gobiernos locales

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en un periodo no mayor a un (01) año, posterior a la publicación del presente Reglamento, implementa lo dispuesto en el numeral 92.5 del artículo 92 del presente Reglamento.

Décima Novena. Vocabularios básicos para la interoperabilidad

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con el Registro Nacional de Identificación y Estado Civil, la Superintendencia Nacional de Migraciones, la Superintendencia Nacional de Registros Públicos, Superintendencia Nacional de Aduana y Administración Tributaria y el Instituto Nacional de Estadística e Informática, en un periodo no mayor a un (01) año, posterior a la publicación del presente Reglamento, elaboran los vocabularios básicos de los datos maestros para la interoperabilidad.

Vigésima. Gestión de Identificadores de Objetos

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es la entidad responsable de la gestión y asignación de identificadores de objetos (OID) para el ámbito nacional, bajo la rama {joint-iso-itu-t(2) country(16) pe(604)}, y realiza las acciones necesarias para su implementación. Asimismo, coordina con el Instituto Nacional de la Calidad (INACAL) y el Ministerio de Transportes y Comunicaciones (MTC), la comunicación a la Organización Internacional de Estandarización (ISO) y a la Unión Internacional de Telecomunicaciones (UIT) para el reconocimiento correspondiente, en un plazo no mayor a tres (03) meses posteriores a la publicación del presente Reglamento.

Vigésima Primera. Portal de Software Público Peruano, Portal Nacional de Datos Abiertos, Oficial de Seguridad de la Información, ID PERÚ y Encuesta Nacional de Recursos Informáticos de la Administración Pública

Para todo efecto la mención al Portal de Software Público Peruano, Portal Nacional de Datos Abiertos, Oficial de Seguridad de la Información, ID PERÚ y Encuesta Nacional de Recursos Informáticos de la Administración Pública que se efectúe en cualquier disposición, norma o documento de gestión debe entenderse a la Plataforma Nacional de Software Público Peruano, Plataforma Nacional de Datos Abiertos, Oficial de Seguridad Digital, ID GOB.PE y Encuesta Nacional de Activos Digitales del Estado respectivamente.

Vigésima Segunda. Opiniones técnicas

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en un periodo no mayor a tres (03) meses, posterior a la publicación del presente Reglamento, aprueba la norma que contiene los procedimientos, criterios y requisitos para la emisión de la opinión técnica previa de los proyectos de tecnologías digitales de carácter transversal al que se refiere el artículo 5 de la presente norma. Asimismo, en los referidos lineamientos se establecerán los plazos para la emisión de la opinión técnica vinculante y opinión técnica especializada a los que se refieren los artículos 6 y 7 respectivamente del presente Reglamento.

El artículo 5 del presente Reglamento no será aplicable a los proyectos de tecnologías digitales de carácter transversal iniciados con anterioridad a la entrada en vigencia de esta norma, a los proyectos de inversión pública que se encuentren aprobados o en ejecución, así como a los proyectos de inversión privada desarrollados al amparo del Decreto Legislativo Nº 1362, Decreto Legislativo que regula la Promoción de la Inversión Privada mediante Asociaciones Público – Privadas y Proyectos en Activos. Asimismo, tampoco será aplicable a las ventanillas únicas digitales que se encuentren en operación o hayan sido creadas a la entrada en vigencia de esta norma.

Vigésima Tercera. Soluciones de firma digital adquiridas o desarrolladas

Aquellas entidades que hayan adquirido, desarrollado o reutilizado una solución de firma digital en el marco de la IOFE, con anterioridad a la publicación del presente reglamento, pueden integrarse con la plataforma FIRMA PERÚ.

Vigésima Cuarta. Prohibición de usar mecanismos alternativos a los bloques básicos para la interoperabilidad técnica

A partir del 01 de enero del 2022 las entidades públicas quedan prohibidas de adquirir, desarrollar o utilizar aplicativos, plataformas, recursos o servicios que posean las mismas funcionalidades provistas por los bloques básicos para la interoperabilidad técnica establecidos en el artículo 87 del presente Reglamento. El MINCETUR, en su calidad de administrador de la Ventanilla Única de Comercio Exterior, utiliza dicha plataforma e implementa progresivamente el uso de las plataformas ID GOB.PE, CASILLA ÚNICA PERÚ, MESA DIGITAL PERÚ y PAGALO.PE de acuerdo con sus estrategias y planes institucionales.

Asimismo, la SUNAT utiliza su sistema informático SUNAT Operaciones en Línea y la Clave SOL, e implementa progresivamente el uso de las plataformas ID GOB.PE, CASILLA ÚNICA PERÚ, MESA DIGITAL PERÚ, PAGALO.PE y FIRMA PERÚ de acuerdo con sus estrategias y planes institucionales.

La presente disposición no será aplicable a los proyectos de inversión pública que se encuentren aprobados o en ejecución a la entrada en vigencia de esta norma. Finalizado el proyecto de inversión pública las entidades responsables del mismo planifican su integración progresiva con los referidos bloques básicos para la interoperabilidad técnica, en lo que corresponda, en coordinación con la Secretaría de Gobierno Digital.

Vigésima Quinta. Mesa de partes digital institucional y Plataforma Única de Recepción Documental del Estado Peruano

Las mesas de partes digitales o similares puestas a disposición por las entidades públicas a través de sus sedes digitales coexisten con la Plataforma Única de Recepción Documental del Estado Peruano hasta la culminación del proceso de integración a la misma, conforme los plazos establecidos en la Novena Disposición Complementaria Final.

Vigésima Sexta. Estándares para datos y metadatos estadísticos

El Instituto Nacional de Estadística e Informática (INEI) es responsable de definir y establecer los formatos y estándares para el intercambio de datos y metadatos estadísticos en el Estado peruano.

Vigésima Séptima. Servicios de información espacial o georreferenciada

En un plazo no mayor a dieciocho (18) meses, posterior a la publicación del presente reglamento, las entidades del Poder Ejecutivo y gobiernos regionales implementan servicios de información espacial o georreferenciada correspondientes a los datos espaciales que producen en el marco de sus competencias. La información de dichos servicios se registra en el Catálogo Nacional de Metadatos Espaciales y publica en la Plataforma Digital GEOPERÚ.

Vigésima Octava. Implementación de la Plataforma Digital de Información de la Arquitectura Digital del Estado

En un plazo no mayor a nueve (09) meses, posterior a la publicación del presente reglamento, la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros habilita la Plataforma Digital de Información de la Arquitectura Digital del Estado. La referida Plataforma Digital toma como base el desarrollo del aplicativo informático para el registro del Plan de Gobierno Digital.

Vigésima Novena. Modelos de Referencia de la Arquitectura Digital del Estado

En un plazo no mayor a doce (12) meses, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, aprueba las Guías de los Modelos de Referencia de la Arquitectura Digital.

Trigésima. Aprobación de estándares y guías de acreditación para servicios de firma digital remota y servicios de preservación digital

En un plazo no mayor a ciento ochenta (180) días calendario, contados a partir de la publicación del presente Reglamento, la Autoridad Administrativa Competente de la IOFE aprueba los estándares técnicos relacionados con los servicios de firma digital remota y con los servicios de preservación digital; y, en un plazo no mayor a un (01) año aprueba las guías de acreditación correspondientes para aquellos Prestadores de Servicios de Certificación Digital que opten por brindar cada uno de los referidos servicios.

Trigésima Primera. Implementación del servicio de información de recursos humanos del sector público

En un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, el Ministerio de Economía y Finanzas (MEF) implementa y publica en la PIDE el servicio de información que retorna datos sobre los recursos humanos del sector público registrados en el “Aplicativo Informático para el Registro Centralizado de Planillas y de Datos de los Recursos Humanos del Sector Público” en situación activa o inactiva. El servicio de información provee, como mínimo, los siguientes datos por cada consulta:

a) Número de documento de identidad,

b) Nombres y apellidos,

c) Sector según corresponda,

d) Pliego según corresponda,

e) Entidad,

f) Cargo funcional,

g) Fecha de inicio, y,

h) Fecha de fin.

Trigésima Segunda. Reconocimiento transfronterizo de la identidad digital

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en coordinación con el Ministerio de Relaciones Exteriores, promueve la suscripción de acuerdos de cooperación para el reconocimiento transfronterizo de la identidad digital de los ciudadanos peruanos en el extranjero, prioritariamente con los países que conforman el Mercado Común del Sur (MERCOSUR), Comunidad Andina y la Alianza del Pacífico (AP).

Trigésima Tercera. Actualización de normas internas para el gobierno digital

Las entidades comprendidas en el alcance incorporan en sus Planes Operativos Institucionales, Planes Estratégicos Institucionales, Plan de Desarrollo de Personas, Plan Anual de Contrataciones y demás instrumentos los objetivos, acciones y actividades necesarias para la implementación del presente Reglamento.

Asimismo, dichas entidades, posterior a la publicación del presente Reglamento, realizan las modificaciones correspondientes en sus normas internas a fin de soportar el flujo documental digital en todos sus procesos, en los siguientes plazos:

a) Poder Ejecutivo hasta un (01) año.

b) Organismos Constitucionales Autónomos hasta un (01) año.

c) Gobiernos regionales hasta un (01) año.

d) Gobiernos locales Tipo A y Tipo C hasta un (01) año.

e) Gobiernos locales Tipo B hasta dieciocho (18) meses.

f) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta dieciocho (18) meses.

Trigésima Cuarta. Planes de apertura de datos

Las entidades de la Administración Pública, posterior a la publicación del presente Reglamento, aprueban y publican planes de apertura de datos, en los siguientes plazos:

a) Poder Ejecutivo, Organismos Constitucionales Autónomos y empresas del Estado hasta seis (06) meses.

b) Gobiernos regionales, universidades públicas y gobiernos locales tipo A y C hasta un (01) año.

Los demás gobiernos locales proceden a la apertura de sus datos en función de sus capacidades y recursos.

Trigésima Quinta. Estrategia Nacional de Gobierno de Datos e Inteligencia Artificial, Estrategia Nacional de Seguridad y Confianza Digital y Estrategia Nacional de Talento e Innovación Digital

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, aprueba una Estrategia Nacional de Gobierno de Datos e Inteligencia Artificial, una Estrategia Nacional de Seguridad y Confianza Digital, y una Estrategia Nacional de Talento e Innovación Digital, en un plazo no mayor a ciento ochenta (180) días hábiles, posterior a la publicación del presente Reglamento, las cuales se actualizan cada dos (02) años, y se elaboran con la participación del sector público, la academia, sector privado y sociedad civil.

Trigésima Sexta. Apertura por defecto de datos económicos y de contrataciones

Los datos disponibles en el Portal de Transparencia Económica del Ministerio de Economía y Finanzas, así como los datos obtenidos a partir de información registrada en el Sistema Electrónico de Contrataciones del Estado (SEACE); se publica automáticamente y por defecto en la Plataforma Nacional de Datos Abiertos, en un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, con excepción de la información calificada como secreta, reservada o confidencial y los datos personales, en observancia de las normas legales vigentes.

Trigésima Séptima. Competencias y talento digital para el acceso y uso de servicios digitales

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en coordinación con los actores del Sistema Nacional de Transformación Digital promueven las acciones para el desarrollo del talento digital de los ciudadanos y personas en general, a fin de asegurar el ejercicio de ciudadanía digital, así como el desarrollo de competencias digitales para el acceso y uso a contenidos y servicios digitales provistos por el sector público y privado.

Trigésima Octava. Nombres de dominio de la Administración Pública

La estandarización y validación de los nombres de dominio de la Administración Pública y empresas públicas se encuentra a cargo de la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, quien emite las normas correspondientes.

Trigésima Novena. Fiscalización y Supervisión

La Contraloría General de la República, a través de los órganos de control institucional de cada entidad de la Administración Pública, conforme a sus competencias, verifican de oficio que los funcionarios y servidores cumplan con implementar las disposiciones y plazos previstos en el presente Reglamento. Asimismo, corresponde a Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en el ejercicio de sus funciones de supervisión y fiscalización, realizar las gestiones conducentes para hacer efectiva la responsabilidad de los funcionarios en la implementación del presente Reglamento, para lo cual reporta a la Contraloría General de la República para las acciones correspondientes.

El incumplimiento de lo dispuesto en el presente Reglamento genera responsabilidad administrativa disciplinaria pasible de sanción en observancia a las normas del régimen disciplinario y procedimiento sancionador de la Ley nº 30057, Ley del Servicio Civil y su Reglamento General, aprobado por Decreto Supremo nº 040-2014-PCM. Corresponde a la máxima autoridad administrativa de cada entidad asegurar el cumplimiento de la presente disposición.

Cuadragésima. Interoperabilidad de las firmas electrónicas cualificadas

La Entidad de Certificación Nacional para el Estado Peruano, en un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, emite los lineamientos para la generación, uso, validación y verificación de las firmas electrónicas cualificadas para su interoperabilidad en el marco del modelo de gestión documental.

La interoperabilidad internacional a través de la VUCE para asuntos de comercio exterior se realiza conforme a los acuerdos o convenios internacionales suscritos por el Perú.

Cuadragésima Primera. Condiciones tecnológicas para gobiernos locales

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, en un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, emite las disposiciones sobre las condiciones tecnológicas mínimas y plazos para la implementación del presente Reglamento por parte de los gobiernos locales. La presente disposición no se aplica a los gobiernos locales de Lima Metropolitana y Callao ni aquellos que son capitales de provincia.

La Secretaría de Gobierno Digital provee el soporte técnico y herramientas para la adopción de los bloques básicos para la interoperabilidad técnica por parte de las municipalidades pertenecientes a ciudades principales tipo F y G.

Cuadragésima Segunda. Aprobación de normas para el Documento Nacional de Identidad digital

El Registro Nacional de Identificación y Estado Civil, en un plazo no mayor a dos (02) años, posterior a la publicación del presente Reglamento, aprueba los requisitos, características, lineamientos y procedimientos del Documento Nacional de Identidad digital, la cual se hace efectiva mediante Resolución Jefatural.

Cuadragésima Tercera. Estándares, lineamientos y perfiles técnicos sobre el expediente electrónico

En un plazo no mayor a un (01) año, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite el perfil mínimo de metadatos del expediente electrónico, los lineamientos para su gestión y los estándares técnicos de su estructura.

Cuadragésima Cuarta. Normas para la determinación, adquisición y uso de NUBE PERÚ

En un plazo no mayor a seis (06) meses, posterior a la publicación del presente Reglamento, la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, emite las normas para la determinación, adquisición y uso de infraestructuras tecnológicas y plataformas tecnológicas provistas en la modalidad de infraestructura y plataforma como servicio (NUBE PERÚ).

Cuadragésima Quinta. Uso de la Plataforma IDGOB PERÚ para el acceso a sistemas de información de las entidades públicas

La Plataforma ID GOB.PE es utilizada para proveer el acceso de funcionarios y servidores públicos a los sistemas de información de las entidades públicas accesibles desde Internet, para el ejercicio de sus funciones o actuaciones a su cargo. Asimismo, la referida plataforma es utilizada para proveer el acceso a los sistemas de información de usuarios autorizados o representantes legales de personas jurídicas que requieran interactuar con las entidades públicas.

La Plataforma ID GOB.PE sólo otorga garantía sobre la identificación de la persona natural, mas no sobre el cargo, rol, atribuciones o facultades que ostenta un funcionario o servidor de una entidad de la Administración Pública, o usuario autorizado o representante legal de una persona jurídica.

La entidad pública es responsable de gestionar las autorizaciones de acceso y asignación de roles, atribuciones o facultades en los referidos sistemas de información.

Cuadragésima Sexta. Implementación del servicio de información de representante legal

En un plazo no mayor a nueve (09) meses, posterior a la publicación del presente Reglamento, la Superintendencia Nacional de Registros Públicos (SUNARP) en coordinación con la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, desarrolla, implementa y publica en la PIDE el servicio de información que retorna datos sobre los representantes legales de personas jurídicas inscritas. El servicio de información tiene como parámetros de entrada el número de documento de identidad, y provee, como mínimo, los siguientes datos por cada consulta: a) Denominación o razón social y b) Número de partida registral.

Hasta la implementación del servicio de información del representante legal de una persona jurídica, las entidades pueden utilizar el número del RUC otorgado por la SUNAT como identificador para la prestación de servicios digitales.

Cuadragésima Séptima. Código de Verificación Digital

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en un plazo no mayor a tres (03) meses, posterior a la publicación del presente Reglamento, emite las normas para la generación y uso del Código de Verificación Digital.

Cuadragésima Octava. Conformación de Equipos de Respuestas ante Incidentes de Seguridad Digital

La Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros en un plazo no mayor a tres (03) meses, posterior a la publicación del presente Reglamento, emite las normas para la implementación y conformación de Equipos de Respuestas ante Incidentes de Seguridad Digital y Redes de Confianza.

Las entidades de la Administración Pública, posterior a la publicación de las normas a las que se hace referencia en el párrafo precedente, conforman sus Equipos de Respuestas ante Incidentes de Seguridad Digital conforme a los siguientes plazos:

a) Poder Ejecutivo y Organismos Constitucionales Autónomos hasta seis (06) meses.

b) Gobiernos regionales y universidades públicas hasta un (01) año.

c) Gobiernos locales Tipo A y Tipo C hasta dieciocho (18) meses.

d) Gobiernos locales Tipo B hasta dos (02) años.

e) Las empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta un (01) año.

Las demás entidades en función de sus capacidades y recursos pueden conformar los referidos Equipos de Respuestas ante Incidentes de Seguridad Digital.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de conformación en función de las capacidades y recursos de las entidades, la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Cuadragésima Novena. Interconexión de sistemas de trámite documentario o equivalentes

Las entidades de la Administración Pública, de conformidad con lo establecido en el artículo 8 del Decreto Legislativo nº 1310, Decreto Legislativo que aprueba medidas adicionales de Simplificación Administrativa, interconectan e integran sus sistemas de trámite documentario o equivalentes para el envío automático de documentos electrónicos con otras entidades, a través de la Plataforma de Interoperabilidad del Estado, en los siguientes plazos:

a) Organismos Constitucionales Autónomos, gobiernos regionales, universidades públicas, gobiernos locales Tipo A, Tipo B y Tipo C, y empresas públicas de los gobiernos regionales, locales, o bajo el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE) hasta el 31 de diciembre de 2021.

b) Gobiernos locales Tipo D, Tipo E, Tipo F y Tipo G hasta el 31 de julio de 2022.

Los gobiernos locales tipo D, E, F y G que no intervienen como administrados en un procedimiento administrativo pueden presentar documentos electrónicos vía plataformas de recepción documental, mesas de partes digital o similares aplicando las alternativas señaladas en el numeral 47.1 del artículo 47 del presente Reglamento, hasta la culminación de la interconexión de sus sistemas de trámite documentario a la que se refiere el párrafo precedente.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, amplía los plazos de implementación en función de las capacidades y recursos de las entidades, la misma que se hace efectiva mediante Resolución de Secretaría de Gobierno Digital.

Quincuagésima. Interoperabilidad a favor de los gobiernos regionales

Las entidades del Poder Ejecutivo a las que se refiere el artículo 1 del Decreto Supremo nº 002-2018-MINAGRI, Decreto Supremo que exonera del pago de tasas y cualquier otro derecho de trámite ante diversas entidades del Poder Ejecutivo a los Gobiernos Regionales en el ejercicio de la función descrita en el literal n) del artículo 51 de la Ley nº 27867, Ley Orgánica de Gobiernos Regionales, de manera progresiva y gratuita publican información en la Plataforma de Interoperabilidad del Estado para el consumo de los gobiernos regionales a cargo del ejercicio de la función descrita en el literal n) del artículo 51 de la Ley nº 27867, Ley Orgánica de Gobiernos Regionales.

Quincuagésima Primera. Aplicación normativa

Los procedimientos y servicios tramitados a través de la Ventanilla Única de Comercio Exterior (VUCE) se efectúan en concordancia con lo establecido en la Ley nº 30860, Ley de Fortalecimiento de la Ventanilla Única de Comercio Exterior y su Reglamento, siendo aplicable de manera supletoria lo dispuesto en el Capítulo I, II, III, V y VI del Título IV y Título II del presente Reglamento en lo que corresponda.

Los procedimientos, actos o actuaciones que se realizan en virtud de las competencias otorgadas por el Código Tributario, la Ley General de Aduanas y demás normas que atribuyen competencia a las Administraciones Tributarias, SUNAT y el Tribunal Fiscal, incluyendo aquellos casos en los que además se requiere la suscripción de un convenio interinstitucional conforme lo previsto en el tercer párrafo del artículo 5 de la Ley nº 29816, Ley de Fortalecimiento de la SUNAT o en una norma con rango de ley o decreto supremo que lo establezca, se regulan por sus normas especiales, siendo que, en lo no previsto en estas, resulta aplicable supletoriamente lo dispuesto en los Títulos II y IV del presente Reglamento en lo que corresponda. Sin perjuicio de ello las mencionadas entidades pueden optar voluntariamente por integrarse con la plataforma ID GOB.PE, CASILLA ÚNICA PERÚ y MESA DIGITAL PERÚ, para lo cual aprobarán las normas correspondientes.

La SUNAT puede utilizar en su relación con los administrados los sistemas, aplicaciones móviles y otros productos informáticos desarrollados en virtud de las facultades que le otorga la normativa que la regula, como es el caso del sistema informático SUNAT Operaciones en Línea y la Clave SOL, incluyendo la utilización de esta para generar la firma electrónica, asimismo, implementa progresivamente el uso de los bloques básicos de interoperabilidad técnica de acuerdo con sus estrategias y planes institucionales.

Sin perjuicio de lo indicado precedentemente tanto la VUCE como el sistema informático SUNAT Operaciones en Línea (SOL) interoperan progresivamente en lo que corresponda con los bloques básicos de interoperabilidad técnica.

La regulación y supervisión de los sistemas, productos y servicios supervisados por la Superintendencia de Banca, Seguros y AFP se rigen en virtud del principio de especialidad normativa por la Ley nº 26702, Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros.

Quincuagésima Segunda. Glosario de términos

Se incluye el Glosario de Términos para el adecuado entendimiento del presente Reglamento, conforme al Anexo adjunto a la presente norma.

DISPOSICIONES COMPLEMENTARIAS TRANSITORIAS

Primera. Adecuación y registro en el Catálogo Oficial de Aplicativos Móviles

Las entidades de la Administración Pública que cuentan con aplicativos registrados en los repositorios de distribución de aplicativos móviles implementan las adecuaciones correspondientes y solicitan su registro en el Catálogo Oficial de Aplicativos Móviles en un periodo no mayor a dos (02) años, contado a partir de la emisión de los lineamientos a los que hace referencia la Quinta Disposición Complementaria Final.

Segunda. Obligatoriedad de la implementación de los servicios digitales

Las entidades comprendidas en el alcance incorporan anualmente en sus instrumentos de gestión, acciones o actividades para la implementación de servicios digitales no presenciales o semipresenciales conforme lo dispuesto en el presente Reglamento, salvo aquellas entidades que dispongan de todos sus procedimientos o servicios accesibles a través de canales digitales.

La implementación de la digitalización de procesos de comercio exterior se efectúa de manera progresiva en concordancia con lo señalado en el artículo 5 del Decreto Legislativo nº 1492, Decreto Legislativo que aprueba Disposiciones para la Reactivación, Continuidad y Eficiencia de las Operaciones vinculadas a la Cadena Logística de Comercio Exterior y su Reglamento.

Tercera. Mecanismos existentes de casilla electrónica

Las entidades públicas que hayan implementado algún mecanismo de notificación haciendo uso de tecnologías y medios electrónicos (casillas electrónicas, sistemas de notificación electrónica, buzones electrónicos o similares) se adaptan e integran de manera progresiva con la plataforma Casilla Única Perú, hasta el 31 de diciembre del 2022; sin perjuicio, de continuar con la utilización de los referidos mecanismos de notificación durante dicho período.

Las entidades a las que se hace referencia en el numeral 58.6 del presente Reglamento quedan exceptuadas de la presente disposición.

Cuarta. Reconocimiento de Prestadores de Servicios de Valor Añadido en la modalidad de sistema de creación de firma remota

Las empresas que cuenten con acreditación nacional o certificación internacional vigente como proveedores de servicios de creación de firma remota o equivalentes pueden prestar sus servicios a entidades públicas y privadas sin encontrarse acreditadas como tales ante la Autoridad Administrativa Competente (AAC), previo cumplimiento del procedimiento de reconocimiento que disponga la AAC, hasta por un plazo no mayor a dieciocho (18) meses, posterior a la publicación del presente Reglamento. Tales empresas ponen en conocimiento de la AAC, a través de sus representantes en el país, de ser el caso, sus operaciones en el ámbito nacional para su incorporación en el Registro Oficial de Prestadores de Servicios de Certificación Digital como Prestadores de Servicios de Valor Añadido reconocidos en la modalidad de sistema de creación de firma remota. En dicho plazo las referidas empresas concluyen su proceso de acreditación ante la AAC. Si cumplido el plazo del reconocimiento, la empresa no hubiese obtenido la acreditación ante la AAC, ésta la retira del Registro Oficial de Prestadores de Servicios de Certificación Digital.

DISPOSICIONES COMPLEMENTARIAS MODIFICATORIAS

Primera. Incorporación de los artículos 1A y 2A en el Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo nº 052-2008-PCM

Incorpóranse los artículos 1A y 2A en el Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo nº 052-2008-PCM, en los siguientes términos:

“Artículo 1A.- Modalidades de la firma electrónica

Se reconocen las siguientes tres (03) modalidades de firma electrónica:

(a) Firma Electrónica Simple. Es un dato en formato electrónico anexo a otros datos electrónicos o asociado de manera lógica con ellos, que utiliza un firmante para firmar.

(b) Firma Electrónica Avanzada. Es aquella firma electrónica simple que cumple con las siguientes características:

(i) está vinculada al firmante de manera única,

(ii) permite la identificación del firmante,

(iii) ha sido creada utilizando datos de creación de firmas que el firmante puede utilizar bajo su control, y

(iv) está vinculada con los datos firmados de modo tal que cualquier modificación posterior de los mismos es detectable.

(c) Firma Electrónica Cualificada. La firma electrónica cualificada o firma digital es aquella firma electrónica avanzada que cumple con lo establecido en el capítulo II del presente Reglamento.

Artículo 2A.- Carga de la prueba de la firma electrónica

Para cada modalidad de firma electrónica la aplicación de la carga de la prueba varía conforme a lo siguiente:

(a) En caso de controversia sobre la autoría de la firma electrónica simple o avanzada, la carga de la prueba recae en quien la invoque como auténtica.

(b) En caso de controversia, en la utilización de la firma electrónica cualificada, la carga de la prueba se invierte debiendo quien niegue la autoría, demostrar que la firma es apócrifa.

(…)”.

Segunda. Modificación de los artículos 6, 8, 10, 15, 16, 29, 33, 35, 36, 45, 46, 47, 48, 57, 60, Octava y Décima Cuarta Disposición Complementaria Final del Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo nº 052-2008-PCM y modificatorias

Modifícanse los artículos 6, 8, 10, 15, 16, 29, 33, 35, 36, 45, 47, 48, el literal a) del artículo 46, el literal h) del artículo 57, artículo 60, la Octava Disposición Complementaria Final y el octavo término de la Décima Cuarta Disposición Complementaria Final del Reglamento de la Ley nº 27269, Ley de Firmas y Certificados Digitales, aprobado por Decreto Supremo nº 052-2008-PCM y modificatorias, en los siguientes términos:

“Artículo 6.- Firma digital

Es aquella firma electrónica que utilizando una técnica de criptografía asimétrica, permite la identificación del signatario y ha sido creada por medios, incluso a distancia, que garantizan que éste mantiene bajo su control con un elevado grado de confianza, de manera que está vinculada únicamente al signatario y a los datos a los que refiere, lo que permite garantizar la integridad del contenido y detectar cualquier modificación ulterior, tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita, siempre y cuando haya sido generada por un Prestador de Servicios de Certificación Digital debidamente acreditado que se encuentre dentro de la Infraestructura Oficial de Firma Electrónica, y que no medie ninguno de los vicios de la voluntad previstos en el Título VIII del Libro IV del Código Civil.

(…)

Artículo 8.- Presunciones

Tratándose de documentos electrónicos firmados digitalmente a partir de certificados digitales generados dentro de la Infraestructura Oficial de Firma Electrónica, se aplican las siguientes presunciones:

a) Que el suscriptor del certificado digital tiene el control de la clave privada asociada, con un elevado grado de confianza, incluso cuando la misma es gestionada por un Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota.

(…)

Artículo 10.- Obligaciones del suscriptor

Las obligaciones del suscriptor son:

(a) Entregar información veraz bajo su responsabilidad.

(b) Generar por sí mismo la clave privada, o autorizar su generación a distancia por parte de un Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota, y firmar digitalmente mediante los procedimientos señalados por la Entidad de Certificación.

(c) Mantener el control y la reserva de la clave privada bajo su responsabilidad, sin perjuicio de la responsabilidad del Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota que genere la clave privada para el servicio de firma remota.

(…)

Artículo 15.- Obligaciones del titular

Las obligaciones del titular son:

(…)

c) Solicitar la cancelación de su certificado digital en caso de que la reserva sobre la clave privada se haya visto comprometida, bajo responsabilidad, excepto cuando dicha clave sea gestionada por un Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota.

d) Cumplir permanentemente las condiciones establecidas por la Entidad de Certificación para la utilización del certificado y, en su caso, por el Prestador de Servicios de Valor Añadido acreditado en la modalidad de sistema de creación de firma remota.

Artículo 16.- Contenido y vigencia

Los certificados emitidos dentro de la Infraestructura Oficial de Firma Electrónica contienen como mínimo, además de lo establecido en el artículo 7 de la Ley, lo siguiente:

a) Para personas naturales:

• Nombres y apellidos completos

• Número de documento oficial de identidad

• Tipo de documento

• Dirección electrónica de los servicios donde consultar el estado de validez del certificado

• Dirección electrónica del certificado de la entidad de certificación emisora

• Identificador de la política de certificación bajo la cual fue emitido el certificado

b) Para personas jurídicas (suscriptor):

• Denominación o razón social

• Número del Registro Único de Contribuyentes (RUC) de la organización

• Nombres y apellidos completos del suscriptor

• Número de documento oficial de identidad del suscriptor

• Tipo de documento del suscriptor

• Dirección electrónica de los servicios donde consultar el estado de validez del certificado

• Dirección electrónica del certificado de la entidad de certificación emisora

• Identificador de la política de certificación bajo la cual fue emitido el certificado

c) Para personas jurídicas (titular):

• Denominación o razón social

• Número del Registro Único de Contribuyentes (RUC) de la organización

• Nombre del sistema de información o sistema de cómputo

• Dirección electrónica de los servicios donde consultar el estado de validez del certificado

• Dirección electrónica del certificado de la entidad de certificación emisora

• Identificador de la política de certificación bajo la cual fue emitido el certificado

(…)

Artículo 29.- Funciones

Las Entidades de Registro o Verificación tienen las siguientes funciones:

a) Identificar a los titulares y/o suscriptores del certificado digital mediante el levantamiento de datos y la comprobación de la información brindada por aquél. La identificación y comprobación debe efectuarse:

(i) en presencia física del solicitante, o

(ii) a distancia, mediante el uso de los certificados digitales del solicitante entregados en su Documento Nacional de Identidad electrónico o digital, o

(iii) a distancia, utilizando métodos de identificación aprobados por la Autoridad Administrativa Competente que provean una seguridad equivalente en términos de fiabilidad a la presencia física.

(…)

Artículo 33.- Funciones

Los Prestadores de Servicios de Valor Añadido tienen las siguientes funciones:

(…)

d) Ofrecer servicios de gestión de claves privadas y creación de firmas digitales remotas de usuarios finales asociados a la prestación de servicios de valor añadido de firma remota.

(…)

Artículo 35.- Modalidades del Prestador de Servicios de Valor Añadido con firma digital del usuario final

Los Prestadores de Servicios de Valor Añadido que realizan procedimientos con firma digital del usuario final, pueden a su vez adoptar tres modalidades:

a) Sistema de Intermediación Digital cuyo procedimiento concluye con una microforma o microarchivo.

b) Sistema de Intermediación Digital cuyo procedimiento no concluye en microforma o microarchivo.

c) Sistema de creación de firma remota, que permite efectuar operaciones de creación de firma digital utilizando claves privadas que se encuentran localizadas remotamente y son gestionadas por un tercero.

(…)

Artículo 36.- Modalidad del Prestador de Servicios de Valor Añadido sin firma digital del usuario final

Los Prestadores de Servicios de Valor Añadido que realizan procedimientos sin firma digital del usuario final, pueden a su vez adoptar dos modalidades:

a) Sistema de sellado de tiempo. Consigna la fecha y hora cierta para evidenciar que un dato u objeto digital ha existido en un momento determinado del tiempo, y que no ha sido alterado desde entonces.

b) Sistema de preservación digital. Provee capacidades que permiten validar una firma digital en el largo plazo y/o pruebas de existencia de objetos digitales utilizando firmas digitales y sellos de tiempo.

(…)

Artículo 45.- Documento Nacional de Identidad Electrónico

El Documento Nacional de Identidad electrónico (DNIe) es un Documento Nacional de Identidad, emitido en una tarjeta inteligente por el Registro Nacional de Identificación y Estado Civil – RENIEC, que acredita presencial y/o electrónicamente la identidad personal de su titular, permitiendo la firma digital de documentos electrónicos y el ejercicio del voto electrónico presencial. A diferencia de los certificados digitales que pudiesen ser provistos por otras Entidades de Certificación públicas o privadas, aquellos incorporados en el Documento Nacional de Identidad Electrónico (DNIe) pueden usarse para el ejercicio del voto electrónico no presencial en los procesos electorales. El RENIEC dispone de las características y condiciones técnicas del Documento Nacional de Identidad Electrónico; así como los casos en los que no se incorporan los certificados digitales.

(…)

Artículo 46.- Estructura Jerárquica de Certificación del Estado Peruano

Las entidades que presten servicios de certificación digital en el marco de la Infraestructura Oficial de Firma Electrónica son las entidades de la administración pública o personas jurídicas de derecho público siguientes:

a) Entidad de Certificación Nacional para el Estado Peruano, la cual es la encargada de emitir los certificados subordinados para las Entidades de Certificación para el Estado Peruano que lo soliciten, además de proponer a la Autoridad Administrativa Competente, las políticas y estándares de las Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestadores de Servicios de Valor Añadido para el Estado Peruano, según los requerimientos de la Autoridad Administrativa Competente y lo establecido por el presente Reglamento.

(…)

d) Prestador de Servicios de Valor Añadido para el Estado Peruano acreditados por la Autoridad Administrativa Competente bajo cualquiera de las modalidades de servicio de valor añadido establecidas en el presente reglamento.

(…)

Los servicios brindados por los Prestadores de Servicios de Certificación Digital públicos se sustentan en los principios de acceso universal y no discriminación del uso de las tecnologías de la información y de comunicaciones, procurando que los beneficios resultantes contribuyan a la mejora de la calidad de vida de todos los ciudadanos. En consecuencia, las entidades públicas que presten servicios como Entidad de Certificación Nacional para el Estado Peruano, Entidades de Certificación para el Estado Peruano, Entidades de Registro o Verificación para el Estado Peruano y Prestador de Servicios de Valor Añadido para el Estado Peruano, sólo pueden considerar los costos asociados a la prestación del servicio al momento de determinar su valor a efectos de gestionar la asignación presupuestal correspondiente o determinar las tasas que garanticen su sostenibilidad en el tiempo.

Artículo 47.- Designación de las entidades responsables

Se designa a la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, como Entidad de Certificación Nacional para el Estado Peruano. La Secretaría de Gobierno Digital es responsable de la gestión de los servicios de la ECERNEP, así como también implementa y mantiene un canal digital para la difusión de sus contenidos e instrumentos, cuya dirección en Internet es www.ecernep.gob.pe.

Se designa al Registro Nacional de Identificación y Estado Civil – RENIEC como Entidad de Certificación para el Estado Peruano, Entidad de Registro o Verificación para el Estado Peruano. Los servicios a ser prestados en cumplimiento de los roles señalados están a disposición de todas las Entidades Públicas del Estado Peruano y de todas las personas naturales y jurídicas que mantengan vínculos con él, no excluyendo ninguna representación del Estado Peruano en el territorio nacional o en el extranjero. El Registro Nacional de Identificación y Estado Civil – RENIEC puede asimismo implementar y poner a disposición de las Entidades Públicas otros servicios de certificación de valor añadido contemplados en el presente reglamento.

(…)

Las demás entidades de la Administración Pública que opten por constituirse como Entidad de Certificación para el Estado Peruano, Entidad de Registro o Verificación para el Estado Peruano y/o Prestador de Servicios de Valor Añadido para el Estado Peruano cumplen con las políticas y estándares que sean propuestos por la Entidad de Certificación Nacional para el Estado Peruano y aprobadas por la Autoridad Administrativa Competente, y solicitar su acreditación correspondiente a fin de ingresar a la Infraestructura Oficial de Firma Electrónica.

Artículo 48.- Entidad de Certificación Nacional para el Estado Peruano

a) La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es la única Entidad de Certificación Nacional para el Estado Peruano. Todos los prestadores de servicios de certificación para el Estado Peruano siguen las políticas y estándares propuestos por la Entidad de Certificación Nacional para el Estado Peruano y aprobados por la Autoridad Administrativa Competente.

b) La Entidad de Certificación Nacional para el Estado Peruano cuenta con una estructura funcional y jurídica estable y permanente dentro de la entidad que ejerce dicho rol, no cambiante en el tiempo, sólo variable en la cantidad de prestadores de servicios de certificación para el Estado Peruano que pueda tenerse bajo la Estructura Jerárquica de Certificación del Estado Peruano.

(…)

e) La Entidad de Certificación Nacional para el Estado Peruano participa como miembro con voz y voto en las comisiones, grupos de trabajo y/o órganos colegiados responsables de la gestión de la Infraestructura Oficial de la Firma Electrónica.

(…)

Artículo 57.- Funciones

La Autoridad Administrativa Competente tiene las siguientes funciones:

(…)

h) Publicar por medios telemáticos y sin restricción de acceso:

1. La relación de Prestadores de Servicios de Certificación Digital y su estado.

2. Sus procedimientos de gestión, organización y operación.

3. Los nombres de los integrantes que conforman o conformaron su estructura organizacional, técnica y operacional.

4. Todos sus documentos con carácter decisorio, así como aquellos de carácter resolutivo y administrativo (Resoluciones, ordenanzas o documentos similares).

5. Balance de gestión anual e indicadores.

i) Adoptar y aprobar el empleo de estándares técnicos internacionales dentro de la Infraestructura Oficial de Firma Electrónica, así como de otros estándares técnicos determinando su compatibilidad con los estándares internacionales; cooperar, dentro de su competencia, en la unificación de los sistemas que se manejan en los organismos de la Administración Pública, tendiendo puentes entre todos sus niveles; y, en la obtención de la interoperabilidad del mayor número de aplicaciones, componentes e infraestructuras de firmas digitales (análogos a la Infraestructura Oficial de Firma Electrónica en otros países).

(…)

Artículo 60º.- Acreditación de Entidades de Registro o Verificación

Las entidades que soliciten su acreditación y registro ante la Autoridad Administrativa Competente, como Entidades de Registro o Verificación, incluyendo las Entidades de Registro o Verificación para el Estado Peruano, deben contar con los requerimientos establecidos por la Autoridad Administrativa Competente para la prestación de sus servicios, los que tendrán que asegurar la verificación de la identidad del solicitante de un nuevo certificado digital conforme a lo establecido en el literal a) del artículo 29 del presente Reglamento.

(…)

“Octava. Plazo de Implementación de la Entidad de Certificación Nacional para el Estado Peruano, Entidad de Certificación para el Estado Peruano y Entidad de Registro o Verificación para el Estado Peruano

La Presidencia del Consejo de Ministros puede prestar sus servicios como Entidad de Certificación Nacional para el Estado Peruano (ECERNEP) sin encontrarse acreditada como tal ante la AAC, hasta el 31 de diciembre del 2022. En dicho periodo la Presidencia del Consejo de Ministros concluye su proceso de acreditación ante la AAC.

El Registro Nacional de Identificación y Estado Civil (RENIEC) tendrá un plazo hasta el 31 de julio del 2012 para iniciar los procedimientos de acreditación respectivos ante el INDECOPI. Este último contará con un plazo máximo de 120 días hábiles para culminarlos, sin perjuicio de lo dispuesto en el artículo 67 del presente Reglamento.

Autorícese al Registro Nacional de Identificación y Estado Civil (RENIEC), en su condición de Entidad de Certificación para el Estado Peruano y Entidad de Registro o Verificación para el Estado Peruano, emitir firmas y certificados digitales en tanto no esté acreditada ante la Autoridad Administrativa Competente (INDECOPI), reconociéndose a los documentos electrónicos soportados en dichos certificados digitales las presunciones legales establecidas en el artículo 8, así como, los efectos jurídicos que corresponde para los fines de los artículos 4 y 43 del presente reglamento.

A tal efecto las entidades de la Administración Pública que hagan uso de la firma digital, y de ser el caso, los Colegios de Notarios del Perú y/o la Junta de Decanos de los Colegios de Notarios del Perú, que así lo soliciten, deberán suscribir Convenios con el Registro Nacional de Identificación y Estado Civil (RENIEC), a fin de llevar un registro de los titulares y/o suscriptores de certificados digitales, así como, de los Certificados Digitales emitidos bajo esta Disposición Complementaria Final.

(…)

Décima Cuarta. Glosario de términos

(…)

Autoridad Administrativa Competente. Es el organismo público responsable de acreditar a las Entidades de Certificación, a las Entidades de Registro o Verificación y a los Prestadores de Servicios de Valor Añadido, públicos y privados, de reconocer los estándares tecnológicos aplicables en la Infraestructura Oficial de Firma Electrónica, de supervisar dicha Infraestructura, y las otras funciones señaladas en el presente Reglamento o aquellas que requiera en el transcurso de sus operaciones.

(…)”.

Tercera. Modificación de los artículos 3, 4 y 9 del Decreto Supremo nº 033-2018-PCM, Decreto Supremo que crea la Plataforma Digital Única del Estado Peruano y establecen disposiciones adicionales para el desarrollo del Gobierno Digital

Modifícanse el artículo 3, 4 y 9 del Decreto Supremo nº 033-2018-PCM, Decreto Supremo que crea la Plataforma Digital Única del Estado Peruano y establecen disposiciones adicionales para el desarrollo del Gobierno Digital, en los siguientes términos:

“Artículo 3.- Alcance

El presente Decreto Supremo es de alcance obligatorio a todas las entidades de la Administración Pública comprendidas en el artículo I del Título Preliminar del Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo nº 004-2019-JUS.

(…)

Artículo 4.- Incorporación progresiva a la Plataforma GOB.PE

Las entidades comprendidas en el alcance del presente Decreto Supremo realizan las acciones necesarias para la incorporación progresiva de sus canales digitales a la Plataforma GOB.PE y las incluyen en sus instrumentos de gestión institucional. Para tal efecto, la Presidencia del Consejo de Ministros a través de la Secretaría de Gobierno Digital emite las disposiciones y plazos correspondientes.

El funcionario del Área de Comunicación o Imagen de la entidad o quien haga sus veces es el responsable del proceso de migración de los canales digitales a la Plataforma GOB.PE, reporta sus avances al Comité de Gobierno Digital de la entidad. Asimismo, el Líder de Gobierno Digital impulsa el referido proceso de migración gestionando la asignación de recursos para su implementación.

(…)

Artículo 9.- Líder de Gobierno Digital

Créase el rol del Líder de Gobierno Digital en cada una de las entidades de la Administración Pública comprendidas en el alcance del presente Decreto Supremo, quien es un funcionario o asesor de la Alta Dirección o director de un órgano de línea de la entidad. Es designado mediante acto resolutivo del titular de la entidad.

El Líder de Gobierno Digital comunica al Líder Nacional de Gobierno Digital los objetivos, acciones y medidas para la transformación digital y despliegue del Gobierno Digital establecidas en su entidad, así como el estado de la implementación de las iniciativas y proyectos priorizados por el Comité de Gobierno Digital, los avances del proceso de migración de los canales digitales a la Plataforma GOB.PE y la aplicación de lo dispuesto en el presente Decreto Supremo.

(…)”.

Cuarta. Modificación del artículo 2 del Decreto Supremo nº 051-2018-PCM, Decreto Supremo que crea el Portal de Software Público Peruano y establece disposiciones adicionales sobre el Software Público Peruano

Modifícase el artículo 2 del Decreto Supremo nº 051-2018-PCM, Decreto Supremo que crea el Portal de Software Público Peruano y establece disposiciones adicionales sobre el Software Público Peruano, en los siguientes términos:

“Artículo 2.- Alcance

El presente Decreto Supremo es de alcance obligatorio a todas las entidades de la Administración Pública comprendidas en el artículo I del Título Preliminar del Texto Único Ordenado de la Ley nº 27444, Ley del Procedimiento Administrativo General, aprobado mediante Decreto Supremo nº 004-2019-JUS.

(…)”.

Quinta. Modificación del artículo 3 del Decreto Supremo nº 118-2018-PCM, Decreto Supremo que declara de interés nacional el desarrollo del Gobierno Digital, la innovación y la economía digital con enfoque territorial

Modifícase el artículo 3 del Decreto Supremo nº 118-2018-PCM, Decreto Supremo que declara de interés nacional el desarrollo del Gobierno Digital, la innovación y la economía digital con enfoque territorial, en los siguientes términos:

“Artículo 3.- Integrantes del Comité de Alto Nivel

3.1. El Comité de Alto Nivel estará integrado por:

a) El/a titular de la Presidencia del Consejo de Ministros o su representante, quien la preside.

b) El/a Secretario/a de Gobierno Digital, quien cumple el rol de Secretaría Técnica.

c) Un representante del Despacho Presidencial.

d) El/a titular del Ministerio de Economía y Finanzas o su representante.

e) El/a titular del Ministerio de Educación o su representante.

f) El/a titular del Ministerio de la Producción o su representante.

g) El/a titular del Ministerio de Transportes y Comunicaciones o su representante.

h) El/a titular del Ministerio de Relaciones Exteriores o su representante.

i) El/a titular del Ministerio de Comercio Exterior y Turismo.

j) El/a titular del Ministerio de Defensa.

k) Un/a representante de los Gobiernos Regionales.

l) Un/a representante de los Gobiernos Locales.

m) Un/a representante de la sociedad civil.

n) Un/a representante del sector privado.

o) Un/a representante de la academia.

3.2. Los miembros del Comité de Alto Nivel solo podrán delegar su participación a un miembro de la Alta Dirección de la entidad.

3.3. El Presidente del Comité podrá invitar a participar en sus sesiones a titulares de otras entidades públicas o privadas cada vez que en éstas se traten objetivos que tengan relación con su competencia.

3.4 El Comité promoverá políticas, iniciativas y programas para el desarrollo de la innovación, la competitividad, la transformación digital de procesos y servicios públicos, las competencias digitales, la inclusión digital y el desarrollo de aplicaciones para la economía digital.

3.5. La participación de los integrantes del Comité de Alto Nivel es ad honorem.

3.6 La Secretaría Técnica es responsable de proponer los lineamientos para el funcionamiento del Comité de Alto Nivel, conformación de equipos técnicos y otras iniciativas para el logro de sus objetivos.

(…)”.

Sexta. Modificación del artículo 6 del Decreto Supremo nº 093-2019-PCM, Decreto Supremo que aprueba el Reglamento de la Ley nº 30254, Ley de Promoción para el uso seguro y responsable de las Tecnologías de la Información y Comunicaciones por Niños, Niñas y Adolescentes

Modifícase el artículo 6 del Decreto Supremo nº 093-2019-PCM, Decreto Supremo que aprueba el Reglamento de la Ley nº 30254, Ley de Promoción para el uso seguro y responsable de las Tecnologías de la Información y Comunicaciones por Niños, Niñas y Adolescentes, en los siguientes términos:

“Artículo 6.- Miembros de la Comisión Especial

6.1 La Comisión Especial está conformada por:

a) Un/a representante de la Presidencia del Consejo de Ministros, quien la preside.

b) Un/a representante de la alta dirección del Ministerio de Educación.

c) Un/a representante de la alta dirección del Ministerio del Interior.

d) Un/a representante de la alta dirección del Ministerio de la Mujer y Poblaciones Vulnerables.

e) Un/a representante de la alta dirección del Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL).

f) Un/a representante del sector privado.

g) Un/a representante de la sociedad civil.

6.2 Las entidades que conforman la Comisión Especial cuentan con un/a representante titular y un/a alterno, quienes forman parte de la alta dirección y son designados por el Titular de la entidad o máxima autoridad, según corresponda.

6.3. Las entidades públicas designan a sus representantes para la Comisión Especial en el plazo de cinco (05) días hábiles de publicado el presente Reglamento. Dicha designación es comunicada a la Presidencia del Consejo de Ministros.

6.4. Los representantes del sector privado y de la sociedad civil son propuestos por los miembros de la Comisión Especial y designados mediante Resolución Ministerial de la Presidencia del Consejo de Ministros.

6.5. El ejercicio de las funciones de los miembros de la Comisión Especial, así como de sus miembros alternos, es ad honórem.

6.6. La Comisión Especial puede invitar a participar en las acciones que desarrolle a otras entidades públicas, privadas o de la sociedad civil, así como a profesionales especializados con la finalidad de solicitar la colaboración de los mismos en temas que sean materia de sus competencias o funciones. Asimismo, la Presidencia del Consejo de Ministros puede invitar a representantes de los gobiernos regionales y gobiernos locales en las sesiones de la Comisión Especial.

6.7. La Comisión Especial propondrá su Reglamento Interno en un plazo de treinta (30) días calendario contados desde su instalación, para su aprobación mediante Resolución Ministerial.

(…)”.

DISPOSICIÓN COMPLEMENTARIA DEROGATORIA

ÚNICA. Derogación

Deróguese el Decreto Supremo nº 065-2015-PCM, que crea la Comisión Multisectorial Permanente encargada del seguimiento y evaluación del “Plan de Desarrollo de la Sociedad de la Información en el Perú – La Agenda Digital Peruana 2.0” (CODESI), y el Decreto Supremo nº 066-2011-PCM, que aprueba el Plan de Desarrollo de la Sociedad de la Información en el Perú – La Agenda Digital Peruana 2.0.

ANEXO.- GLOSARIO DE TÉRMINOS

a) Alfabetización digital. Es el proceso de adquisición de competencias esenciales para interactuar en entornos digitales permanentemente; necesario para estudiar, trabajar, desenvolverse en la vida diaria, que permite ejercer la ciudadanía de manera plena y aprovechar las oportunidades que brinda el entorno.

b) Algoritmo de resumen hash. Es aquel algoritmo que implementa una función hash. Recibe como entrada un dato de tamaño variable y genera como salida un dato de longitud fija.

c) Carpeta personal. Es un espacio lógico que permite el alojamiento de documentos personales en formato digital.

d) Ciencia de datos. Comprende el proceso de descubrimiento de correlaciones entre variables a una escala (incluyendo volumen, velocidad y variedad) que va más allá de la cognición humana y de otros paradigmas analíticos.

e) Ciudadanía digital. Es el ejercicio de los deberes y derechos de un ciudadano o persona en general en un entorno digital seguro

f) Datos abiertos. Son aquellos datos producidos por las entidades públicas que se encuentran disponibles en la web (en formatos estandarizados y abiertos) para que cualquier persona pueda acceder a ellos, reutilizarlos, combinarlos y redistribuirlos para crear nuevos servicios, visualizaciones o realizar investigaciones a partir de ellos.

g) Datos espaciales. Son aquellos datos que describen la geometría, la localización o las relaciones topológicas de los objetos geográficos. Son sinónimos: dato geoespacial, dato geográfico o dato georreferenciado.

h) Datos estadísticos. Son los valores que se obtienen al llevar a cabo un estudio de tipo estadístico en base a registros administrativos, censos o encuestas en materia socioeconómica, demográfica u otra de especial interés para la producción estadística.

i) Datos estadísticos oficiales. Son los datos estadísticos producidos por el Sistema Nacional de Estadística.

j) Descriptores archivísticos. Son elementos necesarios para la búsqueda, control y acceso de documentos archivísticos.

k) Digital. Se refiere a todo aquello que es procesable por medio de un dispositivo digital. Es caracterizado por el uso de codificación binaria.

l) Electrónico. Se refiere a todo aquello que es procesable por medio de un dispositivo electrónico. Es caracterizado por el uso de codificación analógica o binaria.

m) Factor de autenticación. Es una categoría de credenciales de autenticación. Cada categoría es un factor de autenticación. Los factores de autenticación más conocidos son tres: algo que sabes, algo que tienes y algo que eres.

n) Formato electrónico. Documento electrónico estructurado producido y procesable por sistemas de información.

o) Fecha y hora cierta. Fecha y hora consignada y firmada digitalmente por un Prestador de Servicios de Valor Añadido, en la modalidad de Sistema de Sellado de Tiempo.

p) Identidad digital. Conjunto de atributos que individualiza y permite identificar a una persona en entornos digitales.

q) Inteligencia artificial. Se refiere a los sistemas que presentan comportamiento inteligente, que en base al análisis de su entorno toman decisiones, con algún grado de autonomía, para lograr metas específicas.

r) Metadato. Son datos estructurados que describen otros datos. Los metadatos proporcionan la semántica necesaria para entender un dato al definirlo, contextualizarlo y describir sus características y sus relaciones, sus referencias de uso, sus formas de representación e incluso, sus valores permitidos, con la finalidad de garantizar su disponibilidad, accesibilidad, conservación e interoperabilidad con otros sistemas.

s) Prototipado. Actividad de la etapa de diseño y construcción del ciclo de vida de los servicios digitales, en la cual se construyen prototipos de una solución con la finalidad de evaluar su viabilidad.

t) Proyectos de Tecnologías Digitales de carácter transversal. Son aquellos proyectos que tienen como resultado plataformas, soluciones o servicios digitales de uso común por dos o más entidades públicas para soportar procedimientos administrativos, procesos de gestión interna, servicios públicos de cara al ciudadano o cualquier otra intervención pública que genere beneficios para la sociedad. Dichos proyectos tienen como mínimo las siguientes características:

a) Atienden un objetivo estratégico nacional o política de Estado,

b) Se integran con uno o más bloques básicos de interoperabilidad técnica,

c) Tienen un alcance interinstitucional o multisectorial, y,

d) Usan intensivamente las tecnologías digitales o datos.

Esta definición no incluye a los proyectos de carácter institucional, los cuales se encuentran vinculados con los procesos de una entidad en el ejercicio de sus funciones y competencias. Entiéndase como proyecto de carácter institucional al esfuerzo planificado, temporal y único, realizado para crear productos o servicios únicos que agreguen valor, mejoren u optimicen las condiciones de operación o mantenimiento de una institución, que provoquen un cambio beneficioso en ella y/o en sus administrados, y que requiere la participación de representantes de uno o más unidades de organización, pudiendo contar con la colaboración de los servicios que presten otras entidades públicas, así como utilizar las tecnologías disponibles en estas.

u) Registros distribuidos. Son un tipo de registro que es compartido, replicado y sincronizado (de manera descentralizada y distribuida) entre y por los nodos de una red.

v) Resumen hash. Es el valor producido por un algoritmo de resumen hash.

w) Servicio de información. Mecanismo de provisión de información pública que las entidades del Estado gestionan en sus sistemas de información y que se suministran entre sí a través de la PIDE.

x) Tecnología de registros distribuidos. Tecnología que permite que los nodos de una red propongan, validen y registren de forma segura cambios de estado (o actualizaciones) en un registro distribuido.

19Oct/20

Projeto de Lei nº , de 2020, institui a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet.

Brasil, Proyecto de Ley, , , , ,

Projeto de Lei nº , de 2020.

(Do Sr. Alessandro Vieira )

Institui a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet.

O CONGRESSO NACIONAL decreta:

CAPÍTULO I.- DISPOSIÇÕES PRELIMINARES

Artigo 1º

Esta lei estabelece normas, diretrizes e mecanismos de transparência de redes sociais e de serviços de mensageria privada através da internet, para desestimular o seu abuso ou manipulação com potencial de dar causa a danos individuais ou coletivos (Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet).

§1º Esta Lei não se aplica a provedor de aplicação que oferte serviço de rede social ao público brasileiro com menos de dois milhões de usuários registrados, para o qual as disposições desta Lei servirão de parâmetro para aplicação de programa de boas práticas, buscando utilizar medidas adequadas e proporcionais no combate à desinformação e na transparência sobre conteúdos pagos.

§2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

§3º Esta Lei se aplica, inclusive, ao provedor de aplicação sediado no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

Artigo 2º

O disposto nesta Lei deve considerar os princípios e garantias previstos nas Leis nº 12.965, de 23 de abril de 2014 -Marco Civil da Internet, e nº 13.709, de 14 de agosto de 2018 -Lei Geral de Proteção de Dados Pessoais.

Artigo 3º

A Lei Brasileira de Liberdade, Responsabilidade e Transparência Digital na Internet tem como objetivos:

I – o fortalecimento do processo democrático por meio do combate à desinformação e do fomento à diversidade de informações na internet no Brasil;

II – a busca por maior transparência sobre conteúdos pagos disponibilizados para o usuário;

III – desencorajar o uso de contas inautênticas para disseminar desinformação nas aplicações de internet.

Artigo 4º

Para os efeitos desta Lei, considera-se:

I – provedor de aplicação: pessoa física ou jurídica responsável por aplicações de internet, definidas nos termos do Artigo 5º, VII da Lei nº 12.965, de 2014;

II – desinformação: conteúdo, em parte ou no todo, inequivocamente falso ou enganoso, passível de verificação, colocado fora de contexto, manipulado ou forjado, com potencial de causar danos individuais ou coletivos, ressalvado o ânimo humorístico ou de paródia.

III – conta: qualquer acesso à aplicação de internet concedido a indivíduos ou grupos e que permita a publicação de conteúdo;

IV – conta inautêntica: conta criada ou usada com o propósito de disseminar desinformação ou assumir identidade de terceira pessoa para enganar o público;

V – disseminadores artificiais: qualquer programa de computador ou tecnologia empregada para simular, substituir ou facilitar atividades de humanos na disseminação de conteúdo em aplicações de internet;

VI – rede de disseminação artificial: conjunto de disseminadores artificiais cuja atividade é coordenada e articulada por pessoa ou grupo de pessoas, conta individual, governo ou empresa com fim de impactar de forma artificial a distribuição de conteúdo com o objetivo de obter ganhos financeiros e ou políticos;

VII – conteúdo: dados ou informações, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento em sentido amplo, contidos em qualquer meio, suporte ou formato, compartilhados em uma aplicação de internet, independentemente da forma de distribuição, publicação ou transmissão utilizada pela internet;

VIII – conteúdo patrocinado: qualquer conteúdo criado, postado, compartilhado ou oferecido como comentário por indivíduos em troca de pagamento pecuniário ou valor estimável em dinheiro;

IX – verificadores de fatos independentes: pessoa jurídica que realiza uma verificação criteriosa de fatos de acordo com os parâmetros e princípios desta Lei;

X – rede social: aplicação de internet que realiza a conexão entre si de usuários permitindo a comunicação, o compartilhamento e a disseminação de conteúdo em um mesmo sistema de informação, através de contas conectadas ou acessíveis entre si de forma articulada.

XI – serviço de mensageria privada: provedores de aplicação que prestam serviços de mensagens instantâneas por meio de comunicação interpessoal, acessíveis a partir de terminais móveis com alta capacidade de processamento ou de outros equipamentos digitais conectados à rede, destinados, principalmente, à comunicação privada entre seus usuários, inclusive os criptografados.

CAPÍTULO II.- DA RESPONSABILIDADE DOS PROVEDORES DE APLICAÇÃO NO COMBATE À DESINFORMAÇÃO E AUMENTO DA TRANSPARÊNCIA NA INTERNET

Seção I.- Disposições Gerais

Artigo 5º

São vedados, nas aplicações de internet de que trata esta Lei:

I – contas inautênticas;

II – disseminadores artificiais não rotulados, entendidos como aqueles cujo uso não é comunicado ao provedor de aplicação e ao usuário bem como aqueles utilizados para disseminação de desinformação;

III – redes de disseminação artificial que disseminem desinformação;

IV – conteúdos patrocinados não rotulados, entendidos como aqueles conteúdos patrocinados cuja comunicação não é realizada ao provedor e tampouco informada ao usuário.

§1º As vedações do caput não implicarão restrição ao livre desenvolvimento da personalidade individual, à manifestação artística, intelectual, de conteúdo satírico, religioso, ficcional, literário ou qualquer outra forma de manifestação cultural, nos termos dos arts. 5º , IX e 220 da Constituição Federal.

§2º Os rótulos de que trata esse artigo devem ser identificados de maneira evidente aos usuários e mantidos inclusive quando o conteúdo ou mensagem for compartilhado, encaminhado ou repassado de qualquer maneira.

§3º Dada a natureza complexa e em rápida mudança do comportamento inautêntico, os provedores de aplicação devem desenvolver procedimentos para melhorar as proteções da sociedade contra comportamentos ilícitos, incluindo a proteção contra o uso de imagens manipuladas para imitar a realidade, observado o disposto no §1º deste artigo.

Seção II.- Dever de Transparência dos Provedores de Aplicação

Artigo 6º

Os provedores de aplicação de que trata esta Lei devem tornar público em seus sítios eletrônicos, em português, dados atualizados contendo:

I – número total de postagens e de contas destacadas, removidas ou suspensas, contendo a devida motivação, localização e metodologia utilizada na detecção da irregularidade;

II – número total de disseminadores artificiais, redes de disseminação artificial e conteúdos patrocinados destacados, removidos ou suspensos, contendo a devida motivação, localização e processo de análise e metodologia de detecção da irregularidade;

III – número total de rotulação de conteúdo, remoções ou suspensões que foram revertidas pela plataforma;

IV – comparação, com métricas históricas, de remoção de contas e de conteúdos no Brasil e em outros países.

§1º Em relação aos perfis removidos, as plataformas devem fornecer de forma desagregada os dados categorizados por gênero, idade e origem dos perfis.

§2º Os dados e os relatórios publicados devem ser disponibilizados com padrões tecnológicos abertos que permitam a comunicação, a acessibilidade e a interoperabilidade entre aplicações e bases de dados.

§3º Os dados sobre as providências adotadas devem ser atualizados, no mínimo, semanalmente.

Artigo 7º

Os relatórios deverão conter, no mínimo e para além do disposto no Artigo 6º, os seguintes dados:

I – número de com contas registrada em solo brasileiro na plataforma e número de usuários brasileiros ativos no período analisado;

II – número de contas inautênticas removidas da rede, com classificação do comportamento inautêntico, incluindo a porcentagem de quantas estavam ativas;

III – número de disseminadores artificiais, conteúdos, conteúdos patrocinados não registrados no provedor de aplicações que foram removidos da rede ou tiveram o alcance reduzido, com classificação do tipo de comportamento inautêntico e número de visualizações;

IV – número de reclamações recebidas sobre comportamento ilegal e inautêntico e verificações emitidas no período do relatório, indicando a origem e o motivo da reclamação;

V – tempo entre o recebimento das reclamações pelo provedor de aplicação e a resposta dada, discriminado de acordo com o prazo para resolução da demanda;

VI – dados relacionados a engajamentos ou interações com conteúdos que foram verificados como desinformação, incluindo, no mínimo:

a) número de visualizações;

b) número de compartilhamentos;

c) alcance;

d) número de denúncias;

e) informações sobre pedidos de remoção e alteração de conteúdos por pessoas físicas e jurídicas, incluindo aqueles advindos de entes governamentais;

f) outras métricas relevantes.

VII – estrutura dedicada ao combate à desinformação no Brasil, em comparação a outros países, contendo o número de pessoal diretamente empregado na análise de conteúdo bem como outros aspectos relevantes;

VIII – em relação a conteúdo patrocinado, quem pagou pelo conteúdo, qual o público alvo e quanto foi gasto, em uma plataforma de fácil acesso a usuários e pesquisadores.

§1º Os relatórios e dados disponibilizados devem apontar a relação entre disseminadores artificiais, contas e disseminação de conteúdos, de modo que seja possível a identificação de redes articuladas de disseminação de conteúdo.

§2º Os relatórios devem ser publicados a cada trimestre e, durante períodos eleitorais, semanalmente.

Artigo 8º

Resguardado o respeito à proteção de dados pessoais, as redes sociais devem atuar para facilitar o compartilhamento de dados com instituições de pesquisa para análises acadêmicas de desinformação.

Seção III.- Das Medidas contra a Desinformação

Artigo 9º

Aos provedores de aplicação de que trata esta Lei, cabe a tomada de medidas necessárias para proteger a sociedade contra a disseminação de desinformação por meio de seus serviços, informando-as conforme o disposto nos artigos 6º e 7º desta Lei.

Parágrafo único. As medidas estabelecidas no caput devem ser proporcionais, não discriminatórias e não implicarão em restrição ao livre desenvolvimento da personalidade individual, à manifestação artística, intelectual, de conteúdo satírico, religioso, ficcional, literário ou qualquer outra forma de manifestação cultural.

Artigo 10.

Consideram-se boas práticas para proteção da sociedade contra a desinformação:

I – o uso de verificações provenientes dos verificadores de fatos independentes com ênfase nos fatos;

II – desabilitar os recursos de transmissão do conteúdo desinformativo para mais de um usuário por vez, quando aplicável;

III – rotular o conteúdo desinformativo como tal;

IV – interromper imediatamente a promoção paga ou a promoção gratuita artificial do conteúdo, seja por mecanismo de recomendação ou outros mecanismos de ampliação de alcance do conteúdo na plataforma.

V – assegurar o envio da informação verificada a todos os usuários alcançados pelo conteúdo desde sua publicação.

Artigo 11.

Caso o conteúdo seja conside, os provedores de aplicação devem prestar esclarecimentos ao primeiro usuário a publicar tal conteúdo, bem como toda e qualquer pessoa que tenha compartilhado o conteúdo, acerca da medida tomada, mediante exposição dos motivos e detalhamento das fontes usadas na verificação.

Artigo 12.

Os provedores de aplicação devem fornecer um mecanismo acessível e em destaque, disponível por no mínimo três meses após a decisão, para que o usuário criador ou compartilhador do conteúdo, bem como o usuário autor de eventual denúncia possa recorrer da decisão.

§1º Deve ser facultada ao usuário a apresentação de informação adicional a ser considerada no momento da revisão.

§2º Caso a revisão seja considerada procedente pelo provedor de aplicação, este deve atuar para reverter os efeitos da decisão original.

Seção IV.- Dos Serviços de Mensageria Privada

Artigo 13.

Os provedores de aplicação que prestarem serviços de mensageria privada desenvolverão políticas de uso que limitem o número de encaminhamentos de uma mesma mensagem a no máximo 5 (cinco) usuários ou grupos, bem como o número máximo de membros de cada grupo de usuários para o máximo de 256 (duzentos e cinquenta e seis) membros.

§1º Em período de propaganda eleitoral, estabelecido pelo Artigo 36 da Lei 9.504 de 1997 e durante situações de emergência ou de calamidade pública, o número de encaminhamentos de uma mesma mensagem fica limitado a no máximo 1 (um) usuários ou grupos.

Artigo 14.

Sem prejuízo da garantia da privacidade, na abertura de contas em provedores de serviço de mensageria privada, o usuário deverá declarar ao provedor se a conta empregará disseminadores artificiais, ou ainda, após a abertura de contas, se o usuário passar a utilizar aplicativos ou serviços de intermediários de disseminação a administração de contas.

Parágrafo único. O provedor de aplicação de mensageria privada deverá excluir a conta de usuário que não declarar o uso de disseminadores artificiais caso o volume de movimentação e número de postagens seja incompatível com o uso humano.

Artigo 15.

O provedor de aplicação que prestar serviço de mensageria privada e que apresente funcionalidades de comunicação de massa, como listas de transmissão, conversa em grupo e assemelhados, deve requerer permissão do usuário em momento anterior à entrega das mensagens ou à inclusão em grupo.

§1º A autorização para recebimento de mensagem em massa será por padrão desabilitada.

§2º A permissão a que se refere o caput deste artigo é necessária somente na primeira vez em que o usuário remetente desejar enviar uma mensagem.

§3º Os serviços devem fornecer meios acessíveis e destacados para os usuários retirarem a permissão concedida previamente.

Artigo 16.

Os provedores de aplicação que prestarem serviços de mensageria privada devem utilizar todos os meios ao seu alcance para limitar a difusão e assinalar aos seus usuários a presença de conteúdo desinformativo, sem prejuízo da garantia à privacidade e do segredo de comunicações pessoais, incluindo a garantia do segredo do conteúdo em relação aos próprios provedores.

Artigo 17.

Os provedores de aplicação que prestarem serviços de mensageria privada devem observar as normas de transparência previstas nos arts. 6º e 7º desta Lei, na medida de suas capacidades técnicas.

Parágrafo único. A ausência de informações disponibilizadas, nos termos do caput, deve ser acompanhada por justificativa técnica adequada.

Artigo 18.

As mensagens eletrônicas patrocinadas enviadas por meio de serviço de mensageria privada deverão dispor de mecanismo que permita seu descadastramento pelo destinatário, obrigado o remetente a providenciá-lo no prazo de 48 (quarenta e oito) horas.

CAPÍTULO III.- DA TRANSPARÊNCIA EM RELAÇÃO A CONTEÚDOS PATROCINADOS

Artigo 19.

Com o propósito de garantir transparência, os provedores de aplicação devem fornecer a todos os usuários, por um meio em destaque e de fácil acesso, a visualização do histórico de todos os conteúdos patrocinados com os quais o usuário teve contato nos últimos seis meses.

Artigo 20.

Com o propósito de garantir transparência, os provedores de aplicação devem exigir que todos os conteúdos patrocinados incluam rotulação que:

I – identifique que se trata de conteúdo pago ou promovido;

II – identifique o pagador do conteúdo, incluindo intermediários e pagador original do serviço;

III – direcione o usuário para acessar informações sobre o pagador do conteúdo, seja pessoa física ou jurídica, bem como seus dados de contato;

IV – direcione o usuário para acessar informações de quais as fontes de informação e os critérios utilizados para definição de público-alvo do conteúdo patrocinado;

V – inclua dados sobre todos os conteúdos que o patrocinador realizou nos últimos doze meses, incluindo aqueles em execução no momento em que receber a propaganda.

Artigo 21.

Para além das regras e determinações desta Lei, propagandas políticas e eleitorais devem respeitar a legislação vigente, inclusive a Lei 9.504, de 30 de setembro de 1997.

Artigo 22.

Os provedores de aplicação devem requerer aos patrocinadores de conteúdos que confirmem sua identificação e localização, inclusive por meio da apresentação de documento de identidade válido.

Artigo 23.

As redes sociais devem tornar pública, em plataforma de acesso irrestrito e facilitado, dados sobre todos os conteúdos patrocinados ativos e inativos relacionados a temas sociais, eleitorais e políticos.

CAPÍTULO IV.- DA ATUAÇÃO DO PODER PÚBLICO

Artigo 24.

A aplicação de internet de pessoa jurídica do poder público deve:

I – disponibilizar mecanismo acessível e destacado para qualquer usuário reportar desinformação; e

II – utilizar as diretrizes de rotulação de conteúdos patrocinados promovidos pelo setor público.

Parágrafo único. As pessoas jurídicas a que se refere o caput deste artigo são aquelas definidas no Artigo 1º, da Lei nº 12.527, de 18 de novembro de 2011.

Artigo 25.

O cumprimento do dever constitucional do Estado na prestação da educação, em todos os níveis de ensino, inclui a capacitação, integrada a outras práticas educacionais, para o uso seguro, consciente e responsável da internet, incluindo campanhas para evitar a desinformação na internet e promover a transparência sobre conteúdos patrocinados.

Artigo 26.

O Estado deve incluir nos estudos de que trata o Artigo 28 da Lei nº 12.965, de de 2014, diagnósticos sobre a desinformação na internet e a transparência de conteúdo patrocinado na internet.

Artigo 27.

A União, os Estados, o Distrito Federal e os Municípios devem promover campanhas para servidores públicos sobre a importância do combate à desinformação e transparência de conteúdos patrocinados na internet.

CAPÍTULO V.- DAS SANÇÕES

Artigo 28.

Sem prejuízo das demais sanções civis, criminais ou administrativas, os provedores de aplicação ficam sujeitos às seguintes penalidades a serem aplicadas pelo Poder Judiciário, assegurados o devido processo legal, a ampla defesa e o contraditório:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa;

III – suspensão temporária das atividades;

IV – proibição de exercício das atividades no país.

§1º Para fixação e gradação da sanção, deverão ser observados:

I – a gravidade do fato, a partir da consideração dos motivos da infração e das consequências nas esferas individual e coletiva;

II – a reincidência na prática de infrações previstas nesta Lei;

III – a capacidade econômica do infrator, no caso de aplicação da sanção prevista no inciso II do caput.

§2º Para efeito do §1º, a cominação das sanções contidas nos incisos III e IV do caput está condicionada à prévia aplicação daquelas enunciadas pelos incisos I e II nos doze meses anteriores ao cometimento da infração.

CAPÍTULO VI.- DISPOSIÇÕES FINAIS

Artigo 29.

Os provedores de rede social e provedores de serviço de mensageria privada devem nomear mandatários judiciais no Brasil, aos quais serão dirigidos os atos processuais decorrentes da aplicação desta Lei, tornando essa informação facilmente disponível na plataforma digital.

Artigo 30.

A Lei nº 8.429, de 2 de junho de 1992, passa a vigorar com a seguinte alteração:

“Artigo 11.

———————

XI – disseminar ou concorrer para a disseminação de desinformação, por meio de contas inautênticas, disseminadores artificiais ou redes de disseminação artificial de desinformação.”

Artigo 31.

Esta Lei entra em vigor noventa dias após sua publicação.

29Ene/19

Internet ¿Arma o Herramienta?

Nuevas Tecnologías, Trabajos, , , , , , , , , , ,
internet_arma_o_herramienta_Ebook (2)Descargar

Download the PDF file .

14May/17

El derecho a Desconectarse: la Protección de la Privacidad del Empleado, frente al Patrono (Fuera del entorno laboral)

Protección de Datos, Trabajos, , ,

EL DERECHO A DESCONECTARSE: LA PROTECCIÓN DE LA PRIVACIDAD DEL EMPLEADO, FRENTE AL PATRONO (FUERA DEL ENTORNO LABORAL)

Vivian E. Díaz-Cáceres

Rayda L. Albizu Ortiz

Cedric P. Sasso Borges**

 

11 de mayo de 2017

I. Introducción

Las comunicaciones a nivel global han revolucionado de manera exponencial al mundo laboral en nuestros tiempos, creando nuevas incógnitas sobre privacidad y la intimidad del empleado.[1] Los dispositivos digitales, las cámaras, el teléfono móvil, los ordenadores electrónicos y los correos electrónicos, entre otros, han abierto una puerta de acceso directo al tiempo personal del empleado.[2] Las empresas se mantienen a la vanguardia de la tecnología moldeando sus procesos para mantener su competitividad en el mercado, los cambios implican evolución constante de sus procesos, gestiones y métodos de producción. Al mismo tiempo, el empleado se confronta con la nueva tecnología, donde tendrá que adiestrarse y adaptarse a las nuevas prácticas, si no desea perder su empleo. Esto conlleva muchas veces a que la empresa exija, directa o indirectamente, que el empleado sacrifique su tiempo íntimo y privado para cumplir con las expectativas de la empresa. Por tanto, la empresa ha tenido que invertir en obtener una línea directa para el rastreo del individuo y el control tácito sobre el tiempo de privacidad e intimidad del individuo.[3]

La utilización de recursos como el internet, el correo electrónico y los teléfonos móviles fuera del ámbito laboral, han creado lo que parece ser un problema de legalidad sobre el uso de los mismos para fines empresariales y sobre las medidas de control y revisión de los recursos fuera de horas laborales.[4] Los avances tecnológicos, y el fácil acceso le han provisto al empleador una expectativa de que el empleado está disponible al momento de ser contactado, aun cuando éste se encuentre fuera de su horario laboral. ¿Hasta dónde llega el derecho del patrono? ¿Qué derecho tiene el empleado al pleno disfrute de su intimidad y su privacidad en su tiempo libre?

A base de una serie de interrogantes sobre el Derecho Laboral, la protección a la intimidad y la privacidad del empleado, Francia se dio a la tarea de crear una ley que proteja el “Derecho a la Desconexión” de éste fuera de su horario laboral.[5] Francia es el primer país en tomar medidas sobre el asunto. De manera vanguardista han instituido un Derecho a la Desconexión, estableciendo que una vez el empleado termina con sus deberes laborales tiene derecho a apagar sus equipos electrónicos y a desconectarse del trabajo y desenvolverse en su vida personal y privada. Es una ley reciente, vigente desde enero de 2017, que se encuentra bajo el foco de otros países europeos, que estudian la posibilidad de la aplicación del Derecho de Desconexión para proveerle un tipo de protección similar a sus ciudadanos.[6] Las nuevas tecnologías aturden a los seres humanos bajo una burbuja que ha permitido el control de la tecnología sobre los seres humanos.[7]

En la actualidad, este es un tema novel en el hemisferio occidental, aunque ha sido tema de discusión ante estudiosos y letrados del derecho. En Puerto Rico, el Derecho a la Desconexión no ha alcanzado un interés legislativo de envergadura que lleve a la posible intención de adoptar una medida vanguardista como lo es la Ley de Francia. El análisis para la posible adopción del Derecho a la Desconexión en Puerto Rico, surge de lo ya establecido en el derecho federal estadounidense y del derecho civilista puertorriqueño. La adopción del Derecho a la Desconexión conllevaría una reforma de los hábitos corporativos de Puerto Rico. Es una ley que de igual manera tendría que ser adaptada a las cláusulas contractuales entre patrono y empleado.[8] Representaría un cambio en el ámbito laboral y de igual manera, podría trastocar otras áreas del derecho, tales como el derecho a la privacidad y el derecho a la intimidad, ambas cobijadas bajo la Constitución de lo Estados Unidos[9] y la Constitución del Estado Libre Asociado de Puerto Rico.[10]

II. Estados Unidos, Derecho Federal y el Derecho a la Desconexión

El Derecho a la Desconexión va ligado a dos derechos constitucionales fundamentales: derecho a la privacidad y el derecho a la intimidad.  Estos conceptos son muy importantes y elusivos en nuestra época. En el campo laboral son dos derechos inviolables, de la única manera que un patrono pudiese violentar el derecho a la intimidad es para proteger el interés público apremiante, lo cual es una excepción a la regla general.[11] Estudiosos, activistas y políticos, han intentado obtener una definición concreta de privacidad, y han concluido que es virtualmente imposible proveer solo una definición de privacidad ya que trae consigo diferencias culturales y aborda sobre los históricos cambios que ha sufrido a través de la historia.[12]

En los Estados Unidos el derecho a la privacidad y el derecho a la intimidad son derechos que no nacen expresamente de la Constitución, sino que nacen implícitamente de algunas de las enmiendas.[13] Al no nacer expresamente, de la letra de la Constitución se ha prestado para interpretación y establecer mayores protecciones por medio de jurisprudencia[14] y leyes.[15] El Congreso de los Estados Unidos ha creado, en el campo del derecho laboral, leyes dirigidas a la protección de la relación patrono-empleado, las cuales incluyen la protección de la privacidad e intimidad.[16]

La historia ha demostrado que la tecnología va siempre un paso adelante de la ley, por lo que los estudiosos han creado teorías que critican las nuevas tendencias que invaden la privacidad y la intimidad en el campo laboral. Con el pasar del tiempo, el Congreso de Estados Unidos ha adoptado algunas de las medidas establecidas por los estudiosos, tratadistas y eruditos sobre el tema, convirtiendo las mismas en leyes, por ejemplo, el Ley del Trabajo Justo (Fair Labor Act), 29 U.S.C. 201, en la que se establece que los empleadores tienen el derecho a establecer las políticas y procedimientos de la empresa. Al momento de litigar un caso, estos manuales o libros son trascendentales. Muchas veces las compañías fallan en la actualización de sus políticas y procedimientos, lo que implica problemas mayores, al momento de la litigación.[17] La revisión de las políticas y procedimientos de la empresa debe de ser una práctica continua y regular en específico los departamentos de operaciones y recursos humanos.[18]

Se entiende que un empleado no goza de una expectativa amplia a la intimidad cuando la información es obtenida de las redes de comunicación social como lo es Facebook, MySpace, entre otros.[19] Sí, el patrono utiliza la información obtenida de las redes sociales, de manera discriminatoria, entonces sería ilegal debido a que viola las garantías constitucionales de intimidad y libertad de expresión.[20]

III. Puerto Rico, Derecho Civil y el Derecho a la Desconexión

En la actualidad, no existe en Puerto Rico tal cosa como el Derecho a la desconexión. No se ha establecido, de manera exacta, los parámetros que permitan al empleado desconectarse de su patrono fuera del entorno laboral. Por eso, examinaremos lo establecido en la Ley de Transformación y Flexibilidad Laboral,[21] la Ley de Relaciones de Trabajo en Puerto Rico,[22] la Ley para establecer la Jornada de Trabajo en Puerto Rico[23] y el Reglamento Núm. 13 del Departamento de Trabajo y Recursos Humanos[24] a modo de demostrar la cabida, si alguna, de este nuevo derecho reconocido en Francia. Veamos.

Por un lado, la Ley de Relaciones de Trabajo en Puerto Rico,[25] fue creada con el propósito de promover la contratación colectiva y crear la Junta de Relaciones del Trabajo de Puerto Rico para establecer los derechos de empleados y patronos, implantar prácticas y procedimientos para las relaciones laborales. En esta se reconoce, para los efectos y propósito laborales, los derechos de un empleado.[26]  Los mismos están cimentados en las buenas relaciones y las mejores condiciones de trabajo para cada individuo. Lo que significa que podríamos vislumbrar la acogida para la desconexión laboral.

A su vez, la Ley para establecer la Jornada de Trabajo en Puerto Rico,[27] fue motivada por el principio de limitar la jornada de trabajo de los puertorriqueños y proteger la salud, seguridad y vida privada del empleado. La misma expresa que “las jornadas excesivas de labor producen fatiga, aumentan la frecuencia de los accidentes del trabajo y quebrantan el vigor del organismo, exponiéndole a dolencias y enfermedades. Además, privan al trabajador del tiempo necesario para el solaz y cultivo de su espíritu y sus relaciones sociales y ciudadanas.” Con esta ley se comenzó, a reconocer que los empleados requieren un tiempo de descanso luego de su jornada de trabajo y limitó la jornada legal de trabajo a un máximo de ocho horas por día y 40 horas por semana.[28] Se estableció, además, que las horas trabajadas en exceso[29] de la jornada legal serán pagadas al doble del salario estipulado para las horas regulares.[30] Por lo que, podemos observar un reconocimiento a los derechos del trabajador a conocer cuál es su jornada de trabajo semanal, tiempo para dedicar al trabajo y tiempo de descanso.

No obstante, es meritorio reseñar las disposiciones referentes al empleado exento, no exento y al contratista independiente.  De manera, que podamos dilucidar el papel que juega cada uno respecto a la cabida, si alguna, del derecho a la desconexión. A continuación, echaremos un vistazo a legislación federal en la que está basada nuestra legislación estatal.

El Fair Labor Standard Act[31] (FSLA, por sus siglas en inglés) es la ley federal que establece y hace cumplir medidas sobre salario, pago de sobre tiempo, es decir, trabajo en tiempo de descanso e indica lo que es un empleado exento y no exento. Según dispone, la FLSA un empleado no exento tiene derecho al pago acordado por cada hora estipulada en su jornada laboral[32] y se requiere el pago por horas extra trabajadas después de las 40 horas semanales.[33] Además, el empleado exento es aquel que se considera como ejecutivo, administrativo o profesional con exenciones en cuanto al salario mínimo y pago de horas de trabajo extra.[34]

Ahora, examinemos lo expresado en el ordenamiento jurídico estatal, es decir de Puerto Rico. El Tribunal Supremo de Puerto Rico  indicó que:

La Ley Núm. 379, supra, excluyó de sus disposiciones a los ejecutivos, administradores y profesionales, lo que implica que la ley no les cobija; es inaplicable a éstos. El legislador delegó en la extinta Junta de Salario Mínimo de Puerto Rico la labor de definir quiénes son estos empleados. Mediante la aprobación del Reglamento Núm. 13, la referida Junta definió dichos términos. Se trata de los denominados empleados exentos.Es a dicho, Reglamento al que debemos acudir para determinar si un empleado clasificado por su patrono como “ejecutivo” lo es, verdaderamente. De llenar los requisitos que establece el Reglamento, dicho empleado sería uno exento, carente de derecho a jornadas máximas de labor, a paga por horas extras y al disfrute del periodo de tomar alimentos[35].

 

Así pues, el Reglamento Núm. 13 del Departamento de Trabajo y Recursos Humanos, fundado por lo dispuesto en FLSA, se estableció, con el propósito de definir lo que es un empleado administrador, ejecutivo o profesional ya que estos son considerados exentos por el cargo que ocupan. De igual manera el reglamento define y establece los parámetros del empleado exento y no exento y señala que “el status de exento o de no exento del empleado se determinará a base de su salario y funciones según establecido en este Reglamento[36].”

Conjuntamente, en el artículo IX del reglamento se expresa lo siguiente:

a. Para ser considerado un empleado exento, un empleado debe ser compensado a base de un salario no menor de $455.00 semanal, excluyendo el pago de alimentos, facilidades de vivienda u otros servicios. Los empleados administrativos o profesionales también pueden recibir paga a base de honorarios según definido más adelante.

b. Un empleado exento debe recibir su salario íntegramente irrespectivo de los días u horas trabajadas. Un empleado no se considera exento si se realizan deducciones de su salario por concepto de ausencias ocasionadas por el patrono o por los requisitos operaciones del negocio

c. Para considerarse exento, un empleado debe recibir la cantidad mínima salarial establecida en el Inciso A, excluyendo el pago de alimentos, facilidades de vivienda u otros servicios.[37]

 

Cabe señalar, que cuando se trata de contratista independiente, el Tribunal Supremo ha expresado que un contratista independiente es aquél que contrate un trabajo y emplee obreros para realizarlo[38] y se define a base de lo siguiente: “cuando la persona que emplea a otra puede prescribir lo que se ha de hacer, pero no cómo ha de hacerse ni quién lo hará y cuando el patrono tiene el derecho y la autoridad para controlar y dirigir al contratista en la realización de su trabajo.”[39]

Además, en Hernández vs.TransOceanicLifeInsurance, 151 D.P.R. 754 (2000), el Tribunal Supremo de Puerto Rico, expresó que para dilucidar si una persona debe ser calificada como contratista independiente hay que considerar lo siguiente: “la naturaleza, extensión y grado de control por parte del principal, el grado de iniciativa o juicio que despliega el empleado, la propiedad del equipo, la facultad de emplear y el derecho a despedir, la forma de compensación, la oportunidad de beneficio y el riesgo de pérdida y la retención de contribuciones.”[40]

Ahora bien, teniendo en cuenta lo antes reseñado señalaremos los cambios representativos que promueve la nueva Ley de Transformación y Flexibilidad Laboral,[41] que hace enmiendas a la Ley para establecer la Jornada de Trabajo en Puerto Rico,[42] aunque expresa que “los empleados contratados con anterioridad a la vigencia de esta Ley, continuarán disfrutando los mismos derechos y beneficios que tenían previamente, según lo dispuesto expresamente en los Artículos de ésta.”[43] De esta manera, podemos discutir la cabida, si alguna, del derecho a la desconexión.

Primero, la exposición de motivos de esta ley señala que fue creada para “establecer negocios y crear oportunidades de empleo; fomentar el crecimiento en el nivel de empleos en el sector privado; y ofrecer nuevas oportunidades de trabajo a personas desempleadas. Algunos aspectos de nuestra legislación laboral actual afectan adversamente el alcance de dichos objetivos.”[44] A diferencia de la ley anterior que velaba por la salud y el bienestar del empleado, esta se enfoca en el crecimiento de las empresas y las oportunidades de empleo en el sector privado.

Al mismo tiempo, presenta cambios respecto a la jornada de trabajo y establece “horarios semanales de trabajo flexibles, 8 horas de jornada laboral basadas en días calendario y no en periodos de 24 horas, ofrece la opción de calcular horas extra basándose en las horas trabajadas en exceso de 40 horas a la semana y no sobre el exceso de ocho horas al día…”[45] También, expresa que para hacer el cómputo de las horas trabajadas en exceso, de las 40 semanales, la semana de trabajo formará un período de 168horas consecutivas.[46] Lo que nos lleva a otro de los cambios dispuestos en esta ley que establece que entre el patrono y el empleado se podrá implantar un horario de trabajo, por escrito, donde el empleado podrá trabajar un máximo de 10 horas diarias completando una semana de trabajo que no exceda las 40 horas.[47]  Asimismo, refleja un cambio sustancial en lo que representa las horas extra de trabajo[48] las cuales serán pagadas con un salario de tiempo y medio del pago acordado por las horas regulares. Lo que significa que la flexibilidad de horarios que puede trabajar un empleado durante su jornada laboral deberá ser establecida de antemano con su patrono, de manera que el empleado mantenga su espacio y tiempo libre fuera de sus horas laborables.

Además, la ley laboral nueva modifica notoriamente la definición de lo que es un empleado y dispone que un empleado es “toda persona natural que trabaje para un patrono y que reciba compensación por sus servicios. No incluye a contratistas independientes, así como tampoco a los oficiales u organizadores de uniones obreras cuando actúen como tales.”[49] Es por eso, que impulsado por esta definición, nos corresponde señalar el contenido de la definición de contratista independiente.[50]

IV. Francia y su Derecho a la Desconexión (Droit à la déconnexion)

Tan reciente como el 1 de enero de 2017, Francia entró en vigor la Ley de Reforma Laboral.  Esta ley tiene una adaptación del mercado laboral a lo digital, denominado “inclusión de lo digital en el modelo social”. Aquí se incluye el derecho a la desconexión, el teletrabajo y el diálogo social en el área digital.  De esta forma se convirtió en el primer país en tener legislación sobre este asunto novel.

Con el fin de introducir el derecho a la desconexión, en Francia se llegó a la conclusión que a la conclusión que la presión que sienten los empleados, el aumento del estrés y situaciones de “burnout” se debe a la utilización de los equipos informáticos que tiene el empleado.  Esta sobrecarga de información y comunicación, en ocasiones, es dañina para su vida privada.[51] Este aspecto es importante, al momento de negociar los acuerdos, para garantizar la efectividad del derecho al descanso de los trabajadores.[52]

Este es el objetivo del Artículo 25 de la Ley Droit à la déconnexion que modifica el Art. L-2242-8 del Code du Travail, para establecer que entre las materias objeto de la negociación colectiva anual obligatoria (que en Francia es de obligado cumplimiento para determinadas materias), se deberá incluir, dentro de las condiciones relativas a la calidad de vida de los trabajadores, las modalidades para el ejercicio del denominado derecho a la desconexión.  Sin embargo, no existe una definición de este derecho en la Ley, a lo que la ley se limita es a señalar el aspecto de que depende de la organización de la empresa.

Este derecho para los asalariados, se convierte en una obligación de las empresas, pues regula el uso de las tecnologías de la comunicación para garantizarle al empleado tiempo de descanso y vacaciones. Las empresas que tengan más de 50 empleados tendrán que establecer un diálogo, con el fin de llegar a un acuerdo colectivo, en relación a esta nueva regulación.[53]  El propósito principal de esta ley es, que ambas partes de manera consensuada, pongan en funcionamiento las regulaciones sobre la utilización de la tecnología, garantizando el derecho a la desconexión del empleado. Esto es, para que el empleado no se vea obligado a responder el teléfono, correos electrónicos y mensajes de texto fuera de las horas de trabajo. La ley establece que, en ausencia de un acuerdo entre las partes, será la empresa quien redacte un reglamento que defina el modo en que se ejercerá el derecho a la desconexión digital.[54]

La ley no implica que el empleado tiene una obligación de apagar el teléfono móvil ni su computadora luego de su jornada laboral para evitar que lo llamen o le envíen correos electrónicos.

Esta ley fue solicitada por el 62% de los trabajadores activos en Francia, sobre el tema, según un estudio publicado en octubre de 2016 por la consultora Eleas, que también reveló que un 37% utiliza sus aparatos profesionales (teléfonos, tabletas, etcétera) fuera del horario de trabajo. Y según el sindicato Ugict-CGT, tres de cada diez personas con cargos de responsabilidad en las empresas están conectados en forma permanente.[55]

Será cuestión de tiempo para entender las nuevas relaciones entre empleado y empleador y las exigencias de ciertas culturas corporativas (algunas obsoletas); de adaptarse a las nuevas fórmulas de trabajo y aprovechar las oportunidades, superando los inconvenientes que plantea la tecnología en el día a día laboral.

Resulta evidente que tantos avances tecnológicos dificultan la desconexión del trabajo fuera del horario laboral. Un estudio de la Asociación Americana de Psicología (“APA”) destaca que, aunque esta batería tecnológica puede afectar negativamente al bienestar y al rendimiento laboral, las mismas tecnologías de la comunicación también permiten ser más productivos y proporcionan una mayor flexibilidad.[56]  La investigación de la APA sostiene que en Estados Unidos más de la mitad de los empleados consultan los mensajes laborales una vez al día durante el fin de semana, antes o después del trabajo durante la semana e incluso cuando están enfermos en sus casas. Más del 40% admitió hacerlo cuando estaba de vacaciones.[57] Además de mejorar su productividad y flexibilidad, estos empleados afirmaron que las tecnologías de la comunicación les facilitan su trabajo y casi la mitad dijeron que tuvieron efectos positivos en la relación con sus compañeros. Alegaron que el hecho de desconectarse implica que su carga de trabajo aumentaría y que se les hace más difícil descansar.  Es aconsejable desconectar para evitar tener una vida “hiperconectada” y sus efectos, pero la “desintoxicación digital” completa no es necesaria.[58]

El suponer que estar disponible para contestar un correo electrónico a la medianoche al jefe o una llamada de la empresa en fin de semana es sinónimo de ascensos es el resultado de una mentalidad obsoleta.  No debería pasar nada si el empleado se niega a esa disponibilidad, porque la integración -que no la conciliación- es una decisión que está en manos de cada profesional, con derecho a preservar un espacio privado y a marcar líneas que la empresa o el jefe no pueden traspasar.

Será bueno analizar si un empleado es mejor profesional si responde un correo electrónico del jefe en segundos, en la tarde o los fines de semana; o si los directivos esperan que los empleados estén a sus órdenes nada más llamarles; o qué comportamientos son deseables cuando se trata de disponibilidad y capacidad de respuesta y cuáles no. Y qué acciones se recompensan. Esta cultura, normas y expectativas pueden aumentar el nivel de estrés e impedir que se rinda al máximo.[59]

Una de las razones primordiales se basa en las declaraciones de la Unión General de los Trabajadores de Francia que señala que “la desconexión total es un derecho fundamental de los trabajadores”. Además, la Unión ha expresado que “todos los trabajadores tienen derecho a conocer cuál es su jornada de trabajo, su horario, el tiempo a disposición de la empresa, su descanso diario, semanal y mensual, ya que todo lo que exceda de ello, como pueden ser llamadas al móvil o mensajes de whatsapp, puede vulnerar este derecho fundamental.”[60]

Así mismo, en Francia, de acuerdo al artículo L. 1152-1 del Código de Trabajo, establece que  “ningún empleado sufrirá la repetición de actos de acoso que tengan por objeto o por efecto un deterioro de las condiciones de trabajo, que puedan perjudicar sus derechos y su dignidad, la alteración de su salud física o mental o poner en peligro su futuro profesional”. [61]Lo que nos lleva a la conclusión, de que el derecho a la desconexión evita el acoso laboral por parte del patrono y permite al empleado bajar los niveles de estrés y mantener una vida personal y de familia saludable.[62]

V. Conclusión

Aunque el tema del Derecho a la Desconexión es un tema pionero y vanguardista, se entiende que ha sido de una manera u otra analizada en otros campos.  Los resultados se podrían extrapolar para adoptar la ley en Puerto Rico y dirimir sobre los factores a favor y en contra. Aunque la nueva ley laboral ha resultado ser controversial en Puerto Rico abre la puerta a la posibilidad del empleado poder llegar a una negociación sobre el derecho a la desconexión. El que la nueva ley provea los horarios flexibles, le provea un nuevo recurso al empleado para negociación y entendimiento sobre los límites y libertades dentro de su entorno laboral.[63]

El proveer parámetros de control sobre el acceso al empleado fuera de las horas laborales podría tener otras complicaciones y consecuencias en el aspecto laboral. Se debe armonizar los derechos a la intimidad de los empleados y el derecho que tiene el patrono de uso, disfrute, conservación y buen funcionamiento de su negocio.[64] De igual manera se establecerán los parámetros a seguir para salvaguardar los derechos fundamentales de los trabajadores y el alcance de los poderes empresariales en las relaciones laborales.[65]Crear un ambiente saludable mediante una negociación entre patrono y empleado, salvaguardando los derecho de la intimidad y privacidad del empleado, al igual que los intereses de la compañía; minimizaran las complicaciones y consecuencias que puedan surgir en el aspecto laboral con la implementación del Derecho a la Desconexión.

Por consiguiente, los patronos en Puerto Rico necesitan adaptar en sus procesos productivos a los tiempos actuales y ser vanguardistas sobre la protección de los derechos fundamentales del empleado. El derecho a la desconexión evitaría el acoso laboral por parte del patrono y permitirá al empleado bajar los niveles de estrés y mantener una vida personal y familiar saludable.[66]

A modo de ejemplo, varias empresas ya han adoptado esta legislación. La multinacional alemana Volkswagen ya ha puesto en marcha esta propuesta, suspendiendo sus servidores para el uso de los “smartphones” de la empresa entre las 18.15 horas de cada día y las 7 horas del día siguiente.[67]

Puerto Rico se encuentra ante una gran oportunidad de ser pionero en el hemisferio occidental con la adopción del Derecho a la Desconexión en el Derecho Laboral.

 

** Los autores de este artículo son estudiantes de la Facultad de Derecho de la Universidad Interamericana de Puerto Rico, inspirados en la clase de Derecho Cibernético (“Cyber Law”) que imparte el Profesor Fredrick Vega-Lozada en dicha Facultad.

[1] Francisco J. Pérez-Latre, Paradojas de la comunicación, digital,https://www.aceprensa.com/articles/paradojas-de-la-comunicacion-digital/ (29 de Julio de 2011)

[2]Djamil Tony Kahale Carrillo, Las Nuevas Tecnologías en las Relaciones Laborales: ¿Avance o Retroceso?, Revista de Derecho, Universidad del Norte, 25: 291-309, (2006)

[3]Ibid.

[4]Ibid.

[5]Carlos Hernández, La reforma laboral francesa reconoce el derecho del trabajador a la desconexión electrónica con la empresa fuera del Horario de trabajo,

http://laleydigital.laley.es/Content/Documento.aspx?params=H4sIAAAAAAAEAMtMSbH1czUwMDA0MDQzNzFWK0stKs7Mz7M1AvINTI0NQQKZaZUu-ckhlQWptmmJOcWpABpz5dQ1AAAAWKE (2016)

[6]Ibid.

[7] Javier Serrano-Puche, Vidas conectadas: tecnología digital, interacción social e identidad, Historia y Comunicación Social 359, Universidad de Navarra, 18: 353-364, (2013)

[8]Djamil Tony Kahale Carrillo, Las Nuevas Tecnologías en las Relaciones Laborales: ¿Avance o Retroceso?, Revista de Derecho, Universidad del Norte, 25: 291-309, (2006)

[9] Const. EE.UU. Enmienda IV “El derecho de los habitantes a la seguridad en sus personas, domicilios, papeles y efectos, contra incautaciones y cateos arbitrarios, será inviolable, y no se expedirán al efecto las Órdenes correspondientes a menos que exista una causa probable, corroborada mediante Juramento o Declaración solemne, y cuyo contenido describirá con particularidad el lugar a ser registrado y las personas o cosas que serán objeto de detención o embargo.”

Const. EE.UU. Enmienda V: “Ninguna persona será detenida para que responda por un delito punible con la pena de muerte, u otro delito infame, sin un auto de denuncia o acusación formulado por un Gran Jurado, salvo en los casos que se presenten en las fuerzas terrestres o navales, o en la Milicia, cuando estas estén en servicio activo en tiempo de Guerra o de peligro público; tampoco podrá someterse a una persona dos veces, por el mismo delito, al peligro de perder la vida o sufrir daños corporales; tampoco podrá obligársele a testificar contra sí mismo en una causa penal, ni se le privará de la vida, la libertad, o la propiedad sin el debido proceso judicial; tampoco podrá enajenarse la propiedad privada para darle usos públicos sin una compensación justa.”

Const. EE.UU. Enmienda XIV § 1: “Todas las personas nacidas o naturalizadas en los Estados Unidos y sometidas a su jurisdicción son ciudadanos de los Estados Unidos y de los Estados en que residen. Ningún Estado podrá dictar ni dar efecto a cualquier ley que limite los privilegios o inmunidades de los ciudadanos de los Estados Unidos; tampoco podrá Estado alguno privar a cualquier persona de la vida, la libertad o la propiedad sin el debido proceso legal; ni negar a cualquier persona que se encuentre dentro de sus límites jurisdiccionales la misma protección de las leyes.”

[10] Const. P.R. Art. II, § 1, 7 y 8.

[11]Camille Álvarez Jacobo, Desvanece la intimidad en el mundo virtual: la búsqueda de protección constitucional en internet, 45 Rev.Jur.U.Inter P.R. 265 (2011)

[12] Solove, Daniel J. Understanding Privacy. Daniel J. Solove, Understanding Privacy, Harvard University Press, May 2008; GWU Legal Studies Research Paper No. 420

[13] Const. EE.UU. Enmienda IV, V y XIV § 1.

[14]City of Ontario v. Quon, 130 S.Ct. 2619 (2010); United States v. Sparks, 750 F. Supp. 2d 384 (2010); In re United States for an Order Authorizing the Release of Historical Cell-Site Info., 809 F. Supp. 2d 113 (2011);John Macuso v. Florida Metropolitan University, Inc., 2011 WL 310726 (S.D.  Fla. January 28,2011); El-Nahal v. Yassky, 993 F. Supp. 2d 460 (2014); Laval v. Jersey City Hous. Auth., 2014 U.S. Dist. LEXIS 20890; Buckley H. Crispin v. Christian Audiger, Inc., 717 F. Supp. 2d 965 (C.D. Cal. 2010); Hoofnagle v. Smyth-Wythe Airport Comm’n, 2016 U.S. Dist. LEXIS 67723; United States v. Cluse, 2016 U.S. Dist. LEXIS 108434; True v. Nebraska, 612 F.3d 676 (2010); Garcia v. City of Laredo, 2011 U.S. Dist. LEXIS 158884; Jane Doe v. Linda Frankhauser, 2010 WL 4702295 N.D. Ohio, November 30, 2010.

[15] Camille Álvarez Jacobo, Desvanece la intimidad en el mundo virtual: la búsqueda de protección constitucional en internet, 45 Rev.Jur.U.Inter P.R. 265 (2011)

[16] Se hancreadoleyescomo la “Fair Labor Standards Act of 1938”, 29 U.S.C. 201; “National Labor Relations Act of 1935”, 29 U.S.C. §§ 151 – 169; “Federal Privacy Act of 1974”. 5 U.S.C. § 552a;, “Law Enforcement and Phone Privacy Protection Act of 2006”, H109-4709; Electronic Communications Privacy Act of 1986”, 18 U.S.C. § 2510-22; Civil Rights Act of 1964”, Pub.L. 88–352, 78 Stat. 241 “Stored Communications Act of 1986”, 18 U.S.C. Chapter 121 §§ 2701–2712, entre otras.

[17]Philip M. Keating, Time to Act on Key Employment Law Issues, 24 Westlaw Journal Employment 1 (2010)

[18]Ibid.

[19] Camille Álvarez Jacobo, Desvanece la intimidad en el mundo virtual: la búsqueda de protección constitucional en internet, 45 Rev.Jur.U.Inter P.R. 265 (2011)

[20]Ibid.

[21] Ley Núm. 4 del 26 de enero de 2017.

[22] Ley Núm. 130 del 8 de mayo de 1945, según enmendada.

[23] Ley Núm. 379 del 15 de mayo de 1948.

[24] Reglamento Núm. 7082 de 18 de enero de 2006.

[25] Ley Núm. 130 del 8 de mayo de 1945, según enmendada.

[26] El logro de estos propósitos depende en grado sumo de que las relaciones entre patronos y empleados sean justas, amistosas y mutuamente satisfactorias y que se disponga de los medios adecuados para resolver pacíficamente las controversias obrero-patronales y a través de la negociación colectiva deberán fijarse los términos y condiciones de empleo.

[27] Ley Núm. 379 del 15 de mayo de 1948 (antes de las enmiendas de la Ley Núm. 4 del 26 de enero de 2017).

[28] Exposición de Motivos de la Ley para establecer la Jornada de Trabajo en Puerto Rico, Ley Núm. 379 -1948.

[29] (a) Las horas que un empleado trabaja para su patrono en exceso de ocho (8) horas durante cualquier período de veinticuatro (24) horas consecutivas;

(b) Las horas que un empleado trabaja para su patrono en exceso de cuarenta (40) durante cualquier semana, a menos que las horas trabajadas diariamente en exceso de ocho sean pagadas a tipo doble:

(c) Las horas que un empleado trabaja para su patrono durante los días u horas en que el establecimiento en que presta servicio deba permanecer cerrado al público por disposición legal; disponiéndose, sin embargo, que no sean horas extra las horas que el empleado trabaja para su patrono durante los días u horas en que el establecimiento deba permanecer cerrado al público cuando el patrono ha obtenido del Secretario del Trabajo el permiso requerido por la Ley Núm. 80 de 5 de mayo de 1931, según ha sido o fuera subsiguientemente enmendada, y la totalidad de horas trabajadas por el empleado durante ese día no exceda de ocho (8) horas ni la totalidad de horas trabajadas durante la semana exceda de cuarenta (40) horas.

(d) Las horas que el empleado trabaja para su patrono en exceso del máximo de horas de labor el día que la Junta de Salario Mínimo haya fijado o fijase para la ocupación, negocio o industria en cuestión;

(e) Las horas que el empleado trabaja para su patrono en exceso del máximo de horas de labor al día fijado en un convenio colectivo de trabajo.

[30] Ley para establecer la Jornada de Trabajo en Puerto Rico, Ley Núm. 379 del 15 de mayo de 1948, según enmendada, 29 L.P.R.A.

[31] Fair Labor Standards Act of 1938, 29 U.S.C. 201.

[32] Los empleados bajo el alcance, y no exentos, de la Ley de Normas Razonables de Trabajo tienen derecho a un pago de no menos de $5.85 por hora, en vigor a partir 24 de julio de 2007; $6.55 por hora, en vigor a partir del 24 de julio de 2008; y $7.25 por hora, en vigor a partir del 24 de julio de 2009.

[33] Se exige el pago de horas extra a los trabajadores que no se hallen exceptuados, a una tasa de por lo menos una vez y media su tasa de pago normal después de 40 horas de trabajo en una semana laboral.

[34] Exenciones del salario mínimo y del pago de sobretiempo (1) Empleados ejecutivos, administrativos y profesionales (inclusive maestros y personal administrativo-académico de las escuelas primarias y secundarias), empleados dedicados a ventas fuera del establecimiento y a empleados en ciertas ocupaciones relacionadas a la Informática (tal como las definen los Reglamentos del Departamento de Trabajo); (2) Empleados de ciertos establecimientos de diversión y entretenimiento de temporada, empleados de periódicos de poca distribución, marinos empleados en barcos extranjeros, empleados ocupados en maniobras de pesca, y empleados que distribuyen periódicos; (3) Obreros agrícolas que trabajan para alguien que no haya utilizado más de 500 días de trabajo agrícola, en inglés “man-days”, en cualquier trimestre civil del año civil anterior; (4) Personas al cuidado ocasional de niños y personas empleadas como acompañantes de ancianos o enfermos.

[35]Ayala vs. Vista Rent to Own, 169 D.P.R. 418, 451 (2006)

[36] Reglamento para definir los términos “Administrador”, “Ejecutivo” y “Profesional”, conforme a lo dispuesto por el inciso (b) del Artículo 8 de la Ley Núm. 180 de 27 de julio de 1998, Reglamento Núm. 7082 de 18 de enero de 2006.

[37]Ibid. Art. IX

[38]Atiles, Admor. v. Comisión Industrial, 68 D.P.R. 115, 120 (1948)

[39]Ibid. pág.601

[40]Hernández vs.Trans Oceanic Life Insurance, 151 D.P.R. 754, 768 (2000)

[41] Ley Núm. 4 del 26 de enero de 2017.

[42] La Ley de Transformación y Flexibilidad Laboral, Ley Núm. 4 del 26 de enero de 2017 enmienda los Artículos 4, 5, 6, 7 y 8; derogar los Artículos 9 al 12; enmendar el primer párrafo del Artículo 13 y renumerarlo como Artículo 9; enmendar el segundo párrafo del Artículo 14 y renumerarlo como Artículo 10; enmendar el Artículo 15 y renumerarlo como Artículo 11; renumerar el Artículo 16 como Artículo 12; enmendar el Artículo 17 y renumerarlo como Artículo 13; enmendar el Artículo 18 y renumerarlo como Artículo 14; enmendar el Artículo 19 y renumerarlo como Artículo 15; enmendar el Artículo 20 y renumerarlo como Artículo 16 de la Ley Núm. 379 de 15 de mayo de 1948, según enmendada; enmendar las Secciones 4 y 5 de la Ley Núm. 289 de 9 de abril de 1946, según enmendada.

[43]Ibid. Art. 1.2.

[44] Exposición de Motivos de la Ley de Transformación y Flexibilidad Laboral, Ley Núm. 4 – 2017.

[45]Ibid.

[46] Ley de Transformación y Flexibilidad Laboral, Ley Núm. 4 del 26 de enero de 2017, Art. 3.2.

[47]Ibid. Art. 3.3.

[48] Según la Ley de Transformación y Flexibilidad Laboral, Ley Núm. 4 del 26 de enero de 2017 las horas extra son: (a) Las horas que un empleado trabaja para su patrono en exceso de ocho (8) horas durante cualquier día calendario. No obstante, el patrono podrá notificar al empleado un ciclo alterno de veinticuatro (24) horas, siempre y cuando la notificación sea por escrito en un término no menor de cinco (5) días previo al inicio del ciclo alterno y existan al menos ocho (8) horas entre turnos consecutivos.

(b) Las horas que un empleado trabaja para su patrono en exceso de cuarenta (40) durante cualquier semana de trabajo.

(c) Las horas que un empleado trabaja para su patrono durante los días u horas en que un establecimiento deba permanecer cerrado al público por disposición legal. Sin embargo, las horas trabajadas los domingos, cuando por disposición de ley el establecimiento deba permanecer cerrado al público, no se considerarán horas extras por la mera razón de ser trabajadas durante ese periodo.

(d) Las horas que un empleado trabaja para su patrono durante el día de descanso semanal, según establecido por ley.

(e) Las horas que el empleado trabaja para su patrono en exceso del máximo de horas de labor al día fijado en un convenio colectivo de trabajo.

[49]Ibid. Art. 3.14.

[50] Según la Ley de Transformación y Flexibilidad Laboral, una persona es contratista independiente si:

(a) posee o ha solicitado un número de identificación patronal o número de seguro social patronal;

(b) ha radicado planillas de contribuciones sobre ingresos reclamando tener negocio propio;

(c) la relación se ha establecido mediante contrato escrito;

(d) se le ha requerido contractualmente tener las licencias o permisos requeridos por el gobierno para operar su negocio y cualquier licencia u autorización requerida por ley para prestar los servicios acordados; y

(e) cumple con tres (3) o más de los siguientes criterios:

(1) Mantiene control y discreción sobre la manera en que realizará los trabajos acordados, excepto por el ejercicio del control necesario por parte del principal para asegurar el cumplimiento con cualquier obligación legal o contractual.

(2) Mantiene control sobre el momento en que se realizará el trabajo acordado, a menos que exista un acuerdo con el principal sobre el itinerario para completar los trabajos acordados, parámetros sobre los horarios para realizar los trabajos, y en los casos de adiestramiento, el momento en que el adiestramiento se realizará.

(3) No se le requiere trabajar de manera exclusiva para el principal, a menos que alguna ley prohíba que preste servicios a más de un principal o el acuerdo de exclusividad es por un tiempo limitado;

(4) Tiene libertad para contratar empleados para asistir en la prestación de los servicios acordados;

(5) Ha realizado una inversión en su negocio para prestar los servicios acordados, incluyendo entre otros:

(i) la compra o alquiler de herramientas, equipo o materiales;

(ii) la obtención de una licencia o permiso del principal para acceder al lugar de trabajo del principal para realizar el trabajo acordado;  (iii) alquilar un espacio o equipo de trabajo del principal para poder realizar el trabajo acordado.

[51]Mettling Bruno, citado en La reforma laboral francesa reconoce el derecho del trabajador a la desconexión electrónica con la empresa fuera del horario de trabajo; NoticiasJuridicas.com; 27 de mayo de 016.

[52]Ibid.

[53]Francia estrena el derecho a desconectarse fuera del horario de trabajo,http://www.abc.es/sociedad/abci-francia-estrena-derecho-desconectarse-fuera-horario-trabajo-201701021410_noticia.html (2017)

[54]Ibid.

[55] Lisa Corradini, La desconexión digital, un derecho difícil de ejercer para los franceses;  La Nación; 5 de enero de 2017.

[56] Tino Fernández, En Francia ya desconectan del jefe… Y tú, ¿puedes hacerlo?, http://www.expansion.com/emprendedores-empleo/desarrollo-carrera/2017/01/03/586be82a268e3ef11e8b4624.html (2017)

[57]Ibid.

[58]Ibid.

[59] Tino Fernández, En Francia ya desconectan del jefe… Y tú, ¿puedes hacerlo?Expansion.Com – Madrid; (2017).

[60] Diario de Ibiza, ¿Qué es el derecho a la desconexión del trabajo?, VLEX-656990793, (2017)

[61] José Luis Ugarte;  El acoso laboral: entre el derecho y la psicología; Revista de Derecho; Pontificia Universidad Católica de Valparaíso; Núm. 39, (2012)

[62]Ibid.

[63] Ley de Transformación y Flexibilidad Laboral, Ley Núm. 4 del 26 de enero de 2017

[64] Harry E. RodriguezGuevaral, Derecho del patrono a monitorear la comunicación electrónica del empleado versus el derecho a la intimidad, Revista D.P.U.C. (2002)

[65]Ibid.

[66] José Luis Ugarte, El acoso laboral: entre el derecho y la psicología, Pontifica Universidad Católica de Valparaíso, Rev. de Derecho. 39: 221-231 (2012)

[67] Otra compañía, la sociedad de comercio electrónico “Price Minister”, que ha implantado media jornada al mes sin correo electrónico, para favorecer las relaciones personales entre sus empleados. Carlos Hernández, La reforma laboral francesa reconoce el derecho del trabajador a la desconexión electrónica con la empresa fuera del Horario de trabajo,

http://laleydigital.laley.es/Content/Documento.aspx?params=H4sIAAAAAAAEAMtMSbH1czUwMDA0MDQzNzFWK0stKs7Mz7M1AvINTI0NQQKZaZUu-ckhlQWptmmJOcWpABpz5dQ1AAAAWKE (2016)

 

Además, Michelin, fabricante de neumáticos, también ha controlado sus conexiones a distancia para los directivos que trabajan con carácter itinerante entre las 9 de la noche y las 7 de la mañana en los días laborables, y los fines de semana desde las 9 de la noche de los viernes a las 7 de la mañana de los lunes. Por otro lado, Orange, operador de telecomunicaciones, mediante un acuerdo, solicitó a sus empleados que establezcan tiempos para que utilicen sus mensajes electrónicos, en particular durante las reuniones para facilitar la concentración.  Francia estrena el derecho a desconectarse fuera del horario de trabajo, http://www.abc.es/sociedad/abci-francia-estrena-derecho-desconectarse-fuera-horario-trabajo-201701021410_noticia.html (2017)

 

11Ene/16

Escuela Superior de Comunicación Interactiva (ESAC)

Centro, , , , , , ,

logo

Master en Creación Multimedia e Internet:

Esp. Gestión y Dirección de Proyectos Multimedia

Master en e-Learning y Aprendizaje Interactivo:

Esp. Creación de Materiales Didácticon on-line

Esp. e-learning/Formación a Distancia Multimedia

Esp. Informática Aplicada a la Educación

Master en Innovación Tecnológica y Negocio Interactivo:

Esp. Publiciad y Marketing para Internet

Esp. X-Commerce

Master en Comunicación Interactiva y Redacción Digital:

Esp. Periodismo Digital/Comunicación Interactiva

Esp. Redacción de Contenidos Multimedia

Esp. Arquitectura de Contenidos/Guionización Multimedia

Cursos superiores:

Comercio Electrónico

Creación para Internet

Creación Multimedia

Dirección de Arte para Internet

Formación a Distancia Multimedia

Informática Aplicada a la Educación

Periodismo y Comunicación para Internet

Publicidad y Marketing para Internet

Redacción de Contenidos Multimedia

27Dic/15

A decisão da Corte Europeia que invalidou o acordo de transferência de dados pessoais

Protección de Datos, Trabajos, ,

A DECISÃO DA CORTE EUROPEIA QUE INVALIDOU O ACORDO DE TRANSFERÊNCIA DE DADOS PESSOAIS

Demócrito Reinaldo Filho

(Juiz de Direito, titular da 32ª. Vara Cível)

Na primeira semana de outubro deste ano (1) o Tribunal de Justiça da União Europeia (2) produziu um julgamento que vai se tornar um marco em termos de proteção à privacidade dos indivíduos na Internet, ao invalidar o acordo de transferência de dados pessoais (conhecido como “Safe Harbor”, “Porto Seguro” em tradução para o português) entre os Estados Unidos e a União Europeia (3). Esse acordo, que estava em vigor desde o ano de 2000 (4), era o instrumento legal que autorizava empresas a transferirem dados coletados de cidadãos europeus para serem processados em seus estabelecimentos situados em território americano (5).

A decisão da corte europeia afeta companhias de todos os ramos, mas certamente as mais impactadas são as empresas de tecnologia, gigantes como Facebook e Google (6), que atuam coletando enormes quantidades de dados pessoais dos usuários de seus serviços. É que agora, com a decisão, as autoridades nacionais (dos 28 estados membros da EU) podem fiscalizar como essas empresas estão transferindo dados para os servidores de suas congêneres nos Estados Unidos e, encontrando indícios de violações às leis europeias de proteção à privacidade, impor limitações e multas. Cerca de duas semanas depois da decisão do Tribunal de Justiça da União Europeia, a Corte Superior da Irlanda determinou a abertura de investigação sobre as transferências de dados feitas pelo Facebook para sua matriz nos Estados Unidos (7).

Antes dessa decisão, a situação para as empresas americanas era bastante conveniente, pois bastava se registrarem como aderentes ao acordo de transferência de dados. Pelos termos do “Safe Harbor Agreement”, empresas que atuavam coletando dados de cidadãos europeus tinham que garantir o mesmo nível de proteção que é conferido a eles pela legislação europeia. A União Europeia tem um sistema legal bastante sistematizado no tocante à proteção da privacidade de seus cidadãos, considerado bem mais rigoroso do que a maioria dos países de outras regiões. Nos termos da Diretiva europeia 95/46/EC de proteção de dados pessoais, companhias operando no território europeu não podem enviar dados pessoais para países fora da área da União Europeia a não ser que garantam um nível adequado de proteção. O acordo “Safe-Harbor” foi negociado entre o Governo dos EUA e a União Europeia como forma de oferecer um meio para as empresas poderem compactuar com as normas da Diretiva, evitando problemas de ordem legal (8). O acordo prevê algumas normas, estabelecidos em concordância com a Diretiva, que as empresas americanas deviam aderir, para possibilitar a transferência de dados. Em julho de 2000, a Comissão Europeia (9) decidiu que as empresas americanas que obedecem aos princípios do acordo estavam autorizadas a transferir dados referentes a cidadãos europeus para seus servidores localizados em território estadunidense (10). Essa decisão, agora, foi invalidada pelo julgamento da Corte Europeia de Justiça, que considera que o Safe Harbor não oferece nível de proteção adequado aos dados pessoais dos cidadãos europeus.

O acordo Safe Harbor antes era visto como um instrumento eficaz, até que sobrevieram as denúncias de Edward Snowden, em junho de 2013, de que empresas de tecnologia eram colaboradoras ativas do sistema de vigilância massiva perpetrada pela NSA, a agência de inteligência do Governo dos EUA. A partir daí, setores organizados da sociedade civil e ativistas da privacidade passaram a defender que o acordo não era suficiente para oferecer um nível adequado de proteção contra intrusões das agências de inteligência. O texto do Safe Harbor permite limitações à proteção de dados onde a coleta se faça necessária por razões de segurança nacional. Daí que passou a ser sentimento geral na comunidade europeia de que o Safe Harbor não garantia um nível adequado de proteção de dados pessoais em relação aos programas de vigilância eletrônica executados pelas agências de inteligência norte-americanas.

Maximillian Schrems, um cidadão austríaco, ingressou com uma reclamação perante a autoridade nacional de proteção de dados da Irlanda, alegando que seus dados estavam sendo transferidos da subsidiária irlandesa do Facebook para servidores localizados nos Estados Unidos. Justificou que, de acordo com as revelações feitas por Snowden – que os serviços de inteligência dos Estados Unidos (em particular a National Security Agency-NSA) utilizam programas para vigilância eletrônica massificada – o Safe Harbor não oferecia proteção adequada. O comissário de proteção de dados irlandês rejeitou a queixa, baseando-se na decisão de 26 de julho de 2002 da Comissão Europeia, que decidiu pela validade desse acordo. O caso, então, foi submetido à Corte Superior da Irlanda, que considerou necessário antes uma definição da Corte Europeia de Justiça sobre o assunto.

No julgamento do dia 06 de outubro, o Tribunal de Justiça da União Europeia declarou inválido o “Safe Harbor Agreement”, com o resultado de que o comissário irlandês de proteção de dados vai ter que apreciar a reclamação de Maximillian Schrems e decidir se a transferência de dados de cidadãos europeus para servidores localizados nos Estados Unidos, realizada pelo Facebook, deve ser suspensa ou não, se ficar caracterizado que as autoridades americanas não garantem um adequado nível de proteção aos dados transferidos (11).

Após a decisão do Tribunal de Justiça da União Europeia, os Estados Unidos e a UE apressaram as negociações para o estabelecimento de um novo pacto, capaz de atender a legislação europeia de proteção de dados e substituir eficazmente o falecido Safe Harbor. O objetivo é concluir as negociações até janeiro do próximo ano. Os Estados Unidos e a União Europeia são importantes parceiros comerciais e a transferência de dados entre os continentes é essencial para os negócios. Mas o Grupo de Trabalho do Artigo 29º. (Article 29 Working Party) (12), que reúne os comissários nacionais de proteção à privacidade da União Europeia, já advertiu que se um novo acordo não for concluído até o final de janeiro do próximo ano, tomarão todas as medidas necessárias para evitar violações às leis europeias de proteção de dados, o que pode incluir a aplicação de multas (13).

Nesse intervalo, as empresas norte-americanas podem se valer de alguns instrumentos jurídicos alternativos, para realizar a transferência de dados de cidadãos europeus para seus servidores situados fora da área geográfica da União Europeia. Elas podem, por exemplo, se valer das cláusulas contratuais modelo (“standard clauses”) (14), mas é sempre um expediente mais limitado, dispendioso e que tem que ser trabalhado caso a caso (15), aumentando os custos para as empresas e as dificuldades administrativas para cuidar de todos os contratos (16). Outra saída, para evitar problemas legais, é hospedar todas as informações dos europeus em servidores localizados em países integrantes da União Europeia. Muitas empresas americanas estão movendo seus data centers e servidores para território europeu ou contratando serviços de empresas de cloud computing sediadas na Europa, para terceirizar o serviço de hospedagem de dados dos usuários europeus (17).

As medidas alternativas ao Safe Harbor, para permitir o trânsito das informações dos cidadãos europeus para servidores de empresas situadas nos Estados Unidos, têm que ser adotadas de forma rápida, não somente ante a possibilidade de multa pelos comissários de proteção de dados, se um novo acordo não for estabelecido até janeiro, mas também porque ativistas já estão tomando iniciativas contra algumas empresas de tecnologia, sobretudo aquelas denunciadas no escândalo de vigilância eletrônica da NSA. Maximillian Schrems, aquele mesmo cidadão austríaco que promoveu a ação vitoriosa que resultou na decisão do Tribunal de Justiça da União Europeia, recentemente requereu a alguns comissários de proteção da privacidade que obriguem o Facebook a interromper toda e qualquer transferência de dados de sua subsidiária europeia para a matriz norte-americana (18). Prometeu fazer o mesmo em relação a outros gigantes da Internet, como Google, Microsoft e Yahoo (19), empresas que colaboraram com o programa PRISM, um dos sistemas de vigilância eletrônica massiva da NSA (20).

 Tudo indica que o novo acordo que vai substituir o Safe Harbor deve sair mesmo até janeiro do próximo ano. Autoridades dos Estados Unidos e União Europeia já estão em conversas adiantadas e já chegaram a consenso em torno de alguns aspectos. Um dos pontos que devem constar do novo acordo é certamente a introdução de algum tipo de mecanismo de reparação judicial, para os casos de mau uso dos dados pessoais transferidos (21). Na sua decisão, o Tribunal de Justiça da União Europeia registrou que os cerca de 500 milhões de cidadãos europeus não têm o direito de ajuizar ação nas cortes estadunidenses, em caso de violação de privacidade pelas empresas ou Governo norte-americano. Uma lei para atribuir aos cidadãos estrangeiros os mesmos direitos conferidos a cidadãos norte-americanos, que tenham suas informações pessoais violadas, quando utilizadas para fins de prevenção criminal e persecução processual, já está sendo debatida no Congresso norte-americano (22).

Recife, 04.12.15

(1) Mais exatamente no dia 06.10.15.

(2) O Tribunal de Justiça da União Europeia (TJUE) tem a função de uniformizar a legislação europeia, para que seja interpretada e aplicada da mesma maneira em todos os países integrantes da UE. Sua sede fica em Luxemburgo. O endereço de seu site na Internet é: http://curia.europa.eu/

(3) O julgamento foi no caso Maximillian Schrems v. Data Protection Comissioner, Case C-362/14,decidido em 06.10.15.

(4) Em 26 de julho de 2000, a Comissão Europeia adotou uma decisão reconhecendo os princípios do “Safe Harbor” editados pelo Departamento de Comércio dos Estados Unidos como provendo um nível de proteção adequada para fins da transferência de dados. Como resultado, essa decisão proporcionou a transferência de dados pessoais para fins comerciais de companhias da União Europeia para empresas nos Estados Unidos, que tivessem aderido a esses princípios.

(5) Ver notícia publicada no New York Times, em 06.10.15, acessível em: http://www.nytimes.com/2015/10/07/technology/european-union-us-data-collection.html?_r=1

(6) Google e Facebook vêm sendo alvo de constantes investigações das autoridades europeias, por denúncias de violações a direitos ligados à privacidade de seus usuários.

(7) Ver reportagem publicada em 20.10.15, acessível em: http://www.reuters.com/article/2015/10/20/us-eu-privacy-facebook-idUSKCN0SE14G20151020

(8) Mais de cinco mil empresas norte-americanas aderiram ao acordo Safe Harbor para facilitar a transferência de dados pessoais.

(9) A Comissão Europeia é o braço executivo da União Europeia.

(10) Decisão 2000/520/EC de 26 de julho de 2000.

 (11) Link para a íntegra da decisão do Tribunal de Justiça da União Europeia: http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=125031

(12) O “Grupo de Trabalho do art. 29” é um corpo consultivo independente, em matéria de privacidade e proteção de dados pessoais, estabelecido pelo art. 29 da Diretiva 95/46/EC de proteção de dados. É composto por representantes das autoridades de proteção de dados de cada Estado-membro da União Europeia, pelo Supervisor Europeu da Proteção de Dados e por representantes da Comissão Europeia. Sua atribuição está descrita no art. 30 da Diretiva 95/46/EC e artigo 15 da Diretiva 2002/58/EC. É competente para apreciar qualquer questão relacionada à aplicação das diretivas de proteção de dados.

(13) Em comunicado publicado no dia 16.10.15, acessível em: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

(14) O uso de cláusulas contratuais modelo, em transações comerciais que impliquem a transferência de dados pessoais, é um meio de se obedecer aos princípios e normas da Diretiva europeia 95/46/EC sobre proteção de dados pessoais, que exige “proteção adequada” aos dados pessoais transferidos para fora da União Europeia. O uso das cláusulas modelo (“standard clauses”) é voluntário, mas representa um meio para que empresas e organizações atendam as exigências da Diretiva quanto a dados pessoais  transferidos a países não integrantes da UE, a respeito dos quais a Comissão Europeia ainda não tenha reconhecido que oferecem “proteção adequada”. Por exemplo, uma das cláusulas contém uma declaração por meio da qual a empresa que transfere os dados e a organização ou empresa que os recebe se comprometem a obedecer os princípios básicos da Diretiva. Periodicamente, a Comissão emite decisões reconhecendo países não membros que oferecem proteção adequada a dados pessoais. Em relação a países cujos sistemas de leis conferem um nível de “proteção adequada” a dados pessoais, já reconhecidos pela Comissão Europeia, não há necessidade do emprego das cláusulas contratuais modelo nas relações que empresas europeias travarem com empresas desses países. Quanto aos demais, sem reconhecido regime jurídico de “proteção adequada”, o uso das cláusulas contratuais modelo é uma solução viável para transferência de informações pessoais. Para saber mais sobre o instrumento das “clausulas contratuais modelo”, sugiro a leitura de artigo de minha autoria, intitulado “Comissão europeia aprova novos modelos de cláusulas contratuais para a transmissão de dados pessoais a países não membros da EU”, publicado em 04.04.2005, no site Boletim Jurídico, acessível em: http://www.boletimjuridico.com.br/doutrina/texto.asp?id=565

(15) Desde o dia 23 de outubro, a Comissão Nacional de Proteção de Dados (CNPD) de Portugal vem concedendo autorizações provisórias a empresas para transferência de dados de cidadãos portugueses aos EUA. Ver comunicado da CNPD em: https://www.cnpd.pt/bin/relacoes/comunicados/Comunicado_CNPD_SafeHarbor.pdf

(16) Ver, a esse, respeito, notícia publicada no site da BBC, em 06.10.15, acessível em: http://www.bbc.com/news/technology-34442618

(17) Ver reportagem publicada no New York Times que mostra essa tendência, em 20.10.15, acessível em: http://www.nytimes.com/2015/10/21/technology/as-us-tech-companies-scramble-group-sees-opportunity-in-safe-harbor-decision.html?smid=fb-share&_r=0

(18) Antes dessa iniciativa, o comissário alemão de proteção de dados já havia anunciado que abriria investigações contra o Google e o Facebook. Ver notícia publicada em 27.10.15, acessível em: http://arstechnica.co.uk/tech-policy/2015/10/germany-to-begin-investigating-legality-of-eu-us-data-transfers-immediately/

(19) Ver reportagem publicada no dia 02.12.15, acessível em: http://arstechnica.co.uk/tech-policy/2015/12/after-safe-harbour-ruling-legal-moves-to-force-facebook-to-stop-sending-data-to-us/

(20) O PRISM (abreviatura em inglês para Planning Tool for Ressource Integration, Synchronization and Management) é apenas um dos muitos programas de vigilância massiva eletrônica que vieram a público com as revelações de Edward Snowden e que são operados pela NSA. Permite coletar e analisar informação proveniente dos servidores das grandes empresas da Internet. Não se restringe a metadados, pois compreende o conteúdo das comunicações, alcançando arquivos de áudio, vídeos, fotografias e e-mails. Segundo as denúncias divulgadas em junho de 2013, nove grandes empresas de tecnologia (Google, Microsoft, Facebook, Yahoo, Skype, Apple, Paltalk, Youtube e AOL) proporcionam um ilimitado e direto acesso da NSA aos seus servidores e bases de dados, como parte da execução do PRISM. Para saber mais sobre o programa PRISM e a participação das empresas de tecnologia americanas nesse sistema de vigilância eletrônica da NSA, sugiro a leitura do meu artigo “A espionagem eletrônica: a resposta do governo americano e das empresas de tecnologia”, publicado em outubro de 2013 no site Jus Navigandi e acessível em: http://jus.com.br/artigos/25639/a-espionagem-eletronica-a-resposta-do-governo-americano-e-das-empresas-de-tecnologia

(21) Ver notícia publicada em 27.10.15, acessível em: http://thehill.com/policy/cybersecurity/258182-eu-us-strike-deal-in-principle-on-new-data-sharing-pact

(22) Essa Lei é o Judicial Redress Act, que já foi aprovada na House of  Representatives (equivalente à nossa Câmara dos Deputados) e está atualmente tramitando no Senado norte-americano. Ela estende os mesmos direitos de reparação judicial conferidos a cidadãos norte-americanos a cidadãos de países que relaciona, para o caso de informações pessoais serem indevidamente utilizadas por autoridades públicas. Embora essa Lei só se refira a dados transferidos de outros países para os Estados Unidos para fins de investigação criminal e persecução processual (incluindo terrorismo), sua aprovação vai terminar favorecendo a aprovação do novo acordo que substituirá o Safe Harbor. Além de um novo acordo para transferência de dados pessoais entre empresas, com fins comerciais, os Estados Unidos atualmente negocia com a União Europeia um acordo de transferência de dados para fins de investigação criminal, o “EU-US Umbrella Agreement”. A aprovação da Lei Judicial Redress Act proporcionará as condições políticas necessárias para a aprovação de ambos os acordos. Ver notícia publicada em 21.10.15, acessível em: http://www.pcworld.com/article/2995935/judicial-redress-act-heads-for-senate-making-new-safe-harbor-agreement-more-likely.html

01Jul/15

Crimes de informática. Uma nova criminalidade

Trabajos, , , , , , ,

Crimes de informática. Uma nova criminalidade

  1. Introdução.
  2. Direito penal da informática.
  3. Crimes de informática.
  4. Internet, ciberespaço e direito penal.
  5. O problema da tipicidade.
  6. O problema da autoria.
  7. O problema da competência.
  8. Pedofilia e Internet.
  9. Conclusões.
  10. Bibliografia.

“Ubi societas ibi jus”

1. Introdução

O Direito está indissociavelmente ligado à vida gregária. Não se consegue conceber uma sociedade harmônica, ou uma polis organizada, sem admitir concomitantemente a incidência de normas, ainda que na forma de costumes ou de simples regras de convivência.

Esse produto da cultura humana, o Direito, tem sido responsável, ao longo dos séculos, pela segurança das relações interpessoais e interinstitucionais. Por isso mesmo, esse constructo tem um indiscutível caráter conservador, no sentido de que compete, com outros fatores, para a estabilização da vida em sociedade. Essa sua feição de manutenção e harmonização de realidades complexas certamente fez com que a Ciência Jurídica se tornasse, em si mesma, conservativa, a ponto de se asseverar, com alguma razão, que o Direito costuma  contribuir para a estagnação social, levando, paradoxalmente, ao seu próprio ocaso como ente útil ao grupamento humano cujas relações procurasse regular.

As transformações pelas quais passou o Direito ao longo dos séculos foram úteis e relevantes, servindo ao menos para que esse produto cultural, bom ou mau, perdurasse. Mas tais transformações sempre se deram com um certo atraso. Nenhuma delas, contudo, equipara-se à verdadeira revolução jurídica que se avizinha, em conseqüência de uma segunda revolução industrial, característica da era da informação.

Com o desenvolvimento das novas tecnologias da comunicação, e, principalmente, com o advento da Internet [1] , novas questões surgem, demandando respostas do operador do Direito. E, em face da velocidade das inovações da técnica que vislumbramos no mundo contemporâneo, tais respostas devem ser imediatas, sob pena de o “tradicional” hiato existente entre o Direito e a realidade social vir a se tornar um enorme fosso, intransponível para os ordenamentos jurídicos nacionais e invencível para os profissionais que não se adequarem.

Nesse contexto, os principais problemas que se nos apresentam — e que são objeto deste trabalho — são os relativos à necessidade de uma legislação penal para a proteção de bens jurídicos informáticos e de outros, igualmente (ou até mais) relevantes, que possam ser ofendidos por meio de computadores. Busca-se também, ao longo do texto, analisar as questões de tipicidade, determinação de autoria e competência jurisdicional, mormente nos delitos cometidos pela Internet, que assumem, em alguns casos, feição de crimes transnacionais, encaixando-se na classificação doutrinária de crimes à distância.

Para esse desiderato, necessariamente deveremos considerar, como pressupostos, alguns dispositivos constitucionais, a saber:

a)    o art. 5º, inciso II, segundo o qual “ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei”;

b)    o art. 5º, inciso X, que considera “invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”;

c)     o inciso XII do mesmo cânone, que tem por “inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal”;

d)    O dogma de que “A lei não excluirá da apreciação do Poder Judiciário lesão ou ameaça a direito”, na forma do art. 5º, inciso XXV, da Constituição Federal; e

e)    A garantia segundo a qual “Não há crime sem lei anterior que o defina, nem pena sem prévia cominação legal” (inciso XXXIX, do art. 5º).

Esses suplementos constitucionais são necessários para revelar, de logo, a opção do Estado brasileiro pela diretriz da legalidade e em prol do princípio da inafastabilidade da jurisdição, inclusive na Internet, afastando já aqui dois dos mitos muito divulgados nos primeiros tempos do ciberespaço [2] : o de que a Internet não podia ser regulamentada pelo Estado e o de que haveria liberdade absoluta nesse ambiente.

Destarte, será imperioso concluir que, se há lesão ou ameaça a liberdades individuais ou ao interesse público, deve o Estado atuar para coibir práticas violadoras desse regime de proteção, ainda que realizadas por meio de computadores. Isto porque, tanto a máquina quanto a rede, são criações humanas e, como tais, têm natureza ambivalente, dependente do uso que se faça delas ou da destinação que se lhes dê. Do mesmo modo que aproxima as pessoas e auxilia a disseminação da informação, a Internet permite a prática de delitos à distância no anonimato, com um poder de lesividade muito mais expressivo que a criminalidade dita “convencional”, nalguns casos.

Em face dessa perspectiva e diante da difusão da Internet no Brasil, o Estado deve prever positivamente os mecanismos preventivos e repressivos de práticas ilícitas, na esfera civil e penal, e os órgãos de persecução criminal (a Polícia Judiciária e Ministério Público) devem passar a organizar setores especializados no combate à criminalidade informática. Assim já vêm fazendo, no Rio de Janeiro, o Ministério Público Estadual, que instituiu a Promotoria Especializada em Investigações Eletrônicas, que é coordenada pelo Promotor ROMERO LYRA, e também a Polícia Federal, que criou o Departamento de Crimes por Computador, que funciona no Instituto Nacional de Criminalística, em Brasília.

Embora, a Internet no Brasil já tenha um certo grau de regulação (por meios autônomos e heterônomos), a legislação de informática ainda é esparsa, pouco abrangente e “desconhecida”. Pior do que isso: ainda não há uma cultura de informática jurídica e de direito da informática no País, no sentido da necessidade de proteção de bens socialmente relevantes e da percepção da importância da atuação limitada do Estado no ciberespaço. Isto bem se vê no tocante ao posicionamento da  FAPESP [3] , que se dispõe a bloquear um registro de domínio por falta de pagamento, mas costuma exigir dos órgãos investigativos um mandado judicial de bloqueio diante de um crime.

Segundo KAMINSKY, “O jornal Estado de São Paulo, entrevistando o Delegado Mauro Marcelo Lima e Silva, do setor de Crimes pela Internet da Polícia Civil de São Paulo, indagou: ‘Vocês já suspenderam algum domínio por atuar de forma criminosa?’ A resposta do ciberdelegado: ‘Os crimes praticados pela Internet são tratados de forma acadêmica e amadora. O comportamento da Fapesp (órgão gestor do registro de domínios) em relação aos domínios que violam a lei é uma verdadeira aberração. Ela pode retirar um domínio que não paga a taxa anual, mas não procede da mesma forma quando se trata de suspender o que comete delitos – a Fapesp alega que só pode fazê-lo com ordem judicial’ [4] .

Evidentemente, não se pode esperar um efetivo combate à criminalidade informática, que já é uma realidade entre nós, diante de dificuldades tão prosaicas. É preciso que o Estado-Administração (pelos órgãos que compõem o law enforcement) esteja apto a acompanhar essas transformações cibernéticas e as novas formas de criminalidade. Do mesmo modo, é imperioso que os profissionais do Direito, principalmente juízes, delegados e membros do Ministério Público se habilitem aos novos desafios cibernéticos.

O salto tecnológico que assistimos é gigantesco. A evolução da técnica entre a época dos césares romanos e a do absolutismo europeu foi, em termos, pouco significativa, se comparada ao que se tem visto nos últimos cinqüenta anos. Ao iniciar o século XX a humanidade não conhecia a televisão nem os foguetes. O automóvel, o rádio e o telefone eram inventos presentes nas cogitações humanas, mas pouco conhecidos. Ao findar o vigésimo século, já tínhamos o computador, a Internet e as viagens espaciais.

Do ábaco ao computador passaram-se milênios. Da imprensa à Internet foram precisos pelo menos de quinhentos anos. E o Direito? A Ciência Jurídica acompanhou, pari passu, tais transformações? Estamos ainda lidando com o Direito e a Justiça em ágoras como as gregas? Ou já é hora de nos defrontarmos com o Direito da ágora cibernética?

2. Direito penal da informática

Um novo ramo do Direito nasceu — e logo passou a ser sistematizado — quando os computadores se tornaram uma ferramenta indispensável ao cotidiano das pessoas e das empresas e do próprio Estado. A importância da informática na sociedade tecnológica é incontestável. É quase inconcebível imaginar, hoje, um mundo sem computadores. Como funcionariam os grandes aeroportos do mundo sem essas máquinas facilitando o controle do tráfego aéreo? Como seria possível levar ônibus espaciais tripulados à órbita terrestre? Como poder-se-ia projetar e fazer funcionar gigantes como a hidrelétrica de Itaipu? Como decifraríamos o código genético humano, num programa do quilate do Projeto Genoma? Como?!

As implicações dessa poderosa máquina no dia-a-dia dos indivíduos são marcantes. Situam-se no campo das relações pessoais, volteiam na seara da Sociologia e da Filosofia [5] , avançam na interação do indivíduo com o Estado (a chamada cidadania digital, e-gov ou governo eletrônico), refletem no Direito Civil (ameaças a direitos de personalidade) e no Direito do Consumidor (responsabilidade do provedor de acesso à Internet) e acabam por interessar ao Direito Penal.

A disseminação dos computadores pessoais é, no plano da História, um fenômeno recentíssimo. No Brasil, data da década de 1990 e, ainda assim, apenas os integrantes das classes A, B e C têm suas máquinas domésticas, fazendo surgir, no dizer do professor CHRISTIANO GERMAN uma nova classe de excluídos: os unplugged, constituindo um proletariado off line ao lado de uma elite online [6] .

Não obstante essa situação — que atinge predominantemente o cidadão comum —, as empresas e o Poder Público brasileiros estão plenamente inseridos no mundo digital, com alto grau de informatização, a exemplo do que ocorre com o sistema bancário nacional e com as redes de dados da Previdência Social e do Tribunal Superior Eleitoral, ad exemplum.

Naturalmente, considerando as dimensões do País e as suas carências, já é imenso o caldo de cultura para a prática de atos  ilícitos em detrimento de bens informáticos ou destinados à violação de interesses e de dados armazenados ou protegidos em meio digital.

Malgrado se reconheça o legítimo desejo de reduzir a atuação do Direito Penal em face das relações humanas, de acordo com a diretriz da intervenção mínima [7] , é imperioso notar que certas condutas que atentam contra bens informáticos ou informatizados, ou em que o agente se vale do computador para alcançar outros fins ilícitos, devem ser penalmente sancionadas ou criminalizadas, devido ao seu elevado potencial de lesividade e ao seu patente desvalor numa sociedade global cada vez mais conectada e cada vez mais dependente de sistemas online.

A Internet, na sua feição atual, é uma “criança” em fase de crescimento bastante acelerado. Sua principal interface, a WWW — World Wide Web surgiu na década de 1990. Sucede, porém, que o Código Penal em vigor no Brasil (parte especial) data de 7 de dezembro de 1940. Naquela época, mal havia telefones e rádios nas residências. A televisão ainda não havia sido inventada. Como pretender, então, que essa legislação criminal se adeque aos novíssimos crimes de informática?

Estávamos no Estado Novo getulista, e a realidade democrática havia sido sufocada pelo regime. O Brasil era uma nação predominantemente agrária, começando a industrializar-se e a urbanizar-se. Não se conheciam computadores [8] e, muito menos, imaginava-se que um dia pudesse existir algo como a Internet.

Conseqüentemente, é força convir que esse Código Penal, o de dezembro de 1940 — pensado conforme a doutrina da década de trinta — não se presta in totum a regular relações da era digital, num País que almeja inserir-se na cena global da sociedade da informação. Essa sociedade que é produto da revolução tecnológica,  advinda com o desenvolvimento e a popularização do computador.

É preciso pois, adequar institutos, rever conceitos — a exemplo do de “resultado”, como entendido na atual redação do art. 13, caput, do Código Penal —, especificar novos tipos, interpretar adequadamente os elementos normativos dos tipos existentes; e definir, eficazmente, regras de competência e de cooperação jurisdicional em matéria penal, a fim de permitir o combate à criminalidade informática.

Em torno do tema, a professora IVETTE SENISE FERREIRA, titular de Direito Penal na USP, pontifica que “A informatização crescente das várias atividades desenvolvidas individual ou coletivamente na sociedade veio colocar novos instrumentos nas mãos dos criminosos, cujo alcance ainda não foi corretamente avaliado, pois surgem a cada dia novas modalidades de lesões aos mais variados bens e interesses que incumbe ao Estado tutelar, propiciando a formação de uma criminalidade específica da informática, cuja tendência é aumentar quantitativamente e, qualitativamente, aperfeiçoar os seus métodos de execução” [9] .

A toda nova realidade, uma nova disciplina. Daí cuidar-se do Direito Penal da Informática, ramo do direito público, voltado para a proteção de bens jurídicos computacionais inseridos em bancos de dados, em redes de computadores, ou em máquinas isoladas, incluindo a tutela penal do software, da liberdade individual, da ordem econômica, do patrimônio, do direito de autor, da propriedade industrial, etc. Vale dizer: tanto merecem proteção do Direito Penal da Informática o computador em si, com seus periféricos, dados, registros, programas e informações, quanto outros bens jurídicos, já protegidos noutros termos, mas que possam (também) ser atingidos, ameaçados ou lesados por meio do computador.

Nesse novíssimo contexto, certamente serão necessárias redefinições de institutos, principalmente no tocante à proteção penal de bens imateriais e da informação, seja ela sensível [10] ou não, tendo em conta que na sociedade tecnológica a informação passa a ser tida como verdadeira commodity e, em alguns casos, tal “valor” pode ser vital para uma empresa ou para uma organização pública ou privada. Sem esquecer que, no plano constitucional dos direitos fundamentais e no plano civil dos direitos de personalidade, as ameaças, por meio de computadores, a bens indispensáveis à realização da personalidade humana também devem ser evitadas e combatidas, partam elas do Estado ou de indivíduos. A isso se propõe o Direito Penal da Informática.

3. Crimes de informática

Delitos computacionais, crimes de informática, crimes de computador, crimes eletrônicos, crimes telemáticos, crimes informacionais, ciberdelitos, cibercrimes… Não há um consenso quanto ao nomen juris genérico dos delitos que ofendem interesses relativos ao uso, à propriedade, à segurança ou à funcionalidade de computadores e equipamentos periféricos (hardwares), redes de computadores e programas de computador (estes denominados softwares).

Dentre essas designações, as mais comumente utilizadas têm sido as de crimes informáticos ou crimes de informática, sendo que as expressões “crimes telemáticos” ou “cibercrimes” são mais apropriadas para identificar infrações que atinjam redes de computadores ou a própria Internet ou que sejam praticados por essas vias. Estes são crimes à distância stricto sensu. Como quer que seja, a criminalidade informática, fenômeno surgido no final do século XX, designa todas as formas de conduta ilegais realizadas mediante a utilização de um computador, conectado ou não a uma rede [11] , que vão desde a manipulação de caixas bancários à pirataria de programas de computador, passando por abusos nos sistemas de telecomunicação. Todas essas condutas revelam “uma vulnerabilidade que os criadores desses processos não haviam previsto e que careciam de uma proteção imediata, não somente através de novas estratégias de segurança no seu emprego, mas também de novas formas de controle e incriminação das condutas lesivas” [12] . A criminalidade informática preocupa o mundo e tem reclamado definições. Para a OECD — Organization for Economic Cooperation and Development, o crime de computador é “qualquer comportamento ilegal, aético ou não autorizado envolvendo processamento automático de dados e, ou transmissão de dados”, podendo implicar a manipulação de dados ou informações, a falsificação de programas, a sabotagem eletrônica, a espionagem virtual, a pirataria de programas, o acesso e/ou o uso não autorizado de computadores e redes. A OECD, desde 1983, vem tentando propor soluções para a uniformização da legislação sobre hacking [13] no mundo. Segundo ANTÔNIO CELSO GALDINO FRAGA, em 1986, a referida organização publicou o relatório denominado Computer-Related Crime: Analysis of Legal Policy, no qual abordou o problema da criminalidade informática e a necessidade de tipificação de certas condutas, como fraudes financeiras, falsificação documental, contrafação de software, intercepção de comunicações telemáticas, entre outras [14] . Não há consenso na classificação dos delitos de informática. Existem várias maneiras de conceituar tais condutas in genere. Todavia, a taxionomia mais aceita é a propugnada por HERVÉ CROZE e YVES BISMUTH [15] , que distinguem duas categorias de crimes informáticos:   a)    os crimes cometidos contra um sistema de informática, seja qual for a motivação do agente;   b)    os crimes cometidos contra outros bens jurídicos, por meio de um sistema de informática.   No primeiro caso, temos o delito de informática propriamente dito, aparecendo o computador como meio e meta, podendo ser objetos de tais condutas o computador, seus periféricos, os dados ou o suporte lógico da máquina e as informações que guardar. No segundo caso, o computador é apenas o meio de execução, para a consumação do crime-fim, sendo mais comuns nesta espécie as práticas ilícitas de natureza patrimonial, as que atentam contra a liberdade individual e contra o direito de autor [16] .

Na doutrina brasileira, tem-se asseverado que os crimes informáticos podem ser puros (próprios) e impuros (impróprios). Serão puros ou próprios, no dizer de DAMÁSIO [17] , aqueles que sejam praticados por computador e se realizem ou se consumem também em meio eletrônico. Neles, a informática (segurança dos sistemas, titularidade das informações e integridade dos dados, da máquina e periféricos) é o objeto jurídico tutelado.

Já os crimes eletrônicos impuros ou impróprios são aqueles em que o agente se vale do computador como meio para produzir resultado naturalístico, que ofenda o mundo físico ou o espaço “real”, ameaçando ou lesando outros bens, não-computacionais ou diversos da informática.

Para LUIZ FLÁVIO GOMES, os crimes informáticos dividem-se em crimes contra o computador; e crimes por meio do computador [18] , em que este serve de instrumento para atingimento da meta optata. O uso indevido do computador ou de um sistema informático (em si um fato “tipificável”) servirá de meio para a consumação do crime-fim. O crime de fraude eletrônica de cartões de crédito serve de exemplo.

Os crimes de computador, em geral, são definidos na doutrina norte-americana como special opportunity crimes [19] , pois são cometidos por pessoas cuja ocupação profissional implica o uso cotidiano de microcomputadores, não estando excluída, evidentemente, a possibilidade de serem perpetrados por meros diletantes.

De qualquer modo, ainda que não se tenha chegado a um consenso quanto ao conceito doutrinário de delito informático, os criminosos eletrônicos, ou ciberdelinqüentes [20] , já foram batizados pela comunidade cibernética de hackers, crackers e phreakers.

Os primeiros são, em geral, simples invasores de sistemas, que atuam por espírito de emulação, desafiando seus próprios conhecimentos técnicos e a segurança de sistemas informatizados de grandes companhias e organizações governamentais. No início da cibercultura [21] , eram tidos como heróis da revolução informática, porque teriam contribuído para o desenvolvimento da indústria do software e para o aperfeiçoamento dos computadores pessoais e da segurança dos sistemas informáticos.

Os crackers, por sua vez, são os “hackers aéticos”. Invadem sistemas para adulterar programas e dados, furtar informações e valores e prejudicar pessoas. Praticam fraudes eletrônicas e derrubam redes informatizadas, causando prejuízos a vários usuários e à coletividade.

Por fim, os phreakers são especialistas em fraudar sistemas de telecomunicação, principalmente linhas telefônicas convencionais e celulares, fazendo uso desses meios gratuitamente ou às custas de terceiros. DAVID ICOVE informa que “Many crackers are also phreakers: they seek ways to make repeated modem connections to computers they are attacking without being charged for those connections, and in a way that makes it difficult or impossible to trace their calls using convenional means” [22] .

Há ainda os cyberpunks e os cyberterrorists, que desenvolvem vírus [23] de computador perigosos, como os Trojan horses (cavalos de Tróia) e as Logic bombs [24] , com a finalidade de sabotar redes de computadores e em alguns casos propiciar a chamada DoS – Denial of Service, com a queda dos sistemas de grandes provedores, por exemplo, impossibilitando o acesso de usuários e causando prejuízos econômicos.

Embora no underground cibernético, essas diferentes designações ainda façam algum sentido e tenham importância, o certo é que, hoje, para a grande maioria das pessoas, a palavra hacker serve para designar o criminoso eletrônico, o ciberdelinqüente. E isto mesmo na Europa e nos Estados Unidos, onde já se vem abandonando a classificação um tanto quanto maniqueísta acima assinalada. A propósito, o Computer Misuse Act — CMA, de 1990 [25] , seguindo esse caminho, procurou qualificar dois tipos de hackers [26] :

a)    o inside hacker: indivíduo que tem acesso legítimo ao sistema, mas que o utiliza indevidamente ou exorbita do nível de acesso que lhe foi permitido, para obter informações classificadas. Em geral, são funcionários da empresa vítima ou servidores públicos na organização atingida;

b)    o outsider hacker, que vem a ser o indivíduo que obtém acesso a computador ou a rede, por via externa, com uso de um modem, sem autorização.

O primeiro hacker mundialmente famoso, objeto de reportagens nas emissoras de TV americanas, em grandes jornais e personagem de pelo menos três livros, foi KEVIN MITNICK. Sua história foi contada pelo jornalista JEFF GOODELL [27] , que descreveu sua trajetória desde as razões criminógenas que o impulsionaram ao hacking, até a sua condenação pela Justiça criminal norte-americana, passando pelo relato das peripécias e estratégias empreendidas por TSUTOMU SHIMOMURA, para rastreá-lo na superestrada da informação e encontrá-lo.

Nessa mesma perspectiva, mas no campo da ficção, devem ser lembrados filmes como:

I)                 War Games — Jogos de Guerra (1985), em que um jovem micreiro obtém acesso não autorizado ao sistema informatizado do NORAD — North American Aerospace Defense Command , de defesa antiárea dos Estados Unidos, e quase dá início à terceira guerra mundial;

II)              The Net — A Rede (1995), em que a atriz Sandra Bullock representa uma teletrabalhadora que tem sua identidade usurpada ilegalmente por uma organização criminosa, que apaga e altera os dados pessoais da personagem registrados nos computadores do governo americano, fazendo-a “desaparecer”;

III)          Eraser — Queima de Arquivo (1996), com Arnold Schwarzenegger, com argumento semelhante, em que a personagem central, agente secreto, apaga dados computadorizados pessoais de vítimas e testemunhas de crimes, para dar-lhes proteção contra criminosos;

IV)            Enemy of State — Inimigo do Estado (1998), com Will Smith, em que o ator personifica um advogado que é fiscalizado e perseguido por órgãos de segurança do governo por meio de sofisticados equipamentos eletrônicos e de computadores, por estar de posse de um disquete contendo a prova material de um crime; e

V)               The Matrix – Matriz (1999), filme em que Keanu Reaves entra no ciberespaço, conectando seu sistema nervoso central a um computador;

VI)            além da comédia romântica You’ve Got M@il — Mens@gem para Você (1999), com Tom Hanks e Meg Ryan, cujo roteiro gira em torno da troca de emails por um casal que se conhece na Internet.

O interesse da indústria cinematográfica e da mídia em geral pelo computador, seus usos, interações e conseqüências no dia-a-dia da sociedade revela quão intrincadas podem ser as repercussões da informática sobre o Direito, inclusive na esfera criminal, porquanto são muitas as formas de ofensa a bens tutelados pelos ordenamentos jurídicos.

Os cibercriminosos em geral cometem infrações de várias espécies, como a cibergrilagem (cybersquatting), prática na qual o internauta se apropria de domínios virtuais registrados em nome de terceiros. Outra conduta corriqueira é o hijacking [28] (“seqüestro”) ou desvio de DNS — Domain Name System [29] , que consiste em inserir alteração no endereço de uma determinada página para conduzir o internauta a outro site, diferente daquele a que se procura acessar. Fatos dessa natureza usualmente configuram concorrência desleal, e convivem com formas de protesto, como o grafite ou “pichação” de web sites oficiais ou de personalidades. Essa modalidade de ataque informático é denominada por alguns de take over ou site owning.

O uso de sniffers e a utilização de cookies também são práticas repudiadas pelos costumes e regras de convivência da cultura ciberespacial — e que constituem a “netiqueta”. Sniffers são programas intrusos que servem para vasculhar a intimidade de internautas, ao passo que os cookies (“biscoitos”, em inglês) são também códigos programados para aderir ao disco rígido do computador que acessa um determinado site, e se prestam a colher informações pessoais do usuário. Nesse grupo também estão os programas cavalos de Tróia ou Trojan Horses [30] , que abrem brechas de segurança em sistemas, permitindo a instalação de uma espécie de janela virtual no computador da vítima e que pode ser aberta ao alvitre do hacker para fins ilícitos.

Não são incomuns os casos de perseguição ou ameaças digitais, por via telemática. O computador, então, serve como instrumento para violações à privacidade ou à liberdade individual, já havendo leading case no Brasil de condenação no tipo do art. 147 do Código Penal, em situação de ameaça eletrônica cometida contra uma jornalista da TV Cultura, de São Paulo.

Todos esses “delitos” (os fatos tipificados e os ainda pendentes de criminalização), de regra, são cometidos mediante o abuso de anonimato, principalmente os crimes contra a honra, tornando praticamente inexeqüível a garantia do art. 5º, inciso V, da Constituição Federal (direito à indenização), em face do que dispõe o inciso IV do mesmo artigo no tocante à vedação do anonimato.

A cultura da Internet tradicionalmente requer (ou permite) que o internauta assuma uma identidade virtual. As comunidades não são compostas por “João da Silva” ou por “Maria dos Santos”. Em geral, os cibernavegantes ocultam suas identidades sob apelidos ou nicknames, como “Luluzinha”, “O Vigia”, “Zangão666”, ou “Blackbird”, e alguns utilizam emails virtuais (webmail), providência que torna ainda mais difícil a identificação do usuário.

Por isso mesmo, um dos grandes problemas da criminalidade online é justamente o da identificação do autor do fato ilícito [31] , muito mais do que a determinação da materialidade. Não são impossíveis situações delitivas em que uma pessoa se faça passar por outra, mediante o uso indevido de senhas pessoais em sistemas informatizados [32] , podendo, em casos mais graves e bem raros, ocorrer o identity theft ou “furto de identidade”, que consiste em alguém assumir durante certo tempo a identidade de outro internauta na grande rede, com evidentes implicações pessoais.

No tocante às relações de consumo, poderiam ser pensados tipos para a prevenção da prática de spam [33] , impedir a comercialização de mailing lists [34] e de cadastros informatizados de consumidores, bem como para vedar a elaboração de perfis cruzados de consumo, prática que, se bem entendida, faz surgir um verdadeiro totalitarismo comercial: “Já não se vende somente o produto; agora se vende o próprio consumidor”, diz o juiz DEMÓCRITO REINALDO FILHO [35] .

Quanto ao Estado e a seus órgãos de investigação, as preocupações com a proteção do indivíduo dizem respeito à proteção do sigilo de informações sensíveis, reservadas ou classificadas, armazenadas em bancos de dados oficiais (como os da Receita Federal e do INSS) e à proibição de interceptação de emails ou de comunicações telemáticas [36] , a escuta fiscal no comércio eletrônico (e-commerce) e a identificação ou pesquisa de hits [37] de Internet, práticas que, se toleradas, representariam uma ação governamental nos moldes de “1984” de GEORGE ORWELL [38] . Estaríamos (podemos estar) sendo vigiados pelo “Grande Irmão” e um indício desse risco se revela na política adotada por certas cidades, inclusive na Europa, de instalar câmeras de vídeo nos logradouros públicos.

Muitos outros bens jurídicos estão em jogo, quando se cuida da criminalidade pela Internet (uma das formas de criminalidade informática), como os direitos de autor, que têm sido, desde a disseminação da WWW, quase que “desinventados”, por conta da facilidade de realizar cópias de textos, livros, músicas e filmes. Aliás, como prova o caso em que a indústria fonográfica americana contende com o provedor Napster, em razão da extrema facilitação de cópias de música digital no formato MP3.

Não podem, contudo, ser olvidadas velhas práticas que, no ciberespaço, tomaram fôlego novo, a exemplo dos web sites de agenciamento de prostituição (fato enquadrável no art. 228 do Código Penal), a pedofilia virtual (art. 241 do Estatuto da Criança e do Adolescente?); o controvertido “adultério virtual” [39] e os crimes patrimoniais em geral, denominados genericamente de fraudes eletrônicas.

Segundo dados da Associação Brasileira das Empresas de Cartões de Crédito e Serviços — Abecs, “as perdas com fraudes no ano passado atingiram R$200 milhões. No ano anterior, o prejuízo foi de R$ 260 milhões e, em 1998, de R$300 milhões”. A Abecs tem se preocupado com os cibercrimes praticados mediante o uso fraudulento de cartões de crédito e está introduzindo no mercado os cartões com chips eletrônicos, que têm alto nível de segurança [40] .

Esse apanhado nos mostra que é inevitável a atuação da Justiça Penal no ciberespaço, seja para proteger os bens jurídicos tradicionais, seja para assegurar guarda a novos valores, decorrentes da cibercultura, como a própria liberdade cibernética, o comércio eletrônico, a vida privada, a intimidade e o direito de autor na Internet.

Vale dizer: se a sociedade (ou parte dela) migrou virtualmente para o ciberespaço, para lá também deve caminhar o Direito. Ubi societas, ibi jus.

4. Internet, Ciberespaço e Direito Penal

É muito antiga a noção de que Direito e Sociedade são elementos inseparáveis. “Onde estiver o homem, aí deve estar o Direito”, diziam os romanos. A cada dia a Ciência Jurídica se torna mais presente na vida dos indivíduos, porque sempre as relações sociais vão-se tornando mais complexas.

A Internet, a grande rede de computadores, tornou essa percepção ainda mais clara. Embora, nos primeiros anos da rede tenham surgido mitos sobre sua “imunidade” ao Direito, esse tempo passou e já se percebe a necessidade de mecanismos de auto-regulação [41] e hetero-regulação, principalmente por causa do caráter ambivalente da Internet.

CELSO RIBEIRO BASTOS, nos seus Comentários à Constituição do Brasil, percebeu essa questão, ao asseverar que “A evolução tecnológica torna possível uma devassa na vida íntima das pessoas, insuspeitada por ocasião das primeiras declarações de direitos” [42] . Força é convir que não se pode prescindir do Direito, para efeito da prevenção, da reparação civil e da resposta penal, quando necessária.

Tendo em vista as origens da Internet, é quase um contra-senso defender a idéia de que o ciberespaço co-existe com o “mundo real” como uma sociedade libertária ou anárquica. Isto porque a cibernética — que se aplica inteiramente ao estudo da interação entre homens e computadores — é a ciência do controle. A própria rede mundial de computadores, como um sub-produto da Guerra Fria, foi pensada, ainda com o nome de Arpanet (Advanced Research Projects Agency), para propiciar uma vantagem estratégica para os Estados Unidos, em caso de uma conflagração nuclear global contra a hoje extinta União Soviética.

A WWW – World Wide Web, que popularizou a Internet, propiciando interatividade e o uso de sons e imagens na rede, foi desenvolvida em 1990 no CERN — Organisation Européenne pour la Recherche Nucléaire/European Organization for Nuclear Research [43] , pelo cientista TIM BERNERS-LEE. O CERN é uma organização internacional de pesquisas nucleares em física de partículas, situada nas proximidades de Genebra, na Suíça, e fundada em 1954. Atualmente a sua convenção-constituinte tem a ratificação de vinte Estados-partes.

Além dessa origem pouco vinculada à idéia de liberdade, a grande rede não tem existência autônoma. As relações que se desenvolvem nela têm repercussões no “mundo real”. O virtual e o real são apenas figuras de linguagem (um falso dilema), não definindo, de fato, dois mundos diferentes, não dependentes. Em verdade, tudo o que se passa no ciberespaço acontece na dimensão humana e depende dela.

Por conseguinte, a vida online nada mais é do que, em alguns casos, uma reprodução da vida “real” somada a uma nova forma de interagir. Ou seja, representa diferente modo de vida ou de atuação social que está sujeito às mesmas restrições e limitações ético-jurídicas e morais aplicáveis à vida comum (não eletrônica), e que são imprescindíveis à convivência. Tudo tendo em mira que não existem direitos absolutos e que os sujeitos ou atores desse palco virtual e os objetos desejados, protegidos ou ofendidos são elementos da cultura ou do interesse humano.

Mas a Internet não é só isso. No que nos interessa, a revolução tecnológica propiciada pelos computadores e a interconexão dessas máquinas em grandes redes mundiais, extremamente capilarizadas, é algo sem precedentes na história humana, acarretado uma revolução jurídica de vastas proporções, que atinge institutos do direito tributário, comercial, do consumidor, temas de direitos autorais e traz implicações à administração da Justiça, à cidadania e à privacidade.

Não é por outra razão que, do ponto de vista cartorial (direito registrário), a Internet já conta com uma estrutura legal no País, representada pelo Comitê Gestor da Internet no Brasil, que delegou suas atribuições à FAPESP – Fundação de Amparo à Pesquisa do Estado de São Paulo, e tem regulamentado principalmente a adoção, o registro e a manutenção de nomes de domínio na rede brasileira.

Assim, verifica-se que não passam mesmo de mitos as  proposições de que a Internet é um espaço sem leis ou terra de ninguém, em que haveria liberdade absoluta e onde não seria possível fazer atuar o Direito Penal ou qualquer outra norma jurídica [44] .

Estabelecido que a incidência do Direito é uma necessidade inafastável para a harmonização das relações jurídicas ciberespaciais, é preciso rebater outra falsa idéia a respeito da Internet: a de que seriam necessárias muitas leis novas para a proteção dos bens jurídicos a serem tutelados pelo Direito Penal da Internet. Isto é uma falácia. Afinal, conforme o Ministro SEPÚLVEDA PERTENCE, do Supremo Tribunal Federal, a invenção da pólvora não mudou a forma de punir o homicídio [45] .

Destarte, a legislação aplicável aos conflitos cibernéticos será a já vigente, com algumas adequações na esfera infraconstitucional. Como norma-base, teremos a Constituição Federal, servindo as demais leis para a proteção dos bens jurídicos atingidos por meio do computador, sendo plenamente aplicáveis o Código Civil, o Código de Defesa do Consumidor, a Lei dos Direitos Autorais, a Lei do Software e o próprio Código Penal, sem olvidar a Lei do Habeas Data.

Os bens jurídicos ameaçados ou lesados por crimes informáticos merecerão proteção por meio de tutela reparatória e de tutela inibitória. Quando isso seja insuficiente, deve incidir a tutela penal, fundada em leis vigentes e em tratados internacionais, sempre tendo em mira o princípio da inafastabilidade da jurisdição, previsto no art. 5º, inciso XXXV, da Constituição Federal.

A atuação do Direito Penal será imprescindível em alguns casos, por conta da natureza dos bens jurídicos em jogo. Pois, pela web e no ciberespaço circulam valores, informações sensíveis, dados confidenciais, elementos que são objeto de delitos ou que propiciam a prática de crimes de variadas espécies. Nas vias telemáticas, transitam nomes próprios, endereços e números de telefone, números de cartões de crédito, números de cédulas de identidade, informações bancárias, placas de veículos, fotografias, arquivos de voz, preferências sexuais e gostos pessoais, opiniões e idéias sensíveis, dados escolares, registros médicos e informes policiais, dados sobre o local de trabalho, os nomes dos amigos e familiares, o número do IP ­­— Internet Protocol [46] , o nome do provedor de acesso, a versão do navegador de Internet (browser), o tipo e versão do sistema operacional instalado no computador.

A interceptação de tais informações e dados ou a sua devassa não autorizada devem ser, de algum modo, tipificadas, a fim de proteger esses bens que são relevantes à segurança das relações cibernéticas e à realização da personalidade humana no espaço eletrônico.

Como escreveu FERNANDO PESSOA, navegar é preciso. E no mar digital, tanto quanto nos oceanos desbravados pelas naus portuguesas, há muitas “feras” a ameaçar os internautas incautos, a exemplo do Estado e de suas agências (vorazes e ameaçadores como tubarões); dos ciberdelinqüentes (elétricos e rápidos como enguias); de algumas empresas (sedutoras e enganosas como sereias); dos bancos de dados centralizados (pegajosos e envolventes como polvos); e de certos provedores (oportunistas comensais como as rêmoras).

LAWRENCE LESSIG, o maior especialista norte-americano em Direito da Internet, adverte que a própria arquitetura dos programas de computador que permitem o funcionamento da Internet como ela é pode se prestar à regulação da vida dos cidadãos online tanto quanto qualquer norma jurídica [47] .

Uma nova sociedade, a sociedade do ciberespaço [48] surgiu nos anos noventa, tornando-se o novo foco de utopias. “Here freedom from the state would reign. If not in Moscow or Tblisi, then here in cyberspace would we find the ideal libertarian society”.

Para LESSIG, “As in post-Communist Europe, first thoughts about cyberspace tied freedom to the disappearance of the state. But here the bond was even stronger than in post-Communist Europe. The claim now was that government ‘could not’ regulate cyberspace, that cyberspace was essencially, and unavoidably, free. Governments could threaten, but behavior could not be controlled; laws could be passed, but they would be meaningless. There was no choice about which government to install — none could reign. Cyberspace would be a society of a very different sort. There would be a definition and direction, but built from the bottom up, and never through the direction of a state. The society of this space would be a fully self-ordering entity, cleansed of governors and free from political hacks”. [49]

A idéia anárquica de Internet tem nítida relação — que ora apontamos — com o movimento abolicionista, do qual HULSMAN [50] , é um dos maiores defensores. No entanto, segundo LESSIG, a etimologia da palavra “ciberespaço” remete à cibernética, que é a ciência do controle à distância. “Thus, it was doubly odd to see this celebration of non-control over architectures born from the very ideal of control” [51] .

Posicionando-se, LESSIG pontua que não há liberdade absoluta na Internet e que não se pode falar no afastamento total do Estado. O ideal seria haver uma “constituição” para a Internet, não no sentido de documento jurídico escrito — como entenderia um publicista —, mas com o significado de “arquitetura” ou “moldura”, que estruture, comporte, coordene e harmonize os poderes jurídicos e sociais, a fim de proteger os valores fundamentais da sociedade e da cibercultura.

Essa moldura deve ser um produto consciente e fruto do esforço de cientistas, usuários, empresas e Estado, pois o “cyberspace, left to itself, will no fulfill the promise of freedom. Left to itself, cyberspace will become a perfect tool of control. Control. Not necessarily control by government, and not necessarrily control to some evil, fascist end. But the argument of this book is that the invisible hand of cyberspace is building an architecture that is quite the opposite of what it was at cyberspace’s birth. The invisible hand, through commerce, is constructing an architecture that perfects control — an architecture that makes possible highly efficient regulation” [52] .

Mais adiante, LESSIG arrola suas perplexidades diante das implicações do ciberespaço sobre o Direito, declarando que “Behavior was once governed ordinarily within one jurisdiction, or within two coordinating jurisdictions. Now it will sistematically be governed within multiple, non-coordinating jurisdictions. How can law handle this? [53] . Ou seja, como será possível enfrentar o problema do conflito real de diferentes ordens jurídicas nacionais, em decorrência de fatos ocorridos no ciberespaço ou na Internet?

Contudo, JACK GOLDSMITH, citado por LESSIG, opina que “there is nothing new here. For many years the law has worked through these conflicts of authority. Cyberspace may increase the incidence of these conflicts, but it does not change their nature”, posição que parece lançar um pouco de luz sobre o tema.

Ainda segundo LESSIG, a mudança das concepções a respeito dos hackers, dá idéia de como o Direito tem lidado com conflitos entre as normas do ciberespaço e as da comunidade do “espaço real”. “Originally, hackers were relatively harmless cyber-snoops whose behavior was governed by the norms of the hacker community. A hacker was not to steal; he was not to do damage; he was to explore, and if he found a hole in a system’s security, he was to leave a card indicating the problem”.

Isto porque, no início, a Internet era um mundo de softwares e sistemas abertos [54] , no qual valiosos arquivos e informações financeiras não eram acessíveis online. “Separate networks for defense and finance were not part of the Internet proper”.

Todavia, com o avanço do cibercomércio, as coisas mudaram, e foi necessário estabelecer novas regras de segurança na rede, fazendo surgir um evidente conflito entre a cibercultura hacker e os interesses financeiros e econômicos das empresas e as preocupações estratégicas e de segurança do governo. “As these cultures came into conflict, real-space law quickly took sides. Law worked ruthlessly to kill a certain kind of online community. The law made the hackers’ behavior a ‘crime’, and the government took aggressive steps to combat it. A few prominent and well-publicized cases were used to redefine the hackers’ ‘harmless behavior’ into what the law could call ‘criminal’. The law thus erased any ambiguity about the ‘good’ in hacking” [55] .

Exemplo disso foi o que se deu com ROBERT TAPPIN MORRIS, da Universidade de Cornell, que foi condenado a três anos de detenção, com direito a sursis (probation), pela Justiça Federal norte-americana, por violar o Computer Fraud and Abuse Act de 1986. Essa lei tipifica o crime de acesso doloso a “computadores de interesse federal” sem autorização, quando esse acesso cause dano ou impeça o acesso de usuários autorizados. MORRIS programou um worm [56] para mostrar as falhas do programa de email Sendmail, acabando por contaminar computadores federais, “congelando-os” ou deixando-os off-line.

Por conseguinte, embora repudiando o exagero de certas tipificações, não há como negar a interação entre a Internet e o Direito Penal. Isto porque o ciberespaço e sua cultura própria não estão fora do mundo. E, estando neste mundo, invariavelmente acabarão por sujeitar-se ao Direito, para a regulação dos abusos que possam ser cometidos pelo Estado contra a comunidade cibernética e para a prevenção de ações ilíctas e ilegítimas de membros da sociedade informatizada contra bens jurídicos valiosos para toda pessoa ou organização humana.

5. O problema da tipicidade

Sendo o Brasil um Estado democrático de Direito (art. 1º da Constituição Federal), necessariamente aplicam-se em seu território os princípios da legalidade e da anterioridade da lei penal.

Com efeito, o art. 5º, inciso XXXIX, da Lex Legum, estabelece, entre as liberdades públicas, a garantia de que “não há crime sem lei anterior que o defina, nem pena sem prévia cominação legal”. O art. 1º do Código Penal, por sua vez, estatui que “Não há crime sem lei anterior que o defina. Não há pena sem prévia cominação legal”.

Tais dispositivos traduzem, no direito positivo, os velhos princípios gerais do nullum crimen sine lege e nulla poena sine lege, dogmas que passaram a ser inafastáveis também nos países que adotam o sistema Common Law, pelo menos na Europa, tendo em conta que o art. 7º da Convenção Européia para os Direitos Humanos, de 1998, dispõe que “No one shall be held guilty of any offence on account of any act or omission which did not constitute a criminal offence under national ou international law at the time when it was committed”. Daí a opção do Parlamento inglês pela edição do CMA — Computer Misuse Act, ao invés de continuar adotando o sistema de precedentes (case law).

A tipicidade é uma conseqüência direta do princípio da legalidade. Um fato somente será típico se a lei descrever, previamente e pormenorizadamente, todos os elementos da conduta humana tida como ilícita. Só assim será legítimo o atuar da Polícia Judiciária, do Ministério Público e da Justiça Penal.

MUÑOZ CONDE diz que “A tipicidade é a adequação de um fato cometido à descrição que desse fato tenha feito a lei penal. Por imperativo do princípio da legalidade, em sua vertente do nullum crimen sine lege, somente os fatos tipificados na lei penal como delitos podem ser considerados como tais” [57] .

Por sua vez, Hans-Heinrich JESCHECK, assevera que “O conteúdo do injusto de toda classe de delito toma corpo no tipo, para que um fato seja antijurídico penalmente há de corresponder aos elementos de um tipo legal. Esta correspondência se chama tipicidade (TatbestandsmässigKeit)” [58] .

Entre os penalistas brasileiros, Fernando de Almeida PEDROSO esclarece que “Não basta, conseqüentemente, que o fato concreto, na sua aparência, denote estar definido na lei penal como crime. Há mister corresponda à definição legal. Nessa conjectura, imprescindível é que sejam postas em confronto e cotejo as características abstratas enunciativas do crime com as características ocorrentes no plano concreto, comparando-se uma a uma. Se o episódio a todas contiver, reproduzindo com exatidão e fidelidade a sua imagem abstrata, alcançará a adequação típica. Isso porque ocorrerá a subsunção do fato ao tipo, ou seja, o seu encarte ou enquadramento à definição legal. Por via de conseqüência, realizada estará a tipicidade, primeiro elemento da composição jurídica do crime” [59] .

A par dessa apreciação dogmática, é preciso ver que  para que se admita um novo tipo penal no ordenamento brasileiro, é imprescindível que se atendam outras regras constitucionais, no sentido da elaboração legislativa. In casu, a competência é duplamente federal, porque, conforme o art. 22, inciso I, da Constituição, compete privativamente à União legislar sobre direito penal e, segundo o inciso IV, do mesmo artigo, a União também detém a competência para legislar sobre informática.

A colocação do problema nesses termos, a partir dos dispositivos constitucionais, tem relevância porque, em tratando de Internet, nos defrontamos com velhos delitos, executados por diferente modo (muda o modus operandi), ao mesmo tempo que estamos diante de uma nova criminalidade, atingindo novos valores sociais.

Quantos aos velhos delitos, já tipificados no Código Penal e na legislação extravagante, não há dificuldades para operar o sistema penal. As fórmulas e diretrizes do processo penal têm serventia, bastando, quanto a eles, adequar e modernizar as formas de persecução penal pelos órgãos oficiais, principalmente no tocante à investigação criminal pela Polícia Judiciária, uma vez que os ciberdelinqüentes têm grande aptidão técnica.

Como exemplo, pode-se afirmar que o crime de homicídio praticado por meio do computador (delito informático impróprio) deverá ser punido nos mesmos moldes do art. 121 do Código Penal. A proposição é de DAMÁSIO e, embora de difícil consumação, não é hipótese de todo inverossímil. Trata-se de caso em que um habilidoso cracker invade a rede de computadores de um hospital altamente informatizado, mudando as prescrições médicas relativas a um determinado paciente, substituindo drogas curativas por substâncias perniciosas ou alterando as dosagens, com o fim deliberado de produzir efeito letal. Ao acessar o terminal de computadores, um enfermeiro não percebe a alteração indevida e, inadvertidamente, administra o medicamento em via intravenosa, provocando a morte do paciente. Incidirá, nesta hipótese, o Código Penal e o processo será de competência do tribunal do júri da comarca onde se situar o hospital, aplicando-se nesse aspecto a teoria da atividade.

De igual modo, aplicar-se-á o tipo do art. 155, §4º, inciso II, do Código Penal (furto qualificado pela destreza) ao internauta que, violando o sistema de senhas e de segurança digital de um banco comercial, conseguir penetrar na rede de computadores da instituição financeira, dali desviando para a sua conta uma determinada quantia em dinheiro. Competente será o juízo criminal singular da circunscrição judiciária onde estiver sediado o banco.

Com isso, afiança-se que, ao punir os infratores eletrônicos com base nos tipos já definidos em lei, o Poder Judiciário não estará violando o princípio da legalidade nem o da anterioridade da lei penal.

Todavia, o Direito brasileiro não oferece solução para condutas lesivas ou potencialmente lesivas que possam ser praticadas pela Internet e que não encontrem adequação típica no rol de delitos existentes no Código Penal e nas leis especiais brasileiras ou nos tratados internacionais, em matéria penal, do qual o Estado brasileiro seja parte.

É clássica, nesse sentido, a referência à conduta do agente que, valendo-se de um microcomputador, obtém acesso à máquina da vítima e ali introduz, por transferência de arquivos, um vírus de computador, que acaba por provocar travamento dos programas instalados no aparelho atingido.

Sabe-se que o crime de dano, previsto no art. 163 do Código Penal, consuma-se quando se dá a destruição, deterioração ou inutilização de coisa alheia. Pergunta-se: um programa de computador, um software, é coisa?

Ou, por outra, figure-se o seguinte exemplo: um indivíduo invade um sistema e cópia um programa de computador. O software tem valor econômico. Mas poderá ser considerado res furtiva —para enquadrar-se como objeto de crime patrimonial —, já que a simples cópia do programa não retira a coisa da esfera de disponibilidade da vítima?

Em qualquer dos casos, para a adequação típica será necessário, certamente, um esforço interpretativo e poder-se-á objetar com o argumento de que não se admite analogia em Direito Penal, levando à conclusão de que esses fatos seriam atípicos.

Esse é apenas um singelo exemplo das dificuldades exegéticas e dos problemas conseqüentes no tocante à impunidade e à insegurança jurídica que a falta de uma lei de crimes de informática acarreta para a coletividade e para o cidadão, respectivamente.

ANTÔNIO CELSO GALDINO FRAGA é de opinião que nos Estados que adotam o sistema Civil Law e que ainda não editaram leis específicas sobre criminalidade informática, tais condutas são atípicas [60] . A Inglaterra já o fez, por meio do citado CMA — Computer Misuse Act, de 1990, tipificando, entre outros, o crime de “modificação não autorizada de dado informático”, preferindo o verbo “modificar” ao verbo “danificar”, tendo em conta a intangibilidade dos programas de computador [61] .

Alguns tipos penais, que descrevem crimes de informática, contudo, já existem. Podemos citar:

a)      o art. 10 da Lei Federal n. 9.296/96, que considera crime, punível com reclusão de 2 a 4 anos e multa, “realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo de Justiça, sem autorização judicial ou com objetivos não autorizados em lei” [62] ;

b)      o art. 153, §1º-A, do Código Penal, com a redação dada pela Lei Federal n. 9.983/2000, que tipifica o crime de divulgação de segredo: “Divulgar, sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública”, punindo-o com  detenção de 1 a 4  anos, e multa;

c)       o art. 313-A, do Código Penal, introduzido pela Lei n. 9.983/2000, que tipificou o crime de inserção de dados falsos em sistema de informações, com a seguinte redação: “Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano”, punindo-o com pena de reclusão, de 2 (dois) a 12 (doze) anos, e multa;

d)      o art. 313-B, do Código Penal, introduzido pela Lei n. 9.983/2000, que tipificou o crime de modificação ou alteração não autorizada de sistema de informações, com a seguinte redação: “Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente”, cominando-lhe pena de detenção, de 3 (três) meses a 2 (dois) anos, e multa;

e)      o art. 325, §1º, incisos I e II, introduzidos pela Lei n. 9.983/2000, tipificando novas formas de violação de sigilo funcional, nas condutas de quem “I – permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública” e de quem “II – se utiliza, indevidamente, do acesso restrito”, ambos sancionados com penas de detenção de 6 meses a 2 anos, ou multa;

f)        o art. 12, caput, §§1º e 2º, da Lei Federal n. 9.609/98, que tipifica o crime de violação de direitos de autor de programa de computador, punindo-o com detenção de 6 meses a 2 anos, ou multa; ou com pena de reclusão de 1 a 4 anos e multa, se o agente visa ao lucro;

g)      o art. 2º, inciso V, da Lei Federal n. 8.137/90, que considera crime “utilizar ou divulgar programa de processamento de dados que permita ao sujeito passivo da obrigação tributária possuir informação contábil diversa daquela que é, por lei, fornecida à Fazenda Pública”; e

h)      o art. 72 da Lei n. 9.504/97, que cuida de três tipos penais eletrônicos de natureza eleitoral.

Art. 72. Constituem crimes, puníveis com reclusão, de cinco a dez anos:

I – obter acesso a sistema de tratamento automático de dados usado pelo serviço eleitoral, a fim de alterar a apuração ou a contagem de votos;

II – desenvolver ou introduzir comando, instrução, ou programa de computador capaz de destruir, apagar, eliminar, alterar, gravar ou transmitir dado, instrução ou programa ou provocar qualquer outro resultado diverso do esperado em sistema de tratamento automático de dados usados pelo serviço eleitoral;

III – causar, propositadamente, dano físico ao equipamento usado na votação ou na totalização de votos ou a suas partes.

Tais tipificações esparsas [63] não resolvem o problema da criminalidade na Internet, do ponto de vista do direito objetivo, mas revelam a preocupação do legislador infraconstitucional de proteger os bens informáticos e de assegurar, na esfera penal, a proteção a dados de interesse da Administração Pública e do Estado democrático, bem como à privacidade “telemática” do indivíduo.

Para IVETTE SENIE FERREIRA essas leis “longe de esgotarem o assunto, deixaram mais patente a necessidade do aperfeiçoamento de uma legislação relativa à informática para a prevenção e repressão de atos ilícitos específicos, não previstos ou não cabíveis nos limites da tipificação penal de uma legislação que já conta com mais de meio século de existência” [64] .

ALEXANDRE DAOUN e RENATO OPICE BLUM, por sua vez, alertam para os riscos da inflação legislativa no Direito Penal da Informática [65] , posicionando-se — embora sem dizê-lo —, entre os que defendem a intervenção mínima.

Entretanto, a idéia de fragmentaridade inerente do Direito Penal, adequando-se à diretriz que determina a consideração da lesividade da conduta e à noção da intervenção mínima, impõe que outros bens jurídicos, além dos listados, sejam pinçados e postos sob a tutela penal. Por isso mesmo, está em tramitação no Congresso Nacional o PLC — Projeto de Lei da Câmara dos Deputados n. 84/99, de autoria do deputado LUIZ PIAUHYLINO (PSDB-PE).

Em suas disposições gerais, o projeto de lei sobre crimes informáticos busca inicialmente conferir proteção à coleta, ao processamento e à distribuição comercial de dados informatizados, exigindo autorização prévia do titular para a sua manipulação ou comercialização pelo detentor.

No projeto, são estabelecidos claramente os direitos de conhecimento da informação e de retificação dessa informação, o direito de explicação quanto ao seu conteúdo ou natureza, bem como o de busca de informação privada, instituindo-se a proibição de distribuição ou difusão de informação sensível e impondo-se a necessidade de autorização judicial para acesso de terceiros a tais dados.

No tocante ao rol de novos tipos penais, o PLC 84/99 procura inserir no ordenamento brasileiro os crimes de dano a dado ou programa de computador; acesso indevido ou não autorizado; alteração de senha ou acesso a computador, programa ou dados; violação de segredo industrial, comercial ou pessoal em computador; criação ou inserção de vírus de computador; oferta de pornografia em rede sem aviso de conteúdo; e publicação de pedofilia, cominando-se penas privativas de liberdade que variam entre um e quatros anos.

Há todavia tipos com sanções menos graves,  como o crime de que se cuida no art. 11 do PLC 84/99, de obtenção indevida ou não autorizada de dado  ou instrução de computador, com pena de três meses a um ano de detenção e, portanto, sujeito, em tese, à competência do Juizado Especial Criminal.

Se tais delitos forem praticados prevalecendo-se o agente de atividade profissional ou funcional, este ficará sujeito a causa de aumento de pena de um sexto até a metade.

Tramita também na Câmara, o PLC 1.806/99, do deputado FREIRE JÚNIOR (PMDB-TO), que altera o art. 155 do Código Penal para considerar crime de furto o acesso indevido aos serviços de comunicação e o acesso aos sistemas de armazenamento, manipulação ou transferência de dados eletrônicos.

Por sua vez, o PLC 2.557/2000, do deputado ALBERTO FRAGA (PMDB-DF), acrescenta o artigo 325-A ao Decreto-lei n. 1.001/69, Código Penal Militar, prevendo o crime de violação de banco de dados eletrônico, para incriminar a invasão de redes de comunicação eletrônica, de interesse militar, em especial a Internet, por parte de “hacker”.

Já o PLC n. 2.558/2000, de autoria do deputado ALBERTO FRAGA (PMDB-DF), pretende acrescentar o artigo 151-A ao  Código Penal, tipificando o crime de violação de banco de dados eletrônico.

Além desses projetos de lei de natureza penal, é de se registrar o PLC n. 1.589/99, que versa sobre o spam, proibindo tal prática, sem criminalizá-la, e também o PLC n. 4.833/98 que considera crime de discriminação “Tornar disponível na rede Internet, ou em qualquer rede de computadores destinada ao acesso público, informações ou mensagens que induzam ou incitem a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional”, prevendo pena de reclusão de um a três anos e multa para o infrator, e permitindo ao juiz “determinar, ouvido o Ministério Público ou a pedido deste, a interdição das respectivas mensagens ou páginas de informação em rede de computador”.

O PLC n. 4.833/98 é de autoria do deputado PAULO PAIM (PT-RS) e sua ementa “define o crime de veiculação de informações que induzam ou incitem a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional, na rede Internet, ou em outras redes destinadas ao acesso público”.

Também merece ser assinalado o projeto de lei da Câmara, de autoria do deputado VICENTE CAROPRESO (PSDB-SC), que permite a transmissão de dados pela Internet para a prática de atos processuais em jurisdição brasileira; e a Lei n. 9.800/99, já em vigor que permite a prática de certos atos processuais por fax. Aliás, o PLC n. 3.655/2000, do deputado CAROPRESO visa justamente a alterar os arts. 1º e 4º da Lei n. 9.800/99, “autorizando as partes a utilizarem sistema de transmissão de dados e imagens, inclusive fac-simile ou outro similar, incluindo a Internet, para a prática de atos processuais que dependam de petição escrita”.

Ainda nesse âmbito processual, mas com evidente interesse do Direito Penal, tem curso o PLC n. 2.504/200, de iniciativa do deputado NELSON PROENÇA (PMDB-RS), que dispõe sobre o interrogatório do acusado à distância, com a utilização de meios eletrônicos, o chamado interrogatório online, que tem enfrentado a oposição de juristas de renome, ao argumento de que representa cerceamento do direito à ampla defesa do acusado.

6. O problema da autoria

Já assinalada a importância da legalidade também no Direito Penal da Informática, é preciso ver que na sua operacionalização quase sempre haverá uma grande dificuldade de determinar, nos delitos informáticos, a autoria da conduta ilícita. Diferentemente do mundo “real”, no ciberespaço o exame da identidade e a autenticação dessa identidade não podem ser feitos visualmente, ou pela verificação de documentos ou de elementos identificadores já em si evidentes, como placas de veículos ou a aparência física, por exemplo. Quando um indivíduo está plugado na rede, são-lhe necessários apenas dois elementos identificadores: o endereço da máquina que envia as informações à Internet e o endereço da máquina que recebe tais dados. Esses endereços são chamados de IP — Internet Protocol, sendo representados por números, que, segundo LESSIG, não revelam nada sobre o usuário da Internet e muito pouco sobre os dados que estão sendo transmitidos. “Nor do the IP protocols tell us much about the data being sent. In particular, they do not tell us who sent the data, from where the data were sent, to where (geographically) the data are going, for what purpose the data are going there, or what kind of data they are. None of this is known by the system, or knowable by us simply by looking at the data. (…) Whereas in real space — and here is the important point — anonymity has to be created, in cyberspace anonymity is the given” [66] .   No ciberespaço, há razoáveis e fundadas preocupações quanto à autenticidade dos documentos telemáticos e quanto à sua integridade. O incômodo de ter de conviver com tal cenário pode ser afastado mediante a aplicação de técnicas de criptografia na modalidade assimétrica, em que se utiliza um sistema de chaves públicas e chaves privadas, diferentes entre si, que possibilitam um elevado grau de segurança. Contudo, no que pertine à atribuição da autoria do documento, mensagem ou da conduta ilícita, os problemas processuais persistem, porque, salvo quando o usuário do computador faça uso de uma assinatura digital, dificilmente se poderá determinar quem praticou determinada conduta. A assinatura digital confere credendidade ao documento ou mensagem, permitindo que se presuma que o indivíduo “A” foi o autor da conduta investigada. Mas o problema reside exatamente aí. Como a Internet não é self-authenticating a definição de autoria fica no campo da presunção. E, para o Direito Penal, não servem presunções, ainda mais quando se admite a possibilidade de condenação. O único método realmente seguro de atribuição de autoria em crimes informáticos é o que se funda no exame da atuação do responsável penal, quando este se tenha valido de elementos corporais para obter acesso a redes ou computadores. Há mecanismos que somente validam acesso mediante a verificação de dados biométricos do indivíduo. Sem isso a entrada no sistema é vedada. As formas mais comuns são a análise do fundo do olho do usuário ou a leitura eletrônica de impressão digital, ou, ainda, a análise da voz do usuário. Tais questões se inserem no âmbito da segurança digital, preocupação constante dos analistas de sistemas e cientistas da computação, que têm a missão de desenvolver rotinas que permitam conferir autenticidade, integridade, confidencialidade, irretratabilidade e disponibilidade aos dados e  informações que transitam em meio telemático. Naturalmente, tais técnicas e preocupações respondem também a necessidades do Direito Penal Informático e do decorrente processo penal. Como já assinalado, a segurança de um sistema depende do uso de senhas, de assinatura digital ou eletrônica, de certificação digital, da criptografia por chaves assimétricas, da esteganografia [67] , além de requerer a cooperação do usuário no sentido de não compartilhar senhas, de visitar apenas sites seguros [68] , de instalar programas de proteção, como anti-sniffers, firewalls [69] , anti-vírus, o PGP — Pretty Good Privacy, o Cookie Viewer, o NOBO — No Back Oriffice e bloqueadores de conteúdo. Como dito, somente os mecanismos de assinatura eletrônica e certificação digital e de análise biométrica podem conferir algum grau de certeza quanto à autoria da mensagem, da informação, ou da transmissão, se considerado o problema no prisma penal. Mas a criptografia avançada assimétrica, tanto quanto a Internet e a informática, em si mesma ambivalente. Se de um lado se presta a proteger a privacidade de cidadãos honestos e os segredos industriais e comerciais de empresas, presta-se também a assegurar tranqüilidade para ciberdelinqüentes, espaço sereno para transações bancárias ilícitas e campo fértil para o terrorismo e outras práticas criminosas, colocando os órgãos investigativos do Estado em difícil posição e, conseqüentemente, minando a defesa social. Segundo ANDREW SHAPIRO, “Before the widespread availbility of strong encryption, there was always the possibility that remote communications would be intercepted and read by the state (or by private snoops). Though government was only supposed to eavesdrop on those who were engaging in illegal conduct, rogue officials could abuse that power, tapping the lines of law-abiding citizens — or, before the advent of the phone, seizing written communications. Strong encryption changes this, because even unauthorized interception of an encrypted message occurs, the message will be incomprehensible. This changes the balance of power between individuals and the state. It allows us to keep secrets from government” [70] .

Para LOUIS FREEH, Diretor do FBI [71] , “The looming spectre of the widespread use of robust, virtually unbreakable encryption is one of the most difficult problems confronting law enforcement as the next century approaches”.

Diz SHAPIRO que “Prior to the availbility of strong encryption, of course, a criminal might have tried to evade the cops. But the state could respond with its privileged investigative tools — most likely, wiretapping. Now these government officials say, the upper hand has been effectively taken from state. Strong encryption means law enforcement can no longer get timely access to the plain text of messages. The only solution, these officials say, is to allow the state to retain its advantage”. Isto se daria das seguintes formas:

a)    proibição de acesso a ferramentas de codificação poderosas a qualquer cidadão;

b)    desenvolvimento de padrão governamental de cifração, The Clipper Chip, para difusão na indústria e entre os usuários;

c)     proibição de exportação de programas de codificação, tipificando tal conduta como criminosa;

d)    a criação do sistema de molheiro de chaves (key escrow system), pelo qual o usuário de criptografia ficaria obrigado a enviar a um órgão central de controle uma cópia de sua chave privada de cifração. Essa autoridade central, mediante ordem judicial, poderia decodificar a messagem supostamente ilícita e entregá-la aos agentes públicos investigantes.

SHAPIRO critica essas tentativas de controle governamental, asseverando que “(…) the government effort  to regulate code could have the opposite of its intented effect, diminishing individual security while hardly affecting criminals at all (…) What’s inportant here is to see the increasingly intricate ways in which the state may, in the course of legitimate pursuits, limit individual control without justification — and without meaning to do so” [72] .

Ou seja, estamos diante dos velhos conflitos entre direitos fundamentais e interesse público, entre segurança pública e privacidade, entre ação do Estado e a intimidade do indivíduo, questões que somente se resolvem por critérios de proporcionalidade e mediante a análise do valor dos bens jurídicos postos em confronto.

O certo é que, enquanto o Direito Constitucional e o próprio Direito Penal não alcançam consenso quanto à forma de tratamento de tais conflitos, a criminalidade informática tem ido avante, sempre com horizontes mais largos e maior destreza do que o Estado, principalmente no tocante à ocultação de condutas eletrônicas ilícitas e ao encobrimento de suas autorias. DENNING & BAUGH JR [73] informam que os hackers dominam várias técnicas para assegurar-lhes o anonimato, a exemplo:

a)    do uso de test accounts, que são contas fornecidas gratuita e temporariamente por alguns provedores e “que podem ser obtidas a partir de dados pessoais e informações falsas”;

b)    da utilização de anonymous remailers, contas que retransmitem emails enviados por meio de provedores de Internet que garantem o anonimato;

c)     clonagem de celulares para acesso à Internet, de modo a inviabilizar a identificação do local da chamada e de seu autor, mediante rastreamento do sinal;

d)    utilização de celulares pré-pagos, pois tais aparelhos podem ser adquiridos com dados pessoais falsos e são de difícil rastreamento.

Por isso SPINELLO assevera que “eletronic anonymity also frustrates lawmakers’ efforts to hold individuals accountable for they on-line actions” [74] . E isto implica impunidade, em se tratando de criminalidade informática.

Essas e outras questões, ainda sem respostas, põem-se diante dos penalistas e dos estudiosos do Direito Penal. Espera-se, apenas, que sejam breves os embates e as polêmicas, pois o crime na era da Internet se consuma na velocidade da luz.

7. O problema da competência

A proposição diz com a questão da aplicação da lei penal no espaço e não é tema de interesse exclusivo do ordenamento brasileiro.

MARCO AURÉLIO GRECCO assinala que “Além das repercussões na idéia de soberania e na eficácia das legislações, não se pode deixar de mencionar os reflexos que serão gerados em relação ao exercício da função jurisdicional” [75] .

Problemas de soberania, jurisdição e competência estarão cada dia mais presente no cotidiano dos juristas e dos operadores do Direito que se defrontarem com questões relativas à Internet.

RICHARD SPINELLO [76] indaga se a Internet pode ser realmente controlada e regulada pelo Estado. “Many users boast that Internet by its very nature is virtually untamable and really immune from such centralized controls, especially those that attempt to suppress the flow of information (…) As ve have seen, a fundamental problem with a particular sovereignty imposing its will on the Internet is that law and regulations are based on geography; they have force only within a certain territorial area (for example, a state, a county, or a nation). As once jurist said: ‘All law is prima facie territorial”.

Esse ponto de vista, se verdadeiro, traduz a idéia de que a Internet se prestará à ruína das idéias de soberania e de território e acabará por conduzir (quem sabe) à remodelagem da noção de Estado-nacional, conduzindo ao chamado neomedievalismo ou novo feudalismo. Em termos, a nova ordem determinada pela globalização econômico-social e pela interconexão dos povos a partir do advento da Internet, levaria à inviabilização do exercício da soberania (e da jurisdição) por Estados-nacionais. O poder estatal nesse mundo decorrente da revolução eletrônica passaria a ser compartilhado pelos indivíduos e perderiam as autoridades centrais a faculdade de exercer o controle social como imaginado durante a fase áurea dos Estados-nacionais.

É certo que o fenômeno globalizante e a tendência de formação de comunidades regionais e o fortalecimento do Direito Comunitário e do Direito Internacional são mostras de que a noção de soberania está mesmo sendo deixada para trás. A Internet tem sido um dos fatores determinantes dessa mudança. Os governos perdem poder, ao passo que surgem novos centros de poder, como se estivéssemos diante de um novo feudalismo, época em que os senhores feudais compartilhavam soberania com suseranos e monarcas não tão fortes quanto os que a eles se seguiram, com o nascimento do Estado-absolutista.

Parece-nos, contudo, que as expressões neomedievalismo ou neofeudalismo carregam em si um sentido extremamente negativo, pois remetem a tempos não muito felizes na história humana. Todavia, servem tais substantivos para apontar um elemento marcante, comum às duas épocas: a divisão do poder entre vários sujeitos sociais e a inexistência de uma verdadeira e absoluta soberania.

SPINELLO explica que a Internet é uma tecnologia global sem fronteiras e sem donos, sendo quase impossível para qualquer nação garantir a execução de leis ou restrições que se busque impor no ciberespaço. Se os Estados Unidos, o México ou o Brasil decidirem proibir a pornografia online, esses países podem fiscalizar o cumprimento de tal proibição apenas entre os provedores e usuários em seus territórios. Infratores localizados na Europa ou na Ásia não estarão proibidos de disponibilizar material pornográfico na rede, acessível a qualquer pessoa, em qualquer parte. “Thus, the ascendancy of this global computer network appears to be undermining the power of local governments to assert control over behavior within their borders. In addition, these futile efforts to regulate the Internet from a specific locality undescore the local sovereign’s incapacity ‘to enforce rules applicable to global phenomena’. Perhaps those predictions that the Internet will cause an irreversible decline in national sovereignty are not so far-fetched” [77] .

Concordando com esse pensamento, CELSON VALIN [78] diz que “o grande problema ao se trabalhar com o conceito de jurisdição e territorialidade na Internet, reside no caráter internacional da rede. Na Internet não existem fronteiras e, portanto, algo que nela esteja publicado estará em todo o  mundo. Como, então, determinar o juízo competente para analisar um caso referente a um crime ocorrido na rede?”.

Em tese, conforme VALIN, um crime cometido na Internet ou por meio dela consuma-se em todos os locais onde a rede seja acessível. Ver, por exemplo, o crime de calúnia. Se o agente atribui a outrem um fato tido como criminoso e lança essa declaração na Internet, a ofensa à honra poderá ser lida e conhecida em qualquer parte do mundo. Qual será então o foro da culpa? O local de onde partiu a ofensa? O local onde está o provedor por meio do qual se levou a calúnia à Internet? O local de residência da vítima ou do réu? Ou o local onde a vítima tomar ciência da calúnia?

Por equiparação, poder-se-ia aplicar ao fato a solução dada pela Lei de Imprensa (art. 42 da Lei Federal n. 5.250/67), que considera competente para o processo e julgamento o foro do local onde for impresso o jornal.

“Art. 42. Lugar do delito, para a determinação da competência territorial, será aquele e, que for impresso o jornal ou periódico, e o do local do estúdio do permissionário ou concessionário do serviço de radiodifusão, bem como o da administração principal da agência noticiosa”.

Esse dispositivo resolve conflitos de competência entre juízos situados em comarcas diferentes, no mesmo Estado ou em Estados diversos, a partir da consideração do provedor (de acesso ou de conteúdo) como ente equiparado a empresa jornalística. Bem trabalhado, o princípio pode ser adequado aos crimes transnacionais, ainda que cometidos por meio da Internet, bastando que se considere como local do fato aquele onde  estiver hospedado o site com conteúdo ofensivo.

IVES GANDRA DA SILVA MARTINS e ROGÉRIO VIDAL GANDRA DA SILVA MARTINS dão espeque a esse entendimento, quando, ao cuidar da indenização por dano à vida privada causado por intermédio da Internet, sugerem que “toda comunicação eletrônica pública deve ter o mesmo tratamento para efeitos ressarcitórios da comunicação clássica pela imprensa” [79] e que “a desfiguração de imagem por informações colocadas fora da soberania das leis do país ensejaria os meios ressarcitórios clássicos, se alavancada no Brasil” [80] .

Como alternativa à fórmula da Lei de Imprensa, assinale-se o art. 72 do Código de Processo Penal que estabelece a competência do foro de domicílio do réu, quando não for conhecido o lugar da infração [81] .

IVETTE SENISE FERREIRA entende que já se deu a internacionalização da criminalidade informática, devido à mobilidade dos dados nas redes de computadores, facilitando os crimes cometidos à distância. Diante desse quadro, é indispensável que os países do globo harmonizem suas normas penais, para prevenção e repressão eficientes [82] .

Pensamos que, no tocante aos crimes à distância [83] , deve-se aplicar a teoria da ubiqüidade, que foi acolhida no art. 6º do Código Penal, ao estabelecer:

“Art. 6º. Considera-se praticado o crime no lugar em que ocorreu a ação ou omissão, no todo ou em parte, bem como onde se produziu ou deveria produzir-se o resultado”.

Em se tratando, todavia, de crimes plurilocais [84] , incide, em nosso regime, a regra do art. 70, caput, do Código de Processo Penal, determinando-se a competência, neste caso, pelo lugar da consumação do crime, conforme a teoria do resultado. Tais diretrizes podem servir como alento, desde que espraiadas para o mundo, mediante a ratificação de tratados internacionais.

Enquanto essa providência não vem, não se olvide a possibilidade de aplicação extraterritorial da lei penal brasileira, na conformidade do art. 7º do Decreto-lei n. 2848/40, que determina que ficam sujeitos à lei brasileira, embora cometidos no estrangeiro alguns ilícitos penais, dentro de critérios de nacionalidade, representação, justiça penal universal, entre outros.

Tais preceitos vinculam-se ao disposto no art. 88 do Código de Processo Penal, que estipula que “No processo por crimes praticados fora do território brasileiro, será competente o juízo da Capital do Estado onde houver por último residido o acusado. Se este nunca tiver residido no Brasil, será competente o juízo da Capital da República”.

Vinculam-se também ao art. 109, inciso V, da Constituição Federal, que atribui aos juízes federais a competência para processar e julgar “os crimes previstos em tratado ou convenção internacional, quando, iniciada a execução no País, o resultado tenha ou devesse ter ocorrido no estrangeiro, ou reciprocamente”.

Os casos remanescentes, de conflito ou indeterminação de competência, devem ser resolvidos mediante a celebração de tratados internacionais [85] , que alcem à condição de crimes internacionais certos delitos informáticos e que estabeleçam formas de cooperação, em matéria penal, para o processo e julgamento de tais ilícitos.

Alguns tratados recentemente firmados no âmbito da ONU, como a Convenção contra a Delinqüência Transnacional — aprovada pela Assembléia Geral por meio da Resolução 55/25, de novembro de 2000, e aberta para adesões, em Palermo, Itália [86] — servem como parâmetro para essas outras tratativas em torno da criminalidade informática.

Nesse mesmo propósito de universalização da justiça penal informática, o Comitê de Ministros do Conselho da União Européia determinou aos Estados-membros, por meio da Recomendação R(89)9, de 13 de março de 1989, que editassem leis para prevenir e reprimir a prática de crimes computacionais [87] . Em razão dessa recomendação comunitária, a Grã-Bretanha editou o Computer Misuse Act, em 1990.

Tais considerações são relevantes, porque, afinal, o art. 5º do Código Penal, dispõe que se aplica “a lei brasileira, sem prejuízo de convenções, tratados e regras de direito internacional, ao crime cometido no território nacional”. Depreende-se, portanto, que o ordenamento jurídico nacional não exclui a possibilidade de aqui serem punidos crimes cometidos fora do território brasileiro, desde que previstos em convenções internacionais das quais o Brasil seja signatário.

O certo é que, pela sua natureza e pelo seu valor e utilidade intrínsecas para a aproximação dos povos e a harmonização das relações internacionais, bem como para a difusão do conhecimento, da ciência e da educação por todo o globo, a Internet deve ser qualificada como patrimônio da humanidade e, como tal, merecer indistinta proteção em todas as jurisdições penais.

Há a considerar, todavia, a efetividade do processo penal nos casos em que o crime informático, praticado pela Internet, tenha produzido resultado no Brasil. CELSON VALIN indaga se “é realmente interessante que a justiça nacional seja considerada competente, apta a julgar tal delito? Será eficaz um eventual processo no Brasil, se o servidor atacado e o autor do delito não estavam fisicamente em território nacional?” [88]

De qualquer modo, como os crimes cometidos pela Internet podem atingir bens jurídicos valiosos, como a vida humana ou a segurança do sistemas financeiros ou computadores de controle de tráfego aéreo, são necessárias tratativas urgentes para definir, em todo o globo, tais questões competenciais e jurisdicionais, tendo em vista que, pelo menos quanto a um fator, há unanimidade: não pode haver impunidade para autores de crimes que atinjam bens juridicamente protegidos, principalmente quando o resultado decorrente de tais condutas mereça um maior juízo de desvalor, como ocorre com certos tipos de delitos informáticos próprios e impróprios.

Por isso mesmo, ALEXANDRE DAOUN e RENATO OPICE BLUM [89] atestam que “A reprimenda à criminalidade praticada com o emprego de meios eletrônicos, notadamente os que avançam na rede mundial de computadores, terá de ser acionada por todos os povos civilizados e essa perspectiva deriva, com certeza, do próprio fenômeno da globalização”. Enquanto isso, persistem as dúvidas quanto à lei a se aplicar em cada caso concreto: se a lex fori ou se a lex loci delicti comissi e, no tocante à competência, qual a jurisdição assumirá o processo e julgamento desses crimes.

Certo é que a lei penal brasileira poderá ser aplicada extraterritorialmente para punir crimes informáticos praticados fora do País ou cujo resultado lá se tenha dado. No entanto, de acordo com o art. 2º do Decreto-lei n. 3.688/41, “a lei brasileira só é aplicável à contravenção praticada em território nacional”. Assim, se, eventualmente, o legislador infraconstitucional entender por bem tipificar contravenções penais eletrônicas, será bem mais difícil, em relação a elas, imputar sanção, quando praticadas na forma “à distância”.

Em conseqüência, se um internauta argentino, acessando a rede a partir de Buenos Aires, enviar para uma lista de discussão brasileira a notícia de que a usina hidrelétrica de Itaipu está ruindo, provocando, com isso, alarma na população, embora tenha cometido, na prática, a contravenção do art. 41 da LCP (falso alarma), não poderá ser punido conforme a lei brasileira, pois esta, para as contravenções, não é extraterritorial.

Exemplo dessas perplexidades é o que se deu no julgamento do habeas corpus 80.908-1, do Rio Grande do Sul, pelo Supremo Tribunal Federal. Trata-se de remédio impetrado por um apostador em corridas de cavalos realizadas fora do Brasil, na prática chamada simulcasting internacional, em que o jogador aposta online. Discute-se se tal conduta é típica (art. 50, §3º, alínea ‘b’, da LCP) ou atípica. O relator do HC, o ministro MARCO AURÉLIO, concedeu liminar ao impetrante, dando aparência de atípica à conduta assinalada, o que mostra que

8. Pedofilia e Internet

Outra grande questão gerada ou incrementado pelo advento da Internet é a que se refere aos chamados problematic speechs, inclusive o racismo, formas de discriminação, a pedofilia e pornografia eletrônicas. Tais discursos são considerados problemáticos por oporem o direito fundamental à liberdade de expressão a imperativos éticos, conflito que mais uma vez revela a necessidade da regulamentação.

Para SHAPIRO [90] , o aparecimento da Internet fez surgir nos círculos governamentais sérias dúvidas quanto à natureza da rede, para efeito da incidência de normas jurídicas. Seria o conteúdo da Internet equivalente ao da imprensa stricto sensu, geralmente imune ao controle governamental? Ou a Internet seria similar ao rádio e à televisão, que são concessões do Estado? Ou, mais apropriadamente, a grande rede se equipararia ao sistemas postal e telefônico?

“As a result, lawmakers will dutifully compare the code features of the Internet to those of other media, trying to figure out whether it is most similar to print, broadcast, or common carriage” [91] .

Contudo, segundo o mesmo autor, é preciso levar em conta que a Internet tem produzido alterações no contexto sócio-político, mais do que qualquer outra tecnologia recente (e nisso se diferencia das demais), provocando tensão entre dois valores concorrentes, assim propostos: a) em nome da segurança jurídica, devemos aplicar as normas existentes?; e b) à luz de um novo contexto tecnológico, devemos estabelecer novas normas?

“A solution to this quandary lies in finding a balance between those two approaches: a way that we might call the ‘principles-in-context’ approach” [92] , que implica a necessidade de aproveitar diretrizes testadas pelo tempo (maturadas ou amadurecidas) para obter resultados justos e eficazes num cenário que é diferente. Vale dizer: cabe-nos adotar os princípios subjacentes às leis existentes para adequá-los a um novo contexto.

SHAPIRO diz que, com a Lei da Decência nas Comunicações (Communications Decency Act) o governo dos Estados Unidos aplicou “the ‘existing rules’ approach’ to this question and basically tried to graft to the Internet the vague indecency standards that govern radio and television (while upping the ante with a criminal penalty). The Supreme Court struck down the CDA on First Amendment grounds and expressly rejected the government’s strategy, noting that the Net was not like broadcast. The Court added that the CDA would have prevented adults from getting access to speech to which they were entitled and prevented parents from overriding the state’s decision about what their kids should see”.

Como a introdução de uma norma restritiva da espécie do CDA (embora fundada em relevantes razões protetivas) representava uma limitação indevida no direito de acesso à informação e no direito à liberdade de pessoas adultas, a Suprema Corte americana acabou por determinar a sua desconformidade com a primeira emenda da constituição daquele país.

Desde então, as soluções imaginadas para o combate à pornografia e à pedofilia online têm sido variadas e começam pela proposta de instalação de programas reguladores de conteúdo nos computadores domésticos, como o Cyber Patrol, o CyberSitter e o NetNanny. Tais softwares filtram o conteúdo considerado impróprio para crianças e adolescentes. Pensou-se também no desenvolvimento de novos browsers, pela Microsoft e pela Netscape, de modo a impedir que crianças tenham acesso a conteúdo inadequado na rede.

Tais preocupações têm íntima relação com as questões da vida privada e da intimidade. “A fundamental principle of America’s constitucional system is that when government officials investigate criminal activity, they must also respect citizen privacy (…) To wiretap a phone and listen in on a conversation, police must prepare a sworn statement explaining why they have probable cause to investigate a person, and they must get a magistrate to approve the search. Failure to comply with this process may cause a court to suppress any evidence obtained” [93]

Para SHAPIRO, com a Internet não se pode tolerar os mesmos mecanismos que têm valido para a telefonia. As situações, segundo ele, diferem, pois as informações trocadas por via telefônica são em geral sucintas e pouco detalhadas, mesmo quando pessoais, ao passo que pelas redes de computadores transitam informações pessoais sensíveis, registros comerciais e financeiros, arquivos médicos e documentação jurídica, que, sem criptografia potente, estão absolutamente desprotegidos.

Evidentemente, os mecanismos de cifragem de documentos digitais trazem problemas para a sociedade, porque podem ser usados por pedófilos, terroristas e por agentes de crimes transnacionais de lavagem de capitais, por exemplo.

“Yet” — conclui SHAPIRO — “the answer to such a potencial dilemma, and to others, is not to reflexively deny individuals strong encryption, but to pursue other methods of law enforcement. It is, in fact, particularly in the interest of encryption proponents to work with law enforcement to figure out ways in which our communities can be protected without having institucional powers unnecessarily restrict privacy or the use of emmerging technologies. In fact, with its own use of new technology, law enforcement should have many more investigative advantages that will help it to enhance public safety without diminishing privacy rights” [94] .

Dito isto, temos de reconhecer que, infelizmente, o arcabouço legislativo brasileiro, em matéria penal, não tem sido útil, até o momento, para a punição da pedofilia virtual ou por meio da Internet. Cuidamos do art. 241 do Estatuto da Criança e do Adolescente, que considera crime “fotografar ou publicar cena de sexo explícito ou pornográfica envolvendo criança ou adolescente”, prevendo no preceito secundário a sanção de reclusão de 1 a 4 anos.

Malgrado a precisão da definição legal, que não especifica o meio pelo qual o crime possa vir a ser cometido, recentemente o Tribunal de Justiça do Rio de Janeiro concedeu habeas corpus para trancar a ação penal promovida pelo Ministério Público fluminense contra um ciberpedófilo, ao argumento de que a posse e a transmissão privada de fotografias pornográficas não constitui crime [95] .

O rastreamento feito pelo promotor ROMERO LYRA, com a ajuda de um hacker ético durou dois anos e, ao final, o Ministério Público conseguiu localizar 40 mil fotografias pornográficas de crianças. A operação, denominada de “Catedral Rio” [96] terminou com a apreensão de vinte e um computadores e denúncia contra onze adultos e representação contra quatro adolescentes, nos termos do Estatuto da Criança e do Adolescente.

Aguarda-se o julgamento do recurso interposto pelo Ministério Público com grande expectativa, tendo em vista que esse pode vir a constituir um leading case, que servirá como precedente para outras ações e julgamentos da mesma espécie.

Enquanto os tribunais não se manifestam, firmando jurisprudência, tramitam no Congresso Nacional vários projetos de lei, que visam a tipificar a pedofilia e o favorecimento à prostituição por meio da Internet.  São dignos de registro:

a)    o PLC n. 235/99, do deputado DR. HÉLIO (PDT-TO), que modifica o Estatuto da Criança e do Adolescente para estabelecer penalidades para a veiculação de pornografia infantil pelas redes de distribuição de informações, em especial a Internet, cominando pena de 2 a 8 anos de reclusão, fazendo responder à mesma sanção quem persuade, induz, faz intermediação, atrai ou coage criança ou adolescente a participar em práticas pedófilas;

b)    o PLC n. 436/99, do deputado LUÍS BARBOSA (PPB-RR), que altera o art. 241 do Estatuto da Criança e do Adolescente, para tipificar a conduta de veicular por meio de computador imagens de qualquer ato libidinoso envolvendo criança ou adolescente ou aliciá-los para a prática da prostituição;

c)     o PLC n. 546/99 e o PLC 631/99, que também alteram o art. 241 do Estatuto da Criança e do Adolescente, para nele incluir a pedofilia eletrônica;

d)    o PLC n. 953/99, que visa a alterar os arts. 241 e 250 do Estatuto da Criança e do Adolescente;

e)    o PLC n. 2937/2000, do deputado LINCOLN PORTELA (PST-MG), que altera o §1º, do art. 1º, e o art. 7º, da Lei de Imprensa, para proibir as propagandas que incentivem ou divulguem a prostituição de crianças, adolescentes e adultos nos meios de comunicação de massa, inclusive a Internet;

f)      o PLC 3.383/97, de iniciativa do deputado WILSON BRAGA (PSDB-PB), que acrescenta parágrafo único ao art. 241 do Estatuto da Criança e do Adolescente, incluindo dentre os crimes em espécie, com pena de reclusão e multa, a conduta de colocar à disposição de criança ou de adolescente, ou do público em geral, através de redes de computadores, incluindo a Internet, sem método de controle de acesso, material que contenha descrição ou ilustração de sexo explícito, pornografia, pedofilia ou violência; e

g)    por fim, o PLC n. 1.983/99, do deputado PAULO MARINHO (PSC-MA), que acrescenta os §§4º e 5º ao art. 228 do Código Penal (crime de favorecimento à prostituição), tornando típica a divulgação de material que incentive a prática de prostituição pela Internet, determinando pena de reclusão e multa, apreensão da publicação e interdição da página web.

Sem dúvida é de se louvar a preocupação de nossos congressistas com o tema pedofilia virtual, inclusive quanto à preocupação de considerar cometido o crime apenas quando não seja empregado método de controle de acesso. Mas as mesmas pergunta de antes quedam sem resposta: como identificar a autoria de tais crimes? E como determinar a autoridade competente para o seu processo e julgamento?

9. Conclusões

As muitas perguntas sem resposta que surgiram com o ciberdireito junto da certeza da ineficácia de jurisdições territoriais e da reconhecida inoperância efetiva das normas nacionais na Internet, tudo leva-nos a concluir que somente o direito internacional público pode servir de instrumento para a solução de alguns desses problemas. Afinal, a questão da criminalidade informática transnacional e o problema dos paraísos virtuais (tanto quanto o dos paraísos fiscais de lavagem de dinheiro), somente se resolverão com convenções internacionais de grande abrangência.

Exemplifica essa necessidade o caso CLAUDE GUBLER. Autor de “O Grande Segredo” (Le Grand Secret), GUBLER foi médico particular do ex-presidente francês FRANÇOIS MITERRAND e, nessa condição, pôde partilhar alguns segredos da vida privada do falecido chefe de Estado, resolvendo relatá-los no livro acima referido. A obra teve a sua circulação proibida na França, e o autor, para livrar-se da censura, fê-la publicar in totum em vários sites, fora da jurisdição francesa, tidos como paraísos virtuais na Internet. Ou seja, por meio de provedores de conteúdo situados em território estrangeiro, longe do alcance da lei francesa, pode-se alcançar virtualmente todos os leitores franceses, na França ou não.

Esse acontecimento gerou perplexidades no que tange à amplitude da liberdade de expressão, aos limites do sigilo médico, à necessidade de proteção da privacidade e da memória de pessoas mortas, e à competência para julgar causas dessa espécie, pondo à lume o problema da ineficácia do processo, segundo o direito interno ora vigente, em certos crimes virtuais.

Por isso, IVES GANDRA DA SILVA MARTINS e ROGÉRIO VIDAL GANDRA DA SILVA MARTINS [97] defendem a opinião de que o recente fenômeno da universalização das comunicações por computador exige a preparação de uma legislação universal, “de controle de todos os países, mediante disciplina jurídica idêntica e com possibilidades de intervenção supranacional de órgãos internacionais e/ou comunitários”.

Fundam-se os referidos autores no parecer do Comitê Econômico e Social da União Européia, de n. 97/C290/04, que considera necessária a cooperação global para a criação de regras mundiais para a proteção da vida privada, da propriedade industrial e intelectual, etc, no âmbito da sociedade planetária da informação.

De qualquer modo, é quase um consenso que, pelos critérios de lesividade, fragmentaridade e intervenção mínima postos à lume como diretrizes, certas condutas ilícitas devem ser deixadas apenas à imposição de sanções civis. No plano interno, o art. 159 do Código Civil de 1916 [98] estabelece claramente o dever de indenizar e tal preceito, embora antigo, presta-se perfeitamente para regular relações do Direito da Informática e do Direito da Internet.

Antes de o Direito Penal ser chamado a intervir, outras soluções podem ser pensadas e outras tantas já podem ser postas em prática. Muitas das formas de proteção de bens jurídicos virtuais ou não dependem do próprio usuário.

A Eletronic Frontier Foundation — EFF [99] sugere que o internauta não revele informação pessoal a terceiros, recuse cookies e programas com extensão .EXE (de executável), tenha um segundo email “secreto”, esteja atento e desconfie sempre de propostas e ofertas tentadoras, navegue por sítios seguros ou aprovados por pessoas conhecidas, use criptografia e consulte a política de privacidade de seu provedor e das páginas que acessar. Certamente essas são medidas individuais de segurança para impedir a vitimização no campo da informática.

Quanto aos abusos do Estado e das empresas de Internet, além do Direito Civil, do Direito Comercial e do Direito do Consumidor, como mecanismos de proteção, podem ser pensadas estratégias associativistas e coletivas, como a fundação de ongues (ONGs) e a realização de campanhas nos moldes das existentes nos Estados Unidos, como a Blue Ribbon — The Online Free Speech Campaign, o Big Brother Awards — que já “premiou” o FBI, a Microsoft, a FAA e a empresa DoubleClick —; o Brandeis Awards, conferido a Phill Zimmermann, criador do programa PGP, entre outras iniciativas, que se prestam a criar uma cultura de respeito aos direitos individuais e coletivos no ciberespaço.

Ao lado dessas soluções — e, se ineficazes estas —, o Direito Penal deve ser chamado a atuar, ainda que como ultima ratio, na perspectiva da internacionalização desses delitos, que, no dizer de FRAGA são transnacionais por excelência [100] . Estes, segundo o relatório das Nações Unidas sobre a cooperação internacional no combate ao crime transnacional, são “offences, whose inception, perpetration and/or direct effect or indirect effects involved more than one country”. [101]

A globalização econômica certamente conduzirá à mundialização das relações humanas noutras áreas, permitindo uma interconectividade sócio-cultural jamais vista, trazendo com isso benefícios e malefícios. Entre estes, a criminalidade informática, impulsionada pela facilidade de acesso e movimentação dos agentes no mundo virtual, é um dos mais evidentes.

A ambivalência dos computadores é um fato. Devemos conviver com ela. E, em cuidando de convivência, o Direito se apresenta como uma das soluções para as ditas inquietudes. Pois, por enquanto, também no mundo virtual, a realidade é que temos como virtualmente impossível dispensar a atuação do Direito e, nalguns casos, a incidência da norma penal como garantia da harmonização social aqui e no ciberespaço.

n Choque do Futuro”

Bibliografia

BASTOS, Celso Ribeiro. Comentários à constituição do Brasil. São Paulo: Saraiva, 1989, vol. 2, p. 62.

BRASIL, Angela Bittencourt. Informática jurídica: o ciberdireito. Rio de Janeiro: edição da autora, 2000.

COSTA, Marco Aurélio Rodrigues da. Crimes de informática. In www.jus.com.br, acessado em 18.05.2001.

GATES, Bill.  A estrada do futuro. Tradução de Beth Vieira. São Paulo: Companhia das Letras, 1995.

GERMAN, Christiano. O caminho do Brasil rumo à era da informação. São Paulo: Fundação Konrad Adenauer, 2000.

GOMES, Luiz Flávio. Atualidades criminais (1). In www.direitocriminal.com.br, 20.05.2001.

GOODELL, Jeff. O pirata eletrônico e o samurai: a verdadeira história de Kevin Mitnick e do homem que o caçou na estrada digital. Tradução de Ana Beatriz Rodrigues. Rio de Janeiro: Campus, 1996.

GRECO, Marco Aurélio. Internet e direito. 2ª ed., São Paulo: Dialética, 2000.

GRECO, Marco Aurélio & MARTINS, Ives Gandra da Silva (coordenadores). Direito e internet: relações jurídicas na sociedade informatizada. São Paulo: RT, 2001.

GRECO FILHO, Vicente. Interceptação telefônica: considerações sobre a lei n. 9.296, de 24 de julho de 1996. São Paulo: Saraiva, 1996.

ICOVE, David; SEGER, Karl & VONSTORCH, William. Computer crimes: a crimefighter’s handbook. Sebastopol (Califórnia): O’Reilly & Associates, 1995.

JESCHECK, Hans-Heinrich. Tratado de Derecho Penal. Parte General. Volumen Primero. Tradução para o espanhol de Santiago Mir Puig e Francisco Muñoz Conde. Bosch Casa Editorial: Barcelona, 1978, p. 372/373.

LESSIG, Lawrence. Code and other laws of cyberspace. Nova Iorque: Basic Books, 1999.

LÉVY, Pierre. Cibercultura. Tradução de Carlos Irineu da Costa. São Paulo: Editora 34, 1999.

LUCCA, Newton de & SIMÃO FILHO, Adalberto (coordenadores). Direito & internet: aspectos jurídicos relevantes. Bauru: Edipro, 2000.

MUÑOZ CONDE, Francisco. GARCIA ARÁN, Mercedes. Derecho Penal. Parte General. 3ª edição. Tirant lo Blanch Libros: Valencia, 1998, p. 281/282.

ORWELL, George. 1984. 19ª ed. São Paulo: Companhia Editora Nacional, 1985.

PAESANI, Liliana Minardi. Direito e internet: liberdade de informação, privacidade e responsabilidade civil. São Paulo: Atlas, 2000.

PEDROSO, Fernando de Almeida. Direito Penal. Parte Geral. Estrutura do Crime. LEUD: São Paulo, 1993, p. 45.

ROVER, Aires José Rover (organizador). Direito, sociedade e informática: limites e perspectivas da vida digital. Florianópolis: Fundação Boiteux, 2000.

SCHOUERI, Luís Eduardo (organizador). Internet: o direito na era virtual. Rio de Janeiro: Forense, 2001.

SHAPIRO, Andrew L. The control revolution: how the internet is putting individuals in charge and changing the world we now. Nova Iorque: Public Affairs, 1999.

SPINELLO, Richard A. Cyberethics: morality and law in cyberspace. Londres: Jones and Bartlett, 1999.

[1] Rede mundial de computadores.

[2] Expressão cunhada por Willliam Gibson, no seu livro Neuromancer, para definir o mundo da realidade virtual.

[3] Fundação de Amparo à Pesquisa do Estado de São Paulo, entidade que detém delegação do Comitê Gestor da Internet no Brasil para atuar como cartório eletrônico, de registro de nomes de domínio na grande rede.

[4] Conforme Omar Kaminsky, in Um screenshot dos nomes de domínio no Brasil. Acessado em 19 de maio de 2001 em http://www.infojus.com.br/artigos/area1/artigo_area1_005.html

[5] Vide a propósito a magnífica obra Cibercultura, de Pierre Lévy, publicada no Brasil pela Editora 34.

[6] GERMAN, Christiano. O caminho do Brasil rumo à era da informação. São Paulo: Fundação Konrad Adenauer, 2000.

[7] Repudiando o brocardo Nec delicta maneant impunita.

[8] Embora máquinas computacionais primitivas já funcionassem na Europa e nos Estados Unidos.

[9] FERREIRA. A criminalidade informática. In Direito & internet: aspectos jurídicos relevantes. Bauru: Edipro, 2000, p. 207.

[10] A expressão “informação sensível”, como gênero e no sentido empregado, engloba dados relativos à segurança nacional, à intimidade, à vida privada, etc, elementos que, por sua própria natureza, merecem maior proteção contra acesso ou devassa indevidos ou não autorizados.

[11] Segundo Klaus Tiedemann, citado por Ivette Senise Ferreira in A criminalidade informática, p. 209.

[12] É o que diz Ivette Senise Ferreira, op. cit., p. 210.

[13] Nome genérico, no direito anglo-saxão, para designar alguns crimes informáticos ou computer crimes, em referência à atividade dos hackers, os piratas de computador.

[14] FRAGA. Crimes de informática – a ameaça virtual na era da informação digital, in Internet: o direito na era virtual/ Luís Eduardo Schoueri, organizador. Rio de Janeiro: Forense, 2001, p. 366.

[15] Citados por Ivette Senise Ferreira, p. 214-5.

[16] Idem.

[17] Conforme anotações do autor deste ensaio, durante palestra proferida pelo professor Damásio Evangelista de Jesus no I Congresso Internacional do Direito na era da Tecnologia da Informação, realizado pelo Instituto Brasileiro de Política e Direito da Informática — IBDI, em novembro de 2000, no auditório do TRF da 5ª Região, em Recipe-PE.

[18] GOMES, Luiz Flávio, Atualidades criminais (1), in www.direitocriminal.com.br, 20.05.2001.

[19] Conforme Marco Aurélio Rodrigues da Costa, in Crimes de informática, acessado em http://www.jus.com.br

[20] Criminosos eletrônicos que  usam a Internet para a prática de delitos.

[21] Ver LÉVY, Pierre. Cibercultura. Tradução de Carlos Irineu da Costa. São Paulo: Editora 34, 1999.

[22] ICOVE, David et al. In Computer crime: a crimefigther’s handbook. Sebastopol: O’Reilly & Associoates Inc., 1995, p. 423.

[23] Programas nocivos ao computador no qual sejam introduzidos. São desenvolvidos por hackers.

[24] Ou bomba lógica, “A resident computer program that triggers na unauthorized act when a certain event (e.g., a date) occurs”. Vide ICOVE. Op. cit., p. 420.

[25] Lei britânica sobre crimes informáticos, aprovada pelo Parlamento.

[26] FRAGA. Op. cit., p. 374.

[27] GOODELL. Jeff. O pirata eletrônico e o samurai: a verdadeira história de Kevin Mitnick e do homem que o caçou na estrada digital. Tradução de Ana Beatriz Rodrigues. Rio de Janeiro: Campus, 1996.

[28] Não confundir com session hijacking, que é um delito em que uma pessoa obtém acesso não autorizado a um sistema protegido por senha e que foi deixado “aberto” por um usuário autorizado. Conforme ICOVE, David et al. In Computer crime: a crimefigther’s handbook. Sebastopol: O’Reilky & Associates, 1995, p. 43.

[29] Sistema de nomes de domínio. Sistema que controla, por meio de números, o direcionamento de páginas na Internet, permitindo a sua localização quando se digita o endereço do site.

[30] “Trojan horses, virures, worms, and their kin are all atacks on the integrity of the data stored in systems and communicated across networks”.  Conforme ICOVE, Op. cit., p. 45.

[31] Desse tema trataremos adiante.

[32] A prática denominada masquarading (sinônimo de spoofing, mimicking ou impersonation) serve a esse propósito e ocorre quando o indivíduo se passa por um usuário autorizado, a fim de obter acesso a um sistema fechado. Conforme ICOVE, op. cit., p. 420.

[33] O envio, por email, de correspondência comercial não autorizada, não solicitada ou não desejada, a exemplo do mecanismo de mala direta, das empresas convencionais. O spam compromete tempo de acesso a linha telefônica do destinatário, principalmente quando as mensagens eletrônicas carregam arquivos de som e/ou imagem.

[34] Ou listas de correspondência, que englobam os endereços eletrônicos de inúmeros internautas e que, por isso, interessam a empresas comerciais que atuam na Internet.

[35] Artigo em www.infojus.com.br

[36] Prática denominada de eavesdropping no direito norte-americano e que é vedada no Brasil pelo art. 5º, inciso X e XII, da Constituição Federal, salvo mediante autorização judicial para instruir inquérito policial ou processo penal, nas hipóteses da Lei Federal n. 9296/96.

[37] Cada um dos acessos a páginas em web sites na grande rede. Há programas que permitem vasculhar que tipos de informação o internauta tem buscado na WWW.

[38] Vide o site www.echelonwatch.org

[39] Com certeza um fato atípico, que só interessa ao Direito de Família.

[40] Conforme Luiz Flávio Gomes, op. cit.

[41] Como a atuação de cybercops (“policiais cibernéticos”) e a “censura” aplicada por operadores de canais de conversação (chats) e do controle de conteúdo realizado por editores de websites sobre certo tipo de informação ou opinião publicada na rede. Estão também entre os mecanimos autônomos de controle as regras de netiqueta.

[42] BASTOS, Celso Ribeiro. Comentários à constituição do Brasil. São Paulo: Saraiva, 1989, vol. 2, p. 62.

[43] Visite o site www.cern.ch, “where the web was born”: “In late 1990, Tim Berners-Lee, a CERN computer scientist invented the World Wide Web (that you are currently using). The “Web” as it is affectionately called, was originally conceived and developed for the large high-energy physics collaborations which have a demand for instantaneous information sharing between physicists working in different universities and institutes all over the world. Now it has millions of academic and commercial users. Tim together with Robert Cailliau wrote the first WWW client (a browser-editor running under NeXTStep) and the first WWW server along with most of the communications software, defining URLs, HTTP and HTML. In December 1993 WWW received the IMA award and in 1995 Tim and Robert shared the Association for Computing (ACM) Software System Award for developing the World-Wide Web with M.Andreesen and E.Bina of NCSA”.

[44] É conveniente ressaltar que não se defende uma intervenção desnecessária ou máxima do Direito no ciberespaço, ou em parte alguma. O que se preconiza é a atuação razoável do Direito para assegurar proteção a bens jurídicos valiosos, quando não seja possível conferir essa proteção por outros meios igualmente eficazes.

[45] Habeas corpus 76689/PB, Rel. Min. Sepúlveda Pertence, 1ª Turma, STF: “Crime de Computador: publicação de cena de sexo infanto-juvenil (ECA, art. 241), mediante inserção em rede BBS/Internet de computadores, atribuída a menores: tipicidade: prova pericial necessária à demonstração da autoria: HC deferido em parte. 1. O tipo cogitado – na modalidade de “publicar cena de sexo explícito ou pornográfica envolvendo criança ou adolescente” — ao contrário do que sucede por exemplo aos da Lei de Imprensa, no tocante ao processo da publicação incriminada é uma norma aberta: basta-lhe à realização do núcleo da ação punível a idoneidade técnica do veículo utilizado à difusão da imagem para número indeterminado de pessoas, que parece indiscutível na inserção de fotos obscenas em rede BBS/Internet de computador. 2. Não se trata no caso, pois, de colmatar lacuna da lei incriminadora por analogia: uma vez que se compreenda na decisão típica da conduta criminada, o meio técnico empregado para realizá-la pode até ser de invenção posterior à edição da lei penal: a invenção da pólvora não reclamou redefinição do homicídio para tornar explícito que nela se compreendia a morte dada a outrem mediante arma de fogo. 3. Se a solução da controvérsia de fato sobre a autoria da inserção incriminada pende de informações técnicas de telemática que ainda pairam acima do conhecimento do homem comum, impõe-se a realização de prova pericial”.

[46] Número que segue padrão universal e que identifica um computador quando conectado à Internet.

[47] LESSIG. In Code and other laws of cyberspace, p. 4.

[48] LESSIG. Op. cit., p. 4.

[49] LESSIG. Idem.

[50] Que prega o fim do sistema penal.

[51] LESSIG. Op. cit., p. 5.

[52] Idem.

[53] LESSIG. Ibidem, p. 193.

[54] Op. cit., p. 194.

[55] Idem.

[56] Programa de computador que se auto-replica automaticamente. “Unlike a virus, a worm is a standalone program in its own right. It exists independently of any other programs. To run, it does not need other programs. A worm simply replicates itself on one computer and tries to infect other computers thet may be attached to the same network (…) Somes viruses and worms are nondestructive (comparatively speaking), while others are extremely malevolent”.  Conforme ICOVE. Op. cit., p. 46.

[57] MUÑOZ CONDE, Francisco & GARCIA ARÁN, Mercedes. Derecho Penal. Parte General. 3ª edição. Tirant lo Blanch Libros: Valencia, 1998, pp. 281/282.

[58] JESCHECK, Hans-Heinrich. Tratado de Derecho Penal. Parte General. Volumen Primero. Tradução para o espanhol de Santiago Mir Puig e Francisco Muñoz Conde. Bosch Casa Editorial: Barcelona, 1978, p. 372/373.

[59]   PEDROSO, Fernando de Almeida. Direito Penal. Parte Geral. Estrutura do Crime. LEUD: São Paulo, 1993, p. 45.

[60] FRAGA. Op. cit., p. 373.

[61] FRAGA. Op. cit., p. 376.

[62] Regulamenta o art. 5º, inciso XII, da CF: “É inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal”.

[63] O anteprojeto de reforma da Parte Especial do Código Penal pretende tipificar, no art. 155, o crime de violação de intimidade, com a seguinte redação: “Violar, por qualquer meio, a reserva sobre fato, imagem, escrito ou palavra, que alguém queira manter na intimidade da vida privada: Pena – detenção, de um mês a um ano, e multa”. Se introduzido no ordenamento nacional, o tipo consumar-se-á também quando o agente se utilize de computador (qualquer meio). Poderá ser também tipificado, no art. 266, o delito de interrupção ou perturbação de meio de comunicação: “Interromper ou perturbar serviço de meio de comunicação, impedir ou dificultar seu restabelecimento: Pena – detenção, de um a três anos, e multa”.

[64] FERREIRA. In A criminalidade informática, p. 208.

[65] Cybercrimes. In Direito & internet: aspectos jurídicos relevantes. Bauru: Edipro, 2000, p. 121.

[66] LESSIG. Op. cit., p. 32-33.

[67] Uso de imagens, como “marcas d’água” digitais, para confirmar a autenticidade e integridade de um documento cifrado.

[68] Identificados pelo protocolo https://, onde o “s” significa “secure”.

[69] Segundo ICOVE, op. cit., p. 418, é “A hardware and/or software system that protects na internal system or network from outside world (e.g., the Internet) or protects one part of a network from another”.

[70] SHAPIRO, Andrew L. The control revolution: how the internet in putting individuals in charge and changing the world we knopw. Nova Iorque: Public Affairs, 1999, p. 75.

[71] Citado por Shapiro. Op. cit. p. 75.

[72] Op. cit., p. 78.

[73] Citados por Antônio Celso Galdino Fraga, in Crimes de informática – a ameaça virtual na era da informação digital, in Internet: o direito na era virtual/ Luís Eduardo Schoueri, organizador. Rio de Janeiro: Forense, 2001, p. 366.

[74] SPINELLO, Richard A. In Cyberethics: morality and law in cyberspace. Londres: Jones and Bartlett, 1999, p. 38.

[75] GRECO. In Internet e direito. São Paulo: Dialética, 2000, p. 15.

[76] SPINELLO, Richard A. In Cyberethics: morality and law in cyberspace. Londres: Jones and Bartlett, 1999, p. 37-38.

[77] SPINELLO. Op. cit., p. 38.

[78] A questão da jurisdição e da territorialidade nos crimes praticados pela Internet. In Direito, sociedade e informática: limites e perspectivas da vida digital. Florianópolis: Fundação Boiteux, 2000, p. 115.

[79] Privacidade na comunicação eletrônica. In Direito e internet: relações jurídicas na sociedade informatizada. GRECO, Marco Aurélio & GANDRA, Ives (coordenadores). São Paulo: RT, 2001, p. 51.

[80] GANDRA SILVA MARTINS et al. Op. cit., p. 52.

[81] Talvez essa seja a melhor solução, porquanto, em caso de eventual condenação, não será necessária a extradição do violador. Mas como se percebe, trata-se de alternativa para o ordenamento penal brasileiro. E os demais?

[82] FERREIRA. A criminalidade informática, p. 213.

[83] Ação e consumação do crime ocorrem em lugares distintos, uma deles fora do território nacional.

[84] Ação e consumação também ocorrem em lugares diversos, mas ambos no território nacional.

[85] Luiz Flávio Gomes noticia que “De 8 a 17 de maio (2001), em Viena, realizou-se o Décimo Período de Sessões da Comissão de Prevenção do Delito e Justiça Penal (ONU). Damásio de Jesus e eu dela participamos. Temas centrais discutidos: corrupção, superpopulação carcerária, penas alternativas, criminalidade transnacional, crimes informáticos, proibição de armas de fogo e explosivos”. Atualidades criminais (1), in www.direitocriminal.com.br, 20.05.2001.

[86] Esse tratado somente entrará em vigor noventa dias após a quadragésima ratificação ou adesão.

[87] FRAGA, in Crimes de informática – a ameaça virtual na era da informação digital, in Internet: o direito na era virtual/ Luís Eduardo Schoueri, organizador. Rio de Janeiro: Forense, 2001, p. 371.

[88] VALIN. Op. cit., p. 116.

[89] In Cybercrimes. Artigo em Direito & internet: aspectos jurídicos relevantes. Bauru: Edipro, 2000, p. 117.

[90] SHAPIRO. Op. cit., p. 169.

[91] Idem.

[92] Ibidem.

[93] SHAPIRO. Op. cit., p. 175.

[94] Idem, p. 177.

[95] Este, como visto, não é posicionamento do STF, como se dessume do julgamento do HC 76689/PB. Vide nota 45.

[96] Em referência a operação cathedral do FBI, de fins semelhantes, assim batizada em “homenagem” ao filme A Rede, com a atriz Sandra Bullock. Recentemente, o mesmo membro do Ministério Público deflagrou a operação Fischberg, para combate a internautas anti-semitas, que estariam mantendo seis web sites racistas na rede. Conforme noticiou o colunista Ricardo Boechat, em “O Globo”, no dia 21 de maio de 2001.

[97] Privacidade na comunicação eletrônica. In Direito e internet: relações jurídicas na sociedade informatizada. GRECO, Marco Aurélio & GANDRA, Ives (coordenadores). São Paulo: RT, 2001, p. 44

[98]   Segundo o art. 159 do Código Civil: “Aquele que, por ação ou omissão voluntária, negligência, ou imprudência, violar direito, ou causar prejuízo a outrem, fica obrigado a reparar o dano”.

[99] Da página dessa ONG na Internet: http://www.eff.org

[100] FRAGA. op. cit., p. 377.

[101] Vide www.un.org

11Jun/15

Protección y Retención de Información del Consumidor con Presencia en Internet

Comercio Electrónico, Nuevas Tecnologías, Trabajos, , , , , ,

Trabajo realizado por:

Viviannettte González Barreto

Jorge López Juarbe

Armando Torres Ruta

Universidad Interamericana de Puerto Rico. Facultad de Derecho

 

I.- Introducción

 

La denominada “sociedad de la información” ha supuesto una extraordinaria expansión de las redes de telecomunicaciones y, en especial, de Internet como vehículo de transmisión e intercambio de todo tipo de información. La eficiencia empresarial, el incremento de las posibilidades de elección de consumidores, y la aparición de nuevas fuentes de empleo son algunas de sus indudables ventajas.

No obstante, la incertidumbre jurídica que conlleva la utilización de las nuevas tecnologías ha determinado la necesidad, en todos los países de establecer un marco jurídico adecuado, que genere en los factores que en él operan la confianza necesaria en el empleo de este nuevo medio de intercambio, no sólo de información, sino también de bienes y servicios. En el marco de este escrito nos interesa la problemática que genera la contratación por vía electrónica, especialmente desde la perspectiva de la protección de la parte más débil: el consumidor y usuario.

Con carácter general puede definirse el comercio electrónico como cualquier modo de transacción o de intercambio de información con contenido comercial, en el que las partes se comunican utilizando tecnologías de la información y comunicación en lugar de hacerlo por intercambio o contacto físico directo. Los contratos celebrados por vía electrónica deberían producir todos los efectos previstos por el ordenamiento jurídico, siempre que concurran en ellos los requisitos necesarios para su validez.

Para poder declarar aplicables a estos contratos las contenidas en el Código Civil y de Comercio y en las restantes normas civiles o mercantiles sobre contratos, es necesario un esfuerzo mayor por parte del Estado. En especial, las normas de protección de los consumidores y usuarios y de ordenación de la actividad comercial. Por lo que, para que sea válida la celebración de contratos por vía electrónica no será preciso el previo acuerdo de las partes sobre la utilización de medios electrónicos. Siempre que la ley exija que el contrato o cualquier información relacionada con él conste por escrito, se entenderá satisfecho este requisito, si el contrato o cualquier información en el mismo, se contiene en soporte electrónico. Cuando se trate de contratos, negocios o cualquier acto jurídico en los que la ley determine para su validez o producción de efectos, la forma documental pública, registradores u otras autoridades públicas, se aplicará la legislación específica sobre estas cuestiones.

Como paso previo interesa destacar que de las tres modalidades posibles de comercio electrónico: de empresa a empresa; de consumidor a consumidor; y, de empresa a consumidor, nos interesa especialmente ésta última. En ella el consumidor es la parte jurídica y económicamente más débil. Las causas de su debilidad obedecen a una serie importante de factores. Éste cúmulo de causas genera en muchas ocasiones desconfianza en el consumidor hacia el comercio electrónico. De ahí que resulte necesaria una especial protección para los consumidores electrónicos.

En general, este artículo explora la incursión del consumidor en el Internet y como este se ve afectado en su vida cotidiana, inclusive hasta en sus derechos constitucionales, cuando efectuada transacciones comerciales. Además, se discuten temas importantes tales como: la jurisdicción, contratación, recopilación de datos e in intentos de legislación en Puerto Rico, así como en otras jurisdicciones.

II.- Big data, Net Neutrality & Public Utility

 

La llamada Big Data es un movimiento que ha ido cobrando mucho auge entre diferentes sectores industriales y disciplinarios tanto en la academia como en las industrias comerciales. Actualmente, muchos negocios están activamente buscando maneras de obtener ventajas competitivas utilizando la tecnología informática. Los conocedores de Big Data esperan que la adopción e integración de este mecanismo dirija a la humanidad a grandes avances innovadores a través del estudio de cómo utilizar esta gran masa de información. Sin embargo, el autor Goes encuentra que aún existe una gran brecha entre el entendimiento, los retos y el potencial que tiene el Big Data. Salvo algunas grandes compañías, especialmente Linkedin, Facebook y Google, los ejecutivos de la mayoría de las compañías de escala intermedia en el mercado están luchando arduamente para entender y como trabajar con esta enrome cantidad de información para que redunde en beneficios para sus respectivas compañías.[1]

 

Además, el Big Data expande el rango de la información de identificación personal (PII, por su siglas en inglés) que de lo contrario sería difícil de obtener utilizando modelos computadorizados tradicionales (traducción nuestra).[2] Este sistema, no solo tiene el potencial de poder crear PII de manera novel, sino que reproduce, rompiendo con las reglas tradicionales de proteger el PII bajo los estándares actuales de protección privada. No cabe duda de que el uso de la herramienta de Big Data abre los horizontes para aumentar la manera de recopilar, ordenar e inclusive analizar cantidades enormes de datos, que sin el uso de una computadora serían inasequibles. Pero el que hecho de que exista esta manera de obtener y trabajar información no la convierte en la forma más adecuada para todos los campos.

 

Actualmente, existen sus dudas sobre cómo se pudiera utilizar el Big Data para el campo legal. Las decisiones que se toman en el área de Derecho no siempre son en blanco y negro, lo vemos en particular cuando se presentan en la balanza un derecho fundamental versus otro. Ante controversias como ésta, los jueces encuentran un área gris para la toma de decisiones. Por tanto, el uso y la adopción del Big Data para ciertas áreas y aplicaciones tendrán que girar en torno a cuál es el objeto de la investigación y cuál método para la toma de decisiones sería el más apropiado. Para Lyria Bennet, la clave es determinar cuándo se debe utilizar y cuando no se debe utilizar, señala que siempre está presente la posibilidad de que se mire y apreciable de la data de una manera contraria a la normativa y las manera que esta data recolectada puede influenciar a un policía o a un juez en nuestra búsqueda de la verdad.  Ella nos dice:

 

It is possible to design and employ big data analytics in ways that enhance decision-making. It is also possible to use such tools in ways that are inappropriate or harmful. Telling the difference involves an understanding of how they work, what inferences can be drawn and how these can legitimately feed into decisions and actions. It also involves transparency in order to enhance accountability, ensure accuracy and guard against illegitimacy. We must remember that the existence of a tool does not make its use appropriate in every context. Both professional users and society more broadly should guard against the harms that might be caused by some applications of big data analytics, particularly when they influence the decisions of judges or police. The danger lies in any complacency or uncritical belief in the mythology of the ‘truth, objectivity, and accuracy’ of big data.[3]

 

Por otro lado, existe el llamodo Net Neutrality, el cual es un movimiento que busca mantener la red como una abierta al público, donde todo el contenido es considerado igual y de naturaleza neutral, o de lo contrario los internet service providers (ISP, en adelante) se convertirían en los custodios de la web. Para Erik J. Martin, vivir en un mundo donde no exista el Net Neutraility, estos ISP podría cobrar un precio por navegar la red a ciertos usuarios, inclusive otorgarles preferencia a unos usuarios sobre otros a cambio de un precio. Ningún creador de contenido en la red desea que los ISP puedan dictar el flujo de información sobre la red. También añade que: “without Net Neutrality, ISPs become gatekeepers who can charge a toll for preferential access to their customers”[4].

 

Si los ISP se convierten en custodios del acceso de la red, podrían inclusive controlar la rapidez del streaming de videos que consumen más bandwidth, podría controlar el contenido de lo visto en la red.  Pero a la misma vez hay quienes creen que el mantener la red de manera neutral restringe e impide el progreso y el crecimiento de la misma.

 

But now that ISPs will be forced to deliver all content equally, it will have a negative effect in the long term because new and innovative services will not be able to emerge, he continues. “Providers of high quality content will not be able to Follow Digital content producers deserve free and open Internet.[5]

 

Mientras tanto, el choque y la controversia persiste sobre las consecuencias de mantener la red neutral contrario a lo que se cree deba ser regulado y controlado. Algunos piensan si Estados Unidos permite la muerte del Net Neutraility, los proveedores de contenido en la red deberían moverse fuera de los Estados Unidos para enfocarse en usuarios foráneos. “Publishers and content providers can always move overseas. The world market is growing fast outside of the U.S., and without Net Neutrality in America, it would be a much better idea to target users outside our country”.[6]

 

En el 2014 se realizó una encuesta que estableció que el 77% de las personas desea que la red se mantenga neutral.

 

There’s a lack of polling data on this issue that reflects the views of content providers. But SEMPO, a nonprofit organization representing search and digital marketing professionals, conducted a notable survey in December 2014; it found that 77% of its members agree with the concept of Net Neutrality. Meanwhile, dozens of tech companies— many of them digital content creators—added their names to an open letter to the FCC advocating for Net Neutrality.[7]

 

Todo dependerá de la decisión que tome el Federal Communications Commission, respecto a la neutralidad de la red.

 

III.- Desarrollo del Internet y Trasfondo Histórico en Otras Jurisdicciones

 

En el 1958, el gobierno de los Estados Unidos desarrolló lo que fue conocido como el ARPA net (Advanced Research Proyects Agency) en respuesta al lanzamiento del Sputnick. Posteriormente, varios expertos en los Estados Unidos desarrollaron las teorías básicas de packet switching, el concepto de intergalactic networks, packet switching information exchanges hasta la implementación de la primera red WAN (Wide Area Network) donde se aplicaron las teorías anteriores y se logró un intercambio de información a pequeña escala. Tiempo más tarde, se expandió este concepto de comunicación hasta lo que conocemos como el Internet de hoy día.[8]

 

Con la gran apertura del internet unido a los movimientos acelerados de la globalización han dado paso a que los mercados y las comunicaciones atraigan a personas cerrando brechas entre distancias geográficas mediante el uso de redes sociales y a intercambios de mercadería por todo el mundo.  Muchos consumidores en búsqueda de satisfacer necesidades se han insertado en el espacio cibernético desarrollando perfiles que contienen información personal para poder realizar estas transacciones comerciales internacionalmente. Aunque gran parte de las transacciones realizadas han sido exitosas, muchos consumidores del Internet han sido víctimas de robos de identidad y daños a su crédito, entre otros daños. Por tal razón, algunos gobiernos, mediante legislación y sus recursos, se han unido a otras agencias gubernamentales de otros países para velar por la protección del consumidor y el comercio internacional.

 

a) Leyes Federales

 

El Federal Trade Commision (FTC, en adelante) fue creado el 26 de septiembre de 1914 bajo la presidencia de Woodrow Wilson, esta agencia del gobierno federal de los Estados Unidos tiene como propósito principal velar por la protección de sus consumidores y promover la competitividad en el mercado de los Estados Unidos. La FTC protege y monitorea en conjunto con otras agencias intra e internacionalmente para asegurarse que los consumidores y compañías de la nación estadounidense estén protegidos y frenar prácticas comerciales injustas o fraudulentas en el mercado regional y global.[9]  Para lograr su cometido, han desarrollado una series de leyes federales; entre ellas están: “Do-Not-Call Registry”, “CAN-SPAM ACT”, “Restore Online Shopper’s Confidence Act”, “Fair Credit Report Act” y “Identity Theft Assumption and Deterrence Act”.

 

El Do-Not-Call Registry (DNCR) fue creado con el propósito de crear un registro compuesto por un listado de números de teléfono de personas que voluntariamente han indicado que no desean recibir llamadas no solicitadas por comercios. Estos comercios, por orden de esta ley, tienen prohibido realizar llamadas mercadeando sus productos y/o servicios a las personas cuyos nombres y teléfonos han sido inscritos en el Do-Not-Call Registry. Sin embargo, un consumidor que está inscrito bajo el DNCR puede ser contactado por el comerciante si el mismo ha establecido una relación comercial con el consumidor o si el consumidor ha autorizado expresamente su interés a recibir llamadas promocionales sobre los productos y servicios que haya adquirido con anterioridad. La excepción a esta normativa es la existencia de un “established business relationship with the consumer”.[10]

 

Además del DNCR, que evita las comunicaciones no deseadas, el gobierno Federal ha incluido el Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN SPAM ACT) que prohíbe a una persona el envió de correos electrónicos con encabezamientos de materia falsa o engañosa (SPAM) como visto en el caso de Facebook, Inc. v. Power Ventures, Inc. donde una compañía permitió que sus usuarios ingresaran sus correos electrónicos de Facebook para la oportunidad de obtener un premio de $100.00.  Como parte de la oportunidad de obtener el premio, esta empresa le solicitó a sus participantes que indicaran cuales de sus amistades por Facebook desearía que obtuvieran la invitación de Power. La corte concluyó que Power Ventures, Inc. violٖó las disposiciones del CAN-SPAM Act. [11]

 

El CAN-SPAM ACT no prohíbe el spam, meramente provee un código de conducta que regula la práctica del uso de correos electrónicos en el comercio. Además impone requisitos de forma sobre el contenido, su formato y etiquetado.

 

            The Act does not ban spam outright, but rather provides a code of conduct to regulate commercial e-mail messaging practices. Stated in general terms, the CANSPAM Act prohibits such practices as transmitting messages with deceptive subject headings or header information that is materially false or materially misleading. See 15 U.S.C. § 7704(a)(1), (2). The Act also imposes requirements regarding content, format, and labeling. For instance, unsolicited e-mail messages must include the sender’s physical postal address, indicate they are advertisements or solicitations, and notify recipients of their ability to decline further mailings. 15 U.S.C. § 7704(a)(5). Moreover, in order to comply with the Act, each message must have either a functioning return e-mail address or a comparable mechanism that allows a recipient to opt out of future mailings. 15 U.S.C. § 7704(a)(3).[12]

 

El Restore Online Shopper’s Confidence Act (ROSCA) tiene como propósito restaurar la confianza del consumidor de que no será aprobada ninguna transacción sin su autorización, ni se cargará automáticamente una compra a la tarjeta de crédito del consumidor sin su previa autorización. ROSCA fue creado para prohibir que terceros puedan efectuar transacciones comerciales con información de tarjetas de crédito obtenida a través de terceros.

 

ROSCA makes it “unlawful for any person to charge or attempt to charge any consumer for any goods or services sold in a transaction effected on the Internet through a negative option feature,” unless the person or company meets certain requirements. 15 U.S.C. § 8403. The requirements are as follows: “[T]he person (1) provides text that clearly and conspicuously discloses all material terms of the transaction before obtaining the consumer’s billing information; (2) obtains a consumer’s express informed consent before charging the consumer’s credit card, debit card, bank account, or other financial account for products or services through such transaction; and (3) provides simple mechanisms for a consumer to stop recurring charges from being placed on the consumer’s credit card, debit card, bank account, or other financial account.” 15 U.S.C. § 8403(1)-(3).[13]

 

En el caso de Park v. Webloyalty, un consumidor compró un certificado de regalo de la tienda virtual de Gamestop empleando el uso de su tarjeta de crédito. Alegó haber visto una suscripción de membresía para obtener futuros descuentos y accedió. Webloyalty alega que no violó las disposiciones de ROSCA al notificarle a Park en dos ocasiones donde el accedió a adquirir la membresía. Webloyalty adquirió el consentimiento para efectuar la compra porque entiendo que Park había accedido al responder en la afirmativa sobre la transacción. El tribunal encontró que Webloyalty había adquirido una valida autorización para efectuar la transacción.[14]

 

El Fair Credit Reporting Act viene en apoyo de ROSCA es otra ley federal dirigida a proteger la privacidad del consumidor limitando la visibilidad de no más de cinto dígitos numéricos en los recibos cuando el consumidor decide efectuar una compra con su tarjeta de crédito. Esta normativa sirve para proteger al consumidor de que se imprima más información de lo necesario para efectuar una compra.

 

The Fair Credit Reporting Act has as one of its purposes to “protect consumer privacy.” Safeco Ins. Co. of America v. Burr, 551 U.S. 47, 52, 127 S.Ct. 2201, 167 L.Ed.2d 1045 (2007); see 84 Stat. 1128, 15 U.S.C. § 1681. To that end, FCRA provides, among other things, that “no person that accepts credit cards or debit cards for the transaction of business shall print more than the last 5 digits of the card number or the expiration date upon any receipt provided to the cardholder at the point of the sale or transaction.” § 1681c(g)(1) (emphasis added). The Act defines “person” as “any individual, partnership, corporation, trust, estate, cooperative, association, government or governmental subdivision or agency, or other entity.” § 1681a(b).[15]

 

El Identity Theft Assumption and Deterrence Act, tiene el propósito y cometido de criminalizar la apropiación de la identidad dentro de la jurisdicción federal de la nación estadounidense. Las víctimas de robo de identidad tienen derecho a los remedios que ofrece el gobierno federal además de poder traer a los causantes de estos daños a que respondan en un foro federal por sus actos ilícitos. La cantidad de daños que repercutan luego de este robo de identidad puede tomar varios años en subsanarse, en el momento que el autor de este delito toma posesión de la identidad de su víctima, el mismo puede realizar compras o retirar dinero de cuentas personales y/o comerciales en cuestión de segundos. Ante esta cruda realidad, el gobierno federal ofrece estos remedios que sirven para mitigar estos daños causados, pero al final de día le toca a la víctima corregir y responder por los daños de esas transacciones fraudulentas.

 

No obstante, la limpieza del crédito puede tomar inclusive varios años dependiendo de la severidad de los daños causados a su crédito.  La víctima tiene que pasar por un proceso arduo para:

 

  1. demostrarle a las agencias de crédito y préstamos que no incurrieron en esa deuda ni que tampoco autorizaron personalmente el uso de su nombre ni crédito para que sea utilizado para realizar esas transacciones, además de demostrar que fue víctima de robo de identidad.
  2. remover el mal crédito permanentemente de su historial de cré
  3. tomar medidas para evitar que el autor del delito pueda volver a tomar acción que resulte en un segundo intento de robo de su identidad que dañen sus archivos y su vida personal. Hasta que su nombre y crédito sea liberado de este acto torticero, la victima tendrá problemas para obtener préstamos, hipotecas, tarjetas de identificación para hasta poder obtener un empleo[16] (traducción nuestra).

 

En el caso Flores Figueroa v. United States, un ciudadano mejicano le presentó a su empleador una tarjeta de seguro social fraudulenta unida a unas tarjetas de identificación con su nombre pero los números de identificación de otras personas. Debido a estos actos, fue arrestado por cargos de robo de identidad e inmigración ilegal. Sin embargo, ante la pregunta de qué puede hacer un consumidor para proteger su crédito y evitar que su identidad sea apropiada ilegalmente se sugiere que la persona siga las siguientes recomendaciones mientras se espera por protección estatal y federal:

 

  1. No tener sobre su persona tarjetas de crédito adicionales, su tarjeta de seguro social, certificado de nacimiento o su pasaporte en su cartera o billetera.
  2. Limitar el uso de teléfonos públicos o sistemas automatizados de recolectar información personal.
  3. Recoger, guardar o destruir completamente los recibos de compras para evitar que la información sea apropiada ilegalmente.
  4. Cancelar toda tarjeta de crédito o cuenta de banco que no está en uso.
  5. No proveer su número de seguro social o la información de su tarjeta de crédito por teléfono a cualquier persona desconocida o compañía.
  6. Contactar el “Better Business Bureau” antes de proveer información personal a un negocio.
  7. Asegurar o destruir apropiadamente su información bancaria bajo situaciones comprometedoras.
  8. Destruir cualquier formulario de aplicación de créditos pre-aprobadas. [17].

 

Como vemos, a pesar de que existen algunas agencias y leyes que tratan de ayudar a proteger a los consumidores, éstos continúan viéndose afectados al usar el Internet. Por tanto hace falta mayor protección por parte del gobierno.

 

b) Unión Europea y España

 

Los avances tecnológicos nos permiten el fácil acceso a información de cualquier índole a través del Internet y, a medida que transcurre el tiempo, cada vez son más los archivos disponibles que quedan grabados en esta base de datos mundial. Toda esta información a disposición de otros usuarios a través de la web, permanece almacenada por periodos de tiempo indeterminados, lo que dificulta que una persona pueda removerla con facilidad. El problema se agrava cuando terceros colocan información, imágenes, videos, entre otros archivos sin autorización, los cuales usualmente se propagan de manera rápida.

 

Por tanto, en aras de atender esta problemática, en 1995, la Unión Europea estableció unos principios generales para la protección de datos en el Internet a través del Data Protection Directive[18]. El propósito de esta regulación consiste en establecer un balance entre la protección de privacidad de cada persona y el libre flujo de datos, estableciendo límites e imponiendo que los estados precisen condiciones más específicas sobre el procesamiento de datos personales que es lícito. A partir de esta regulación, han surgido debates en torno a si debe existir un derecho a ser olvidado (right to be forgotten) en el mundo cibernético.

 

Sin embargo, no es hasta el año 2012, que surgió una propuesta llamada General Data Protection Regulation Proposal, acogiendo los principios generales del Data Protection Directive, pero a su vez añadiendo el concepto sobre el derecho a ser olvidado. Este derecho permite que los individuos puedan “request [to] a data controller, at any time, to remove from their database any piece of information regarding that data subject, regardless of the source of the information”.[19] Ahora bien, esto derecho no es absoluto ni tampoco permite que cualquier individuo solicite eliminar cualquier información que ha sido publicada, pues después de todo el Internet es un archivo gigantesco de información. Por tanto, se sugieren “cuatro posibles requisitos para que pueda darse la reclamación de este derecho. Se requiere que: (1) los datos ya no cumplan con el propósito para el cual fueron recopilados; (2) que el individuo revoque el consentimiento, cuando le fue requerido para obtener los datos; (3) que el individuo ejerza su derecho de objetar y; (4) que pueda ser reclamado cuando la recopilación o el procesamiento de los datos viole cualquier provisión de la regulación”[20] (traducción nuestra).

 

Países como España, han enfrentado solicitudes de remoción de información de este tipo. Tan reciente como en 2014, en el caso de Google v. Spain[21] un ciudadano solicitó a Google y al periódico La Vanguardia que eliminara unos artículos y enlaces con información relacionada a una subasta por embargo de su residencia por no pagar a tiempo unas deudas de seguro social. El demandante:

 

solicitaba que se exigiese a Google Spain o a Google Inc. que eliminaran u ocultaran sus datos personales para que dejaran de incluirse en sus resultados de búsqueda y dejaran de estar ligados a los enlaces de La Vanguardia. En este marco, el Sr. Costeja González afirmaba que el embargo al que se vio sometido en su día estaba totalmente solucionado y resuelto desde hace años y carecía de relevancia actualmente[22].

 

 

A pesar de negar la petición contra el periódico, sí atendieron la controversia relacionada a Google.  En esta la Agencia Española de Protección de Datos (AEPD) dijo que:

 

quienes gestionan motores de búsqueda están sometidos a la normativa en materia de protección de datos, dado que llevan a cabo un tratamiento de datos del que son responsables y actúan como intermediarios de la sociedad de la información. La AEPD consideró que estaba facultada para ordenar la retirada e imposibilitar el acceso a determinados datos por parte de los gestores de motores de búsqueda cuando considere que su localización y difusión puede lesionar el derecho fundamental a la protección de datos y a la dignidad de la persona entendida en un sentido amplio, lo que incluye la mera voluntad del particular afectado cuando quiere que tales datos no sean conocidos por terceros. La AEPD estimó que este requerimiento puede dirigirse directamente a los explotadores de motores de búsqueda, sin suprimir los datos o la información de la página donde inicialmente está alojada e, incluso, cuando el mantenimiento de esta información en dicha página esté justificado por una norma legal [23].

 

Consecuentemente, la corte de Audiencia Nacional le solicitó una opinión preliminar a la Corte Europea de Justicia en la que realizaron tres preguntas: “(i) if the European data protection framework established in the Data Protection Directive is applicable to Google, (ii) if search engines are considered data controllers under the Directive, and (iii) if a data subject can demand a search engine to remove the indexation of a certain piece of information”[24]. Tras contestar en afirmativa las primeras dos interrogantes, la corte expresó sobre la tercera que si  una búsqueda resulta incompatible en tiempo según las normas de la Directiva 95/46, los enlaces deben ser borrados si la persona lo solicita. A partir de ese momento, Google se vio en la obligación de establecer un proceso para que las personas puedan solicitar la remoción de información incompatible.

 

Esperamos, que ante las exigencias y preocupaciones de los ciudadanos, otros países tomen la iniciativa de establecer procesos similares para realizar reclamaciones en sus respectivas jurisdicciones o, mejor aún, para la protección de la información privada que a diario se coloca y almacena en Internet. Al  menos se puede concluir que el derecho a ser olvidado es un buen comienzo para armar a los usuarios cibernéticos de herramientas capaces de defenderlos en un entorno sin límites geográficos.

 

IV.- Protección Constitucional

 

a) Constitución Federal

 

Cada vez que accedemos al Internet revelamos grandes características y datos personales que ponen en riesgo nuestra seguridad, pues estamos expuestos a que se nos rastreen nuestros movimientos por parte de entidades privadas e incluso por parte del gobierno. Estas entidades utilizan la información que vamos dejando en Internet para crear un perfil a base de nuestros gustos y búsquedas cibernéticas sin nuestro conocimiento ni control. Esto ha provocado que con la llegada del Internet veamos trastocados nuestros derechos constitucionales, tal como ha sucedido con el Derecho a la Intimidad. Como sabemos,

 

En Estados Unidos, este derecho a la intimidad proviene de las “penumbras” de la Constitución Federal, pero expresamente el Tribunal ha reconocido el derecho a garantizar la intimidad en ciertos casos, como en los registros y allanamientos, pero aún no se ha aclarado si la información que surge producto de navegar en Internet está o no protegido bajo la Cuarta Enmienda. Esto deja al descubierto sobre qué constituye la expectativa razonable de intimidad en el mundo virtual[25].

 

A pesar de que la doctrina establecida en el caso de Katz v. United States[26], fue la norma en los años sesenta sobre la intimidad en el Internet, fue debilitándose pocos años luego. El Tribunal Supremo “resolvió que cuando la información personal está en manos de terceros, como lo sería en el caso de Google, la expectativa de intimidad es menor”[27]. Una vez evaluada la expectativa de intimidad, es importante establecer si la información es de contenido o no. “Como regla general, la Cuarta Enmienda protege la información de tipo contenido, pero en el ámbito de la información que surge navegando el Internet, no es tan fácil descifrar lo que constituye contenido”[28]. Un ejemplo de estas sería, una página de Internet, considerada como de contenido porque  a través de ella se puede ver qué cosas hizo el usuario, mientras que de no contenido podría ser un correo electrónico que va dirigido a una persona y solo se podría dar con la dirección IP.

 

En Estados Unidos, con miras a proteger la privacidad, en 1986 se aprobó el Electronic Communications Privacy Act (E.C.P.A.)[29] pero no aplicaba a las comunicaciones por Internet pues las mismas se guardaban y detenían múltiples  veces. En otras palabras, solo aplicaba cuando la comunicación estaba siendo transferida, lo que resulta poco útil pues son fracciones de segundo lo que puede tardar una transmisión. Posteriormente, en el 2001 se aprobó el USA Patriot Act[30], que limitó el poder de las personas para controlar su información personal, restringiendo un poco el derecho a la intimidad. No obstante, algunos estados han adoptado leyes que requieren que quienes recopilen datos expresen en sus políticas de privacidad el tipo de datos que recopilan y quienes son las terceras personas con quien podrían compartirla. “Solo Nevada y Minnesota exigen que no se divulguen los datos personales de sus usuarios, a menos que el usuario consienta expresamente a que se publiquen sus datos”[31].

 

Esta exigencia de Nevada y Minnesota es altamente vanguardista. Cada País debería de acoger iniciativas de esta índole para brindar mayor seguridad  protección al consumidor en línea.

 

b) Constitución Estatal

 

En Puerto Rico, en cambio, el derecho a la intimidad está expresamente en nuestra Constitución.

 

Siendo el derecho a la intimidad uno de tan alta jerarquía en nuestro ordenamiento resulta contradictorio que muchas veces se obvie. Como no ha surgido un caso sobre el tema de Internet en Puerto Rico, habría que especular sobre la inclinación del Tribunal Supremo, de surgir algún día un caso en esta área. La tendencia de los tribunales parece indicar que no prevalecería la intimidad. Sin embargo, lo primero que se debe verificar es si en efecto los usuarios de Internet poseen una expectativa razonable de intimidad. Una vez determinado que sí la poseen, se debe proseguir con el análisis.[32]

 

 

Por consiguiente, habría que esperar a que surja alguna controversia novel que llegue hasta el Tribunal Supremo para ver cuál será el camino a seguir o esperar a que la Asamblea Legislativa de un paso al frente y apruebe leyes que ayuden a proteger y salvaguardar este derecho.

A pesar de que ambas jurisdicciones le reconocen al individuo una expectativa razonable de intimidad, este puede ser sobrepasado en ocasiones con cualquier otro interés que pueda estar presente. Un ejemplo de esto es cuando los gobiernos sacrifican el derecho a la intimidad cuando intentan adelantar intereses de seguridad nacional, creando un miedo generalizado y ansiedad. Nosotros como Pueblo hemos aceptado someternos a medidas de seguridad, en algunos casos extremas. Por tanto, mientras aceptamos estas medidas de seguridad para nuestra tranquilidad mental, renunciamos a este derecho constitucional, pues son mutuamente excluyentes. En otras palabras, si el nivel de seguridad aumenta, el derecho a la intimidad se ve reducido y viceversa.

 

V.- Jurisdicción           

 

a) Doctrina de los Contactos Mínimos en el Internet

 

Cuando se tratan asuntos relacionados a la protección y retención de información del consumidor que realiza transacciones a través del Internet, es preciso hablar sobre jurisdicción. Este requisito primordial es el que faculta a un tribunal de poder ejercer sus leyes sobre una persona natural o jurídica, siempre que se cumplan con los requisitos establecidos para obtener la jurisdicción sobre la misma. Si bien es cierto que para adquirir jurisdicción personal en Puerto Rico, es necesario cumplir con la Regla 3.1 de Procedimiento Civil[33], la cual establece que:

 

(a) El Tribunal General de Justicia tendrá jurisdicción: (1) sobre todo asunto, caso o controversia que surja dentro de la demarcación territorial del Estado Libre Asociado de Puerto Rico, y (2) sobre las personas domiciliadas y las no domiciliadas que tengan cualquier contacto que haga la jurisdicción compatible con las disposiciones constitucionales aplicables. (b) El tribunal tendrá facultad para conocer de procedimientos de jurisdicción voluntaria. Se podrá acudir al tribunal en un recurso de jurisdicción voluntaria con el fin de consignar y perpetuar un hecho que no sea en ese momento objeto de una controversia judicial y que no pueda resultar en perjuicio de una persona cierta y determinada.

 

Como puede notarse, se requiere que exista algún contacto con Puerto Rico para adquirir jurisdicción.  Sin embargo, determinar la misma a través del Internet no resulta ser tan sencillo como cuando la persona es residente de Puerto Rico o la causa de acción surge dentro del territorio del Estado Libre Asociado. Esto se debe a que la Internet no tiene demarcaciones territoriales ni límites geográficos que nos faciliten identificar las leyes aplicables. Es por esta razón, que los tribunales han tenido que ir adoptando normas que les ayuden a determinar si hay o no jurisdicción sobre una persona no domiciliada en el País. La jurisprudencia federal ha expresado que: “The courts nonetheless must seek guidance from statutory and constitutional law, state long-arm provisions, and contemporary notions of the Due Process Clause of the Fourteenth Amendment in order to decide if personal jurisdiction exists over an Internet defendant”[34]. Inclusive, se han desarrollado dos tipos de jurisdicción para tratar de establecer si el demandado incurrió en contactos mínimos con el foro.

 

En primer lugar, “la jurisdicción general que es la autoridad de escuchar cualquier causa de acción que envuelva a un demandado, sin importar la causa de acción que surja de las actividades realizadas por éste dentro del foro. Pero estos contactos deben ser continuos y sistemáticos para que sean permitidos bajo la cláusula del debido proceso de ley. Por otro lado, la jurisdicción específica, debe estar autorizada por un estatuto de largo alcance. Este tipo de jurisdicción, se refiere a la causa de acción que surge directamente por los contactos hechos por el demandado en el foro”[35](traducción nuestra).

 

Ahora bien, el caso que estableció la norma inicial para atender controversias de índole cibernético fue Zippo Manufacturing Co. v. Zippo Dot Com, Inc.[36], en el cual el Tribunal Supremo concluyó que la naturaleza y calidad de la actividad comercial que haga la empresa en el Internet es lo que puede determinar si se puede adquirir jurisdicción. Para esto estableció una guía a través del método de sliding scale approch.

 

Esta escala clasificaba las páginas de internet en pasivas, si solo proveían información sin tener interacción con el público o en activas si se hacían negocios y se interactuaba con el cliente en el foro. Por tanto, se determinó que cuando se está frente a una página pasiva no habría jurisdicción pero ante una página activa si podría establecerse. No se pueden olvidar aquellas páginas que no necesariamente se ajustan a uno de estos extremos pues se encuentran en un punto medio. Es por esto que en situaciones donde no sean páginas activas ni pasivas es necesario que el tribunal evalué cada caso individualmente para poder determinar si existe algún contacto mínimo sustancial que pueda someterlos a la jurisdicción del estado.

 

Posteriormente, esta norma se ha ido atemperando con la realidad virtual del Internet y los tribunales están utilizando otros factores como los establecidos en ALS Scan v. Digital Services Consultants, Inc., donde se requiere que haya:

 

…(a) actividad electrónica directa con el estado; (b) con la intención manifiesta de realizar negocios u otras interacciones dentro del estado y (c) que la actividad cree una causa de acción reconocida en los tribunales que pueda ser invocada por un residente de su foro[37].

 

De igual forma, se han considerado otras doctrinas para determinar si existe jurisdicción sobre la persona o no, tal como la desarrollada en Calder v. Jones[38].  Ésta expresa que “es apropiado el que un tribunal asuma la jurisdicción personal de un no residente cuando las actuaciones intencionales torticeras que fueron expresamente dirigidas hacia el estado donde la persona no reside, causa daño que el demandado sabía que era posible que fuese sufrido[39]”.

 

Estos pocos ejemplos nos comprueban que el Internet evoluciona constantemente y que lo continuará haciendo. Por esta razón, a medida que surjan situaciones en la red cibernética los tribunales deberán analizar cada situación por separado para determinar si es necesario desarrollar una nueva doctrina o si la controversia se ajusta a alguna existente. Sin embargo, cada País puede desarrollar leyes que ayuden a establecer o definir la jurisdicción en diversos escenarios que puedan surgir. De igual forma, en la medida que sea posible, crear lazos internacionales que ayuden a establecer normas para la protección de los consumidores en el Internet.

 

b) Jurisdicción y Contactos Mínimos en las páginas de subastas

 

Como ya se ha discutido, la doctrina de contactos mínimos ayuda a resolver si un tribunal tiene jurisdicción para actuar sobre un no domiciliado, ya que sin jurisdicción no se puede resolver una controversia. Nuestro Tribunal Supremo ha establecido:

 

…otros ejemplos concretos que podrían configurar la doctrina de los contactos mínimos. Primero, los tribunales deben evaluar si el no domiciliado, efectuó por sí o por su agente, transacciones de negocio dentro de Puerto Rico; segundo, si participó por sí o por su agente en actos torticeros dentro de Puerto Rico; tercero, si estuvo involucrado por sí o su agente en un accidente mientras estaba en Puerto Rico; cuarto, si estuvo en Puerto Rico en la operación, por éste o por su agente, de un negocio de transportación de pasajeros o de carga en Puerto Rico, o entre Puerto Rico y Estados Unidos o entre Puerto Rico o un país extranjero o el accidente ocurriere fuera de Puerto Rico en la operación de dicho negocio cuando el contrato su hubiera otorgado en Puerto Rico; y por último, si es dueño, usa o posee, por sí o su agente, bienes inmuebles sitios en Puerto Rico[40].

 

Pero también, el Tribunal Supremo de los Estados Unidos ha establecido otros criterios para determinar si se asumirá jurisdicción o no. Estos son:

 

…primero que la carga que la litigación en el estado que asume jurisdicción le impone a la parte demandada; segundo, el interés del foro estatal en adjudicar la controversia y el interés del demandante en obtener resarcimiento.(Este criterio no deber tener razón de ser. Le da un tono arbitrario a la rama judicial. Si el caso tiene los méritos, el tribunal debe resolver).; tercero, el interés del sistema de justicia interestatal en que las controversias se resuelvan de la manera más eficiente, y por último, que el interés compartido de los diversos estados en adelantar políticas sociales sustantivas y fundamentales. Este requisito es algo ambiguo ya que los tribunales no establecen políticas públicas, son las otras ramas de gobierno que tienen la responsabilidad mencionada.[41]

 

 

Ahora bien, en los casos de páginas de subastas, como por ejemplo eBay, la página de Internet solo se utiliza como un foro para que terceros realicen ventas y cada individuo es responsable sobre la venta. Por ejemplo, en el caso de Metcalf v. Lawson[42], el tribunal resolvió que el vendedor de New Jersey no se sometió voluntariamente a la jurisdicción de New Hampshire con la venta hecha a través de subasta, pues este no tenía conocimiento de quien ganaría la misma. El tribunal indica que el hecho de que la venta pudiera darse fuera de la jurisdicción de New Jersey, no era suficiente para adquirir jurisdicción sobre la persona.

 

Como se puede apreciar, cada caso es independiente y la cantidad de situaciones que pueden surgir en el Internet son infinitas, ya que a medida que avanza la tecnología van naciendo controversias noveles que requerirán una interpretación o norma distinta. Es por esto que deben existir leyes que ayuden a regular anticipadamente las lagunas jurídicas que puedan surgir o al menos sentar una guía a seguir.

 

VI.- Contratación

 

a) Aspectos Generales

 

No hay duda de lo costo efectivo que resulta el Internet. Cada empresa puede establecer un negocio virtual y a la vez promocionarse con una gran cantidad de personas simultáneamente con el fin de generar ganancias. Ahora bien, es necesario conocer las normas y leyes aplicables a la contratación electrónica, ya que un contrato realizado por Internet es tan válido como uno realizado en presencia de ambos contratantes.

 

Por consiguiente, en Puerto Rico nuestro Código Civil establece que para que medie una relación contractual debe existir: consentimiento, objeto y causa. En el caso de los contratos electrónicos, las partes contratantes no están presentes físicamente al momento de suscribir el contrato. Pero en el Art. 1214 de dicho Código, establece que habrá consentimiento cuando concurra oferta, aceptación y causa, regulando solo la contratación a distancia hecha a través de cartas, siendo concretado al momento en que el consentimiento del aceptante llega al conocimiento del oferente. Además, estipula que el contrato se presumirá celebrado en el lugar de la oferta (la cual sería el lugar de jurisdicción).

 

b) Comercio Electrónico

 

La contratación electrónica no fuera posible sin el comercio electrónico, pues la tecnología ha impulsado a los consumidores a efectuar transacciones comerciales desde cualquier lugar y a cualquier hora, porque les ahorra tiempo y dinero. Sin embargo, la falta de normas tiene constantemente a los consumidores vulnerables, desprotegidos y  expuestos al fraude cibernético. En 2001, un artículo de revista jurídica decía:

 

Nuestro sistema de derecho no está diseñado para atender adecuadamente la variedad de actos criminales que se cometen en el comercio electrónico. La ilegalidad de los mismos es objeto de legislación en muchas jurisdicciones donde intentan implementar estatutos diseñados específicamente para combatir el crimen en el internet y garantizar su buen uso.[43]

 

 

Casi una década y media después, aun no contamos con un sistema de derecho robusto que nos proteja ampliamente de los crímenes cibernéticos. Por tanto, es importante que cada usuario sea capaz de realizar transacciones inteligentes en Internet, utilizando sitios seguros para ello. Esto nos ayuda en caso de que necesitemos hacer una reclamación, podamos obtener un reembolso si el portal cibernético es con un ente legítimo y confiable. Ante esta problemática,  resulta indispensable que el Estado actúe regulando eficientemente el comercio electrónico, creando un balance entre las necesidades de la industria y el consumidor.

No obstante, entre los esfuerzos que se han establecido en algún momento en Puerto Rico, se encuentra la aprobación de la Ley de Firmas Digitales[44], la cual fue posteriormente derogada por la Ley de Firmas Electrónicas de Puerto Rico. Esta última fue a su vez, sustituida por la Ley de Transacciones Electrónicas[45]. Claramente en su exposición de motivos se establece que el propósito de dicha legislación es para

…promover y facilitar la participación de Puerto Rico en los mercados nacionales e internacionales; y fomentar el desarrollo de la infraestructura legal necesaria para que nuestros ciudadanos puedan disfrutar, de manera confiable y segura, de los beneficios del comercio electrónico a nivel nacional y global. En atención a lo anterior, esta Asamblea Legislativa promulga la presente Ley con el propósito de colocar a Puerto Rico al nivel de las jurisdicciones de vanguardia en torno al comercio electrónico[46].

 

Por otro lado, por la naturaleza de nuestro sistema mixto de tradición civilista y anglosajona, nos son de aplicación otros esfuerzos de regulación a favor de la protección de los consumidores de la red. Por consiguiente, la esfera federal aprobó el Electronic Communications Act de 1986[47], que tipifica como delito la interceptación o alteración, internacional y sin autorización, de comunicaciones electrónicas almacenadas por los proveedores de estos servicios. Esta ley dio paso a la creación de otras leyes en protección del consumidor, como el Child Online Protection Act y el Communications Decency Act, siendo esta última declarada inconstitucional posteriormente en Reno v. American Civil Liberties Union[48]. Otras leyes como el Digital Millenium Act[49] y el Online Copyright Infrigiment Liability Limitation Act[50], protegen la propiedad intelectual.

 

c) Contratación con menores de edad, contratos de adhesión y redes sociales

 

Anteriormente, cuando se hablaba de contratos se pensaba en un documento extenso con cláusulas y letras pequeñas que generalmente preparaban los abogados cuando dos personas deseaban pactar algo. También, se podía pensar en un acuerdo verbal entre dos o más personas. Ahora bien, con la llegada del Internet cada vez es más fácil entrar en un negocio jurídico contractual y eso es lo más preocupante, dado a que cada vez son más los menores de edad que tienen acceso al red cibernética.

 

Un contrato electrónico es “todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones”[51]. “El contrato electrónico es en sí un contrato atípico (de adhesión), lo cual significa que el contrato ha sido preparado por una parte y los términos no resultaron de negociación entre ambas partes, ya que en él, quien recibe la oferta de venta, sólo se limita a aceptar o a rechazar la oferta, sin posibilidad de sugerir siquiera, modificación alguna a los términos del contrato”[52].

 

Hoy día existen varios contratos de adhesión, tales como el Browse Wrap, Shrink Wrap y Click Wrap Contracts. El primero se caracteriza por entrar en vigor tan pronto como se accede a la página y usualmente sus términos y condiciones están poco visibles al usuario. El segundo tipo de contrato mencionado usualmente se encontraba en los softwares que se compraban en las tiendas envueltos en papel celofán. Bajo este tipo de contrato, no es hasta que se adquiría el producto y se sacaba de su envoltura que se podían conocer los términos y condiciones. De no estar de acuerdo con el producto podía devolverlo. Por último, el click wrap permite al usuario leer los términos y condiciones antes de entrar o instalar un producto y a su vez le obliga marcar un encasillado como aceptación a los mismos. Este tipo de contrato no le permitirá continuar si no está de acuerdo.

 

En uno de los casos resueltos por el Tribunal Supremo Federal de Estados Unidos, Hotmail Corporation v. Van Money Pie Inc., se estableció que una vez un usuario del Internet acepta los términos y condiciones de la página Web, está obligado a cumplir con el contrato, ya que es obligación del usuario leer los términos y condiciones antes de aceptarlos[53].

 

 

Entonces, tomando en consideración los contratos que son constituidos por Browse Wrap y Click Wrap, se aprecia lo fácil que es contratar por el Internet, específicamente el hecho de que no se sabe quién la persona del otro lado de la computadora. Esta situación está poniendo en manos de niños y jóvenes menores de edad herramientas de contratación, las cuales ellos desconocen las consecuencias que ello puede tener. A pesar de las restricciones o medidas de control que se han tratado implantar a través de registros de usuarios aun “son miles los niños menores de trece (13) años que falsifican sus datos personales para abrir una cuenta cibernética”[54]. Por tanto, es muy importante que los países tomen acción para tratar de evitar esto que afecta tanto al menor que miente para lograr acceso a alguna página o red social como a quien contrata con él, pues el menor carece de capacidad jurídica de contratar.

 

d) Redes Sociales

 

Las redes sociales han revolucionado la manera de los seres humanos relacionarnos en gran medida. Tanto así que hoy día existen un sinnúmero de redes sociales que son atractivas para los niños y jóvenes. Sin embargo, no todas son aptas para menores de edad o requieren una edad mínima para poder crear una cuenta. Se ha dicho que:

 

Cuando se crea un perfil en estas redes sociales, se está realizando un contrato válido entre la red social y la persona que crea la cuenta. Cada vez son más los menores de edad que crean cuentas en estas redes. La red social“Facebook” admite que los mecanismos de control no son perfectos[55].

 

En estas páginas crean perfiles con información falsa acerca de su edad y posteriormente se descubre la verdad, ya que los mecanismos de prevención no son infalibles. Ahora bien, Facebook, por ejemplo, utiliza un mecanismo “que le permite a las personas que sospechan que un menos de edad tiene un perfil en la red social, llenar un formulario, facilitándole a la red social un enlace a la biografía del menor de 13 años para que facebook la investigue”. Si la investigación arroja razonablemente que la cuenta es de un menor, la eliminan, y el contrato queda nulo. Otras redes sociales deberían de unirse a este tipo de control para tratar de alejar a los menores de problemas que puedan surgirles.

VII.- Nuevas Iniciativas

 

a) Protección del Consumidor en Puerto Rico

 

Recientemente, el Departamento de Asuntos al Consumidor de Puerto Rico (D.A.C.O., en adelante) aprobó el “Reglamento para Implantar la Publicación de la Política de Privacidad en el Manejo de Datos Privados y Personales de Ciudadanos, según Recopilados en Puerto Rico”. Este Reglamento, número 8568, será de aplicación a todo comercio registrado y/o que realice negocios dentro del Estado Libre Asociado de Puerto Rico, en los que recopile información de residentes de dicho territorio a través del Internet.

 

Según disponen las nuevas normas generales sobre la publicación de política de publicidad, cada comercio podrá seleccionar entre crear su propia política de privacidad, siguiendo unos parámetros mínimos conforme al Artículo 6(b), o escoger entre tres categorías de protección de información personal, las cuales deberá cumplir a cabalidad e identificarlas con el logo correspondiente. Estas categorías están divididas en Nivel I, II o III y luego de acogerse a alguna de ellas, el comercio está obligado de notificar al D.A.C.O. sobre cualquier enmienda que se haga a su política de privacidad que conlleve que éste deje de cumplir con el nivel otorgado.

 

En general, el mencionado artículo 6(b) requiere que toda política de privacidad contenga:

 

(1) nombre del comercio; (2) qué tipo de datos personales de los consumidores estarán siendo recopilados por el comercio; (3) cuál es la política de divulgación de la información personal recopilada y bajo qué circunstancias será ésta compartida con terceros; (4) método disponible a los consumidores para que éstos puedan conocer enmiendas realizadas a la política de privacidad de un comercio, con posterioridad a la divulgación original de su política pública; (5) fecha en que dichas enmiendas a la política de privacidad entrarían en vigor; (6) como la página de internet, responde a señales de “Do not track” y (7) Si terceros, pueden recopilar información personal sobre las actividades en línea del consumidor, en diferentes páginas de internet[56].

 

Esta nueva reglamentación, que entrará en vigor el próximo 27 de junio de 2015, define a un operador de páginas como “cualquier persona natural o jurídica residente o que haga negocios en o desde Puerto Rico que sea dueña y/u operadora de una página localizada en Internet o de cualquier servicio en línea que se encuentre dirigido principalmente hacia la obtención de un beneficio mercantil o de remuneración monetaria y que por cualquier medio que recopile y/o conserve información personal de usuarios residentes de Puerto Rico. Esta definición excluye a los proveedores de servicio de Internet que no sean dueños y/u operadores de las páginas en cuestión”. Así que, como se aprecia estas normas sólo serán de aplicación a aquellos operadores que manejen páginas que sean utilizadas para obtener y conservar datos, pero se excluyen a los proveedores de servicio que no estén relacionados a las páginas de Internet con estos fines.

 

Además, de contener las normas generales de política de privacidad sobre las transacciones comerciales cibernéticas, este reglamento establece multas de hasta $50,000 por incurrir en prácticas de manejo de información no autorizadas o que no sean correspondientes a su realidad de negocio. De incumplir con alguna otra disposición del reglamento se expondrá a una multa de hasta $10,000 por cada día que trascurra sin divulgar la política de privacidad del comercio.

 

Entendemos que una vez entre en vigor este reglamento será un avance encaminado a proteger al ciudadano que realiza transacciones por Internet. Sin embargo, a pesar de ser un paso significativo a favor de los consumidores, aún falta mucho por hacer para fortalecer la seguridad de los usuarios cibernéticos.

 

b) Derecho Comparado del Consumidor en España

 

A diferencia del derecho del consumidor en Puerto Rico, el derecho del consumidor en España emana del artículo 51 de la Constitución Española como principio básico. Dicho artículo 51 dispone:

 

Los poderes públicos garantizarán la defensa de los consumidores y usuarios, protegiendo, mediante procedimientos eficaces, la seguridad, la salud y los legítimos intereses económicos de los mismos.

Los poderes públicos promoverán la información y la educación de los consumidores y usuarios, fomentarán sus organizaciones y oirán a éstas en las cuestiones que puedan afectar a aquéllos, en los términos que la Ley establezca.

Según lo dispuesto anteriormente, la Ley regulará el comercio interior y el régimen de autorización de productos comerciales.[57]

 

De esta manera, en España, la protección de los consumidores y usuarios se convierte en un principio básico que obliga al Estado asegurar a los ciudadanos sus derechos y libertades en este ámbito. Así, en su artículo 51 se ordena a los poderes públicos que garanticen la defensa de los consumidores y usuarios; protejan su seguridad, salud e intereses económicos; promuevan la información y la educación de consumidores y usuarios; y fomenten las organizaciones de consumidores y usuarios y las oigan en lo que pueda afectar a éstos.

 

Para cumplir con este principio constitucional, las cortes españolas aprobaron el Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba texto refundido de la Ley General para la Defensa de Consumidores y Usuarios y otras leyes complementarias.[58] Estos estatutos constituyen las bases sobre las que se asienta la protección y defensa de los consumidores y usuarios en España. Los derechos básicos de los consumidores y usuarios en España son:

a) La protección contra los riesgos que puedan afectar su salud o seguridad.

b) La protección de sus legítimos intereses económicos y sociales; en particular, frente a la inclusión de cláusulas abusivas en los contratos.

c) La indemnización de los daños y la reparación de los perjuicios sufridos.

d) La información correcta sobre los diferentes bienes o servicios y la educación y divulgación para facilitar el conocimiento sobre su adecuado uso, consumo o disfrute.

e) La audiencia en consulta, la participación en el procedimiento de elaboración de las disposiciones generales que les afectan directamente y la representación de sus intereses, a través de las asociaciones, agrupaciones, federaciones o confederaciones de consumidores y usuarios legalmente constituidas.

f) La protección de sus derechos mediante procedimientos eficaces, en especial ante situaciones de inferioridad, subordinación e indefensión.

 

Para poner en vigor los mencionados estatutos bases, el gobierno español creó el Instituto Nacional del Consumo, en adelante el “I.N.C.”  Este organismo es uno autónomo, adscrito al Ministerio de Sanidad, Política Social e Igualdad a través de la Dirección General de Consumo. La Dirección General de Consumo es el órgano al que corresponde la propuesta de regulación, en el ámbito de las competencias estatales, que incidan en la protección y la promoción de los derechos de los consumidores y usuarios; el establecimiento e impulso de procedimientos eficaces para la protección de los mismos; la cooperación institucional interterritorial en la materia; el fomento de las asociaciones de consumidores y usuarios y el apoyo al Consejo de Consumidores y Usuarios.[59]

 

El I.N.C. sería la agencia de gobierno, o como los españoles lo llaman, el poder público, que protege los consumidores de España a nivel nacional. O sea, el I.N.C. es el D.A.C.O. de España. Este es presidido por el titular de la Secretaría General de la Política Social y Consumo, quien lleva la dirección del organismo y se encarga de la aprobación de los planes generales de actividad del Instituto.

 

Notemos que el I.N.C. cuenta con un Sistema Arbitral de Consumo. Este es el instrumento que las Administraciones Públicas ponen a disposición de los ciudadanos para resolver de modo eficaz los conflictos y reclamaciones que surgen en las relaciones de consumo, toda vez que la protección de los consumidores y usuarios exige que éstos dispongan de mecanismos adecuados para resolver sus reclamaciones.[60] Quiérase decir, que este sistema vendría siendo el proceso adjudicativo con su reglamento de D.A.C.O.

 

La ley define el Sistema Arbitral de Consumo como el sistema extrajudicial de resolución de conflictos entre los consumidores y usuarios y los empresarios o profesionales a través del cual, sin formalidades especiales y con carácter vinculante y ejecutivo para ambas partes, se resuelven las reclamaciones de los consumidores y usuarios, siempre que el conflicto no verse sobre intoxicación, lesión o muerte o existan indicios racionales de delito.[61] Los órganos arbitrales estarán integrados por representantes de los sectores empresariales interesados, de las organizaciones de consumidores y usuarios y de las Administraciones públicas.[62]

 

A través del sistema arbitral de consumo, las partes voluntariamente encomiendan a un órgano arbitral, que actúa con imparcialidad, independencia y confidencialidad, la decisión sobre la controversia o conflicto surgido entre ellos. Esta decisión, vinculante para ambas partes, tiene la misma eficacia que una Sentencia.

 

En adición a todas estas disposiciones, la legislación española ya cuenta con estatutos que para el arbitraje electrónico, los actos realizados por vía electrónica, Ley 60/2003, de 23 de diciembre, de Arbitraje, y el acceso electrónico de los ciudadanos a los servicios públicos.[63]

Para lograr un funcionamiento integrado del Sistema Arbitral de Consumo y, a la misma vez, garantizar la seguridad jurídica de las partes, se crearon dos organismos fundamentales. Estos son, la Comisión de las Juntas Arbitrales de Consumo y el Consejo General del Sistema Arbitral de Consumo. Estas instituciones trabajan de forma integrada con el fin de brindarle confianza y firmeza a las partes, protegiendo y creando el máximo balance de sus intereses.

 

El I.N.C. permite que el consumidor acuda a cualquiera de los organismos públicos o privados que se dedican a la protección de los consumidores. Algunos de estos son: Oficinas Municipales de Información al Consumidor, Direcciones Generales de Consumo en la Comunidades Autónomas, Asociaciones de Consumidores y Usuarios, Juntas Arbitrales de Consumo y, por supuesto, los tribunales de justicia.

 

España también cuenta con un Código de Consumo. En el prólogo del Código de Consumo de España, el legislador acepta el hecho de que la defensa de los consumidores y usuarios precisa de un esfuerzo constante y que el reto es doble. Por un lado, identificar aquellos sectores donde se hace necesaria la intervención del Legislador sea el estatal, sea el autonómico; por el otro, diseñar instrumentos jurídicos realmente eficaces. El código cubre desde el marco general que proveen las leyes la estatal y las autonómicas de defensa de los consumidores y usuarios hasta ámbitos tan concretos como las condiciones generales, los contratos fuera de establecimiento, la responsabilidad civil del fabricante e importador por productos defectuosos, el crédito al consumo, etc. Con este texto uniforme el legislador logra la existencia de una categoría jurídica autónoma que podríamos denominar “Derecho de los consumidores”.

 

Ya analizado, en rasgos generales, el funcionamiento del INC, lo determinante del análisis jurídico del Derecho del Consumidor es el cómo hacer valer todos esos derechos civiles aquí discutidos y cómo hacer valer el derecho civil español a nuestra jurisdicción en los casos de consumo a través del Internet.

 

c) Cláusulas abusivas en España (Oficina de Control de Cláusulas Abusivas en España y la propuesta de su País aplicada al Ciberespacio.

 

La legislación española proporciona mecanismos legales de protección al consumidor a través de Internet, que se encuentran en las tres fases de la vida del contrato: precontractual, perfección y post-contractual.

 

 

i) Fase precontractual

 

El objetivo en esta fase es proporcionar al consumidor la mayor información posible con el objetivo de que éste lleve a cabo una decisión fundada y de que se identifique adecuadamente al prestador de los bienes o servicios. De ahí que el artículo 10 de la Ley 34/2002, de 11 de julio (LSSI) exija que se permita el acceso por medios electrónicos, de modo fácil, gratuito y directo a la siguiente información: nombre o denominación social; residencia y domicilio; dirección de un establecimiento permanente; correo electrónico y cualquier otro dato que permita mantener con el prestador una comunicación directa y efectiva; datos de la inscripción en el Registro Mercantil u otro Registro Público. Si el prestador ejerce una profesión se indicarán: los datos del colegio profesional a que pertenezca y número de colegiado;  información clara del precio del  producto o servicio, gastos de entrega, si incluye impuestos…;  códigos de conducta y manera de consultarlos electrónicamente[64]. Junto con una adecuada y completa información resulta importantísimo también el control de las comunicaciones comerciales electrónicas.

 

ii) Fase de perfeccionamiento del contrato

 

En esta fase es importante distinguir las obligaciones referidas al momento de la formación del contrato y a su contenido. En esta fase, el prestador de servicios tiene la obligación de poner a disposición de los destinatarios de forma permanente, fácil y gratuita, información clara, comprensible de los siguiente: distintos trámites que han de seguirse para celebrar el contrato; si el prestador va a archivar el documento electrónico en que se formalice el contrato y si éste va a ser accesible; medios técnicos para identificar y corregir errores en la introducción de datos; y el idioma en que ha de formalizarse el contrato.  La obligación de poner a disposición de los consumidores esta información se entenderá cumplida si el prestador la incluye en su página o sitio de Internet en las condiciones señaladas.

 

El prestador no tendrá la obligación de proporcionar la información a que hemos aludido cuando ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor,  o cuando el contrato se haya celebrado exclusivamente mediante el intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente.

 

Entre las obligaciones más importantes del prestador de servicios en relación con el contenido del contrato, se encuentra la de poner a disposición del consumidor y usuario las cláusulas o condiciones generales del contrato, con la antelación necesaria a la perfección de éste. No se incorporarán las cláusulas ilegibles o ambiguas. De especial importancia es la cuestión que atañe al control de las cláusulas abusivas. Regulan el tema los artículos 82 a 91 de la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU). Se considerarán abusivas las estipulaciones no negociadas individualmente que, en contra de las exigencias de la buena fe causen, en perjuicio del consumidor y usuario, un desequilibrio importante en los derechos y obligaciones que deriven del contrato. El empresario que afirme que una determinada cláusula ha sido negociada individualmente, deberá probarlo.

 

El carácter abusivo de una cláusula se apreciará atendiendo a la naturaleza de los bienes o servicios objeto del contrato y considerando todas las circunstancias concurrentes en el momento de su celebración, así como todas las demás cláusulas del contrato  o de otro del que éste dependa. De acuerdo con el artículo 82.4 del TRLGDCU, se consideran abusivas en todo caso las cláusulas que:

 

  • vinculen el contrato a la voluntad del empresario.
  • limiten los derechos del consumidor y usuario.
  • determinen la falta de reciprocidad del contrato.
  • impongan al consumidor y usuario garantías desproporcionadas o le impongan indebidamente la carga de la prueba.
  • resulten desproporcionadas en relación con el perfeccionamiento o la ejecución del contrato.
  • contravengan las reglas sobre competencia y derecho aplicable.

 

La consecuencia de la declaración abusiva de una cláusula será a nulidad de la misma y el tenerla por no puesta. Cuando subsista el contrato, corresponden al juez que declare la nulidad de una cláusula facultades moderadoras respecto de los derechos y obligaciones de las partes, y de las consecuencias de su ineficacia en caso de perjuicio apreciable para el consumidor y usuario. Solamente cuando las cláusulas subsistentes  determinen una posición no equitativa en la posición de las partes, que no pueda ser subsanada podrá el juez declarar la ineficacia del contrato.

 

iii) Protección en la fase post-contractual

 

En esta fase los derechos imperativos e irrenunciables del consumidor son los siguientes:

 

  • Derecho a la confirmación por parte del oferente de la recepción de la aceptación en las veinticuatro horas siguientes. No será necesaria dicha confirmación cuando los contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor. Tampoco cuando el contrato se haya celebrado exclusivamente por correo electrónico u otro tipo de comunicación electrónica equivalente.
  • Derecho de desistimiento del contrato en el plazo de siete días hábiles posteriores a la entrega del producto o del momento en que comienza a prestarse el servicio. El derecho no se aplica en el supuesto de que por la naturaleza del producto sea imposible llevarlo a cabo (por ejemplo, en el caso de programas informáticos). Se excluyen en general del ejercicio de este derecho todos los productos que puedan ser reproducidos.
  • Derecho a la ejecución del pedido a lo más tardar en el plazo de treinta días a partir del siguiente en que el consumidor o usuario haya prestado su consentimiento para contratar. En caso de no ejecución del pedido por falta de disponibilidad del bien o servicio contratado se informará al consumidor de esta circunstancia, teniendo derecho a la devolución de las cantidades abonadas en el plazo máximo de treinta días. En caso que el abono no se realice en ese plazo el consumidor tendrá derecho a recibir el doble, sin perjuicio de su derecho a ser indemnizado. Tiene también derecho de sustitución del bien o servicio contratado, si ha sido informado expresamente de esa posibilidad. Este derecho está exento de precio.
  • Tratándose de bienes muebles corporales de consumo: garantía de dos años desde la celebración del contrato, en caso de que el bien no sea conforme con el contrato. La falta de conformidad se da si: el bien no responde a lo publicitado; no tiene las características que se decían en el contrato; o no cumple la función que es de esperar de acuerdo con sus características. En tales casos el consumidor puede optar por solicitar la reparación, sustitución, un descuento, o la devolución del dinero.

 

El sistema legal de protección se completa con importantes medidas ante un fenómeno cada vez más frecuente: la recepción de comunicaciones comerciales no solicitadas, al que pasamos a referirnos a continuación.

 

d) Protección del consumidor y usuario frente al Spamming

 

El spam constituye una técnica de las empresas publicitarias, que utilizan de modo abusivo el correo electrónico de los usuarios. La Comisión Europea, ante la generalización de esta práctica, ha previsto una serie de medidas técnicas y normativas para evitarla. La Directiva 2002/58/CE, establece la necesidad de recabar el consentimiento expreso de los receptores de las comunicaciones emitidas antes de que se produzca dicho envío.  No obstante, tratándose de clientes de la entidad anunciante, este requisito no será necesario cuando se cumplan dos condiciones: que se les hubiera informado de la posible remisión promocional y que no se hubiesen negado a ella (es preciso, que sus datos personales se hubiesen obtenido de manera lícita).

 

En el ordenamiento jurídico español regula estas cuestiones el artículo 20 LSSI, redactado conforme a la Ley de 28 de diciembre de 2007 de Medidas de Impulso a la Sociedad de la Información. En él se detalla la información que han de contener las comunicaciones comerciales electrónicas. Dichas comunicaciones han de ser claramente identificables como tales. En el caso de que se realicen a través del correo electrónico, incluirán al principio del mensaje la palabra “publicidad” o la abreviatura “publi”. En el caso de que se hagan ofertas promocionales con descuentos, premios o regalos, además del requisito anterior, será preciso que las condiciones de acceso o participación sean fácilmente accesibles y se expresen de modo claro e inequívoco. El artículo 21 LSSI,  prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas por los destinatarios de las mismas. En el caso de que el consumidor de servicios debiera facilitar su dirección de correo electrónico durante el proceso de contratación o de suscripción a algún servicio, y el prestador la pretenda utilizar posteriormente para el envío de comunicaciones comerciales, deberá de poner en conocimiento de su cliente esa intención y solicitar su consentimiento para la recepción de dichas comunicaciones, antes de analizar el proceso de contratación. El consumidor podrá revocar libremente el consentimiento prestado en cualquier momento. Estas prescripciones son de aplicación tanto a los prestadores de servicios de la sociedad de la información establecidos en España, como a los que lo estén en un estado de la UE, cuando el consumidor de dicho servicio se encuentre en España. El artículo 38.3.b), considera infracción grave[65] el envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a destinatarios que no hayan autorizado o solicitado expresamente su remisión, o el envío, en el plazo de un año, de más de tres comunicaciones comerciales, por los medios aludidos, a un mismo destinatario cuando éste no haya solicitado o autorizado su remisión. Los artículos 30 y 31 LSSI regulan la acción de cesación contra las conductas que lesionen los intereses colectivos de consumidores y usuarios. El objetivo de esta acción es obtener una sentencia que condene al demandado a cesar en la conducta contraria a la ley y a prohibir su reiteración futura. Puede dirigirse también a prohibir la realización de una conducta cuando ésta haya cesado al tiempo de ejercitar la acción, en el caso de que existan indicios que hagan temer su reiteración de manera inminente.

 

La protección de los consumidores y usuarios frente al spam y, en general, frente a cualquier comunicación comercial por vía electrónica, que resulte ilícita  se completa con las prescripciones de la 34/2008, Ley General de Publicidad (LGP), de 11 de noviembre. EL Título II de esta Ley ha sido reformado por la Ley 29/2009, de 30 de diciembre, por la que se modifica el régimen legal de la competencia desleal y de la publicidad para la mejora de la protección de consumidores y usuarios. El artículo 3 de la LGP, en su redacción actual, regula la publicidad ilícita. Son clases de la misma: La publicidad atentatoria contra la dignidad o los derechos reconocidos en la Constitución Española. La publicidad dirigida a menores, que les incite a comprar bienes o servicios explotando su inexperiencia o credulidad, o en la que aparezcan persuadiendo de la compra a padres o tutores. La publicidad subliminal. Se considera tal la que mediante técnicas de producción de estímulos de intensidades fronterizas en los umbrales de los sentidos o análogas, pueda actuar sobre el público destinatario sin ser conscientemente percibida (artículo 4 LGP).  La que infrinja lo dispuesto en la normativa que regule la publicidad de determinados productos, bienes, actividades o servicios. La publicidad engañosa (que induce a error a los destinatarios, silencia datos sobre los bienes actividades o servicios); la publicidad desleal, (entendiendo por tal la que produce denigración o desprecio de una persona o empresa, induce a confusión con empresas, marcas o signos distintivos de los competidores y, en general, la que es contraria a la buena fe y los usos mercantiles); y la publicidad agresiva. Estos tres tipos de publicidad ilícita tendrán el carácter de actos de competencia desleal, en los términos contemplados en la Ley de Competencia Desleal.

 

En la actualidad la LGP regula las acciones publicitarias en su artículo 6. Dicho artículo establece que las acciones frente a la publicidad ilícita serán las establecidas con carácter general para las acciones derivadas de la competencia desleal. Dichas acciones, de acuerdo con lo establecido en el artículo 32 de esta Ley son las siguientes:

 

  • Acción declarativa de deslealtad.
  • Acción de cesación de la conducta desleal o ilícita y prohibición de su reiteración futura. También podrá ejercitarse la acción de prohibición, si la conducta todavía no se ha puesto en práctica.
  • Acción de remoción de la conducta desleal.
  • Acción de rectificación de informaciones engañosas, incorrectas o falsas.
  • Acción de resarcimiento de los daños y perjuicios ocasionados por la conducta desleal, si ha intervenido dolo o culpa del agente.
  • Acción de enriquecimiento injusto, que sólo procederá cuando la conducta desleal lesione una posición jurídica amparada por un derecho de exclusiva u otra de análogo contenido económico.

 

La prescripción de estas acciones se produce, de acuerdo con el artículo 35 de la Ley de Competencia desleal, por el transcurso de un año desde el momento en que pudieron ejercitarse y el legitimado tuvo conocimiento de la persona que realizó el acto de competencia desleal y, en cualquier caso, por el transcurso de tres años desde el momento de la penalización de la conducta.

 

En cualquier caso, la protección de los consumidores frente a la publicidad ilícita en general, y frente al spam en particular requiere cooperación internacional. Existe un grupo internacional cuya finalidad es el intercambio de información legal y técnicas tendentes a limitar el envío de mensajes electrónicos no solicitados: la Stop Spam Alliance. Esta institución proporciona el contenido de las normas que se han aprobado sobre la materia y un calendario en el que se señalan los acontecimientos más relevantes en materia de comunicaciones comerciales no solicitadas. Iniciativas de esta índole son loables. Sin embargo, el problema dista de tener una solución sencilla.

 

La cooperación entre estados, el establecimiento de normas internacionales comunes y la concienciación de las empresas de publicidad, así como de consumidores o usuarios, constituyen elementos imprescindibles al efecto de conseguirla.

 

VII. Conclusión

 

En este ambiente, el desenvolvimiento de la sociedad de la información se ha fundado no sólo en el desarrollo de Internet, sino en otros recursos basados en redes de telecomunicaciones que emplean tecnología digital distinta a la del Internet, como la telefonía móvil o la televisión digital. En esta línea, es cierto que esas nuevas tecnologías no sólo comportan potencialmente un suministro de información comercial, sino asimismo otro tipo de información idónea para la formación de una opinión pública libre e incluso, en un plano individual, para la formación integral de la persona como instrumento educativo.

 

Es por estas razones que el Estado debe mostrar un mayor interés en adaptar nuestro Código Civil y ordenamiento jurídico a los medios electrónicos,  de forma tal que confianza del consumidor pueda ser protegida por leyes específicas,  como se ha logrado en España.

 

Endnotes

[1] Paulo B. Goes, Big Data & IS Research, Management Information Systems Vol. 38 No. 3  Sept, 2014.

 

[2] Kate Crawford, Big Data and Due Process Toward a Framework to Redress Predictive Privacy Harms, Boston Collegue Law Review Vol. 55, 94.

 

[3] Lyria Bennet, Using Big Data for legal and Law Enforcing decisions: Testing the New Tools, UNSW Law Journal, Vol 37.

 

[4] Erik J. Martin, What’s at stake for content creators in the New Netneutrality Debate, Econtent Mag, April 2015

 

[5] Id.

 

[6] Id.

 

[7] Id.

 

[8] Internet History Time line en, http://www.internethalloffame.org/internet-history/timeline

 

[9] Federal Trade Commission – https://www.ftc.gov/about-ftc/what-we-do

 

[10] Mainstream Mktg. Servs., Inc. v. F.T.C., 358 F.3d 1228 (10th Cir. 2004)

 

[11] Facebook, Inc. v. Power Ventures, Inc., 844 F. Supp. 2d 1025, 1030, 2012 U.S. Dist Lexis 25062, 10, 2012 WL 542586 (N.D. Cal. 2012)

 

[12] Gordon v. Virtumundo, Inc., 575 F.3d 1040, 1047-48 (9th Cir. 2009)

 

[13] Park v. Webloyalty.com, Inc., No. 12CV1380-LAB JMA, 2014 WL 4829465, at *7 (S.D. Cal. Sept. 29, 2014)

 

[14] Park v. Webloyality.com Inc. 12 CV1380-LAB JMA, 2014 WL 4829645, at *7 (S.D. Cal. Sept. 29, 2014)

 

[15] United States v. Bormes, 133 S. Ct. 12, 15, 184 L. Ed. 2d 317 (2012)

 

[16] Martha A. Sabol, The Identity Theft and Assumption Deterrence Act of 1998 Do Individual Victims Finally Get Their Day in Court?, 11 Loy. Consumer L. Rev. 165 (1999) Individual Victims Are Left Alone to Straighten Out their Credit and Their Lives

 

[17] Martha A. Sabol, The Identity Theft and Assumption Deterrence Act of 1998 Do Individual Victims Finally Get Their Day in Court?, 11 Loy. Consumer L. Rev. 165 (1999) Individual Victims Are Left Alone to Straighten Out their Credit and Their Lives

 

[18] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995.

 

[19] Ignacio Cofone, Google v. Spain: A Right to Be Forgotten?, 15 Chi.-Kent J. Intl. & Comp. L. 1, 2-3 (2015).

 

[20] Ignacio Cofone, Google v. Spain: A Right to Be Forgotten?, 15 Chi.-Kent J. Intl. & Comp. L. 1, 3 (2015).

 

[21] Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González, 2014 E.C.J. C-131/12.

 

[22] Id.

 

[23] Id.

 

[24] Ignacio Cofone, Google v. Spain: A Right to Be Forgotten?, 15 Chi.-Kent J. Intl. & Comp. L. 1, 2 (2015).

 

[25] Camille Álvarez Jacobo, Desvanece la intimidad en el mundo virtual: La búsqueda de protección constitucional en Internet, 45 Rev. Jur. U. Inter P.R. 265, 269 (2010-2011).

 

[26] 389 U.S. 347 (1967).

 

[27] Camille Álvarez Jacobo, Desvanece la intimidad en el mundo virtual: La búsqueda de protección constitucional en Internet, 45 Rev. Jur. U. Inter P.R. 265, 272 (2010-2011).

 

[28] Camille Álvarez Jacobo, Desvanece la intimidad en el mundo virtual: La búsqueda de protección constitucional en Internet, 45 Rev. Jur. U. Inter P.R. 265, 271 (2010-2011).

 

[29] 18 U.S.C. §§ 2510-22 (2009).

 

[30] U.S.A. Patriot Act, Pub. L. No. 107-56, 115 Stat. 272 (2001).

 

[31] Camille Álvarez Jacobo, Desvanece la intimidad en el mundo virtual: La búsqueda de protección constitucional en Internet, 45 Rev. Jur. U. Inter P.R. 265, 275 (2010-2011).

 

[32] Id. Pág. 281

 

[33] 32 L.P.R.A. Ap. V.

 

[34] Michael J. Weber, Jurisdictional Issues in Cyberspace, 36 Tort & Ins. L.J. 803, 1 (2001).

 

[35] Michael J. Weber, Jurisdictional Issues in Cyberspace, 36 Tort & Ins. L.J. 803, 2 (2001).

 

[36] Zippo Manufacturing Co. v. Zippo Dot Com, Inc., 952 F. Supp. 1119 (W. D. Pa. 1997).

 

[37] Sergio E. Criado Mangual, La ciberjurisdicción puertorriqueña: ¿Constituye el mero uso del Internet los contactos mínimos para poder adquirir jurisdicción in personam de las partes contractuales?, 40 Rev. Jurídica U. Inter. P.R. 377 (2006).

 

[38] Calder v. Jones, 465 U.S. 783 (1984).

 

[39] Id. en la pág. 791.

 

[40] José M. Lugo Santos, Doctrina de Contactos Mínimos y su Crisis ante las páginas de subasta, 52 Rev. Der. P.R. 161, 167  (2012). Citando a  Molina v. Supermercado Amigo, Inc., 119 D.P.R. 330 (1987); Rodríguez v. Nasrallah, 118 D.P.R. 93 (1986).

 

[41] Id. Págs. 167-168.

 

[42] Metcalf v. Lawson, 148 N.H. 35 (2002).

 

[43]  Rosa Lyn Cardona Moreu, La Regulación Del Comercio Electrónico, 40 Rev. Der. P.R. 137, 142 (2001).

 

[44] 3 L.P.R.A. §1031 (Supl. 1999).

 

[45] 10 L.P.R.A. § 4081 (Supl.2012).

 

[46] Id.

 

[47] 18 U.S.C. §2701 (1986).

 

[48] Reno v. ACLU, 521 U.S. 844 (1997).

 

[49] 17 U.S.C. § 1201 (1998).

 

[50] 17 U.S.C. § 512 (2000).

 

[51] Darysa Bello Amador, Contratos y acuerdos cibernéticos con menores, 53 Rev. Der. P.R. 109, 109-110 (2013)

 

[52] Id. Pág. 110.

 

[53] Id. Págs. 110-111.

 

[54] Id. Pág. 112.

 

[55] Id. Pág. 112.

 

[56] Reglamento para Implantar la Publicación de la Política de Privacidad en el Manejo de Datos Privados y Personales de Ciudadanos, según Recopilados en Puerto Rico, Núm. 8568 (27 de febrero de 2015).

 

[57] CONST. art. 51,  sec. II  (España).

 

[58] B.O.E. núm. 287, de 30 de noviembre.

 

[59] Real Decreto 263/2011, de 28 de febrero, Artículo 16.

 

[60] Qué es el Sistema Arbitral de Consumo, en <http:// www.consumoinc.es/Arbitraje/queEs.htm>.

 

[61] Real Decreto Legislativo 1/2007, de 16 de noviembre, art. 57.

 

[62] Id.

 

[63] Ley 11/2007, de 22 de junio.

 

[64] Dado que los contratos por vía electrónica son contratos a distancia, las prescripciones de la LSSI han de completarse con las prescripciones contenidas en materia de contratos a distancia en el TRLG DCU. Concretamente, su artículo 97 hace especial hincapié en la importancia de la información precontractual. Remite al artículo 60, contenido en la Sección relativa a los contratos con consumidores. En él se detalla la información que ha de proporcionarse de forma gratuita al consumidor antes de la celebración del contrato (nombre, razón social y domicilio; precio completo, incluidos los impuestos; fecha de entrega y ejecución; procedimiento para poner n al contrato y garantías ofrecidas; lengua de formalización del contrato y derecho de desistimiento). Además de la remisión al artículo 60, el artículo 97 TRLGDCU exige que se informe previamente al consumidor de extremos tan importantes como: coste de utilización de la técnica de comunicación a distancia cuando se calcule sobre una base distinta a la tarifa básica; características esenciales del bien o servicio; gastos de entrega y transporte, en su caso; plazo de vigencia de la oferta y del precio; duración  mínima del contrato; forma de pago y modalidades de entrega o ejecución, e, indicación de estar adherido el empresario a algún procedimiento extrajudicial de solución de conflictos.

 

[65] La sanción es multa de 30.001  hasta 150.000 euros artículo 39 b.

01Ene/15

Comprar en Internet. ¿Ventajas o desafío?

Trabajos,

Comprar en Internet. ¿Ventajas o desafío?

Internet nos ofrece no sólo la posibilidad de buscar cualquier tipo de información o abrirnos hacia nuevas formas de comunicación, antes inimaginables, también nos ofrece su vertiente comercial como lo es la compra directa de bienes y servicios a través de la Red.

La novedad técnica que estas transacciones nos suponen unidas a la falta del componente “físico”, ya se sabe… al español le gusta “tocar” aquello que compra… producen en nosotros cierto rechazo y desconfianza, sobre todo en cuanto a los medios de pago a utilizar y por supuesto ante la dificultad de reclamación si el producto o servicio no cumple con lo ofertado en la página “web”.

Las ventajas de Internet

Lo cierto es que Internet elimina intermediarios en la distribución y por ello el consumidor sale ganando, consiguiendo precios más bajos y accediendo cómodamente desde su hogar a una mayor variedad de productos y servicios a golpe de “click”.
Por otro lado, se abren nuevas formas de atención al cliente, desde servicios de atención telefónica, pasando por información a través de e-mail o incluso la posibilidad de ser atendido a través de chat, comunicación instantánea de datos escritos, de audio o video-conferencia simultánea.

La Ley de Comercio Electrónico

Es innegable que Internet se está convirtiendo en un fenómeno social tan real como imparable en el que muchos “avispadillos” podían hacer su agosto. Por ello, y a pesar de la polémica discusión y tardanza en su aprobación por el Congreso, ¡por fin tenemos la Ley del Comercio Electrónico! (Ley de Servicios para la Sociedad de la Información).
Esta ley tiene el difícil reto de intentar regular un medio que tiene un alcance mundial, pero supone todo un avance dada la absoluta ausencia de regulación que teníamos.

¿Qué nos ofrece la nueva ley?

En primer lugar es importante saber que esta Ley sólo tiene efecto ante empresas radicadas en España. A estas empresas se les obliga a que suministren información esencial al usuario a la hora de contratar, a saber, los más importantes en la práctica:

  • Nombre o denominación social, domicilio, correo electrónico y cualquier dato que nos permita establecer una comunicación efectiva.
  • Datos de inscripción en el Registro Mercantil.
  • Información clara y exacta sobre el precio del producto o servicio, incluyendo o no los impuestos aplicables y en su caso los gastos de envío.

Los contratos vía electrónica son plenamente válidos y eficaces y se deben facilitar al usuario de manera clara todos los trámites para su correcto cumplimiento, las condiciones generales del contrato, así como recibir confirmación de la recepción de la aceptación del contrato a través de acuse de recibo por correo electrónico en las 24 horas siguientes a la celebración del contrato.
Además, cualquier controversia que surja como consecuencia de este contrato on-line, deberá someterse ante los tribunales del lugar de residencia del consumidor, lo que supone todo un avance y ventaja para éste, ya que se asegura su presencia en el procedimiento y se evitan gastos de desplazamiento.

Así pues, esta ley aporta mayor claridad y crea un clima de confianza en los usuarios a la hora de contratar electrónicamente. Debemos valorar la dificultad de regular un campo prácticamente inabarcable, pero todavía queda mucho por hacer, porque los derechos y garantías de los consumidores y usuarios españoles deben ser protegidos siempre, en aras hacia una seguridad y un mayor desarrollo de nuestro país dentro del filón empresarial que supone el comercio electrónico en el siglo XXI.

01Ene/15

Cuando Internet entra por la puerta, la LOPD sale por la ventana

Trabajos, , ,

Cuando Internet entra por la puerta, la LOPD sale por la ventana

Nadie duda de las bondades de Internet, ni del ahorro de costes que supone pasarlo todo a digital… pero tampoco podemos olvidar que el ciudadano tiene unos derechos fundamentales garantizados constitucionalmente, ni que existen unas leyes que protegen dichos derechos a base de imponer cuantiosas multas.

Aún a riesgo de resultar repetitivos o de parecer demasiado conservadores (ya hemos hablado en otras ocasiones sobre el Derecho al Olvido en relación con el periodismo digital y con los boletines y diarios oficiales digitales), debemos decir que la experiencia obtenida a través de nuestros clientes, continúa revelándonos nuevos aspectos de la transición al mundo digital que chocan frontalmente con la protección de datos personales.

Hoy le toca el turno a la notificación de los accidentes de trabajo a través del Sistema Delta del Ministerio de Trabajo (o mejor dicho, de Empleo y Seguridad Social).

Pasando por encima de la complicación que supone aplicarle las medidas de seguridad de Nivel Alto al dichoso parte de accidente cuando, sin embargo, un parte de baja por enfermedad común sólo requiere el nivel básico (este tema también lo tratamos anteriormente), el procedimiento establecido por Delta, entraña un riesgo para la protección de datos mucho menos evidente.

El proceso más habitual es el siguiente:

  • Un trabajador, con más sueño que devoción, tiene un accidente de coche mientras se dirigía al trabajo por la mañana.
  • Resultado de dicho accidente, el trabajador detecta (o incluso se inventa) un dolor en el cuello, por lo que se dirige a su mutua a ver si consigue que le den la baja por AT.
  • Del análisis de dicha dolencia, se genera un registro del accidente que la mutua comunica a la empresa para que rellene el correspondiente parte Delta (si lleva descripción de la lesión sufrida, ya tenemos esos indeseables datos de salud en nuestra empresa).
  • El departamento de Recursos Humanos, o la gestoría, o quizá el Departamento de Prevención de Riesgos Laborales recibe esta notificación y, tras recabar la información necesaria, cumplimenta el tedioso parte Delta.
  • …Disculpen… corrijo el punto anterior: En realidad, UNA PERSONA FÍSICA del departamento de Recursos Humanos, o de la gestoría, o del Departamento de Prevención de Riesgos Laborales, cumplimenta el tedioso parte Delta.
  • Para ello, únicamente se necesita un “certificado digital de persona física”, que en la mayoría de los casos, es el certificado digital de la FNMT.

Además, entre las funcionalidades del Sistema Delta, aparte de registrar nuevos partes, está la consulta de los partes notificados anteriormente.

Por favor, tómense un minuto de reflexión antes de seguir leyendo… ¿Ya? Bien. ¿Y cuál es el problema?

Pues básicamente, que es la persona física quien notifica o consulta los partes de accidente, no la empresa. Desde el punto de vista de protección de datos, esto puede implicar varias cosas:

  • La más preocupante es que cuando esta persona abandona la empresa, puede seguir consultando y descargándose los partes Delta que ha notificado anteriormentey lo que es peor, parece posible que también siga teniendo capacidad de notificar un nuevo parte Delta.
  • Otras consecuencias menos probables, pasarían por considerar a la persona física como Responsable del Fichero, puesto que es la única que tiene capacidad de disposición sobre la información notificada a través del Delta (debiendo cumplir con la obligación de inscribir un fichero en la AEPD, informar a los afectados, obtener su consentimiento expreso pues es un dato de salud, elaborar un documento de seguridad, etc.). Tranquilidad, que ya digo que este enfoque no me parece realista ni adecuado, pues normalmente se trata de un trabajador por cuenta ajena que sólo hace lo que le dicen sus jefes.

Por esta desconcertante situación, se planteó la siguiente consulta por email al Sistema Delta:

” Estimados señores,

(bla, bla, bla)

¿Para notificar un accidente de trabajo en una empresa es necesario disponer de algún tipo de autorización específica o basta con tener un certificado digital?

En cualquiera de los 2 casos, ¿existe alguna forma para rescindir los permisos de acceso a los partes notificados anteriormente por la persona con su certificado digital cuando ésta abandona la empresa? ¿y de impedir que notifique futuros accidentes?

Para evitar el uso de certificados personales, se ha valorado la posibilidad de utilizar certificados de persona jurídica; no obstante, nos indican desde la FNMT que ellos no pueden limitar ni restringir de ninguna forma el uso de dichos certificados (y por motivos obvios, sería interesante limitar dicho uso exclusivamente a la notificación de accidentes de trabajo).

¿El Sistema Delta ofrece alguna posibilidad de obtención de certificado exclusivo para la interacción con Delta, como es el caso del certificado Silcon del Sistema RED de la Seguridad Social?

Y en tal caso ¿existe algún procedimiento de revocación de personas autorizadas a utilizar ese certificado cuando abandonan la empresa o cuando cambien sus funciones?

Agradezco de antemano su pronta respuesta.

Reciban un cordial saludo.

 

Sorprendentemente, la respuesta no se hizo esperar más de 10 minutos:

” Habiendo recibido y analizado su consulta, pasamos a indicarles la solución que creemos más acertada.

En Delta se registran personas físicas y no empresas. Los partes tramitados únicamente pueden ser visualizados a través de la aplicación por aquellas personas que lo tramitaron. Solo puede darse de baja de la aplicación la propia persona que esta registrada como representante de empresa. Únicamente pueden revocar las firmas digitales los propietarios de las mismas y no hay ninguna manera de evitar que estas personas no tramiten más partes. Una opción sería tramitar todos los partes de la misma empresa con una única firma digital.

Esperamos haber contribuido a solucionar su problema. De no ser así, rogamos vuelvan a contactar con nosotros, mediante un nuevo correo o llamando al 902 88 77 65 (Centro de Atención a Usuarios de aplicaciones externas del MEYSS).

Saludos cordiales,”

Sin entrar a valorar la sugerencia de que varias personas utilicen una única firma digital personal, se confirman nuestros temores. Básicamente, no hay forma de impedir que una persona que ha notificado un parte Delta con un certificado de la FNMT siga accediendo a este parte aún después de finalizar su relación con la empresa.

Sin embargo, el artículo 91 del Reglamento de Desarrollo de la LOPD, exige lo siguiente:

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.”

Y su incumplimiento, es una infracción grave de la normativa de protección de datos, con sanciones entre 40.000 y 300.000 euros.

Es decir, que por cumplir con nuestras obligaciones (cumplimentar el parte Delta) con las herramientas que la Administración pone a nuestra disposición (certificado digital FNMT), nos arriesgamos a recibir una fuerte sanción.

¿Soluciones?

  • La más lógica sería que la AEPD tomase cartas en el asunto y forzase al Sistema Delta a implantar un procedimiento que no tenga este agujero. No obstante, después de ver la falta de pudor en algunas administraciones públicas a la hora de reconocer que no les importa la protección de datos, yo no depositaría grandes esperanzas en esta solución.
  • Otra opción más práctica y segura, es recurrir a un certificado digital de una entidad privada (cualquiera de las aceptadas por Delta servirían) que ofrezca un “Certificado corporativo de persona física”, que es un certificado reconocido de persona física que identifica al suscriptor como vinculado a una determinada organización, ya sea como empleado, asociado, colaborador, cliente o proveedor. La empresa podrá revocar este certificado cuando la persona deje la organización. Lo malo es que hay que acordarse de revocarlo (algo que, en la práctica puede quedar en tierra de nadie aunque esté procedimentado por escrito), y que perdemos el acceso a los partes que conserva el Sistema Delta y que haya tramitado esta persona (lo que nos fuerza a quedarnos con una información a la que tenemos que aplicar el nivel alto de seguridad).

En fin, lo dicho: cuando Internet entra por la puerta, la LOPD sale por la ventana… y las empresas se quedan perplejos sin saber a quién tenerle más miedo.

01Ene/15

Día de Internet

Trabajos

Día De Internet

Ayer 17 de Mayo, ha sido designado como el Dia de Internet, una iniciativa resultante de la Cumbre Mundial de la Sociedad de la Información, que en su artículo 121 afirma que:

“Es necesario contribuir a que se conozca mejor Internet para que se convierta en un recurso mundial verdaderamente accesible al público. El 17 de mayo Día Mundial de la Sociedad de la Información, se celebrará anualmente y servirá para dar a conocer mejor la importancia que tiene este recurso mundial, en especial, las posibilidades que pueden ofrecer las TIC a las sociedades y economías, y las diferentes formas de reducir la brecha digital.”

En este sentido se creó un Site donde se recogen propuestas e iniciativas en este sentido.

El Día de Internet aporta una oportunidad para impulsar y favorecer el acceso a la Sociedad de la Información de los no conectados y de los discapacitados. Además, aprovechando la experiencia adquirida en España, se va a fomentar la celebración del Día de Internet en otros países, poniendo a disposición de aquellos que estén interesados todo el trabajo, información y metodología desarrollado por los que han participado en ediciones anteriores.

Con este motivo, nos congratulamos de contar con numerosas publicaciones y noticias destinadas a fomentar e impulsar esta iniciativa concienciando a los usuarios hacia un uso responsable de Internet y formándoles para que, desde el conocimiento, eviten caer en errores comunes de los que los usuarios maliciosos tratan siempre de beneficiarse.

Es particularmente interesante constatar que varias de estas iniciativas llevadas a cabo en el día de hoy tratan de animar y concienciar a los mas jóvenes a la hora de iniciarse o de seguir utilizando Internet.

En este sentido, podemos destacar algunos ejemplos, como serían los siguientes:

Fuentes:

 

01Ene/15

Comercio Electrónico. Tienda Virtual

Trabajos, ,

Comercio Electrónico
Tienda Virtual para la Venta de Ron y Cerveza

Las tiendas virtuales constituyen una alternativa importante para incrementar las transacciones en las diferentes empresas. El concepto de tienda virtual representa el intento de trasladar la “operativa” comercial habitual de un comercio tradicional a Internet. La Facultad de Ciencias Informáticas de la Universidad de Granma ha desarrollado diferentes tiendas virtuales a organizaciones comerciales de Cuba. Entre ellas se pueden mencionar la tienda virtual para la venta de ron y cerveza. Hoy en día con el desarrollo de las diferentes industrias han surgido nuevos productos de elevada calidad, a este desarrollo no están ajenas las empresas productoras de bebidas. En Cuba estas organizaciones comerciales crean productos que son reconocidos por personas del patio y extranjeros, entre estos están la cerveza y el ron. Actualmente el crecimiento del ron está por encima del 13 por ciento cada año y el Havana Club se comercializa en más de 120 países, con un fuerte impacto en Alemania, Francia e Italia, y crecimientos sustanciales en alrededor de 30 países. Por otra parte la cerveza cubana en el mercado Internacional se comercializa con una imagen similar a la que vemos en Cuba, y se pueden encontrar en el mercado europeo, Canadá, EUA y algunos países de América.

Teniendo en cuenta los datos anteriores y con el objetivo de proporcionar aplicaciones que permitan el incremento de las transacciones, se decide la creación de una tienda virtual para la venta de rones y cervezas de origen cubano. En el presente trabajo se describen las características de la aplicación desarrollada, así como su importancia por el tipo de producto que se brinda al cliente. Esto sin duda se convertirá en prueba fehaciente de las posibilidades de divulgación mediante las nuevas tecnologías.

Download the PDF file .

Descargar

01Ene/13

Tienda virtual para la venta de equipos electrodomésticos

Trabajos, ,

Tienda virtual para la venta de equipos electrodomésticos

Las tiendas virtuales son páginas webs utilizadas para publicar productos y vender a través de la misma. De esta manera, los clientes pueden consultar, comparar y adquirir los productos de una manera mucho mas rápida, y lo más importante es que pueden hacerlo desde cualquier parte del mundo utilizando una computadora. El desarrollo de esta aplicación permite a los usuarios a través de la web, la adquisición de equipos electrodomésticos, es por ello que se estableció en forma separada de las tienda reales, para aprovechar así las ventajas que hoy en día brinda internet y el comercio electrónico como vehículo para dar un mejor servicios a los compradores.

Download the PDF file .

Descargar

20Dic/12

Un problema de contenidos

Trabajos,

Un problema de contenidos

Internet se ha convertido en una de las piezas principales de la infraestructura mundial de la información. Su rápido crecimiento durante la década de los noventa no conoce precedentes en la historia de las tecnologías de la comunicación.

Por sus redes circula todo tipo de informaciones, imágenes, sonidos, textos, etc. cuyos contenidos son mayoritariamente legítimos y, con frecuencia, muy productivos. No obstante, también se trasmite una cierta cantidad de material no tan apropiado, del que generalmente no se advierte, que debería hacerse notar para evitar que los menores accedieran a ellos [69] . La Asociación Pro Derechos del Niño y de la Niña declara que cada día se cuelgan de Internet más de quinientas páginas con contenido perjudicial para los más pequeños [70] .

Estos contenidos plantean diversas cuestiones que deberán tratarse independientemente, porque no es lo mismo el acceso de los niños a contenidos pornográficos para adultos, que el acceso de adultos a pornografía infantil. Hay que diferenciar contenidos nocivos y contenidos ilícitos [71] .

La existencia de estas materias ha llevado a muchos colectivos a demandar la creación de una regulación sobre los contenidos que aparecen en la Red. Entre los grupos protagonistas de esta petición, destacan ONGs que velan por la protección de los menores, padres, profesores y empresarios.

A las empresas les preocupa la pérdida de productividad y a los padres, profesores y educadores la influencia que dichos inadecuados contenidos pueden ejercer en el normal desarrollo de la personalidad de los niños. Cada vez son más los hogares conectados a Internet [72] y el número de colegios que cuentan con acceso directo al ciberespacio ha aumentado considerablemente [73] .

La razón más extendida para solicitar tal regulación es que gran parte de los contenidos disponibles en Internet pueden ser dañinos para los menores por tener relación con la violencia, sexo, drogas, sectas, racismo, etc. El acceso a páginas de este tipo es realmente fácil e incluso, en algunas ocasiones, inintencionado por parte de los menores, que navegan inocente y tranquilamente por la Red [74] .

En Internet, además de tener acceso a una gran cantidad de información a través de las páginas web, foros, chats, etc., los niños también pueden encontrarse y descargarse en sus propios ordenadores una serie de juegos y programas de entretenimiento. Lo que, en principio, pudiera parecer un elemento lúdico e inofensivo va a convertirse en una de las principales fuentes de contenidos nocivos en Internet, por la gran carga de violencia de alguno de estos videojuegos.

La enorme violencia de algunos de estos juegos interactivos resulta especialmente dañina para niños y adolescentes [75] . El aprendizaje de los menores es observacional, imitan lo que ven sin tener, muchas veces, la capacidad suficiente para diferenciar entre lo real y lo fantástico. En contacto con agresividad, el niño se insensibiliza ante ella y, lo que es aún más grave, la ve como una posible solución a determinados problemas [76] .

La solución más sencilla sería no permitir a los niños acceder a Internet. Esta drástica decisión tampoco les beneficiaría porque estarían desaprovechando los aspectos positivos de la Red.

Por otro lado, podrían prohibirse todos los contenidos de dudosa conveniencia para los más pequeños. Esta opción plantea muchos problemas por poder suponer una grave merma del ejercicio de la libertad de expresión. Además, ¿quién decide qué contenidos hay que prohibir y cuáles son adecuados? ¿Con qué criterios? Los responsables de los menores quieren poder elegir lo que consideran seguro, productivo, relevante, amable, educativo, instructivo, pero estos calificativos son totalmente subjetivos y variables en función de la cultura y educación de cada individuo [77] .

La cuestión está en determinar cómo lograr una eficaz protección a la infancia. Algunos autores americanos [78] abogan por un sistema mixto que combine la autorregulación y el cumplimiento de códigos de conducta por parte de la industria con la posibilidad de los usuarios de decidir qué quieren y qué no quieren encontrar en Internet. Esta solución es tecnológicamente viable y respeta totalmente la libertad de expresión.

Para que estos mecanismos no resulten inútiles, los padres y profesores deberán hacer ver a los menores las posibilidades positivas y negativas que les ofrece Internet. Los valores y modos de comportamiento que los padres tratan de inculcar a sus hijos durante su infancia, deben hacerse también extensibles a la manera de navegar por la Red.

A) Contenidos ilícitos.-

Un contenido ilícito puede definirse como aquél que merece una respuesta penal por quebrantar un bien jurídico. Son contenidos que objetivamente pueden subsumirse en tipos delictivos, contenidos que en sí mismos son constitutivos de delito. Internet es únicamente el medio de comisión del delito, el escenario donde se realiza la acción punible. La definición sobre lo que debe considerarse ilícito depende de lo que establezca cada estado en su legislación penal [79] ; por lo tanto, tal definición variará de un país a otro.

De todos modos, tal y como se determinó en París, en la Reunión de expertos sobre abuso sexual a niños, pornografía infantil y pedofilia en Internet organizada por la UNESCO los días 18 y 19- Enero- 1999, aunque el concepto de lo que es legal o ilegal puede variar, es necesario defender ciertos valores universales entre los que se citan la protección de los menores y la dignidad humana [80] . Los bienes jurídicos y los valores universales protegidos serán objeto de análisis en el capítulo correspondiente a delitos.

La adopción de medidas nacionales para atajar estas conductas no es suficiente. Es necesaria una armonización internacional y una cooperación jurídico-policial entre los estados miembros de la Unión Europea y terceros estados ya que el Derecho Penal sólo es aplicable dentro del territorio nacional.

Internet permite, en un tiempo casi inapreciable, el movimiento de información de un servidor de un estado donde ésta sea ilícita a otro donde no lo sea. Así, dicha colaboración deberá evitar la existencia de refugios seguros para los documentos que violen los principios y normas del ámbito penal.

Uno de los principales problemas que se plantean, como consecuencia de la existencia de estos contenidos ilícitos o delictivos, es determinar quién debe considerarse responsable [81] : ¿únicamente su autor?, ¿Qué ocurre con los proveedores de servicios de Internet?, ¿Y los usuarios que en cualquier momento pasan de ser receptores a ser suministradores de información, incluso sin tener conocimiento de ello? El criterio para la atribución de responsabilidades debe ser la posibilidad de controlar efectivamente la información que se lanza a Internet.

Parece evidente que el responsable de estos contenidos debe ser su creador por ser el sujeto activo del delito, la persona que comete la acción tipificada.

El mayor problema es el anonimato que concede la Red. Aunque en algunas ocasiones es posible dar con el delincuente cibernético siguiendo la huella digital, las autoridades judiciales han expresado su preocupación por las diferentes técnicas que permiten la utilización anónima de Internet facilitando, así, el envío de contenidos ilícitos y haciendo prácticamente imposible su identificación.

Aunque las personas son libres para expresar su pensamiento y sus creencias, han de ser responsables de sus acciones. Ante la comisión de un delito no cabe alegar la libertad de expresión. El interés general de la sociedad que trata de proteger el Código Penal está por encima de este derecho individual.

La legítima necesidad de anonimato debe compatibilizarse con el principio de localización jurídica, que ha de incorporarse a los códigos de conducta nacionales y europeos. Para que dicha localización sea posible y eficaz, debe cooperarse técnicamente a nivel mundial.

Los proveedores de servicios (ISP) facilitan a los usuarios los medios para transmitir la información, proporcionan el soporte técnico al material pero no tienen ningún contacto con él; ni lo seleccionan ni lo modifican. Son meros transportistas que desconocen los contenidos que trasladan. Estos proveedores están exentos de supervisarlos, salvo en supuestos específicos a instancia de las autoridades. Así, están exentos de responsabilidad a no ser que conozcan efectivamente que los materiales que transportan constituyen una actividad ilícita o que colaboren deliberadamente en la comisión de dichas actuaciones.

Cuando un suministrador de servicios tenga conocimiento de la aparente ilicitud de los contenidos albergados en su servidor, debe tomar las medidas adecuadas para eliminar dicho material.

Los proveedores de contenidos (IPP) sí tienen la posibilidad real de supervisar la información y, por lo tanto, están obligados a controlar los documentos que publican. Una de sus actividades consiste en arrendar megas, espacio telemático, para publicar información, por ejemplo: una página web. El IPP puede exigir al arrendatario que le muestre el contenido de lo que se desea divulgar para controlar que todo se realiza conforme a la legalidad.

Alguno de los problemas que plantea este control por parte de los proveedores de contenidos es la imposibilidad de fiscalizar también todas las actualizaciones que el autor de la página realiza sobre su creación inicial. Por otro lado, ¿cómo saber si un determinado contenido está tipificado como delito en el Código Penal? El prestador es un técnico, no un jurista.

Muchas veces no se llevan a cabo estos controles por la existencia de grandes intereses económicos escudándose en la posibilidad que tienen los usuarios de filtrar o bloquear determinados contenidos. Esta justificación no es válida, ya que dichos sistemas sólo tienen cabida respecto a contenidos lícitos. Los actos ilegales no tienen defensa posible, no deben existir de ninguna manera.

En el seno de la Unión Europea, la Comisión fomenta la cooperación y la autorregulación, mediante códigos de conducta, de las asociaciones de suministradores de prestadores de servicios de la Sociedad de la Información para evitar la existencia de contenidos ilícitos y para fomentar un uso seguro de Internet.

En Inglaterra se ha creado un organismo independiente [82] que cuenta con una línea directa en la que los usuarios pueden denunciar los contenidos que consideren ilícitos. Otras medidas similares ya han sido adoptadas en Alemania y Países Bajos.

B) Contenidos nocivos.-

Cierto tipo de información puede constituir una ofensa a los valores, principios o sentimientos de las personas. Por ejemplo, contenidos que expresan opiniones políticas, creencias religiosas, expresiones radicales o sexistas, pueden provocar un riesgo para la integridad moral, sobre todo de la infancia.

Son contenidos ofensivos pero no lo suficiente como para ser merecedores de una sanción penal. La ofensa es una forma de incomodidad, infelicidad o sufrimiento mental. Una persona ofendida es herida en sus sentimientos; se le produce un daño aunque no sea físico.

Lo que se considera contenido nocivo [83] depende de las diferentes culturas. No son contenidos “políticamente correctos”, pero esta expresión es muy relativa. Cada país puede sacar sus propias conclusiones para definir la línea divisoria entre lo que es permisible y lo que no lo es. Incluso dentro de un mismo estado, las personas pueden tener criterios divergentes a la hora de establecer esta frontera.

Estos contenidos potencialmente perjudiciales están autorizados, lo único que se limita es el alcance de su distribución. La publicación no está vetada porque, tal y como establece el Libro Verde sobre la protección de la infancia y la dignidad humana en los servicios audiovisuales y de información, hay que respetar el derecho a la libertad de expresión. En este contexto es donde se produce el debate.

Algunos opinan que estos contenidos no deberían difundirse porque prima la protección de los menores; otros no consideran oportuno que los derechos de protección de la infancia constituyan el motivo para la censura en Internet. No aceptan las medidas de regulación, orientadas a la protección de los menores, que prohiban incondicionalmente la utilización de la Red para la distribución de material lícito.

La protección de los niños es fundamental para el desarrollo del conjunto de la sociedad pero siempre y cuando las medidas de protección que se adopten resulten proporcionales. Dada la intocable existencia de la libertad de expresión, se debe ofrecer a los usuarios la posibilidad de rechazar los contenidos que no consideren oportunos o apropiados.

La principal solución es el desarrollo de medios técnicos que permiten filtrar y clasificar los contenidos de Internet, sin olvidar las necesarias actividades de sensibilización a padres, profesores y usuarios, en particular a los menores de edad.

C) Control de contenidos.-

Los medios de comunicación audiovisuales tradicionales (cine, televisión) siempre han contado con una serie de normas para evitar o prohibir la emisión de ciertos contenidos en horarios en los que podían ser vistos por personas a las que se intenta proteger de esos contenidos, especialmente a los menores de edad.

Como ya hemos apuntado, en Internet pueden circular contenidos calificables como nocivos, perjudiciales u ofensivos para determinados colectivos de la sociedad. La existencia de este tipo de información es totalmente legal aunque puede ser considerada inmoral por algunas personas.

Los padres, profesores y empresarios quieren que Internet contenga únicamente información que sea relevante y apropiada para sus hijos, alumnos o trabajadores respectivamente, pero no pueden tratar de eliminar todo lo que no entre en esta calificación porque se estaría atentando contra la libertad de expresión en la Red.

La solución a la que se ha llegado intenta ser el punto intermedio entre la necesidad de proteger a los menores y el ejercicio de la libre expresión de los individuos. Reproduce, en cierto sentido, los antiguos sistemas de rombos o indicación de la edad mínima adecuada en cada caso, que se incluían y se siguen utilizando en los programas televisivos o películas cinematográficas a los que antes hacíamos referencia.

Algunos piensan que Internet es como la televisión “no caes de casualidad sino que has de teclear una dirección”. Las opiniones contrarias alegan que “muchos sitios utilizan términos infantiles como Disney, Barbie o Nocilla para atraer a los niños y, en realidad, muestran pornografía. Uno de cada cuatro niños entre dos y diecisiete años se encuentra sin querer con imágenes pornográficas” [84] .

El mercado informático ha puesto a disposición de los usuarios toda una serie de sistemas para evitar que los niños accedan en Internet a contenidos no adecuados para ellos. Dichos programas o firewalls, que cada vez presentan menos margen de error, se instalan en el navegador para evitar que determinados contenidos lleguen a conocimiento de los más pequeños de la casa [85] .

Desde que, en 1995, surgió el primer servicio de control de contenidos en Internet, han ido apareciendo y desarrollándose sistemas y herramientas que, de un modo u otro, persiguen evitar el acceso de los menores a estos contenidos nocivos para ellos que estamos comentando. Son relativamente baratos [86] y fáciles de utilizar para hacer del ciberespacio un lugar cada vez más seguro [87] .

Los programas especialmente diseñados para ayudar a los padres a bloquear y controlar el contenido de los sitios en Internet, con la finalidad de lograr la mejor protección de los niños, se pueden basar en diferentes criterios o presentar diversas modalidades [88] .

Se pueden grabar los lugares visitados por los usuarios dejando constancia de las actividades que han realizado. Así, los adultos conocerán el uso que sus niños hacen de Internet para adoptar, según estas referencias, las medidas que estimen convenientes.

Algunas páginas para adultos incluyen sistemas que verifican la edad de quien desea entrar en ellas. La fiabilidad de estas verificaciones no ofrece las garantías suficientes porque ¿cómo se controla que una persona no miente sobre su edad?

Una posibilidad es programar el ordenador para que se bloquee a una hora o a partir de un determinado momento introducido como parámetro. Estos métodos sí pueden tener eficacia en medios de comunicación audiovisuales como puede ser la televisión, ya que existe un horario de programación más o menos definido; sin embargo, Internet es atemporal y los contenidos de sus redes no varían en función de la hora a la que nos conectemos.

El etiquetado  es un medio que permite describir el contenido de un sitio sin tener por qué acceder a él para comprobar qué contiene. Proporciona unos datos sobre otros datos. Es fundamental para que el usuario pueda identificar el contenido y permitirle decidir si desea dar el siguiente paso: entrar al sitio o no. La capacidad del usuario para captar la pertinencia y significado de la información proporcionada en la etiqueta constituye un elemento fundamental. Es el usuario quién, en última instancia, decide si desea acceder o no.

Etiquetar un determinado sitio web facilita tanto evitarlo (si se complementa con filtros de exclusión) como acudir fácilmente a él (si el software utilizado utiliza un sistema de inclusión).

Este sistema no está siendo utilizado únicamente en Internet, los videojuegos también llevarán una recomendación de edad. La Asociación Española de Distribuidores y Editores de Software de Entretenimiento implantó este mecanismo como respuesta a los consumidores  que, en los últimos años, se alarmaba y preocupaba por el contenido violento y potencialmente dañino de algunos de estos software [89] . La mentalización y toma de conciencia de esta Asociación en lo relativo a estos temas les ha llevado a redactar un Código de Autorregulación con la colaboración del Defensor del Menor y de diversas asociaciones de padres.

El medio estándar de calificación y etiquetado de contenidos más extendido en Internet es el ofrecido por PICS [90] .

Su funcionamiento se basa en insertar en los documentos web unas etiquetas electrónicas textuales o icónicas invisibles para el lector que describen el contenido de esa página concreta: contenido sexual, violencia, racismo. Todas estas calificaciones tienen subcategorías: diálogos sugerentes, desnudos integrales, etc.

RSACI [91] utiliza como criterio el grado de sexo, violencia, desnudos y lenguaje soez. Es necesaria la autocalificación por parte de los propios creadores de la página.

Safe-Surf incluye categorías (y subcategorías): edad, palabrotas, homosexualidad, intolerancia, drogas, desnudos, violencia. Al igual que el sistema empleado por RSACI, el autor del contenido es su calificador mediante la cumplimentación de un cuestionario on line.

Net Shepherd clasifica los sitios en base a ciertos criterios de madurez (general, niños, adolescentes, jóvenes, adultos, objetable) y niveles de calidad que van de una a cinco estrellas. En este caso, el encargado de la calificación no es el propio autor sino una tercera persona.

Para etiquetar va a ser fundamental la previa clasificación del material existente en la Red. La clasificación supone un proceso de asignación de valores a los contenidos según determinados criterios. Como ya hemos visto, es una actividad que puede ser realizada por el propio proveedor de los contenidos (autocalificación) o por terceros que evalúan publicaciones ajenas. Los resultados deben relativizarse porque la valoración casi siempre será subjetiva y es el propio usuario quien, en última instancia, debe decidir con qué contenidos desea encontrarse.

El sistema de filtros necesita el complemento de las calificaciones y de los etiquetados para saber qué contiene cada página y, en función de esto, saber sobre qué información es sobre la que se aplican los filtros.

Deben bloquearse aquellos contenidos que el usuario del programa considere perjudiciales para la persona destinataria de los efectos de estos tipos de software. La selección de los contenidos dependerá de cada individuo concreto y de su subjetivo modo de entender los valores principales de la vida.

El filtrado puede realizarse de distintas formas. Todas ellas se fomentan y distribuyen a través de la Red en sitios relacionados con padres, páginas para toda la familia o direcciones de empresas o colectivos tradicionalmente vinculados con los niños; por ejemplo Disney [92] . Algunos de los software más conocidos (que deben ser compatibles e interoperables entre sí) se pueden encontrar en las siguientes direcciones: http://www.avsweweb.com; http://www.childsafe.com; http://www.clickchoice.com; http://www.cybersitter.com; http://www.e-optionet.com; http://www.netnanny.com; http://www.n2h2.com; http://www.safesurf.com; http://www.xstop.com

Los filtros de exclusión [93] verifican una serie de sitios de Internet prohibidos e impide a los usuarios el acceso a cualquier lugar presente en dicha relación. Este sistema fue el más utilizado por la primera generación de software de filtrado.

Los filtros de inclusión [94] funcionan según el mecanismo contrario. Los sitios verificados por el software son los únicos a los que se permite acceder. Se utiliza sobre todo en empresas y en centros educativos. Es cien por cien eficaz y seguro pero muy restrictivo. Sólo se recoge una reducida representación de las múltiples páginas inocuas e interesantes existentes en Internet. Tal y como están evolucionando tecnológicamente estas aplicaciones, estos listados deben revisarse y ampliarse para no quedar obsoletos.

Los filtros basados en una palabra clave no permiten acceder a textos que contengan las palabras incluidas en una lista ad hoc. El problema es que no se ejerce ningún control sobre otro tipo de documentos que no sean textos, por ejemplo fotografías. Además, es imposible para esta clase de filtros bloquear los contenidos nocivos sin bloquear a la vez un gran número de información perfectamente sana y útil. Por ejemplo, introducir como parámetros las palabras “pecho” o “droga” supone que se bloquearán irremediablemente páginas médicas sobre cáncer de mama o farmacológicas.

Algunos programas permiten al usuario personalizar las listas. En otras ocasiones, cabe la posibilidad de decidir a qué partes, dentro de una página web, se puede tener acceso y a cuáles no. Cabe pensar en el caso del padre de familia que no desee el mismo grado de bloqueo para sus hijos de seis y dieciséis años.

Así pues, la industria informática es capaz de ofrecer respuestas y soluciones a una de las inquietudes paternas más importantes respecto al acceso de sus niños a contenidos nocivos que puedan encontrarse en la Red ante la progresiva implantación de Internet en los hogares españoles.

Al mismo tiempo, este conjunto de programas satisfacen a aquellos que defienden a ultranza la libertad de expresión  en la sociedad virtual. Aunque determinados contenidos puedan ser voluntariamente rechazados por los usuarios, eso no significa que éstos no puedan ser publicados.

A pesar de todo, hay que tener en cuenta que estos software no son la “panacea”. Para que sean útiles se exige que cada sitio etiquete su contenido. Cuando se cree una etiqueta, hay que distribuirla por todo el documento. Si el lenguaje utilizado es HTML, el mejor modo de realizar esta distribución es incluir un encabezado extra [95] . No sirve de nada que unas páginas estén etiquetadas y otras no.

Además, los filtros plantean un problema multicultural. Por ejemplo, el alcohol es tabú en el norte de Europa y el sexo explícito molesta más en el sur. La solución pasaría por conseguir un criterio uniforme a nivel mundial. Para ello, la Unión Europea está tratando de fomentar la autorregulación entre las propias empresas del sector.

Detrás de cada herramienta de filtrado trabaja un equipo humano con unos determinados valores que pueden variar de unas personas a otras, de un contexto sociocultural a otro. Lo peligroso es que esos filtros reflejen la ideología del grupo creador del programa sin atender a la conveniente objetividad que se requiere en estos casos. Decidir a qué información puede acceder un menor y a cuál no es algo que sólo corresponde a sus padres o educadores. No se puede dejar esta determinación en manos de terceros.

Los problemas idiomáticos también tienen importancia a la hora de hablar de sistemas de filtrado y bloqueo de contenidos. El acceso a una página de contenido nocivo en un determinado idioma sería posible si el software no recogiera dicha lengua. Pero…¿es posible que un programa de este tipo abarque todos los diferentes idiomas?

Las imperfecciones de los programas pueden llevar a bloquear páginas médicas o a explicaciones sobre determinados medicamentos, tal y como acabamos de comentar.

Otro peligro es que los padres confíen plenamente en estos sistemas y abandonen a sus hijos a la navegación en solitario, porque tal vez la prohibición atraiga su curiosidad. No hay ningún programa que sustituya la responsabilidad paterna. Éstos no pueden alegar desconocimiento de las nuevas tecnologías. Deben preocuparse por saber al menos lo mismo que ellos. En caso contrario, el sistema puede ser fácilmente desconectado por un menor sin que sus padres se percaten de ello.

No se debe olvidar que estos sistemas de filtro y etiquetado sólo son un elemento complementario a la protección que los padres desean y demandan para sus hijos, protección que ellos mismos deben monopolizar ofreciéndoles una educación adecuada sobre cómo navegar, dónde entrar…

D) Libertad de expresión.-

El artículo 20.1 de nuestra Constitución de 1978 consagra los derechos a una comunicación libre [96] . Se reconocen y protegen los derechos a expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, escrito o cualquier otro medio de reproducción […] y a comunicar o recibir libremente información veraz por cualquier medio de difusión.

Pero este derecho no puede considerarse absoluto ni ilimitado. La Constitución menciona, de modo general, que sus límites se basan en los derechos reconocidos en el Título I y en las leyes que los desarrollan, especialmente los derechos al honor, intimidad, propia imagen y la protección de la juventud y de la infancia [97] . La sentencia 62/1982, de 15 de Octubre, del Tribunal Constitucional se refería a la protección de la infancia como uno de los límites constitucionales al ejercicio de los derechos recogidos en el artículo 20 de la Constitución.

La libertad de expresión está muy relacionada con el derecho a la información. El artículo 5 de la LO 1/96 sobre la Protección Jurídica del Menor establece que los menores tienen derecho a buscar, recibir y utilizar la información adecuada a su desarrollo. Para ello, los poderes públicos incentivarán la producción y difusión de materiales informativos y otros destinados a los menores, facilitarán su acceso a servicios culturales, bibliotecas…, y velarán por que los medios de comunicación promuevan valores de igualdad, solidaridad y respeto evitando imágenes de violencia, tratos degradantes y similares para que no se vean perjudicados ni física ni moralmente.

Así mismo, el artículo 10 del Convenio Europeo de Derechos Humanos explicita el derecho a recibir libremente información como una de las vertientes del derecho a la libertad de expresión, que incluye el acceso a las fuentes informativas (entre las que podemos incluir Internet).

Los padres y tutores también deben controlar que la información que llega a sus niños sea veraz, plural y respetuosa.

En la misma línea, la Convención sobre Derechos de los Niños [98] recoge, en el artículo 13, que el niño tendrá derecho a la libertad de expresión. Ese derecho incluye la libertad de buscar, recibir y difundir informaciones e ideas de todo tipo […] pero podrá estar sujeto a ciertas restricciones que prevea la ley para respetar los derechos de los demás o para proteger la seguridad nacional, el orden, la salud o la moral pública.

Otros textos internacionales reconocen la libertad de expresión en términos similares. Cabe citar, a modo de ejemplo, el artículo 19 del Pacto Internacional de Derechos Civiles y Políticos de 1966.

En la legislación comunitaria, se recoge este mismo planteamiento: libertad de expresión cuyo ejercicio puede verse condicionado, siempre de modo proporcional, para garantizar la seguridad, la salud, la moral o los derechos y libertades de los demás.

Todos aquellos que operan en Internet están sometidos a la ley y, por tanto, a los límites generales a la libertad de expresión, si bien, éstos deben interpretarse restrictivamente. El hecho de que haya unas normas aplicables a la Red, entendida como medio de comunicación, no significa que haya censura ni discriminación de la libertad de expresión. Es simplemente un modo de proteger una serie de bienes jurídicos constitucionales.

El legítimo interés en proteger a la infancia no debe llevar a convertir Internet en un lugar cuyos contenidos siempre sean adecuados a las necesidades de este colectivo. Hay quien afirma que “se empieza protegiendo a los niños por un tema puntual y se termina protegiendo a demasiada gente por demasiadas cosas” [99] . Esto supondría una grave merma del ejercicio del derecho a la libre expresión en la Red.

La no introducción de restricciones a la libertad de expresión, especialmente en Internet, no quiere decir que no deban ponerse en práctica otros medios que permitan proteger a los menores de aquellos contenidos que pudieran resultarles peligrosos o dañinos. Entre estos medios, se encuentran todos los sistemas de control de acceso a determinados contenidos, que acabamos de analizar.

Algunos padres respetan totalmente la libertad de expresión en Internet. Creen que sus hijos deben tener acceso a todo tipo de información porque eso les ayuda a desarrollar sus propios criterios de selección, a promover la libertad intelectual de decisión. Por el contrario, otros desearían desterrar todos los contenidos nocivos; bajo su punto de vista, la libertad de expresión no tiene cabida frente a la protección de sus hijos [100] .

Hay que encontrar el punto intermedio. Esta última postura no tiene en cuenta que la libertad de expresión es vital para una sociedad libre. Si quieren proteger a sus menores, no tienen más que instalar cualquier sistema de filtrado, navegar con ellos o enseñarles a manejarse por la Red con seguridad; pero lo que no pueden pretender es que esos niños crezcan en un contexto de derechos y libertades cuando ellos son los primeros que niegan alguno de los más importantes.

En el Derecho comparado, sobre todo en Estados Unidos, ha habido intentos de introducir legislación específica para limitar el ejercicio de la libertad de expresión en Internet de modo similar a las limitaciones existentes en el ámbito de la radiodifusión.

En Febrero 1996, Clinton firmó la Ley de Decencia de las Telecomunicaciones del Congreso de Estados Unidos. En ella, se declaraba ilegal el uso de ordenadores y líneas telefónicas para transmitir material “indecente”. En Julio 1997, la Corte Suprema declaró esta ley inconstitucional por ir contra en el derecho de la libertad de expresión, protegida en su Norma Fundamental [101] .

Ante esta situación, el presidente Clinton y el vicepresidente Gore anunciaron una estrategia para hacer de Internet un espacio “amable”. Este plan de acción consistía en proporcionar a padres y profesores las herramientas necesarias para prevenir que los niños accedieran al material inapropiado de Internet.

A raíz de esta declaración, el Congreso y el Senado norteamericanos han ido regulando la distribución de material perjudicial para menores [102] y los sistemas de filtrado y bloqueo de contenidos [103] .

Al mismo tiempo, el Congreso creó una comisión [104] para estudiar las circunstancias de la sociedad en función al desarrollo tecnológico y recomendar cuál debe ser la protección a los menores más adecuada en cada momento concreto.

A pesar de que la libertad de expresión en Internet no puede estar legalmente censurada, ética y socialmente se impone un autocontrol que logre el ejercicio de una libertad responsable.

E) Un uso seguro de Internet.-

El uso seguro de Internet ha sido reconocido por la Industria como un requisito necesario para un completo desarrollo de todo su potencial. Internet se ha convertido en un poderoso elemento en los ámbitos sociales, educativos, culturales, económicos.

Aunque los beneficios de la Red superan sus posibles riesgos, estos aspectos negativos no pueden ser ignorados.

Ante el fenómeno representado por Internet, la Unión Europea reaccionó en Octubre de 1996 aprobando el Libro Verde sobre la Protección de los Menores y de la Dignidad Humana en los Servicios Audiovisuales y de Información y la Comunicación sobre contenidos ilegales y perjudiciales en Internet.

El Libro Verde plantea unas intenciones para promover contenidos de calidad para los menores luchando contra los que se consideren ofensivos. La Comunicación[…] se centra en una serie de acciones para conseguir que el ciberespacio sea un lugar seguro y, así, poder introducirse en él sin ningún temor.

Prácticamente en todos los documentos comunitarios relativos a los contenidos ilegales o dañinos en Internet [105] se citan las medidas que deben adoptarse no sólo para hacerles frente, sino también para lograr un uso seguro de la Red.

En este contexto empiezan a desarrollarse unos planes de acción para la promoción de un uso seguro de Internet. Generalmente, son programas plurianuales que recogen las medidas concretas que cada estado llevará a la práctica para la consecución de la finalidad expuesta y los modos de verificar la real implantación y efectividad de las medidas de actuación propuestas. Uno de estos planes plurianuales de acción comunitaria se aprobó el 25- Enero-1999 por parte del Parlamento europeo y del Consejo [106] .

La creación de una red europea de líneas directas a la que los usuarios puedan notificar la existencia de contenidos que consideren ilegales es una de las posibilidades que contemplan estos planes de actuación. La erradicación del material ilícito debe ser una labor de toda la sociedad. La investigación y, en su caso, persecución corresponderá a las autoridades nacionales, sin perjuicio de la colaboración entre los estados y los órganos judiciales y policiales como Europol e Interpol. La cooperación entre ciudadanos y autoridades debe ser una realidad para que, al compartir informaciones y experiencias, aumente la eficacia de las investigaciones.

Para que la Industria contribuya activamente a limitar el flujo de determinados contenidos, es importante animar a las empresas del sector a que elaboren marcos de autorregulación mediante la redacción de códigos de conducta entre todas las partes interesadas.

La adopción de estas regulaciones constituyen uno de los métodos más eficaces de protección de los menores en Internet. Un pequeño problema puede ser su carácter voluntario. Su nivel de eficacia dependerá de su grado de aceptación. Para lograr la mayor aceptación posible, será conveniente redactarlo, definirlo, aplicarlo y evaluarlo de modo consensual entre todas las partes afectadas por esta materia.

            Un anexo de la Recomendación 98/560/CE del Consejo del 24-Septiembre-1998, contiene las directrices necesarias para la aplicación, por parte de los prestadores de servicios en línea, de un marco de autorregulación para la protección específica de los menores.

Teniendo como referencia lo establecido en los marcos nacionales de autorregulación, los códigos de conducta recogen las normas básicas y concretas para la protección de la dignidad humana, para permitir que los menores utilicen de forma responsable los servicios on line y para evitar que accedan, sin permiso de sus padres o educadores, a contenidos legales que pueden perjudicar su desarrollo físico, moral o mental.

Tal y como sucede con los marcos de autorregulación, debido al carácter voluntario de su ejecución, hay que tratar de lograr un consenso para que su aplicación sea efectiva. Se puede fomentar un sistema de etiquetas acreditativas visibles para que los usuarios identifiquen qué prestadores de servicios operan en Internet de conformidad con dichos códigos.

Otra de las actividades necesarias que se enuncian en los planes plurianuales pasa por una labor de información y sensibilización a los padres, profesores, menores y a la sociedad en general sobre el potencial y los peligros de Internet. Estas actividades aumentan la confianza de los mayores respecto a un nuevo mundo que desconocen y que les produce un sentimiento de incertidumbre y preocupación por los contenidos negativos que pueden caer en manos de sus hijos.

La sensibilización es fundamental para la eficacia de los software de filtrado y bloqueo de contenidos ya que, si los padres y toda persona con menores a su cargo no los conocen o no saben utilizarlos, corren el riesgo de que los menores puedan desconectarlos y accedan a los contenidos que trataban de impedir esos programas.

Esta formación puede llevarse a cabo mediante jornadas monográficas, creación de páginas web específicas, distribución de material informativo en los colegios, programas o reportajes en medios de comunicación. Lógicamente, habrá que adaptar la forma del mensaje en función del destinatario en cada caso concreto. Así mismo, el objeto de cada campaña puede ser variable: general (desarrollando los aspectos positivos y negativos de Internet) o específico (cómo proteger a los menores en sus viajes por la Red)

Un punto esencial de los planes de sensibilización es mentalizar a los padres de que son ellos quienes deben educar a sus hijos a navegar por la Red. Los niños necesitan a sus padres como guía y referencia. Si ello implica ponerse al día en estas nuevas tecnologías no deben dudar en hacerlo.

Internet no es diferente a cualquier otro ámbito de la vida. Hay que enseñarles qué deben hacer en determinadas circunstancias La mejor manera de asegurar el uso correcto de Internet por parte de los más pequeños es estar con ellos, tener contacto con lo que hacen, dedicarles tiempo. Hay que enseñarles a buscar información. Deben saber que cierta información es perjudicial para ellos y los daños que pueden ocasionarles, para que sean los propios menores quienes no deseen tener contacto con tales materiales. Así, estarán capacitados para afrontar los peligros que se les presentes y para hacerles frente con éxito.

Los niños también deben ser destinatarios de estas campañas formativas y orientativas. Si conocen las normas y, en la medida de lo posible, su razón de ser se va a ir desarrollando en ellos una mentalidad de uso responsable de Internet. En la propia Red hay sitios que indican a los padres cómo ir fomentando esa navegación responsable o que, directamente, alertan a los niños sobre qué puede ocurrirles en el ciberespacio si acceden a lugares que les están prohibidos, por ejemplo por su edad.

Todas estas medidas tratan de fomentar un uso seguro y confiado de la Red que permitirá hacer frente a los contenidos nocivos para los menores respetando, prácticamente en su totalidad, los diferentes derechos del resto de los usuarios de Internet.

[70] Revista tecnológik@, 1-Marzo-2001

[71] Comunicación al Parlamento Europeo, al Consejo, al Comité económico y social y al Comité de las Regiones (COM 96/487, Bruselas 16-Octubre-1996)

Libro Verde, 16-Octubre-1996

http://www.pntic.mec.es/pagtem/educar/ilícitos.html (11-Marzo-2001)

[72] Revista tecnológik@, 1-Marzo-2001

[75] Bouza, M.Á. “Protección jurídica de los videojuegos”. Ed. Marcial Pons. Madrid, 1997. Pág. 10 y ss.

[76] San Martín,J. Grisolía,S y Grisolía,J”Violencia, televisión y cine”.Ed. Ariel. Madrid, 1998. Pág. 35 y ss

[78] Balkin,JM. Noveck, BS. y Roosvelt, K”Filtering the Internet: A Best Practices Model”, 15-Septiembre-1999.

[79] Fernández Esteban, MªL. “Internet y Libertad de expresión”. II. Jornadas de Informática y Sociedad. Editado por el Dpto. Lenguajes y Sistemas Informáticos e Ingeniería de Software. Facultad de Informática. Universidad Pontificia Salamanca. Madrid, 1998. Pág. 245 y ss.

[80] JC. Le Foquin, “Internet Service Providers and the issue of illegal content”

[81] Marín Peidro, L”Contenidos nocivos e ilegales en Internet”.Ed.Fundación Retevisión, 2000. Pág. 15 y ss.

http://www.aui.es/biblio/documentos/protección_menores/eu_contenidos.htm (18-Enero-2001)

http://www.onnet.es/04002006.htm (13-Abril-2001)

http://www.info2000.csic.es/midas-net/docs/nocivo/determina.htm (13-Abril-2001)

Fernández Esteban, Mª L. “Internet y libertad de expresión” II. Jornadas de Informática y Sociedad. Editado por el Dpto. Lenguajes y Sistemas Informáticos e Ingeniería de Software. Facultad de Informática. Universidad Pontificia Salamanca. Madrid, 1998. Pág. 245 y ss.

[82] Safety Net Foundation

[83] Fernández Esteban, MªL.”Internet y libertad de expresión” y Barroso Asenjo, P. y Weckert, J. “Censura e Internet” ” II. Jornadas de Informática y Sociedad. Editado por el Dpto. Lenguajes y Sistemas Informáticos e Ingeniería de Software. Facultad de Informática. Universidad Pontificia Salamanca. Madrid, 1998. Pág. 245 y ss, y 225 y ss, respectivamente.

Marín Peidro, L.”Contenidos nocivos e ilegítimos en Internet”.Ed. Fundación Retevisión, 2000. Pág.15 y ss

http://aui.es/biblio/documentos/proteccion_menores/eu_contenidos.htm (18-Enero-2001)

http://techlawjournal.com/censor/20000308.htm (29-Diciembre-2000)

http://www.pntic.mec.es/pagtem/educar/ilicitos.html (11-Marzo-2001)

Decisión 276/1999 CE del Parlamento Europeo y del Consejo, 25-Enero-1999 

[84] Revista Ciberpaís nº9. Marzo, 2001

[86] Entre 3000 y 20000 pesetas

[89] Revista Tecnológik@. 4-Enero-2001

[90] Plataforma para la selección de contenidos en Internet: http://www.gcf.org (20-Abril-2001)

[91] Recreational Software Advisory Council on the Internet

[93] También denominados “listas negras”.

[94] Habitualmente conocidos como “listas blancas”.

[95] Páginas como la de PICs explica cómo realizar esta operación con éxito: http://www.gcf.org (20-Abril-2001)

[96] Fernández Esteban, MªL. “Internet y libertad de expresión” II. Jornadas de Informática y Sociedad. Editado por el Dpto. Lenguajes y Sistemas Informáticos e Ingeniería de Software. Facultad de Informática. Universidad Pontificia Salamanca. Madrid, 1998. Pág. 245 y ss.

[97] Artículo 20.4 Constitución Española 1978.

[98] Adoptada por la Asamblea General de la ONU el 20-Noviembre-1989 y ratificada por España 26-Enero-1990.

[100] Carrascosa López, V. “Regulación jurídica del fenómeno informático”. Revista Iberoamericana de Derecho Informático. Ed. UNED-Centro Regional de Extremadura. Mérida, 1999.

[101] Véase:”Cyberporn and censorship:Constitutional barriers to preventing access to Internet pornography by minors”The Journal of Criminal Law and Criminology. Northwestern University School of Law. Vol.88. Nº3. Primavera, 1998.

[102] S.1482, 8-Noviembre-1997.

[103] S.1619, 9-Febrero-1998

[104] Child Online Protection Act. HR.896, 2-Marzo-1999

[105] Por ejemplo: 27-Septiembre-1996, 17-febrero-1997, 24-Abril-1997, 27-Junio-1997.

[106] Decisión 276/1999/CE

22Jun/11

Transferencia segura de datos a través de Internet

Trabajos,

Transferencia segura de datos a través de Internet

La presente investigación surge por la necesidad de proteger la información que es enviada a través de internet entre aplicaciones, dado que internet se concibe como una red abierta y por tanto insegura. En ésta se realizará la implementación de un componente de software para la transferencia de datos a través de internet entre aplicaciones que siguen una arquitectura Cliente-Servidor. La seguridad estará garantizada mediante el uso de técnicas de cifrado y túneles seguros. Su utilización, abstrae a los desarrolladores de las aplicaciones cliente-servidor del conocimiento de las tecnologías utilizadas en la transferencia de datos, brindándole un procedimiento sencillo para la integración en sus aplicaciones.

Download the PDF file .

Descargar

 

 

01Ene/06

Índice de Accesibilidad de la Información Judicial en Internet

Trabajos, ,

Índice de Accesibilidad de la Información Judicial en Internet

TABLA DE CONTENIDOS

  1. Introducción (página 3)
  2. Metodología (página 4)
  3. Resultados (página 6)
  4. Anexo 1: Definiciones de Indicadores (página 11)
  5. Anexo 2: Lista de Indicadores y escala de evaluación (página 22)

1.- INTRODUCCIÓN

El presente documento contiene el resultado del estudio desarrollado por CEJA, acerca de la evaluación del acceso a información relevante del funcionamiento de los sistemas judiciales de los 34 países miembros de la OEA, a través de Internet.

En las condiciones tecnológicas actuales, el empleo de Internet, concebida como una carretera de la información, facilita (o debiera facilitar) el acceso a cualquier información. Esto es especialmente relevante en lo que se refiere a instituciones públicas vitales para la convivencia democrática y quienes, conforme a derecho, debieran ser las primeras en poner a disposición del público interesado todo lo que da cuenta de su desempeño.

Puesto que no toda la información sobre los sistemas judiciales de las Américas es de público acceso, subutilizando con eso las posibilidades de difusión, transparencia y accountability que las tecnologías ponen a disposición de cada una de las instituciones públicas, CEJA se ha propuesto evaluar el estado de accesibilidad de la información a través de Internet sobre los sistemas judiciales de la región. Para tal fin, ha construido un Índice para cuantificar cuán accesible es la información mínima que los sistemas judiciales debieran poner a disposición del público interesado. Se compone de dos partes: i) cuantificación de la accesibilidad de la información sobre el ejercicio de la judicatura; y ii) cuantificación de la accesibilidad de la información sobre los Ministerios Públicos. La tarea de recopilación de la información necesaria para la cuantificación se llevó a cabo centralizadamente por el equipo profesional de CEJA, desde su sede en Santiago de Chile.

Con el presente Índice, CEJA busca reafirmar su misión de generar una mayor conectividad entre los sistemas judiciales de los 34 países de las Américas, a través del fomento del uso de todas las potencialidades que las nuevas tecnologías de la información ponen a disposición del sector público.

2.- METODOLOGÍA

Para la construcción de un Índice de Acceso a la Información que brindan los Tribunales de Justicia y los Ministerios Públicos, a través de Internet, se siguieron los siguientes pasos:

a) Definición, por parte de personal de CEJA, de un conjunto de 21 indicadores para los Tribunales de Justicia, agrupados en 10 categorías, que dan cuenta de variables relevantes de lo que juzgamos debería ser la información que éstos proporcionan a la ciudadanía a través de Internet.

b) Definición, por parte de personal de CEJA, de un conjunto de 17 indicadores para los Ministerios Públicos, agrupados en 9 categorías, que dan cuenta de variables relevantes de lo que juzgamos debería ser la información que éstos facilitan a la ciudadanía, haciendo uso de Internet.

c) Definición, por parte de personal de CEJA, de los criterios y escala de medición de cada uno de los 38 indicadores en total. Para cada uno se empleó una escala de evaluación comprendida entre 0 y 1.

d) Evaluación de cada indicador por país. Para tal efecto, personal de CEJA accedió a distintas páginas Web, relacionadas con información de la naturaleza investigada, y asignó el valor correspondiente de acuerdo a los criterios y escala de evaluación acordada.

e) Definición de los pesos relativos, o ponderadores, que cada una de las categorías de indicadores tendría dentro de un único índice global, tanto para los Tribunales de Justicia como para los Ministerios Públicos. Para obtener éste, se ponderó el resultado de los Tribunales de Justicia en un 60%, y de los Ministerios Públicos en un 40%.

f) Realización de cálculos y presentación de resultados.

Para el caso de los Tribunales de Justicia, las categorías evaluadas, su peso relativo para la construcción del índice, y el número de indicadores asociados a cada categoría se muestra en el siguiente cuadro:

Descripción/ Peso relativo en el índice/ nº de indicadores asociados
Existencia de página web/ 5,0% / 1
Publicación y actualización de sentencias/ 15,0% / 2
Publicación y actualización de reglamentos/ 5,0% / 1
Publicación de estadísticas de causas ingresadas, resueltas y pendientes/ 17,5% / 3
Publicación de agenda de Tribunales/ 15,0% / 1
Publicación de recursos físicos y materiales con que cuentan los Tribunales/ 5,0% / 1
Presupuesto/ 17,5% / 2
Salarios, antecedentes curriculares, patrimonio y temas disciplinarios de funcionarios relevantes / 10,0% / 4
Publicación de concursos y licitaciones para contrataciones/ 5,0% / 3
Régimen de acceso y centralización de información/ 5,0% / 3

En forma análoga, para el caso de la construcción del índice para los Ministerios Públicos, las categorías, pesos relativos y número de indicadores asociados fueron:

Descripción/ Peso relativo en el índice/ nº de indicadores asociados
Existencia de página web/ 7,5% / 1
Publicación y actualización de reglamentos/ 7,5% / 1
Publicación de estadísticas de causas ingresadas, resueltas y pendientes/ 22,5% / 3
Publicación de recursos físicos y materiales con que cuentan las dependencias/ 7,5% / 1
Presupuesto/ 22,5% / 2
Salarios, antecedentes curriculares, patrimonio y temas disciplinarios de funcionarios relevantes/ 15,0% / 4
Publicación de concursos y licitaciones para contrataciones/ 7,5% / 3
Régimen de acceso y centralización de información/ 10,0% / 2

En el anexo 1 se presenta la definición de cada uno de los 38 indicadores evaluados, junto con los criterios empleados para su evaluación.
En el anexo 2 se presenta la escala de evaluación aplicada para cada indicador.

3.- RESULTADOS

Siguiendo los pasos señalados en la metodología, se ha llegado a un índice de acceso a la información a través de Internet para los Tribunales de Justicia, a uno para los Ministerios Públicos, y uno global.

Los valores del índice, que va en un rango de 0% a 100%, se muestran en orden decreciente en los siguientes cuadros, acompañados por sus gráficos correspondientes.

Índice de acceso a información de Tribunales de Justicia, a través de Internet

País / Valor del índice
Costa Rica / 86%
Estados Unidos / 80%
Venezuela / 69%
México / 64%
Brasil / 63%
Argentina / 60%
Canadá / 61%
Chile / 49%
República Dominicana / 47%
Bolivia / 44%
Colombia / 44%
Jamaica / 42%
Perú / 40%
Uruguay / 37%
Trinidad y Tobago / 38%
Panamá / 19%
Nicaragua / 18%
Paraguay / 16%
Barbados / 15%
El Salvador / 14%
Honduras / 12%
Antigua y Barbuda / 13%
Guatemala / 10%
Belize / 10%
Dominica / 8%
Ecuador / 8%
Grenada / 8%
St. Kitts and Nevis / 8%
St. Lucia / 8%
St. Vincent and Grenadines / 8%
Bahamas / 0%
Guyana / 0%
Haití / 0%
Suriname / 0%

Gráfico de índice de acceso a información de Tribunales de Justicia, a través de Internet

Dibujo3

Índice de acceso a información de Ministerios Públicos, a través de Internet

País / Valor del índice
Estados Unidos / 71%
Perú / 58%
Argentina / 54%
Colombia / 48%
México / 47%
Chile / 43%
Costa Rica / 31%
Bolivia / 30%
Brasil / 20%
República Dominicana / 20%
Venezuela / 19%
Paraguay / 17%
Canadá / 10%
Uruguay / 10%
Trinidad y Tobago / 8%
Ecuador / 8%
Guatemala / 8%
Nicaragua / 0%
Antigua y Barbuda / 0%
Bahamas / 0%
Barbados / 0%
Belize / 0%
Dominica / 0%
El Salvador / 0%
Grenada / 0%
Guyana / 0%
Haití / 0%
Honduras / 0%
Jamaica / 0%
Panamá / 0%
St. Kitts and Nevis / 0%
St. Lucia / 0%
St. Vincent and Grenadines / 0%
Suriname / 0%

Gráfico de índice de acceso a información de Ministerios Públicos, a través de Internet

Dibujo4
Índice de acceso global a información, a través de Internet
País / Valor del índice
Estados Unidos / 76%
Costa Rica / 64%
Argentina / 58%
México / 58%
Venezuela / 49%
Perú / 47%
Chile / 47%
Brasil / 46%
Colombia / 45%
Canadá / 41%
Bolivia / 38%
República Dominicana / 36%
Uruguay / 26%
Trinidad y Tobago / 26%
Jamaica / 25%
Paraguay / 16%
Panamá / 12%
Nicaragua / 11%
Guatemala / 9%
Barbados / 9%
El Salvador / 8%
Honduras / 7%
Ecuador / 8%
Antigua y Barbuda / 8%
Belize / 6%
Dominica / 5%
Grenada / 5%
St. Kitts and Nevis / 5%
St. Lucia / 5%
St. Vincent and Grenadines /5%
Bahamas / 0%
Guyana / 0%
Haití / 0%
Suriname / 0%

Gráfico de índice de acceso global a información, a través de Internet

Dibujo5

ANEXO 1: DEFINICIONES DE INDICADORES

I. INFORMACIÓN SOBRE LA JUDICATURA

1. Página Web Institucional del Poder Judicial:

Documento electrónico oficial (o conjunto de documentos electrónicos oficiales) del Poder Judicial del país, al que sea posible acceder a través de Internet. Para los fines del presente Índice, la página Web institucional, para ser contabilizada como tal, debe contener principalmente la siguiente información:

” Información sobre la composición y organización del Poder Judicial: organigrama analítico.
” Listado actualizado de autoridades.
” Directorio de teléfonos.
” Directorio de direcciones de correos electrónicos.
” Listado de links a páginas oficiales de otros órganos del sistema judicial.
” Acceso a documentos institucionales oficiales (discursos públicos de principales autoridades, rendición de cuentas o informes de gestión).

Adicionalmente deberá tenerse en cuenta el dominio del sitio de referencia, ejemplo: Poder Judicial o la sigla “gov”; como así también la declaración de “sitio oficial” en la misma página Web.

2. Publicación de sentencias en Internet:

Acceso a través de Internet al contenido de los fallos o sentencias emitidos por los tribunales que componen el Poder Judicial. Estas sentencias deben ser oficiales, esto es, deben haber sido publicadas por el mismo Poder Judicial o por otra instancia (órgano público, empresa, institución educativa u otra) con la que este último haya firmado un convenio sobre el particular. Las categorías del presente indicador se definen como:

a) Se publican sentencias de todos los tribunales, materias e instancias.
b) Se publican sentencias de dos o más instancias y materias.
c) Se publican sentencias de una sola instancia y materia.
d) Ninguna Sentencia: No se publican las sentencias en Internet.

3. Actualidad de sentencias publicadas:

Fecha de la última actualización de la base de datos oficial de sentencias abierta al público o, en su defecto, data de la sentencia más reciente oficialmente publicada, a la que se puede acceder a través de Internet. Por base de datos oficial o sentencia oficialmente publicada se entiende a la administrada por el Poder Judicial a través de su Web institucional o a través del sitio de otra instancia (órgano público, empresa, institución educativa u otra) con la que el Poder Judicial haya firmado un convenio sobre el particular. A mayor actualidad, más alto puntaje. Las categorías del indicador se definen como:

a) Sentencias emitidas hasta el último mes concluido: Es posible acceder a través de Internet a las sentencias emitidas al menos hasta el último mes concluido.
b) Sentencias emitidas hasta el último año concluido: Es posible acceder a través de Internet a las sentencias emitidas al menos hasta el último año concluido.
c) Sentencias anteriores al último año concluido: Es posible acceder a través de Internet a las sentencias emitidas a sentencias de años anteriores al último año concluido.
d) No se publican sentencias en Internet: Las sentencias emitidas por el Poder Judicial no son publicadas a través de Internet.

4. Publicación en Internet de reglamentos internos, acuerdos y/o instructivos del Poder Judicial:

Publicación a través de Página Web institucional de cada nuevo acuerdo, instrucción, reglamentación obligatoria para el conjunto del Poder Judicial y/o que afecte a los usuarios emitidos por el Poder Judicial o sus órganos e instancias deliberantes.

5. Publicación Regular de causas ingresadas en Internet:

Acceso a través de Internet a al menos la siguiente información agregada a nivel nacional y desagregada por materia, jerarquía y jurisdicción:

” Causas Ingresadas en el año, de los últimos 5 años, incluido el último año concluido = 1.
” Causas Ingresadas en el año, de al menos 4 de los 5 últimos años = 0,75.
” Causas Ingresadas en el año, de 2 ó 3 de los 5 últimos años, = 0,5.
” Causas Ingresadas en el año, de al menos 1 de los 5 últimos años, = 0,25.
” No se publican = 0.
Es equivalente a la publicación regular de estadísticas, el acceso a través de Internet a versiones electrónicas de Anuarios Estadísticos u otras publicaciones que contengan al menos la información antes mencionada.

6. Publicación regular de causas resueltas en Internet:

Acceso a través de Internet al menos la siguiente información agregada a nivel nacional y desagregada por materia, jerarquía y jurisdicción:

” Causas Resueltas en el año, de los últimos 5 años, incluido el último año concluido = 1.
” Causas Resueltas en el año, de al menos 4 de los 5 últimos años = 0,75.
” Causas Resueltas en el año, de 2 ó 3 de los 5 últimos años, = 0,5.
” Causas Resueltas en el año, de al menos 1 de los 5 últimos años, = 0,25.
” No se publican = 0.

Es equivalente a la publicación regular de estadísticas, el acceso a través de Internet a versiones electrónicas de Anuarios Estadísticos u otras publicaciones que contengan al menos la información antes mencionada.

7. Publicación regular de causas pendientes en Internet:

Acceso a través de Internet a al menos la siguiente información agregada a nivel nacional y desagregada por materia, jerarquía y jurisdicción:

” Causas Pendientes en el año, de los últimos 5 años, incluido el último año concluido = 1.
” Causas Pendientes en el año, de al menos 4 de los 5 últimos años = 0,75.
” Causas Pendientes en el año, de 2 ó 3 de los 5 últimos años, = 0,5.
” Causas Pendientes en el año, de al menos 1 de los 5 últimos años, = 0,25.
” No se publican = 0.

Es equivalente a la publicación regular de estadísticas, el acceso a través de Internet a versiones electrónicas de Anuarios Estadísticos u otras publicaciones que contengan al menos la información antes mencionada.

8. Publicación de la Agenda actualizada de Tribunales:

Acceso a través de Internet a la programación de salas, audiencias, juicios orales u otras actividades de administración de justicia. Para los fines del presente Índice, para que la presencia de la Agenda en Internet pueda ser contabilizada como tal, deberá mostrar la programación de al menos la semana en curso.

9. Información sobre recursos del sistema judicial:

Publicación de datos correspondientes a la siguiente información:

” Infraestructura: superficie en metros cuadrados ocupados por oficinas del Poder Judicial.
” Recursos Tecnológicos: número de computadoras de los órganos del Poder Judicial
” Recursos Humanos: número de funcionarios del Poder Judicial, por jerarquías y/o categorías ocupacionales.

Para los fines del presente Índice, la información publicada sobre recursos, para ser contabilizada como tal, debe estar actualizada a último año concluido.

La cuantificación de la publicación de la información sobre recursos se realiza en base a las siguientes categorías:

a) Información disponible en Internet sobre los tres tipos de recursos. Equivale a 100% de la información cuantificada por el indicador.
b) Información disponible en Internet sobre al menos dos de los tres tipos de recursos. Equivale a 67% de la información cuantificada por el indicador.
c) Información disponible en Internet de al menos una de las tres categorías de recursos. Equivale a 33% de la información cuantificada por el indicador.
d) Información sobre recursos no disponible en Internet. Equivale a 0% de la información cuantificada por el indicador.

10. Información sobre presupuesto asignado y ejecutado del año en curso:

Acceso a través de Internet a los datos sobre el presupuesto anual ejecutado del Poder Judicial del año en curso. La información sobre éste, para que pueda ser contabilizada como tal, debe presentar información desagregada por todas las partidas y glosas aprobadas por la instancia que legalmente corresponda.

11 Información desagregada sobre ejecución de presupuesto del último año concluido:

Acceso a través de Internet a los datos desglosados (ingresos – egresos por ítem de gasto, según todas las partidas y glosas aprobadas por la instancia que legalmente corresponda) sobre el presupuesto ejecutado o consolidado del último año concluido. Para los fines del Presente Índice, para que la información sobre ejecución del presupuesto del último año concluido pueda ser contabilizada como tal, los egresos deberán presentar al menos el siguiente desglose:

” Presupuesto en remuneraciones.
” Presupuesto en costos operativos.
” Presupuesto en inversión.

12. Información sobre salarios y remuneraciones de funcionarios del sistema judicial:

Acceso a través de Internet a datos sobre la siguiente información:

” Salario base, por jerarquía y categoría ocupacional de funcionarios.
” Monto de Bonos o suplementos salariales adicionales por antigüedad, desglosado por categorías.
” Monto de Bonos o suplementos salariales adicionales por cumplimiento de objetivos.

Si la información no se encuentra detallada por jerarquía y categoría ocupacional de funcionarios, no se contabilizara como publicada.

La cuantificación de la publicación de la información sobre recursos se realiza en base a las siguientes categorías:

a) Disponible información sobre salario base, bonos de antigüedad, bonos por cumplimiento de metas, según jerarquía y categoría ocupacional de funcionarios. Equivale a 100% de la información cuantificada por el indicador.
b) Disponible información únicamente sobre salarios base y uno de los dos tipos de bonos, según jerarquía y categoría ocupacional de funcionarios. Equivale a 75% de la información cuantificada por el indicador.
c) Disponible información únicamente sobre salarios base, según jerarquía y categoría ocupacional de funcionarios. Equivale a 50% de la información cuantificada por el indicador.
d) Disponible información únicamente sobre bonos. Equivale a 25% de la información cuantificada por el indicador.
e) Información no disponible en Internet. Equivale a 0% de la información cuantificada por el indicador.

13. Información curricular de Autoridades y Jueces:

Acceso a través de Internet a los antecedentes personales de las autoridades y funcionarios del Poder Judicial. Para los fines del presente Índice, los antecedentes deben incluir la siguiente información:

” Formación académica (estudios superiores cursados por el funcionario, con los respectivos grados académicos alcanzados en todos los niveles: licenciatura, magíster y doctorado).
” Estudios de especialización.
” Experiencia Laboral.

14. Información sobre el patrimonio personal de autoridades y jueces del sistema judicial:

Acceso a través de Internet a la declaración de patrimonio de cada funcionario del Poder Judicial que contenga al menos la siguiente información:

” Activos financieros y bienes.
” Pasivos.

Para los fines del presente Índice, la información sobre patrimonio, para ser contabilizada como tal, debe corresponder a al menos el último año concluido.

15. Información sobre sanciones aplicadas a jueces o funcionarios de juzgados:

Acceso a través de Internet al contenido de las sanciones disciplinarias o de otra índole aplicadas a jueces u funcionarios de juzgados. Para ser contabilizada como tal, debe tenerse acceso a las sanciones actualizadas al último mes, o, en su defecto, a la sanción más reciente emitida por los órganos fiscalizadores del Poder Judicial.

16. Publicación en Internet de llamados a concurso para contratación de personal:

Publicación en Internet de llamados a concurso para contratación de personal temporal o estable por parte del Poder Judicial. El llamado a concurso público debe contener al menos la siguiente información:

” Requisitos para el desempeño del cargo.
” Criterios de evaluación de postulaciones.

17. Publicación en Internet de llamados a concurso para contratación de servicios externos:

Publicación en Internet de llamados a concurso para contratación de servicios externos por parte del Poder Judicial. El llamado a concurso público debe contener al menos la siguiente información:

” Términos de Referencia para la prestación del servicio.
” Monto(s) ofrecido(s) por la prestación de servicios.
” Criterios de evaluación de propuestas.

18. Publicación en Internet de llamados a concurso para licitaciones de bienes y/o infraestructura:

Publicación en Internet de procesos de adquisición de insumos u otros servicios por parte del poder Judicial. El llamado a concurso público debe contener al menos la siguiente información:

” Descripción de los insumos licitados, con todas las caracterizaciones técnicas.
” Monto licitado.
” Criterios de evaluación de propuestas.

19. Régimen de acceso a estadísticas en Internet:

Formas de acceso a estadísticas sobre causas ingresadas, resueltas o pendientes. Las categorías del presente indicador se definen como:

a) Acceso gratuito y universal: 1.
b) Acceso gratuito, pero que requiere una clave de acceso, 0,67.
c) Acceso pagado, 0,33.
d) Sin acceso: 0.

20 Régimen de acceso de sentencias a través de Internet:

Formas de acceso a las sentencias emitidas por el Poder Judicial. Las categorías del presente indicador se definen como:

a) Acceso gratuito y universal: 1.
b) Acceso gratuito, pero que requiere una clave de acceso, 0,67.
c) Acceso pagado, 0,33.
d) Sin acceso: 0.

21. Centralización de la Información:

Número mínimo de dominios de Internet que es necesario visitar para acceder a la información antes descrita:

” Sentencias.
” Acuerdos.
” Estadísticas Judiciales.
” Presupuesto asignado.
” Presupuesto ejecutado.
” Información sobre recursos.
” Información sobre salarios.
” Información sobre antecedentes personales.
” Patrimonio personal de funcionarios judiciales.
” Llamados a concursos públicos.
” Licitaciones públicas.

Si toda la información se encuentra en un solo sitio Web, existe total centralización, esto es aplicable para los países que no son federales. En caso contrario, no existe centralización. La escala es 1 si hay un solo sitio, y 0 si no lo hay. Si la información está incompleta, igual puede tener 1, ya que lo que interesa es la centralización del acceso, y no la actualización, que la estamos calificando en otros indicadores.

En el caso de los países federales, vamos a distinguir entre la materia o fuero federal y la de los estados o provincias componentes. Si para el fuero federal y para la justicia estatal o provincial existe un portal en cada caso, que tenga los links para acceder a la información requerida, tiene 1. Si tiene acceso solo al fuero federal o sólo a la justicia estatal o provincial, 0,5. En caso contrario, 0.

II. INFORMACIÓN SOBRE MINISTERIO PÚBLICO
22. Página Web Institucional de Ministerios Públicos:

Documento electrónico oficial (o conjunto de ellos) del Poder Judicial del país al que sea posible acceder a través de Internet. Para los fines del presente Índice, la página Web institucional del Ministerio Público, para que pueda ser contabilizada como tal, debe contener al menos la siguiente información:

” Información sobre composición y organización del Ministerio Público: organigrama analítico.
” Listado actualizado de autoridades.
” Directorio de teléfonos.
” Directorio de direcciones de correo electrónico.
” Listado de links a páginas oficiales de otros órganos del sistema judicial.
” Acceso a documentos institucionales oficiales (discursos públicos de principales autoridades, de rendición de cuentas o informes de gestión).

23. Publicación en Internet de Reglamentos Internos y/o Instructivos del Ministerio Público:

Publicación a través de Página Web institucional de cada nuevo acuerdo, instrucción, reglamentación obligatoria para el conjunto del Ministerio Público y/o que afecte a los usuarios, emitidos por el Poder Judicial o sus órganos e instancias deliberantes.

24. Publicación Regular de Causas Ingresadas en Internet:

Acceso a través de Internet al menos la siguiente información agregada a nivel nacional:
” Causas Ingresadas en el año, de los últimos 5 años, incluido el último año concluido = 1.
” Causas Ingresadas en el año, de al menos 4 de los 5 últimos años = 0,75.
” Causas Ingresadas en el año, de 2 ó 3 de los 5 últimos años, = 0,5.
” Causas Ingresadas en el año, de al menos 1 de los 5 últimos años, = 0,25.
” No se publican = 0.
Es equivalente a la publicación regular de estadísticas, el acceso a través de Internet a versiones electrónicas de Anuarios Estadísticos u otras publicaciones que contengan la información antes mencionada.

25. Publicación Regular de Causas Egresadas en Internet:

Acceso a través de Internet al menos la siguiente información agregada a nivel nacional:

” Causas Egresadas en el año, de los últimos 5 años, incluido el último año concluido = 1.
” Causas Egresadas en el año, de al menos 4 de los 5 últimos años = 0,75.
” Causas Egresadas en el año, de 2 ó 3 de los 5 últimos años, = 0,5.
” Causas Egresadas en el año, de al menos 1 de los 5 últimos años, = 0,25.
” No se publican = 0.
Es equivalente a la publicación regular de estadísticas, el acceso a través de Internet a versiones electrónicas de Anuarios Estadísticos u otras publicaciones que contengan la información antes mencionada.

26. Publicación Regular de Causas Pendientes en Internet:

Acceso a través de Internet a al menos la siguiente información agregada a nivel nacional:

” Causas Pendientes en el año, de los últimos 5 años, incluido el último año concluido = 1.
” Causas Pendientes en el año, de al menos 4 de los 5 últimos años = 0,75.
” Causas Pendientes en el año, de 2 ó 3 de los 5 últimos años, = 0,5.
” Causas Pendientes en el año, de al menos 1 de los 5 últimos años, = 0,25.
” No se publican = 0.

Es equivalente a la publicación regular de estadísticas, el acceso a través de Internet a versiones electrónicas de Anuarios Estadísticos u otras publicaciones que contengan la información antes mencionada.

27. Información sobre recursos del Ministerio Público:

Publicación de datos correspondientes a la siguiente información:

” Infraestructura: superficie en metros cuadrados ocupados por oficinas de los Ministerios Públicos.
” Recursos Tecnológicos: número de computadoras de los Ministerios Públicos.
” Recursos Humanos: número de funcionarios de los Ministerios Públicos, por jerarquías y/o categorías ocupacionales.

Para los fines del presente Índice, la información publicada sobre recursos, para ser contabilizada como tal, debe estar actualizada a último año concluido.

La cuantificación de la publicación de la información sobre recursos se realiza en base a las siguientes categorías:

a) Información disponible en Internet sobre los tres tipos de recursos. Equivale a 100% de la información cuantificada por el indicador.
b) Información disponible en Internet sobre al menos dos de los tres tipos de recursos. Equivale a 67% de la información cuantificada por el indicador.
c) Información disponible en Internet de al menos una de las tres categorías de recursos. Equivale a 33% de la información cuantificada por el indicador.
d) Información sobre recursos no disponible en Internet. Equivale a 0% de la información cuantificada por el indicador.

28. Información sobre presupuesto asignado y ejecutado del año en curso:

Acceso a través de Internet a los datos sobre el presupuesto anual del Ministerio Público del año en curso. Éste, para que pueda ser contabilizada como tal, debe presentar información desagregada por todas las partidas y glosas aprobadas por la instancia que legalmente corresponda.

29. Información desagregada sobre ejecución de presupuesto del último año concluido:

Acceso a través de Internet a los datos desglosados (ingresos – egresos por ítem de gasto, según todas las partidas y glosas aprobadas por la instancia que legalmente corresponda) sobre el presupuesto ejecutado o consolidado del último año concluido. Para los fines del Presente Índice, para que la información sobre ejecución del presupuesto del último año concluido pueda ser contabilizada como tal, los egresos deberán presentar al menos el siguiente desglose:

” Presupuesto en remuneraciones.
” Presupuesto en costos operativos.
” Presupuesto en inversión.

30. Información sobre salarios y remuneraciones de los fiscales:

Acceso a través de Internet a datos sobre la siguiente información:

” Salario base, por jerarquía y categoría ocupacional de fiscales.
” Monto de bonos o suplementos salariales adicionales por antigüedad, desglosado por categorías.
” Monto de bonos o suplementos salariales adicionales por cumplimiento de objetivos.

La cuantificación de la publicación de la información sobre recursos se realiza en base a las siguientes categorías:

a) Disponible información sobre salario base, bonos de antigüedad y por cumplimiento de metas. Equivale a 100% de la información cuantificada por el indicador.
b) Disponible información únicamente sobre salarios base y uno de los dos tipos de bonos. Equivale a 75% de la información cuantificada por el indicador.
c) Disponible información únicamente sobre salarios base. Equivale a 50% de la información cuantificada por el indicador.
d) Disponible información únicamente sobre bonos. Equivale a 25% de la información cuantificada por el indicador.
e) Información no disponible en Internet. Equivale a 0% de la información cuantificada por el indicador.

31. Información curricular de Fiscales de los Ministerios Públicos:

Acceso a través de Internet de los fiscales del Ministerio Público. Para los fines del presente Índice, los antecedentes deben incluir la siguiente información:

” Formación académica (estudios superiores cursados por el funcionario, con los respectivos grados académicos alcanzados en todos los niveles: licenciatura, magíster y doctorado).
” Estudios de especialización.
” Experiencia laboral.

32. Información sobre patrimonio de fiscales de los Ministerios Públicos:

Acceso a través de Internet a declaración de patrimonio de Fiscales de los Ministerios Públicos que contenga al menos la siguiente información:

” Activos financieros y bienes.
” Pasivos.

Para los fines del presente Índice, la información sobre patrimonio, para ser contabilizada como tal, debe corresponder al menos el último año concluido.

33. Información sobre sanciones aplicadas a Fiscales y funcionarios del Ministerio Público:

Acceso a través de Internet al contenido de las sanciones disciplinarias o de otra índole aplicadas a Fiscales de los Ministerios Públicos. Para ser contabilizada como tal, debe tenerse acceso a las sanciones actualizadas al último mes, o, en su defecto, acceso a la sanción más reciente emitida por los órganos fiscalizadores del Poder Judicial.

34. Publicación en Internet de llamados a concurso para contratación de personal:

Publicación en Internet de llamados a concurso para contratación de personal temporal o estable por parte de los Ministerios Públicos. El llamado a concurso público debe contener al menos la siguiente información:

” Requisitos para el desempeño del cargo.
” Criterios de evaluación de postulaciones.

35. Publicación en Internet de llamados a concurso para contratación de servicios externos:

Publicación en Internet de llamados a concurso para contratación de servicios externos por parte de los Ministerios Públicos. El llamado a concurso público debe contener al menos la siguiente información:

” Términos de referencia para la prestación del servicio.
” Monto(s) ofrecido(s) por la prestación de servicios.
” Criterios de evaluación de propuestas.

36. Publicación en Internet de licitaciones para adquisición de bienes o infraestructura:

Publicación en Internet de procesos de adquisición de insumos u otros servicios por parte de los Ministerios Públicos. El llamado a concurso público debe contener al menos la siguiente información:

” Descripción de los insumos licitados, con todas las caracterizaciones técnicas.
” Monto licitado.
” Criterios de evaluación de propuestas.

37. Régimen de acceso de estadísticas a través de Internet:

Formas de acceso a estadísticas sobre causas ingresadas, egresadas, pendientes y distribución de casos según infracciones a la ley atendidos por los Ministerios Públicos. Las categorías del presente indicador se definen como:

e) Acceso gratuito y universal: 1.
f) Acceso gratuito, pero que requiere una clave de acceso, 0,67.
g) Acceso pagado, 0,33.
h) Sin acceso: 0.

38. Centralización de la Información:

Número mínimo de dominios de Internet que es necesario visitar para acceder a la información antes descrita:

” Reglamentos Internos y/o Instructivos.
” Estadísticas Judiciales.
” Presupuesto asignado.
” Presupuesto ejecutado.
” Información sobre recursos.
” Información sobre salarios.
” Antecedentes personales.
” Patrimonio personal de Fiscales del Ministerio Público.
” Llamados a concursos.
” Licitaciones públicas.

Si toda la información se encuentra en un solo Sitio Web, existe total centralización, esto es aplicable para los países que no son federales. En caso contrario, no existe centralización. La escala es 1 si hay un solo sitio, y 0 si no lo hay. Si la información está incompleta, igual puede tener 1, ya que lo que interesa es la centralización del acceso, y no la actualización, que la estamos calificando en otros indicadores.

En el caso de los países federales, vamos a distinguir entre la materia o fuero federal y la de los estados o provincias componentes. Si para el fuero federal y la justicia estatal o provincial existe un portal en cada caso, que tenga los links para acceder a la información requerida, tiene 1. Si tiene acceso sólo al fuero federal o a la justicia estatal o provincial, 0,5. En caso contrario, 0.

ANEXO 2: LISTA DE INDICADORES Y ESCALA DE EVALUACIÓN

Dibujo6 Dibujo7 Dibujo8 Dibujo9 Dibujo10 Dibujo11 Dibujo12

DOSSIER DE PRENSA

ÍNDICE DE ACCESIBILIDAD DE LA INFORMACIÓN JUDICIAL EN INTERNET

Índice de acceso a la información judicial a través de Internet revela el nivel de información que los sistemas judiciales entregan a los ciudadanos

Estudio realizado por el Centro de Estudios de Justicia de las Américas, que centra su análisis en los Ministerios Públicos y Poderes Judiciales de las Américas, constata un desigual uso de esta herramienta tecnológica en la región.

Aunque la mayoría de los Poderes Judiciales y Ministerios Públicos de la región cuentan con sitios web institucionales, existen diferencias en los objetivos y niveles de información con los que han sido nutridos. Así lo indica, entre otros hallazgos, el Índice de Accesibilidad de la Información Judicial en Internet, realizado por el Centro de Estudios de Justicia de las Américas (CEJA), estudio que evalúa en una escala de 1 a 100%, cuánta información básica y pública entregan a la ciudadanía algunos organismos del sistema de justicia.

Por otra parte, al comparar el uso de Internet entre los Poderes Judiciales y Ministerios Públicos se observa que son los primeros quienes más utilizan este recurso, puesto que 23 países de los 34 de las Américas contemplan un sitio web, frente a sólo 14 países cuyos Ministerios Públicos los han desarrollado.

Otro hallazgo importante es la desmitificación en torno al valor del acceso a la información e Internet, pensado como un bien costoso y sólo asequible a países desarrollados, ya que Costa Rica encabeza el Índice, -en tribunales de justicia- con un 86%, dejando a EEUU en segundo lugar con el 80%, por citar sólo un ejemplo.

En cuanto al contenido de los sitios, el Índice indica que la mayor cantidad de información, en el caso de los tribunales, es la publicación de estadísticas, sentencias (jurisprudencia), datos curriculares de los jueces, reglamentos y acordadas internas y llamados a concursos, mientras existe escasa información referida al ejercicio presupuestario, situación patrimonial y sanciones aplicadas a los jueces.
Se adjunta Índice
Área Prensa y Comunicaciones de CEJA
56 2 274 2933
[email protected]
www.cejamericas.org

Índice de Accesibilidad de la Información en Internet:
Sus objetivos y metodología

El Índice de Accesibilidad de la Información Judicial en Internet, es un estudio desarrollado por el Centro de Estudios de Justicia de las Américas que contiene el resultado de una evaluación acerca del acceso a la información importante en el funcionamiento de los sistemas judiciales de los 34 Estados Miembros de la OEA y que cuantifica cuán accesible es la información mínima que debiera estar a disposición del público interesado.

La motivación de CEJA para llevar adelante este estudio radica por una parte en saber cuál es el estado actual y situación de la información entregada en este caso- por los Poderes Judiciales y los Ministerios Públicos, y en segundo lugar, incentivar a las instituciones para mejorar la calidad y nivel de esa información.

Desde su creación CEJA ha tenido como misión dar un nuevo impulso a la modernización de los sistemas de justicia en los países del continente y generar una mayor conectividad entre ellos, siendo una de sus estrategias precisamente el aprovechar las ventajas de las nuevas tecnologías. En esta oportunidad fue escogido Internet como medio de comunicación debido a su amplia cobertura y bajo costo, como herramienta para difundir información institucional.

Metodología

Para la elaboración del estudio fue necesaria la definición de 21 indicadores -agrupados en 10 categorías-, para el caso de los tribunales de justicia, y de 17 indicadores -clasificados en 9 niveles-, para los Ministerios Públicos.

Del mismo modo, se precisaron los criterios y la escala de medición asociada a cada uno de estos indicadores anteriormente determinados. De esta forma, se accedió a las páginas web oficiales de las instituciones, y se asignó el valor correspondiente acorde a los criterios y la escala de evaluación. Luego, se definieron los pesos relativos, o ponderadores, que cada una de las categorías de indicadores tendría dentro de un único índice global para ambas instituciones estudiadas. Para obtener éste se ponderó el resultado de los Tribunales en un 60% y el de los Ministerios Públicos en un 40%.

Finalmente se efectuaron los cálculos y se presentaron los resultados.

Entre las informaciones puntualizadas como relevantes, se ponderó en primer lugar la existencia de la página web, la publicación y actualización de sentencias -sólo en el caso de tribunales- y reglamentos; la publicación estadística de causas ingresadas, resueltas y pendientes; presupuesto, concursos y licitaciones, entre otras.

 

NOTA: En los anexos 1 y 2 del Índice de Accesibilidad de la Información Judicial en Internet que se adjunta en el presente envío se presenta la definición de cada uno de los 38 indicadores evaluados, junto con los criterios empleados para su evaluación; y la escala de evaluación aplicada para cada indicador.

El Centro de Estudios de Justicia de las Américas (CEJA) es un organismo internacional autónomo creado en 1999 por resolución de la Asamblea General, dando cumplimiento de ese modo al Plan de Acción de la Segunda Cumbre de las Américas de 1998, y a las recomendaciones de las Reuniones de Ministros de Justicia o de Ministros o Procuradores Generales de las Américas (REMJA).

La sede de CEJA se encuentra en Chile y sus miembros son todos los países activos que integran la Organización de los Estados Americanos (OEA).

Las tres metas claves que CEJA se ha propuesto desde su creación son: Estudiar en profundidad los sistemas de justicia y desarrollar planteamientos innovadores en la discusión de reformas judiciales; favorecer la cooperación y el intercambio de experiencias entre los actores; generar y difundir instrumentos que mejoren la información sobre justicia en las Américas.

En relación a esta última meta, CEJA se ha propuesto servir como un canal permanente y activo para generar, recopilar y difundir información sobre el funcionamiento de los sistemas judiciales de cada uno de los países de la región.

Entre sus productos CEJA destaca el Reporte sobre el Estado de la Justicia en las Américas, que contiene 34 informes nacionales que describen el funcionamiento del sistema de justicia de cada uno de los países miembros de la OEA (Instituciones claves, principales procedimientos, estadísticas básicas, flujos de causa, tasa de delitos, situación penitenciaria, principales iniciativas de reforma, entre otros). Este reporte se encuentra disponible on line en formato html en www.cejamericas.org/reporte

Otro proyecto que se enmarca en la generación y difusión de información, es el de Indicadores y Estadísticas Judiciales, que tiene como fin generar un sistema integral de recolección y procesamiento de datos para la producción de estadísticas e indicadores judiciales de calidad, homologables y de fácil comprensión y acceso. Es así como ya se han editado dos Manuales: Cifrar y Descifrar I para generar, recopilar, difundir y homologar estadísticas e indicadores judiciales; y Cifrar y Descifrar II Indicadores judiciales para las Américas. Ambos se encuentran on line disponibles en formato PDF en www.cejamericas.org
Más información acerca de otros proyectos y estudios de CEJA en www.cejamericas.org
TRANSPARENCIA E INFORMACIÓN JUDICIAL
El Índice de Acceso a la Información Judicial de CEJA

Juan Enrique Vargas Viancos
Director Ejecutivo, CEJA
Enero, 2005

 

Las reformas judiciales que la mayoría de los países de la región han impulsado las últimas décadas han tenido como objetivo cambiar varios de los paradigmas que tradicionalmente se tenían sobre la justicia. Así, si antes se la veía simplemente como el ejercicio de una potestad pública, donde primaban los intereses generales del Estado y la sociedad, ahora la mirada pasa a centrarse en los derechos e intereses de los ciudadanos convocados a ella. Así, si antes se pensaba que los problemas de la justicia eran todos de principios, en donde las cosas había que hacerlas obligatoriamente de determinada manera, ahora pasa a imponerse una visión de política pública que reconoce la existencia de múltiples caminos para obtener determinados objetivos de bien social, alternativas sobre las que hay que pronunciarse a partir de minuciosos análisis de eficiencia y efectividad.

El resultado de todo ello es que crecientemente los sistemas de justicia y subsistemas que lo integran han pasado a ser considerados verdaderos servicios públicos, susceptibles de ser diseñados, dirigidos y evaluados de la misma manera como pueden ser la salud, educación o vivienda, más allá naturalmente de los diferencias técnicas entre cada uno. Desde el momento en que la justicia pasa a ser entendida como un servicio público, la información y su publicidad se convierten necesariamente en un elemento clave para su manejo y desarrollo institucional, ya sea por la necesidad de que los usuarios del sistema conozcan su existencia y cómo utilizarlo, y en términos abstractos, para saber ante qué situaciones pueden acceder a la justicia, como concretos cuando, por ejemplo, desean interponer una denuncia, conocer la agenda de audiencias de un Tribunal o el veredicto de una Corte.

Pero, hay otra razón adicional. Los sistemas de justicia para poder cumplir con su trabajo requieren de información. Uno bien podría definir la labor judicial precisamente como la de captar, procesar, producir y difundir información. Un caso judicial no es otra cosa que un conjunto de información. Pues bien, el éxito entonces de un sistema de justicia depende de su capacidad para captar y manejar información. Sin ella, nada puede hacer. Y la experiencia enseña que la mejor forma para obtener información es ganarse la confianza de los usuarios del sistema y, paradojalmente, para obtener esa confianza es imprescindible darles información. Si los ciudadanos ven que el sistema los toma en cuenta y responde de alguna forma ante sus denuncias o peticiones, estarán mejor dispuestos a repetir la experiencia en el futuro.

En términos aún más generales, el grado de legitimidad de la justicia como institución también depende de que tan abierta se encuentre al escrutinio público, rol que generalmente queda entregado a los medios de comunicación social, las ONG’s especializadas o entidades académicas. A ellos les interesará saber quiénes son los jueces y cuáles son sus historias personales, cuánto tiempo se demoran los juicios, cuántos casos quedaron pendientes para el próximo año, en qué se invirtieron los recursos proveídos al sistema; información a partir de la cual podrán inferir sobre el estado de la justicia y, eventualmente, desarrollar las medidas necesarias para mejorarla.

La transparencia para todo ello es esencial. Uno puede sostener que los sistemas de justicia, como entidades públicas que administran un poder y recursos entregados por los ciudadanos “deben” ser transparentes. Pero más convincente aún nos parece sostener que la justicia “necesita” ser transparente para poder cumplir con sus fines (de hecho la noción del juicio público es consustancial a la noción de justicia) y que cuando no lo es, todo el sistema se debilita. La falta de transparencia judicial no lleva a la inexistencia de información, sino conduce a que las personas tomen decisiones o formen juicios en esta materia a partir de información de menor calidad (rumor, trascendido, opinión interesada de una parte, entre otras).

En este contexto, CEJA tomó la decisión de construir un Índice sobre Acceso a la Información Judicial, circunscrito en esta oportunidad a la información que se brinda a través de Internet, con los fines, por una parte, de tener una idea clara sobre la información que los sistemas de justicia hoy le están entregando a sus ciudadanos y, por la otra, de generar incentivos en las instituciones para que el nivel y la calidad de esa información mejoren. Limitamos nuestra mirada a la información entregada a través de Internet, en atención a que hoy es el medio de comunicación, que con mayor cobertura y a menores costos, posibilita difundir información institucional. CEJA tiene precisamente entre sus misiones incentivar su uso en el medio judicial, pues potencia enormemente el trabajo regional. Adicionalmente, el análisis a través de la Web es fácil de hacer y homologar, permitiéndose así un trabajo altamente objetivo.

Entre los principales hallazgos de este estudio se encuentra la constatación de que la gran mayoría de los Poderes Judiciales y Ministerios Públicos de la región cuentan con sitios web institucionales, aunque los objetivos de ellos y el nivel de información con que han sido nutridos son muy dispares. En todo caso, la situación no es homogénea a nivel regional, puesto que en los países del Caribe Angloparlante, donde en general el nivel de penetración de Internet es inferior al resto de la región, son muy pocos los que cuentan con sitios web (Trinidad y Tobago, Barbados y Jamaica son la excepción). Por otra parte, la situación es bastante desigual si se compara a los Poderes Judiciales con los Ministerios Públicos, pues en los primeros 23 de los 34 de los países de la región cuentan con un sitio institucional (aunque éste no sea completo). En cambio, tratándose de los Ministerios Públicos, sólo 14 de 34 lo tienen. Si observamos ahora el nivel de información que cada una de esas instituciones entrega, las diferencias también son marcadas. El promedio ponderado asignado a los tribunales de la región alcanzó a un 29% (de un máximo de 100), en cambio el promedio ponderado de los Ministerios Públicos es sólo de un 15%, lo que demuestra mayores carencias de información. Llama la atención esta situación, pues todo indica que la necesidad de contacto con los usuarios debiera ser tanto o más intensa en el caso de las fiscalías que en el de los tribunales. Aquí existe un gran terreno para avanzar a nivel regional.

El segundo hallazgo relevante a nuestro juicio, desmitifica lo que comúnmente se piensa en torno al acceso a la información y al uso de Internet. Generalmente se cree que es algo muy caro, un bien suntuario casi privativo de los países desarrollados. El caso de Costa Rica, en un sentido positivo, muestra que ello no necesariamente es así. Ese país encabeza el ranking regional en cuanto a los tribunales de justicia con un 86%, dejando en un segundo lugar a Estados Unidos (80%). En el ranking global, -que pondera tribunales y Ministerios Públicos-, Costa Rica queda en un excelente segundo lugar (64%), perdiendo el primero sólo a consecuencia de que su Ministerio Público muestra un promedio bastante inferior (31%). En el ejemplo inverso se encuentra Canadá, país que pese a su alto desarrollo e interés en los temas de conectividad, sólo ocupa el décimo lugar en el índice global (41%), siendo superada, además de Estados Unidos y Costa Rica, por Argentina, México, Venezuela, Perú, Chile, Brasil y Colombia. Pareciera ser que más importante que los recursos y acceso a la tecnología es el desarrollo de una política institucional consistente en esta área.

En cuanto a para qué usan sus sitios en Internet las instituciones del sector, nos encontramos que las áreas en las cuales existe mayor información si agregamos a todos los países de la región son, en el caso de los tribunales, la publicación de estadísticas, sentencias (jurisprudencia), datos curriculares de los jueces, reglamentos y acordadas internas y llamados a concursos, en ese orden. Llama la atención la muy escasa información sobre ejercicio presupuestario, situación patrimonial de los jueces y sanciones aplicadas a los mismos (de hecho ningún país publica estos dos últimos tipos de información). En el caso de los Ministerios Públicos, la información sobre ejecución presupuestaria es similar a la que se brinda sobre estadísticas y sólo algo inferior a la que se da sobre normativas internas, aunque siempre en promedios inferiores a los de los tribunales. Tampoco se entrega en este caso información sobre patrimonio y sanciones a fiscales.

En fin, creemos que los resultados que muestra este Índice dan cuenta de los enormes esfuerzos que aún restan en la región por abrir nuestros sistemas de justicia tanto al escrutinio público y al mundo del intercambio virtual de información. Pero al mismo tiempo muestra que los países que asumen este desafío pueden obtener logros notables, que sin duda impactarán en la confianza que despiertan en sus ciudadanos. Tenemos la intención volver a construir este índice año a año, bajo similar metodología con el fin de dar a conocer los avances que se generen en la región.

PODERES JUDICIALES Y MINISTERIOS PÚBLICOS DE LA REGIÓN
ANTIGUA Y BARBUDA
Corte Suprema del Caribe del Este: www.ecsupremecourts.org.lc

ARGENTINA
Ministerio Público Fiscal de la Nación: www.mpf.gov.ar

Corte Suprema de Justicia de la Nación: www.csjn.gov.ar

BAHAMAS
Corte Suprema del Caribe del Este: www.ecsupremecourts.org.lc

BARBADOS
Corte Suprema de Justicia: www.lawcourts.gov.bb

BELICE
Poder Judicial: www.belizelaw.org/welcome.html

BOLIVIA
Ministerio Público: www.fiscalia.gov.bo

Corte Suprema de Justicia: http://suprema.poderjudicial.gov.bo/

BRASIL
Supremo Tribunal Federal: http://www.stf.gov.br/

Ministerio Público: www.pgr.mpf.gov.br

CANADÁ
Corte Suprema de Justicia de Canadá: http://www.scc-csc.gc.ca

Ministerio de Justicia: http://canada.justice.gc.ca

CHILE
Corte Suprema de Justicia: http://www.poderjudicial.cl

Ministerio Público: www.ministeriopublico.cl

COLOMBIA
Corte Suprema de Justicia: www.ramajudicial.gov.co

Ministerio Público: www.fiscalia.gov.co

COSTARICA
Corte Suprema de Justicia: www.poder-judicial.go.cr

Procuraduría General: http://www.pgr.go.cr

DOMINICA
Corte Suprema del Caribe del Este: www.ecsupremecourts.org.lc

ECUADOR
Poder Judicial: www.justiciaecuador.gov.ec

Ministerio Público: www.fiscalia.gov.ec

EL SALVADOR
Poder Judicial: www.justiciaecuador.gov.ec

Ministerio Público: www.fiscalia.gov.ec

EE.UU
Cortes Supremas: http://www.uscourts.gov/

Departamento de Justicia: http://www.usdoj.gov/

GRENADA
Corte Suprema del Caribe del Este: www.ecsupremecourts.org.lc

GUATEMALA
Corte Suprema de Justicia: www.organismojudicial.gob.gt

Ministerio Público: www.mp.lex.gob.gt

HAITI
Poder Judicial: http://www.haiti.org/Government/judicialbranch.htm

HONDURAS
Poder Judicial: www.poderjudicial.gob.hn

Ministerio Público: www.ministeriopublico.gob.hn/

JAMAICA
Poder Judicial: http://www.sc.gov.jm/index.htm

Office of the Director of Public Prosecutions: www.moj.gov.jm/node/view/26

MÉXICO
Corte Suprema de Justicia: www.scjn.gob.mx

Procuraduría General de Justicia: www.pgjdf.gob.mx

NICARAGUA
Corte Suprema de Justicia: www.csj.gob.ni

PANAMA
Poder Judicial: www.organojudicial.gob.pa

PARAGUAY
Poder Judicial: www.pj.gov.py

Ministerio Público: www.ministeriopublico.gov.py

PERÚ
Poder Judicial: www.pj.gob.pe

Ministerio Público: www.mpfm.gob.pe

REPÚBLICA DOMINICANA
Poder Judicial: www.suprema.gov.do

Procuraduría General: http://www.procuraduria.gov.do/

ST. KITTS AND NEVIS
Corte Suprema del Caribe del Este: www.ecsupremecourts.org.lc

ST LUCIA
Corte Suprema del Caribe del Este: www.ecsupremecourts.org.lc

URUGUAY
Poder Judicial: www.poderjudicial.gub.uy

Ministerio Público y Fiscal: www.mec.gub.uy/mpf

VENEZUELA
Ministerio Público: www.fiscalia.gov.ve

Corte Suprema de Justicia: www.tsj.gov.ve

 

 

31Ene/03
Proyecto de Ley

Proyecto de Ley 166 Comunicaciones Vía Internet y Fax

Colombia, Proyecto de Ley,

Proyecto de Ley 166 de 31 de enero de 2003, por el cual se regulan las comunicaciones Vía Internet y mediante el uso de Fax que se realicen desde lugares habilitados para brindar al público esos servicios.

EL CONGRESO DE COLOMBIA

DECRETA:

Artículo 1º. La presente Ley tiene por objeto la regulación de las comunicaciones vía Internet y mediante el uso de fax que se realicen desde lugares habilitados para brindar al público esos servicios.

Artículo 2º. Los establecimientos que ofrezcan los servicios mencionados en el artículo primero de la presente Ley deberán llevar un libro de registro debidamente certificado, foliado y rubricado por la autoridad de aplicación, no pudiendo presentar tachaduras, ni enmiendas; debiendo salvarse cualquier error u omisión al pie del asiento. No se podrá en ningún caso alterar la secuencia de los registros que en el se practiquen. Estos establecimientos tendrán la obligación de presentar el libro de registros ante cualquier requerimiento de las autoridades o usuarios.

Artículo 3º. El incumplimiento de la presente ley por parte de los establecimientos que presten los servicios de Internet y Fax, serán sancionados con multas, que se graduarán se acuerdo a la circunstancia del caso, y/o cancelación de la licencia para operar, las que serán calificadas en sus méritos por la autoridad de aplicación que será la encargada de reglamentar la presente Ley.

Paragrafo: Cuando por el mal uso del Internet o Fax se atente contra el patrimonio moral de las personas, se ponga en riesgo su vida o atente contra la seguridad y la estabilidad económica de las empresas, cualquiera que fuese su actividad, las autoridades competentes pueden, con fundamento en los libros de registro, aplicar a los responsables el rigor de las leyes preexistentes en materia civil, comercial o penal para castigar a dichas personas.

Artículo 4º. A los fines del cumplimiento de la presente Ley actuará como autoridad de aplicación la Empresa Nacional de Telecomunicaciones – TELECOM y/o las empresas de telefonía que TELECOM le haga la delegación respectiva.

Artículo 5º. Esta Ley rige a partir de su sanción.

Del H. Representante, ALVARO ASHTON GIRALDO

Representante a la Cámara

Departamento del Atlántico

 

EXPOSICION DE MOTIVOS AL PROYECTO DE LEY nº 166-02

“Por el cual se regulan las comunicaciones Vía Internet y mediante el uso de Fax que se realicen desde lugares habilitados para brindar al público esos servicios”

 

El presente Proyecto de Ley tiene por objeto la identificación de los usuarios de Fax e Internet que se prestan en establecimientos abiertos al público, buscando la transparencia y buen uso de las nuevas tecnologías.

Es por todo sabido que el uso de este servicio, en los lugares indicados es totalmente anónimo, lo que facilita a las personas inescrupulosas a realizar todo tipo de maniobras que tienen por finalidad perjudicar a terceros, al no poder identificar a su autor.

Las amenazas por estos medios de comunicación son unas de las más corrientes pudiendo nombrar, también la piratería informática y el tráfico o envío de virus informáticos, entre muchas otras. En el pasado reciente por estas maniobras se generó el pánico financiero de los ahorradores de la Corporación de Ahorro y Vivienda – DAVIVIENDA – poniendo en alto riesgo su solidez caracterizada en le mercado financiero.

La habilitación del presente registro en ningún caso pretende coartar o restringir la libertad de comunicación, sino muy por el contrario, se orienta a salvaguardar el derecho de defensa de aquellos que siendo agraviados no pueden impetrar la acción contra personas ciertas dada la protección que el anónimo brinda al buscar estos sistemas. De esta manera tendremos una herramienta legal persuasiva.

Deben establecerse restricciones para que los niños en edad escolar no tengan acceso a páginas o correos electrónicos que atenten contra la moral y las buenas costumbres.

Es por ello que solicito a los Honorables Congresistas que apoyen esta iniciativa, que sin duda redundará en beneficio para la sociedad Colombiana.

Del H. Representante, ALVARO ASHTON GIRALDO

Representante a la Cámara

Departamento del Atlántico

 

20Dic/01

Internet: Luces y Sombras

Trabajos

Internet: Luces y Sombras

Tal y como ya hemos planteado, Internet puede definirse como la red universal que permite a los ordenadores de cualquier parte del mundo comunicarse entre sí e intercambiar cualquier tipo de información, independientemente del formato en el que ésta se recoja: textos, imágenes, sonidos o archivos transferibles de un ordenador a otro. La interactividad va a ser una de sus características más representativas ya que la comunicación se produce en una doble dirección y, en multitud de ocasiones, en tiempo real; los receptores de información también pueden suministrarla.

En la Sociedad de la Información, ésta va a ser un elemento protagonista e Internet su principal medio de transmisión y comunicación a nivel mundial. Este novedoso canal telemático abre un gran número de nuevas posibilidades en todos los aspectos de las relaciones sociales, económicas, políticas, educativas, laborales, personales, sanitarias..

Sin embargo, no hay que olvidar que toda luz tiene su sombra; todo presenta una cara y una cruz. En Internet también hay muchos riesgos que deben tenerse en consideración para poderlos hacer frente.

A) Aspectos positivos

Entre las ventajas y beneficios que rodean Internet hallamos la disponibilidad de una multitud de servicios, información y contenidos[12] que van aumentando día a día y que permiten al usuario obtener información sobre cualquier tema de su interés por muy raro, minoritario o inusual que sea. Por ejemplo, se puede acceder, con una facilidad desconocida hasta ahora, a documentación oficial siempre y cuando no esté calificada como confidencial o reservada.

El desarrollo tecnológico hace posible que estos intercambios de información sean cada vez más rápidos, variados y sencillos, lo cuál está permitiendo que aumente el número de personas que se introducen en este nuevo mundo virtual. Además, su constante actualización facilita la obtención de noticias de última hora, resultados deportivos, estado de las carreteras, condiciones meteorológicas de cualquier punto de España e, incluso, el seguimiento de los escrutinios electorales.

En la sociedad que surge de las redes, se van a ver representados todos los grupos sociales: empresarios, profesionales liberales (médicos, abogados o arquitectos), sindicatos, trabajadores, etc. Además, Internet permite una mayor integración a algunos colectivos tradicionalmente marginados en nuestra sociedad real. El anonimato que ofrece la Red permite a personas poco aceptadas (por taras, problemas o defectos tanto físicos como psíquicos) desarrollar su verdadera personalidad y relacionarse con desenvoltura. Los menores también pueden encontrar ventajas de esta condición de usuarios anónimos ya que en determinados casos la minoría de edad constituye un criterio discriminatorio.

La evolución tecnológica aporta facilidades a los colectivos de disminuidos físicos y psíquicos, ciegos, sordos, para la realización de algunas actividades cotidianas que algunas personas pueden encontrar incómodas o problemáticas. Así, por ejemplo, pueden trabajar y enviar  lo realizado por e-mail a quien se lo encargó, pueden consultar sus problemas jurídicos a los abogados on line o sus inquietudes sanitarias a los “telemédicos”[13], pueden viajar[14], etc. Con un ordenador y un modem tienen acceso a un mundo exterior relativamente verídico al que hasta entonces no habían tenido ocasión de acercarse.

Un claro y práctico ejemplo de ello es el programa “Mundo de estrellas”[15]. Se trata de un proyecto tecnológico que se incluye en el Programa de Atención al Niño Hospitalizado, dependiente del Servicio Andaluz de Salud, con el que se pretende acercar a estos menores un mundo virtual con juegos, entretenimientos y, así, evitar que se vea privado, durante su estancia hospitalaria, de las actividades sociales y educativas habituales y propias de cualquier menor de edad.

En la misma línea, la Fundación La Caixa ha iniciado un programa para los niños que tienen que estar en el hospital más de dos meses que les permitirá seguir en contacto con la escuela[16].

La gran difusión que consigue todo lo que se “publica” en la Red puede ayudar a entidades, ONGs e instituciones análogas con pocos recursos a dar a conocer sus actividades, proyectos, necesidades… Así, Internet también tiene un punto solidario que en ocasiones se extiende a colaborar en la búsqueda de personas desaparecidas[17] o familias dispuestas a adoptar niños.

Internet puede considerarse un mundo más o menos real ya que en él se reflejan todas las situaciones y comportamientos humanos que podemos observar en cualquier sociedad. Los usuarios pueden reservar billetes para un espectáculo, organizar viajes, viajar a través de la Red, realizar operaciones bancarias, contratar productos y servicios, hacer amigos o enamorarse[18].

La telemática va a permitir que poco a poco se desarrolle y consolide en nuestro continente (especialmente en España) una nueva forma de relación laboral que en Estados Unidos está totalmente extendida. Se trata del trabajo a distancia, de la posibilidad de que el trabajador realice su actividad laboral en un lugar que no es el centro de trabajo en su concepción tradicional y que, posteriormente, remita su tarea a quien corresponda por cualquiera de los medios que permiten las TIC. A esta aplicación de las tecnologías en el ámbito laboral se le ha denominado “teletrabajo” y será objeto de un posterior análisis.

La informática, la telemática, Internet, son medios que ayudan al hombre facilitándole la realización de gestiones burocráticas: se reduce el volumen de papel necesario, el espacio necesario para almacenarlo, colas innecesarias, reducción de estrés[19].

Culturalmente, al ser un universo sin fronteras, Internet supone un lugar de encuentro de gente de todo el mundo, de gente con diferentes modos de ver la vida, personas con diferentes ideologías, creencias y costumbres. La globalización hace tener contacto con visiones muy diferentes del mundo en el que vivimos. Esta heterogeneidad debería llevar a un enriquecimiento cultural y a una apertura mental que fomentaran la tolerancia y el respeto.

En relación con estos temas culturales, Luis Rodríguez Baena, habla de la cibercultura [20]. Con este concepto se quiere referir a la cultura que se desarrolla en el ciberespacio, en el ámbito de las TIC.

Esta nueva modalidad cultural puede analizarse desde dos puntos de vista: como forma de difusión y como medio de creación. La telemática permite acceder a todas las manifestaciones culturales de un modo diferente a las formas de difusión tradicionales.

La principal novedad reside en la interactividad que presentan, por ejemplo, los museos virtuales. En el ámbito de la creación a través de los nuevos medios tecnológicos, podemos imaginar la posibilidad de crear un museo de museos gracias a la realidad virtual. Tal y como opina Pilar Llacer, nada es comparable con la apreciación directa del arte. Sin embargo, no todos pueden acercarse a los originales cuando les apetece o cuando lo necesitan. La realidad virtual pretende provocar la sensación de “estar ahí”, pues proporciona a los sentidos (por lo menos a la vista) la misma percepción como si estuvieran realmente allí.

Otra facilidad que aportan las nuevas tecnologías al aspecto cultural de la sociedad es la progresiva eliminación de las barreras idiomáticas. Esta afirmación puede parecer contradictoria con el carácter totalmente internacional de Internet, pero con unos conocimientos adecuados de Inglés y los sistemas de traducción automáticos que están en constante evolución, se puede llegar a documentos u obras literarias redactados en idiomas que nos son desconocidos y a los que, de otro modo, no hubiéramos podido acceder.

El ciberarte está muy relacionado con la cibercultura. Arturo Ribagorda[21] destaca el papel de Internet en la difusión del arte en todas sus manifestaciones. Gracias a la navegación por la Red, podemos conocer cualquier pintura, escultura o edificio arquitectónico sin movernos de nuestras casas.

En la Red se puede jugar, entretenerse. Hay gran variedad de juegos que pueden obtenerse en Internet, así como el hecho de que la propia navegación cibernética puede constituir por sí mismo un nuevo modo de ocio[22]. Tener tiempo libre y poderlo disfrutar es un elemento fundamental de nuestro contexto histórico y socio-cultural. Por ello, las nuevas tecnologías también van a tener cierta presencia en estas actividades de distracción.

En Internet se puede aprender[23]. La revolución tecnológica está invadiendo hasta la educación. La teleducación es el modo de enseñanza del futuro. Antes de la irrupción de las nuevas tecnologías, ya existían cursos por correspondencia, por ejemplo la UNED. Hoy en día, Internet supone una revolución para todos los que se dedican a la enseñanza a distancia.

Son muchos quienes se ofrecen a impartir clases a través de la Red. Navegando por ella, se pueden encontrar cursos de todo tipo de materias para todo tipo de destinatarios. A partir de ahora, todos estos cursos serán más ricos por las posibilidades que ofrecen los medios telemáticos: videoconferencias, comunicaciones a tiempo real mediante chats, foros, e-mails, hotlines y helpdesks para plantear posibles dudas o consultas… Todos estos medios tecnológicos hacen más ágiles y dinámicos los cursos interactivos. Además, su interactividad permite al alumno-usuario involucrarse realmente en lo que está estudiando y, así, sacarles el máximo partido.

Si atendemos a la educación tradicional, in situ, las TIC también van a estar presentes. De hecho, en el seno de los Ministerios de Educación y de Nuevas Tecnologías, hay proyectos y programas para tratar de introducirlas en el mayor número de centros educativos posibles[24].

Son indudables las posibilidades positivas que Internet ofrece a los usuarios. En especial, los niños y adolescentes pueden conseguir muchos beneficios si lo utilizan adecuadamente. Existen numerosas páginas específicamente destinadas a ellos, por ejemplo: Go kids, The Cartoon Network, Lego Wrolds, Cyberkids, PBS Kids, donde podrán encontrar juegos, personajes y aventuras de su agrado[25]. Para ellos, la Red representa una ventana abierta a un mundo por descubrir, frente al que sienten gran interés y curiosidad.

B) Análisis de los peligros

Internet es el espejo de la humanidad de finales de siglo. Este mundo virtual pero real es un fiel reflejo de la sociedad y, por lo tanto, en él nos vamos a encontrar con un heterogéneo abanico de integrantes. La mayoría son decentes, respetables, actúan de buena fe; pero también puede haber alguno desagradable, grosero, con dobles intenciones.

Pese al provecho que pueden obtener los menores en la Red, también pueden ser un blanco fácil por su ingenuidad, confianza, curiosidad y ganas de explorar este nuevo mundo y todas las oportunidades que ofrece.

Para evitar que los niños, por sus especiales características, caigan en manos de gente sin escrúpulos, es necesario que conozcan cuáles son los peligros[26] del mundo on line y así asegurar que sus experiencias ciberespaciales sean alegres, sanas y productivas.

En ulteriores páginas profundizaremos sobre algunos de los riesgos que presenta Internet pero no está de más plasmar aquí, a modo de ejemplo y sin ánimo de exhaustividad, una visión general de todos ellos.

Internet no tiene fronteras, es internacional, global. Es de todos y, al mismo tiempo, no es de nadie. No tiene dueño. No hay ninguna autoridad supranacional que controle lo que ocurre entre redes. Al estar presente en todos los estados debería haber un Ordenamiento Jurídico único para todos ellos, pero…¿quién debe redactarlo? ¿bajo qué criterios?

El principal problema, a la hora de crear un conjunto de normas comunes que sean realmente efectivas para todos los estados, es tratar de armonizar los diferentes modos de entender y regular la realidad social debido a que estos extremos son representación y manifestación de la cultura de cada uno de ellos. Lo que puede considerarse ilícito y, como consecuencia, digno de persecución y sanción en un estado, puede no serlo en otro. Así, la norma que condenara tal hecho sería inútil por disfuncional, ya que no sería cumplida por quienes lo consideraran lícito según su normativa interna.

El problema de la inexistencia de una normativa internacional es precisamente la posible creación de “paraísos” en los que nada sea ilícito, donde sea posible delinquir sin ningún tipo de control ni fiscalización. Esta situación provoca una inseguridad jurídica sobre el alcance del control que los estados pueden realizar sobre los servicios procedentes de otros.

En la práctica, cada país regula la utilización de los medios telemáticos en función de su propia tradición jurídica, su cultura y sus Principios Generales del Derecho. De todos modos, se trata de una labor todavía inmadura e insuficientemente legislada que deberá ir desarrollándose paulatinamente para estar en consonancia con la realidad social y los problemas que en ella se plantean como consecuencia de todos estos riesgos cibernéticos.

Es necesario crear un marco que garantice la libre circulación de los servicios de la Sociedad de la Información dentro del ámbito comunitario[27]. La presencia de contenidos ilícitos y nocivos en Internet tiene consecuencias directas en el funcionamiento del mercado único. Los estados miembros deben regular los nuevos servicios para no entorpecer la libre circulación de los mismos ni provocar una fragmentación del mercado interior.

En este sentido, la Unión Europea está realizando proyectos para lograr la mayor armonización posible entre las normas de los estados miembros relacionadas con el Derecho Informático. En el contexto comunitario, dicha armonización resulta relativamente fácil por el grado de integración en el que nos encontramos.

Las TIC facilitan la instalación de cámaras de vigilancia en circuitos cerrados e instalaciones públicas. Mediante Internet, estas cámaras pueden colocarse incluso en lugares privados creando una angustiosa sensación de vigilarlo todo. La videovigilancia está propiciando que la “Sociedad de la Vigilancia” se acelere y pueda ser una realidad a corto plazo.[28]

Si bien es cierto que los usuarios de Internet pueden acceder fácilmente a gran cantidad de variada información, también hay que preguntarse si hay alguien que garantice la veracidad, calidad, integridad, exactitud y legalidad de tales contenidos.[29]

Los nuevos medios tecnológicos pueden ser utilizados para manipular los contenidos que circulan a través de la Red. No hay ningún límite ni control sobre la información a la que accede el usuario. Es muy posible que haya contenidos erróneos, falsos, malintencionados, ofensivos, que traten de manipular a las masas, etc. pero son muy difíciles de controlar.

La mayoría no suelen presentar problemas pero hay otros casos en los que la información ofrecida no es adecuada para determinados públicos o edades. Quizá en este sentido corran más peligro los adolescentes que los niños. Los más pequeños suelen navegar con sus padres mientras que los “teens”[30] poseen mayor capacidad de iniciativa, participación, se manejan con soltura y, generalmente, no admiten el asesoramiento de sus padres o de otras personas mayores.

El problema es que los menores están expuestos a material que puede ser inapropiado para ellos por su alto contenido violento, racista, pornográfico o discriminatorio que, en ocasiones, puede llegar a ser delictivo. A veces, estos contenidos están destinados a adultos, pero resultan fácilmente accesibles a cualquiera.

Los menores pueden llegar a páginas web de contenido poco deseable para ellos sin buscarlas durante el tiempo que están navegando por Internet. Por ejemplo mediante la recepción de spams[31] y banners[32] con publicidad sobre algún tema problemático (generalmente relacionado con el sexo). El menor los abre sin ninguna malicia ni intención concreta, ignorante del daño que pueden ocasionarle.

Otras veces los creadores de estos tipos de páginas web introducen metatags[33] engañosos para que éstas aparezcan durante una búsqueda totalmente inofensiva que nada tiene que ver con el contenido que aparece en pantalla.

Como ya hemos apuntado, Internet no tiene ninguna autoridad que establezca un código al que deban someterse todos los usuarios. Por eso se plantea la siguiente cuestión: ¿es posible la censura o debe prevalecer la libertad de expresión en todos los casos, especialmente en aquellos supuestos en los que los destinatarios de ciertos tipos de contenidos son los más pequeños? Toda esta problemática en torno a los contenidos inapropiados y a los posibles medios para no acceder a ellos los analizaremos más adelante con minuciosidad; de hecho, se trata del tema principal de este trabajo.

Se puede hacer una lectura negativa del anonimato[34] que ofrece la navegación por Internet. No hay posibilidad de saber quién es el autor de determinadas páginas web, quién es el remitente de correos electrónicos u otros envíos, con quién se está realmente hablando en un chat.

Este anonimato, junto a la inexistencia de una regulación uniforme para todos los países usuarios de esta tecnología, favorece la aparición de nuevos medios para delinquir, que no excluyen ni eliminan los modos tradicionales. La identificación del culpable es una tarea bastante complicada[35].

La Red se puede utilizar como medio para la comisión de delitos, por ejemplo: la difusión de ideas xenófobas, terroristas; tráfico de prostitución infantil; fraudes, timos y desfalcos económicos al contratar bienes y/o servicios; injurias, calumnias, etc.

Por otro lado, los medios tecnológicos digitales permiten reproducciones perfectas de los originales. Estas copias, en algunos supuestos, constituyen una vulneración de los Derechos de Autor de los programas, imágenes, textos, contenidos culturales o artísticos que están en Internet.

Todos los aspectos relativos a los delitos informáticos se desarrollarán en el capítulo correspondiente. Entonces veremos cómo éstos pueden tener mucho que ver con los menores de edad, quienes pueden ser tanto sujetos activos como pasivos de estas acciones ilícitas.

En Internet peligran los Derechos de Propiedad Intelectual[36]. Cuando un menor (sobre todo un adolescente) crea una página web, debe tener claros cuáles son sus derechos como autor de la misma. Posteriormente, estudiaremos el contenido de estos derechos y cómo pueden ejercerlos.

Un peligro de Internet, como máximo representante de la globalización en nuestros días, es la desaparición de la identidad de cada país. Este hecho no es muy probable que suceda ni a corto ni a medio plazo, pero hay que verlo como algo factible si dicha globalización unifica los modos de actuar de los diferentes estados. Por otro lado, ¿hasta qué punto esta globalización unifica la situación de los diferentes estados? ¿No son las nuevas tecnologías un elemento que va a abrir cada vez más la brecha norte-sur?

Otro de los riesgos que pueden derivarse de la Red es la posibilidad de quedarse enganchado, de convertirse en un adicto a Internet[37].

Algunos psicólogos hablan ya de ” los yonkis de Internet” para referirse a las personas que se pasan días enteros frente a la pantalla del ordenador sin relacionarse con ningún otro ser humano. Mucha gente no navega para obtener información sino para evadirse y huir de sus propios problemas. Muchas veces es difícil detectar una adicción porque ¿ cuál es la frontera entre el enganche y el ocio?

K. S. Young, Dra. de la Universidad de Pittsburg, dice que los síntomas de esta nueva adicción son muy parecidos a los que sufren los jugadores empedernidos: ansiedad, insomnio, irritabilidad, inestabilidad emocional, incomunicación, insociabilidad o pérdida absoluta de control.

Dentro de la propia Red hay páginas[38] que informan sobre este nuevo tipo de adicción explicando las posibles causas y consecuencias, los síntomas… Así mismo, se pueden encontrar sitios de “desintoxicación virtual” donde analizan las causas que produjeron el enganche, ayudan a la gente a superar su adicción y procuran que ésta no se vuelva a repetir.

Los padres o las personas responsables de un menor deben tener en cuenta este riesgo cuando intenten usar Internet para llenar el tiempo que ellos no pueden dedicarle. Deben convencerse de que los ordenadores, el vídeo, la televisión no son “canguros virtuales”. No deben escudarse en las ventajas que ofrece la Red ni únicamente ver sus peligros según sus intereses, sin parase a considerar las necesidades de los niños.

Comentaremos durante el desarrollo de este trabajo la actitud deseable que deben adoptar los padres ante la relación surgida entre los menores y las nuevas tecnologías, representadas por Internet. Además, cabe mencionar aquí alguno de los sitios web dirigidos a adultos con menores a su cargo donde se les indica qué deben hacer para proteger a los niños de los peligros de la Red y para que puedan navegar tranquilamente por este nuevo mundo. Así, son interesantes las siguientes visitas: Cyberpatrol´s Route, Kid´s Domain, Safe and Sound, Guardianet, X-Sop, Sos Kid Proof, Jump Start for Parents[39].

No hay que olvidar que las personas somos seres sociales que necesitamos relacionarnos con los demás. Hay que tener cuidado con el aislamiento al que puede llevarnos Internet. Aunque en el ciberespacio encontramos un reflejo del mundo real, no debemos perder contacto con la verdadera realidad, no debemos restringirnos al mundo virtual. En ese caso pasaríamos a ser seres antisociales.

Noam Chomsky apunta que, en Internet, “el tipo de comunicación es muy superficial. Los jóvenes tienen que aprender a relacionarse con los demás seres humanos. Esto implica estar cara a cara con la gente. […] Cuando los jóvenes se cuelgan de Internet están participando en mundos imaginarios, donde se relacionan con gente imaginaria. Internet es peligrosa, especialmente para los adolescentes, porque crea la ilusión de que está en contacto con la gente. Pero en realidad, uno está completamente aislado. Los adolescentes tienen más contacto con personas virtuales que con personas reales y ésto supone un grave riesgo”[40]

Ante este peligro, hay que tener especial cuidado con los más pequeños. La personalidad de un individuo depende en gran medida del modo en el que se desarrolló su infancia. Si se permite que un menor pase mucho tiempo delante del ordenador se corre el riesgo de que en el futuro sufra, independientemente de las posibles secuelas físicas, dificultades de socialización o problemas para relacionarse con los demás.

Respecto a los juegos que ofrece Internet, también hay que ser cautos. En la Red, hay juegos de todo tipo desde los más educativos hasta los que basan su entretenimiento en fomentar la violencia, la discriminación, la intolerancia y otra serie de valores que distan bastante de los principios que deben regir en un Estado Social y Democrático de Derecho.

Un claro ejemplo de estos programas son los denominados “Juegos de Rol” en los que los usuarios reciben puntos por cada persona que maten, por cada chica que violen, etc. y a los cuales los menores pueden acceder sin ninguna dificultad.[41]

Amnistía Internacional ha denunciado la existencia de todos estos tipos de juegos que fomentan la tortura entre los niños en un informe titulado: “Haz clic y tortura: videojuegos, tortura y violación de Derechos Humanos”[42]. La organización aconseja a los padres que hagan un consumo responsable de estos productos y que sepan lo que contienen cuando los compran para sus hijos; al mismo tiempo que demanda a los productores de los programas que especifiquen su idoneidad según edades.

La gran aportación que supone en los centros educativos y en los métodos de enseñanza las nuevas tecnologías tiene uno de sus contrapuntos precisamente en las facilidades que presentan. Por ejemplo la existencia de un corrector ortográfico fomenta la pereza y comodidad de los menores a la hora de esforzarse en aprender estas normas lingüísticas (quizá dentro de unos años este hecho no nos importe, tal y como ha sucedido con la calculadora). Se están acostumbrando a demasiadas facilidades, a que se les dé todo hecho, a no proponer ideas nuevas, a no pensar soluciones. ¿ Es realmente un buen sistema pedagógico aquél que no hace discurrir al alumno?

Por otro lado, la posibilidad de acceder a Internet durante una clase les distrae de las explicaciones, con la posibilidad añadida de toparse con todos los riesgos existentes en la Red que estamos comentando.

Uno de los servicios más concurridos por los usuarios, en general, y por los menores, en particular, son los chat. Estos lugares cibernéticos permiten entablar conversaciones en tiempo real con diferentes personas de todo el mundo. Hay muchos tipos de chat en función de los temas, del número de individuos que intervienen, etc. En algunos de ellos hay monitores o moderadores de las discusiones o debates que surgen de conversaciones que comenzaron de modo distendido e informal. Hay gente que empieza relaciones amistosas o sentimentales a raíz de un chat. Es cierto que la mayoría de gente es sincera, que no busca problemas; pero también lo es el hecho de que los chats son el medio que utilizan algunos para explotar y/o aprovecharse de otros; por ejemplo, suele ser la vía más utilizada por los pedófilos para encontrar víctimas. 

Una de las principales fuentes de este riesgo o problema es el anonimato anteriormente comentado porque no permite saber con quién se está hablando, quién es el interlocutor que se encuentra al otro lado. Por eso, hay que ser prudente y no decir cosas que no se dirían en público. No todo el mundo es quién dice ser. No es necesario decir toda la verdad ni quedar personalmente con nadie.

En estos salones virtuales es donde más información sobre nosotros mismos podemos dar incluso sin darnos cuenta. Hay que tener especial cuidado con los datos que aportamos porque no sabemos qué utilidad les van a dar los que los conocen. La información ha pasado a ser un activo fundamental, un elemento que será muy apreciado y cotizado a partir de este siglo entrante.

La intromisión en la privacidad[43] de las personas es una de las lacras principales de Internet. Hay webs que demandan al usuario información sobre sí mismo para poder acceder a su contenido. Cuando se introduce en cualquier lugar de Internet información de carácter personal, se pierde parte de la privacidad individual, ya que esos datos serán introducidos en alguna base de datos para ser probablemente utilizados con posterioridad, por ejemplo para realizar publicidad individualizada.

Ya que Internet es quién ofrece la posibilidad del anonimato, hay que aprovecharlo y evitar facilitar datos de carácter personal. Se puede utilizar un nombre que impida la identificación del usuario, sobre todo en el contexto de los chat[44] por todo lo anteriormente expuesto.

Tras este rápido recorrido por algunos de los problemas y riesgos que plantea Internet, se hace patente la necesidad de garantizar a sus usuarios un alto grado de protección. Esta protección deberá dirigirse especialmente a los menores de edad. Cualquier adulto en la Red puede tener la experiencia o perspicacia suficiente a la hora de detectar un posible riesgo y salir airoso de él. En cambio, la inocencia, vulnerabilidad y desconocimiento de los menores pueden llevarles a una situación de desprotección.

Aunque todavía quede mucho por hacer, la sociedad cada vez está más convencida de la necesidad de esta especial protección. Tal y como consta a continuación, esta mentalidad y modo de actuar se va a ir plasmando en diferentes textos tanto internacionales como comunitarios o nacionales. La Comunidad Internacional siempre ha dado importancia a los Derechos de la Infancia y las medidas de protección específicas que deben adoptarse, siempre y cuando aparece un menor en escena.

En estos momentos, los trabajos se centran en adaptar toda esa política de actuación al campo de la nueva sociedad que viene de la mano del nuevo siglo.

[12] http://www.aui.es/padres/familia.htm (18-Enero-2001)

http://www.4j.lane.edu/safety/arearisks.html (30-Enero-2001)

Ribas Alejandro, J. “Internet: Responsabilidades legales”. Revista Iberoamericana de Derecho Informático. Ed. UNED-Centro Regional de Extremadura. Mérida, 1999.

[13]Carrascosa López, V. “La Regulación Jurídica del fenómeno Informático”. Revista Iberoamericana de Derecho Informático. Ed. UNED-Centro Regional de Extremadura. Mérida, 1999.

[14]Con las vidoecámaras instaladas en la Red, el turismo cibernético es ya una realidad.

[15]Revista tecnológik@. 4-Enero-2001

[16]www.educalia.org (28-Abril-2001)

[17]El Correo. 21-Enero-2001. Pág. 66.

[19] Caro Gil, R. “Internet: Aspectos ético-sociales”. II. Jornadas de Informática y Sociedad. Editado por el Dpto. Lenguajes y Sistemas Informáticos e Ingeniería de Software. Facultad de Informática. Universidad Pontificia Salamanca. Madrid, 1998. Pág. 233 y ss.

[20] Rodríguez Baena, L. “Cultura en la Red” y Llacer, P. “La urgencia de una ética en las Autopistas de la información”. II. Jornadas de Informática y Sociedad. Editado por el Dpto. Lenguajes y Sistemas Informáticos e Ingeniería de Software. Facultad de Informática. Universidad Pontificia Salamanca. Madrid, 1998. Pág. 329 y ss, y 211 y ss, respectivamente.

[21] Ribagorda, A. “Cibercultura, Cibereducación y Ciberarte: Los pilares de la nueva era digital”, II. Jornadas de Informática y Sociedad. Editado por el Dpto. Lenguajes y Sistemas Informáticos e Ingeniería de Software. Facultad de Informática. Universidad Pontificia Salamanca. Madrid, 1998. Pág. 353 y ss.

[22] Carrascosa López, V. “La Regulación Jurídica del fenómeno Informático”, Revista Iberoameicana de Derecho Informático. Ed. UNED-Centro Regional de Extremadura. Mérida, 1999.

http://www.aui.es/padres/familia.htm (18-Enero-2001)

[26] Carrascosa López, V. “La Regulación Jurídica del fenómeno informático”, Revista Iberoamericana de Derecho Informático. Ed. UNED-Centro Regional de Extremadura. Mérida, 1999.

[27] Internet se ha convertido en un elemento fundamental para lograr la definitiva implantación de las cuatro libertades comunitarias enunciadas en el Tratado de Maastricht: libre circulación de mercancías, personas, capitales y servicios.

[28] Joyanes Aguilar, L. “El nuevo paradigma del Tercer Milenio”. II. Jornadas de Informática y Sociedad. Editado por el Dpto. Lenguajes y Sistemas Informáticos e Ingeniería de Software. Facultad de Informática. Universidad Pontificia Salamanca. Madrid, 1998. Pág. 242 y ss.

[29] Ribas Alejandro, J. “Internet: Responsabilidades Legales”, Revista Iberoamericana de Derecho Informático. Ed. UNED-Centro Regional de Extremadura. Mérida, 1999.

http://www.aui.es/padres/familia.htm (18-Enero-2001)

http://www.4j.lane.edu/safety/arearisks.html (30-Enero-2001)

[30] Voz anglosajona que hace referencia a las personas entre trece y diecinueve años. Aquí, lo identificamos con los adolescentes entre trece y diecisiete años.

[31] Los spams son correos electrónicos masivamente enviados que aparecen en la bandeja de entrada.

[32] Los banners son las cuñas publicitarias, generalmente rectangulares y llamativas, colocadas en la parte superior de una página web que tienen enlace directo con el sitio del producto o servicio anunciado.

[33] Los metatags son unos criterios que el creador de una web introduce en su parte superior y que determinan ante qué identificadores de búsqueda aparecerá dicha página.

[35] Ribas Alejandro, J. “Internet: Responsabilidades Legales”, Revista Iberoamericana de Derecho Informático. Ed. UNED-Centro Regional de Extremadura. Mérida, 1999.

[37] “Caer en las redes”. Revista Zaguán, nº2. 1996. Págs.18-19.

[40] El País, 3 de Noviembre de 1998.

[41] Basta con indicar “juego de rol” en cualquier buscador.

[42] El Correo, 28-Diciembre-2000